Sophos, Securepoint und anderer Sch#*+!

Da bin ich wieder!

Ja, ich bin echt nicht gut darin eine Sache dauerhaft durch zu ziehen…
Aus gegebenem Anlass aber mal wieder eine Anekdote aus meinem Berufsleben:

Nachdem wir schon einige Zeit (runde 5 Jahre) eine freie Firewall- /Proxylösung einsetzen ,und ich langsam aber sicher die Schnautze voll habe, habe ich entschieden, dass ich mir professionelle alternativen anschauen sollte.

Der erste und bekannteste Name der einem da vielleicht auffällt ist Sophos!
Riesen Firma, angefangen als Hersteller von Antiviren-Software, später geschickt erfolgreiche Firmen aufgekauft und deren Produkte weiterentwickelt.
Damit ist Sophos inzwischen unglaublich gut mit ihrer UTM (Unified Threat Management) die alles bietet was man sich bei einem Proxy wünschen kann.
Vor allem das neu eingeführte System mit dem Sophos REDs (Remote Ethernet Device) ist echt genial. Zuhause einfach ein kleines Gerät zwischen Rechner und Router und schon ist man per VPN in der Firma aktiv. Kein, und ich meine wirklich KEIN Aufwand für den Benutzer. Lediglich die RED muss vom Admin vorher mit der eigenen UTM verknüpftwerden. Fertig. Alles andere läuft analog zu Teamviewer über einen Server von Sophos.
Super Sache! Die zentrale Verwaltung vom Webfilter läuft dann in der UTM selbst. Dazu gibt es och eine Zentrale Software über die man die Client-Software der Firmenrechner ( und auch Smartphones) verwalten kann. Kenn man von anderen Antiviren-Systemen.

Hier gibt’s aber noch eine ganze Menge mehr. Zum Beispiel die Möglichkeit gezielt verschiedene Devices bei den Mitarbeitern abzuschalten.
Unglaublich praktisch! Beispiele:

Der Chef holt sich ständig mist über USB-Stick aufn Rechner:
Einfach alle USB-Geräte verbieten, die nicht vom Admin ausgegeben wurden!

Mitarbeiter hören Musik (was mich ja nicht stört aber die Geschäftsleitung kann es nicht wollen):
CD-Laufwerk Zugriff auf Audio-Dateien verbieten.

Mitarbeiter sollen nicht ausversehen dinge per Mail rausschicken in denen die Worte „Geheim“, „vertraulich“, „interner Gebraucht“ oder auch einfach Dinge wie „Einkaufspreis“ auftauchen:
Mailfilter darauf einstellen alles was diese Begriffe enthält zu blockieren, Sei es im Mailtext, PDF Anhang, Word Dokument, Txt, ganz egal.

Mitarbeiter hält sich für schlauer als der Admin und packt den Kram in eine Zip:
Schaut der Filter auch rein!

Mist… Ok, Zip mit Passwort!
Bleibt auch hängen und der Admin bekommt erstmal eine Meldung!

Des Admins Gott-komplex vollauf befriedigt!

Aber so schön wie das System ist, so teuer ist es leider auch.
Einem Chef zu erklären, warum die IT-Sicherheit plötzlich statt 0 Euro eine Summe jenseits der 500€ im Monat kosten soll, ist schwer und manchmal eben auch unmöglich…

Somit bin ich inzwischen bei einem zweiten Anbieter namens Securepoint Security Solutions gelandet.
Hier gibt es immer noch professionelle Hardware, schneller austausch, guter Support vom Hersteller und Partnern.
Wie schon vorher (da aber bisher unerwähnt) gab es vom Partner eine Leihstellung.
Es dauerte (zusammen mit einem Techniker der die UTM bei uns installierte) genau 30 Minuten bis wir uns erfolgreich aus der UTM ausgesperrt hatten und das System neu aufsetzen mussten. Ja, komlett neu installieren mit externem CD-Laufwerk und frisch gebranntem Datenträger.
Gut, kann passieren…
Die UTM ist schön zu bedienen und bietet ebenfalls sehr einfach einzurichtende VPN-Anbindung. Dinge wie die Mobile-Control von Sophos fehlen hier leider, kein Schnickschnack! Aber dafür ist die Nummer auch um einiges Günstiger.

