Lui vind ik wel erg kort door de bocht (en een slechte vertaling van het stuk van ZDNet). Wat dacht je eerder van ondebezet en beperkt budget?

"Some administrators might be at fault, but then some corporate managers might be at fault for understaffing, under-budgeting, and under-empowering their IT staff to be able to handle the security of their network," Maiffret added.

Een beperkt budget om een gratis patch op te halen is wel zeer kort door de bocht. En onderbezet mag nooit een reden zijn om voor een veilig systeem zorg te dragen.

PietNL

de patch werkte niet eens.

Een beperkt budget kan ook betekenen dat een beheerder veel te veel machines onder zijn hoede heeft. Stel dat je 50 windows machines onder je beheer hebt waar ontwikkelaars administrator rechten op hebben. Vind jij maar eens uit waar wat op draait en welke patches van Microsoft je wel of niet moet uitvoeren.

(Hetzelfde geldt uiteraard voor UNIX machines btw)

Lijkt me erg naief om elke patch die door microsoft wordt uitgebracht meteen op je productie servers te installeren. Bij de meeste bedrijven gaat daar toch wel een traject van testen in ontwikkelings omgeving aanvooraf. Testen kost tijd = geld.

Matthijs

Ik heb vandaag van een familielid een e-mail gekregen, waarin het IT-bedrijf dezelfde maatregelen afkondigt als het Internet Storm Centrum. Kennelijk heeft systeembeheer ook daar een half jaar liggen slapen...

JE HOEFT MAAR OP 1 KNOP TE KLIKKEN: WINDOWS UPDATE. DAARNA GAAT ALLES AUTOMATISCH. MAAR ALS DAT AL TE MOEILIJK IS VOOR SYSTEEMBEHEERDERS, WAT DOEN JULLIE DAAR NOG DAN?????

ja......laat er nou alleen voor windows en office dat
er zijn. voor de rest.....knowledge base doorploegen
en zoeken naar:
- welk programma heb ik
- welke versie van dat programma
- welk os
- etc

en dan ook nog op andere sites:
- werkt het?
- zal het niet m'n server om zeep helpen
- zal het niet andere bugs introduceren
- etc

Waarom heb jij de "l4m3 c4p$l0cK" hotfix dan nog niet gedraaid? :-)

100% gelijk, het is niet alleen een kwestie van domweg die patch erop zetten want dan kan je er zeker van zijn dat het je ook de kop gaat kosten vroeger of later.

Al die M$ Security bugs patchen lukt ook niet, dan blijf je bezig. Je moet met zoveel dingen rekening houden, omdat het ook vaak mis gaat.

Gewoon een Linux firewall neerzetten, de hele zooi potdicht maken en 70% van je security problemen zijn opgelost.
Vervolgens zorgen dat je die firewall goed veilig houdt en je bent klaar. Ik zelf monitor hem de hele dag.
Natuurlijk wel in al je rapporten klagen dat die Windows servers zo onveilig zijn en ook dat probleem is opgelost qua aansprakelijkheid, omdat ze die toch niet willen vervangen door Linux of UNIX.
Denk dat het probleem meer in Windows zit, het is gewoon een ongestructureerd zooitje, is geen doen.
Zelf vind ik beveiliging het meest belangrijke van systeembeheer, maar zelfs ik waag me er niet aan om M$ veilig proberen te krijgen.

Hi

ikke: systeembeheerder 2 webservers 1 test omgeveving!!
alle drie volledig bijgehouden met auto-update!! elke updat wordt geinstalleerd!!!! nooit problemen alles potdicht!!

hoe kan het ik zaterdag toch op kantoor zat???.. lui...?? denkt het niet!! mischien had ome bill er gewoon voor moet zorgen dat de bugfix over de hele wereld iets mee prio kreeg!!!!!!

Dat komt misschien doordat je met auto-update niet alle updates krijgt?? Dit viel mij een tijdje geleden op met windows 2000.

Misschien handig om een URL te vermelden van dat 'update expert' progje dan, anders hebben we er nog niets aan ;)

Maar het voordeel van Linux is dat het veel transparanter en overzichtelijk is, alles staat in principe los van elkaar todat je het koppelt. Van windows weet je nooit wat het doet, hij doet teveel zelf.
En je kan met Linux precies bepalen welke services er draaien, omdat je alles zelf moet doen.
Kan bij Windows op zich ook wel, alleen staan er al snel te veel onderdeeltjes op waar je geen weet van hebt, zoals ActiveX, heb je dat ooit expliciet geinstalleerd? Of VB scripting, MS Scripting host, Windows Media player, om maar eens wat dingen op te noemen, maar toch veroorzaken die veel problemen met de beveiliging.

Bovendien, onder Linux draai je in principe nooit netwerk services onder root (terwijl dat onder windows niet echt goed anders kan), dus ook al gebruiken mensen een exploit op je, dan crashed gewoon die service en dan lukt het ze niet meer.

Het verschil zit hem er eigenlijk in dat ze beiden een geheel ander concept hebben.
Denk dat het grote probleem van Windows is dat het te gemakkelijk is.... Gemak gaat altijd ten koste van de beveiliging. Dat moet MS in principe zelf weten, alleen moeten ze niet gaan zitten zeggen dat het veilig is, want dat is bull imho.

heb goede ervaringen met HFNetchk van shavlik.com met 160 servers en zo'n 9000 PC's gedurende jaartje of anderhalf. Ja en onderbezet, 5 lege stoelen op een afdeling van 6 FTE's. Patchen voor alles, scheelt ook boel gebruikersprobs. Zat toch regelmatig met voeten omhoog 'na te denken'.

Maar regel1 = laat ontwikkelaars eigen bak beheren, en geef ze géén connectie naar buiten. Kunnen ze eigen bak niet beheren, moet je je afvragen of ze wel kunnen programmeren voor een platform dat ze niet snappen - en ik bedoel niet ja maar java programmeren is platformonafhankelijk, maar gewoon platform computer. Je kunt systemen van proggers nooit goed houden EN je krijgt van iedere fout de schuld.

Is toch van de zotte als je als beheerder achter sleuren en pleuren proggers de broek aan moet zitten. Als hun proggie niet meer werkt na update van e.e.a. hebben zij een probleem.

BAFH.

Heh... waarom sommige beheerders niet meteen patchen of op M$ Windowsupdate vertrouwen? Toevallig vandaag op Webwereld http://www.webwereld.nl/nieuws/14031.phtml weer zo'n mooi artikeltje gezien... een van hun patches maakt NT4 systemen instabiel...

En dat is niet de eerste keer, er is ook een patch (weet zo gauw niet meer welke) waarvan 3 versies zijn, de eerste 2 zijn bugged... maar aan de buitenkant kun je niet zien welke de goeie is! :rolleyes: