-
GAMEPOD.hu
Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Új hozzászólás Aktív témák
-
inf3rno
Topikgazda
Okostelefonban egyáltalán van olyan, aminél van privát szféra? Gondolkodok egy buta telefonban, de kéne a GPS is, és néha rákeresnék a tömegközlekedés menetrendekre, ránéznék a fórumokra, közösségi médiára webes felületen. Szóval elég kényelmetlen lenne teljesen butával járni. Nekem már eleve az nem jön be, hogy gyakorlatilag mindegyiken előre telepített oprendszer van, és a gyártónak van root joga. Nehezen hihető, hogy ezt nem lehet utólagos telepítéssel megoldani, és hogy nincsenek szabvány protokollok szenzorokra, kamerára, GSM-re, stb.
Mostanában a kedvencem az volt, hogy a whatsapp webes felületéhez be kellett fényképezni egy QR kódot, és persze a whatsapp ehhez kamera használati jogot kért, ami úgy szépen ott is marad rajta.
Buliban hasznos! =]
-
inf3rno
Topikgazda
válasz Citroware #549 üzenetére
Én úgy gondolom, hogy nincs ilyen rejtett csatorna, és a te internet csomagodat használják erre. Szóval ha le van kapcsolva, akkor nincs adat forgalom. Utána gondolom csak egy darabig tudja gyűjteni, mert mégis véges a készülék tárhelye, memóriája. Hogy ez mennyi idő azt nehéz megmondani, mert teljesen attól függ, hogy milyen adatokat gyűjtenek.
Buliban hasznos! =]
-
addikt
És mi van olyankor, ha fontos cégen belüli értekezlet van, amin olyan dolgokról van szó, amik szigorúan titkos információk, és az ott lévő emberek felének a telefonja a zsebben, bekapcsolt internettel? Itt lehet szó bizonyos megállapodásokról, árakról, egy olyan titkos fejlesztésről amivel jövőre akarják meglepni a világot, vagy eddigi megvalósításoknak a receptje aminek a konkurencia nagyon örülne....
Vajon csak hirdetésre vannak felhasználva a beszédfelismeréssel lejegyzett adatok?
[ Szerkesztve ]
-
Egon
nagyúr
válasz Citroware #553 üzenetére
Minősített adatot kezelő helyiségekbe (I. és II. osztályú biztonsági területre) tilos mobiltelefont (illetve kép- vagy hangrögzítésre alkalmas eszközt) bevinni. Ez csak adminisztratív kontroll, nyilván nincs kikényszerítve, de működik. Jártam olyan egyeztetésen, ahol mindenkitől elkérték a mobilokat, mielőtt beléptünk az adott helyiségbe.
Ahol komoly üzleti titkokról csevegnek, gondolom hasonlóan járnak el."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Nehezen hiszem. Szinte minden részegységnek van firmware-e, amibe még akkor is elrejthető kémkedő kód, ha egyébként AOSP-t használsz.
A butatelefonokkal sem jársz sokkal jobban, már az okostelefonok ideje előtti utolsó, GPS-es szériáknál is nyomon lehetett követni a felhasználó mozgását, csak míg akkoriban még nem volt mobil internet, ma az a meglepő, ha nincs.
Még ha a butatelefonodban nincs is GPS, meg Internet, távolról akkor is bekapcsolható a mikrofon és a kamera, ha van. Cellainformációk alapján is bemérhetik a helyedet, egy háromszögelés pofon egyszerű.Ha el akarsz tűnni, akkor nem használsz telefont, számítógépet, bármilyen okos eszközt, bankkártyát, Google-t, Apple-t, Microsoftot, Amazont, Facebookot, a kínai szirszarokat and so on.
https://www.coreinfinity.tech
-
-
-
milu
aktív tag
Kinek mi a (szak)véleménye az összehasonlításról?
