Weingeist

Danke für die Links. Scheint doch etwas gegangen zu sein in den letzten Jahren. Schade gibt es immer noch keine vernünftige ZeroClient-Lösung à la Teradici. Leider hat da das Management das ganze Kapital in ein schwachsinniges ThinClient Konzept gesteckt, statt ihr bewährtes Konzept auf grössere Screens zu portieren *hmpf*

Habe in einer Umgebung vor ein paar Monaten mal folgendes umgesetzt: Desktop A bzw. internes Netz: Internetverbindung über Firewall nur mit Whitelisting für unternehmensnotwendiges wie E-Mail, Bankanbindung, MS-Updates, ERP Desktop B: Internetzugriff auf alles (gefiltert ;) )ausser den Adressen oben (Bis auf MS-Updates) Transfer-Server welcher in beiden Netzen hängt und auf Netzwerk Seite B nur ein dummes Protokoll spricht (sollte also nicht also nicht auf gängige Angriffe reagieren). Die User haben einen KVM-Switch um umzuschalten. Ist eine relativ hohe Materialschlacht. evtl. wäre es ökonomischer hier auf ein Ferwartungsprotokoll zu setzen. Dürfte aber ausser Pixel nichts von B nach A lassen. Dachte da auch schon an VNC. Jemand besser Ideen? Kommt eigentlich erstaunlich gut an bei den Usern. E-Mail hatte ich anfänglich bei den Testusern auf B, hat sich aber nicht wirklich bewährt. War einfach zu mühsam für die tägliche Arbeit um sämtliche CAD Daten, Zeichnungen, Kundendokumente etc erst auf den Transfer zu legen. Dachte mir dann, OK wenn man sich also trotz allem etwas einfangen würde, dann könnte wenigstens kein Code nachgeladen werden solange keiner der kritischen externen Dienste direkt betroffen ist. Auf nachladen von Code sind aber viele der aktuellen Schadcodes angewiesen. Die meisten öffnen "nur" das Tor. Aber eben, wie viel das im Ernstfall bringt... Schwierig zu beurteilen. Ich bin froh wenn es nie eintrifft. Aber je mehr Steine im Weg liegen und je schneller und aktueller man mit Restores sein kann, desto weniger haben automatisierte Angriffe eine Chance solange man nicht Opfer von einem gezielten Angriff wird. Was normal zum Glück nicht die KMU-Stufe ist, ausser eben Forschung =) Mal noch eine Annäherung für Kleinumgebungen Zumindest denke ich - auch wenn mein Storage-VM-Prinzip auf ESXi hier verpöhnt ist und obwohl das wohl die wenigsten selber ernsthaft geprüft haben - dass dies doch einiges bringt weil lediglich der aktive Teil verschlüsselt werden kann auf welcher ein ESXi Zugriff hat. Die Storage-VM selbst ist bis auf NFS komplett zu. Die Credentials dürften schwierig einfach so zu klauen sein (nicht Domain joined). Die Zugangsdaten mit einem Keylogger ebenfalls, weil man sich so selten einloggt. Bis jetzt habe ich jedenfalls noch nicht gelesen, dass PCI-Passtrough-Geräte direkt verschlüsselt wurden. Da dies doch eher sehr exotisch ist, hoffe ich, es interessiert kein Mensch. =) Ein Rebuild ist dann easy, Festplatte mit ESXi + Storage VM tauschen und Systeme wieder hochfahren. Im Optimalfall liegt eine Kopie neben dem Server. VSS Snapshot aktivieren und man hat einen Zustand seiner Wahl ohne das ein Recovery notwendig ist innerhalb weniger Minuten zur Analyse bereit. Im Lab hat das funktioniert. Im Ernstfall? Ich hoffe ich brauche es nie. =) Ansonsten für jene diese interessiert ein netter "Blog" wie solcher Krempel überhaupt funktioniert, teilweise ziemlich übel wie wenig es im Endeffekt eigentlich braucht. Finde ihn recht informativ. Irgendwie ist das am Ende so easy, dass man eigentlich alles nur noch Offline haben möchte. Und das sind nur eine handvoll der bekannten öffentlichen Exploits. Wundert mich irgendwie fast, dass nicht mehr passiert. https://itm4n.github.io/windows-server-netman-dll-hijacking/ https://itm4n.github.io/from-rpcview-to-petitpotam/ Und ein Anti-Script-Projekt zu üblich bekannten Einfallstoren, das relativ zeitnah aktualisiert wird: https://github.com/itm4n/PrivescCheck Alleine das DLL-Hijacking. Wenn ich mir vorstelle wie viel Aufwand die Pflege von erlaubten DLL Hashes mit z.Bsp. Applocker gibt, wird mir schlecht. Wie soll man das managen bei den vielen Updates? Mir persönlich ist das schleierhaft. Habe zwar eine Umgebung wo ich das Pflege, aber das ist echt ein Krampf. Oder ich machs zu kompliziert. Und ob es das am Ende wirklich bringt? Und all die Sicherheitstools? Doch einige der grossangelegten Hacks der letzten Jahre kam über Sicherheitstools rein, wunderprächtige Aussicht... *rofl* AppLocker soll ja angeblich mit ein paar "Handgriffen" deaktiviert bzw. umgehbar sein. Leider kann ich meinen Hint nich mehr finden wo das demonstriert wird. War irgend ein Design-Fehler. War aber noch zu W2008R2 Zeiten. Vielleicht gehts auch nicht mehr, ist ja doch einige Zeit her. War damals so ein Blog-Eintrag warum SAFER - das eingestellt wurde - deutlich schwieriger zu knacken sei als AppLocker. Vielleicht finde ichs ja wieder oder ist mittlerweile sogar obsolet. Aber irgendwie war mir das früher auch zu mühsam alles umzusetzen in einer Klein-Umgebung, aber man kommt wohl je länger je weniger darum herum... Sollte nur irgendwie Umgebungsübergreifend automatisierbar sein, sonst ist das uncool. *hmpf*

