Bereits 10853 Beiträge!
Consult the Consultant
Beitrag von codiac, am 28.08.2012
Durchschnittliches Voting: 3.268
Nicht lang ist es her, da bahnte sich meine Karriere durch ein Beratungsunternehmen für IT-Sicherheit. Der Geschäftsführer (GF) war ein hochintellektueller BSI-Grundschutz-Fan, der - man glaube es kaum - in IT-Sicherheit berät.
Seine interne IT bestand aus einem IT-Leiter, dem durchgängig eine Hand voll Azubis unterstellt waren. Neben Autowaschen, Wände streichen und Telefondienst waren sie auch für die Abwicklung aller möglicher interner IT-Leistungsprozesse zuständig, die alle feinsäuberlich in einem riesigen Word-Dokument namens EDV-Handbuch [sic!] dokumentiert waren.
Meine leidige Aufgabe war es nun, diese Prozesse nach Best-Practise auszurichten, diese mussten aber mehr als konform zum BSI-Grundschutz und billig sein. Fangen wir also an.
######################
# LEISTUNGSPROZESS 1
--------------------------------------
# User Configuration
######################
Problemstellung:
Ein Benutzer darf sich nicht selbst sein Profil (E-Mail, Proxy, Netzlaufwerke, etc.) einrichten, vielleicht kann er das auch nicht. Außerdem wäre er viel zu teuer, sodass man das schön die Azubis machen lässt.
Ursprungszustand:
Ein neuer Benutzer wird im Vorfeld komplett durchkonfiguriert und dann vom jeweiligen Anwender abgenommen.
interne Verbesserung:
1. Servergespeicherte Profile.
2. Alle Einstellungen wurden dokumentiert, damit man auch ja nichts vergisst.
empfohlene Lösung:
Gruppenrichtlinien. Einfach, transparent, klick-bunti zu handhaben, man muss eigentlich nur wissen, dass es die gibt.
Ist-Zustand:
Das Unternehmen ist gut durchgemanaged, alle Einstellungen sind von GF abgesegnet (freigegeben und genehmigt); nur noch der Firefox muss manuell konfiguriert werden.
######################
# LEISTUNGSPROZESS 2
--------------------------------------
# Serverwartung
######################
Problemstellung:
Manchmal muss man an einem Server Hand anlegen. Zum Beispiel, wenn er mal kaputt ist, oder ... man eine Richtlinie bearbeiten möchte. Oder so ...
Ursprungszustand:
Der IT-Leiter hat als einziger neben dem GF einen Schlüssel zum Kabuff aka Serverraum, das in dem Wohnhaus direkt über einem Badezimmer liegt. Jetzt kann er sich mithilfe von KVM-Switch, Maus, Tastatur und und Röntgenröhre an den Servern zuschaffen machen. Er muss aber aufpassen, dass er nicht in die Wassersammelschale der Klimaanlage tritt oder über den Uralt-Feuerlöscher stolpert, auf dessen Prüfsiegel man noch grob ein Hakenkreuz erkennen kann.
interne Verbesserung:
Der Feuerlöscher wurde in den Keller gestellt, bis er ins Museum für Industriegeschichte darf.
empfohlene Lösung:
Remote Desktop Protocol. Weg von der Turnschuhadministration, hin zur verschlüsselten Fernwartung. So kann man auch trennen, wer in den Serverraum darf und wer an dem Server arbeiten darf.
Ist-Zustand:
Nach vielen Vorbehalten, weil ja mal der Bundeschiffrierdienst (heute; Bundesamt für Sicherheit in der Informationstechnik, BSI) etwas gegen VNC hatte, konnte die Fernwartung durchgesetzt werden. Dazu musste leider erst mittels Spoofing gezeigt werden, dass das Kauderwelsch, das eine RDP-Verbindung erzeugt für GF keinen Sinn ergibt.
######################
# LEISTUNGSPROZESS 3
--------------------------------------
# Desktop Deployment
######################
Problemstellung:
Es gibt so Kollegen, die schaffen es regelmäßig, ihren Desktoprechner unbrauchbar zu machen - zum Beispiel, indem ein Duron 800 den Adobe Reader 10 nicht mehr so ganz stemmt. Da hilft nix: neukaufen und abschreiben. Denkste! Neuinstallieren!
