Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Zojuist gehacked, help alsjeblieft!

18-02-2015, 18:12 door Amar123, 32 reacties
Ik was al een paar uur op mijn PC totdat iemand mijn PC begon te besturen, hij verwijderde allemaal bestanden, zette mijn muis en toetsenbord uit... Nadat hij klaar was druke ik op de windowsknop en alles was verwijderd, Windows Defender etc. Kan iemand mij uitleggen wat ik het beste kan doen om het terug te krijgen? Recovery CD gebruiken? (Windows 8) Alvast bedankt.
Reacties (32)
18-02-2015, 18:14 door Anoniem
PC ontkoppelen van internet

Windows helemaal schoon installeren, dus harde schijf opnieuw formateren, of,, een andere inbouwen, en helemaal
schoon en opnieuw beginnen.
18-02-2015, 18:19 door Anoniem
MIsschien een stomme vraag .. maar als je allemaal rare dingen ziet gebeuren op je pc waarom haal je er dan niet de netwerk verbinding uit.. of zet je hem uit ?

Volgens mij zit er in Win 8 een optie om je pc naar het eerste opstartpunt te herstellen..
hier meer info : http://windows.microsoft.com/nl-NL/windows-8/restore-refresh-reset-pc
18-02-2015, 18:42 door Anoniem
Je weet dus zelf niet hoe het heeft kunnen gebeuren, wie het gedaan kan hebben, of je niet toevallig zelf een remote achterdeur open hebt laten staan, en zo verder. Hoe denk je dan dat wildvreemden die niet jouw computer onder hun neus hebben dat dan wel weten?

Je had wellicht beter gelijk de netwerkkabel er uit kunnen trekken en vervolgens een professionele windowsoplapdienst bestellen. Als je het ziet gebeuren en je laat het gebeuren wordt de schade alleen maar groter natuurlijk.

Nu? Ach, er zijn wat mogelijkheden, ligt maar net aan de situatie wat handig is. De meest zekere aanpak is een professional te laten kijken wat er nou echt gebeurd is en hoe het heeft kunnen gebeuren, om vervolgens met een verse installatie te beginnen, en dan al je bestanden van de meest recente backup terugzetten (en die ook nakijken op achterdeurtjes).
18-02-2015, 20:02 door mcb
Je hebt toch niet dit bericht geplaats vanaf die pc mag ik hopen.
Staat die pc aan? Zo ja, meteen uit zetten en uit laten!
De rest van mijn post mag je lezen vanaf een andere pc/tablet/telefoon.

Reden:
- Als je pc uit staat kunnen er geen verdere malware besmettingen en/of hackpogingen plaatsvinden.
- Bestanden die zijn verwijderd (zelfs met shift-delete) kunnen met de juiste recouverytools terug worden gehaald zolang de ruimte die ze innamen niet inmiddels overschreven is.

Als een bestand wordt verwijderd, wordt alleen de entry in de MFT gemarkeerd als zijn "leeg". In het nederlands betekent dit dat de inhoud van het bestand niet wordt verwijderd maar alleen de verwijzing daar naar.
Recovery tools kunnen dit terughalen.

Heb je al je bestanden ook op een stick of in de cloud staan?
Zo ja kan je het best alles wissen en helemaal opnieuw beginnen.
Je zegt een recovery cd te hebben.
Bedoel je daarmee de installatie cd gekrgen bij je pc toen je 'm kocht?
Zo ja, dan wist deze je harde schijf (en daarmee ook de Remote Acces Trojan waarmee de hacker jouw pc heeft overgenomen) en begint helemaal opnieuw.

Heb je niet alle bestanden als backup op een stick of in de cloud staan en zit er iets belangrijks tussen wat je absoluut niet wilt kwijtraken, dan zal je recovery tools moeten gebruiken.
Let wel, tools die runnen vanaf een live cd. Gebruik geen tools die je eerst moet installeren.
Je moet sowieso niet van je harde schijf opstarten. Iedere schrijfactie zorgt ervoor dat minder data kan worden teruggehaald.
Daarnaast is nog steed die RAT actief. Dat moet je niet willen.
De recover tool je bestanden naar een schone usb stick zetten, daarna alsnog pc wissen en schoon installeren.

Ga liever naar een kennis die verstand van computers heeft en laat die een live cd downloaden op zijn pc, cd branden of op een bootable stick zetten en laat die kennis je pc daarmee opstarten.
Of ga naar een pc winkel en kijk wat die voor je kunnen betekenen.

Geen belangrijke data? Dan pc wissen en opnieuw beginnen.
18-02-2015, 20:18 door Anoniem
Door Anoniem: Je weet dus zelf niet hoe het heeft kunnen gebeuren, wie het gedaan kan hebben, of je niet toevallig zelf een remote achterdeur open hebt laten staan, en zo verder. Hoe denk je dan dat wildvreemden die niet jouw computer onder hun neus hebben dat dan wel weten?

Je had wellicht beter gelijk de netwerkkabel er uit kunnen trekken en vervolgens een professionele windowsoplapdienst bestellen. Als je het ziet gebeuren en je laat het gebeuren wordt de schade alleen maar groter natuurlijk.

Nu? Ach, er zijn wat mogelijkheden, ligt maar net aan de situatie wat handig is. De meest zekere aanpak is een professional te laten kijken wat er nou echt gebeurd is en hoe het heeft kunnen gebeuren, om vervolgens met een verse installatie te beginnen, en dan al je bestanden van de meest recente backup terugzetten (en die ook nakijken op achterdeurtjes).

