magheinz

In Sachen Preis/Leistung leider total uninteressant. Konfigurier dir da mal was durch, da fällst du rückwärts vom Stuhl.

Was schwebt dir da vor? Wir haben vor einiger Zeit auch mal nach sowas gesucht und haben nichts wirklich sinnvolles gefunden.

Das kommt noch dazu. Wir hatten mal eine cloud-Teststellung bei der wir einen Desktop füe 3D-CAD per vmware horizon hatten. Da lief solid works beeindruckenf flüssig. Ich gehe davon aus, es gibt für jede Anforderung die entsprechende Karte. Die Frage ist nur, wie wirtschaftlich das ganze am Ende ist.

Wenn gleichzeitige Nutzer gewünscht sind, sind wir im Bereich der großen nvidia Ampere-Karten. Die A100 liegt irgendwo bei ca 25k€. Da kann man durchaus überlegen, mobile Grafikworkstations zu kaufen.

Was soll der Host sein? Eine GPU in echter Serverhardware ist teuer. Packst du einfach eine Workstations in den Serverraum, kannst du dir die Virtualisierungsschicht sparen.

Och, geht eigentlich. Die hier möglichen 400G sind fast nicht bezahlbar. Ansonsten: passenden SFP zum Gerät kaufen und dann ein Patchkabel dazwischen. Heutzutage kauft man doch eh nur noch cat6 und aufwärts. Wenn ihr das Thema häufiger habt, schau dir die Firma flexoptix an. Deren SFPs/DAC nutzen wir bei 90% der Verbindungen.

läuft einfach besser als teams, vor allem unter Linux. Dazu kommen die echt gut funktionierenden Desktop- und Raumlösungen. Ich sitze hier vor einem DeskPro und will das nicht mehr missen

Der Schulungsraum wird Büro, wegen Büroraumknappheit und die Schulungen können auch per webex erfolgen. Bei uns geht es ja nur um inhouse-Schulungen.

Wir nutzen opsi fürs deployment. Da gibts auch die Möglichkeit, die Rechner einmal Nachts neu aufzusetzen. Dann können die machem was sie wolle, am nächsten Tag beginnt das Spiel von vorne. Es gibt auch die Möglichkeit ein lokal gesichertes Image einzuspielen. Das liegt auf einer extra Partition und sollte schnell genug gehen um das mehrmals täglich zu machen. Wobei wir im Schulungsraum mittlerweile nur noch thinclients haben. Da kann man dann immer die für die jeweilige Schulung notwendigen VMs zur Verfügung stellen. Das hat die ganzen Schreibschutzdinge bei uns überflüssig gemacht. Und die Tage wird der Schulungsraum abgebaut, dann hat sich auch das erledigt...

Ist übrigens auch so bei MS dokumentiert und beschrieben: https://learn.microsoft.com/en-us/defender-endpoint/configure-extension-file-exclusions-microsoft-defender-antivirus#validate-exclusions-lists-with-the-eicar-test-file

Leg da einfach eine EICAR-Datei rein. https://de.wikipedia.org/wiki/EICAR-Testdatei und nenn sie "Testvirus.cdk" Wenn der Defender anschlägt, funktioniert der Ausschluss nicht.

https://support.microsoft.com/de-de/topic/hinzufügen-eines-dateityps-oder-eines-prozessausschlusses-zu-windows-security-e524cbc2-3975-63c2-f9d1-7c2eb5331e53 sollte also funktionieren. * ist eine "beliebige Anzahl von Zeichen https://learn.microsoft.com/de-de/defender-endpoint/configure-extension-file-exclusions-microsoft-defender-antivirus#use-wildcards-in-the-file-name-and-folder-path-or-extension-exclusion-lists gibt ne tabelle für die wildcards

Geht vielleicht C:\Users\Public\Documents\Test\DS\*\*.cdk ?

Und jetzt vergleich mal den Namen des damaligem CTOs von McAffee mit dem heutigen CEO von Crowdstrike. Der Typ hat enfach Erfahrung im Auslösen weltweiter Computerpannen.

Kommt die VM ins AD? Dann könnte man mit einem startupscript per gpo arbeiten. Erst alles installieren, dann domäne und per startupscript wird irgendwo eine fertig.txt abgelegt Oder du schaust dir mal opsi.org an. Das nutzen wir fürs OS-Deployment. Da wäre der ganze Deployvorgang dann im Logfile und das ganze ist per API auch ansprechbar, also automatisierbar.

Die Frage wäre also: was war die ursprüngliche geplante Nutzingsdauer und wie viele Jahre ist man schon drüber?