-
inf3rno
Topikgazda
Nekem annyi a véleményem az egész VPN témában, hogy bizalom kérdése, mert a szolgáltató látja a teljes forgalmadat. A legtöbb VPN egyébként nem is titkosít a szolgáltató és a géped között, csak annyit adnak, hogy használhatod az ő internet kapcsolatukat, szinte mint egy proxy. A konkrét Nord vs Express témában nyilván jobbnak tűnik a Nord.
Buliban hasznos! =]
-
Nem tudom, láttál-e már szétszedett, modern mobilt, de nem egyszerű feladat. Vékonyak, unibody ház, az alaplapon mindenhol van vmi bizbasz, amit könnyedén ki lehet nyírni.
Nem állítom, hogy lehetetlen, de szvsz ennél vannak jobb módszerek - a már említett Faraday-kalitka, előfizetsz Gmailre (ekkor nem scannelik sem az emaileket, sem a dokumentumaidat), odafigyelni arra, mit like-olsz, mit írsz le, mit osztasz meg, az alkalmazások engedélyeit minimálisra szorítani. Teljes privacy védelem már soha nem lesz, hacsak nem teszed, amit korábban leírtam.
https://www.coreinfinity.tech
-
inf3rno
Topikgazda
Nem láttam még. Próbáltam rákeresni, hátha valaki moddolt így mobilt, de semmit nem találtam, szóval valszeg tényleg nagyon nehéz feladat lehet.
A gmailt egyáltalán nem muszáj használni, mármint én céges dolgokhoz vettem domaint és email szolgáltatást magyar cégtől. Bármikor tudok írni mobil alkalmazást, ami 10 percenként megnézni, hogy jött e új email, igaz ez többet fogyaszt, mint az android vagy ios beépített dolgai, mert azok nem keltik fel a telefont miatta. Elvileg tudok csinálni olyan szervert is itthonra, gyakorlatilag majd kiderül. Nagyjából ilyesmi a cél, hogy minden, amire natív alkalmazást van menjen ki webes felületre, és saját szerverről tudjam meg, hogy van e új email, facebook, whatsapp, stb. üzenet, mert akkor nem férnek hozzá az egész mobilhoz, csak ahhoz, amit a böngésző nyújt és csak ideiglenesen. Maga a mobil oprendszer innentől meg nem annyira fontos, mert nem kellenek natív mobil alkalmazások.
Buliban hasznos! =]
-
Ha Androidos telefonod van, nem tudod elkerülni a Gmail használatát és nem mellesleg meglehetősen biztonságos is a Google-ön kívülről érkező támadásokkal szemben. Persze, biztonságot tekintve nem egy Protonmail vagy Tutanota, ahol még a szolgáltató, ha akarna sem tudna belenézni az emailekbe.
A többi részhez: nem tudom, megéri-e a saját szerver használata - gondolok itt arra, hogy a befektetés értéke nem haladja-e meg lényegesen a védendő információ értékét? Ötletnek mindenesetre jó.
https://www.coreinfinity.tech
-
inf3rno
Topikgazda
Szerintem nem éri meg, vagy max érzelmi értéke van a dolognak, hogy az ember vissza tudja szerezni a magánélete felett az irányítást legalább részben. Elképzelhető, hogy mindenhol megváltoztatom az email címemet az újra, és teljesen eltüntetem ezt a gmail-es fiókot. Kevésbé a bizalmasság erre az indokom, inkább a rendelkezésre állás, ami érdekes, mert volt, hogy nem fértem hozzá a leveleimhez pont egy olyan napon, amikor nagyon kellett volna. Ilyenkor nincs semmilyen jogi alapom, hogy felelősségre vonjam a céget szemben egy magyar céggel, aminél fizetek a szolgáltatásért és a rendelkezésre állásért. A magán levelek kevésbé fontosak ebből a szempontból, inkább a céges levelek, képzésekkel kapcsolatos levelek, amikre reagálni kell záros határidőn belül.
Buliban hasznos! =]
-
Egon
nagyúr
Az a kérdés, hogy mi a konkrét, pontos célod mindezzel.