Echt jetzt? Ich machte da gegenteilige Erfahrungen vor ein paar Jahren (puuuh geht die Zeit schnell vorbei). Hab Anydesk aber schon länger nicht mehr verfolgt, ist da die Verbindung auch indirekt oder nach Verbindungsaufbau direkt? Weiss ich nicht mehr. WEIL: Teamviewer hat einen solch enormen Zuwachs bekommen mit Covid, ich glaube die können bald nicht mehr gut schlafen mit Ihrem Gewinn. Hat aber möglicherweise auch Auswirkungen auf die Performance. Habe mal alles getestet was der Markt hergab. Ausser Teamviewer war da keines für CAD wirklich zu gebrauchen. Weder via LAN noch via Web. Ausser die habne ihr Protokoll mittlerweile versaut, was mich aber auch nicht wundern würde so aufgeblasen wie das mittlerweile ist. Da der Betrieb umgezogen ist, braucht er auch die Bastellösung mit dem Teamviewer für das CAD auch nicht mehr, insofern müsste ich das wieder extra aufsetzen um es zu testen.

Wenn man gezielt ins Visier genommen wird weil man z.Bsp. ein hochinteressantes Produkt hat wird es eh schwierig. Dann ist man auf relativ verlorenem Posten weil dann spezifisch vorgegangen wird. Sabotage an sich ist dann auch eher selten. Da gehts dann eher um Informationsbeschaffung. Da bemerkst es dann vielleicht das was nicht stimmt, wenn bei einer Routine-Kontrolle in der Werkstatt festgestellt wird, dass Dein Auto verwanzt wurde. Nicht ganz unüblich in der Forschung. Zumindest heute noch. Irgendwann wird das vielleicht auch System haben weil das sorglose Klicken auf Links nicht mehr funktioniert. Aber solange das ganze noch Anonym funktioniert, wird das wohl auch so bleiben und die Reinigungsfirma die absolute Ausnahme bleiben. Schadet aber sicher nicht, sich auch auf das einzustellen. =)

