|
|
 | Sikring af vpn-klienter
Fra : Jens U. K. |
Dato : 26-01-04 11:44 |
|
Haves: "Normalt internt" netværk styret af W2k-servere med <100
windows-klienter opkoblet. En PIX adskiller dette netværk fra Internettet.
Ønskes: Tilgang til netværket over Internet fra windows-pc-klienter.
Min plan er:
- Klienterne skal kun have adgang via en vpn-forbindelse med tilpas god
kryptering (IPSEC med 3-DES evt. AES?!).
- Som adgangscheck er planlagt en windows radius-server (NT4-server) som
validerer angivet brugernavn og adgangskode. Alternativt/i samspil
overvejes en løsning med SecurID.
- For at undgå at brugeren (eller hans/hendes nevøer/niecer/oa.)
installerer alskens mærkværdige programmer er det tanken at klient-pc'en
udstyres med et skuffesystem til HDD og en skuffe indeholdende samme
konfiguration af pc'en som en intern pc (plus en vpn-klient). Hvis pc'en
skal bruges til ikke arbejdsrelevant arbejde (iow. nevøen skal lege),
skiftes skuffen ud med en sandkasse-skuffe, som kan hærges.
- Som en ekstra sikkerhedsforanstaltning overvejes det at installere
ZoneLabs Integrity (en statefull- og applikations-firewall styret fra en
central server). Programmet installeres på en server i huset, og kan
tildele en specifik konfiguration af vpn-klientens Integrity-firewall ifm
valideringen af vpn-forbindelsen. Således kan det fra en central server
styres, hvad der skal være muligt fra en klient.
Til ovenstående har jeg selv nogen spørgsmål...
Er det noget med at W2k-server via policies har en funktionalitet der
minder om Intgrity-produktet. Altså central styring af hvilke programmer
der må afvikles på en klient-pc og hvis det er en XP-klient, kan også den
indbyggede firewall styres?
Er der nogen der har kommentarer (og evt. erfaringer med f.eks.
hdd-skuffesystemet)
/Jens Ulrik
| |
 Kasper Dupont (26-01-2004)
| Kommentar
Fra : Kasper Dupont |
Dato : 26-01-04 13:24 |
|
"Jens U. K." wrote:
>
> Min plan er:
> - Klienterne skal kun have adgang via en vpn-forbindelse med tilpas god
> kryptering (IPSEC med 3-DES evt. AES?!).
3-DES har for små blokke og er i øvrigt ekstremt
langsom. Jeg ville foretrække AES fremfor 3-DES.
Hvis du vil bruge 3-DES bør du som minimum
sørge for, at der tit bliver genereret nye nøgler.
Som tommelfingerregel vil jeg anbefale nye nøgler
for hver 512KB data.
>
> - For at undgå at brugeren (eller hans/hendes nevøer/niecer/oa.)
> installerer alskens mærkværdige programmer er det tanken at klient-pc'en
> udstyres med et skuffesystem til HDD og en skuffe indeholdende samme
> konfiguration af pc'en som en intern pc (plus en vpn-klient). Hvis pc'en
> skal bruges til ikke arbejdsrelevant arbejde (iow. nevøen skal lege),
> skiftes skuffen ud med en sandkasse-skuffe, som kan hærges.
Det lyder som en udmærket plan. Du må dog ikke
glemme at være opmærksom på, om der kan rodes med
BIOS. Jeg går ud fra, at din VPN klient er lavet
i software. Jeg kan ikke lige gennemskue om
udskiftning af harddisk er sikkert, hvis du bruger
hardware VPN.
>
> Er der nogen der har kommentarer (og evt. erfaringer med f.eks.
> hdd-skuffesystemet)
Jeg har erfaringer med brug af harddisk skuffe, dog
ikke som en sikkerhedsforanstaltning. Der er i
princippet ingen forskel på at bruge en harddisk
skuffe, og at udskifte en harddisk, der sidder fast
i maskinen. Skuffen gør bare manøvren lidt nemmere.
Man skal naturligvis huske at slukke maskinen inden
man begynder at udskifte skuffen. Og jeg vil anbefale
en skuffe med blæser. Der kan monteres to blæsere. En
i rammen, der sidder fast i maskinen, og en anden i
den kasse med harddisken, som tages ud og ind. Jeg
vil mene, at en enkelt blæser er nok. Du bør have en
kasse til hver harddisk, da det er lidt besværligt
at sætte harddisken ned i kassen.