Mióta már az egér mozgásából (sic!) is azonosítani tudnak, szvsz az egyetlen módozat az anonimitáshoz az, amit shadow kolléga ajánlott: vissza a digitális középkorba. Más út nincs. Ha ez kényelmetlen, vagy a határhaszon negatív, akkor értelemszerűen marad az elfogadás."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
inf3rno
Topikgazda
Nem az azonosítás a probléma, mert betolnak egy evercookiet a webes felületre, aztán azonosítva vagyok. A probléma, hogy hozzáférnek a mobilom szenzoraihoz az engedélyem nélkül. Ha a natív mobilalkalmazások helyett a webalkalmazásaikat használom böngészőből, akkor ezt nem tudják megtenni.
[ Szerkesztve ]
Buliban hasznos! =]
-
Apollyon
Korrektor
GrapheneOS alatt le lehet tiltani a szenzorokat is. De elég szűk a telefon kompatibilitási lista, gyakorlatilag minél újabb gúgli pixel. Csakúgy mint ez, a LineageOS is play.services (meg áruház, meg app-pakk) nélkül érkezik, de fel lehet tenni utólag, aki nem tud nélküle élni. play.services nélkül meg gmail fiók sem kell természetesen.
[ Szerkesztve ]
#1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.
-
inf3rno
Topikgazda
válasz Apollyon #568 üzenetére
A LineageOS-el van tapasztalatod? Mire lehet feltenni, és mennyire használható? Gondolkodtam már egy időben, vagy veszek telót és rámókolom, de kicsit ilyen hobbi opensource projekt benyomását keltette, hogy az elődje megszűnt, aztán valaki úgy döntött, hogy forkolja és mégis tovább viszi.
[ Szerkesztve ]
Buliban hasznos! =]
-
Apollyon
Korrektor
Kb. 5 éve használom, amikor kezdtem akkor még CyanogenMOD volt. Már az is gapps (google apps) nélkül jött, de akkor még nehezebben lehetett megoldani, ma már könnyedén van mindenre sokkal jobb alternatíva, mint a gúgel-féle zárt megoldások.
A jelenlegi telefonomat meg már úgy vettem, hogy LOS kompatibilis legyen, még a 15.1-es verzió volt a legfrissebb rá, pár hete viszont megérkezett a 18.1, ami már Android 11. Hetente jön új build, én csak havi 1x frissítek hogy meglegyen a security update, azt ennyi. Egyébként nagyon jól működik, nekem nem fagy se semmi gond, viszont LOS-ben nincs VOLTE, ezzel számolni kell. Illetve a szenzorokat ott sem lehet tiltani. Idővel váltani akarok GrapheneOS-re, ott van szenzor tiltás, de ahhoz kell vennem egy gúgel telefont, és amit most érdemes, az több mint 300 font, a jelenlegi meg kiszolgál (4 éves modell), de akkor is húz az új, mert a GOS sokkal tinfoil hat kompatibilisebb.))) Szerintem érdemes áttérni, lehet kifizetődő lesz pár év múlva, hogy kicsit jobban védted a privacy-d.#1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.
-
inf3rno
Topikgazda
válasz Apollyon #570 üzenetére
Az lenne még itt az érdekes, hogy vajon csak kiskapuk vannak a hardverben, Androidban, titkosításban, és az NSA csak akkor figyel meg, ha tényleg kíváncsiak rád, vagy azon a szinten is 24/7 mass surveillance van, mint mobil alkalmazásoknál, és igazán semmit nem érnek az ilyen intézkedések, mert Android alapú az OS és a Google gyártja a hardvert...
Buliban hasznos! =]
-
Apollyon
Korrektor
Elvileg passzív adatgyűjtés van, ergo ha csak egy átlagember vagy, akkor AI gyűjti az adatokat az általad használt alkalmazásokon keresztül (pl. gmail), de nem hinném, hogy ennél komolyabb lenne. Plusz állítólag az encrypted adatokat is gyűjtik, ha a jövőben valamilyen egyszerűbb módszer lenne a feltörésükre. De nyilván ezeket nem a te telefonodról szipkázzák le, hanem te magad járulsz hozzá az alkalmazások használatával.
