testperson

Hi, Citrix hat für die Virtual Apps & Desktops / DaaS noch folgenden CTX Artikel veröffentlicht: Windows Virtual Delivery Agent for CVAD and Citrix DaaS Security Bulletin CVE-2024-6151 Betroffen: Current Release (CR) Citrix Virtual Apps and Desktops versions before 2402 Long Term Service Release (LTSR) Citrix Virtual Apps and Desktops 1912 LTSR before CU9 Citrix Virtual Apps and Desktops 2203 LTSR before CU5 Für die Workspace App: Citrix Workspace app for Windows Security Bulletin CVE-2024-6286 Betroffen: Current Release (CR) Citrix Workspace app for Windows versions before 2403.1 Long Term Service Release (LTSR) Citrix Workspace app for Windows versions before 2402 LTSR HTH Jan

Das _sollte_ nicht so wild werden/sein. Die Netscaler IP befindet sich im Managment-Netz bzw. hat da nicht Hinz und Kunz Zugriff drauf. Und eine Subnet IP mit aktiviertem SNMP ist ja auch im Monitoring Netz. :)

Hi, leider ist scheinbar die Citrix Support Website unter dem Ansturm zusammgebrochen: https://support.citrix.com/article/CTX677944/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20245491-and-cve20245492 Hier die E-Mail: Hier eine andere Seite, die es scheinbar geschafft hat, den Artikel bei Citrix abzurufen: Citrix Netscaler ADC e Gateway afflitti da una grave falla di DOS e Open Redirect (redhotcyber.com) Das Downloadcenter von Citrix ist immerhin online und die aktuelle Firmware kann geladen werden. HTH Jan

Moin, hast du denn überhaupt "etwas", das von "Azure" profitieren würde/könnte? Oder willst du stumpf VMs nach Azure schieben und dort betreiben? Wir haben hier bspw. vereinzelt Kunden, die den AVD bzw. Windows 365 Cloud PC nur als "Jump Host" nutzen und von dort diverse SaaS Lösungen im Browser, "M365" und bspw. DATEV aus der/unserer "Cloud" nutzen. Wenn du den Azure Virtual Desktop nutzen willst, wäre es evtl. ein anderer Ansatz, diesen lokal auf Azure Stack HCI zu betreiben. DATEV lässt sich problemlos in Azure VMs betreiben. Da musst du nur den Softwareschutz und die Absicherung der RZ-Kommunikation auf dem Schirm haben. Generell ist es aber sicherlich einfacher, sich die bestehenden DATEV Cloud- bzw. Hostinglösungen (DATEVasp, PARTNERasp, SmartIT) anzusehen (IT-Outsourcing mit DATEV). Gruß Jan

Du meinst diese Liste: Security guidelines for system services in Windows Server 2016 | Microsoft Learn Was aktuelleres und offizielles gibt es AFAIK nicht.

Hi, du ergänzt den SPF Record um die öffentliche IP / A Record und inkludierst das Relay somit in den SPF. Zusätzlich solltest du dir dann die Firewall angucken und SMTP entsprechend einschränken, sofern das noch nicht der Fall ist. Gruß Jan

Hi, "Der Absender" "Adresse entspricht einem dieser Textmuster" -> "\.diezublockendetld$" sollte klappen. Gruß Jan

(Bevor ich mir nur für diesen Zweck bzw. eine Hand voll interner "Webserver" eine PKI ans Bein binde, kann ich sehr gut mit self-signed leben. :) Alternativ halt passende Zertifikate kaufen oder einen Dienst à la Let's Encrypt implementieren.)

Option 1) Nimm das in Kauf (Das dürfte keine Stunde Arbeit sein) Option 2) Stell das Zertifikat doch für 2 Jahre aus ;) Option 3) Bediene dich bei einer vertrauenswürdigen öffentlichen Zertifizierungsstelle und kaufe ein Zertifikat

RODC -> Diebstahlschutz, falls die Hardware geklaut wird. Dann können "nur" die zwischengespeicherten Credentials attackiert werden.

Hi, err.exe 0x800b010f # for hex 0x800b010f / decimal -2146762481 CERT_E_CN_NO_MATCH winerror.h # The certificate's CN name does not match the passed value. # 1 matches found for "0x800b010f" Die Hosts in der DMZ werden ja irgendeinen DNS Server nutzen. Erstelle da eine passende Hostzone für den WSUS oder nimm notfalls die Hosts-Datei (und dokumentiere das!). Gruß Jan

Nein. (Es sei denn du stellst den physikalisch an einen unsicheren Ort.) Sollte der RODC das Kennwort für einen User nicht gecached haben, macht er ein Passthrough zu einem RWDC.