Jeg ved ikke om IDE hardisk skuffer er fuldstændigt
standardiseret, men alle dem jeg har set har været
ens bortset fra små detaljer som f.eks. om de var
med eller uden blæser.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Jens U. K. (26-01-2004)
| Kommentar
Fra : Jens U. K. |
Dato : 26-01-04 14:16 |
|
"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:401506E5.945BE5B8@daimi.au.dk...
> "Jens U. K." wrote:
> >
> > Min plan er:
> > - Klienterne skal kun have adgang via en vpn-forbindelse med tilpas
god
> > kryptering (IPSEC med 3-DES evt. AES?!).
>
> 3-DES har for små blokke og er i øvrigt ekstremt
> langsom. Jeg ville foretrække AES fremfor 3-DES.
> Hvis du vil bruge 3-DES bør du som minimum
> sørge for, at der tit bliver genereret nye nøgler.
> Som tommelfingerregel vil jeg anbefale nye nøgler
> for hver 512KB data.
Nåh, det kan være jeg lige skal få læst lidt op på AES.
> >
> > - For at undgå at brugeren (eller hans/hendes nevøer/niecer/oa.)
> > installerer alskens mærkværdige programmer er det tanken at
klient-pc'en
> > udstyres med et skuffesystem til HDD og en skuffe indeholdende samme
> > konfiguration af pc'en som en intern pc (plus en vpn-klient). Hvis
pc'en
> > skal bruges til ikke arbejdsrelevant arbejde (iow. nevøen skal lege),
> > skiftes skuffen ud med en sandkasse-skuffe, som kan hærges.
>
> Det lyder som en udmærket plan. Du må dog ikke
> glemme at være opmærksom på, om der kan rodes med
> BIOS.
Hvad tænker du på?
- Ændring af bootrækkefølge
- Boot-virus
> Jeg går ud fra, at din VPN klient er lavet
> i software.
Ja, det er en Cisco vpn3000-klient.
> > Er der nogen der har kommentarer (og evt. erfaringer med f.eks.
> > hdd-skuffesystemet)
>
> Jeg har erfaringer med brug af harddisk skuffe, dog
> ikke som en sikkerhedsforanstaltning. Der er i
> princippet ingen forskel på at bruge en harddisk
> skuffe, og at udskifte en harddisk, der sidder fast
> i maskinen.
Bortset fra stabiliteten, formentlig pga. varmeudvikling i skuffen, samt
de ekstra led fra disk til controller.
> Skuffen gør bare manøvren lidt nemmere.
Enig.
> Man skal naturligvis huske at slukke maskinen inden
> man begynder at udskifte skuffen. Og jeg vil anbefale
> en skuffe med blæser. Der kan monteres to blæsere. En
> i rammen, der sidder fast i maskinen, og en anden i
> den kasse med harddisken, som tages ud og ind. Jeg
> vil mene, at en enkelt blæser er nok.
Det er den slags erfaringer jeg er interesseret i at høre om. Hvorfor
mener du at der bør være blæsere osv. Er der nogen fabrikater der laver
dem støjsvage og stadig med effektiv køling.
> Du bør have en
> kasse til hver harddisk, da det er lidt besværligt
> at sætte harddisken ned i kassen.
Planen er at det ikke skal være muligt at "komme til" at have begge
skuffer i på samme tid. Derfor synes jeg kun at der skal være en kasse.
> Jeg ved ikke om IDE hardisk skuffer er fuldstændigt
> standardiseret, men alle dem jeg har set har været
> ens bortset fra små detaljer som f.eks. om de var
> med eller uden blæser.
Der er noget med master-/slave-indstilling som skulle kunne skabe
problemer. Hvis der nu kun er en controller, så skal det optiske drev
sidde slavemæssigt "rigtigt" sammen med skuffen.
/Jens UIrik
| |
 Kasper Dupont (26-01-2004)
| Kommentar
Fra : Kasper Dupont |
Dato : 26-01-04 15:33 |
|
"Jens U. K." wrote:
>
> "Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
> news:401506E5.945BE5B8@daimi.au.dk...
