- Samsung Galaxy A54 - türelemjáték
- Samsung Galaxy Watch7 - kötelező kör
- Android alkalmazások - szoftver kibeszélő topik
- Telekom mobilszolgáltatások
- Magisk
- Fotók, videók mobillal
- Megérkezett a Poco M6 Pro 4G
- Milyen okostelefont vegyek?
- Samsung Galaxy Watch (Tizen és Wear OS) ingyenes számlapok, kupon kódok
- Google Pixel 8 Pro - mestersége(s) az intelligencia
Új hozzászólás Aktív témák
-
anulu
félisten
Win-en SCCM-el (ha rendesen össze van rakva) akár self-service portal-al is tud a user magának appot telepíteni, és nem kell semmilyen elevált cucc a részéről. vagy a HD hozzárendeli a felhasználóhoz, és rövid időn belül ott lesz a gépén. akár localban, akár VPN-en, akár DirectAccess-en legyen.
és igen, ennek is az alapja az AD.
-
anulu
félisten
ez egész addig működhet, amíg a user nagy ívben elkerül minden Win based cuccot (AD, file share, akármi). ha meg nem tudja elkerülni, onnantól kell CAL és csak magatokat szívatjátok.
nem tudom, hol van a szerződésetek, de ahogy írod, hogy globális cég vagytok, lehet érdemes átrakni egy másik országba, és ott tárgyalni.
-
anulu
félisten
sorry, de azt kell mondjam, hogy akkor nem tárgyaltok elég jól. amúgy az is kérdés, hogy milyen supportot vesztek mellé. ha mittomén vesztek x server meg y client OS-t, az egy dolog, de sok egyébbel ez a költség csökkenthető.
persze, ennek csak és kizárólag akkor van értelme, ha a plusz-t valóban ki is használjátok, egyébként csak pénzkidobás.Exchange 2007 + ISA 2006 éra óta foglalkozom Exchange net felé publikálással. <kopp-kopp-kopp> soha nem volt ezen a layeren biztonsági incidensem. cserébe nem keveset anyáztam ha valami baromságot akartak megcsináltatni.
-
anulu
félisten
tudom, hogy láttál már sokmindent, ezt senki nem vonja kétségbe.
szerintem a felhasználót az érdekli, hogy ha elküld egy levelet, akkor az megérkezzen, és ha kap egyet, azt el tudja oldasni. ennyi és nem több. az, hogy csak a corp eszközéről, az max akkor lehet érdekes, ha máshonnan is akarja érni, az nem fog menni (ideális esetben).
nagy szervezetek a Win licenszeket fillérekért kapják. amit leírtam, abból jelentősebb költség max a MessageLabs (vagy bármi más ilyen portfoliójú cég) előfizetése lehet. cserébe a 25-ös portod előtt a FW-t úgy confolod fel, hogy csak az ő IP range-üktől fogad, minden mást eldob.
belül:
Win 2019 Standard: pár dollár/év
Edge: nem kell licenszelni
ADFS + WAP: OS része role-ként.wao, rohadt nagy költség mondjuk egy cégnek, amelyik évi sok-sok millió dollárt termel. cserébe a másik oldalon ha valami gond van, akkor MS pattan és addig melóznak rajta amíg megoldás nincs.
senki nem mondta, hogy tökéletesek az MS cuccok, személy szerint én is ipari hulladéknak tartok nagyon sok mindent (vagy legalábbis 1-1 server cucc bizonyos részeit).
arra kívántam rámutatni, hogy lett volna megoldás a kivédésre, első körben az, hogy levéded a rendszered. igen, valahogy ki és be kell, hogy menjen a levél, meg a userek el kell, hogy érjék.
nagyjából 10 éve foglalkozom kifejezetten Exchange-el. és tartom, hogy a sok hulladék között még mindig ez a leginkább enterprise-oknak való levelezési rendszer.
