zahni

Welche Ports sind das denn? Den User "Administrator" solltest Du umbenennen und deaktivieren. Schaue Dir das Eventlog an. Vor allen Dingen das Security-Log. Vielleicht wurde auch schon in den Server eingebrochen.

Bei 2008 R2 kommt die Meldung nach dem 1. von VMware ausgelösten Reboot. Ich ich glaube, bei 2012R2 machen die noch ein sysprep /generalize, daher der 2. Reboot. @RolfW, Normalerweise macht man am Template kein Sysprep. Das führt VMWare aus, wenn man ein Deploy VM macht und die Funktion "Guest Customization" nutzt. BTW. Ein KMS-Server ist hier durchaus sinnvoll. Edit: Jetzt kämpfen wir noch mit dem Problem: https://blogs.technet.microsoft.com/askpfeplat/2014/09/29/attempting-to-install-net-framework-3-5-on-windows-server-2012-r2-fails-with-error-code-0x800f0906-or-the-source-files-could-not-be-downloaded-even-when-supplying-source/ -Zahni

Kurze Rückmeldung. Unter 2012R2 kann man den CleanMgr tatsächlich nur aufrufen, wenn "Desktop Experience" installiert ist. Das steht auch irgendwo unten in den Blogs und im Script von Dunkelmann wird es berücksichtigt. Aber DSIM-Dingsbums bringt auch Einiges. Und SoftwareDistribution bekomme ich auch alleine gelöscht Edit: So nun hat es geklappt :D . Man muss tatsächlich warten, bis die VM insgesamt 4x neu gebootet hat. "VMWare Customization..." kommt erst nach dem 2. Reboot.

Danke, werde ich beim 2. Versuch nachher mal probieren.

Hi, ich baue gerade ein Windows Server 2012R2-Template in unserem Vsphere Vcenter. Im Template habe ich am Ende Desktop Experience installiert um "Disk Cleanup" ausführen zu können. Danach wurde dieses und die beiden anderen bedingenden Features wieder entfernt. Leider funktioniert nun Sysrep über das Vcenter nicht mehr: 2016-02-17 11:03:49, Error SYSPRP Package windows.immersivecontrolpanel_6.2.0.0_neutral_neutral_cw5n1h2txyewy was installed for a user, but not provisioned for all users. This package will not function properly in the sysprep image. 2016-02-17 11:03:49, Error SYSPRP Failed to remove apps for the current user: 0x80073cf2. 2016-02-17 11:03:49, Error SYSPRP Exit code of RemoveAllApps thread was 0x3cf2. 2016-02-17 11:03:49, Error [0x0f0082] SYSPRP ActionPlatform::LaunchModule: Failure occurred while executing 'SysprepGeneralize' from C:\Windows\System32\AppxSysprep.dll; dwRet = 0x3cf2 2016-02-17 11:03:49, Error SYSPRP ActionPlatform::ExecuteAction: Error in executing action; dwRet = 0x3cf2 2016-02-17 11:03:49, Error SYSPRP ActionPlatform::ExecuteActionList: Error in execute actions; dwRet = 0x3cf2 2016-02-17 11:03:49, Error SYSPRP SysprepSession::Execute: Error in executing actions from C:\Windows\System32\Sysprep\ActionFiles\Generalize.xml; dwRet = 0x3cf2 2016-02-17 11:03:49, Error SYSPRP RunPlatformActions:Failed while executing SysprepSession actions; dwRet = 0x3cf2 2016-02-17 11:03:49, Error [0x0f0070] SYSPRP RunExternalDlls:An error occurred while running registry sysprep DLLs, halting sysprep execution. dwRet = 0x3cf2 2016-02-17 11:03:49, Error [0x0f00a8] SYSPRP WinMain:Hit failure while processing sysprep generalize internal providers; hr = 0x80073cf2 Hat da jemand eine Lösung für? Lt. Google liegt es genau daran: Desktop Experience lässt sich nicht vollständig deinstallieren und lässt irgendwelche Leichen zurück. Ich gehe dann mal wieder über "Los" ;) -Zahni

Eigentlich sind doch die deutschen Ordner immer nur junction points. Oder habe ich was verpasst? Vielleicht wurden die junction points durch eine ungeeignete Software gelöscht?