> >
> > Det lyder som en udmærket plan. Du må dog ikke
> > glemme at være opmærksom på, om der kan rodes med
> > BIOS.
>
> Hvad tænker du på?
> - Ændring af bootrækkefølge
> - Boot-virus
Begge dele. Ændring af indstillinger i CMOS kan
måske forhindre maskinen i at boote rigtigt, men
det kan næppe overføre noget skadeligt til
firmaets netværk. Man skal selvfølelig være
opmærksom på risikoen ved at have en floppy
sidende i drevet.
Forestil dig scenariet hvor et skadeligt program
inficerer floppyen og derefter ændrer CMOS, så
der bootes fra floppy. Derfra kan den beskyttede
harddisk bootes med et skadeligt program i RAM.
Et større problem er risikoen for, at et skadeligt
program lægger sig selv i BIOS, hvor det vil være
til stede når den beskyttede disk bootes. Prøv at
finde et bundkort, hvor BIOS fysisk kan
skrivebeskyttes.
Jeg har hørt om en virus, der ødelagde koden i
BIOS, men jeg har aldrig hørt om infektioner, der
spredede sig via en BIOS. Men i teorien er det
muligt.
>
> Bortset fra stabiliteten, formentlig pga. varmeudvikling i skuffen, samt
> de ekstra led fra disk til controller.
Det eneste elektronik i en harddisk skuffe er
to lysdioder som indikerer hhv om der er strøm
på og om der er aktivitet på IDE kanalen. Ellers
er det bare et kort ATA-66 forlænger kabel. Du
kan ikke bruge cable select, så drevet skal
sættes til enten master eller slave. Derudover
burde det være helt transperant for systemet, om
disken sidder i en skuffe eller direkte på IDE
kablet.
>
> > Man skal naturligvis huske at slukke maskinen inden
> > man begynder at udskifte skuffen. Og jeg vil anbefale
> > en skuffe med blæser. Der kan monteres to blæsere. En
> > i rammen, der sidder fast i maskinen, og en anden i
> > den kasse med harddisken, som tages ud og ind. Jeg
> > vil mene, at en enkelt blæser er nok.
>
> Det er den slags erfaringer jeg er interesseret i at høre om. Hvorfor
> mener du at der bør være blæsere osv.
Nogle harddiske bliver meget varme. En harddisk
placeret i en skuffe har sværere med at komme
af med varmen end en harddisk placeret i den
sædvanlige metalramme inde i kabinettet.
Så vidt jeg husker er skuffer uden blæsere
officielt kun beregnet til harddiske på max
5400rpm.
En enkelt blæser kan holde harddiskens temperatur
lavere end den ville have været uden skuffe.
> Er der nogen fabrikater der laver
> dem støjsvage og stadig med effektiv køling.
Der må jeg blive dig svar skyldigt. Man kan
evt. købe blæserne i løsvægt.
>
> > Du bør have en
> > kasse til hver harddisk, da det er lidt besværligt
> > at sætte harddisken ned i kassen.
>
> Planen er at det ikke skal være muligt at "komme til" at have begge
> skuffer i på samme tid. Derfor synes jeg kun at der skal være en kasse.
Jeg har åbenbart ikke forklaret mig tydligt nok.
En harddisk skuffe består af to dele. En ramme,
der monteres i maskinen, og en kasse med låg,
der kan tages ud og ind af rammen. Jeg foreslår,
at du har to af disse kasser, men stadig kun en
ramme i maskinen. Så kan man ikke komme til at
sætte begge i på en gang.
>
> > Jeg ved ikke om IDE hardisk skuffer er fuldstændigt
> > standardiseret, men alle dem jeg har set har været
> > ens bortset fra små detaljer som f.eks. om de var
> > med eller uden blæser.
>
> Der er noget med master-/slave-indstilling som skulle kunne skabe
> problemer. Hvis der nu kun er en controller, så skal det optiske drev
> sidde slavemæssigt "rigtigt" sammen med skuffen.
