Daniel -MSFT-

Eigentlich brauchst Du die manuelle Konfiguration nur, wenn Du keinen TPM im Einsatz hast. Dann musst Du manuell z.B. USB-Stick aktivieren. Ansonsten klappt auch das prima mit dem Assistenten. Ab Windows 8 dann auch mit Passwort allein.

Genau. Einfach die Überwachung von Port 25 deaktivieren: G Data Administrator öffnen. Zu G Data – (Gruppe -) Client klicken. Zur Registerkarte “E-Mail” wechseln. Im Abschnitt “Port-Überwachung” auf die Schaltfläche “Ändern…” klicken. Den Haken bei “Ausgehende Mails (SMTP) verarbeiten” entfernen und auf die Schaltfläche “OK” klicken. Abschließend auf die Schaltfläche “Übernehmen” klicken. Du hast ja vermutlich eh einen eigenen Exchange-AV-Schutz, richtig? Folgende Info gibt es dazu übrigens von GData:

Deswegen ist ja die Nutzung eines TPMs empfohlen. Der hat einen eingebauten Anti-Hammering-Mechanismus in Hardware realisiert, so dass Du mit Brute Force nicht weiterkommst.

Das kann ich nur unterschreiben. Vor allem fangen die an, gegeneinander zu arbeiten und Du hast erst recht eine falsche Zeit. Also nur den Windows-Zeitdienst allein einsetzen und dann das Logging aktivieren: http://support.microsoft.com/kb/307937/en-us Key: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\Parameters Value name: Log Data type: REG_DWORD Value: 0x00000064 (Hex) Key: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\Parameters Value name: WriteLog Data type: REG_SZ Value: True Die oben schon verlinkte Anleitung unter http://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo/ kannst Du umsetzen. Wichtig ist nur, dass Du an der Firewall Port 123 UDP ausgehend erlaubst. Sollte Port 123 UDP raus nicht möglich sein, dann schau, dass Du zumindest in der DMZ einen Zeitdienst eingerichtet bekommst und auf den von intern zugreifen darfst. Falls Du mit der Gruppenrichtlinie nicht klar kommst, kannst Du das auch manuell konfigurieren. Wenn ihr nur einen Domaincontroller habt, dann führst Du auf dem den Konfigurieren des Windows-Zeitdiensts für die Verwendung einer externen Zeitquelle aus.Alle anderen Domänenmitglieder bekommen dann automatisch von diesem direkt oder indirekt die Zeit (wenn Du sie nicht verkonfiguriert hast).

Das stimmt natürlich.

Bisher recht mysteriös: http://m.heise.de/security/meldung/Warnung-auf-offizieller-Seite-Truecrypt-ist-nicht-sicher-2211037.html

Richtig. Und bei Dell-Lizenzen, die sich nur telefonisch aktivieren lassen, wäre ich sehr vorsichtig zur Zeit.

Wenn Du von Hyper-V Replika sprichst, dann kann man das Intervall konfigurieren bis runter auf 30 Sekunden: http://blogs.technet.com/b/virtualization/archive/2013/12/10/hyper-v-replica-in-windows-server-2012-r2-and-system-center-operations-manager-2012-r2.aspx

Hast Du zufällig GData Antivirus im Einsatz oder einen anderen Virenscanner/Firewall, der Port 25 auf Anwendungsebene filtert? Siehe z.B. http://www.frankysweb.de/exchange-2010-fehler-503-5-5-1-smtp-bad-sequence-of-commands-smtp-error-503/ Die starke Verzögerung könnte daran liegen, dass eventuell die GEgenseite mehrere MX-Records oder mehrere Server auf einem MX-Record mit unterschiedlicher Konfiguration eingerichtet hat. Oder stellt ihr über einen Relay Host zu? Wenn ja, welcher Provider? Habt ihr dafür Verschlüsselung konfiguriert?

Um welchen OEM handelt es sich denn genau? Hoffentlich keine fragwürdigen Dell OEMs von PC Frittz, Ebay, Amazon, etc.? Hier findest Du Infos zu OEM-Windows http://www.microsoft.com/OEM/de/licensing/productlicensing/Pages/windows-licensing-and-packaging.aspx und COA + Hologramm http://www.microsoft.com/OEM/de/licensing/antipiracy/Pages/COA_hologram.aspx Im Zweifel kannst Du das Produkt auch beim Produktinformationsservice http://www.microsoft.com/de-de/software/pidservice.aspx prüfen und die Herkunft klären lassen https://www.microsoft.com/de-de/howtotell/cfr/report.aspx Have fun! Daniel