Az, hogy ki gyártja a hw-t, nem sokat jelent, ha magán az eszközön lévő szoftver nem fog magától adatokat küldözgetni. Az lehet viszont, hogy ha célzottan támadnak, akkor majdnem ugyanúgy ki vagy téve a dolognak, mintha az eszköz gyári szoftverét használnád. De célzott megfigyelésnek szerintem nem épp mindenki esik áldozatul.
Másrészt az alap Android open source, tehát szabadon módosítható, a LOS és GOS így megbízhatónak tekinthető.#1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.
-
inf3rno
Topikgazda
válasz Apollyon #572 üzenetére
Hardver terén is azért vannak néha érdekes cikkek: [link] Valószínűnek tartom, hogy a célzott támadást nem lehet kivédeni sem a hardver, sem az OS miatt. Én is inkább a passzív adatgyűjtés ellen tennék valamit, az talán egy fokkal könnyebben megoldható.
Buliban hasznos! =]
-
-
inf3rno
Topikgazda
Szerettem volna központi naplózást pl syslog-ng-vel a szervezetnél, hogy egy helyen meg tudjam nézni a naplókat, de végülis belementem abba, hogy legyen active directory inkább, mert amennyire tudom annak a naplóját is akkor egy helyre gyűjti a munkaállomásokról, viszont AD-vel kb. semmi tapasztalatom nincsen. Tudnátok mondani róla pár szót, hogy mire kell figyelni, egyáltalán rendben van e ez így naplózás szempontjából? Nagyjából az lenne a cél, hogyha mondjuk egy fertőzött office fájlt megnyit valaki, és az elindít egy shell scriptet, azt vissza tudjam követni a naplókból, és be tudjam azonosítani, hogy melyik gépen melyik felhasználói fiókból követték el mindezt.
[ Szerkesztve ]
Buliban hasznos! =]
-
Na, néhány dolog: az AD nem egyszerű témakör, a Microsoft több száz oldalas tankönyveket ad ki róla. A security oldalára szintén :) Hosszú évek tapasztalata kell ahhoz, hogy AD-ben valaki otthonosan mozogjon, megértse a GPO működését, hogyan lehet jól felépíteni, managelni, működtetni.
A scenario, amit leírtál, még az AI-támogatott ngSIEM-eknek is kihívás - Q1-ben több ilyet is teszteltem, régi, ismert gyártók, valamint startupok termékeit.
Ugyanazt elérni manuálisan még nagyobb kihívás: file accessre kellene audit policy-t beállítani és bekapcsolni az auditor, de ez brutális mennyiségű logot generál, aminek a 99.5%-a zaj. Vagy legalábbis amikor még foglalkoztam AD-val, ez volt a helyzet.Az eddigi kommunikációdból az jön le, hogy tán vmi önkormányzatnál, vagy vmi kisebb állami szervezetnél csinálod ezt, ebből arra következtetek, hogy zsé nem lesz egy értelmes security monitoringra, így azt mondanám, ne elsősorban Windows Eventlog felől közelíts, hanem próbáld meg az EDR irányából elkapni az eseményeket.
Fenntartom a jogot, hogy AD-ügyben tévedek, mert - szerencsére - nagyon régen kellett már foglalkoznom vele.
https://www.coreinfinity.tech
-
inf3rno
Topikgazda
Kösz a tippeket! Le fogjuk mérni, hogy mennyit generál egy munkanap alatt, aztán eldől, hogy járható út e. Szeretnék naplót valahol 3-6 hónap közötti mennyiségről, ha reális áron megoldható, nem csak védelmi célból, hanem forenzikus célból is, hogy lássam mi történt, mi az, amin javítani kell a védelmen, és hogy kit terhel felelősség. A SIEM rendszer bevezetését egy kicsit csillagrombolónak érzem ide, inkább utólag elemeznék, mint real time valahol havi 1-4 alkalom között, ha nincs olyasmi, amire azonnal reagálni kell. Fél-automata megoldás így is használható. Az EDR is jó ötlet, esetleg tudsz ajánlani konkrét terméket is?