Was aber nicht darüber hinwegtäuscht, dass ich es nach einigen Tagen auch hier geschafft habe mich aus dem System auszusperren…
Und ich wollte nur auf einer anderen Netzwerkschnittstelle ein zweites internes Netzwerk einrichten damit mir die Produktion nicht mehr meinen DHCP voll schreibt!

Aber gut, zum glück hatte sich der Techniker wohlweislich einen externen Zugang eingerichtet um alles wieder grade zu biegen.
Bisher bin ich sehr zufrieden. Geschwindigkeit von der Maschine ist gut und VPN klappt ganz hervorragend!
Die Möglichkeiten Inhalte zu sperren und gezielt wieder freizugeben ist ebenfalls etwas bequemer als mit der bisherigen pfSense-Lösung.

Ich hoffe ich denke dran und melde hier wenn ich die Securepoint UTM beim Chef durchbekommen habe 😀

So long,
euer Suntas

Windows Small Business Server 2011

Hallo ihr Lieben, nach langem doch noch mal ein Lebenszeichen von mir.
Ich habe es geschafft, die Firma ist nun im besitz eines nagelneuen DELL R510 inklusiv Windows SBS 2011!

Es geschehen noch Zeichen und Wunder, ich sag’s euch…
Damit hätte ich auch endlich ein Thema für meine Abschlussarbeit:
Migration von AD & Fileserver von SBS 2003 zu SBS 2011!

Klingt einfacher als es ist, musste ich feststellen. Aufbau der Server war zwar zeitaufwendig, aber nicht schwer. Bis ich feststellen durfte, dass man einen SBS 2011 nicht einfach MIT in eine Domäne hängen kann. Der SBS 2011 ist typisch Windows: Engstirnig und träge.

Man muss auf seinem mühsam am leben gehaltenen SBS 2003 alle Updates einspielen, diverse kleinen Installationen vornehmen und schlussendlich ein Tool zur Migration starten, an dessen ende ein Migration-File entsteht, der bei der SBS 2011 Installation dann eingelesen wird und SBS 2011 automatisch so konfiguriert wie zuvor den SBS 2003.

ERGO: Ich darf mal wieder am Wochenende herumexperimentieren und darauf hoffen, dass der SBS 2011 am ende wirklich alle Funktionen übernommen hat.
Am kritischsten sind hier eindeutig die AD-Konten, denn diese auf jedem Rechner wieder mit allen Einstellungen auszustatten ist eine kaum durchführbare, einer Hirn-OP gleichende und unfassbar dämliche Arbeit…

Ich für meinen teil hoffe auf eine ausgereifte Migrationsfunktion, auf das ich nicht wieder 6 Stunden umsonst in meinem brüllend warmen Serverraum sitze!
mfG
Euer Suntas

Wie man ein Windowsprofil vernichtet -Eine Einführung

Ja, ich habe es geschafft.

Einer meiner Kollegen hat seid kurzem zu Testzewcken eine SSD in seinem Firmenrechner. Gute Sache, wenn man bedenkt, dass er regelmäßig PSD-Files von rund 3 GB öffnet und bearbeitet.

Was ist also nun passiert?

Ich habe eine zweite Windows Installation auf die SSD gepackt, der Bootup ist rasant, Firefox öffnet sich innerhalb von 2 Sekunden (Ja, man fühlt sich zurückversetzt zu 3.0.6 Zeiten), aber wie das immer so ist mit neu aufgesetzten System: Sie sind eben neu aufgesetzt, blank, ohne jeder Einstellung!

Der Plan: Warum nicht einfach das Profilverzeichnis auf die Festplatte verlinken, auf dem sich das wunderbar voreingestellte Profil befindet?

Riesen Idee, gesagt, versucht!
Das Verdrehen funktioniert auch gut, nur leider macht Windows etwas völlig unerwartetes und SEHR unangenehmes: Er erkennt das Verzeichnis, erkennt die andere Windowsinstallation und ist beleidigt.
Zack, razeputz den Profilordner gesäubert von diesen ganzen unaufgefordert anwesenden Dateien, geht ja auch nicht an, dass dort schon was vorhanden ist, man ist schließlich Microsoft Betriebsystem, da kann man ja wohl ein wenig Freiraum verlangen.

Das Ergebnis ist also, dass das GESAMTE Profil gelöscht wird. Inklusive eigener Datei, Desktop, lokale Einstellungen, ALLES WEG!

Recuva sei dank, die Wiederherstellung auf eine andere Festplatte läuft grade….

