zahni

Ok, da hat mich der Text oben etwas verwirrt.

Windows 10 VL haben wir ja. M365/O2019 gibt es erst, wenn es wieder MSI-Installer gibt ;-).

Nur zur Ergänzung: Es wird ein Windows 2019 KMS Host-key benötigt. Den bekommt man nur per Volumenlizenzierung. Der aktiviert dann "Alles" was einen KMS-Setupkey eingebaut hat. Soweit ich es lese, hat der TO alles "Retail" oder OEM. Die Edition und Version ist dann egal. Und falls die Fragen kommen: Nein, ein KMS-Server ist kein Lizenznachweis...

Das ist ein Weg aber nicht der Einzige. Man muss auch immer wieder mit gehackten Servern rechen. Entweder bringt man durch Sicherheitslücken im Browser Malware ohne Rückfrage zur Ausführung oder man zeigt irgendwelchen Unfug an, der die User zum Download und zur Ausführung verleitet. Wie Martin schon schrieb: Applocker ist dein Freund. Am Besten zusammen mit einem Content-Filter auf einem Proxy.

Ich kenne unseren EA-Vertrag im Detail auch nicht (den macht die FI). Aber was sollen wir denn machen, wenn wir kein Re-Imaging-Recht mehr haben? Dann kann sich MS seinen SCCM auch irgendwie in die Haare schmieren. Genau genommen ist eine Windows 10-Installation von vornherein immer eine Image-Installation.

SMB-Freigaben via Internet sollten prinzipiell vermieden werden. Teilweise wird SMB-Traffic bei div. Providern auch gefiltert. Wenn es unbedingt sein muss, dann per WEBDAV.

Bei einem Tablet würde ich den Power-Knopf eventuell mit Standby als Default belegen...

Schau Dir mal https://www.veritas.com/content/support/en_US/article.100012791 an.

War überflüssig.

Beim SAN würde ich eher auf die Switche schauen. Brocade hat dafür Softwarelösungen. Am Switch sieht bei beide "Seiten". Wenn es da Performance-Engpässe gibt, würde ich mal das Zoning prüfen lassen. Wenn da etwas falsch macht... Faustregel: Das Zoning muss so konfiguriert werden, dass sich die Geräte sehen dürfen, die untereinander kommunizieren dürfen. Jedoch nicht die Anderen. Also ESX-Server mit Storage, aber nicht z.B. ESX1 <-> ESX2. PRTG kann meine ich, ganz gut Cisco-Hardware überwachen.

Kurze Info: Als VMWare-Kunde bekommt man ab dem 3.2.2020 deutschen Support nur noch, wenn man "Production Support" gekauft hat. Basic-Support bekommen nur noch englischen Support. Habe gerade so eine Mail von VMware bekommen.

Und VPN-Verbindungen sollten immer mittels einer 2FA-Lösung abgesichert werden. Es gibt VPN-Client-/Server-Lösungen die eine eigene Firewall mitbringen. Auch sollte sichergestellt werden, dass der Client selbst gegen externe Angriffe gut gesichert ist. Ein Baustein ist auf jeden Fall Bitlocker. Hier mal ein Anbieter, bei dem mal gucken kann, was alles geht: https://www.ncp-e.com/de/ z.B. https://www.ncp-e.com/de/produkte/endpoint-security/ "Endpoint Policy Enforcement"

Mit URL-Rewrite kann sein Ansinnen durchaus klappen. Man muss aber genau wissen, was man macht.

Kennst Du https://docs.microsoft.com/en-us/iis/extensions/url-rewrite-module/reverse-proxy-with-url-rewrite-v2-and-application-request-routing ?

Bleibt nur die Frage, was man machen muss, damit das Paket via WSUS installiert installiert wird. Eine simple Freigabe zur "Installation" genügt hier nicht. Das in der CAB-Datei versteckte MSI-Packet tut es aber bei einem manuellen Aufruf.

Ok, dann habe ich das letzte Posting missverstanden. Sorry, ich kann auch nicht alles behalten in meinem hohen Alter. Schaue Dir doch den Beitrag von daabm an. Ich wolle auch schon vorschlagen, im GPO-Ordner selber die Dinge zu löschen. Da muss aber wissen was man tut und eine Sicherung haben.

Tja, dann Windows 2016 tatsächlich das "neuste" Windows. Die RSAT-Tools für Windows 7 funktionieren in Teilen auch mit 2016. Natürlich sollte man die Richtlinien nicht mit einer neueren Version erstellt haben. Ist aber Dein Risiko. Ansonsten gibt es keine neueren RSAT-Tools für Windows 7. Wann genau plant man denn ein nicht mehr unterstütztes Betriebssystem abzulösen?

Jo. Aber via WSUS kann wohl schon. Kollege testet morgen was passiert...

Im Wsus ist er angekommen: Dann synct der WSUS

Wir hatten mal für ein Projekt https://www.cleverreach.com/de/ im Einsatz. Im meine mich auch zu erinnern, dass man mit Denen Verträge zur Auftragsdatenverarbeitung abschließen kann. Nagle mich aber nicht fest. Das Tracking von Mails ohne DSGVO-konforme Grundlage ist übrigens problematisch. Das erläutert Dir Dein Datenschutzbeauftragter...

Falls möglich mal Online nach Updates suchen lassen. Nicht dass jemand im WSUS irgendein Update weggelassen hat. Lenovo installiert immer gern seinen eigenen Powermanagement-Treiber. Der wird auch über Windows-Update verteilt.

Willkommen im Forum. Die Frage ist: Was soll der Server im Internet? Was ist genau Deine Frage? In größeren Firmen haben Server und Clients keinerlei direkten Zugang zum Internet und es findet auch kein Routing in das Internet statt. Der Zugang erfolgt dort über einen HTTP-Proxy bei dem man sicherheitstechnisch sehr viel konfigurieren, filtern und einschränken kann. Wenn man das richtig macht und auch entsprechende Filter im Mail-Verkehr greift, hat man wichtige Bausteine für einen effektiven Malware-Schutz.

Habe zwar nicht viel Ahnung, es gibt aber eine Witness-Appliance: https://blogs.vmware.com/virtualblocks/2018/05/31/understanding-the-vsan-witness-host/ https://storagehub.vmware.com/t/vmware-vsan/vsan-2-node-guide/using-the-vsan-witness-appliance-as-a-vsan-witness-host/ Damit soll man wohl auch mit 2 Nodes arbeiten können. Bei Nuantix gibt es wohl auch eine ähnliche Lösung.

Möglichst SMB 2 oder 3 verwenden. Das ist auch über WAN performanter.

Und ich wiederhole mal: "Standorte und Dienste" aufrufen und mal prüfen, wer da mit wem repliziert und wie die Standorte definiert sind.