Weingeist

Naja, man muss Storage Spaces schon in den Grundzügen verstehen wie so ein Pool aufgebaut ist und Daten abgelegt werden, damit man A das richtige Grundamterial hat und B ein Volume korrekt einrichten kann. Sonst lässt man - wie eigentlich bei allem - lieber die Finger davon. Dann sind nämlich einzelne, isolierte Magneplatten ohne jegliches Raid egal ob Software oder Hardware die deutlich bessere Lösung. A nur eine Platte betroffen und B bekommt man mit Recovery-Tools meistens einen Grossteil wieder raus. Mit SSD ist da Essig, mit modernen Software-RAID wie SP unglaublich aufwändig. Insbesondere bei nicht identischen Festplattengrössen muss man die Zusammenhänge der Speicherung schon ziemlich gut verstehen. Macht eigentlich nur Sinn bei grösseren Pools. Der "Automat" macht dann die erstellung eher selten gut.

Kann mich da Evgenij nur anschliessen. Probleme sollte es normal keine geben, habe schon öfter Verbünde migriert. Bis dato kein Probleme gehabt. Auch mein bewusst herbeigeführten Fails unter Last wurden jeweils korrigiert. Storage-Spaces ist sehr robust von ein paar wenigen Szenarien abgesehen (mangelnder Speicherplatz sei an erster Stelle genannt, in verschiedenen Kombis, auch wenn mittlerweile deutlich entschärft). Würde mich übrigens noch zurückhalten mit der Migration eines Pools von 2012 R2 auf 2022, solltest Du das gleich in Betracht ziehen. Gibt da Meldungen, dass dies in die Hose gehen kann. Lieber neu aufbauen. Würde Dir noch drigend empfehlen mindestens auf Mirror oder besser 3-way Mirror zu gehen. Letzteres insbesondere bei grösseren Magnetplatten. Prinziptbedingt können insbesondere grössere Files über mehrere Platten verteilt sein. Sprich bei einem Ausfall kann ein schöner Teil an den Popo gehen. Ich zumindest habe noch andere Hobbies als in meiner Freizeit Daten wiederherzustellen. ;)

Diese ganzen NAS-Dinger haben so viele Lücken, die Geräte, Funktionen, Apps ändern dermassen schnell, die würde ich so oder so nie direkt ins Netz stellen. Ziemlich egal wie gut sie abgesichert sind. Jetzt mal ganz unabhängig von SMB ;)

Die Bevorzugung funktioniert nicht in jedem Fall zuverlässig wenn nur die Disabled Components gesetzt werden. Schlicht weil es wohl nicht alle Komponenten interessiert was da drin steht. Die versuchen es dann trotzdem erst mit IPv6 statt IPv4. Gibt unter Umständen ne Menge Ärger wenn du z.Bsp. die IPv6 Protokolle auf den Adaptern deaktivierst und DisabledComponents auf 255 stellst. Also in der Theorie ist IPv6 dann deaktiviert, in der Praxis nicht wirklich. Kannst mit dem Filter-Engine-Audit gut mitschnippseln. Die Prefix-Policy wird dagegen immer respektiert oder im mindestens für alle welche die DisabledComponents nicht auwerten. Gibt dann auch keine verworfene Pakete, selbst bei expliziter IPv6-Blockung in der Firewall. Soweit ich das damals richtig verstanden habe war das eine der Massnahmen, damit Exchange auch mit einer IPv4-Konfig abgenommen wurde. Aber eben, wann genau die Priorisierung in der Prefix-Policy notwendig ist, weiss ich nicht. Wenn man sie aber tätigt, hat man keinen Ärger nicht wenn man an IPv6 rumwerkelt. Auf alle Fälle kann man so auch heute noch im Netz nur IPv4 fahren wenn man das möchte. (Diskussionen hierzu können wir uns hier glaub sparen, gibts genügend Threads dazu)

Bei allen Manipulationen die IPv6 einschränken würde ich immer auch die Prios allgemein auf IPv4 bevorzugen ändern. Kann sonst gerne Side-Effects und irgendwelche Verzögerungen geben. Wenn man IPv6 nicht braucht und ganz deaktiviert ist das sogar Pflicht. netsh int ipv6 set prefixpolicy ::ffff:0:0/96 60 4 netsh int ipv6 set prefixpolicy ::/96 55 3 netsh int ipv6 set prefixpolicy ::1/128 50 0 netsh int ipv6 set prefixpolicy ::/0 40 1 netsh int ipv6 set prefixpolicy 2002::/16 30 2 netsh int ipv6 set prefixpolicy 2001::/32 5 5 netsh int ipv6 set prefixpolicy fc00::/7 3 13 netsh int ipv6 set prefixpolicy 3ffe::/16 1 12 netsh int ipv6 set prefixpolicy fec0::/10 1 11