Ursprungszustand:
Analog zu User-Configuration wurde dann alles schön manuell installiert. Auffällig war, dass manche Kisten trotz uralter Installationen immernoch sehr fit waren. Na ja, Office 97 und FireFox 1.5 sei dank!
interne Verbesserung:
Es wurde man mit Acronis oder einer anderen Home-Edition-Imaging-Software herumexperimentiert. Schließlich spart man sich ja auch so Aktivierungen von Software und Betriebssystem, nicht? Leider hat das auch ein paar Probleme verursacht, die sich keiner erklären konnte - außer demjenigen, der wusste, was eine Security Identifier ist.
empfohlene Lösung:
1) Neuanschaffungen
2) Windows Deployment, Softwareverteilung per GPO, übriger Aufwand ca. 1 Stunde
Ist-Zustand:
Es wurden ein paar Computer neu angeschafft. Natürlich wurde erstmal wieder mit Imaging-Programmen herumexperimentiert. Dafuq?
######################
# LEISTUNGSPROZESS 4
--------------------------------------
# Windows Updates
######################
Problemstellung:
Das BSI erklärt einem lang und breit, dass man doch bitte sicherstellen soll, dass Betriebssystemupdates zeitnah eingespielt werden sollen.
Ursprungszustand:
Der IT-Leiter macht Turnschuhadministration, vertreibt die Berater von ihren Computern, meldet sich als lokaler Admin an und lässt Windows Update durchlaufen.
interne Verbesserung:
Ein Azubi macht Turnschuhadministration, hofft, dass die Berater bald Mittag machen, meldet sich als lokaler Admin an und lässt Windows Update durchlaufen.
empfohlene Lösung:
WSUS. Ist per GPO als zuständiger Updateserver eingetragen, erlaubt Klick-Bunti-Administration, pflegeleicht, mit Reporting und so weiter ...
Ist-Zustand:
Hätte ich nicht eingetragen, dass Updates automatisch freigegeben werden, würden wahrscheinlich immernoch Updates von bis Februar 2012 verteilt.
######################
# LEISTUNGSPROZESS 5
--------------------------------------
# Passwortwechsel für
# Home Office User
######################
Problemstellung:
Organisatorisch-verbindlich vorgegeben und als einzige Gruppenrichtlinie vor meinem Auftreten konfiguriert war eine Passwortrichtlinie, die einen Passwortwechsel alle 90 Tage forderte. Bei Domain-Usern alles kein Problem; es gab da nur die Außendienstler, die mit einem besonders bösen "Ich verarsche mal Kerberos"-Trick gearbeitet haben.
Auf den Notebooks gab es einen lokalen Nutzer gleichen Namens und mit demselben Passwort wie im AD, mit er sich auch gegen die Ressourchen authentifizieren konnte. Dummerweise musste das Domänenpasswort regelmäßig geändert werden, was ohne interaktive Domänenanmeldung etwas schwierig ist.
Um sich ohne Anmeldefehler auch ohne DC zu bewegen, durften die ja kein Profil haben.
Ursprungszustand:
Die Benutzer meldeten sich beim IT-Leiter, der sie in den Serverraum führte, wo sie dann ihr Passwort ändern durften.
interne Verbesserung:
Nach Einführung von RDP durften sie ihr Passwort auch direkt am Arbeitsplatz des IT-Leiters ändern.
empfohlene Lösung:
Domänenbenutzer ohne Profil bzw. mit Profil, das aber komplett umgeleitet und offline-verfügbar ist.
Ist-Zustand:
s. "interne Verbesserung"
######################
# LEISTUNGSPROZESS 6
--------------------------------------
# Netzkonfiguration für
# Home Office User
######################
Problemstellung:
Die besagten Außendienstler, die auch im Home-Officec arbeiten, können leider IP, Gateway und DNS nicht selbst eintragen. Wozu auch, es gibt ja ... nein, gibt es nicht.
Ursprungszustand:
Aus SICHERHEITSGRÜNDEN gibt es ausschließlich statische IP-Adressen mit der gesamten anhängenden Konfigration, damit nicht ein Externer, der physisch (nein, WLAN gibt es nicht in der Firma, er muss schon mit Leiter und Stein bewaffnet sein) in das Netz kommt.
interne Verbesserung:
Für Homeoffice-User gibt es das Tool "IP Net Switch" oder so, mit dem die zwischen [böses Wort] im Home Office und einer statischen IP wechseln können.
empfohlene Lösung:
[Böses Wort, das mit dynamischer Konfiguration zu tun hat]
Ist-Zustand:
Es gibt eine kleine Böses-Wort-Range von 10 Adressen, damit beim Aufsetzen von Desktops nicht erst eine IP geraten werden muss und ein Adresskonflikt erzeugt wird.