Good luck met aangepaste HDD firmware, en NEE het is niet moeilijk, zelfs mogelijk voor een skiddie om het te doen
18-02-2015, 21:32 door Anoniem
good luck met aangepaste HDD firmware, en NEE het is niet moeilijk, zelfs mogelijk voor een skiddie om het te doen

Lijkt mij een beetje overdreven om te zeggen in dit geval, omdat er interactie met een muis is geweest een wat professioneler hacker zou commands gebruiken.

als je windows defender gebruikt laat je zoiezo elke knul met gemak binnen.
19-02-2015, 12:41 door Euro10000 - Bijgewerkt: 19-02-2015, 12:43
Een windows cd bezorgen, zodat je zeker weet dat hier geen virus op staat.
Dan harde schijf wissen, alleen formatteren is niet genoeg, ook de mbr wissen, dit geld voor alle harde schijven.
Ook alle backups als onveilig zien.
Dus hd wissen dmv http://pcsupport.about.com/od/fixtheproblem/ht/wipe-hard-drive.htm
Dan windows opnieuw installeren,
leren je pc te beveiligen, en ook aan alle regels houden hoe om te gaan met een pc, zodat je veiliger werkt.
Als je nog files eraf wilt halen, boot dan vanaf een ubuntu linux cd, dan kun je veilig je pc nog starten, en de files copieren naar een externe hd, let wel op dat alle harde schijven als onveilig gezien moeten worden , ook je externe hd.

Als je toch op gevaarlijke websites moet, dan misschien linux als dualboot installeren, is zeker een stuk veiliger.
19-02-2015, 13:01 door BaseMent
Ga naar een pc reparatiebedrijf. Niet zelf rommelen.
Niet rot bedoeld, maar volgens mij heb je geen enkele kennis van pc's.Dan moet je ze vooral alleen gebruiken.
Ik bedoel, als morgen je auto ermee ophoudt, ga je toch ook naar een garage?
19-02-2015, 13:53 door Anoniem
Windows helemaal schoon installeren, dus harde schijf opnieuw formateren, of,, een andere inbouwen, en helemaal
schoon en opnieuw beginnen.

Vraag: Hoe krijg ik mij data terug ?
Antwoord: Flikker alles weg, en installeer je PC opnieuw

Ik zie de logica niet achter dit ''advies'', dat de vraagstelling negeert ;)
19-02-2015, 15:09 door Anoniem
LOL-- "Wanneer hij klaar was.." - Aardige gast ben jij zeg om hem/haar lekker zijn/haar gang te gaan, jouw data wissen en daar met alle fatsoen op te wachten en daarna op je Windows knop drukken notabene. Hoe dom kun je zijn :)

Wat je WEL had moeten doen is de laptop direct van internet ontkoppelen (en/of keihard uitdrukken).
Daarna de laptop door iemand laten backuppen die de data extern eraf kan halen gevolgd door een complete nieuwe herinstallatie.

Daarnaast AL je wachtwoorden wijzigen,. zowel die voor off- en onlinegebruik.
19-02-2015, 15:37 door Anoniem
Door Anoniem:
Windows helemaal schoon installeren, dus harde schijf opnieuw formateren, of,, een andere inbouwen, en helemaal
schoon en opnieuw beginnen.

Vraag: Hoe krijg ik mij data terug ?
Antwoord: Flikker alles weg, en installeer je PC opnieuw

Ik zie de logica niet achter dit ''advies'', dat de vraagstelling negeert ;)

LMAO XD

System restore point? helpt niet:

System Restore does not affect personal files, such as e-mail, documents, or photos, so it cannot help you restore a deleted file.

Wat je wel kan doen is Software installeren die bestanden kunnen terug halen:


http://www.filehippo.com/download_recuva
19-02-2015, 15:55 door BaseMent
Dus ga naar een pc reparatiebedrijf. Die halen je hd eruit, sluiten hem aan op een andere pc, en kunnen met een beetje geluk het meeste weer voor je terug krijgen. En hoe je dat zelf doet. Nou, niet dus, dat is waarom je een pc reparatiebedrijf betaald om het voor jou te doen.
19-02-2015, 16:09 door Anoniem
Een ander IP-adres nemen of liever gezegd helemaal geen.
19-02-2015, 19:18 door Anoniem
Door Anoniem: Een ander IP-adres nemen of liever gezegd helemaal geen.

Zoooooooo da's even de meest nutteloze tip die ik hier zie staan zeg. Meeste malware e.d. maakt verbinding vanaf jouw computer naar een Control Server oid en doet hje IP er dus niet toe. Daarnaast geldt: Geen IP, Geen itnernet.
19-02-2015, 21:23 door BaseMent
idd weer zo'n nul antwoord. En dan neem je een ander ip adres, is dan je data terug? Als je dan echt niets zinnigs te melden hebt, meld je dan op dumpert ofzo.
20-02-2015, 11:36 door spatieman
goh, meneer toevallig eerst gebeld worden door een nep ms medewerker die toegang wenste tot de pc omdat er pieten op stonden ?

hele verhaal rammelt een beetje .
20-02-2015, 14:49 door Anoniem
Vroeger zat ik ook zo verbaasd te kijken als er iets gebeurde dat ik niet begreep.
Inmiddels wat jaartjes verder draai ik gewoon linux, en in virtualbox (Windows 7, Windows 8.1, en binnenkort dan 10 (heb r niet veel zin in, maar ben toch nieuwsgierig)..
Wat je het beste kan doen is linux installeren, virtualbox, daarin Windows 8.
Kijk de meesten adviseren je toch een volledig nieuwe installatie te doen, steek die tijd dan in een virtuele machine, maak een snapshot na installatie en begin opnieuw.

Gr Mick
20-02-2015, 22:49 door Anoniem
Een vaak voorkomende fout is dat hulp op afstand nog ingeschakeld staat, vaak ook de permissie om het register op afstand aan te passen.
Vaak gebruikt men de PC als beheerder en niet als gebruiker, een goed antivirus totaal pakket en geen INTERNET EXPLORER gebruiken maar Firefox of chrome,
En wat dacht je van goede wachtwoorden!
En linux en windows ontlopen elkaar niet qua veiligheid maar voor microsoft treft men een grotere groep met deze fouten.
Mijn advies, terugzetten naar begininstellingen gesteld dat je een backup van hebt en anders hulp inroepen.
21-02-2015, 09:45 door Anoniem
Door Anoniem: En linux en windows ontlopen elkaar niet qua veiligheid
Dit is niet waar.

maar voor microsoft treft men een grotere groep met deze fouten.
Grotere groep gebruikers en groter percentage nietweters daarbinnen, dus dit klopt wel.

Mede mogelijk gemaakt door de marketing die nog steeds "je hoeft niet te weten waar je mee bezig bent" (want "geen training nodig, alles is intuitief, echt waar!") als grote verkooppunt. Maar daar stapelt dus nog de brakkere software bovenop, want die is toch echt een stukje brakker dan zo ongeveer alle gangbare alternatieven.