Nicht das es besondes schön wäre, aber Du könntest evtl. beim abmelden immer den üblichen Domain User eintragen. Die lokalen User werden ja sowieso gelistet. ;)

Ich teile Deine Argumentation grösstenteils, wenn auch nicht den Ton. Aber die Argumentation ist dabei das absolut kleinste Probleme. Einsehen tut das jeder. Hatte jedenfalls noch nie Mühe mit der Argumentation, auch vor über 10-15 Jahren nicht wo das im Industriebereich noch selten ein Thema war. Seit man es alle Tage in der Zeitung lesen kann und gestandene Mittelklassefirmen hops gingen, sowieso nicht mehr. Nur die Umsetzung empfinde ich alles andere als trivial. Wie stellst Du eine vollständige physische Isolation sicher? Also ich finde das in der Praxis enorm schwierig. Alleine die Fernwartung zu X verschiedenen Firmen oder der interne, notwendige Datenaustausch. An einer modernen Produktionszelle sind schon 5-10 Hersteller beteiligt. Die Anlagen laufen 24h, 7 Tage. Undenkbar ohne Fernwartung. Oder die Laptops/USB-Sticks der Techniker die einfach überall drinstecken? USB-Sticks kann man verbieten und ist auch durch. Laptops mit sämtlicher SPS-Software könnte man theoretisch selber vorhalten, aber das ist eine Never-Ending Story und eher die Kategorie der Grossbetriebe und auch auf diese muss dann ein Technier mittels Fernwartung drauf. Irgendwie muss auch der interne Datenaustausch hergestellt werden und die Aktualität der Daten sichergestellt sein. Mache ich das über einen Proxy oder über USB-Sticks, wo ist am Ende das Risiko grösser? Die Versionierung und Aktualität der Daten ist so schon ein Dauerbrenner, wenn das noch über zu viele Zwischenstationen muss, endet man innerhalb kürzester Zeit im Chaos. Das ist dann in der Risiko-Beurteilung ganz weit oben und die Schäden sind dann in der Summe auch schnell enorm hoch. Von daher meine Meinung: Gesagt ist bezüglich vollständiger Isolation der Produktionsumgebung immer sehr schnell viel. Die Umsetzung ist dann eine ganz andere Liga. Umöglich ist nichts, aber am Ende müssen die Leute tatsächlich auch noch arbeiten können. Der Uralte Krempel ist übrigens das kleinste Problem in der praktischen Umsetzung. Weil da kann fast alles anders gelöst werden. Das richtige Problem ist der moderne, hochintegrierte Kram. Und wenn er heute nicht das Problem ist, wird er es morgen. Und alles was man macht, macht man auf eigenes Risiko weil die Hersteller alles ablehnen. Bei Anlagen die in die Millionen gehen ist das ein Tanz auf der Klinge. Das sind dann Sofort-Real-Schäden und keine die möglicherweise kommen. Das dürfte in Zukunft ändern, sobald der Druck der Versicherungen und grossen Firmen zunimmt, aber Stand heute ist das bei weitem noch nicht durch und ein 0815 Kunde der eine handvoll Maschinen hat, interessiert die grossen Hersteller nicht die Bohne wenn es um Änderungen geht. Da geht erst etwas wenn Betriebe auf finanzieller Augenhöhe diskutieren. Bei KMU's heisst das, wenn die Leasinggesellschaft oder die Versicherung stellvertretend für die Kunden kämpft/Forderungen stellt. In der Beschaffung ist das noch nicht der Fall, bei einem Schaden teilweise schon. Selbst mit der Versicherunge/Leasing im Rücken wird dann gerne zu Tode prozessiert. DAS ist leider die Realität, auch wenn die Faktenlage zu 100% klar ist. Bis man recht bekommt dauert es dann ~10 Jahre oder mehr. Das muss man finanziell erstmal stemmen. Bei IT-Sicherheit ist die Sachlage dagegen selten 100% klar. Ansonsten: Ich finde die SMB1 Proxies haben auch innerhalb eines so gut wie möglich isolierten Netzes ihre Daseinsberechtigung. Warum soll man in einem SMB1 irgend in ein Produktionsnetz lassen, auch wenn für sich autonom? Sehe ich nicht ein. Der dürfte in der Pflege das kleinste Problem sein innerhalb einer solchen Kette. Andere Glieder sind da deutlich "sensibler".