######################
# LEISTUNGSPROZESS 7
--------------------------------------
# Backup
######################
Problemstellung:
Wie gesagt: das BSI empfiehlt ... Daten bitte regelmäßig sichern
Ursprungszustand:
Irgendeine Gammelsoftware arbeitet einmal in der Woche alle Freigaben ab, zippt sie in 4.2 GB-Häppchen und dann ab auf die DVD. Damit ist ein Azubi auch eine Woche beschäftigt. Rücksicherung dauert 1 Tag (unvollständig).
interne Verbesserung:
Irgendeine Gammelsoftware arbeitet einmal in der Woche alle Freigaben ab, zippt sie in 25 GB-Häppchen und dann ab auf die Blu-ray. Damit ist ein Azubi auch zwei Tage beschäftigt. Rücksicherung dauert 1/2 Tag (unvollständig).
empfohlene Lösung:
Bandsicherung mit BackupExec auf LTOs im Generationenprinzip (inkl. Systemstate und Agent für SQL-Datenbanken); die Wochenbänder werden mitgenommen und fertig.
Ist-Zustand:
GF hatte was gegen Bänder. Nicht nur wegen der rund 2000 Euro, die er in die Runde hätte werfen müssen, nein, er hat "damit schlechte Erfahrungen gemacht". Was kann ich denn dafür, dass ihm mal eine Datasette im Rekorder aufgespult worden ist? Mir wäre wichtiger, dass ich mein Unternehmen zügig und vollständig wieder ans Laufen bekomme.
Stattdessen wurde ein NAS mit 2 TB-Platten angeschafft, auf das bitte die Sicherungen aufnehmen soll.
Auf den Samba sollten dann die Backup-Häppchen geschoben werden - mit einer mordsmäßigen Performance.
Aus der Not wurde also eine Tugend: das NAS arbeitet als iSCSI-Target und befindet sich in einem anderen Brandabschnitt (als die DVDs, die in der Sonne braten). Der eine der Server ist zweiter DC und Fileserver, der per DFSR alle Shares auf sich selbst nochmals spiegelt. Sollte also einer der Server abrauchen, haben die noch etwas inder Hinterhand. Weiterhin missbraucht er die Windows-Serversicherung, um sich selbst auf das iSCSI-Target zu sichern. Damit können die immerhin ein paar Tage zurückgehen.
Zwischenzeitlich wurde übrigens beschlossen, regelmäßig eine der RAID1-Platten im NAS herauszurupfen und vom GF mitnehmen zu lassen. Eine andere Platte ist dann emsig damit beschäftigt, das Array wiederherzustellen. Ich bin mal gespannt, wielange das gut geht.
######################
# LEISTUNGSPROZESS 8
--------------------------------------
# Serverkonsolidierungs
######################
Problemstellung:
Viele Serverbleche, viel Strom.
Ursprungszustand:
Dieser Umstand gefiel GF mal gar nicht - zumindest, als er erfuhr, dass ein dedizierter Server mit Windows XP Home und Apache 1.3.? das Intranet hostet. Virtualisierung war zwischendrin schon Thema, wurde dann aber auch umgesetzt, als ein neues Datenbanksystem gebraucht wurde.
interne Verbesserung:
Ein Core i5 unter Windows 2003 SBS (x86) als DC in einer eigenen Domain mit eigenem Forest hostete VMware Server 2 (bekanntermaßen für Testzwecke, seit ca. 2008 nicht mehr unterstützt). Auf diesem Server liefen dann drei VMs: einmal das Datenbanksystem unter derselben 2003er-SBS-Lizenz wie der Hypervisor [*hüstel* 2003 SBS darf nicht virtualisiert werden */hüstel*], besagter Intranet-Server und eine weitere Maschine, dazu später mehr.
empfohlene Lösung:
Ein anständiger neuer Server [HARDWARE] mit echtem RAID-Controller, BBU, Xeon- oder Opteron-Prozessor, ECC-Speicher und los gehts mit ESXi.