Schön, danke für die Rückmeldung.

Sonst mal den AVM-VPN-Cleint probieren. http://avm.de/service/vpn/praxis-tipps/vpn-verbindung-zur-fritzbox-unter-windows-einrichten-fritzfernzugang/

Trage mal bei beiden Life times 3600 ein. Die FB will in Firmware-Versionen immer ein Phase 2 Rekeying alle 3600 Sec. machen. Das klappt mit machen IPSEC-Clients nicht. Android kann das z.B. überhaupt nicht. Die Life time wurde übrigens in den neueren Versionen der Firmware verlängert.

Ok, ich nehme alles zurück und behaupte das Gegenteil. Mein "Gegenüber" hat heute angefangen mit Windows 10 in unserem Netz (!) rumzuspielen. ich musst ihn erstmal bremsen ,)

Enterprise-Versionen muss man manuell mit dem richtigen ISO aus dem VLSC updaten.

Unser Personalrat ist auch nicht einfach. Zugriffe kann man übrigens auch ohne Proxy protokollieren. Muss man aber nicht, auch nicht bei einem Proxy. Und darauf kommt es in einer Dienstvereinbarung an. Ich meinte übrigens keinen "Zwangsproxy", sondern einen echten Proxy, den man im Client konfigurieren muss. Die Damen und Herren Wissenschaftler müssen dann halt lernen: Wie benutze ich einen HTTP-Proxy ;) . Nochmal zurück zur ursprünglichen Frage: Die einfachste Aufgabe für ein Sicherheitsprodukt wäre es Browser-Exploits direkt in der HTML-Quelle zu erkennen. Das Problem dabei: Die Exploits-Kits verwenden ständig neue Varianten um den Code zu verschleiern. Mit Signaturen kommt man da nicht weit. Die Aufgabe wäre also, mittels eine Javascript-Engine die eval()-Sektionen der Scripte auszuführen und den resultierenden Code zu prüfen. Schon daran scheitern die meisten Produkte. Ladet mal den Quelltext eines frischen Exploits bei Virustotal hoch. Bemerkenswerterweise melden sich hier manchmal die eher unbekannten Produkte aber selten die "Großen". Sehr schön auch bei den Word-Macro-Viren zu beobachten. Aus meinen bisherigen Erfahrungen kann ich für Browser-Exploits das IDS-Modul von Symantec empfehlen. Aber eben nur dafür. Zu Word-Macro-Viren hat Symantec auch erst 3 Tage später eine Meinung. So wie die meisten anderen Produkte. Ich habe irgendwann mal das APK von AVMs Fritzphone-Software bei einem Cloud-Analyse-Dienst hochgeladen. Bei dem Report hätte ich die Software gleich entsorgen müssen ;)

Eher nicht. Dann müsste Dein Router versuchen jedes Paket zu entschlüsseln, was so rumfliegt. Du möchtest aber keinen Core I10 in der Router einbauen ... ;)

Weil man die MAC-Adressen der vorhandenen Geräte abhören kann und dann einfach einen dieser Adressen nimmt. Die stehen in jedem Paket und sind nicht verschlüsselt. http://security.stackexchange.com/questions/6448/can-an-attacker-sniff-mac-addresses-on-a-wifi

MAC-Filter bringt auch nichts. Nervt nur. Das hält höchstens Geräte fern, bei denen man aus versehen das richtige WPA2-Passwort erraten hat.

Wurde vielleicht bei 5Ghz und 2,4Ghz die gleiche SSID verwendet? Die Besseren FBs spannen hier 2 WLANs auf. Man sollte hier auch unterschiedliche SSIDs verwenden. SSIDs verstecken ist in mehrfacher Hinsicht keine gute Idee: - man hat Geräte, die damit nicht gut umgehen können. - DSL-Router wählen ihren Kanal anhand der gefundenen SSIDs vom "Nachbarn" - Für "echte Hacker" ist eine versteckte SSID kein Hindernis. Die Netze sind mit den richtigen Scans trotzdem sichtbar.