Nog steeds, ondanks dat ze tegenwoordig goede sier maken met "wat zijn we toch goed bezig"-persberichtjes vol met buzzwords die hun eerder gemaakte en ondertussen niet meer corrigeerbare architectuurfouten een beetje moeten oplappen en verhullen, maar dat nooit echt kunnen doen.

Dus nee, dat eerste is gewoon niet waar, zelfs niet in vergelijking met linux.
21-02-2015, 11:40 door Anoniem
Door Anoniem:
Door Anoniem: En linux en windows ontlopen elkaar niet qua veiligheid
Dit is niet waar.

Typisch een Linux adept. Als je er induikt doe het dan goed. Confinement met een afcheiding van het root-level met SElinux initd en cgroups inzetten voor resource toewijzing en vul meteen een RBAC process in (LDAP based) inclusief privileged identity management. Ok dat zijn zaken waar Linux adepten gewoonlijk aan voorbij gaan omdat ze het te moeilijk vinden.
De shell-shock en heart-bleed vulnerabilities woekeren daarmee voort.

Er blijf een verschil tussen eenvoudig gebruik (minimale investering) en er echt goed voor gaan
21-02-2015, 16:29 door Anoniem
Door Anoniem: Typisch een Linux adept.
Is dat je hele argument? Dan zeg ik "windows fanboi" en zijn we klaar. Doei.

Je kan verder hopeloos ingewikkeld gaan doen met stapels buzzwords en complexe, bureaucratische infrastructuur die vooral tot gevolg heeft dat mensen uitwegen gaan zoeken om toch maar hun werk gedaan te krijgen, maar daar wordt niemand beter van. Gelijk geeft het je ook al niet, het tekent je vooral pompeus.

Het punt is veeleer dit: Historisch gezien is Unix vrij snel van enkelgebruikerssysteem naar meergebruikerssysteem (in een omgeving waar daar uitgebreid ervaring mee was, qv. multics) uitgegroeid, en van daaruit heeft het een werkende gebruikers- en processeparatie meegekregen. linux heeft dat zeg maar toevallig meegekregen omdat het ondertussen in "de Unix manier" ingebakken zat. Pogingen iets van separatie door te voeren zijn er pas veel later bij windows tegenaan gegooid zonder veel feedback over wat werkte en wat niet (qv. proberen een bestandje te wissen in de vista preview), zodanig dat er vele omzeilmanieren overbleven, die dan ook uitgebreid mis- en gebruikt zijn.

Maar het gaat verder. Kijk alleen maar naar het gemak waarmee je windows XP installeert en dan met een enkele gebruiker genaamd Administrator met alle rechten op het systeem achterblijft. Dat is veel makkelijker, en dus ook precies wat er gebeurt als je niet beter weet, dan wat er zou moeten gebeuren: Minstens twee gebruikers, waarvan eentje voor dagelijks gebruik zonder alle rechten.

Contrasteer met ongeveer alle Unix(- en ook linux)-installatieprogrammas, waar je expliciet om een rootwachtwoord voor administratieve doeleinden wordt gevraagd, en om je eigen gebruikersnaam en -wachtwoord voor de eerste gebruiker. Lijkt een klein verschil, heeft grote gevolgen in de praktijk. Als Unixgebruikers doorkrijgen dat je alles als root doet krijg je vrij snel de opmerking dat beter niet te doen*. Windowsgebruikers hebben geen idee en doen het allemaal lekker op z'n gemakkelijkst.

Dan kun je wel blijven volhouden dat het puur de gebruikers zijn en de code "dus" gelijkwaardig, maar dat is niet waar. De fabrikant weet zelf institutioneel ook niet beter en dat is zowel in de code als in het cultuurtje eromheen duidelijk merkbaar.

* Bijvoorbeeld: Kom je binnen als root@ in irc, dan is het gebruiker veranderen of weggetrapt worden.
21-02-2015, 17:01 door EKTB - Bijgewerkt: 21-02-2015, 17:03
Briljante adviezen hier, het begon al met de tip Windows 8.1 te refreshen.

In lijn met de adviezen hier, adviseer ik TopicStarter deze PC bij het grofvuil te zetten en een ChromeBook te kopen.
21-02-2015, 17:07 door Anoniem
Door Anoniem:
Door Anoniem: Typisch een Linux adept.
Is dat je hele argument? Dan zeg ik "windows fanboi" en zijn we klaar.

Sorry maar we zij niet klaar. Het is gewoon de ervaring dat te veel Unix beheerders, security mensen en externe partijen zijn die je eigenlijk niet daar zou mogen toelaten. Een paar voorbeelden:
- Komt er een externe software leverancier: Geef mij de root key password van jullie systemen en de master SYSBA admin-key met password voor de databases dan installeer ik mijn pakket wel voor jullie op mijn manier.
- Ga je naar Unix beheerders voor een multi-user approach (shell rechten vereist bij gebruikers) dan zeggen die doodleuk dat Unix (met hun standards) er niet voor geschikt is. Die Unix mensen geven verder aan dat je beter Windows kunt gebruiken (andere beheerdersgroep) veel eenvoudiger en beter.
- Heb je te maken met een onderscheid tussen meerdere high privileged en vele users accounts dan komt de security man om de hoek dat het allemaal veel te complex is. Het is veel eenvoudiger als iedereen en alles onder één shared account werkt. Zefs tussen logging/operating en installatie zou je geen verschil moeten maken. Dit wordt dan er zo doorgedrukt (tsja tegen onkunde...). Het probleem is denk dat de meeste techneuten alleen in hun eigen hokje en straatje kunnen denken.

Sorry, ik weet dat het allemaal beter kan. Zoals gesteld het zijn echte ervaringen uit de praktijk.

Contrastererend met Windows is een geaccepteerde multi-user benadering met centraal beheer (AD) waarbij de desktops afgesloten worden om nog wat dan ook te kunnen installeren. Het scheiden van functies wordt geadviseerd door MS en ook opgevolgd. Hiermee kom je in de prettige situatie dat het RBAC process redelijk gaat lopen. Typisch is net ngroups_max (bestaat zowel in Windows en Unix/Linux) waar Windows heel lang een redelijke waarde had (1024-5) en bij Unix zou 16 al veel zijn . Pas recent zie ik hogere waardes. Het is techniek maar wat het op vastzat was dat account van niet meer groepen lid mocht zijn. Zoiets archaisch is niet acceptabel in deze tijd (RBAC).

