9
Nur sichere Clients im Netzwerk!?
Hallo zusammen,
hat jemand erfahrung darin, clients nur connecten zu lassen wenn diese 100% up to date sind?
Versionsprüfung per wmi oder wsus. Ein NAC wäre vorhanden..
Blöd ist die Ausnahme für den Wsus Server.
hat jemand erfahrung darin, clients nur connecten zu lassen wenn diese 100% up to date sind?
Versionsprüfung per wmi oder wsus. Ein NAC wäre vorhanden..
Blöd ist die Ausnahme für den Wsus Server.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 43282879311
Url: https://administrator.de/contentid/43282879311
Ausgedruckt am: 26.09.2024 um 23:09 Uhr
9 Kommentare
Neuester Kommentar
Servus,
na dann würde ich im ersten Schritt mal prüfen ob euer NAC eine WSUS Anbindung hat ;)
Gruß
na dann würde ich im ersten Schritt mal prüfen ob euer NAC eine WSUS Anbindung hat ;)
Gruß
Hallo,
Erfahrung ja.
Was hast du mit Geräten vor, welche nonWindows sind?
Welches NAC ist denn vorhanden?
Was möchtest du genau wissen?
VG
Erfahrung ja.
Was hast du mit Geräten vor, welche nonWindows sind?
Welches NAC ist denn vorhanden?
Was möchtest du genau wissen?
VG
Guten Morgen,
macmon V6 ist im Einsatz, die nonWin sind ohne entsprechendem mdm für Android oder UX Schnittstelle wohl problematisch. Wie patched bzw. kontrolliert Ihr Android/UX Clients und deren Versionsstand?
Evtl. ist es doch besser "nur" den Virenscanner anzubinden..
Ich würde gerne wissen wie andere das so umsetzen.
BG
macmon V6 ist im Einsatz, die nonWin sind ohne entsprechendem mdm für Android oder UX Schnittstelle wohl problematisch. Wie patched bzw. kontrolliert Ihr Android/UX Clients und deren Versionsstand?
Evtl. ist es doch besser "nur" den Virenscanner anzubinden..
Ich würde gerne wissen wie andere das so umsetzen.
BG
Und dann war jemand 6 Monate krank und kommt wieder sein PC geht nicht weil ihm ein paar Updates fehlen.
Theoretisch läuft der WSUS ohne Domäne. Also dürfte der Client nach seinen Updates dann der Domäne betreten. Aber die Updates zieht er ja nur wenn sich der User anmelden kann, dann kann sich der User nicht anmelden weil länger Zeit nicht am AD gemeldet, also er überschreitet die 30 Tage.
Puuuuuh.
Theoretisch läuft der WSUS ohne Domäne. Also dürfte der Client nach seinen Updates dann der Domäne betreten. Aber die Updates zieht er ja nur wenn sich der User anmelden kann, dann kann sich der User nicht anmelden weil länger Zeit nicht am AD gemeldet, also er überschreitet die 30 Tage.
Puuuuuh.
Genauso sollte es sein, wenn ein Gerät Update Probleme hat sollte es nicht mehr online kommen dürfen und meldet sich deshalb in der IT zur reparatur.
PS: ob ein WSUS Server in der Domäne ist oder nicht ist sch..egal da Port=offline
PS: ob ein WSUS Server in der Domäne ist oder nicht ist sch..egal da Port=offline
Hi,
Ich würde die ganze Geschichte etwas anders angehen. Definiere doch einen Zeitraum x, für den sich das Gerät im Netz mal gemeldet haben muss, dies sollte ja in den meisten Fällen den Patchstand widerspiegeln.
Ich würde per Powershell-Skript auf den DCs alle Computerobjekte, die den Zeitraum überschreiten deaktivieren.
Ich persönlich nutze 802.1x mit dem NPS als RADIUS.
Wenn das Computerkonto deaktiviert ist, fliegt er ins Installationsnetz, da die Authentifizierung per EAP TLS fehl schlägt und MAB als Fallback definiert ist. Man könnte ihn auch ins Quarantänenetz schieben. Du musst dir dann nur überlegen wie der Prozess aussehen soll zum Updaten.
