informazioni per server aziendale

[stufillaro]

Buongiorno,
@battilei
@Black"SLI"jack
Anche se ormai molte informazioni passano attraverso Internet ciò non significa che siano tutte.
Le sentenze giudiziarie sono conservate innanzitutto nel tribunali poi forse in Internet.
Non confidiamo alla cieca su quel che è accaduto una volta perché lo troviamo in Internet.
Bastano due sentenze sullo stesso argomento e con risultati opposti da far decadere una presunta nuova legge.
Non si faccia affidamento alla sentenza citata (o sentenze citate), fanno caso a sé, ovviamente ci sono ma lungi dall'inaugurare un new deal.
Per un semplice fatto:
Se si fa firmare un foglio dove un sottoposto dichiara essere a conoscenza che un suo normale uso degli strumenti informatici forniti dalla azienda può essere soggetto a controllo questo di per sé non stabilisce in alcun modo che il contenuto eventuale (dati) possa di per sé essere utilizzato per giustificare azioni disciplinari di qualsiasi tipo.
Deve essere dimostrato che quello specifico utilizzo reca fastidio se non danno cioè si configura come uso improprio addirittura contro gli interessi dell'azienda violando il patto di rispetto, non concorrenza e varie altre cose.
La sentenza (2006/2007) e anche alcune norme contenute in un decreto attuativo del job act non cambiano la storia e soprattutto, ignoranza in campo, si guardano bene dall'asserire che una password conosciuta da un'autorità NON autorevole (solo un fido collaboratore) chiuda il giro e autorizzi chissà quali azioni.
La posta elettronica è uno strumento di comunicazione e la casella è una conditio sine qua non tecnica e non certo un divertimento o un modo per occupare il tempo a spese dell'azienda se la casella è dell'azienda.
Se la casella é personale dell'utente, il suo utilizzo tramite risorse aziendali può costituire uso improprio di bene aziendale (computer, rete, corrente, tempo dell'azienda casella del sottoposto) ma non autorizza alla visione del contenuto qualsiasi foglio sia stato firmato.
Se una mail contiene atti anche dannosi nei confronti dell'azienda ma è veicolata attraverso una casella 'personale' ci vuole un'autorizzazione di un magistrato per leggerne il contenuto
Non basta
Tale contenuto non può essere quello eventualmente parcheggiato nei file temporanei o di sistema di un qualsiasi computer della rete locale.
Il magistrato deve chiedrli al provider che per legge li deve conservare insieme ai log, provider che deve certificare timestamp e altri meccanismi che assicurino la non modifica in tempi successivi all'evento.
Per capirci: Il file outlook locale o le aree di caching di un proxy possono esser utili ad una indagine non certo costituire prova per cause civili o penali.
Una casella di posta condivisa di per sè annulla qualsiasi prova di qualsiasi genere a meno che chi la utilizza per recare danno all'azienda ci metta dentro un'identificazione tale da consentire un'indiscutibile verità.
Io di tali indiscutibili identificazioni non ne conosco, voi ?
Sappiamo tutti che una informazione si può inventare, quello che è dirimente è dimostrare che non è assolutamente possibile che sia stata inventata.
L'uso improprio è più facile da dimostrare perché esso è indipendente dal contenuto: potrei aver scritto cinquanta milioni di spazi (nessun danno), però l'ho fatto con mezzi non miei in un tempo in cui sono retribuito per fare altro.

[AMD_Edo]

Quote:

Originariamente inviato da danilo1993

...

Dovrei semplicemente gestire gli utenti e le varie autorizzazioni alle modifiche o letture dei file, antivirus centralizzato e backup sicuri.
gli utenti ad oggi sono circa 10, più alcuni pc dei macchinari che hanno bisogno solo di un database per i programmi.

Nel server devono essere installati dei programmi o quello che ti serve sono delle cartelle condivise dove salvare i dati?

Quote:

per la posta elettronica mi piacerebbe avere tutto centralizzato e sotto il mio "controllo", controllo inteso come sapere cosa viene detto ai clienti o fornitori da tutti gli utenti per non trovarmi spaesato se non ho i dipendenti con me. considerando anche che più di una persona utilizza lo stesso account e-mail da postazioni diverse. chiaramente tutti sanno che io voglio poter vedere ogni e-mail inviata o ricevuta.

