Jump to content

NilsK

Expert Member
 Profil anzeigen  Aktivitäten des Benutzers anzeigen

  • Gesamte Inhalte

    17.335

  • Registriert seit

  • Letzter Besuch

 Inhaltstyp 

Beiträge erstellt von NilsK

  1. PKI Issuing CA Renewal - best practices/Risiken

    in Windows Forum — Security

    Geschrieben

    Moin,

     

    hier eine allgemeine Formel, um die CA-Zertifikatslaufzeiten zu berechnen:

    • maximale Laufzeit für ausgestellte Zertifikate festlegen
      (heute meist 1 Jahr, kann man sich bei einer internen CA aber selbst überlegen; je nach Zweck kann auch deutlich weniger sinnvoll sein. Hier geht es aber um das Maximum, das man "zulassen" will)
    • Argumentation: Die CA sollte so lange laufen, dass sie immer Zertifikate mit der vollen geplanten Lebensdauer ausstellen kann. 
    • Issuing CA: 2 × Zertifikatslaufzeit + Puffer
      • Beispiel: 2 × 2 Jahre + 1 Jahr = 5 Jahre
    • Root CA: 2 × Issuing-CA-Laufzeit + Puffer
      • Beispiel: 2 × 5 Jahre + 1 Jahr = 11 Jahre

    Die tatsächliche Verlängerung/Erneuerung der CA-Zertifikate erfolgt dann nach der Hälfte der Zeit, bei der Root-CA also im sechsten Jahr. So ist gewährleistet, dass sie immer neue Issuing-CA-Zertifikate mit der vollen Laufzeit ausstellen kann.

     

    Muss man nicht so machen, hilft aber.

     

    Gruß, Nils

     

  3. PKI Issuing CA Renewal - best practices/Risiken

    in Windows Forum — Security

    Geschrieben

    Moin,

     

    an der Stelle wäre es vermutlich sinnvoll, sich noch mal mit Funktion und Arbeitsweise einer PKI zu beschäftigen. Das ist im Detail nicht ohne, aber wenn man das nicht tut, gibt es immer wieder Missverständnisse.

     

    Grundsätzlich ist es so: Wenn man das Renewal einer CA rechtzeitig durchführt, gibt es damit in der Praxis keine Probleme. Der Witz besteht darin, dass das neue CA-Zertifikat bereitsteht, lange bevor das alte ausläuft. Wann das ist. bemisst sich an der Gültigkeit der ausgestellten Zertifikate: Sind die z.B. ein Jahr gültig, dann muss das neue CA-Zertifikat schon ein Jahr vor dem Ablaufen des alten bereitstehen, denn das alte könnte gar kein Zertifikat mehr beglaubigen, das länger läuft. 

     

    Daher gehören bei einer guten PKI-Planung der Lebenszyklus der Zertifikate und die Erneuerungszeiträume immer dazu. Dann weiß man schon vorab, was wann zu tun ist.

     

    Gruß, Nils

     

  5. Letzter macht das Licht aus 2

    in Off Topic

    Geschrieben · bearbeitet von NilsK

    Moin,

     

    oh, sorry, ich hatte welchen fertig, aber nicht drauf hingewiesen. Mittlerweile ist der aber auch leer ...

     

    Ich setz dann mal nen neuen auf, ist in zehn Minuten so weit.

     

    Gruß, Nils

    PS. hoffentlich liest das keiner, was ich hier schreibe ...

    PPS. der Spekulatiuskaffee hat sich übrigens als Enttäuschung entpuppt. Schmeckt stark geröstet, aber spekulatiusfrei.

    • Danke 1

  10. Neuen SQL Server installieren und Alten nicht entfernen

    in MS SQL Server Forum

    Geschrieben

    Moin,

     

    aus Sicht der reinen Lehre alles richtig. Aber: Wenn die Aufgabe darin besteht, auf einem unbekannten Kundenserver eine Software zu installieren, habe ich volles Verständnis, wenn da nur das Nötigste gemacht wird. Dafür habe ich zu oft vergurkte Bestandssysteme bei Kunden gesehen. Ja, der Server wird durch so eine Aktion nicht besser, aber das ist auch nicht die Aufgabe von jemandem, der eine Anwendungssoftware installiert.

     

    Wenn ich das Szenario falsch verstanden habe, und die eigentliche Aufgabe war das Update eines dedizierten SQL-Servers, dann bin ich auch Anhänger der reinen Lehre. Es ist aber eben die Frage, was man beauftragt hat. Und ohne das zu wissen, breche ich hier keinen Stab.