Jeg har tit kørt med en konfiguration, hvor jeg
har et CDROM drev konfigureret som master sidende
på samme IDE kanal som harddisk skuffen. Så skal
den harddisk man sætter i skuffen bare være sat
som slave. Det burde også kunne fungere omvendt,
altså med CDROM som slave og harddisk i skuffe
som master. Så skal man bare ikke forvente, at
maskinen booter uden harddisk. Det optimale er
selvfølgelig at konfigurere alle sine drev som
master og aldrig køre med mere end et drev på
hver IDE kanal.
Hvad har du af IDE enheder i maskinerne, hvor
mange IDE kanaler har den?
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Jens U. K. (30-01-2004)
| Kommentar
Fra : Jens U. K. |
Dato : 30-01-04 13:48 |
|
"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:40152534.42E8096A@daimi.au.dk...
> "Jens U. K." wrote:
> >
> > "Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
> > news:401506E5.945BE5B8@daimi.au.dk...
> > >
[...]
> > > Du bør have en
> > > kasse til hver harddisk, da det er lidt besværligt
> > > at sætte harddisken ned i kassen.
> >
> > Planen er at det ikke skal være muligt at "komme til" at have begge
> > skuffer i på samme tid. Derfor synes jeg kun at der skal være en
kasse.
>
> Jeg har åbenbart ikke forklaret mig tydligt nok.
>
> En harddisk skuffe består af to dele. En ramme,
> der monteres i maskinen, og en kasse med låg,
> der kan tages ud og ind af rammen. Jeg foreslår,
> at du har to af disse kasser, men stadig kun en
> ramme i maskinen. Så kan man ikke komme til at
> sætte begge i på en gang.
Vi er enige!
>
> >
> > > Jeg ved ikke om IDE hardisk skuffer er fuldstændigt
> > > standardiseret, men alle dem jeg har set har været
> > > ens bortset fra små detaljer som f.eks. om de var
> > > med eller uden blæser.
> >
> > Der er noget med master-/slave-indstilling som skulle kunne skabe
> > problemer. Hvis der nu kun er en controller, så skal det optiske drev
> > sidde slavemæssigt "rigtigt" sammen med skuffen.
>
> Jeg har tit kørt med en konfiguration, hvor jeg
> har et CDROM drev konfigureret som master sidende
> på samme IDE kanal som harddisk skuffen. Så skal
> den harddisk man sætter i skuffen bare være sat
> som slave. Det burde også kunne fungere omvendt,
> altså med CDROM som slave og harddisk i skuffe
> som master. Så skal man bare ikke forvente, at
> maskinen booter uden harddisk. Det optimale er
> selvfølgelig at konfigurere alle sine drev som
> master og aldrig køre med mere end et drev på
> hver IDE kanal.
>
> Hvad har du af IDE enheder i maskinerne, hvor
> mange IDE kanaler har den?
Maskinen er ikke købt endnu, men skal indeholde et optisk drev og en
"skuffe", altså vil de fleste MB's kunne køre HDD på den ene IDE kanal og
optisk drev på den anden.
/Jens Ulrik
| |
Kasper Dupont (30-01-2004)
| Kommentar
Fra : Kasper Dupont |
Dato : 30-01-04 16:58 |
|
"Jens U. K." wrote:
>
> Maskinen er ikke købt endnu, men skal indeholde et optisk drev og en
> "skuffe", altså vil de fleste MB's kunne køre HDD på den ene IDE kanal og
> optisk drev på den anden.
Der findes nogle meget små motherboards, som kun
har en IDE kanal. Men de fleste har mig bekendt to.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Christian E. Lysel (27-01-2004)
| Kommentar
Fra : Christian E. Lysel |
Dato : 27-01-04 00:30 |
|
In article <Jq8Rb.1719$uX7.1435@news.get2net.dk>, Jens U. K. wrote:
> Ja, det er en Cisco vpn3000-klient.
Prøv at kik på hvordan klienten gemmer sin
konfiguration på harddisken.
Prøv endvidere at kopiere den over
på en anden maskine.
>> Man skal naturligvis huske at slukke maskinen inden
>> man begynder at udskifte skuffen. Og jeg vil anbefale
>> en skuffe med blæser. Der kan monteres to blæsere. En
>> i rammen, der sidder fast i maskinen, og en anden i
>> den kasse med harddisken, som tages ud og ind. Jeg
>> vil mene, at en enkelt blæser er nok.