a nagy cégeknél azt látom amúgy fő problémának, hogy
a) aki hajlandó lenne vele úgy foglalkozni, ahogy kell, azt vagy nem fizetik meg és lelép vagy olyan dolgokat akarnak vele csináltatni, amihez nem hajlandó a nevét adni (és lelép), vagy a belét kidolgoztatják (és lelép)
b) kiviszik Indiába a L2/L3-at, merthogy "az ócsó", aztán vagy tudnak vele kezdeni valamit, vagy nem; az, hogy alul dől az egész, mert nem képesek rendben tartani az addig senkit a vezetésből nem érdekel amíg a levelek mennek és el tudják olvasni. a mérnöki gárdának meg rohadtul nincs rá ideje meg energiája, ergó azoknak kéne odafigyelni, akik bólogatni tudnak, ellentmondani ill saját véleményt megfogalmazni nem.
c) kifejezetten Exchange mérnököt már nagyon kevés helyen alkalmaznak, az meg méginkább fehér holló, aki tényleg szívvel-lélekkel csinálja. ez most meg is látszott. -
anulu
félisten
mondj olyan enterprise software-t, ami nem hemzseg az RCE-ktől.
nem kell ezer másikat mellé venni. csak végig kell gondolnia a cégnek (továbbra is enterprise-ról beszélünk, nem garázs cégekről), hogy mit is akar. általában előre gondolkodni olcsóbb, mint utólag tűzet oltani.
-
anulu
félisten
"bármilyen értelmes biztonsági szabványt betartva a mail szervered nincs neten"
nem kell a belső Exchange-et kirakni. erre van az Edge server. best practice alapján nem is rakod domainbe, szeparált VLAN, a belső Exchange-nek meg EdgeSync-el hitelesítve küldi a levelet. nem kell neki sem a 25 sem a 443-as port. ha meg megtörik (monjuk eljutnak odáig tűzfalon keresztül), akkor sem tudnak a VLAN-ból kijönni. megnézik a hosts-ban, hogy mik a belső serverek. ok. és? amúgymeg ezer és egy megoldás van arra, hogy ha történik egy serverre interaktív logon, akkor riportoljon, lelője a service-eket, mintegy védve a rendszert, akármi. valamint Edge-et ugye core serverre telepítünk, tovább csökkentve a támadási vektort.
ha meg nagyon ki kell tenni a client access-t, arra is van valag megoldás.
MS-ék az EXO-ra fókuszolnak, ez meg is látszik az on-prem cuccaik minőségén az elmúlt 2-3 évben. sima CU upgrade-nál lehet akkorákat szívni, hogy ihaj. akkor szoktam rá, hogy inkább server rebuild és új verzióval recover. minimálisan hosszabb idő, cserébe a régi hulladék local config beállítások nem maradnak ott aknamezőként.
-
anulu
félisten
2 dolgot tudok feltételezni, miért nem volt az EXO érintett:
a) a tenantodból nem tudsz kilépni, így nem tudod elérni SMB-n az EXO alatt futó servereket, így nem tudsz file-t írni/módosítani sem
b) attól, hogy tenant admin vagy, attól még nem vagy benne abban a groupban, amelyik local admin az Exchange servereken, ergó nem tudod módosítani a file rendszert. nincs jogod hozzá, az alatta futó Windows meg elhajt.rendesen szeparált jogkörökkel on-prem sem kellett volna, hogy ekkora problémát okozzon. szigurúan szerintem.
-
anulu
félisten
alap dolog: exchange-et nem teszünk ki magában a netre.
tudok sok és nagy, globális cégről, ahol
a) rohadt elavult technológia "védi" az exchange-et
vagy
b) az ég világon semmi nem védi.ettől függetlenül nem tartom kizártnak, hogy az ellopott kódokban találtak valamit, de tudok sok olyan cégről, ahol ugyan külön van elevated és non-elevated user-e egy adminnak, viszont az előbbinek is van OWA joga. onnantól meg social enginnering, és máris megnyitja az admin a levél csatolmányát, oszt' szevasz.
és amúgy ja, a legnagyobb cégek is viszik a "mérnöki" gárdát közel és távol keletre (meg a (khmmm) kettő közé), ahol bármilyen háttérismeret és ellenállási faktor nélkül (akár csak annyi, hogy írásban jelzi, hogy valamit nem kéne), szolgaian végrehajtják azt, amit valaki kitalál. igen, akár azt is, hogy bármi nélkül ki legyen b***va egy FBA-s OWA a netre (ahol ráadásul még domaint sem kell bepötyögni, csak user name és password.mert aki ért hozzá, az drága.
