ja duh, update dan ook meteen de anti virus software van je laptops .. zon
moeite ??

In principe kost dat geen moeite, maar in de meeste organisaties verloopt dit
automatisch via antivirusservers in de organisatie zelf. Een laptop is niet
100% van de tijd aangesloten op het bedrijfsnetwerk, dus kan het toch
achterlopen qua updates. En als je dan nog gebruikers hebt die
zelf "illegale" dingen doen met de laptop (zoals prive email
binnenhalen, "eigen" software installeren etc.), dan zijn geheid de rapen
gaar. Spreekwoordelijk gezegd dan.

geen echte rapen? ;-)

maar ja, moeten ze beter nadenken over dat soort dingen, vooral als je een
IT'er bent of in een IT bedrijf werkt

Er zijn oplossing hiervoor.
Je kunt zelfs toegang tot het netwerk wijgeren indien de AV of Firewall
software niet up to date is.
Kortom, er zijn plenty mogelijkheden, maar dat kost geld.

of je kopieert gewoon de definitie bestanden naar de laptop en je bent ook ge
update (voordat je m in het netwerk hangt

Lekker droog, gaat nogal makkelijk als je in het bedrijf
honderden notebooks hebt...

Ervoor zorgen dat alle aangesloten netwerk nodes up to date
zijn v.w.b. patches en antivirus en in het aanlog process de
antivirus software laten updaten is denk ik zo 1,2,3... de
eenvoudigste oplossing.

Alles (incl. servers) wat aan het netwerk hangt kan
autonatisch geupate worden

Laptops zijn het probleem niet, maar de mensen die deze dingen
bedienen en niets schijnen te weten over beveiliging, Firewalls,
virusscanners e.d.

Uiteraard kan je allerlei oplossingen bedenken om laptops te updaten
ZODRA deze aan het netwerk hangen. Maar daar gaat het juist niet om.
Sommige gebruikers hangen heel lang niet aan het bedrijfsnetwerk en lopen
dus updates mis. Tegelijkertijd misbruiken ze zo'n bedrijfslaptop voor prive
doeleinden en lopen ze dus extra risico. Het gaat er dus om hoe je dit kan
voorkomen. Het gaat niet om het updaten zodra ze op het netwerk
aangesloten zijn.

Dan praat je over:
1. Slechte beheerders
2. Slechte netwerkopbouw
3. Slechte antivirus software

Ik zit bij een organisatie welke ePo van McAfee gebruikt (een gedrocht van
een product, maar dat even terzijde). Daarin stel je heel simpel in dat de
clients voor updates moeten kijken op de ePo server, is deze niet
beschikbaar (down of je zit niet op het netwerk) dan moet er gekeken worden
op de FTP site van McAfee, en indien dat ook niet mogelijk is (firewalled poort
bv) dan gaat ie kijken op de HTTP site van McAfee.

Op die manier wordt een client altijd ge-update, ongeacht waar hij/zij aan het
internet hangt..

Je zou ook laptops die een bepaalde tijd niet op het netwerk zijn geweest
weigeren, eerst langs de BOFH!

Voor wat betreft het ophalen van updates via het internet als zo'n epo server
niet gevonden zou worden: in sommige bedrijven is het niet toegestaan dat
laptops een directe connectie maken met het internet, dus niet via eventuele
proxy of filter van het bedrijf. Uiteraard doen gebruikers dat wel, en dan zijn
wederom de rapen gaar. Los staand van het feit of er wel of geen
maatregelen zijn genomen om dial-up verbindingen (anders dan
verbindingen zoals VPN, aangeboden door het bedrijf zelf) onmogelijk te
maken.

Jemig mensen is het nou zo moeilijk gewoon een extra
partitie te maken met een prive gedeelte. Dual boot gewoon
naar prive of naar werk, afhankelijk van waar je zit of wat
je moet doen.

Ja, ok, dan nog mis je misschien wat updates of deel je een
andere partitie waar besmette bestanden op kunnen komen te
staan wat alles kan verzieken.

Je zou inderdaad een status verificatie kunnen uitvoeren die
controleerd of je up to date bent. Ben je dat niet, dan moet
je dat eerst voor elkaar krijgen alvorens weer het netwerk
op te mogen naar internet enz.

Ook dat is natuurlijk niet waterdicht. Dus moet je gewoon af
van het hele virus-gevoelige software model en overstappen
op MacOS X op een powerBook of iBook of Linux gaan
draaien.......Zucht........was het maar zo simpel allemaal.

Ahum, je bedoelt, dit bespaard kosten, net even iets anders... :-)

Bawawawa kost wel meer geld maar jah als jij al je notebooks naar de klote
hebt jah wat dan??
DAN BEN JE NOG MEER KWIJT!!! Die lui in die bedrijven zijn zo gierig!!