Attualmente come fate per la posta elettronica? Avete un dominio proprio (es. @pincopallino.it)?

Quote:

ho sentito ultimamente molti casi di attacco e furto dei dati provenienti dall'estero.

Possono avvenire degli attacchi esterni ma a mio avviso solo per entità rilevanti... Un hacker trarrebbe vantaggi a spendere tempo e risorse per entrare nel tuo sistema?

È piú facile che un dipendente scontento copi dei files importanti (e li rivenda) o che qualcuno scarichi un'e-mail con bitlocker...

Quote:

io avevo intenzione di bloccare qualsiasi connessione in entrata sui client che non provenisse dal server.

per la connessione ad internet, non saprei bene come intevenire per avere una rete sicura, potrei anche utilizzare un pc dedicato e condividerne la connessione.

chiaramente password complesse per ogni utente e nessuna cartella con autorizzazioni per everyone.

Un firewall serio é il minimo (ci sono delle ottime soluzioni che usano software libero come pfSense e Endian Community Edition).

Quote:

il server vorrei configurarlo per un raid 1+0. ed i backup verranno effettuati a giorni alterni su 2 nas di rete differenti. i nas verranno accesi automaticamente 10 minuti prima dei backup e spenti appena finito il backup.
nelle ore notturne e nel fine settimana la connessione internet verrà disabilitata intervenendo direttamente sull'alimentazione del router dove passa internet.

Io preferisco sempre fare un backup in più che in meno! Non conosco la mole dei tuoi dati ma effettuare dei backup incrementali (ossia dei soli file modificati) durante la giornata lavorativa (magari in pausa pranzo) non farebbe male.

Una volta chiariti i sopracitati punti posso dirti come organizzarei le cose se l'impresa fosse mia.

Saluti

[Tasslehoff]

Quote:

Originariamente inviato da danilo1993

Vi ringrazio per i consigli.

vado per punti, e spiego i miei punti di vista:

-assistenza esterna:

[SNIP]
Capisco perfettamente il tuo punto di vista e la delusione, però partire dal presupposto che tutti i professionisti dell'IT si comportino così mi pare un po' sbagliato, non credi?
Sicuramente anche nell'ambito il cui lavora la tua azienda ci saranno competitor stronzi e farabutti che vendono fumo negli occhi ai clienti, mentre voi magari lavorate seriamente.
Sarebbe quantomeno ingiusto appicciare a voi quelle etichette per colpa di qualche concorrente farabutto, non credi?

Premesso appunto che qui la colpa è di quei cialtroni che ti hanno causato più danno che altro, uno dei problemi è anche quello di non aver avuto in casa qualcuno con le skill adatte a filtrare le soluzioni proposte e il lavoro svolto da quelli che ti hanno causato danni.
E qui ci ricolleghiamo a quanto dicevo nel mio precedente post, ovvio però che non puoi pretendere di assumere un ragazzino neodiplomato e "esperto di computer" pensando che si prenda la responsabilità di un senior e che sappia fare analisi e sviluppare soluzioni per soddisfare le vostre esigenze.

Quote:

Originariamente inviato da danilo1993

-imprenditore che lavora, non può seguire la parte informatica:

[SNIP]
Nessuno ti sta accusando di trascurare nulla, io sto solo dicendo che le attività di manutenzione informatica non sono strategiche per la tua figura professionale.
Io lavoro per una azienda piccola di consulenze che lavora per lavora con partner grandi presso progetti da clienti di grandi dimensioni; tu pensi che il mio datore di lavoro non voglia fare quello che vorresti fare tu?
Ci ha anche provato, poi per fortuna (ma anche perchè gliel'abbiamo fatto capire) si è reso conto che non poteva farcela, anzi, il suo pensare di poter gestire ogni processo diventava un freno al nostro lavoro, e quindi si ripercuoteva in modo catastrofico sull'azienda.

Quote:

-mail dipendenti:
devo vedere la posta inviata dalla mail generale info@, le altre sono gestioni secondarie che non mi interessano. rimane il fatto che non vedo per quale motivo non dovrei poter vedere cosa dicono i miei dipendenti ai miei clienti o fornitori, non parlo di mail personali. parlo di accordi di consegna, appuntamenti, e quant'altro a cui devo essere a conoscenza anche io ma non gestisco direttamente.