Buliban hasznos! =]
-
EDR: ne gondolj semmi extrára, Microsoft Defender üzenetei pont jók. Az utóbbi években nagyon sokat fejlesztettek rajta, szerves része a Windows védelmének.
Persze a komolyabb cuccok tudnak olyat, hogy a management felületről izolálod az endpointot és csak a rajta futó agenttel lehet kommunikálni.
[ Szerkesztve ]
https://www.coreinfinity.tech
-
inf3rno
Topikgazda
Köszi! Ez is nagyon hasznos. Igyekszem amit csak lehet minimál költségvetéssel megoldani, hogy az olyan dolgokra jusson pénz, amire tényleg muszáj költeni.
Az NKE-n azt oktatták, hogy a saját router az alap, hogy ne függjünk a szolgáltatói eszközöktől, azok frissítéseitől. Erről ti mit gondoltok?
Buliban hasznos! =]
-
-
inf3rno
Topikgazda
Érdekes lesz átverekedni az informatikusokon, mert éreztem már az első tárgyaláson is némi ellenállást ilyen alapvető dolgokkal kapcsolatban, hogy minden felhasználónak legyen külön fiókja a gépeken, ahova belépnek ahelyett, hogy egymás jelszavait használják. Számomra érthetetlen, hogy miért állnak ekkora önbizalommal a kérdéshez, amikor láthatóan nem értenek hozzá.
Nekem a routerrel kapcsolatban a legnagyobb kérdés, hogy milyet érdemes venni egy ekkora méretű szervezethez. Lógna rajta mondjuk 20 gép egyszerre, és menne az AD forgalma. Nagyjából gigabitre kéne tervezni. Már feltettem a kérdést a routeres topikban, de nem igazán kaptam választ. Mondjuk annyira nem is reméltem, mert inkább consumer grade termékekkel foglalkoznak, és nem business grade termékekkel.
Más kérdés, hogy szerintetek a hálózat szegmentálás mennyire érné meg egy ilyen kis szervezetnél? Én arra gondoltam, hogy legalább a wifit leválasztom külön VLAN-ba hosszú távon, és talán még a maradékot is szétszedem 2-3 felé, legalább úgy, hogy aki pénzzel foglalkozik az ne legyen azonos VLAN-on a többivel.
[ Szerkesztve ]
Buliban hasznos! =]
-
Nagy kérdés, hogy milyen informatikusokról beszélünk, de általában az a tapasztalatom, hogy a programozók szinte semmit nem értenek a biztonsághoz, a rendszergazdák között előfordulhat, hogy valaki konyít hozzá. Őket is meg lehet érteni egyébként, mert önmagában az AD managelése legalább 1 emberes feladat kis rendszer esetén, de gyakran a nyakukba kapják mellé az Exchange-et, meg a beszerzést, meg a fizikai kialakítást, ezek mellé még security-t is managelni nem fér be az idejükbe.
A hálózat szegmentálása mindenképpen javasolt, legalább úgy, ahogy említetted. Wifi külön, pénzesek külön - utóbbi nagy segítség pl. PCI compliance-ben is, plusz a hálózati forgalmak nem okozhatnak dugót.
MOD: a pénzes gépeket vezetékes eléréssel lásd el, semmi wifi.
A router kiválasztásánál mérd az igényekhez és a lehetőségekhez az eszközt. Small business-re még a drágább SOHO routereket ajánlják és ha nincs két internet vonalad, akkor felesleges olyat venni, ami tud failovert, mert nincs mire átállni.[ Szerkesztve ]
https://www.coreinfinity.tech
-
-
inf3rno
Topikgazda
Ők inkább a rendszergazda vonalat képviselik. A szegmentálást én is így gondolom, ők viszont azt mondták, hogy nem érdemes szétszedni ennyire kis szervezetnél, amiből azt gondolom, hogy nem értenek hozzá vagy nagyon nem akarnak dolgozni. Mindenesetre most nincs hálózati eszköz, amivel meg lehetne csinálni, de későbbre akarok ilyet.