Dat is een verademing met de Unix/Linux beheerders benadering. Let op: ik maak echt onderscheid tussen de technische mogelijkheden en de gangbare praktijk.

Ik ben thuis in meerdere systemen en verschillende processen met business reqs / voorschiften. Ik wil dat vergelijk graag met je maken met wat beter / simpeler / effectiever / veiliger is (SWOT).
21-02-2015, 20:33 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Typisch een Linux adept.
Is dat je hele argument? Dan zeg ik "windows fanboi" en zijn we klaar.
Sorry maar we zij niet klaar. Het is gewoon de ervaring dat te veel Unix beheerders, security mensen en externe partijen zijn die je eigenlijk niet daar zou mogen toelaten. Een paar voorbeelden: [...]
Leuke voorbeeldjes. Mijn ervaring als beheerder is dat ik ook wel eens idiote vragen, zelfs eisen, krijg die ik onverdroten terugstuur, zelfs van een (directe of hogere) chef, als dat niet verenigbaar is met mijn taak de boel een beetje veilig te houden. Een derde partij die volledige toegang wil? Hooguit op zorgvuldig afgeschermde (virtuele) machines die dan in z'n geheel als "onvertrouwbaar" te boek staan, want onder vreemd beheer.

Heeft verder weinig met de door het systeem aangereikte gereedschappen van doen (waar ik het over had), maar alles met je bedrijfsprocessen en niet in de laatste plaats je mensenselectie. Die, IME maar al te vaak, door HR personen eventueel in concert met externe recruiters genomen worden. Beide niet typisch geschoold in beveiliging, of in Best Current Practices uit de Unix wereld.

Sorry, ik weet dat het allemaal beter kan. Zoals gesteld het zijn echte ervaringen uit de praktijk.
"Het meervoud van 'anecdote' is niet 'data'."

Dit illustreert wel redelijk de resultaten van de gangbare inhuurpraktijken binnen bedrijven. De andere kant van deze munt heeft als resultaat dat Unixbaarden typisch anti-recruiter zijn, gewoon omdat ze eigenlijk altijd als grof vuil worden behandled door betweters die uiteindelijk toch niet beter blijken te weten, en er dus een zooitje van maken. Zelfs, nee vooral, door recruiters die zich zeggen te specialiseren in computerpersoneel. Het zijn veeleer windowsgebruikters die een Unixspecialist niet zouden herkennen al zou hun leven er vanafhangen. Dat heb ik ook in de praktijk ondervonden.

Om dan deze mensenpraktijk toe te schrijven aan inferieure codequaliteit is... niet heel inzichtelijk.

Contrastererend met Windows is een geaccepteerde multi-user benadering met centraal beheer (AD) waarbij de desktops afgesloten worden om nog wat dan ook te kunnen installeren.
Dit is nu, in grotere bedrijven, bon ton, maar alleen daar omdat het nogal wat infrastructuur vergt om op te zetten. Ook is het een redelijk recente toevoeging, bouwend op technologie (kerberos en LDAP) uit de Unix wereld. Daarbovenover werkt dit alles op redelijk hoog niveau en doet het niets aan de gebrekkige scheiding op procesniveau, de (nog steeds bestaande!) moeilijkheid even van gebruiker te wisselen voor een enkele taak, en zo verder. Andersgezegd, dit adresseert de genoemde problemen niet, daarvoor werkt het op te hoog (en erbovenopgeplakt, zoals eerder gewezen) niveau, maar is wel een al te transparante poging met andersmans veren te pronken. Het tekent je.

Typisch is net ngroups_max (bestaat zowel in Windows en Unix/Linux) waar Windows heel lang een redelijke waarde had (1024-5) en bij Unix zou 16 al veel zijn . Pas recent zie ik hogere waardes.
Historische limiet in NFS. Maar zoals eerder gehint, groepen zijn niet de enige manier om taken te scheiden. Op dit detail vastbijten is net zoiets als roepen dat Unix-bestandssystemen inferieur zijn aan FAT32 want ze rapporteren wel "fragmentatie" maar hebben geen defragmentatie-gereedschap.

Dat is een verademing met de Unix/Linux beheerders benadering. Let op: ik maak echt onderscheid tussen de technische mogelijkheden en de gangbare praktijk.
Door "de gangbare praktijk" (die jij kent, ik ken een duidelijk andere) tot bewijs van mijn ongelijk op een duidelijk ander niveau, zelfs een ander vlak dan waar het om begon, te bombarderen. Klinkt heel geloofwaardig.
21-02-2015, 21:08 door Anoniem
Hey TS ( Amar123 )

waar blijf je met je reactie

[ troll die je bent ]
22-02-2015, 09:34 door Anoniem
Oeps we hebben deze draad even gekaapt. Even de excuses daarvoor naar de OP.

Het is gewoon de ervaring dat te veel Unix beheerders, security mensen en externe partijen zijn die je eigenlijk niet daar zou mogen toelaten.
Leuke voorbeeldjes. Mijn ervaring als beheerder is dat ik ook wel eens idiote vragen, zelfs eisen, krijg ...
Jouw oordeel is ook mijn oordeel: "De bedrijfsprocessen zijn niet op orde."

De security data governance is daarmee een onderwerp wat niet meer gedragen wordt. Dat zou niet zo mogen zijn.
Deze situatie en mijn evaring is gebaseerd op de praktijk van de grotere bedrijven waar het om tienduizienden werknemers gaat met duizenden Unix servers (finance/overheid) . Die zelfde houding zie ik terug in health-area met kleinere IT afdelingen. Dit voornamelijk in het gebied van analytics/bi. Dat kon je aan mijn beschrijving van het type werk er uit halen.

Nu ben ik benieuwd naar jouw positie. Je noemt jezelf Unix-heheerder. Nogal logisch dat je je opsteld dat je vind dat je alles goed doet nooit iets verkeerd ziet en alleen joud mening de enige waarheid is.
Die houding, daar was me het nu net om te doen. die is niet cooperatief oplossend. Zie je dat anders?