Das mit dem Pflichtenheft kannste knicken. Habe ich schon unzählige Male versucht. Haben wir nicht, machen wir nicht, vielleicht in Zukunft. Die ändern keine Baureihe nur weil eine handvoll Kunden sich tatsächlich erfrecht, ihre Steuerungs-Philosophie in Frage zu stellen. Ist denen komplett egal und wenn es 10 Maschinen sind. Und warum? Weil eben 99% der Hersteller genauso so ticken. Da immer mehr vernetzte Produktionsbetriebe durch Ransomware an die Wand gefahren werden, ist da glücklicherweise schon endlich etwas in der Mache. Sobald Grosskunden das verlangen tut sich dann mal was. Nur sind die Maschinen da deutlich weniger lang im Einsatz als in kleineren Betrieben. Wenigstens ist Hardwaremässig mit PCI-Express sehr viel Rückwärtskompatibel. Sprich Karten können in neue PC's übernommen werden. Da Software auf Windowsi mmer weniger direkt auf Hardware zugreifen kann, sind sie auch nicht mehr so abhängig von den richtigen CPU's und Grakas. Also ein Tausch je länger je schmerzfreier und MS wirbelt die Werbetrommel ziemlich mächtig für IoT. ;) Der letzte von mir verwaltete W95 wurde vor 2 Monaten in Rente geschickt. War ein Roboter der noch aussah als käme er direkt aus der Fabrik. Irgendwie schon krank. Ein Mitarbeiter meinte wir hätten doch alle etwas an der Waffel als er den neuen und alten Roboter nebeneinander stehen hatten. Aber Teile gabs halt nur noch alte via Ebay. Einmal hatte ich schon das Mainboard von einem SMD-Zauberer wiederbeleben müssen. --> Ging 2 Monate bevor der neue Robi/Zelle kam an den Popo Dafür hab ich noch ein W98 am Start. Immerhin auf XP virtualisiert. Immer wieder geil wenn ich da mal was machen muss, 250MB OS und reagiert auf ner SATA Platte virtualisiert schneller als W10 auf einer Intel Optane mit >3.5 GHZ CPU. Und kann eigentlich auch alles inklusvie Word Excel, aber halt weniger Fancy. Einige male versucht die Software zu portieren. Nie gscheit hinbekommen wegen dem Parallel-Dongle. Neuere Software funktionierte nicht sinnvoll mit dem alten Spezialdrucker den es in dieser Art leider nicht mehr zu kaufen gibt aber tatsächlich noch neue Ersatzteile zu bekommen sind. Geht zwar quasi nie etwas kaputt, aber vor 5 Jahren musste doch etwas getauscht werden. Ist über 30 Jahre alt. @teletubbieland Cool, danke für den Link. Werde ich mir demnächst zu Gemüte führen. :)

Naja, aber sind ja auch Kosten die entstehen. Gekoppelt mit sinnvoller Bandbreite über das ganze Volumen damit man ein "Vor-Ort-Feeling" hat, kann das durchaus ein nicht zu vernachläsigender Kostenfaktor pro User sein. Summiert sich schon und sind halt versteckte Kosten. Also je nach Situation, ist der Einwurf nicht unbegründet und gehört durchaus in eine saubere Kostenaufstellung. Auch wenn grad alles in die Cloud muss. ;) Weils grad so schön zum super-duper-modern passt: Gard vor kurzem mit einem Kollegen von der cloud gehabt. Die mussten eine Reservierung und Zimmer-Einteil-Software ersetzen, weil die Software-Schmiede ihres alten Systems aufgekauft und der Support nach ein par Jahren eingestellt wurde. Die neue läuft nur noch in der Cloud, deren On Premise wurde auch gleich mit abgekündigt. Ist total lahmars***ig im Vergleich zu den alten PC's mit der alten Software vor Ort. Das Personal ist nur noch am stänkern, ein paar sind schon auf und davon (nicht die schlechtesten) und der Rest ist unzufrieden. Die Internetleitung wurde auch deutlich vergrössert (zu hohen Kosten) und trotzdem ist es bei weitem nicht wie "Vor-Ort". Den ersten Telefon-Netzausfall hatten sie auch schon. Da auch gleiche eine Mobilnetzstörung anstand und somit die Backup-Leitung auch tot war, ging gar nichts mehr. Und das nicht nur ein paar Stunden. Ein Riesenspass bei mehreren hundert Zimmer. Solche extremen Ausfälle hatten die in 20 Jahren nie. Vor lauter modern geht das wesentliche bachab, die Produktivität und Stabilität an der Front. Aber das ist ja eine andere Kostenrechnung. Macht Laune und Lust nach mehr.