A VPN-el az a baj, hogy OpenVPN, és azzal úgy tudom elég magas gépigény jár. A Mikrotiknél esetleg már lehet WireGuard, ami jóval hatékonyabb. Mondjuk én alapból Mikrotik eszközre gondoltam, lehet, hogy tudat alatt emiatt is.
[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
Egyébként minél többet gondolkodok erről a tárgyalásról az informatikusokkal, annál inkább az jön ki, hogy ezekkel nehéz lesz az élet, mert nyilvánvaló érdekellentét közöttünk, hogy ők a lehető legkevesebbet akarnak dolgozni a lehető legtöbb pénzért, és minden ami security, az nekik plusz munka. Volt némi ellenkezés, de úgy nagyjából mindenre bólogattak, aztán semmi nem történt azóta, és amíg nem kezdem el cseszegetni őket, addig nem is fog. Közben meg engem cseszegetnek adatvédelmi ügyekben, amiben meg kevésbé vagyok képben, úgyhogy kezd beindulni a daráló.
Buliban hasznos! =]
-
Egon
nagyúr
Ez nem teljesen így van, de részben jogos. Ha pl. nincs jogosultságkezelés, mindenkinek erős jogai vannak, akkor pl. lehet hogy az üzemeltetőnek (akit te informatikusnak hívsz) kétnaponta kell helyreállítania mentésből a fájlszervert, mert Mancika véletlenül letöröl mindent. Ezért elemi érdeke a lehető legkisebb jogosultság elve mentén kialakítani pl. az AD jogosultságokat.
Egyébként ajánlom tanulmányozásra a PPT modell ITSEC értelmezését (ahol te vagy a process, a people a felhasználó, a technology pedig értelemszerűen az üzemeltetés): ha ezt előadod nekik, talán felfogják hogy közös hajóban eveztek."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
inf3rno
Topikgazda
A loggolós vonalat továbbvíve, egy syslog-ng premium mibe kerül? (az oldalukon csak árajánlatot lehet kérni)
Itt írják, hogy a premiumban van csak WEC (igaz azóta már 2-3 év eltelt), és nagyjából arra van szükségem, ami a cikkben le van írva: [link] AD meg gyakorlatilag nem szükséges ezek alapján. Mondjuk megcsinálom agenttel is, csak több meló feltelepíteni a gépekre, mint ez a Windows protocollos pub-sub-os megoldás. Majd utánanézek mindjárt az agentes változatnak is, gondolom az sem egy atomreaktor.
[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
Nagyjából annyi van most, hogy van kb. 15 gép, amin be kell állítani felhasználói fiókokat és jogosultságokat. Van néhány gép, amin 3-4 fiók lesz, a többségén csak 1-2. Nem tudom, hogy van e értelme ide AD-nek, mármint ugye fentebb írtátok, hogy ennek azért ára van üzemben tartói oldalról. Én simán csak beállítanám a fiókokat és feltennék egy klienst minden gépre, ami a központi naplózóval kommunikál. Nem tűnik valami nagy munkának, talán 2-3 óra alatt megvan az összes, ha felkészül rá az ember. A szoftver nem mindegyik gépen egyforma, van néhány gép, amin pénzügyes szoftverek vannak, máshol sima ügyintézés zajlik, a legtöbbön ASP rendszer van. A legtöbbön látni felhasználói csoport specifikusan fájlt megosztást, illetve gondolom megvannak a nyomtatók, hogy ki melyikhez tud nyomtatást küldeni. Úgy nagyjából ennyi, amit most látok, de még az SZMSZ-en sem rágtam át magam és van egy EIR leltár is, amin szintén át kéne.
Buliban hasznos! =]
-
Egon
nagyúr
Hát igen, ilyen kevés gépnél valóban határeset, hogy kell-e AD.