Ma semplicemente chiedere ai tuoi dipendenti di metterti sempre in ccn?
Se non lo fanno glielo fai notare, se non lo fanno ancora puoi arrivare fino al richiamo.

Resta il fatto che imho è una cosa controproducente, ti ritroveresti il blob informe di cui parlavo prima e finiresti per non riuscire più a gestire la posta, però fai come preferisci...

[danilo1993]

Quote:

Originariamente inviato da AMD_Edo

Nel server devono essere installati dei programmi o quello che ti serve sono delle cartelle condivise dove salvare i dati?



Attualmente come fate per la posta elettronica? Avete un dominio proprio (es. @pincopallino.it)?



Possono avvenire degli attacchi esterni ma a mio avviso solo per entità rilevanti... Un hacker trarrebbe vantaggi a spendere tempo e risorse per entrare nel tuo sistema?

È piú facile che un dipendente scontento copi dei files importanti (e li rivenda) o che qualcuno scarichi un'e-mail con bitlocker...


Un firewall serio é il minimo (ci sono delle ottime soluzioni che usano software libero come pfSense e Endian Community Edition).


Io preferisco sempre fare un backup in più che in meno! Non conosco la mole dei tuoi dati ma effettuare dei backup incrementali (ossia dei soli file modificati) durante la giornata lavorativa (magari in pausa pranzo) non farebbe male.

Una volta chiariti i sopracitati punti posso dirti come organizzarei le cose se l'impresa fosse mia.

Saluti

Ti ringrazio innanzi tutto per la disponibilità.

devo solamente gestire i file, per la distribuzione del gestionale ci pensano i tecnici della casa madre.

la parte office ho tutte le licenze sui pc locali, vorrei mantenere le stesse.
al massimo l'antivirus potrei centralizzare.



posta elettronica ho un mio dominio, attualmente ogni outlook è collegato agli account necessari, per questo è un inferno la gestione della posta.


per gli attacchi che citavo, ho sentito un paio di piccole aziende come la mia che hanno subito attacchi provenienti dall'estero che chiedono un riscatto per riavere i documenti.

i dipendenti che rubano file non mi preoccupano, penso che ognuno riceve quel che merita, e non credo mai succederà una cosa del genere in casa mia. I dipendenti vengo trattati come figli. per i Bitlocker da mail basta bloccare allegati che non siano pdf, il resto sono archivi con disegni e se qualcosa non quadra non li scarico.

firewall attendo consigli


i backup ad oggi li faccio ogni sera, saranno circa 200 GB.

grazie e saluti

[mmiat]

Quote:

Originariamente inviato da danilo1993

al massimo l'antivirus potrei centralizzare.

puoi provare "avast for business", la versione base è gratuita ed è cloud gestito da console in internet

[Kaya]

Quote:

Originariamente inviato da danilo1993

per gli attacchi che citavo, ho sentito un paio di piccole aziende come la mia che hanno subito attacchi provenienti dall'estero che chiedono un riscatto per riavere i documenti.

Al momento per i famosi cryptoloker (googla un po per capire) ci sono ben pochi antivirus.
Le uniche due vere azioni fattibili per limitare i danni sono:
- Istruire bene il personale
- Che i backup siano fatti regolarmente e su dispositivi alternati NON raggiungibili dalla rete

ATTUALMENTE non esistono altre soluzioni

Quote:

Originariamente inviato da danilo1993

firewall attendo consigli

Pfsense è una ottima soluzione.
UN prodotto TIPO questo potrebbe fare al caso tuo :http://www.firewallhardware.it/entry...apu_based.html (ovviamente non avendo alcuna informazione eccessivamente specifica sulle necessità).

Se vuoi anche che faccia da proxy con content filter, devi passare a qualcosa di più prestante

[danilo1993]

Buonasera a tutti.
resconto del lavoro del fine settimana:

-configurato active directory, autorizzazioni ed utenti
-dns ok
-dhcp ok
-antivirus per ora li tengo locali sui singoli pc fino allo scadere delle licenze.

per la posta non ho ancora deciso come fare, penso che la soluzione delle risposte in conoscenza sia davvero la più semplice e la migliore.

l'unico problema che ho adesso, è che un solo pc non effettua il join al dominio, vede il DC ma mi da errore e non si collega.
tutti gli altri hanno effettuato l'accesso senza il minimo problema.

sono ben accetti consigli prima di cambiare pc

Buona serata a tutti

saluti

[AMD_Edo]