Ik geloof ook niet dat een technische benadering "het ligt aan Linux/Window" de oplossing voor het falen van het bedrijfsproces is. Ik hoop dat we het daar over eens zijn.
Het is trouwens de reden dat ik wil reageren als iemand voor de technische waanidee gaat. Voor mij is dat ongeloofwaardig wat bestreden moet worden. Een techniek lost geen menselijke domheid op. Keuzes maken is ok.

multi-user benadering met centraal beheer
Je argument was nu net dat Unix ontworpen was voor mulituser. Deze faalt dus in een Unix cluster. Hier loopt AD/Windows ver voor. Komen we terug op die falende bedrijfsprocessen, de eis om alles van Unix maar aan AD te koppelen voor het password. Sorry het is ook een praktijdvoorbeeld waarbij de security op Linux maar opzij gezet wordt.
Ik heb je hier kennelijk geraakt want je komt niet met hoe je het met LDAP/Sudo beter kan doen dan met AD.
Jammer dat als je het niet inhoudelijk kunt dan maar naar de emoties grijpt.

Typisch is net ngroups_max (bestaat zowel in Windows en Unix/Linux) --- Historische limiet in NFS.
Hier zit je fout het is een kernel Unix/Linux instelling te vinden als: http://man7.org/linux/man-pages/man2/getgroups.2.html limits.h is de betreffende C-structure. Kontroleer je eigen system maar eens waar die op staat.
Sommige desktop-distro-s hebben nog steeds iets van 16 de huidige 64-bit kernel linux volgens mij op 64k. Posix adviseert 8. Die waarde van 16 werd (praktijkervaring) door CCSIP als de heilige bovengrens in een RBAC setting geroepen.
Op de machine war ik toen zat zag ik 128 (nu zie ik na upgrade 2048). Met die waarden kan je het OS terug herleiden.
Als je meerdere klantgroepen op 1 machine met meerdere beheerders aan de slag wil laten gaan kom je met de 16 niet uit of je moet de security/data governance eisen maar weglaten. (gebeurd in de praktijk).
De mismatch met NFS (aantal groepen) is een reden om dat buiten de boot te houden. Het wegvallen van groepen kan de autorisatie onderuit halen. Het vaak niet begrepen issue is dat met Unix/Linux groepen gebruikt kunnen worden om rechten in te perken. Je krijgt minder toegang door het toevoegen van groepen. (Jerks herkenning)

Kom nu aub zelf met een oplossing die aan al deze eisen kan voldoen.
1/ vele klantgroepen/users/beheerders
2/ volledige gescheiden rollen met autorisaties voor de 2a tools 2b applicaties 2c DTAP voor data/code
3/ scheiding tussen installatie en operatie met bij de operatie verschillende rollen/taken
Ik kan je een voorstel geven, echter het aantal groepen per user loopt hard op
De gangbare reactie die ik krijg van Unix mensen (niet bij Windows)....... moet de applicatie maar oplossen ofwel vrij vertaald: niet in staat om het te begrijpen dan wel op te lossen. Ik zie gaarne bewijs van het tegendeel.
22-02-2015, 15:05 door Anoniem
Door Anoniem: Jouw oordeel is ook mijn oordeel: "De bedrijfsprocessen zijn niet op orde."
In jouw voorbeeldjes de inhuurpraktijk. Heb ook wel gehoord van grootbedrijven waar in pak op je werk verschijnen belangrijker is dan weten wat je doet.

Wat dan tot gevolg heeft dat in een toch diep technische en in context obscure hoek als Unixbeheer het niet onmogelijk is dat er mensen zitten waarvan niemand weet wat ze uitvreten, zij zelf ook niet, waar dat onder beheerders en gebruikers van "meer gangbare" (let wel: binnen dat kantoormilieu!) systemen minder lang vol te houden zou zijn want er zijn eerder mensen die het doorhebben.

Wat overigens niet wil zeggen dat iedere gebruiker van de gangbaardere technieken automatisch competenter zal zijn. Het is veeleer het geval dat er binnen dezelfde groep dezelfde gewoonten en technieken gangbaar zullen zijn waardoor er vergelijkingsmateriaal voorhanden is. Wat niets zegt over hoe geweldig de technieken zijn.

Als illustratie van het punt is "the daily WTF" lezen zeer leerzaam. "The Brilliant Paula Bean" is klassiek.

Het is dan ook niet gek dat "disruptive innovation" vooral uit de startup-hoek komt, wegens nog niet vastgeroest en daarom in staat zelfs kleine comparatieve voordelen in gewin om te zetten.

Dit alles staat mijlenver van het verschil in codequaliteit (die in linux ook niet altijd even goed is, zeker niet sinds grootbedrijven zijn begonnen met code aan te dragen) en fundamentele architectuur (die linux door kopieeren meegekregen heeft van Unix, en windows op cruciale punten niet) waar het argument om begon.

De security data governance is daarmee een onderwerp wat niet meer gedragen wordt. Dat zou niet zo mogen zijn.
Het is ook een veel hoger niveau dan waar het om begon. Niet dat daar niet ook veel te verbeteren is.

Nu ben ik benieuwd naar jouw positie. Je noemt jezelf Unix-heheerder. Nogal logisch dat je je opsteld dat je vind dat je alles goed doet nooit iets verkeerd ziet en alleen joud mening de enige waarheid is.
Die houding, daar was me het nu net om te doen. die is niet cooperatief oplossend. Zie je dat anders?
Dat tekent (alweer) vooral je eigen aannames. Ik ga er niet van uit dat ik alles goed doe en alles beter weet. Veeleer ben ik iemand die eerder technische kennis opzoekt dan aanneemt en maar hoopt dat de werkelijkheid naar mijn hand te zetten zal zijn.

Er zijn situaties waar ik als beheerder moet zeggen, "tot hier en niet verder", of "als je dat doet dan gaan er vitale dingen mis", al was het alleen maar vanuit de taak waarvoor ik ben aangesteld, of om mezelf het werk in de toekomst niet volstrekt onmogelijk te maken.