Ich würde die ganze Geschichte etwas anders angehen. Definiere doch einen Zeitraum x, für den sich das Gerät im Netz mal gemeldet haben muss, dies sollte ja in den meisten Fällen den Patchstand widerspiegeln.
Ich würde per Powershell-Skript auf den DCs alle Computerobjekte, die den Zeitraum überschreiten deaktivieren.
Ich persönlich nutze 802.1x mit dem NPS als RADIUS.
Wenn das Computerkonto deaktiviert ist, fliegt er ins Installationsnetz, da die Authentifizierung per EAP TLS fehl schlägt und MAB als Fallback definiert ist. Man könnte ihn auch ins Quarantänenetz schieben. Du musst dir dann nur überlegen wie der Prozess aussehen soll zum Updaten.
Hi,
guter Ansatz, womöglich muss es darauf rauslaufen.
Mir fällt bisher kein anderer praktikablerer Weg ein.
Was machst du mit UX/Android? direkt isoliert betreiben oder hast du ein extra patchmanagement dafür?
guter Ansatz, womöglich muss es darauf rauslaufen.
Mir fällt bisher kein anderer praktikablerer Weg ein.
Was machst du mit UX/Android? direkt isoliert betreiben oder hast du ein extra patchmanagement dafür?
Ans kabelgebundene Netz kommt in der Firma außer den Windows Clients nichts ran, außer 4 Macs sowie eine Linux Maschine. 3 Dieser Geräte sind in der Hand von Admins.
Für diese Maschinen gibt es kein Verwalrungswerkzeug.
Der Rest, also insbesondere die Smartphones werden bald von einem MDM verwaltet. Da muss ich mich jedoch erst noch drum kümmern. Hier würde ich jedoch bald mindestens mal in Intune ein Conditional Access definieren, womit eben nur Geräte mit einer bestimmten Parchversion an die M365 Dienste kommen. Das zwingt die Leute dann zumindest implizit die Geräte frisch zu halten.
Ansonsten werde ich schauen, was mit einem MDM in dieser Hinsicht möglich ist. Das habe ich jedoch noch vor mir, vor kurzem ging erst das 802.1x produktiv. Von daher kann ich dir dafür jedenfalls aus eigener Erfahrung noch kein Rezept nennen.
Für diese Maschinen gibt es kein Verwalrungswerkzeug.
Der Rest, also insbesondere die Smartphones werden bald von einem MDM verwaltet. Da muss ich mich jedoch erst noch drum kümmern. Hier würde ich jedoch bald mindestens mal in Intune ein Conditional Access definieren, womit eben nur Geräte mit einer bestimmten Parchversion an die M365 Dienste kommen. Das zwingt die Leute dann zumindest implizit die Geräte frisch zu halten.
Ansonsten werde ich schauen, was mit einem MDM in dieser Hinsicht möglich ist. Das habe ich jedoch noch vor mir, vor kurzem ging erst das 802.1x produktiv. Von daher kann ich dir dafür jedenfalls aus eigener Erfahrung noch kein Rezept nennen.
Ich werde vorerst:
1. Android in ein isoliertes Netz (nur extern) stecken.
2. Unix Versionsstände per zabbix auslesen und erstmal nur informativ zur compliance ein Template schreiben (wo ist die Zeit?)
3. Win per macmon (DHCP,WSUS und GDATA) Plugin anbinden
Alles was nicht compliant ist werfe ich ins gesonderte Quarantäne Netz.
Ich werde weiter berichten..
1. Android in ein isoliertes Netz (nur extern) stecken.
2. Unix Versionsstände per zabbix auslesen und erstmal nur informativ zur compliance ein Template schreiben (wo ist die Zeit?)
3. Win per macmon (DHCP,WSUS und GDATA) Plugin anbinden
Alles was nicht compliant ist werfe ich ins gesonderte Quarantäne Netz.
Ich werde weiter berichten..
