this post was submitted on 30 Jan 2024
1 points (100.0% liked)

de_EDV

3805 readers
1 users here now

Ableger von r/de_EDV auf Lemmy.

News, Diskussionen und Hilfestellung zu Hard- und Software

Diese Community dient als Anlaufstelle für alle IT-Interessierten, egal ob Profi oder blutiger Anfänger. Stellt eure Fragen und tauscht euch aus!

Weitere IT Communitys:

[email protected]

[email protected]

[email protected]

[email protected]

founded 1 year ago
MODERATORS
you are viewing a single comment's thread
view the rest of the comments
[–] [email protected] 0 points 9 months ago* (last edited 9 months ago) (20 children)

«Eine Phishingmail kann den ganzen Betrieb lahmlegen»

Sorry, aber wer in einem millionenschweren Unternehmen (durchschnittlicher Bauernhof) IT einsetzt, sollte auch jemanden beauftragen, der sich damit auskennt.
Ein PC, mit dem man E-Mails öffnet, darf nicht im selben physischen Netz hängen wie die Melkroboter. Das Prinzip der physischen Netztrennung setzt bei uns jede Ein-Person-Psychotherapeuten-Praxis ein, das ist von einem Agrarbetrieb nicht zu viel verlangt.

Diese Massnahmen sind wichtig

  • Passwörter regelmässig ändern

Und dann stehen auch noch veraltete und falsche Informationen im Artikel.
Passwörter sollten nicht regelmäßig geändert werden, sie sollten durch 2-Faktor-Authentifizierung abgesichert werden. Und da wo das noch unmöglich ist, sollten sie einzigartig, sehr lang, und auch dem Anwender unbekannt sein (Passwort-Manager).

[–] [email protected] 0 points 9 months ago (5 children)

Wie funktioniert das mit 2 Faktor in einer Firma mit AD? Yubikey oder wie?

Wie verhinder ich dass die Leute den Stick im PC stecken lassen?

[–] [email protected] 0 points 9 months ago (4 children)

Ja. Die Leute dürfen den ruhig stecken lassen. Damit hat du schon den Besitz des PC als 2. Faktor.

[–] [email protected] 0 points 9 months ago* (last edited 9 months ago) (1 children)

Okay aber dann könnte ich doch über remote auf den PC oder und das Thema wäre erledigt oder?

Sorry das hatte ich glaube ich nicht genau genug geschrieben. Also wie läuft dass wenn Nutzer sich nur bei Windows anmelden müssen und dann direkt Zugriff auf alles haben (dms, mail, netzwerklaufwerk, etc.)?

Dann könnte ich ja trotzdem mich per remote verbinden (ist natürlich in der ad Richtlinie verboten) und mich anmelden mit dem einfachen passwort?

Die Benutzer laufen dann auch über die AD.

[–] [email protected] 0 points 9 months ago (1 children)

Du musst physisch auf den Yubikey draufdrücken um einen Zugangscode zu erstellen. Das geht nicht remote.

[–] [email protected] 0 points 9 months ago (1 children)

Sorry hast du die Änderungen eventuell nicht gesehen? Hast du zufällig eine Empfehlung für ein Gerät abgesehen vom yubikey? Sonst würde ich mir den yubikey kaufen:)

[–] [email protected] 0 points 9 months ago* (last edited 9 months ago)

Bei uns ist das so eingerichtet: mit dem AD Passwort allein kannst du dich am PC anmelden. Damit hast du nur Zugriff auf lokal gespeicherte Daten. Die Festplatte ist Bitlocker-Verschlüsselt um die Daten bei Diebstahl zu schützen. Remote-Zugriff ist deaktiviert und eine Endpoint Protection Lösung auf Basis einer Whitelist (Watchguard Adaptive Defense 360) schützt auch vor unbekannter Malware und Phishing Links. Ins Firmennetzwerk kommst du nur wenn du physisch in der Firma sitzt, dann ist der zweite Faktor der Ort. Oder über VPN, dafür ist der zweite Faktor der Yubikey. Der darf eingesteckt bleiben, muss dann aber bei Verlust des Laptops natürlich sofort gesperrt werden.
Alternativ zum Yubikey kannst du auch eine Authenticator App als 2FA für das VPN einrichten, dann muss aber auch das Handy entsprechend per MDM (z.B. Relution) abgesichert sein.

load more comments (2 replies)
load more comments (2 replies)
load more comments (16 replies)