>
> Det er den slags erfaringer jeg er interesseret i at høre om. Hvorfor
> mener du at der bør være blæsere osv. Er der nogen fabrikater der laver
> dem støjsvage og stadig med effektiv køling.
I min levetid har jeg brændt én IDE kontroller af for nyeligt, så
jeg er også begyndt at slukke PC'en før jeg skifter diske.
> Planen er at det ikke skal være muligt at "komme til" at have begge
> skuffer i på samme tid. Derfor synes jeg kun at der skal være en kasse.
Enig.
> Der er noget med master-/slave-indstilling som skulle kunne skabe
> problemer. Hvis der nu kun er en controller, så skal det optiske drev
> sidde slavemæssigt "rigtigt" sammen med skuffen.
Ellers kan den sidde på controller nr 2.
--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/
| |
Jens U. K. (30-01-2004)
| Kommentar
Fra : Jens U. K. |
Dato : 30-01-04 10:38 |
|
"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
news:slrnc1b8og.jp0.chel@weebo.dmz.spindelnet.dk...
> In article <Jq8Rb.1719$uX7.1435@news.get2net.dk>, Jens U. K. wrote:
> > Ja, det er en Cisco vpn3000-klient.
>
> Prøv at kik på hvordan klienten gemmer sin
> konfiguration på harddisken.
>
> Prøv endvidere at kopiere den over
> på en anden maskine.
Hvor vil du hen?
/Jens Ulrik
| |
Christian E. Lysel (30-01-2004)
| Kommentar
Fra : Christian E. Lysel |
Dato : 30-01-04 16:17 |
|
In article <xBpSb.2006$aM6.1288@news.get2net.dk>, Jens U. K. wrote:
>> Prøv endvidere at kopiere den over
>> på en anden maskine.
>
> Hvor vil du hen?
Hvis du kan kopiere filen over på en angribers maskine,
er det eneste der forhindre denne adgang til dit netværk
typisk et statisk password.
--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/
| |
TDC (26-01-2004)
| Kommentar
Fra : TDC |
Dato : 26-01-04 20:40 |
|
Mht. harddiskskuffe, så bruger jeg en bootmanager, og skjuler den modsatte
partition.
Arbejds-partitionen beskyttes med password, så resten af familien ikke kan
komme ind i denne, men kun i "private" partitionen.
I den forbindelse har jeg lige for et par dage siden fundet "Smart Boot
Manager", som er freeware. Brugte før PowerQuest's Boot manager.
"Jens U. K." <1jk2@3bsopatent4.dk> wrote in message
news:cc6Rb.1289$z86.670@news.get2net.dk...
> Haves: "Normalt internt" netværk styret af W2k-servere med <100
> windows-klienter opkoblet. En PIX adskiller dette netværk fra Internettet.
>
> Ønskes: Tilgang til netværket over Internet fra windows-pc-klienter.
>
> Min plan er:
> - Klienterne skal kun have adgang via en vpn-forbindelse med tilpas god
> kryptering (IPSEC med 3-DES evt. AES?!).
>
> - Som adgangscheck er planlagt en windows radius-server (NT4-server) som
> validerer angivet brugernavn og adgangskode. Alternativt/i samspil
> overvejes en løsning med SecurID.
>
> - For at undgå at brugeren (eller hans/hendes nevøer/niecer/oa.)
> installerer alskens mærkværdige programmer er det tanken at klient-pc'en
> udstyres med et skuffesystem til HDD og en skuffe indeholdende samme
> konfiguration af pc'en som en intern pc (plus en vpn-klient). Hvis pc'en
> skal bruges til ikke arbejdsrelevant arbejde (iow. nevøen skal lege),
> skiftes skuffen ud med en sandkasse-skuffe, som kan hærges.
>
> - Som en ekstra sikkerhedsforanstaltning overvejes det at installere
> ZoneLabs Integrity (en statefull- og applikations-firewall styret fra en
> central server). Programmet installeres på en server i huset, og kan
> tildele en specifik konfiguration af vpn-klientens Integrity-firewall ifm
> valideringen af vpn-forbindelsen. Således kan det fra en central server
> styres, hvad der skal være muligt fra en klient.
>
> Til ovenstående har jeg selv nogen spørgsmål...
