zahni

Ich und Norbert könnten da auch einen Spezialisten empfehlen...

Hi, zunächst: Veröffentliche bitte nichts via LDAP. Das unterstützt außer Windows selbst niemand. Die Diese Distribution Points solltest Du au den Zertifikaten entfernen. Zumal Offline-Root-CA die eh nicht ohne weiteres aktualisieren kann. Denn sie ist kein Domain member. Der Distribution Point in den ausgestellten SUB-CA-Zertifikat muss auf einen HTTP-Server zeigen, der erreichbar ist. Auch sollte die CRL-Gültigkeit der ROOT-CA möglichst lang sein, da man eine SUB-CA eher selten zurückzieht. Ansonsten musst Du die Offline-Root regelmäßig einschalten, die CRL aktualisieren und auf den funktionsfähigen Webserver kopieren. Ein wenig hängt das alles auch von den Sicherheitsanforderungen ab. Natürlich könnte man den Webserver auf der Offline-Root-CA platzieren und eingeschaltet lassen...

Sorry, aber wer Applocker und/oder SRP richtig nutzt, dem rollen sich die Fußnägel hoch, wenn eine Anwendung aus dem Userprofile gestartet werden soll. Besonders, wenn sich dann noch mit jeder Version der Verzeichnisnamen ändern (man muss dort unbedingt eine Versionsnummer reinschreiben).

Nö, Einer macht das nach was der Andere macht...

Wir sind es ja gewöhnt, dass Microsoft nur noch selten auf Kundenwünsche hört und auf Admins schon mal überhaupt nicht

Habe ich doch geschrieben: Nein. Man kann natürlich nie ausschließen, dass MS irgendwann in der Zukunft prüft, ob das wirklich eine VM ist. Bisher aber nicht. Ach ja: Die Teams-Installationen im User-Kontext müssen auch entfernt werden und auch 1x der Teams-Cache (glaube ich zumindest). Und beim User sollte der Download vom Teams-Client unterbunden werden (z.B. via Proxy-Richtlinie).

Die VDI-Option kann man auch für normale Desktops benutzen (seltsam, ist aber so). Das macht mein Kollege so. Wir wollen und dürfen keine Programme aus dem User Profile starten. Da hat der Applocker was dagegen. Wichtig ist, dass man immer vorher die vorhergehende Version deinstalliert, da ein Update sonst nicht klappt. msiexec /x {731F6BAA-A986-45A4-8936-7C3AAAAA760B} /qn msiexec /i Teams_windows_x64.msi ALLUSERS=1 ALLUSER=1 /qn /norestart Wichtig: Der Reg-Key muss gesetzt werden: reg add "HKLM\SOFTWARE\Microsoft\Teams" /v IsWVDEnvironment /t REG_DWORD /d 1 /f

Das hängt natürlich von der Größe des Unternehmens ab. Hier würde ich nach solchen Terminen zu einem Gespräch gebeten werden...

Was hat Basic-Auth im Web(-Browser) mit SMTP-Auth zu tun?

Bzgl. Smart App Control stand das so ähnlich auch in der aktuellen c't.

Ernstgemeinte Frage: Wer will denn Druckertreiber bei Windows-Update laden?

Hm, und wie sollen sich die Anwender dann mit dem Fileserver verbinden? Und warum empfiehlt Dir der DL keine sinnvollen Schutzmaßnamen, wie Applocker / SRP / Contentfilter Mail und Proxy?

Wir hatten mal Probleme, als im Windows der Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" deaktiviert wurde.

Dort spekuliert ein Kommentar, dass die SRP-API für "Smart App Control" genutzt wird.

Montagmorgen: Es war ein SOLARFLARE Adapter. Keine Treiber im Windows 2019 mitgeliefert und auch Online nichts zu finden.

Sorry, hier steht Unsinn. Ich musste einen SOLARFLARE-Adapter entsorgen. Ich habe neulich einen älteren Mellanox-Adapter entsorgt, weil es keine Treiber mehr gab. Dann lieber Intel.

Wichtig ist noch, dass der Link im PDF zum Web Archive geht. Denn der originale Aufruf funktioniert nicht mehr: https://web.archive.org/web/20160314172859/http://www.educatedguesswork.org/2011/11/rizzoduong_beast_countermeasur.html Und ich lese es auch so, dass man TLS1.2 nutzen soll, was ja nicht falsch ist.

Wie wäre es mit https://answers.sap.com/questions/13468484/tls-vesion-10-disabled-and-enable-12-version-in-sa.html ?

Wie alt sind denn die Beiträge? Fakt ist, dass kaum noch ein Browser oder Windows TLS 1.0 unterstützt bzw. aktiviert hat. Der verlinkte Artikel ist nicht mehr existent, was nach über 10 Jahren vielleicht normal ist.

Den Text offline als verschlüsselte PDF erstellen und unverschlüsselt als Mailanhang senden...

Die DataCenter-Lizenz benötigst Du, weil Du, wenn die Hardware korrekt lizensiert ist, eine beliebige Anzahl von VM's betreiben kannst. Auch DataCenter (die Edition ist dann egal). Das Windows muss entsprechend der Physik, auf dem der ESX läuft, lizensiert sein (Anzal der Core, usw.). Problem ist eventuell die Aktivierung. Unter VmWare geht es am besten mit einem KMS oder auch MAK's. AVMA funktioniert bei Vmware nicht.

Die gezeigten BIOS- und ILO-Version können als museal bezeichnet werden. Ansonsten kann man nicht erkennen, was verbaut ist. Wenn ein Array Controller vorhanden ist, scheint der zu "fehlen".

Als Sysadmin braucht man starke Nerven in in ist in jedem Fall der Schuldige, wenn etwas passiert. Daher muss man Sicherheitskonfigurationen eben gegen User-Befindlichkeiten durchsetzen oder die Risiken den Verantwortlichen haarklein kommunizieren. Dann kann man diese Information im Notfall vorweisen und ist aus der Nummer raus. Die Arbeit hat man natürlich trotzdem.

Aus meine Sicht der Basis-Schutz: - Im Email-System läuft ein Content-Filter, der alle ausführbaren Programme herausfiltert, und unklare Dateien (z.B. verschlüsselte ZIP-Archive) von einer befähigten Person prüfen lässt. - Web-Proxy, der auch via SSL-Interception alle ausführbaren Programme herausfiltert, böse Skripte und den Zugang zu bekannten "verseuchten Seiten" blockiert. Natürlich muss Ausnahmen für definierte Quellen, Server und User definieren können. - Am Client läuft als letzte Bastion ein korrekt konfigurierter Applocker bzw. SRP. - Wenn man mag installiert man noch einen Virenscanner. Der bringt heute aber eigentlich nichts.

Oder es funktioniert nur mit Enterprise? Per Google findet man nicht wirklich was.