Naja, meinst du dann würde sie "einfach" und "schnell" sein? Microsoft hat dazu tatsächlich einige gute Dokumente zu Härtungen. Hatten wir dazu nicht zuletzt schon ein Thread dazu worum dazu ging? Ich meinte jetzt nur bezüglich Beschneidung Dom-Accounts. Dass scheint zumindest mir unmöglich zu sein ;)

So richtig Straight ist das das nicht, hat auch ein paar Stolpersteine. Meines Wissens gibts keine Api die das direkt kann. Wenn doch, ich wäre empfänglich. =) Hatte ich mir mal vor ~15 Jahren mit VB die Zähne dran ausgebissen bis ich nen Code gefunden habe. Die Anwendung sollte AD-Gruppenzugehörigkeit nutzen für allerelei Bereichtigungen. Der Code war dann vereinfach gesagt eine Abfrage von AD mittels ADO über ein Service-Konto. Das Service-Konto war nötig weil ein normaler User nicht alle gewünschten Parameter auslesen durfte. Details weiss ich nicht mehr zu 100%, meine es war nötig für das auflösen der SID. -> Mitunter problematisch in einem Script wenn das PW im Klartext vorliegt. Eventuell wäre es denkbar eine Mini-Mini Anwendung zu schreiben wo dann der Krempel verschlüsselt ist und dann direkt per Kommandozeile geprüft wird. Habe ich mal mit VB6 gemacht, kann ich aber nicht auffinden. Habe den Code noch kurz überflogen, die Basis war von Joe Kaplan. Basiert auf den bereits genannten "TokenGroups". So richtig straight-forward ist es nicht, braucht schon ein paar Apis und ein paar Eigenheiten gibt es auch. Abfrage eines verfügbaren DC's, SID (Octet) in String umwandeln, einzelne Mitgliedschaften sind als String, mehrere als Array hinterlegt usw. Könnte das Modul zu Verfügung stellen fals gewünscht, dann kannst die notwendigen Befehle extrahieren. Dürfte vermutlich in VBS zu grossen Teilen auch zu verwenden sein. ;)

Nicht ganz trivial. Ist ja immer so eine Sache, insbesondere wenn das Geräte sind, die gar nicht ohne weiteres ersetzt werden können. Ideen habe ich schon, nur noch keine umgesetzt. Konnte bis jetzt jeweils auf ein anderes Protokoll ausweichen oder eine Insellösung machen. Insellösungen sind halt mühsam im Unterhalt. Die anderen Protokolle sind zwar nicht sicher, dafür aber ohne Windows-Credential-Klau =) Mein theoretischer Favorit wäre eine Art Linux-Proxy. Linux kann ja aus quasi allem Mount-Points machen. Die Idee wäre jetzt eine Freigabe auf einem aktuellen Windows Server direkt in eine SMB1 Freigabe zu mounten welche auf einem eigenen Netzwerkadapter bereitgestellt wird und eine direkte, dedizierte oder VLAN-getrennte LAN-Verbindung zum zugreifenden Client hat. Sprich der Zugriff läuft zwar über den Linux Server, zugegriffen wird aber indirekt in das Verzeichnis das mit aktuellem Protokoll an Linux angebunden ist. Leider kenne ich mich selber zu wenig aus mit Linux um das sinnvoll durchzutesten. Den Vortiel sehe ich darn, dass die Daten im Hauptnetz liegen würden. Wäre aber natürlich nur für einzelne Clients sinnvoll wie z.Bsp. Maschinen-Steuerungen Wenn die Daten bzw. deren Vertraulichkeit nicht unglaublich wichtig sind bzw. im Zugriff nicht mehr als nur über ein VLAN oder den zugreifenden Client beschränkt werden müssen, könntest auch eine VM nehmen die nicht in der Domäne ist. Allfällige Credentials die geklaut werden, nützen dann im eigentlichen Netz nichts.

