Smalltalk - Labern, reden, diskutieren...

  • Ich lass gerne mal das da:

    Sicherer Start
    Hier finden Sie eine Anleitung zu den Maßnahmen, die ein OEM zum Aktivieren des sicheren Starts eines Geräts ergreifen muss.
    docs.microsoft.com

    „If you can only do one thing, hone it to perfection. Hone it to the utmost limit!“ – Zenitsu Agatsuma

    • Offizieller Beitrag

    Hallo,

    Aber ein Headset das Treiber benötigt

    finde ich nicht notwendigerweise ungewöhnlich, wenn das Headset mit Zusatzfunktionalität (etwa mit intelligenten Raumklang für Spieler) kommt. Da reicht der generische Treiber für „Ausgabegerät“ dann nicht mehr aus.

    dessen Treiber nicht signiert sind?

    Das ist hingegen tatsächlich etwas, das problematisch ist (mich am Ende aber auch nicht wundert).

  • Nun, ich muss zugestehen da fehlt ein "zusätzliche" in meiner Aussage oben. Streng genommen ist ja der MS-Defender bereits eine Antivirussoftware.

    Ach, bei den Virenscannern scheiden sich auch etwas die Geister und da geht es ja wirklich von Schlangöl und dass die ganzen ja ganz böse sind, bis zu dem Bereich, dass sie durchaus was bringen.

    Im Endeffekt ist das alles aber eine Diskussion, die oft vollkommen unter falschen Prämissen geführt wird, vor allem weil Experten - egal ob wirkliche oder die Möchtegerns - gerne vergessen, dass im weiten nicht so Fit mit dem Computer sind, wie sie selbst und erst Recht nicht in Sicherheitsfragen.

    Wenn man keine Ahnung hat, kann man natürlich mit den Augen rollen. Aber du kannst ja stattdessen mal eine Suchmaschine deiner Wahl anwerfen, was das Googles Project Zero oder Sicherheitsexperten wie Palant schon alles aufgedeckt haben, oder wie Entwickler darüber denken, die Browser entwickeln und sich dementsprechend gut mit dem Thema Sicherheit auskennen.

    Hat nur das kleine Problem, dass diese Experten mit der Zeit leider vergessen, dass nur die wenigsten Anwender überhaupt sich brauchbar mit der Materie auskennen und noch viel weniger ihnen auch folgen können.

    Und da kommt halt der nächste Punkt: Wenn man Google benutz und dann mal die weitere Fachliteratur zu Rate zieht - nicht nur mehr Google Project Zero oder gewisse Sicherheitsexperten, die sehr laut sind und damit in erster Reihe stehen, sonder mal die zweite und dritte Reihe zu Wort kommen lässt, dann dreht sich das Bild wieder ein Stückweit und aus "keiner braucht einen Virenscanner abseits des Defenders" wird schnell ein "Es kommt darauf an."

    Die ganzen "Experten" in der ersten Reihe - egal ob Browserentwickler oder Sicherheitsexpernten, die immer ganz lautstark sich äußern, vergessen nämlich wirklich allzuoft den Alltag und was in IT-Abteilungen teilweise los sein kann und mit was für Dummheit der Angestellten man auch rechnen muss.

    Dazu kommt auch, dass Menschen Fehler machen und diese Fehler machen auch Sicherheitsexperten genau so wie die Entwickler und in der IT-Abteilung einer Firma, eines Vereines oder einer Behörde sitzen dann die Leute, die alles machen müssen, dass weder die Fehler der Experten noch die Fehlr der DAUs wirklich ernsthafte Konsequenzen haben.

    Der angemeldete Nutzer ist zu 90%, am heimischen PC, der Admin des PCs... Sollte man sich also zwei Benutzer anlegen? Der eine Admin und der andere Nutzer oder wie ist das gemeint? Bitte um Erleuchtung...

    Früher - also vor der UAC - war das in Windows quasi der Expertenratschlag, mit dem man die meisten Probleme direkt im Keim ersticken konnte. Seit der UAC hat sich das ein Stückweit entschärft, da Windows heute keinen Anwender mehr sofort mit Adminrechten auf die Maschine loslässt.

    Das Problem mit "Admin" + "Nutzer" war früher aber zum Teil die Software für Windows die damit nicht wirklich umgehen konnte. Seit der UAC hat sich das aber zum Glück geändert. Ist aber eine längere Geschichte!