Wenn ein Angreifer das Kennwort eines Accounts hat, dann kann er sich mit dem Kennwort anmelden. Das überrascht mich jetzt nicht. Das ist aber unabhängig davon, ob das Kennwort abgelaufen ist oder nicht. Wenn Du sowas verhindern willst, dann brauchst Du Two-Factor-Authentifizierung. Adminanmeldung nur mit Smartcard zum Beispiel ist eine Lösung. Klar geht da was mit Boardmitteln. Ich verstehe nur das Problem noch nicht. Du kannst auch einen Task täglich laufen lassen, der alle Accounts mit abgelaufenen Kennworten komplett sperrt. Viel Spaß beim Umsetzen - die Anwender und den Helpdesk wird es nicht erfreuen. Ich verstehe aber immer noch nicht das eigentliche Problem. Daher ist eine Lösungsempfehlung schwierig.

Hängt von der Version und dem Verkaufskanal ab. Schau mal hier rein: http://www.microsoft.com/de-de/howtotell/Software.aspx

Schön dass Du eine Lösung gefunden hast., Habt ihr mal geschaut, welche Navision-Version mit welchem Service Pack-Level im Einsatz ist? Aus Changes in NAV 4.0 SP3: P7) Printer Name Case Sensitive Error If the printer name was in the wrong case Navision would pick the default printer for print jobs. The printer name is now case insensitive. This has been corrected VSA reference: 8486918 Wenn der Drucker als Netzwerkdrucker installiert ist (Netzwerkdruckerserver oder \\ Servername), sind die Druckerinformationen unter folgenden Registrierungsschlüsseln zu finden:HKEY_CURRENT_USER\Printers\Connections\ server name Da könnte man den Servernamen auch umschreiben. Man kann das aber auch auf Navision-Seite fixen: http://www.mibuso.com/forum/viewtopic.php?f=23&t=21715&start=0 Have fun! Daniel

Die Definition der "qualified devices" findest Du hier: http://download.microsoft.com/download/3/D/4/3D42BDC2-6725-4B29-B75A-A5B04179958B/QualifiedDevices_VLBrief.pdf. Im OVS brauchst Du meines Wissens nach embedded Thin Clients nicht mit aufnehmen. Das Windows Enterprise-Upgrade kannst Du auch nicht für Thin Clients nutzen, da auf diesen kein Windows Pro laufen kann. Für die Thin Clients bräuchtest Du VDA-Lizenzen: http://download.microsoft.com/download/9/8/D/98D6A56C-4D79-40F4-8462-DA3ECBA2DC2C/Licensing_Windows_Desktop_OS_for_Virtual_Machines.pdf

Hi Carnivore, Da ist, glaube ich, Dein Verständnis falsch. Ein maximales Passwortalter setzt man, damit sichergestellt ist, dass nicht mehr benutzte Accounts automatisch ablaufen und nicht jemand, der (wie auch immer) Kenntnis über ein Password erlangt, es unlimitiert nutzen kann. Deine Bedenken wegen des Hashes haben damit gar nichts zu tun. Mit dem Hash würde man auch nicht das Passwort entschlüsseln, sondern einen sogenannte "Pass the Hash"-Angriff verfolgen. Deswegen hat das Passwortalter nichts mit dem Problem zu tun - wenn das Passwort abgelaufen ist, ist der Account gesperrt. Selbst wenn man einen Hash hätte, könnte man sich mit dem nicht mehr gegen einen Account mit abgelaufenen Passwort authentifizieren. Wenn Ihr Euch Gedanken über "Pass the Hash" macht, dann müsst ihr da ganz anders rangehen. Ich gehe mal davon aus, dass wir hier nicht ünber LM Hashes reden, sondern über NT Hash aufwärts. Der Hash kann von keinem unprivilegierten Benutzer abgegriffen werden. Generell muss man sich hier Gedanken machen über die genaue Verwendung von privilegierten Konten und die Absicherung der Computer machen, auf denen solche Accounts verwendet werden. Siehe dazu: How Password Hashes Work Pass-the-Hash Attacks Pass-the-Hash Defenses Du kannst jetzt Scripte nehmen und zum Beispiel sobald ein Domaincontroller gefunden wird (ist ein Netztwerkereignis), einmal am Tag eine Benachrichtigung für den User aufpoppen lassen, welches der ihm zugeordneten Accounts demnächst ablaufen. Du kannst das zentral machen und Benutzer per Mail über Accounts informieren, die in Kürze ablaufen. Dafür brauchst Du eine Datenbank, in der der Besitzer eines Accounts hinterlegt ist. Das geht dann schon in Richtung Identity Management - wir machen das intern mit Forefront Identity Manager. Im Hinblick auf das genannte Szenario ist das aber Security Theater - das geht voll am Problem vorbei. Auch das Informationen über LDAP eingesehen werden können (ich habe jetzt nicht geprüft, welche Berechtigungen dafür tatsächlich notwendig sind) ist nicht das eigentliche Problem. Du musst doch die privilegierten Accounts generell schützen und nicht die Information versuchen zu verstecken, dass diese existieren. Daher meine Frage: Was genau ist das sicherheitstechnische Problem von Accounts, deren Passworte abgelaufen sind? Was macht ihr mit Accounts, bei denen der Besitzer die Warnung ignorieren würde und das Kennwort nicht ändert? Have fun! Daniel P.S.: Meine Frage auch nicht "Warum setzt man ein Passwortalter?", sondern "Was ist das Problem mit Accounts, deren Kennwort abgelaufen ist?" Ein kleiner, aber feiner Unterschied.