Weil im Sinne von den Hipstern eine normale klassische Installation eh nur alter Quatsch ist. Mir perslönlich kommt das Konzept wirklich vor wie aus dem IT-Mittelalter. Oder wie eine gewachsene Access-Anwendungen, da muss die Frontend auch zu jedem User ins Verzeichnis mit Schreibrechten damit es +- Multi-User-Tauglich wird. Und Access wird einfach von allen komplett zerrissen Einen Vorteil sehe ich. Wenn der Kram dann mal richtig funktioniert, funktioniert vielleicht auch das Hot-Patching. Sprich es ist kein Neustart der Maschine/App für alle User zur gleichen Zeit fällig. Imho ist das Konzept um das zu erreichen aber falsch. Die hätten das auch einfach in den Neustart der App einbauen können. Mit VSS und Soft- oder Hardlink ist die Technologie dazu ja vorhanden. Und ne Menge Windows Apps haben sowieso so viele Speicherlöcher, dass ein Neustart ab und wann angebracht ist. ;) Ansonsten sehe ich nur konzeptionelle Nachteile. Oder wo liegt der Vorteil verschiedener Versionsstände auf der gleichen Maschine und nicht nur die Nutzerdaten pro User zu haben? Ist im Grunde auch ein Sicherheitsrisiko.

Alles super duper modern Workplace, unmanaged dafür möglichst viel Telemetrie zum Hersteller, alle 3 Monate neue Versionen, nen Haufen potentieller Sicherheitslücken... Nur das speditive Arbeiten kommt zu kurz. Quasi zurück ins Mittelalter mit neuen Kleidern. Mich gurkt nur an, dass ich für den ganzen Mehraufwand den "moderne-super-duper" Software benötigt auch noch viel mehr Geld bezahlen muss, dafür als Dankeschön das Patchmanagment und die bequeme Verwaltbarkeit früherer Jahre auf der Strecke bleibt und als I-Tüpfelchen oft auch noch fast unerträglich langsam wird ;)

Das ist eher der Standard als die Ausnahme... eine geht ins interne Netz um mit CAM, CAD, PP, Werkzeugvermessung etc. vernetzt zu sein und ein Anschluss geht ins offene Netz. Meist auf der Maschinensteuerung. Der Dritte ist dann Bedienpanel direkt ins Internet für Fernwartung der Bedienung sofern nicht machbar via internem Netz. Der direke Anschluss ins Internet für die Maschinensteuerung selbst - meist für das propritäre OS - ist dafür meistens mit einem Hardware-Kommunikationskarte und Schlüsselschalter ausgestattet. Aber selbst das wird teilweise weggespart. Der zweite Standard ist dann "keine Updates" und Windows 10 Pro für Bedienpanel/Kommunikation. Vor ein paar Jahren als schon längst EOL, W7 oder XP. Und nein, Alternativen gibt es da selten weil einfach pauschal alle so sind, mit sehr sehr wenigen Ausnahmen (Zeiss Messmaschinen sei hier zum Beispiel lobend erwähnt, die nutzen LTSC). Willkommen in der Welt der Industrie/Fertigung. Ahja, und 10 Jahre möchte man die Maschine ja mindestens einsetzen, dumm nur, wenn das OS schon fast EOL bei Verkauf ist

Sicher? Gibts auch ne Wegleitung? Domain Admin kann man ja nicht wirklich effektiv beschneiden bzw. kann er sich ja selbst beglücken. Nen Exploit gibts auch von Zeit zu Zeit. Ob es dann wirklich hilft die Kiste nicht in der Domain zu haben steht wieder auf einem anderen Blatt =) Allerdings wird es wohl je länger je mehr vorkommen das Kisten nicht Domain-Joined sind und Authentifizierung eher in Richtung Applikation geht. Zumindest wenn man so den Trend beobachtet mit eigenen Heimgeräten, oder sogar bei MS selbst mit Ihren Cloud-Geräterichtlinien etc. Man wird sehen. Dürfte die Verwaltung nicht unbedingt einfacher machen. =)

Stimmt. OOps.... Falsch gelesen Aber da dürfte das gleiche gelten. Manuell in DNS registrieren damit die Namens-Auflösung funktioniert. Und auf einer Maschine manuell installieren ist ja jetzt auch nicht so dramatisch. Finde ich. Firewall aufmachen ist jendenfalls kaum zielführend für ein System das aus Sicherheitsgründen aus der Domäne raus ist. Da sollte eher nur genau das aktiviert sein, was effektiv zwingend gebraucht wird. =)