Ich kann hier nur noch besteuern: Das so ein Proxy Sinn macht, kann ich aus eigener Erfahrung bestätigen (wir haben einen). Die meisten Malware-Downloader nutzen nach wie vor kein SSL. Das wäre viel zu umständlich, wenn man 3x pro Stunde den DNS-Namen des Servers wechselt. Ich habe auch bei Browser-Exploit noch nie eine HTTPS-Version gesehen. Wobei es die geben mag, wenn der gehackte Server von Hause aus SSL verwendet. SSL-Server lassen sich auch beim SSL-Connect sperren, ohne den Tunnel auszubrechen. Hier ist aus irgendeinem Grund Facebook gesperrt ,) Schön ist auch, dass man unerwünschte Protokolle so leicht sperren und SSL auf Port 443 beschränken kann. Für den Rest... (schrieb ich oben). Bei echter Anwendungssoftware gibt es auch genug manuelle Wege zu prüfen, ob sie nach Hause telefoniert. Hier hilft ein Proxy übrigens auch ungemein. Ich bin Fan von Fiddler.

Hm, wenn Ihr Internet habt, solltest Du über einen filternden Proxy nachdenken. Der ist geradezu Pflicht. Hier wird http://www.mcafee.com/de/products/web-gateway.aspx verwendet. Cloudsysteme, die nur die Hashs auf Bekanntheit prüfen, finde ich jetzt nicht so schlimm. Das macht sogar der IE beim Download, wenn ihm das nicht verbietet. Von automatisierten Sandbox-Prüfungen, halte ich nicht viel. Ich habe das mal eine Zeit lang aus langer Weile mit Sandboxie gemacht. Ein Teil der besseren Trojaner erkennen das und legen sich in der Sandbox schlafen, beendet sich sofort oder greift nur auf Windows-Update zu. Wirklich wirksam ist nur, alles zu verbieten, was nicht explizit erlaubt wurde. Die SRP kann auch mit Hashs arbeiten.

Was wollt Ihr denn erreichen? Ich hatte das schon an anderer Stelle geschrieben: - Mails: Alle ausführbaren Dateien (und sonstigen Unrat) herausfiltern (auch in Archiven). - Proxy: Das Gleiche, wobei SSL ein Problem ist, aber besser als überhaupt nichts. Die aktuellen Angriffe mit Word-Macros laufen so jedenfalls in Leere. Der Download der Exe wird blockiert. Gleichzeitig sollte man eine Lösung verwenden, die einen URL-Filter für bekannte "böse" Seiten bietet (z.B. Mcafe) Nun der PC: Neben dem Virenscanner sollte man Zeit in eine gute SRP investieren. Die NSA beschreibt das ganz gut: https://www.nsa.gov/ia/_files/os/win2k/application_whitelisting_using_srp.pdf Die sollte dann Programme abfangen, die per SSL kommen oder vom Anwender unerlaubt gestartet werden. USB-Ports dicht machen. Der Rest geht dann eher in dir Richtung Angriffe zu erkennen, die im internen Netz erfolgen.

Solange sich die relativen Pfade nicht ändern, klappt es meistens. Sollte man aber mal probieren.

Un warum soll das unter Windows 2008 nicht funktionieren? https://technet.microsoft.com/de-de/library/dd379545(v=ws.10).aspx

Na, da Microsoft das ja jetzt sofort weis, werden die es bald beheben: ;)

Was steht denn im Eventlog? Ein Server startet nicht einfach so neu. Also ohne sich das irgendwie zu merken.

Schau dir die Anleitung mal genau an: https://technet.microsoft.com/de-de/library/dn495428.aspx

Vergiss nicht, dass eine gleichzeitige Bearbeitung der gleichen Datei (z.B. Access) bei DFS-R nicht möglich ist. Eigentlich kann man DFS-R nur dann gebrauchen, wenn die Replikation in eine Richtung gewünscht ist, oder bei Daten, die selten geändert werden. CAD-Dateien könnte man übrigens auch lokal bearbeiten und dann in der Zentrale auf einem passenden Webserver ablegen (vielleicht Sharepoint)