Buiten dat ben ik een techneut met een zeker begrip van de materie en doe ik deze job omdat ik hier goed in ben en niet omdat ik goed ben in bolletjes aaien en verzekeren dat de hemel niet zal vallen als je nu op dat knopje muisklikkert. Daar zijn andere mensen echt beter in, maar daarvan zijn er maar weinig die zo handig zijn in de machines hun wil opleggen, of wellicht simpelweg foutzoeken, als ik. Mijn redenering is meestentijds gedreven door ratio, waarmee een "nee" minder snel een politiek spelletje is dan een "I cannae change the laws of physics, cap'n!"

En in zekere zin, als ik ben aangesteld om een technische vraagbaak te zijn dan is mijn woord de ultieme waarheid (op dat gebied, binnen de organisatie) of ik nou objectief gelijk heb of niet. Je ziet dat vaak genoeg misgaan, en op alle mogelijke manieren, overigens, maar dat maakt het mechanisme niet anders. Minder grootsprakig gesteld, ik neem meestal aan dat ik ingehuurd wordt voor mijn technische kennis en dan gaat het niet aan dat anderen technische beslissingen die binnen mijn remit vallen mij opleggen. Aanwezigheid en manier van invulling van zulke voorselektiekaders zijn een belangrijke afweging bij mijn keuzes waar te soliciteren, bijvoorbeeld. Maargoed, tot zover de filosofie.

Overigens zijn politieke spelletjes een duidelijk signaal dat de hogere bedrijfsprocessen niet op orde zijn. (Voorbeeld: Hier is nokia aan ten gronde gegaan, zie bv. de analyses van Andrew Orlowski op the register.) Leuk om over na te denken wat het moedwillig inhuren van ervaren politieke spelletjesspelers betekent voor de staat van je (groot)bedrijf.

Over die technische kant. Laat ik een voorbeeld nemen. Komt een developer met het verhaal dat voor NFS over alle meeNFSende machines de UIDs hetzelfde moeten zijn. Hij heeft zijn eigen computer van huis uit meegenomen ("want net lekker opgezet", wordt er nog voor gecompenseerd ook, plus behoudt hetzelfde salaris van voor ontslag voor een dag minder werk, hele rare bedrijfspolitiek aldaar) en zegt "mijn UID is 1037 op mijn machine, regel jij even dat de rest van de machines dat ook zo zien?"

"Nee." zei ik toen, "Jouw UID binnen dit netwerk is 6049, volgens staande policy, en je weet vast wel hoe de rest zelf te regelen op je eigen machine." Ik was nou niet echt van plan om alle bestanden op alle servers onder mijn beheer na te lopen omdat hij te lui is dat op zijn eigen machine te doen. Dat hij administratierechten op z'n eigen machine behield bij invoer en NFSaansluiting had ik eigenlijk al als beveiligingsprobleem moeten aankaarten, maar dat was in context wel een brug te ver geweest.

Maakt mij dat een arrogante betweter? Ongeschikt als teamplayer? Onconstructief en vuilgebekt?

Als beheerder heb ik de macht maar ook de plicht om beleid binnen mijn beheersvlak te maken en vervolgens consequent toe te passen. Dat heeft als gevolg dat er winden zijn waar ik niet in meewaai, of jij dat nou leuk vindt of niet.

Ik geloof ook niet dat een technische benadering "het ligt aan Linux/Window" de oplossing voor het falen van het bedrijfsproces is. Ik hoop dat we het daar over eens zijn.
Als dat is wat je bedoelde, dan was het handiger geweest het even anders te zeggen. De insteek was technisch.

Het is trouwens de reden dat ik wil reageren als iemand voor de technische waanidee gaat. Voor mij is dat ongeloofwaardig wat bestreden moet worden. Een techniek lost geen menselijke domheid op. Keuzes maken is ok.
Sommige keuzes zijn wel objectief beter dan andere, hoewel "beter" nogal afhangt van je meetlat. Praat je met techneuten dan is de meetlat technisch. Mijn technische inzichten vertellen mij dat windows als software en in softwarearchitectuur nogal rot is tot op het punt dat het niet aan te houden is als beveiliging tegen malware en dergelijke prioriteit heeft. Dan zul je echt naar iets anders op zoek moeten.

De standaardoplossing met oplapsoftware werkt niet structureel, maar houdt wel een hele cottage-industrie aan het werk. Is niet goedkoop, levert de eindgebruiker nauwlijks wat op, en is in dat opzicht niet kosteneffectief. Kan het ook niet zijn. Is wel "goed voor de economie" als dat je ding is, daar niet van. Maar met betere software die niet opgelapt hoeft te worden hadden we dat geld ook aan andere dingen kunnen uitgeven. Een raket naar de maan, weet ik veel.

Is je meetlat "ziet het er leuk uit op m'n desktop" en "heeft de verkoper een gelikt praatje" of zelfs "is dit wat alle andere grootbedrijven (bv. de fortune 500) gebruiken?" dan komt er ineens iets heel anders uit de vergelijking.

Welke meetlat je gebruikt zegt ook iets over de prioriteiten die binnen het bedrijf gehanteerd worden. De rest van deze gedachte kan je wellicht onderhand zelf bedenken.

Als niet dan zeg ik "LiMux" en nodig je uit daarover elders meer te lezen.

Je argument was nu net dat Unix ontworpen was voor mulituser. Deze faalt dus in een Unix cluster. Hier loopt AD/Windows ver voor.
active directory is zoals redmond zelf zegt een resultaat van hullie hun "embrace and extend" van kerberos en LDAP, beide afkomstig van en veel gebruikt binnen de Unixwereld. Unixclusters worden over het algemeen uit componenten opgebouwd (door competente beheerders) en dus niet als one-size-fits-all met fancy GUI in je bedrijf geplopt.

En als we het over clusters hebben, kijk eens naar de top500 van supercomputers. Dat zijn tegenwoordig allemaal clusters. Kijk ook welke besturingssystemen er populair zijn. Of kijk naar welke besturingssystemen een tent als CERN gebruikt voor hun databehandeling en hoeveel gebruikersaccounts ze bedienen, en hoe groot het gebied is die hun userbase bestrijkt.