> Er det noget med at W2k-server via policies har en funktionalitet der
> minder om Intgrity-produktet. Altså central styring af hvilke programmer
> der må afvikles på en klient-pc og hvis det er en XP-klient, kan også den
> indbyggede firewall styres?
>
> Er der nogen der har kommentarer (og evt. erfaringer med f.eks.
> hdd-skuffesystemet)
>
> /Jens Ulrik
>
| |
Kasper Dupont (27-01-2004)
| Kommentar
Fra : Kasper Dupont |
Dato : 27-01-04 06:01 |
|
TDC wrote:
>
> Mht. harddiskskuffe, så bruger jeg en bootmanager, og skjuler den modsatte
> partition.
> Arbejds-partitionen beskyttes med password, så resten af familien ikke kan
> komme ind i denne, men kun i "private" partitionen.
Det er ikke sikkert. En "skjult" partition er ikke
spor skjult. Der står bare en anden værdi i type
feltet. (Der bliver lagt 16 til). Bootmanageren
kan selvfølgelig også gøre noget andet end at
markere partitionen som skjult, den kan slette
partitionen og oprette den igen ved opstart med et
andet valg. Men uanset hvad den gør, så kan det
omgås. Hvis partitionen faktisk er krypteret med
et password, så er et skadeligt program nødt til
at lægge sig en som en del af bootmanageren, så
det ligger klart når passwordet bliver indtastet.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Christian E. Lysel (27-01-2004)
| Kommentar
Fra : Christian E. Lysel |
Dato : 27-01-04 00:26 |
|
In article <cc6Rb.1289$z86.670@news.get2net.dk>, Jens U. K. wrote:
> Min plan er:
> - Klienterne skal kun have adgang via en vpn-forbindelse med tilpas god
> kryptering (IPSEC med 3-DES evt. AES?!).
Det er trivielt.
Skal dette også virke bag en NAT enhed?
> - Som adgangscheck er planlagt en windows radius-server (NT4-server) som
> validerer angivet brugernavn og adgangskode. Alternativt/i samspil
> overvejes en løsning med SecurID.
Dette plejer også at være trivielt.
> - For at undgå at brugeren (eller hans/hendes nevøer/niecer/oa.)
> installerer alskens mærkværdige programmer er det tanken at klient-pc'en
> udstyres med et skuffesystem til HDD og en skuffe indeholdende samme
> konfiguration af pc'en som en intern pc (plus en vpn-klient). Hvis pc'en
> skal bruges til ikke arbejdsrelevant arbejde (iow. nevøen skal lege),
> skiftes skuffen ud med en sandkasse-skuffe, som kan hærges.
Du opnår måske ikke ovenstående, blot fordi du køber nogle skuffer.
Husk evt. at have nogle ghost (eller ligende) images liggende, hvis
brugeren alligevel smader deres installation.
> - Som en ekstra sikkerhedsforanstaltning overvejes det at installere
> ZoneLabs Integrity (en statefull- og applikations-firewall styret fra en
> central server). Programmet installeres på en server i huset, og kan
> tildele en specifik konfiguration af vpn-klientens Integrity-firewall ifm
> valideringen af vpn-forbindelsen. Således kan det fra en central server
> styres, hvad der skal være muligt fra en klient.
Dette indeholde mangle vpn klienter idag....andre tillade man laver en
universe tunnel, således at alt trafik bliver routeret til Jeres
centrale vpn server, bagved denne kan i placere form
for firewall der kan håndtere "skumle" pakker (hvilket specielt er en
god idée hvis i bruger universe reglen).
> Til ovenstående har jeg selv nogen spørgsmål...
> Er det noget med at W2k-server via policies har en funktionalitet der
> minder om Intgrity-produktet. Altså central styring af hvilke programmer
> der må afvikles på en klient-pc og hvis det er en XP-klient, kan også den
> indbyggede firewall styres?
Ja, men prøv en windows gruppe.
> Er der nogen der har kommentarer (og evt. erfaringer med f.eks.
> hdd-skuffesystemet)
Skuffer er rare at arbejde med, men forhindre ikke folk i at blive
angrebet, grundet dumhed/uvidenhed, konfigurations fejl eller software fejl.
Dit forrige spørgsmål kan forhindre nogle af problemstillingerne.
--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/
| |
|
|