Die Erkenntnis: Nie, wirklich nie davon ausgehen, dass Windows schon nix kaputt macht….

In diesem Sinne schöne Woche noch,

Euer Suntas

 

Teamviewer und seine Alternativen

Hey Leute, heute mal ein kurzer Ausflug zu TeamViewer!

Meine Firma hat bisher keine Lizenzen für dieses Programm bezogen, schließlich kam man gut ohne TeamViwer aus.

Da nun aber doch noch ein Kunde auf die glorreiche Idee kam sich per TeamViewer von uns helfen zu lassen kam man natürlich auf mich zu um nachzufragen, ob wir nicht schon eine Lizenz haben.

Muss sich Suntas also in en Lizenzdschungel von Microsoft begeben *Office 365 Trauma meldet sich lautstark*

Aber zu meiner Überraschung gestaltet sich das ganze recht einfach:

  1. Es gibt NUR Lifetime-Lizenzen.
    Nette Sache, man spart sich das ständige Lizenzprüfen, aber das schlägt sich auch im Preis nieder..
  2. Es gibt nur 3 verschiedene Versionen, die sich KLAR unterscheiden lassen.
    1. Buisiness: Darf auf 1 Rechner installiert werden, es kann immer nur 1 Session offen sein. Kosten -> 499€
      Ja, das ist die GÜNSTIGSTE.
    2. Premium: Darf auf beliebig vielen Installationen vornehmen, es kann immer noch nur 1 Session offen sein. Kosten -> 998€
      Zusätzlich gibt es hier noch Geplänkel wie eine Web Connector, eine Portable-Version von TeamViewer und die Möglichkeit eine menge Hosts in einer schicken Liste zu speichern, um sie jederzeit noch mal anzuwählen.
    3. Corporate: Beliebig viele Installationen, es dürfen ( wunder oh wunder) jetzt 3 Sessions gleichzeitig laufen!!! Riesig…
      Zu den features der Premium-Version bekommt man hier ein unglaublich hilfreiches MSI Paket, mit dem man Teamviewer in der ganzen Firma in einem Rutsch per GPO verteilen kann, total praktisch, wenn man zu faul ist sich das selber zu bauen.
      Ah, und Microsoft lässt sich in der letzten Version sogar dazu herab einem 12 Monate lang einen „Bevorzugten Support“ zu geben.
      Kosten -> 1.890€ ( und das ist scheinbar ein Angebot, denn darüber steht schelmisch ein durchgestrichenes 2194€)
  3. Man kann zu Business zusätzlich Lizenzen für berechtigte Arbeitsplätze erwerben. das Bedeutet man darf es auf dem Rechner installieren. Die Begrenzung auf die maximal 1 Session. Kosten: 99€ je Arbeitsplatz
  4. Bei Corporate kann man sich nun noch weitere Session-Kanäle dazukaufen. Sehr schön, wenn man denn 598€ je Kanal bezahlen will.

Man liest es vielleicht schon raus, aber das Lizenzkonzept hat mich jetzt nicht vom Hocker gehaun. Zu hohe Kosten bei zu wenigen Anfragen.
Kommt also der nächste logische Schritt: Man sucht sich eine freie Variante!

Gesagt, getan. Ich verwende in unserer Firma schon länger UltraVNC um schnell Kollegen zu helfen, die einfach zu weit weg sitzen, Faulheit ist Trumpf.

Nach einigem Googlen fand ich genau was gesucht war: UltraVNC SC (SingleClick)
Eine kleine EXE wird zum Kunden übermittelt, er öffnet sie, klickt auf den gewünschten Support-Mitarbeiter und wie aus Zauberei kann unser Supportler dann seinen Rechner sehen oder sogar steuern.
Ja, das war die Kundenseite, klingt super, nicht?
Für einen Administrator wie mich ist in diesem Fall aber etwas mehr zu tun.
Einen Zip-File von VNC herunterladen, Anpassungen für die eigene Adresse vornehmen, auf dem eigenen Router Portweiterleitungen schalten, damit der Kunde auch beim richtigen Kollegen landet, ein paar hilfreiche Sätze in die TXT-Datei klopfen und das ganze and en Webserver von UltraVNC senden, zurück bekommt man besagte EXE.

Es ist so einfach wie ich es hier grade geschrieben habe, insgesamt war es für mich ca. 1 Stunde Arbeit meinen Kollegen mit einer bei ihm installierten VNC-Version und der EXE zum connecten auszustatten.