Bin ich schon im Grundatz bei Dir. Aber Zeugs das Top funktioniert durch einen halbgaren und oft komplett lahmen Schmarrn zu ersetzen wie das heute leider oft der Fall ist, ist einfach obermühsam. Da wäre eine Verbesserung des alten Codes oft sicher der bessere Weg. Oder wenigstens zu Ende gedachte neue Ideen. Aber heute sind ja auch die Leute nicht mehr 10 Jahre und mehr in einer Firma, muss man ja immer etwas neues sehen. Beispiel: Aktueller Zeitstempel für UWP: https://docs.microsoft.com/de-de/windows/uwp/get-started/universal-application-platform-guide (Wie toll doch UWP ist) Und hier die Abkündigung: https://docs.microsoft.com/en-us/windows/apps/windows-app-sdk/migrate-to-windows-app-sdk/overall-migration-strategy Wie lange es wohl geht das der Krempel nicht mehr tut, 16bit, 32bit oder auch VB6 Anwendungen immer noch? =) Oder Powershell, teilweise unglaublich langsam in der Verarbeitung bis hin zur Zumutung. Windows Firewall für Apps, ist der totale Wahnsinn und nicht konfigurierbar. Die Druckergeschichte, dabei sind Features von den eigentlichen Druckern ungefähr seit 30 Jahren so gut wie keine hinzugekommen. Es könnte also ein einziger generischer Treiber mit Infos der Hersteller gefüttert werden dazu ein Wrapper-Treiber für alte Drucker oder als Übergang. Aber solange man bei MS nicht mal die verbreitesten Funktionen implementiert. Wie dem auch sei, bei 2022 bin ich mal wieder Out-of-the Box happy das im Grundsatz das Zeug einfach funktioniert. Nichtmal seltsame Fehler die man nicht wirklich zuordnen kann liefen mir bis jetzt über den Weg. Das Starmenü - wenn man es zerstört - wird normal beim nächsten mal anmelden wieder neu aufgebaut (hoffentlich ist die Engine unter 11 nicht wieder komplett neu und das spiel fängt von vorne an). Deswegen Profile löschen dürfte also deutlich seltener werden. Auch Index bzw. der Zugriff darauf von Cortana scheint crahssicherer zu sein und die Suche funktioniert nach einmal neu anmelden wieder. Alles in allem wohl ein gutes Service Pack 4 oder so =)

@cj_berlin Das mit Appliances/Container/Docker/Nano oder wie man immer das im Endeffekt nennen möchte sehe ich immer etwas kritisch . Ja die Begriffe sind vermischt, aber zielen alle drauf ab neue Standards durchzuboxen und alte Zöpfe abzuschneiden. Windows steht für Kompatibilität und das beisst sich mit abschneiden von alten Zöpfen. Wo es Schatten hat, hat es eben auch Sonne und anders rum. Keine Ahnung wie eine schöne neue IT-Welt funktionieren soll, wenn über 20 Jahre gewachsene Applikationen - auch wenn sie sogar mal Remanufactoring erleben - alle paar Jahre auf den Kopf gestellt werden sollen. Bugs ausmerzen wäre dann sicher nicht die Stärke von so einem Prinzip. Datenübernahme auch nicht. Innovationen würden entweder auf der Strecke bleiben oder die Entwicklung und Pflege wäre zu teuer. Sieht man ja an den Zigtausend technischen Geräten die überall rumschwirren. Sind im Grunde wie Appliances. Gepflegt wird da im Endeffekt gar nichts. Fire and Forget. Millionen wenn nicht Milliarden von kleinen technischen Geräten mit allerhand Sicherheitsproblemen. Von kleinen Gadget bis zur Kaffeemaschine oder dem Kühlschrank. Entweder man kauf neu oder es bleibt alt. Klingt jetzt ketzerisch, aber das ist primär die Folge von Inkompatibilität und nicht gepflegtem Laufzeit-Untergrund. Es lohnt sich einfach nicht. Wenn auch in einem etwas anderen Kontext. Windows bietet eine Basis wo wenigstens der Unterbau selbst aktualisiert wird und somit viel zur Sicherheit von alten Zöpfen beiträgt.