Hat Siemens nicht gerade erst Windows 3.11-Entwickler gesucht und brauchen die altem ICEs nicht auch noch Floppys für die Reservierungen? Das Problem ist einfach, IT-Produkte für 40/50 Jahre Laufzeit zu entwicklen. Da muss man ins blaue planen Das sind ja auch keine Spiel- und Bastelumgebungen. Da muss jede Hardware für den konkreten Einsatz zertifiziert sein. Schaut euch mal in der Industrie oder in Krankenhäusern um. An Produktionsmaschinen, Kraftwerkssteuerungen, MRTs etc ist auch oft noch Uralttechnik verbaut. Wann ist der letzte Geldautomat mit OS2 ungerüstet worden? Auch noch nicht so lange her. Wer hätte gedacht, das Vinylscheiben länger produziert werden als CDs?

Das ist eine Frage des Sicherheitskonzeptes. Man muss das ja nicht erlauben. Bei den Bundesbehörden gibt es dafür extra Thinclients, oder jetzt neu, Bootsticks. Bei den Bootsticks startet ein Linux-OS welches per Citrix den Zugang zu internen Netzen ermöglicht. https://www.ecos.de/produkte/remote-work Gegen die Hardware-Keylogger helfen dann User-Sensibilisierungen. Im Endeffekt ist es erst mal notwendig, festzulegen, welches Sicherheitsniveau man erreichen möchte/muss. Dazu ist auch durchaus eine Risikoanalyse sinnvoll. Wenn nämlich die Schutzmaßnahmen am Ende teurer sind als der potenzielle Schaden, dann bringt das ja auch nix. Oder andersherum gedacht: Dann weiß man, was die Sicherheit kosten darf. Das kann ja am Ende auch zu einem anderen ERP führen, oder einer zweiten Instanz nur für die externen oder oder oder.

Dafür müsstest du diese Geräte aber den Leuten zur Verfügung stellen. Das kann ja ein Thinclient unter deiner Kontrolle sein. Du wirst aber niemals, ohne physische Kontrolle über das Endgerät zu haben, den Abgriff von Zugangsdaten sicher verhindern können. Ein einfacher Keylogger im Tastaturkabel, und die Angreifer haben die Zugangsadaten. Das war doch bei irgendeiner Zeitung passiert? TAZ?

Und die vertreiben und bewerben die Produkte in eurem Namen? Dann gib ihnen keine Rechte auf Laufwerke. Das ist doch nichts anderes als bei internen Mitarbeitern. Die externen arbeiten doch auch auf einem zugenagelten und überwachten Gerät. Halt mehrere an einem, also einem Terminalserver. Womit sie darauf zugreifen, spielt doch sicherheitstechnisch keine Rolle. Alternativ stell ihnen die gleichen Geräte wie den internen zur Verfügung und mach bei denen dann RDP auf.

Das klingt mir langsam nach einem organisatorischen, statt nach einem technischen Problem. Wenn da so viel Misstrauen ist, dann müssen diese Leute halt unter Aufsicht arbeiten. Abgesehen davon: die sehen doch auch im Explorer nur die Dinge, zu denen sie Zugriff haben. Wie oft arbeiten die denn in dem System? Kann man da nicht jemanden drannsetzen, der die Sessions begleitet?

Ah ok. Ist wirklich zur warm hier... Man könnte versuchen die Applikation als Remoteapp von der Linuxkiste zu starten. Vorteil wäre, die Dienstleister hätten dann zwar ein AD-Konto, aber keinen direkten Zugriff auf die Windowsumgebungen. Manche Firewalls haben sowas such direkt als Clientless-VPN o.ä. integriert.

Hast du doch geschrieben. Was ist jetzt nötig für den Zugriff aus ERP? Ein Browser oder eine Windowsanwendung? Liegts an der Hitze hier bei mir?

unser VM-Template ist nach Franky erst mal grundsätzlich gehärtet. Da sind einige Dienste ausgeschaltet. https://www.frankysweb.de/windows-server-2022-absichern-hardening/ Da packt man halt Vertragsstrafen, NDAs etc mit rein. Wenn die aber wirklich nur die Webschnittstelle brauchen, dann pack denen doch eine Linuxkiste mit Browser und lokalen usern hin Da würde ich mir diesen ganzen Windows-Absicherungsstress ersparen. Die Kiste packst du in ein eigenes VLAN und lässt nur http(s) zu dem ERP und DNS zu deinen Nameservern zu. Zugang per VPN nur auf genau diesen einen Linuxrechner.

Irgendwie passt dieses Misstrauen den Leuten gegenüber und deren Tätigkeit nicht wirklich zusammen. Wenn ich Leute in mein Netz lassen muss denen ich misstraue, dann machen die das nicht unbeobachtet. Vertraue ich denen, gibts entsprechende Verträge. Alllerdings verstehe ich auch noch nicht wirklich was die Leute da tun sollen. Externe machen Angebote Aufträge etc über euer ERP? Da hätte ich ganz andere Bedenken als die Netzwerksicherheit. Oder seid ihr ein ERP-SAS-Anbieter?