Quote:

Originariamente inviato da danilo1993

Buonasera a tutti.
resconto del lavoro del fine settimana:

-configurato active directory, autorizzazioni ed utenti
-dns ok
-dhcp ok
-antivirus per ora li tengo locali sui singoli pc fino allo scadere delle licenze.

per la posta non ho ancora deciso come fare, penso che la soluzione delle risposte in conoscenza sia davvero la più semplice e la migliore.

l'unico problema che ho adesso, è che un solo pc non effettua il join al dominio, vede il DC ma mi da errore e non si collega.
tutti gli altri hanno effettuato l'accesso senza il minimo problema.

sono ben accetti consigli prima di cambiare pc

Buona serata a tutti

saluti

Crea una gpo per trasferire le cartelle utenti sul server in maniera da poterne effettuare il backup.

Prova a rimuovere il pc dal dominio e poi re-inserirlo...

[Kaya]

Quote:

Originariamente inviato da danilo1993

l'unico problema che ho adesso, è che un solo pc non effettua il join al dominio, vede il DC ma mi da errore e non si collega.
tutti gli altri hanno effettuato l'accesso senza il minimo problema.

sono ben accetti consigli prima di cambiare pc

1) Trascrivere qua l'errore e cercarlo in google è un ottimo primo passo
2) guardare log registro eventi
3) Data e ora sono corrette rispetto al server?

Quote:

Originariamente inviato da AMD_Edo

Crea una gpo per trasferire le cartelle utenti sul server in maniera da poterne effettuare il backup.

Mi sembra una cosa assurda.
Da me vige la regola "Tutto quello che viene salvato in rete è protetto, quello che avete sul vostro pc è da considerarsi eliminato".
Funziona ed evito inutili congestioni di rete

[mmiat]

Quote:

Originariamente inviato da Kaya

Mi sembra una cosa assurda.
Da me vige la regola "Tutto quello che viene salvato in rete è protetto, quello che avete sul vostro pc è da considerarsi eliminato".
Funziona ed evito inutili congestioni di rete

sono i roaming profile, tanto belli in teoria quanto problematici in pratica...

[danilo1993]

poi ho risolto dopo qualche grattacapo.
penso che fosse dovuto a qualche problema di driver per windows 10, sono tornato a windows 7 su quel client e tutto ora fila liscio. era anche uscita fuori la schermata azzurra di windows 10!!

avevate ragione, qualche ora notturna di prove, e qualche imprecazione, è servita, ma tutto sembra funzionare bene per le mie necessità.

mi rimane ancora qualche domanda da porvi:

come organizzate voi i backup solitamente?
per il momento ho impostato un backup incrementale giornaliero su un nas di rete, ed uno totale settimanale sullo stesso nas.
Il tempo di ordinarne un altro e poi quello settimanale verrà eseguito sul nuovo nas (consigli?).
Quest'ultimo sara collegato attraverso un router che accenderò automaticamente solo in concomitanza del backup. Magari sarà una cosa banale ma sono convinto che con il router spento al nas non c'è modo di arrivare.
la mia preoccupazione non è un eventuale furto dei dati, ma rimanerne senza, quindi niente criptaggio dati, nè compressione con password, non ne ho bisogno.


Visto l'imminente acquisto avrei piacere di sfruttare il nas anche per la videosorveglianza, ho 16 telecamere che registrano di continuo e potrei accoppiare il nas al pc già dedicato.


Inoltre, per la posta elettronica, pensavo ad uno di quei servizi come gmail, che sincronizzano in automatico la posta inviata da più dispositivi, conoscete qualche software per pc che possa svolgere la stessa funzione? o è proprio un altro servizio rispetto a quello che fornisce aruba?


ultima domanda, sempre per i backup, la strada più sicura o veloce o conveniente, che tanto non ho fretta , qual'è? via ftp? percorsi di rete? unità mappate?





Grazie mille a tutti

[AMD_Edo]

Quote:

Originariamente inviato da Kaya

Mi sembra una cosa assurda.
Da me vige la regola "Tutto quello che viene salvato in rete è protetto, quello che avete sul vostro pc è da considerarsi eliminato".
Funziona ed evito inutili congestioni di rete

Le regole in vigore da te possono non coincidere con quanto in vigore nell'università dove lavoro, non trovi?