-
anulu
félisten
még1 dolog. mailboxot nem törlünk
akkor mennek a lecsóba nem csak a proxy addressek, hanem az X.500 is, azt meg nem akarod hajreállítani userenként. mivel elsődlegesen ezt használja az Outlook reply-to addressnek, ha nem találja a címzett ezen attribútumát AD-ban, akkor akkora felhasználói sírás lesz, amit nem akarsz kezelni. -
anulu
félisten
minek mailboxot törölni meg restore-olni? DAG átbillent, mehet a rebuild, setup /m:recover. nagyvállalatnál azért erősen illik, hogy legyen helyreállító script, ami minimál interakció mellett a base exchange felhúzása után helyrepofozza. ha meg nincs, akkor amíg a DAG member újratelepül, addig a többiről ki lehet szedni a namespace infokat, és simán meg lehet írni azt a 8-10 PS parancsot, ami gatyába rázza.
ha meg 1 server van, akkor licensz nélkül felhúzni még1et mellé, dag, átsync, prod server rebuild, visszasync. ahol 1 vas van, ott nem szokott nagy mennyiségű és méretű mailbox sem lenni.ha az alapok rendben vannak, és van vészforgatókönyv, akkor tökmindegy, hogy 4, 8 vagy 256 Exchange server van.
-
anulu
félisten
na ácsi. valóban volt egy olyan RCE, ami OWA-n keresztül, preparált attachmenttel tudott a serverre olyan backdoort telepíteni, ami NT AUTH nevében futott. csakhogy, ezt az MS már legalább 1-1,5 éve foltozta. (az meg a securitynak erős kukoricára térdepeltetés, ha ez be tudott jutni.)
a mostani esetnél az, hogy van a serveren egy help.aspx, amiből indul, annak valahogy oda kellett jutnia. ha pedig file szinten képes valaki odamásolni, és utána az owa.config-ot módosítani, az
1) nem az Exchange hibája
2) ott vannak sokkal súlyosabb problémák isvalszeg az Exchange Online azért nem érintett(?), mert nincs olyan együttállás, hogy user NTFS szinten hozzáférhessen a mail serverhez.
amúgy meg ja, a backdoor-t nem szedi le. vállalati környezetben egy mail server újrahúzása nem több 2-3 óránál, cakk und puder. mondjuk ehhez nem 2 tál rizsért alkalmazott "mérnökök" kellenek, hanem valaki, aki tudja mit csinál.
( sajnos 
)
akkor mennek a lecsóba nem csak a proxy addressek, hanem az X.500 is, azt meg nem akarod hajreállítani userenként. mivel elsődlegesen ezt használja az Outlook reply-to addressnek, ha nem találja a címzett ezen attribútumát AD-ban, akkor akkora felhasználói sírás lesz, amit nem akarsz kezelni.Új hozzászólás Aktív témák
Hirdetés
- Kecskemét és környéke adok-veszek-beszélgetek
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- Samsung Galaxy A54 - türelemjáték
- Samsung Galaxy Watch7 - kötelező kör
- Android alkalmazások - szoftver kibeszélő topik
- Milyen videókártyát?
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- AMD Ryzen 9 / 7 / 5 9***(X) "Zen 5" (AM5)
- Okos Otthon / Smart Home
- One otthoni szolgáltatások (TV, internet, telefon)
- További aktív témák...
- ÁRGARANCIA! Épített KomPhone Ryzen 5 7500F 32/64GB DDR5 RTX 5060 8GB GAMER PC termékbeszámítással
- Kingston ValueRAM 4GB DDR3 1333MHz KVR1333D3N9
- Bomba ár! Dell Latitude 7390 2in1 - i7-8G I 16GB I 256SSD I 13,3"FHD Touch I HDMI I Cam I W11 I Gar
- Bomba ár! Fujitsu LifeBook U757 - i3-7GEN I 16GB I 256SSD I 15,6" FHD I HDMI I Cam I W11 I Garancia!
- Kingmax 2x2GB DDR3 1333 RAM eladó
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: Promenade Publishing House Kft.
Város: Budapest