Was genau ist denn Dein Problem mit den Accounts, wenn sie länger als 30 Tage nicht benutzt werden? Welches genaue technische Problem tritt danach auf, das es zu lösen gilt?

Ich vermute mal, Du interessierst Dich für Open Value (Subscription)? Thinclients kannst Du nicht standardisieren, solange darauf kein volles Windows läuft. Warum willst Du denn gerade Thin Clients standardisieren?

Man beachte das Datum: Der Vortrag ist von der TechEd Europe 2008 (!) Funktionalitäten wie Network Access Protection, Work Folders, Web Application Proxy, Direct Access, etc. haben mittlerweile Einzug gehalten in den Windows Server. Die Welt dreht sich weiter (auch wenn Du noch lachst) und Produkte werden weiterentwickelt. Ich dachte, Du erkennst zumindest die dahinter stehende Theorie. Unterscheidungen wie LAN, WAN und DMZ sind tot. Konzepte wie die "Hardware-Firewall" (was immer das auch sein soll - sind da die Firewall-Regeln in Silizium gegossen?) als einzige Schutzmechanismen sind überholt.

Defense in Depth, Server and Domain Isolation, The Death of the DMZ... Stell Dir vor, es gibt kein internes und externes Netz mehr, sondern jeder Knoten sieht jedes Netzwerk standardmäßig als nicht vertrauenswürdig an. In so einer Welt leben wir heute.

Du kannst beide RAIDs sichern, danach neu partitionieren mit dem richtigen Alignement und der richtigen Clustergrösse. Für das RAID5 nimmst Du eine HDD mehr rein und machst ein RAID10 draus. Danach die Inhalte wiederherstellen. Du wirst Dich wundern, wie schnell das auf einmal werden kann. Bei einem RAID-Controller mit BBU kannst Du den Write-Cache einschalten. Ohne BBU würde ich das nicht machen.

Vor allem, vermeide RAID5. Die Schreibperformance ist einfach unter irdisch, wenn du keinen Controller mit BBU hast. Disk Alignement sollte ab Server 2008 kein Thema mehr sein, es sei denn, der Storage wurde mit Server 2003 partitioniert. Die Clustergrösse sollte man aber beachten.

Lass uns ins Steinigungsrohstofflieferantengeschäft einsteigen

Geht direkt via PowerShell noch simpler: http://vanhybrid.com/2013/01/20/updating-the-friendlyname-property-of-a-certificate-using-powershell/. Hier eine Anleitung für die Integration von Exchange 2013 und Office Web Apps: http://vanhybrid.com/2012/10/31/integrating-office-web-apps-server-with-exchange-server-2013/.

Klar, das geht problemlos: http://technet.microsoft.com/de-de/library/bb310789.aspx Du musst nur eins bedenken: Öffentliche E-Mail-Ordner kannst Du mit der Exchange-Verwaltungskonsole erstellen. Die Spezialordner wie Kalender, Kontakte, Notizen, etc. musst Du mit Outlook vom Client aus anlegen.

Dann fährst Du also mit dem Auto, in dem Du WINS nimmst? :-) Ganz ernsthaft: Viele Firmen haben WINS entsorgt in ihren Netzwerken und nehmen nur DNS. Erst mal musst Du einen Dienst weniger plfegen, Du hast weniger Troubleshooting-Probleme, weil Du nur eine Namensauflösungstechnik debuggen musst und Du kannst mit einer GlobalName-Zone die Kurznamenauflösung genauso erschlagen, falls DNS Devolution nicht ausreichend ist (z.B. bei mehreren unterschiedlichen Domainnamen): http://technet.microsoft.com/de-de/library/cc816610.aspx Silche Race Conditions zum Beispiel sind ziemlich b***d: http://blogs.technet.com/b/craigf/archive/2010/07/09/decommissioning-wins.aspx