Può sembrarti assurdo ma avere la cartella Documenti in roaming sul file server è molto comodo... inoltre non ha appesantito di molto l'uso della rete.

Quote:

Originariamente inviato da mmiat

sono i roaming profile, tanto belli in teoria quanto problematici in pratica...

Dipende... se collochi l'intera cartella utente sul server diventa molto problematico (basta pensare alla cache dei vari browser) ma se il tutto si limita ad una o due cartelle il tutto è meno problematico.

[Kaya]

Quote:

Originariamente inviato da AMD_Edo

Le regole in vigore da te possono non coincidere con quanto in vigore nell'università dove lavoro, non trovi?

Può sembrarti assurdo ma avere la cartella Documenti in roaming sul file server è molto comodo... inoltre non ha appesantito di molto l'uso della rete.



Dipende... se collochi l'intera cartella utente sul server diventa molto problematico (basta pensare alla cache dei vari browser) ma se il tutto si limita ad una o due cartelle il tutto è meno problematico.

Indubbiamente ognuno ha esisgenze diverse e su questo non discuto.
Diciamo che dopo aver visto utenti che avevano desktop da 4-5 Gb.. non amo così tanto i roaming profile ;-)

[Kaya]

Quote:

Originariamente inviato da danilo1993

mi rimane ancora qualche domanda da porvi:

come organizzate voi i backup solitamente?
per il momento ho impostato un backup incrementale giornaliero su un nas di rete, ed uno totale settimanale sullo stesso nas.
Il tempo di ordinarne un altro e poi quello settimanale verrà eseguito sul nuovo nas (consigli?).
Quest'ultimo sara collegato attraverso un router che accenderò automaticamente solo in concomitanza del backup. Magari sarà una cosa banale ma sono convinto che con il router spento al nas non c'è modo di arrivare.
la mia preoccupazione non è un eventuale furto dei dati, ma rimanerne senza, quindi niente criptaggio dati, nè compressione con password, non ne ho bisogno.


Visto l'imminente acquisto avrei piacere di sfruttare il nas anche per la videosorveglianza, ho 16 telecamere che registrano di continuo e potrei accoppiare il nas al pc già dedicato.


Inoltre, per la posta elettronica, pensavo ad uno di quei servizi come gmail, che sincronizzano in automatico la posta inviata da più dispositivi, conoscete qualche software per pc che possa svolgere la stessa funzione? o è proprio un altro servizio rispetto a quello che fornisce aruba?


ultima domanda, sempre per i backup, la strada più sicura o veloce o conveniente, che tanto non ho fretta , qual'è? via ftp? percorsi di rete? unità mappate?


Grazie mille a tutti

Rispondo a random
1) Non credo tu voglia mettere un router, ma uno switch. Si puoi fare anche così ma mi sembra una cosa un po esagerata.
2) Le mie politiche di backup sono semplici
delle n macchine virtuali che ho faccio uno snapshot a gruppi ogni giorno della settimana lavorativa.
Dei dati faccio il DIFFERENZIALE ogni giorno
Un full dei dati su un nas il mercoledì e uno il sabato su un altro nas
Copia dei dump dei DB con 5 giorni di ritenzione a settimane alterne sui due nas.
Il giovedi copia dei full su HD esterno
3) I backup vengono effettuati tramite semplice share di rete, con accesso senza autenticazione ma solo dagli ip dei server
4) Gmail for business è un ottimo prodotto. Valuta anche la contropartita di Microsoft
5) Per la videosorveglianza non ho idea dei volumi di dati, ma con 16 telecamere.... valuterei un sistema separato e dedicato

[Dane]

Quote:

Originariamente inviato da Kaya

Indubbiamente ognuno ha esisgenze diverse e su questo non discuto.
Diciamo che dopo aver visto utenti che avevano desktop da 4-5 Gb.. non amo così tanto i roaming profile ;-)

I tuoi sono principianti. Non ho fatto la foto, ma ho visto profili (da intendere come la parte roaming) da più di 50gb

Risate a parte, i roaming profile funzionano bene fintantoche sono piccoli.
Se non ci sono meglio, così gli utenti non si portano morchia da un pc all'altro e ricreare un profilo su più pc rischia di diventare un incubo.

Però se usati pesantemente con folder redirection su cartelle di rete con quote e cartelle locali funzionano abbastanza bene ;-)