Habe es auf ein paar Maschinen schon ausgerollt. Am ersten Tag als es verfügbar war. Erst im LAB, ein paar exzessive Tests mit Storage-Spaces, RDP usw. Bisher kein Problem. Meine eigene Umgebung hab ich danach fast komplett umgestellt ( Mein "Produktiv-LAB" bevor ichs auf andere loslasse ). Läuft sogar mit Horizon-Desktops einwandfrei. Las im Netz lediglich, dass man mit Storage-Space übernahmen warten sollte. Da gibt es wohl tatsächlich noch einen Bug wenn eine alte Version portiert wird. Den gibt es nicht auf neu erstellten Volumes. Mein Testlab-Volume machte dagegen keinen Ärger. Da ich produktiv aber immer alles neu erstelle weil ich auf potentiellen Upgrade-Ärger keine Lust habe, wird mich dieser Bug wohl nicht einholen. Mein Fazit: Da es sowieso die letzte Version in der W10 Reihe ist und 2022 eher ein Mini-Update zu 2019 ist und wenig gravierende Änderungen hinzukamen - ausser eben bei SP - würde ich den einfach verwenden. Für neue Umgebungen eh, die sind ja meist am besten getestet von MS. Die erste Update-Runde ist ja auch schon raus. Imho ist das mehr ein Service-Pack als wirklich ein neues OS. Mit 2022 hast 3 Jahre länger Ruhe vor einer neuen, wirklich notwendigen Updaterunde. Ich weiss, ist nicht Dienstleister-Chef freundlich aber, ich persönlich sehe das eher praktisch, Zeit für anderes. :D ABER: 2022 hat noch keine Exchange-Freigabe soweit ich das mitbekommen habe. Also weder das Domain Functional-Level noch die Installation darauf. Kleines Schmankerl bezüglich ReFs, darauf kann man jetzt auch eine NFS-Freigabe machen. Das einzige was mich persönlich nervt ist der bzw. die absolut aufdringlichen Tasks welcher Firewall-Freigaben automatisch bei Anmeldung erstellt. Und zwar nicht nur das erste mal, sondern jedes mal. Für allerlei Apps. Betrifft aber nur die GUI-Version. Welcher Task/service effektiv für welche Regeln verantwortlich ist, bin ich noch nicht 100% durch. Bis jetzt ging immer etwas anderes nicht mehr, wenn ich das wirklich abdrehen konnte. Auch will sich die Maschine ständig online mit Azure verbinden/registrieren. Ohne entsprechende Konfig versteht sich. Scheint gekoppelt zu sein mit der Meldung im OnPremise AD, also eher mühsam zum abschalten (ich habs über die Firewall gelöst, wird einfach geblockt bzw. nicht explizit erlaubt). Ein Teil der "Ärgernisse" gabs schon in 2019. Aber ich bin da auch etwas eigen, mich nervt alles was sich irgendwie ungefragt/unkofigurierbar ins Netz verbinden möchte. Es sind wieder ein paar Services/Tasks besser vor Manipulation geschützt. Braucht also teilweise den TI, da manche Einstellungen automatisch wiederkehren auch wenn sie einem nicht schmecken (Medical Services welcher den Kram überwacht). In Core mit FOD läuf immer noch ziemlich alles an Tools ohne jedoch ein grosser Teil der App-Geschichte. Sprich man bekommt z.Bsp. selbst das aktuelle Firefofox ESR recht problemlos zum laufen. 0815 Apps wie 7zip, putty, winscp etc. sind eh kein Thema. Meine das ging sogar unter reinem Core mit Minimalaufwand, hab aber nur ganz kurz rumgespielt. MMC braucht für die Unterstützung aller Bereiche etwas mehr Liebe. Wie vorher schon. Lohnt nicht so der Aufwand. In einer GUI-Installation möglichst alles abdrehen was in Core nicht vorhanden ist (um zbsp. die Verwaltungstools zu haben oder Applikationen die auf GUI-Bibliotheken angewiesen sind ohne jedoch den App-Kram). Ist dagegen nicht mehr gleichermassen einfach wie auch schon. Geht zwar, aber Windows merkt neu, dass die Shell nicht vollständig geladen ist und versucht x-mal pro Sekunde die Shell neu zu laden (So schnell wie die CPU ist).

