smashIt
master of disaster
|
nicht böse sein, aber das is schwachsinn
die kisten gehörn gepaptched und wems nicht passt soll sich bei intel beschweren
|
Denne
Here to stay
|
99,9% der Windows User hat absolut kein Plan was solche Themengebiete betrifft. Bin auch der Meinung, dass da die Sicherheit vorgeht. Und an wahrnehmbare Performanceeinbußen für die 0815 User glaube ich kaum.
|
mr.nice.
Moderatordifferential image maker
|
Die nächste Komplexität kommt hinzu, wenn sicherheitsrelevante Geräte nach den Patches nicht mehr wie gewohnt funktionieren.
Angefangen von AntiVirus Programmen über diverse Spezialanwendungen in Industrie und Gesundheit.
Da darf man dann nicht patchen, weil z.B. ein Ultraschallgerät nicht mehr funktionieren würde, die entsprechenden exploits aber schon publik sind.
|
Smut
takeover & ether
|
in dem fall kannst halt doch einiges über die system-architektur (netzwerk segmentierung udgl.) abfangen.
gerade bei krankenhäusern und medizinischen geräten ist das ja kein novum. dort wird viel mehr auf fixe releases (definierte patchstände) gesetzt die tw. vom hersteller abgenommen werden - wenn es denn derart kritisch ist.
|
mr.nice.
Moderatordifferential image maker
|
Ack smut, aber niedergelassene Ärzte und kleinere Kliniken haben vermutlich nicht immer das know-how, die man-power bzw. das Budget dafür.
Für Netwerkkomponenten und embedded systems, die ohnehin ressourcenmäßig knapp kalkuliert sind könnte meltdown zu einem vorzeitigen Ausscheiden führen, mal schauen wer da alles betroffen sein wird.
|
xaxoxix
Dagegen da eigene Meinung
|
ich kann nur sagen wie es bei unseren ca 400 kunden abläuft, die von uns betreut werden
wir haben vertragliche "beta" kunden, wir haben extremst einheitliche umgebungen (hw+unterbau+ad/gp struktur, eigene warenwirtschaftssystem+weitere eigene branchenlösungen), unter anderem mit wsus servern pro kunde, allerdings zentralen management über eigene software, nebst hp ilo amplifier pack - zentral bei uns (ca 450 server im mom, ca 4800-5700pcs) - grundsätlich müssen sämtliche umgebungen eine uptime (vertraglich) von 99,2% haben - das ganze vollautomatisiert - ohne zutun der kunden
die wsus werden alle zeitgesteuert synchronisiert mittels powershell und poshwsus
zuerst sind 3 beta kunden im direkten umfeld drann - gibt es keine grösseren probs wird auf 10 erhöht und dann auf die restlichen 10 - nachdem das bei den 20 gepasst hat, wird im 50er takt ausgerollt
allerdings - wie schon beschrieben sind ja auch bios updates von nöten und da ist natürich zu warten, bis hp die entsprechenden firmwares zu verfügung stellt
in summe natürlich eine sehr beängstigende situation - grade wenns um sehr sensible daten geht - wir klären entsprechend auf, raten den kunden im internet sehr vorsichtig zu sein - sprich alles was wir denken tun zu können
wie geht ihr mit der situation bei euren kunden um, tipps ?
|
semteX
begehrt die rostschaufel
|
in summe natürlich eine sehr beängstigende situation - grade wenns um sehr sensible daten geht - wir klären entsprechend auf, raten den kunden im internet sehr vorsichtig zu sein - sprich alles was wir denken tun zu können bei ner lücke die über JAVASCRIPT getriggert werdn kann, welche fröhlich über AD networks ausgeliefert werdn kann. gute nacht.