Ik ben het met dit artikel eens. De methodes die wij hanteren zijn moeilijk
voor elkaar te krijgen bij managers, maar zijn wel noodzakelijk in een bedrijfs
kritisch netwerk:

- een collega moet op de hoogte zijn van de gevaren van virussen;
- een collega mag niets installeren;
- een week niet op het bedrijfs LAN == geen ip adres;
- goede virus update voorzieningen op het werk, maar ook thuis!
- thuis werkers maken gebruik van citrix en mogen geen local drive en printer
mapping doen naar hun laptop.

En dan nog wil het wel eens voorkomen dat een virus hier en daar z'n werk
blijft doen.

Als de server zelf al geupdate is zal hij virussen van de laptop automatisch al
aangeven ... tenminste, als de av op de server volle authorisatie heeft om
elke gebruiker te scannen. Op deze manier heeft de laptop in principe geen
AV nodig. Toch lijkt het me verstandiger, aangezien je met een laptop overal
mensen kunt infecteren, niet alleen op het werk

Mijn bedrijf heeft +/- 4500 laptops. Natuurlijk heeft elke laptop antivirus
software draaien, en die is zo geconfigureerd dat als er een verbinding naar
internet is (thuis of corporate of anders) de updates rijkelijk naar binnen
vloeien.

Een nieuwe interessante ontwikkeling is het personal firewall project.
De combinatie van deze software met AV, VPN, switches en centrale logging
maken verschillende dingen mogelijk

De PF kan buffer overruns ongeoorloofde wijzigingen van bestanden, registry
keys e.d. detecteren zo wordt de AV software wat ontlast. Bovendien kan de
samenwerking PF en AV er voor zorgen dat als de AV een worm/virus ontdekt
hij de PF rules aanpast en de netwerkverbinging afsluit of slechts beperkt
mogelijk maakt (bvb alleen maar naar de helpdesk oid.)

Men kan de PF laten samenwerken met VPN software en zo afdwingen dat
indien de PF niet draait men geen toegang krijgt tot de corporate VPN.

Iets vergelijkbaar kan men doen met management software van de normale
bedrijfswitches. Indien de management software van de switch je PF niet kan
vinden dan patched hij je naar een VLAN met bepaalde ristricties of wordt de
toegang gewijgerd.

Centrale logging van de IDS maakt het mogelijk om besmette PC of
overactieve gebruikers te identificerden en automatisch te isoleren in het
netwerk.

Interessante ontwikkelingen die het gebruik van mobiele toestellen op een
veilige manier mogelijk maken.

Terugkeer naar pen en papier houdt het netwerk ook virusvrij. Als de beste
man van MicroScope toch bezig is met afschaffen: Wanneer gaat hij die
gebruikers nu eindelijk eens afgeschaffen? Ik irriteer me al jaren mateloos
aan.

Mensen, technisch is alles mogelijk. Feit is dat het geld kost en dat moet
worden verantwoord. De IT-manager moet zich sterk maken bij de directie en
in staat zijn om een business case te bouwen. Daar begint het wat mij
betreft. Begin eens met het opstellen van een beveiligingsbeleid (met
management en directie) , voer daarna een risicoanalyse (met management
en directie) uit om te kijken waar de gaten tussen beleid en realiteit zitten en
neem vervolgens maatregelen. IT-managers die zich alleen bewegen op het
vlak van de techniek / producten zijn GEEN IT-managers en horen niet op die
plaats te zitten.

Eindelijk de juiste opmerking (en voor de verandering nog in goed
taalgebruik ook).

Dank je... ;-) Ik zit ook bij de vrijwillige taalpolitie.

Wij hebben ook een 20 tal laptops in ons netwerk.
De meeste worden dan ook mee naar huis en of de klant genomen.Alle
laptops zijn voorzien van een virusscanner die meteen gaat zoeken naar de
server voor een eventuele update.Mocht de server niet bereikbaar zijn, dan
gaat hij naar de desbetreffende site waar de update staan.Voor wat betreft
het installeren van software....daar heeft de gebruiker geen rechten toe.Wij
hebben geprobeerd om de gebruiker net genoeg rechten te geven om te
werken met de door het bedrijf gekochte software en niet meer.
En tot nu toe werkt dit prima.En mochten ze een probleem hebben dan is het
noodzakelijk om naar binnen te komen met de laptop of wij doen het op
afstand.
Maar goed echt helemaal kan je het toch niet tegen houden.Maar proberen
kan wel.Daarom is het zo dat elke pc of laptop aanlogt op het netwerk een log
wegschrijft met daarin zijn configuratie.Hierdoor is voor ons mogelijk om te
kijken of er iets is veranderd aan het systeem.Of het nou hardware matig is of
software, je kan het in iedergeval terug lezen en vervolgens actie
ondernemen.En laat dit duidelijk zijn aan de gebruiker en de andere
gebruikers.Hierdoor voorkom je een heleboel werk is ons gebleken.

Raymond

Leuk al die pas afgestudeerde VMBO-tjes die moeten beslissen hoe echte
professionals moeten werken en welke rechten ze hebben op hun
machine.... Ik als ervaren ontwikkelaar wil gewoon local-admin zijn. Punt
uit. Ik ben een professional geen secretaresse of zo... Wat is er op tegen
om professionals gewoon local-admin te laten zijjn....