Hi, unterm Strich möchtest du "das Reden" - was nicht hilft - automatisieren? (Sofern benötigt: Hol dir Rückendeckung für dein Vorhaben) Informiere per Mail, dass ab dem 01.08 o.ä. Sitzungen mit x Stunden im Leerlauf werden getrennt Sitzungen mit y Stunden im Status getrennt werden abgemeldet Informiere die User zwei und / oder eine Woche(n) vorher Konfiguriere die kommunizierten Werte ;) Gruß Jan

Da ich es soeben auch brauchte und es nicht mehr direkt funktionierte: RegKeys wie im o.g. Artikel (obwohl Office in 32 Bit) für die User: HKCU\Software\Microsoft\Office\Outlook\Addins\TeamsAddin.FastConnect LoadBehavior REG_DWORD = 0x00000003 HKCU\Software\Microsoft\Office\Outlook\Addins\TeamsAddin.FastConnect Description REG_SZ = Microsoft Teams Meeting Add-in for Microsoft Office HKCU\Software\Microsoft\Office\Outlook\Addins\TeamsAddin.FastConnect FriendlyName REG_SZ = Microsoft Teams Meeting Add-in for Microsoft Office HKCU\Software\Microsoft\Office\16.0\Outlook\Resiliency\DoNotDisableAddinList TeamsAddin.FastConnect REG_DWORD = 0x00000001 "Rest aus dem Script": Powershell-Scripts/install-new-teams.ps1 at main · Koetzing/Powershell-Scripts · GitHub Nach der Installation des MSI Pakets den Ordner "%ProgramFiles(x86)%\Microsoft\TeamsMeetingAddin" nach "%ProgramFiles(x86)%\Microsoft\TeamsMeetingAdd-in" kopieren und bei der User Anmeldung regsvr32.exe /s /n /i:user "C:\Program Files (x86)\Microsoft\TeamsMeetingAdd-in\1.24.13006.0\x86\Microsoft.Teams.AddinLoader.dll" ausführen. (Wenn das Add-in in %localappdata% liegt, ist es momentan ebenfall im Ordner "TeamsMeetingAdd-in" und nicht mehr in "TeamsMeetingAddin".) Evtl. funktioniert es auch direkt, wenn man im Script Zeile 131, 136, 137, 139, 140 in "..\TeamsMeetingAdd-in\.." ändert. In Zeile 140 dann (bei Office 32 Bit) noch "..\x64\.." in "x86" ändern.

Das XML würde die Registry Settings fürs GPO oder evtl. auch WEM beinhalten. Wenn es nicht auffindbar ist, musst du die Werte halt flott per Hand in die Policy hämmern oder anderswie in die Registry vom User bekommen. ;)

Hi, mit dem Artikel und Scripts von hier (Verfahren zur Einrichtung des neuen Microsoft Teams auf VDI W2022, W2019, W10 und W11 Multiuser Plattform (koetzingit.de)) funktioniert das eigentlich recht gut. Du musst nur aufpassen, wenn du Office in 32 Bit nutzt. Dann sind es andere Regkeys bzw. dann muss das Add-In auch aus "x86" geladen werden. Ansonsten gibt es noch diesen MS Artikel: Teams meeting add-in missing from Outlook and new Teams - Microsoft Teams | Microsoft Learn Resolve issues with Teams Meeting add-in for Outlook - Microsoft Teams | Microsoft Learn HTH Jan

;) (Allerdings machen es die ISPs einem auch nicht unbedingt leichter, wenn die /20-er Netze auf Blacklists setzen lassen und man beim Blacklist Anbieter dann das Delisting für das komplette Netz durchführen soll.)

Hi, ich vermute, du nutzt 1und1 / IONOS als Smarthost? 1und1 / IONOS haben Anfang des Jahres (?) darüber informiert, dass leere Absender (OOF) oder abweichende E-Mail-Adressen nicht mehr angenommen werden: Kein E-Mail-Versand bei abweichender Absenderadresse (1und1.de) Auch 1&1-Postfächer von Änderungen der Einstellungen zum 15. Januar 2024 betroffen | Borns IT- und Windows-Blog (borncity.com) Das sinnvollste wäre vermutlich, sich um einen direkt Versand zu kümmern und nicht 1und1 als Smarthost zu nutzen bzw. wenn es direkt nicht geht, einen anderen Anbieter als Smarthost nehmen. Gruß Jan

Hi, in Kombination mit deinem anderen Thread und der dortigen "modern Management" bzw. "Cloud Management" Option, evtl. nochmal überdenken oder gegenüberstellen. ;) Vielleicht erschlagt ihr ja noch mehr als zwei Fliegen mit dieser Klappe. :) Gruß Jan

Hi, eine Option wäre noch die Registry Keys aus der Antwort hier zu testen: Network location awareness not detecting domain network from offsite location - Microsoft Q&A Ein weiterer Ansatz wäre, aus dem o.g. Link vorher einen "Always On VPN Device" Tunnel aufbauen lassen, sofern das mit der Fortigate machbar ist. Gruß Jan

Hi, es wäre auch zu einfach, den derzeitigen Plan auf einen passenden Plan mit aktuellem Office bzw. den M365 Apps upzugraden. :) Gruß Jan

Ging das bei Anydesk nicht auch so oder so ähnlich los und hat dann doch später "vorsorglich" die Code-Signing Zertifikate revoked?

Moin, auch hier einmal der Hinweis auf heise.de: APT-Angriff auf Fernwartungssoftware? Sicherheitsvorfall bei TeamViewer | heise online Könnte ja der ein und andere nutzen... HTH Jan

Es werden wohl noch zwei, drei Exchange Server Installationen kommen. Ich belasse das Script erstmal mit dem Parameter und überrasche mich. :)

Mit CU13 und vorher hat der Parameter zumindest nicht zum Abbruch geführt. Das Script hat nur die Deaktivierung der EP ergänzt bekommen. Allerdings hat es auch ohne Deaktivierung der EP abgebrochen.