|
Chrissicom
Rise of the Ryzen
|
grundsätlich müssen sämtliche umgebungen eine uptime (vertraglich) von 99,2% haben Bei solchen Anforderungen gehe ich doch stark von redundanter Auslegeung einschließlich Geolokalisierung aller Systeme aus. Dann ist es doch "kein Problem" erst "RZ 1" offline zu nehmen und zu aktualsieren und danach "RZ 2". Klar macht Aufwand, aber wenn ich mir anschaue was wir als Auftraggeber für BSI konforme redundante RZ Leistung im Vergleich zu meinen privaten vServern für ein paar EUR die auch auf 99% uptime kommen bezahlen, darf man da jetzt wohl kompetentes Handeln erwarten. Nichts für ungut. Ich unterstelle jetzt mal das ihr 99,2% uptime nicht als low-cost verkauft.
|
xaxoxix
Dagegen da eigene Meinung
|
die 99,2 vertraglich kosten natürlich eine stange geld - kein reden - es sind fallover lösungen - wobei - dabei ging es eigentlich bei der frage oder der aussage auch nicht - ich wollte damit nur sagen, dass wir mit den patches sehr vorsichtig sind - gab schon einige anlassfälle dafür und dieses vorgehen wollte ich einfach teilen
bzgl jscript - türlich hast du dabei rech semtex, dass das ein schwieriges thema ist - deswegen ja auch meine frage - wie ihr das "surfen" bei euren kunden handhabt - von b2b verbindungen etc red ich nicht
|
Smut
takeover & ether
|
Bei 99,2 brauchst aber keine 2 Rechenzentren. Angenehmere SLA kann’s eh nicht geben.  patches - wenn angekündigt sind normal auch keine Verletzung der Verfügbarkeits SLA.
|
xaxoxix
Dagegen da eigene Meinung
|
irgendwie witzig - auf die frage wie ihr bei euren kunden mit dem surfen umgeht kommt nichts, dafür alles andere
|
spunz
Super ModeratorSuper Moderator
|
Im Grunde gibt es je nach Budget dazu diverse Spielereien wie Bromium, Carbon Black und diverse andere "NextGen" Lösungen. Im aktuellen Fall musst du wohl noch 1-2 Wochen auf entsprechende Patches für den Kram warten, ich vermute da kommen noch so einige ins Schwitzen  
|
mr.nice.
Moderatordifferential image maker
|
Bzgl. Browsing: Wir haben einen strengen webproxy im Einsatz, der vieles scriptbasierte per default blockt und die entsprechende site muss im Bedarfsfall von einem Admin, nach Prüfung, auf eine whitelist gesetzt werden. E-Mail Links werden auch auf Bösartigkeit geprüft und müssen gegebenenfalls freigeschaltet werden. Die Fehlerquote unserer kommerziellen Lösung hält sich in Grenzen. Browser werden grundsätzlich zeitnah gepatcht, Flash und Java klarerweise auch, lokale Adminrechte für User gibt es nicht.
|
Smut
takeover & ether
|
irgendwie witzig - auf die frage wie ihr bei euren kunden mit dem surfen umgeht kommt nichts, dafür alles andere es gibt keine bekannten exploits im Umlauf. dh mehr als den Tipp geben im Internet nur vertraute Seiten aufrufen, bei E-Mails links sowie attachments kritisch prüfen vor dem öffnen und Auffälligkeiten melden, kann man imho derzeit nicht machen - patches vorausgesetzt sofern vorhanden/möglich. Ist aber ein allgemein gültiger Tipp. Nosscript kann man als Technik affiner verwenden - enduser ist es imho nicht zuzumuten.
|
xaxoxix
Dagegen da eigene Meinung
|
dann deckt sich das ja ziemlich mit unserem vorgehen bzw security konzepten - auch wir setzen auf proxy incl. webfilter - und die kunden sind entsprechend sensibilisiert worden - wobei java/flash generell nicht erlaubt ist
sollte sonst noch jemand den heiligen gral inpeto haben, immer her damit
|
Anmeldung