     

    Fragen wir doch mal andersrum: Was sollte bei diesem "völlig falschen und mehr als amateurhaften" Vorgehen denn aus deiner Sicht passieren?

     

    Gruß, Nils

     

     

    • Like 2

  11. Windows Server 2019 Essentials mit IIS als Basis für Zeiterfassungssystem möglich?

    in Microsoft Lizenzen

    Geschrieben

    Moin,

     

    mit Windows Server 2022 scheint das anders zu sein. Wenn ich es richtig verstehe, kann man Essentials nur noch als bzw. mit OEM-Hardware kaufen, und die Funktionen und Einschränkungen scheinen identisch zu Standard zu sein.

     

    https://learn.microsoft.com/en-us/windows-server-essentials/get-started/get-started

     

    Wenn man das Ding aber nur mit Hardware kriegt, ist evtl. der Kostenvorteil geringer als gedacht ...

     

    Gruß, Nils

     

  13. Neuen SQL Server installieren und Alten nicht entfernen

    in MS SQL Server Forum

    Geschrieben · bearbeitet von NilsK

    Moin,

     

    naja, was ist schon "richtig" ... das Risiko für die ausführende Firma ist zweifellos geringer, weil sie so weniger kaputt machen kann. Würde sie aufräumen, könnte bei einem Kundensystem ja wer weiß was passieren, und dann hätte derjenige den Schwarzen Peter, der es ausgeführt hat.

     

    Insofern - aus Sicht der ausführenden Firma genau richtig gehandelt. Ich hätte in der Rolle dieser Firma meinen Mitarbeitern das vermutlich genau so gesagt. Aus deiner Sicht als Kunde kann der Fall ganz anders liegen - ist die Frage, ob du den Zusatzaufwand bezahlen wollen würdest.

     

    Andersrum gefragt - was heißt denn in dieser Situation "deaktiviert"? Wenn der SQL 2012 jetzt nicht läuft, belegt er ja auch keine Ressourcen außer ein wenig Platz auf der Systemplatte. Solange man also nicht das ganze System neu aufsetzen will, was spricht noch dagegen?

     

    Gruß, Nils

     

  14. Server2016 - RDP - Desktop Hintergrundbild "fliegt über nacht Raus"

    in Windows Server Forum

    Geschrieben

    Moin,

     

    vor 29 Minuten schrieb GTRDRIVER:

    Du darfst mich gern verbessern - aber wenn das komplette Benutzerprofil nicht geladen werden kann (z.b: weil kaputt) dann wäre doch alles weg - Verknpüfungen Einstellungen und vieles mehr (des Nutzers) - es fehlt aber nur das Hintergrundbild...

    das wusstest du, aber ich ja nicht. Du hast nur von einer Anwenderbeschwerde berichtet, und da wäre der Gedanke nicht abwegig gewesen. Wir erleben es oft, dass der Fehler anders gelagert sein kann, als man erst denkt.

     

    Gruß, Nils

     

  15. Entzogene Rechte wieder zuweisen

    in Windows Server Forum

    Geschrieben

    Moin,

     

    ein Problem mit "sehr speziellen" Berechtigungen ist, dass auch die Applikationen damit umgehen können müssen. Office-Programme etwa legen oft temporäre Dateien an, oder sie erzeugen zum Bearbeiten Kopien und löschen dann die Originaldatei. Das geht nicht, wenn der User im Ordner nicht das Recht dazu hat.

     

    Nicht nur aus dem Grund sollte man Berechtigungen so einfach setzen wie möglich. Spezialitäten klappen oft nicht so, wie man es sich denkt.

     

    Daneben könnte es sich auch um Token-Probleme handeln, je nachdem, wie du genau vorgegangen bist. Geänderte Gruppenmitgliedschaften etwa erfordern eine Neuanmeldung.

     

    Gruß, Nils

     

  16. Server2016 - RDP - Desktop Hintergrundbild "fliegt über nacht Raus"

    in Windows Server Forum

    Geschrieben

    Moin,

     

    naja, das kann mehrere Ursachen haben, und darunter können auch Fehler sein, denen man nachgehen sollte. Wenn etwa das Benutzerprofil nicht geladen werden kann, kann dies zu so einem Phänomen führen. Das würde man ja beheben wollen, daher würde ich da jetzt schon mal prüfen, ob noch weitere Fehlermeldungen oder Auffälligkeiten auftreten.

     

    Auch eine GPO-Einstellung könnte sich auswirken.