Zu teuer! Opteron und ECC habe ich bekommen, den Rest nicht (BBU kannte der IT-Leiter wohl nicht, wozu dann Adaptec oder LSI?). Also Kommando zurück, denn VMware lässt sich von Fake-RAID nicht verarschen, zumal "LINUX" oder "UNIX", wie GF sagt, sowieso unbeliebt sind. Also her mit Hyper-V Server 2008 R2 und dadrauf dann alle VMs migriert.
Ist-Zustand:
Wie ich es verlassen habe ... glaube ich.
######################
# LEISTUNGSPROZESS 9
--------------------------------------
# Dateiindexierung
######################
Problemstellung:
Beizeiten entsinnt sich GF an einen ganz klugen Text, den er mal geschrieben hat, kann sich aber nicht entsinnen, wo er ihn abgelegt hat. Da muss etwas her, um ALLES zu durchsuchen.
Ursprungszustand:
Gerne wurde einer besagter Azubis damit beauftragt, mal nach Dateien zu suchen - mit mäßigem Erfolg, zumal er keine Zugriff auf alle Dateien hatte.
interne Verbesserung:
Der GF ist mal über Copernic Home Edition gestolpert. Tolle Sache, es legt nur gerne mal eine Index von 10 bis 15 GB an und ist damit voll zu vergessen - außerdem kostete die Profiversion > 0 . Das auf jedem Client zu installieren? Wer ist denn so wahnsinnig? Vor allem die CPU- und Netzwerklast ist für einen Duron schon eine harte Aufgabe (die mit Latinum, verstehen den Wortwitz). Also die magische dritte VM. So eine Art Fake-Terminal-Server, auf dem XP Pro mit besagter Software alle Netzlaufwerke durchsuchte und mit einem besonderen AD-User mit Leserechten per RDP verfügbar war. Dafuq?
empfohlene Lösung:
Pro-Version? NEIN! Windows Search bei indizierten Laufwerken, auf denen Freigaben liegen.
Ist-Zustand:
Es wird nicht genutzt. Einerseits beherrscht Windows Search nicht die tollen farblichen Hervorherbungen wie Windows Search, wenn man in den Ergebnissen nochmals mit Strg+F nachbessert, andererseits ... wurde mir auch nicht so beantwortet, dass ich es verstanden hätte.
######################
# LEISTUNGSPROZESS 10
--------------------------------------
# Namensauflösung
######################
Problemstellung:
Wer will schon wie zur Kaiserzeit alle IP-Adressen auswendig kennen? Dafür hat man ja Domain Names erfunden, nicht?
Ursprungszustand:
Es Das gefiel GF mal gar nicht - zumindest, als er erfuhr, dass ein dedizierter Server mit Windows XP Home und Apache 1.3.? das Intranet hostet. Virtualisierung war zwischendrin schon Thema, wurde dann aber auch umgesetzt, als ein neues Datenbanksystem gebraucht wurde. Zwischenzeitlich kursierten Merkzettel mit den IP-Adressen der Server, damit diese angesteuert werden können.
interne Verbesserung:
Bei der Einrichtung von Computern wurde stets eine präparierte Host-Datei importiert, die alle (Stand 2005) Adressen und Domainnamen von Servern enthält. Bei Migrationen musste dann übrigens mit C-Names herumgepfuscht werden.
empfohlene Lösung:
DNS des AD benutzen und eine Weiterleitung auf das Gateway für andere Adressen außerhalb der Domain benutzen.
Ist-Zustand:
Die [Böses Wort]-Clients kennen inzwischen die DCs als DNS, und sind glücklich. Die anderen kommen übrigens nur dadurch in die Domäne dadurch, dass das Gateway eine DNS-Weiterleitung für das lokale Subnetz an die DCs hat. Dafuq?
Leute, dieser Laden war auf dem Stand späten 80er/frühen 90er (in etwa, als der GF studiert hat). Alle genannten Maßnahmen sind kein Hexenwerk und haben außer Mühe nicht viel gekostet. Bestimmte Asbach-Weisheiten wie "E-Mails nur als Text lesen" konnte ich denen nicht austreiben, aber immerhin. Ich bin mal gespannt, wie das wieder laufen sollte ...
ACHTUNG Archivsystem!
Es sind keine neuen Einträge, Bewertungen oder Kommentare mehr möglich.