@Dukel Naja ich denke erhofft sich ein Sicherheitsplus wenn der Antivirenserver nicht mit Domänenkonten komprimittiert werden kann. Gab ja in letzter Zeit einige solcher positivien Meldungen insbesondere z.Bsp. für Backup-Ziele die ausserhalb der Domäne in einer Workgroup lagen die dann z.Bsp. nicht von vollständig von Ransomware verschlüsselt wurden weil kein Zugriff via den üblichen Domänen-Konten erfolgen konnte. Aber solche Maschinen müssen dann auch entsprechend abgeschottet werden damit es wirklich einen Vorteil hat. @sd2019 Was meinst Du mit "Der Client wird über die Gerätesuche nicht gefunden"? Heisst das die Antivirenlösungen findet die Clients nicht? Der Hinweis mit DNS ist eher ein "Muss" wie ein "Soll". Du brauchst eine funktionierende Namensauflösung wenn deine Antiviren-Lösung nicht rein IP-Adressen basiert ist. Den Antivirenserver musst also im internen DNS-Server auch als Host eintragen. Der Antivirenserver muss die Hostst/Clients ebenfalls mit dem internen DNS-Server in der Domäne die IP-Adressen auflösen können. Insbesondere wenn alte Techniken zum Namensauflösung abgedreht wurden und auch abgedreht werden sollten. Aber eben: Fragt sich was überhaupt die Antiviren-Lösung auf dem Server bereitstellen muss, was hin und her muss und warum der Server die Clients finden muss und nicht der Client sich melden soll und dann eingetragen wird. --> Meine erste Anlaufstelle wäre hier der Hersteller der Lösung. Insbesondere bei Sicherheitstools hast selten eine Verbesserung sondern eher eine Verschlechterung der Sicherheits-Situtation wenn Du nicht Herstellerangaben befolgst.

Nope Nope, das Ding ist nur eine effektive und korrekte Auflistung Deiner Drucker. Im Grunde das gleiche wie die "neue" Geräteauflistung wo Du Deinen Ärger hast. Einfach eine die eben auch funktioniert. Also einfach einen neuen Ordner irgendwo erstellen und den Punkt sowie die GUID hinten anhängen. Ist dann quasi ein Ordner-Link, ähnlich den Elementen in der Systemsteuerung. Öffnests dann diesen leeren Ordner, dann siehst Du Deine effektiv installierten Drucker, egal ob sie in der Geräteauflistung korrekt angezeigt werden oder nicht. Du siehst Sie so wie es auch verbunden wurde. Wenn jetzt Deine Drucker auch da nicht so benamselt sind wie Du es gerne hättest, dann hast Du deine Drucker vermutlich nicht gleich benannt wie in der Freigabe. Dann verbindest Du zwar über die Freigabenamen, aber angezeigt wird Dir der effektive Druckername den Du auf dem Server vergeben hast. Ich bin jetzt gar nicht sicher, aber ich meine das war vor langer Zeit mal anders und früher wurde der Freigabename angezeigt, ist aber mehr ein Gefühl wie wirklich gewusst =) Im Grunde kann Dir die Geräteauflistung deshalb total egal sein, wird aktuell noch nirgendwo verwendet soweit mir bekannt. Ist ein rein optisches/kosmetishes Problem. Das was Sunny meint ist die "neue" Funktion von Windows 10 wo Windows glaubt besser zu wissen was Dein Standarddrucker sein soll als Du selbst. In 99% der Fälle völlig unbrauchbar. Kannst per GPO abdrehen. Ich hoffe der PrintNightmare Bug bringt endlich mal den dringend nötigen Fokus auf die Printer und daraus ergibt sich mal ein schlaues Treibermodell... die Hoffung stirbt zuletzt =)

Normal gibt es seitens Windows Kontakte zu Akamai, Updates für den Defender, time-sync, Telemetrie etc. Sind insgesamt ziemlich viele Verbindungen. Wirklich etwas herunterladen tut meines Wissens aber nur der Defender. Die anderen laden eher hoch.