     

    Gruß, Nils

    PS. auch wenn du das vielleicht nicht gern hörst, aber gerade bei einem RDS würde ich kein Inplace-Upgrade machen.

  17. Zertifikatsperrliste (CRL) aktualisieren

    in Windows Server Forum

    Geschrieben · bearbeitet von NilsK

    Moin,

     

    dann wäre eine konkrete Fehlermeldung evtl. hilfreicher als die vermutlich nicht vom System stammende Aussage

    vor einer Stunde schrieb dr_wahnsinnig:

    die ich ums verrecken nicht aktualisiert bekomme

     

    Wo du typischerweise ansetzen musst, hat dir Norbert oben beantwortet. Wenn das nicht hilft, kannst du gern weitere konkrete Fragen stellen.

     

    Gruß, Nils

    PS. möglicherweise möchtest du den Namen der Firma aus dem Screenshot entfernen.

  18. Zertifikatsperrliste (CRL) aktualisieren

    in Windows Server Forum

    Geschrieben

    Moin,

     

    ich interpretiere die drei Punke am Ende von Zahnis Satz als Sarkasmus im Sinne von "... aber damit würde man das Konzept zerstören". ;-)

     

    @dr_wahnsinnig wofür und in welchem Umfang wird die PKI denn verwendet? Wenn sie wichtiger ist, wäre meine Empfehlung, sie gemeinsam mit jemandem, der sich auskennt, neu zu machen. Das ist typischerweise ein Aufwand von 1-3 bezahlten Tagen.

     

    Gruß, Nils

     

  20. Windows 10 Updates verhindern

    in Windows 10 Forum

    Geschrieben

    Moin,

     

    vor 1 Stunde schrieb RealUnreal:

    ob Windows dann trotzdem noch was neues einfällt wie man das umgeht ;)

    *lol* ... wobei das leider nicht abwegig ist. Windows ist in manchen Fällen erfinderisch, wenn es im Code nur genügend Rückfallmechanismen gibt.*

     

    Bekannt sind in diesem Fall keine solchen Dinge, aber in deiner Situation wäre es vermutlich schlau, alle Sperren einzubauen, derer du habhaft wirst. Drei sind dir hier ja genannt worden.

     

    Gruß, Nils

    * ein Netzwerkspezialist erzählte mal glaubhaft, dass irgendeine Windows-Version mal versucht hat, verschobene Dateien im Netzwerk wiederzufinden und dazu dann irgendwann auch die DNS-Namensauflösung beauftragt hat, die dann z.B. nach "budget.xls" bei den Rootservern fragte.

    • Like 1
    • Haha 1

  21. OU Berechtigungen einschränken

    in Active Directory Forum

    Geschrieben · bearbeitet von NilsK

    Moin,

     

    wenn die Berechtigungen richtig gesetzt sind, können die Kolleginnen nur Gruppen anlegen und diese dann verwalten. Andere Objekte können sie nicht anlegen.

    Was die Konsole daraus macht, kann man nicht beeinflussen. Möglicherweise zeigt sie die Buttons an, meldet dann aber einen Fehler. Das müsste der Entwickler der Konsole steuern. An den Berechtigungen kommt man damit aber nicht vorbei.

     

    Ach, und wenn wir dabei sind: Sowas richtet man per Skript ein, z.B. mit dsacls. Dann bildet das Skript auch gleich die Dokumentation. Und man braucht eine gute Testumgebung. Erst wenn es da fertig ist, wendet man das Skript auf die Produktion an.

     

    Gruß, Nils

     

    • Like 1

  22. Wie handhabt ihr Abwesenheitsmeldungen in eurem Betrieb?

    in Tipps & Links

    Geschrieben

    Moin,

     

    lol, sowas hab ich noch nicht gesehen. Das ist auch mal eine originelle Lösung. Ich verstehe es richtig, dass Horst Müller eine Termineinladung an alle schickt, in der drin steht, dass er nicht da ist?

     

    Das ist natürlich Unsinn. Sowas ist aber kein IT-Thema, sondern ein Organisationsthema. Und was die generelle Frage betrifft: Abwesenheitsübersichten sind sowohl in technischer als auch in juristischer Hinsicht immer ein schwieriges Thema. Richtig gute Lösungen gibt es dafür nicht, jedenfalls keine universellen. Aber wenn überhaupt, dann muss das von der organisatorischen Seite ausgehen.

     

    Gruß, Nils

     

    • Like 2
    • Danke 3
×
×
  • Neu erstellen...