testperson

Dann sind wir aber "fast" an dem Punkt, dass auch der regelmäßige Kennwortwechsel nicht hilft, sofern im "nicht Idealfall" SMB signing nicht erzwungen wird und mDNS / LLMNR, etc. zutrifft. (Was in der Praxis leider immer wieder zu sehen ist. :/ Manchmal bin ich doch froh, Umgebungen zu finden, wo es mehr als die DDP + DDCP gibt. :)) Aber: Verstanden. Danke!

Evtl. etwas zu vereinfacht: Bei PtH gibt es einen Man in the Middle und die Kommunikation ist unverschlüsselt und/oder unsigniert oder der Angreifer ist bereits auf einem Device authentifiziert und sammelten die lokal liegenden Hashes, die es im Idealfall nicht gibt. Oder bin ich hier zu blauäugig / unwissend / realitätsfern?

Moin, vielleicht auch einfach darüber nachdenken, die Kennwort nicht mehr regelmäßig ablaufen bzw. ändern zu lassen. Der Artikel ist jetzt auch fast schon fünf Jahre alt: Passwörter: BSI verabschiedet sich vom präventiven, regelmäßigen Passwort-Wechsel | heise online Wenn es um Sicherheit geht, wäre eine MFA wohl zu bevorzugen. Möglicherweise zusätzlich auch eine "Überwachung" der Kennwörter mit Tools wie bspw. "Microsoft Entra Password Protection" oder auch "Specops Password Policy" . Gruß Jan

Hi, kann man die Posteingänge evtl. freigeben mit "Lesen" / "Löschen" -> "Keine" und "Schreiben" -> Elemente erstellen? Dann könnte man die Mails ggfs. in die Posteingänge verschieben. Das dürfte früher (oder später) aber auch an seine Grenzen stoßen. Ggfs. auf ein Ticket System wechseln und den Mitarbeitern dann einfach die Mail als Ticket bereitstellen oder eine Mailablage in einem Archiv / DMS, wo es dann beim Bearbeiter landet? Bzw. das nicht mit Outlook / Exchange abbilden. ;) Gibt es Regelmäßigkeiten, um sowas ggfs. im Hintergrund per Script o.ä. automatisiert zu erledigen? Gruß Jan

Hi, der Zugriff über die IP dürfte ab DFL/FFL 2012 R2 gar nicht mehr funktionieren (außer evtl. vom Host selber auf die eigene IP), da du in den Protected Users kein NTLM mehr machen darfst. Kannst du auf "\\domain.local\netlogon" direkt zugreifen? Gruß Jan

Moin, ist das ein ganz normaler User oder ist der ggfs. Mitglied der "Protected Users"? Gruß Jan

Hi, das verstehe ich noch nicht ganz. Ich würde es "ganz nett" finden, den Workspace zu nutzen und mich dort eben per Entra Id User bzw. eben "Conditional Access" anzumelden und dann auf die lokalen Ressourcen zu kommen. Das lässt sich bspw. ähnlich (besser?) mit "Entra Private Access" oder auch nur dem Azure Application Proxy umsetzen. Wenn es nur um einen neuen Client geht, kannst du zumindest mittlerweile wieder den (roten) RD Client (per Workaround: GitHub - Devolutions/MsRdpEx: Microsoft RDP Client Extensions) nutzen. (Alternativ und je nach Lizenzierung der Server 2025 kannst du halt im Rahmen des Azure Hybrid Vorteils kostenlos Azure Local (Azure Stack HCI) nutzen und müsstest nur die AVD VMs zahlen.) Wie gesagt, so ganz erschließt sich mir dein Plan noch nicht. HTH Jan

OT: Das hätte ja fast schon was von was schlägt man?

Ich nutze das nur als Computer Richtlinie. Für User habe ich es noch nicht getestet / genutzt. Der einzige Unterschied wäre jetzt noch, dass ich ein, zwei Leerzeichen nutze, wie es in den Beispielen steht. Laut Filter format for Microsoft Edge URL policies | Microsoft Learn ist das so und funktioniert bei mir auch so. Ein Test wäre ggfs. noch eine zweite Domain "*.domain.de" anzugeben, obwohl es eigentlich nicht notwendig sein sollte.

Das war in/aus Richtung "wir ziehen einfach die Domain von IONOS zu Anbieter XYZ, den wir dann auch als SmartHost nutzen". Wenn man halt keinen "dedizierten Smarthost Anbieter" nutzt oder eben nicht selber sendet.

Moin, bei "Option 1" hängt es ein wenig davon ab, ob das nur eine Domain für Mails ist oder ob da auch noch Website und ggfs. mehr dran hängt. Man kann ansonsten AFAIK bei All-Inkl externe bzw. fremde Domains zum Versand über deren Mailserver berechtigen. Generell wäre ich aber auch wie @NorbertFe bei Option 2. Falls das nicht möglich ist, würde ich eher Richtung Hornet Security, No-SpamProxy Cloud, Exchange Online Protection, o.ä. gucken und auch den Empfang darüber abwickeln und die (möglicherweise) Benefits von einem Cloud Anti SPAM (und evtl. weiterer Funktionien) mitzunehmen. HTH Jan

Hi, hier funktioniert es. Nutzt du aktuelle / die aktuellsten Edge ADMX Templates? Was kommt denn am Computer / beim User unter "HKLM\Software\Policies\Microsoft\Edge" oder eben "HKCU\Software\Policies\Microsoft\Edge" an? ExemptFileTypeDownloadWarnings REG_SZ [ { "file_extension": "rdp", "domains": ["binfordtools.org"] } ] ExemptSmartScreenDownloadWarnings REG_SZ [ { "file_extension": "rdp", "domains": ["binfordtools.org"] } ] Gruß Jan

Moin, also wenn eine Neuinstallation möglich ist, also nix wichtiges / brauchbares mehr auf dem Notebook liegt, würde ich das direkt machen und keine Zeit verschwenden. Ansonsten könnte man in der Suchmaschine der Wahl mal Richtung "Password" und "utilman" oder so suchen. ;) Gruß Jan

Für die Kosten eines zweiten Hosts und einer NAS kann man sicherlich ne ganze Zeit lang Hot Patching bezahlen. :)

Geld? Ihr bekommt Geld? Bei mir heißt es immer, ich solle froh sein, 8 Stunden am Tag ein Dach überm Kopf zu haben und dafür keine Miete zahlen zu müssen.