  • Ach, bei den Virenscannern scheiden sich auch etwas die Geister und da geht es ja wirklich von Schlangöl und dass die ganzen ja ganz böse sind, bis zu dem Bereich, dass sie durchaus was bringen.

    Finde ich eigentlich auf dem Internet- und Mailgateway fast noch wichtiger als auf dem Endpoint. Ein Virenschutz auf dem Endpoint wird erst dann wieder spannend, wenn die einzelnen Komponenten alle zusammenspielen, und bspw. ein kompromittierter Endpoint aus dem WLAN oder aus dem VPN fliegt.

  • Finde ich eigentlich auf dem Internet- und Mailgateway fast noch wichtiger als auf dem Endpoint.

    Kommt darauf an, im Endeffekt gilt für einen Internet- & Mailgateway und einen "Virenscanner" dort quasi fast das gleiche wie für Virenscanner auf dem System: Die müssen sich quasi in die Verschlüsselung einklinken, was es wieder unsichrere macht.

    Das schon eigentlich tragikomische an der ganzen Sache mit den Virenscanner - egal wo - ist ja auch der Hauptkritikpunkt: Um gewisse Bereiche "sicher" zu machen, müssen die Sache vorher unsicher gemacht werden.

    Ich verfolge die Diskussionen um Virenscanner ja auch bereits nun 17 Jahre bewusst und mindestens 25 Jahre unbewusst und kenne da auch die Argumente von allen Seiten. Es gibt dabei gute Argumente auf jeder Seite. Ach die Welt ist so kompliziert geworden. Ich lass mich jetzt mal weiter von den Nutzern föhnen wegen 2G-Regelung. Holla, heute schon ein paar Spezis gehabt. XD

  • es ist sicherlich einfacher, wenn man (a) nicht auch das Framework maintained (da kümmern sich dann nämlich andere um die harte Arbeit) und man (b) eh nur auf der jeweils neuesten PHP-Version läuft und nicht den Spagat von PHP 7.2 bis 8.1 schaffen muss.

    Natürlich, ich wollte damit auch niemanden beleidigen.

    Das an so einem Update ein ganzer Rattenschwanz hängt, weiß ich nur zu gut und man kann nicht immer direkt zur nächsten springen, je nachdem wie das Produkt aufgebaut ist.

    Ich habe da ja einen sehr guten Vergleich eigentlich da ich ja zB Woltlab als auch Laravel kenne (mit dem ich hauptsächlich ja arbeite).

    Ein Framework wie das WCF zielt ja darauf ab für eine breite Masse zugänglich zu sein und auch entsprechend lange zu funktionieren ohne das man alle x-Monate da etwas ändern muss, weswegen ich es gerne als das Endkunden Framework sehe. Daran ist ja auch nichts verkehrt, und wie schwierig es ist da den Spagat zwischen Einführung neuer Funktionen und erhalt der Kompatibilität zu wahren, kenne ich mehr als genug von einem Projekt das ich betreue (das muss auf PHP7.4 laufen).

    Frameworks wie Symfony und Laravel, sehe ich nicht als Endkunden tauglich an, sondern mehr als Werkzeug auf dem Weg zum Endprodukt.

    Projekte:

    XIVDATA - Eorzea Database

    A red dragon falls from the heavens... Ah, that memory has been lost. A shame. It was a favorite of mine...

  • T- 5min o7

    Bitte bringen sie ihre Beiträge in eine aufrechte Position...Der Server landet gleich.

    "Cigarettes are like squirrels...

    They're perfectly harmless until you put one in your mouth and light it on fire"

  • Finde ich eigentlich auf dem Internet- und Mailgateway fast noch wichtiger als auf dem Endpoint. Ein Virenschutz auf dem Endpoint wird erst dann wieder spannend, wenn die einzelnen Komponenten alle zusammenspielen, und bspw. ein kompromittierter Endpoint aus dem WLAN oder aus dem VPN fliegt.

    Wenn du als Beispiel ein Dokumenten Management System hast und ein Dokument archivierst, was einen Virus enthaelt, dann liegt das Doc auf dem Archiv immer noch mit dem Virus.