Und nicht vergessen: Völlig Umsöß!

Wer mehr wissen will: http://www.uvnc.com/docs/uvnc-sc.html

Das wars schon wieder von mir, ich wünsche euch alles Gute!

Euer Suntas

Laptop-Portierung…..

Was passiert, wenn der Chef ein neues Laptop bekommt?
Nein, es war eigentlich nicht meine Idee, aber wenn das WLAN streikt und die 2 Jahre Garantie grade abgelaufen sind kommt man wohl nicht drum rum!

Im Prinzip ist alles ganz einfach, sofern man bereit ist das sich die Bedienung des Geräts ein wenig verändert….
Nach der Installation die Icons neu auf den Desktop drapieren, vielleicht sogar in ein neues Betriebsystem einfinden, für einen Technokraten.

Somit ist es bemerkenswert genug, dass mein Chef ohne große Gegenwehr einen Windows 7 Rechner angenommen hat.
Gut, ich musst vorher prüfen ob denn auch dein Adobe PageMaker 7 (2002) noch läuft, aber ich bin schon froh nicht wieder einen 1 zu 1 Windows XP Transfer vornehmen zu müssen.
Nach runden 6 Arbeitsstunden, gefühlten 300 Installationsvorgängen, wovon Adobe Master Suite CS5 wohl die nervenaufreibendste war (Zitat: „Ich könnte schwören der Balken war vor 10 Minuten sogar WEITER als jetzt!“), war ich schlussendlich am schlimmsten Punkt angekommen: Office 2007….

Alleine betrachtet ja ganz nett, eine Installation, Key drüber bügeln, fertig.
Ok, dann noch die Schriften ins System holen….
Und Standardschrift festlegen…
Ah, klar, die E-Mail Accounts übertragen, wobei… Moment, das ging ja ganz einfach mit der PST vom alten Rechner, die muss ich ja auch noch übertragen!
.pst File ist 16 GB groß, wohl doch ein wenig längerer Prozess.
30 Minuten Später hatte ich dann auch die PST auf dem neuen Laptop und oh Wunder, natürlich keine Accountdaten übertragen!
Also alles per Hand eingeben, zwischendurch fröhliches Passwortraten das in fröhlichem Passwort im Server zurücksetzen endete!
Signaturen übertragen, die liegen noch mal woanders!
Wieder mit USB-Stick zwischen Chef und neuem Laptop tingeln, hier kopieren, da einfügen und zuweisen…
Nennt mich weinerlich, aber verdammt noch mal warum steht das nicht einfach alles in EINEM Ordner, statt sich über die Halbe C:/ Platte zu verteilen!?

Kommen wir zum großen Finale des Ganzen:
Der Laptop ist eingerichtet, die Programme sind drauf und ich habe nur eine sehr kurze Liste von Anwendungen, welche NICHT unter Windows 7 betrieben werden können, und dazu sogar noch eine List von alternativen Anwendungen um die eben beschriebenen zu ersetzen. Triumph, dieses mal habe ich an alles gedacht!

Pustekuchen!
Eine winzige Kleinigkeit, die wohl keinem Nutzer aufgefallen wäre erschüttert die Grundfeste meiner Sicherheit:
„Herr Suntas, warum kommen da nicht mehr die Email-Adressen meiner Kontakte wenn ich die ersten Buchstaben eingeben?“
Gemeint ist die Autovervollständigung der Adressen in einer neuen Email…
Kein Mensch denkt, dass ein neu aufgesetztes System, egal wie gut es übertragen wird die Autovervollständigung übernimmt… Außer mein Chef.

Noch einmal 30 Minuten Recherche und etwa 10 Minuten Arbeit brachten das gewünschte Ergebnis. (Näheres dazu demnächst hier)

Und die Erkenntnis, dass man wohl immer etwas NICHT bedenkt…

In diesem Sinne,

Euer nachdenklicher Suntas

 

Under Construction

Willkommen auf Esser.To

Wer abgefilmte Kinoknaller in schlechter Qualität gesucht hat ist hier leider fasch!

Diese Seite dient alleine der Befriedigung meiner exibizionistischen Seite und den Erlebnissen aus meinem Alltag als Administrator eines mittelständischen Unternehmens.

Noch gibt es hier aber nicht viel zu sehen, die Seite befindet sich noch im Aufbau.

Bis bald also,

euer Suntas