Die Geräte-Auflistung unter Windows 10 ist im Grunde unbrauchbar. Zwar nicht alleine die Schuld von MS, aber MS greift für die Auflistung auch nicht richtig auf die korrekte Liste zu bzw. wertet sie falsch aus. Die einzig wirklich zuverlässige Auflistung bekommst indem du einen neuen leeren Ordner erstellts mit beliebigen Namen, gefolgt von einem Punkt und der GUID dieser Systemfunktion. Im Grunde ist es die alte Auflistung aus der Vor-Vista-Zeit. Die Programme und selbst Office greifen zum Glück noch auf die alte Auflistung zu. Will heissen: Erweiterte Drucker.{2227A280-3AEA-1069-A2DE-08002B30309D} Ich erstelle jeweils auf dem Netlogon Share einen solchen Ordner, dann muss ich nicht lange danach suchen. Greift immer auf die Daten des Systems zu auf welchem man sich befindet und nicht wo der Ordner gespeichert ist. ;) In dieser Auflistung kannst auch mehrere Drucker markieren und gesammelt zuverlässig rauswerfen und neu verbinden. Zusammen mit aktuellen Treibern von guten Business-Geräten und die andere Auflistung ist im Normalfall wieder "repariert". EDIT: Wenn auch in den Programmen die Drucker falsch angzeigt werden dürfte es mühsamer werden. Dann dürfte etwas generell verkonfiguriert sein.

@NorbertFe Finde ich nicht. Oft ist es nicht das wollen, sondern eben einfach das es zu kompliziert ist bzw. unnötig kompliziert gemacht ist und Infos fehlen. Wäre eine interne CA Pflicht und die Wegleitung dazu ganz vorne ersichtlich, es gäbe deutlich mehr davon. Davon bin ich überzeugt. Insbesondere, wenn man sich sonst gar nicht anmelden könnet Ich rede hier nicht von einer PKI für Webdienste oder vorinstalliertem Kram, sondern nur von der 0815 Windows-Anmeldung, 0815 Windows-Umgebung und der Abschaffung von NTLM. Logisch kommt jeder in irgend einer Form in Kontakt mit Zertifikaten die irgendwo gemanaged werden, aber darum geht es nicht. Und ich behaupte, Du weisst eigentlich ganz genau auf was ich hinaus will. Auf alle Fälle sind immer noch sehr sehr sehr viele Umgebungen nicht Kerberos-Basiert. Sogar wichtige Infrastruktur, also nichtmal im Staat oder Gesundheitswesen ist das Thema durch. Wie soll es im KMU angekommen sein?!? Das ist imho numal dem Umstand geschuldet, das es keine 0815 Wegleitung gibt die man einfach befolgen kann. Vom Hersteller. Und das es nicht der Standard ist, sondern NTLM. Ich kann mich gut erinnern als ich vor ein paar Jahren mir die ganzen Infos zusammengesucht habe. Ehrlich gesagt habe ich sogar ziemlich viele Stunden damit verbracht und mich hat es wirklich interessiert. Ich wollte wissen wie man das aufbaut. Alleine die Tatsache, dass man nicht einfach Schwups einfach verständliche Anleitungen findet beweeist, dass das Thema eben noch NICHT angekommen ist. Vielleicht Aber Du oder Ihr kannst/könnte das gerne anders sehen, ich behaupte jetzt einfach, KMU sind nicht eure Clientel und da wo Du/Ihr in Anspruch genommen wirst/werdet, sind die Leute/Unternehmen entsprechend mit dem Thema bereits à jour. Aber das dürften nicht 90% der Installationen sein. (Von mir aus auch 60%, keine Ahnung ehrlich gesagt). Just my 2cents. ;) Und MS habe ich nicht direkt die Schuld gegeben. Sondern einfach nur auf die Tatsache hingewiesen, dass sie zu wenig unternehmen und es in der Hand hätten. Wenn sie wollen würden. Ein bisschen was geht, denn mittlerweile gibt es doch ein paar Infos mehr die man sogar findet... Aber immer noch keine exakte Wegleitung. Aber wenn sie zu viel machen würden, kämen wohl mehr support-anfragen = mehr arbeit = weniger Gewinn. Auch nur meine 2 cents dazu. Wollte nur aufzeigen das es auch andere Denkweisen gibt. Die ihr natürlich nicht teilen müsst. ;)