Dan klinkt jouw ophemelen van AD net als toen ik fanbois powershell hoorde ophemelen. "Aw, ain't that cute."

Typisch is net ngroups_max (bestaat zowel in Windows en Unix/Linux) --- Historische limiet in NFS.
Hier zit je fout het is een kernel Unix/Linux instelling te vinden als: http://man7.org/linux/man-pages/man2/getgroups.2.html limits.h is de betreffende C-structure. Kontroleer je eigen system maar eens waar die op staat.
Vergelijk: https://www.freebsd.org/cgi/man.cgi?query=getgroups en https://www.freebsd.org/cgi/man.cgi?query=sysconf
Kijk ik hier in sys/syslimits.h en dan is NGROUPS_MAX 1023.

Die waarde van 16 werd (praktijkervaring) door CCSIP als de heilige bovengrens in een RBAC setting geroepen.
Dat is dus vanwege een quirk in NFS (v2, v3), of liever de RPC (http://www.ietf.org/rfc/rfc1831.txt, Appendix A, AUTH_SYS) waar NFS op bouwt. Je kan die limiet wel omzeilen of zelfs laten verdwijnen, maar niet als je 'm eerst tot gospel verheft.

Kom nu aub zelf met een oplossing die aan al deze eisen kan voldoen.
Waarom?

Ik kan je een voorstel geven, echter het aantal groepen per user loopt hard op
De gangbare reactie die ik krijg van Unix mensen (niet bij Windows)....... moet de applicatie maar oplossen ofwel vrij vertaald: niet in staat om het te begrijpen dan wel op te lossen. Ik zie gaarne bewijs van het tegendeel.
Als je de vraag zo stelt dat alleen de grootste hamers nog raak kunnen slaan dan is de allergrootste hamer natuurlijk de enige juiste oplossing. En toch is de koperslager niet blij als je 'm alleen maar een moker (of een heimachine. geeft toch ook klappen, ja toch niet dan?) geeft om z'n werk te doen. Wil je meer opties dan moet je de vraag minder abstract stellen.

Dat jij dan vooral ervaring hebt met mensen die een enkele hamer kennen en dus ook altijd die hamer als antwoord geven zegt meer over jouw achtergrond dan over de geschiktheid van de hamers die je krijgt aangereikt.
22-02-2015, 17:35 door Anoniem
De security data governance is daarmee een onderwerp wat niet meer gedragen wordt. Dat zou niet zo mogen zijn.
Het is ook een veel hoger niveau dan waar het om begon. Niet dat daar niet ook veel te verbeteren is.
Mag ik nu stellen dat data governance nu net het kernpunt is. Het gaat er niet echt om of een machine kapot is of gehacked. Het belangrijkste is dat de eigen gegevens waar je aan hecht (bedrijfsbelang of prive) niet verloren gaan en tegen acceptable kosten/tijd beschikbaar zijn.

Door Anoniem: Jouw oordeel is ook mijn oordeel: "De bedrijfsprocessen zijn niet op orde."
Zoals gesteld we zijn het eens. Je gaf zelf meer voorbeelden in die zelfde trend. Kunnen we het ook eens zijn dat je dat met techniek niet gaat oplossen?
Trouwens grappig ik denk we beiden techneuten (in de goede zin) zijn. Een van de kenmerken daarbij is dat je niet te snel aannames moet doen. Niet op technisch vlak (weet en onderzoek het bij onzekerheid) en niet op gesprekspartners.
Ik laat de Cern (higgs) en supercomputers maar even voor wat is. Weerberichten en zo is een andere dataclassificatie dan finance/health dan wel prive .

ngroup_max
Mooi die 1024 is tenminste iets waar je mee kan. Het is vrij recent en de genoemde confrontatie had te maken met een LDAP service onder Solaris (ca 2011) http://docs.oracle.com/cd/E26505_01/html/E37386/chapter2-4.html#gjmtw .
Jij bent moeilijk te overtuigen, ik ook, Hoe denk je dat die LDAP (CSO functie) beheerders reageerden: 16 is heilig. Nee geen NFS referentie de Solaris referentie van die kernel. Nu zijn wij het eens dat het onzin is, het volgende is de rest nog mee zien te krijgen. Overigens ben ik het met je houding eens over de id/gid. De moeten uniek binnen een domein zijn en dat er ego-s zijn die daar tegenin gaan met eigen meningen is niet goed. Die heb ik ook meegmaakt dezelfde groep als toegang tot het tool en op een andere machine als admin-rol. Toen moesten de machines in het zelfde domein.

Kom nu aub zelf met een oplossing die aan al deze eisen kan voldoen.
Waarom?
Antwoord: kijk als we zouden samenwerken zou er mogelijk iets goeds uit voort kunnen komen.
Nu is er meer sprake van tegenwerking waardoor gebruikers (analisten/bi) zelf gaan vluchten naar een Windows omgeving. Het is daar veel eenvoudiger voor elkaar te krijgen. Kun je je een beeld / idee daarbij vormen?

Behalve waarom vragen, kun je een oplossingsrichting aangeven?
Zo niet of ontwijken, dat is ook een antwoord (overigens niet een positieve).

LiMux
Ben ik onlangs behoorlijk diep ingedoken. LHM (LandesHauptstadMunchen) overheid en er is verrassend veel terug te vinden over de organisatie architectuur en implementatie. Nee, niet om vrolijk van te worden. Het zou zo maar kunnen dat die desktop opgeofferd gaat worden met als werkelijke reden het falen op andere vlakken. Ik heb een hele reeks links voor je als je die wilt weten. (ca 9 stuks vanaf ca 2006 ).
Typisch de situatie is: traag opstartende machines (ca 5 minuten) verouderde Linux kernel wegens afhankelijkheden servers, verouderde browser (FF) wegens afhankelijkheden (SAP) zelfgebouwde webpages.
http://www.pcwelt.de/ratgeber/LiMux__Wohin_steuert_Linux_in_Muenchen_-Windows-Ersatz-8920737.html
Het gaat door met zelfgebouwde javascripts voor libre-office (macro functies). Hierdoor ze nu deel zijn gaan uitmaken van die openoffice organisatie samen met de grote commercielen. Ze zoeken een andere mailserver/client waarbij helaas een headerfout optrad die hele boel wat dagen plat legde. Dat verband/oorzaak wordt nergens genoemd. Ik zie zelf een verband met de beide events dat hoeft niet zo te zijn.