Azonban azt gondold végig, hogy ha mondjuk egy év múlva szigorítanál pl. a jelszószabályokon (plusz egy karakter minimum jelszóhossz, satöbbi), akkor azt nem egy központi Domain Policy-ből tudod majd elvégezni, hanem szüttyöghetsz gépenként (még akkor is, ha biztosan lehet valahogy szkriptelni vagy valami)."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Igen, az AD-t a könnyebb központi managementre találták ki. A példádon túl, mi van, ha egy szoftvert minden gépre fel kell rakni, majd még egyet, még egyet...
Szvsz 15 gép már az a mennyiség, ahol érdemes AD-t rakni. Vagy ha azt nem, akkor legalább vmi konfig managementet, mint Salt. Egyébként is, nem lokális lemezen illik dolgozni, hanem hálózati meghajtón, mert kliensről nem készül backup, a szerverről meg igen.
https://www.coreinfinity.tech
-
inf3rno
Topikgazda
Nekem a legfőbb bajom, hogy nincs jogköröm, hogy bármit csináljak, és a rendszergazdaság ki lett outsourceolva, és a szerződésben kikötötték, hogy senki más nem nyúlhat a gépekhez. Már körülbelül 10x megcsináltam volna, amit akarok, helyette meg cseszegetnem kell őket, és talán esetleg megcsinálják valamikor 5 éven belül. Baromi frusztráló.
Buliban hasznos! =]
-
inf3rno
Topikgazda
Hát azért 15 gép nem a világ vége. Részben automatizálható a folyamat, ha írok egy shell scriptet rá, hogy ne kelljen végig kattintgatni a telepítőt, vagy ha olyan alkalmazás, akkor repoból is telepíthető, pl chocklatey. Beszórom a scriptet egy megoszott mappába, aztán rendszergazdaként belépek mindegyik gépre és elindítom. Mondjuk ez már üzemeltetés, egy kicsit off topic. Persze, azért értem, hogy jó az AD meg minden, de úgy adtátok elő, hogy baromi sok plusz munkával jár az üzemeltetése, és feleslegesen nem használnám, ha nem muszáj.
[ Szerkesztve ]
Buliban hasznos! =]
-
Egy jó AD-t nehéz megcsinálni, viszont utána kezes bárány. A rossz AD meg olyan, mintha nem is lenne.
Én egyébként nem mondtam, hogy sok munka az üzemeltetése, hanem azt, hogy baromi sokat kell tanulni hozzá és kell a tapasztalat is.Az AD-val többek között nem kell belépkedned minden gépre, hanem GPO-ból kitolod a silent installt - de ugyanezt meg lehet csinálni konfig managementtel is.
https://www.coreinfinity.tech
-
inf3rno
Topikgazda
Ja értem. Szerintem van tapasztalatuk vele, mert ők vetették fel, hogy feltesznek egy AD-t inkább syslog-ng helyett, mert ahhoz értenek, és azon is lehet központilag naplózni. Mondjuk nem tudom az utóbbiba miért nem akarnak beletanulni.
[ Szerkesztve ]
Buliban hasznos! =]
-
-
inf3rno
Topikgazda
Az AD bevezetésével kapcsolatban nekem igazán az a kérdésem, hogy működnek e a munkaállomások, ha nem működik az AD szerver? Az a benyomásom, hogy erre a válasz nem, és nem tennék be egy ilyen single point of failure-t a rendszerbe, ha meg lehet csinálni máshogy is, amit szeretnék. Ezen kívül a syslog-ng-nek van egy további előnye, hogy mindent is bele lehet gyűjteni, tehát nem kell a szerver, munkaállomások, tűzfal, EDR, stb. logjait, riasztásait külön kikeresnem, ami megkönnyíti a munkát. Mondjuk ezek csak benyomások egyelőre, még nem volt időm foglalkozni a konkrétumokkal.
[ Szerkesztve ]
Buliban hasznos! =]