Ja klar, aber ich finde nicht, das dies ausreicht oder? Und so manches was da umgesetzt wird, hat eben Voraussetzungen damit es auch so geht (CA z.Bsp.) Paar Beispiel: - Firewall (Vorlagen bei OutBlock für systemrelevante Dienste wie AD, DNS, Beschreibung was man tunlichst tun sollte, drauf hinweisen das Dienste teilweise maskiert werden und somit leider keine Filterung auf den Dienst möglich ist, welche das betrifft usw.) --> Teilweise vorhanden klar - wirklich für den Betrieb notwendige Dienste, sowie entsprechende Beschreibung was genau für was verantwortlich ist, eventuell sogar beteiligte Dateien (Nachschlagewierk halt, recht undurchsichtig teilweise) - CA - Was hilft einem Admin wenn er NTLM deaktivieren soll, aber keine Ahnung hat was es überhaupt dafür braucht, das Kerberos unter Windows funktioniert. Diese Infos sind oder waren es zumindest (vermute immer noch) unglaublich mühsam herauszufinden. Das dies wirklich nicht Straight-Forward ist, beweist das die wenigstens Umgebungen, selbst grössere, überhaupt über eine CA verfügen ;) --> Ging schon was in die Richtung mit Anleitungen für eine 0815 CA, aber auch da steht nicht was man nun explizit für die Abschaltung von NTLM machen muss. Braucht es nur Computer-Zertifikate? Welche Rechte braucht das Zertifikat? Oder braucht es auch User Zertifikate? Was passiert wenn der User ein Signing-Recht erhält? Kann er dann Scripte signieren die dann überall in der Firma als "safe" gelten? Ich meine das sind zwar Basics, aber bis man den Krempel zusammen hat wird man fast selig, zumindest vor ein paar Jahren. Und ich rede nicht von komplexen Dingen, sondern einfach nur den 0815-Kram den man eben für Kerberos braucht. Seitenhieb mit 16bit? Pffft das war aber unter die Gürtelinie hahah Nö 16bit habe ich zum Glück wirklich nur noch auf einzelnen, speziellen Systemen. Analysengeräte, Spezialdrucker, Roboter und so Zeugs. Die sind alle Offline. Ich bzw. die Buden sind dennoch froh, dass es noch zum laufen zu bekommen ist weil es teilweise Systeme sind, die es so nicht mehr gibt, zu selten gebraucht werden damit sich Neuanschaffung lohnt, viel genauer sind als neue usw. Darum mag ich ja Windows so, irgendwie gehts immer in halbwegs vernünftigem Zeitrahmen. Mir machen halbaktuelle, integrierte Systeme viel mehr Sorgen.

Weil? =) Was ist deiner meinung nach des Hackers liebster Freund den Du genannt hast? Das Problem mit den Dienstleister ist immer das die guten Leute dieser Firmen selten jene sind, die sich um die Anliegen der KMU's kümmern. Also selbst wenn man sich Leistung einkauft, bekommt man oft keine sinnvolle Beratung. Ist so meine Erfahrung, nicht nur im IT Bereich. ;) Ich finde ja schade, dass MS keine effektiven, einfach verständlichen Konfigurations-Guide-Lines zu Verfügung stellt wenn Sie schon aus Kompatibilitätsgründen nicht so konfigurieren, dass es mal sicher ist - soweit man das sagen kann - und man freigeben muss.

Wenn Du ne Firewall hast - was Du haben solltest - dann kannst Das da blocken. Als Proxy-Server auch Userbasiert ;) Als es im Winter noch schneite und der nette TMG noch verfügbar... wobei, solange ist es nun auch wieder nicht. Auf alle Fälle hat der hat das wunderbar user, zeit und was auch immer basiert gemacht. Ich vermisse ihn immer noch. *heul* Habe den MA's den ganzen Nicht-Firma-bezogen-Quatsch jeweils über Mittag freigegeben. Gibt aber auch heute solche Lösungen von anderen Herstellern oder eben eine der Hardware-Firewalls. Dann gibts noch die Bastelvarianten. Nicht sondernlich intelligent, funktioniert aber beschränkt auch. Auf dem DNS-Server eine primäre Webseite einrichten und die Anfrage ins leere laufen lassen. Dann noch die Ports mit denen ein allfälliger Browser selber DNS spricht auf ihn blockieren (mit der windows firewall). Ich meine Firefox tut das von Haus aus auch selber. Auch die Hosts-Datei kann man dafür "missbrauchen". Habe ich ganz früher gerne mal gemacht, ist aber eigentlich Quatsch. Heute mit VM's kann man auch einfach eine Billig-Lösung mit Linux machen wenn man nichts investieren will und Arbeitszeit einfach so vorhanden ist. ;)