Het zijn architecten die bepaalde ideeen hebben vervolgens wordt het werk grotendeels uitbesteed aan lokale meestal kleine bedrijfjes.
Wonderlijk in 2007 wordt 100 man mainframe genoemd dat omgezet moet worden die zie je 2014 nog steeds terug (oplopende kosten en een groei ofwel grotere IT afdelingen)
04-01-2016, 13:30 door Anoniem
Dit heb ik helaas onlangs ook moeten meemaken, ik hoop dat het goed komt bij je!
04-01-2016, 16:04 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Typisch een Linux adept.
Is dat je hele argument? Dan zeg ik "windows fanboi" en zijn we klaar.
Sorry maar we zij niet klaar. Het is gewoon de ervaring dat te veel Unix beheerders, security mensen en externe partijen zijn die je eigenlijk niet daar zou mogen toelaten. Een paar voorbeelden: [...]
Leuke voorbeeldjes. Mijn ervaring als beheerder is dat ik ook wel eens idiote vragen, zelfs eisen, krijg die ik onverdroten terugstuur, zelfs van een (directe of hogere) chef, als dat niet verenigbaar is met mijn taak de boel een beetje veilig te houden. Een derde partij die volledige toegang wil? Hooguit op zorgvuldig afgeschermde (virtuele) machines die dan in z'n geheel als "onvertrouwbaar" te boek staan, want onder vreemd beheer.

Heeft verder weinig met de door het systeem aangereikte gereedschappen van doen (waar ik het over had), maar alles met je bedrijfsprocessen en niet in de laatste plaats je mensenselectie. Die, IME maar al te vaak, door HR personen eventueel in concert met externe recruiters genomen worden. Beide niet typisch geschoold in beveiliging, of in Best Current Practices uit de Unix wereld.

Sorry, ik weet dat het allemaal beter kan. Zoals gesteld het zijn echte ervaringen uit de praktijk.
"Het meervoud van 'anecdote' is niet 'data'."

Dit illustreert wel redelijk de resultaten van de gangbare inhuurpraktijken binnen bedrijven. De andere kant van deze munt heeft als resultaat dat Unixbaarden typisch anti-recruiter zijn, gewoon omdat ze eigenlijk altijd als grof vuil worden behandled door betweters die uiteindelijk toch niet beter blijken te weten, en er dus een zooitje van maken. Zelfs, nee vooral, door recruiters die zich zeggen te specialiseren in computerpersoneel. Het zijn veeleer windowsgebruikters die een Unixspecialist niet zouden herkennen al zou hun leven er vanafhangen. Dat heb ik ook in de praktijk ondervonden.

Om dan deze mensenpraktijk toe te schrijven aan inferieure codequaliteit is... niet heel inzichtelijk.

Contrastererend met Windows is een geaccepteerde multi-user benadering met centraal beheer (AD) waarbij de desktops afgesloten worden om nog wat dan ook te kunnen installeren.
Dit is nu, in grotere bedrijven, bon ton, maar alleen daar omdat het nogal wat infrastructuur vergt om op te zetten. Ook is het een redelijk recente toevoeging, bouwend op technologie (kerberos en LDAP) uit de Unix wereld. Daarbovenover werkt dit alles op redelijk hoog niveau en doet het niets aan de gebrekkige scheiding op procesniveau, de (nog steeds bestaande!) moeilijkheid even van gebruiker te wisselen voor een enkele taak, en zo verder. Andersgezegd, dit adresseert de genoemde problemen niet, daarvoor werkt het op te hoog (en erbovenopgeplakt, zoals eerder gewezen) niveau, maar is wel een al te transparante poging met andersmans veren te pronken. Het tekent je.

Typisch is net ngroups_max (bestaat zowel in Windows en Unix/Linux) waar Windows heel lang een redelijke waarde had (1024-5) en bij Unix zou 16 al veel zijn . Pas recent zie ik hogere waardes.
Historische limiet in NFS. Maar zoals eerder gehint, groepen zijn niet de enige manier om taken te scheiden. Op dit detail vastbijten is net zoiets als roepen dat Unix-bestandssystemen inferieur zijn aan FAT32 want ze rapporteren wel "fragmentatie" maar hebben geen defragmentatie-gereedschap.

Dat is een verademing met de Unix/Linux beheerders benadering. Let op: ik maak echt onderscheid tussen de technische mogelijkheden en de gangbare praktijk.
Door "de gangbare praktijk" (die jij kent, ik ken een duidelijk andere) tot bewijs van mijn ongelijk op een duidelijk ander niveau, zelfs een ander vlak dan waar het om begon, te bombarderen. Klinkt heel geloofwaardig.
Wat een enorm gebla bla. Minderwaardigheidsgevoel?

Misschien is het handig de vraagsteller gewoon een goed antwoord te geven want daar ging het toch om? Niet om uw wetenschap!
17-01-2016, 00:43 door Anoniem
Wow, het is oorlog hier.

Topicstarter, hoe gaat het ermee, welke actie heb je ondernomen?

Toen jouw besturing Was losgekoppeld en hij dingen uit zichzelf begon te verwijderen, kwam het in je op om de computer direct uit het stopcontact te halen?

Heb je later nog op die computer doorgewerkt? Heb je hem nog aangezet nadat het Was gebeurd?
Heb je al je wachtwoorden veranderd?
Windows gereset?

(dit zijn vragen, geen adviezen of retorische vragen)
17-01-2016, 12:58 door Anoniem
Gezien de oorspronkelijke melding van topicstarter en zijn reactie, kan ik enkel adviseren om de PC af te leveren bij iemand die er verstand van heeft.

Deze zou eventueel de malware kunnen verwijderen en in een veilige omgeving de verwijderde bestanden kunnen herstellen.
Daarna scrubben en clean install.

Verder is het wijs om in het vervolg niet op alles te klikken en ook niet zomaar ervan uitgaan dat software dat 'gratis' op het internet wordt aangeboden, veilig is. Er zit veel rotzooi tussen en dat wil je niet op je PC hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.