    Da kann dann ein Virescanner auf dem Archive Server auch wenig tun. Vorallem weil wenn das Dokument auf dem Server direkt geloescht wuerde, beschwert sich der Nutzer, dass sein Dokument weg ist, da dann die Software einen Fehler meldet beim Archivieren.

    Richtig waere hier auf dem Endpoint einen Schutz zu haben (Defender unter Windows z.B.) welcher bereits dem Nutzer signalisiert das Doc geloescht oder in Quarantaene geschoben zu haben.

    Außerdem, wenn du jede Mail scannst dauert der Zugriff lange, weil die meisten Scanner die Datei dabei locken.

    Bei einem Kunden von uns wird das Internetgateway gescannt. Dadurch dauern seblst kleine Downloads sehr lange. Ist jetzt kein Beinbruch, aber schon spuerbar.

    Med venlig hilsen / Regards,

    Alex

    • Offizieller Beitrag

    Finde ich eigentlich auf dem Internet- und Mailgateway fast noch wichtiger als auf dem Endpoint.

    Nein, es muss gleichberechtigt sein. Zum einen möchte man so viele Verteidigungslinien wie möglich haben und zum anderen stellt jedes System eine potentielle Bedrohung dar. Wenn dein Gateway einen ungebetenen Gast nicht erwischt, kann dieser anschließend intern sein Unwesen treiben.

    Dieses "Zero Trust"-Modell wenden wir beispielsweise auch bei der WoltLab Cloud an. Alle Systeme vertrauen sich untereinander grundsätzlich nicht, so weigert sich beispielsweise ein Datenbank-Server grundsätzlich eine Verbindung von den HTTP-Load-Balancern anzunehmen. Jeglicher Traffic zwischen den verschiedenen Services ist stets mit einem eigenen Key verschlüsselt. Für die Authentifizierung setzen wir wo immer möglich auf Mutual-TLS, d.h. sowohl Client als auch Server authentifizieren sich gegenseitig mit TLS-Zertifikaten.

  • Nein, es muss gleichberechtigt sein. Zum einen möchte man so viele Verteidigungslinien wie möglich haben und zum anderen stellt jedes System eine potentielle Bedrohung dar. Wenn dein Gateway einen ungebetenen Gast nicht erwischt, kann dieser anschließend intern sein Unwesen treiben.

    Ich bleibe bei meiner Einschätzung. Aber ich möchte sie noch etwas präzisieren. Auf dem Gateway scannt man meist mit mehr als einem Virenschutz. Intern ist der Virenschutz auf dem Endpoint die zweite Verteidigungslinie. Einige Inhalte wird man überhaupt erst auf dem Endpoint erkennen: Den Inhalt verschlüsselter Archive oder den Inhalt verschlüsselter E-Mails beispielsweise (sofern man verschlüsselte E-Mails nicht bereits auf dem Gateway entschlüsselt). Gerade in dieser Zeit, in der sehr viele von heute auf morgen ins Home Office bzw. Mobile Office wechselten, wurde der Virenschutz auf dem Endpoint auch mitunter die erste Verteidigungslinie. Und USB-Sticks sind offenbar teilweise auch noch verbreitet und zugelassen.

    Richtig waere hier auf dem Endpoint einen Schutz zu haben (Defender unter Windows z.B.) welcher bereits dem Nutzer signalisiert das Doc geloescht oder in Quarantaene geschoben zu haben.

    Für den Benutzer sicher angenehm. Solange die IT davon erfährt...

    Außerdem, wenn du jede Mail scannst dauert der Zugriff lange, weil die meisten Scanner die Datei dabei locken.

    Naja, auf dem Gateway wird man sicherlich jede E-Mail überprüfen, das dauert nur wenige Sekunden, und verdächtige Anhänge in einer Sandbox öffnen, das kann dann schon mal ein paar Minuten dauern.

    Bei einem Kunden von uns wird das Internetgateway gescannt. Dadurch dauern seblst kleine Downloads sehr lange. Ist jetzt kein Beinbruch, aber schon spuerbar.

    Gut, das lässt sich massiv reduzieren, indem man das Internetgateway entsprechend groß dimensioniert.

  • So, und jetzt in der neuen Position im Dienst und gleich 4 Amtshandlungen heute Morgen und für 2 der Handlungen ein Daumenhoch vom Chef, so startet man gut in den ersten Arbeitstag!

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!