Ohne die Marketing-Abteilung, wären wir jetzt ungefähr bei Windows 6.8x oder so (grad zu faul zum zählen). Insofern ist das Verhalten von WSUS eigentlich gar nicht so verkehrt. Verwunderlich ist nur, dass diverse GPO's teilweise bewusst nicht identisch reagieren. Natürlich aber nur in Bezug auf Error-Reporting, Telemetrie, Cloud und ähnlichem. Ein Schelm wer sich da Gedanken macht *hüstel* Die ganze Technik ist gemäss höherem MS-Support eigentlich auf die Build ausgelegt, wegen der Marketing-Abteilung wird aber teilweise auf den ganzen Schwachsinn wie 20H2, 21H1, 21H2 etc. gefiltert. Die neue GUI ist wohl auch "etwas" verfrüht. Der Krempel wird von der Technikabteilung aber nicht gleichermassen "gut" gepflegt wie im Marketing, was dann eben an vielerlei Orten Probleme gibt. Erschwerend kommt dann hinzu, dass WSUS eh nicht gewüncht, ist. Zu gut, zu einfach und bringt vor allem kein Geld. Da muss man ab und wann ein Stöckchen in die Speichen werfen... Ganz vergessen noch was zum Thema: Ich würde mich fast auf eine Wette einlassen um einen Besen zu fressen, dass MS trotz allem Updates bereitstellen wird. =) Die wollen schliesslich sichere OS haben...

Ich glaube die normalen Typ 4 werden sowieso abgelöst. Ich bekam jedenfalls eine Mitteilung von einem grossen Druckerhersteller, dass die Typ 4 Druckertreiber ab 2022 nicht mehr weiterentwickelt werden. Man solle entweder auf Typ3 "upgraden" (sie nannten es einsetzen) oder das neue Super Duper Treibermodell via Store umsetzen. Irgendwie ist das alle Man kann auch nicht alle 3 bis 6 Jahre die ganze IT und alles mit dran hängt auf den Kopf stellen. Das ist weder ökologisch noch ökonomisch sinnvoll. Zudem steigt mit neuer Software selten die effektive Effizienz. Eher das Gegenteil ist der Fall. Irgendwie haben punkte Updates/Aktualität auch viele ITler eine Rosa Brille auf und sehen nur die Büro und Office-Computer, die Produktion ist da jeweils aussen vor obwohl heute oft honchintegriert in ERP etc. Habe es noch nie erlebt, dass ich offiziell Windows Updates auf einer Steuerung einspielen durfte ohne Garantieverlust. Bei XP/W7 habe es jeweils einfach gemacht, alte Festplatte raus, Kopie gezogen und die originale auf die Seite gelegt zur Reproduzierung eines Problems damit es nachweislich nicht von einem Sicherheitsupdate kommt. Aber dieses Vorgehen ist defintiv nicht verbreitet und sollte auch nicht so sein. Unter W10 habe ich den Mumm auch nicht mehr. Vor einem Monat habe ich eine W95 Steuerung ersetzt. Die Maschine war 16 Jahre alt. Sah optisch aus wie neu, war mechnaisch top. Ging auf den Schrott weil EOL. Neueste mögliche Steuerungsupgrade war vor ein paar Jahren W7 für 40-50k. Völlig unwirtschaftlich. Und alle reden von Ökologie. ;) In der Industrie kann man froh sein, wenn man auf der Steuerung ein OS bekommt, das noch nicht 10 Jahre auf dem Buckel hat und von MS schon EOL ist. Im Büro ist ein ständiges Upgrade zwar möglich, aber wie Du ja auch sagst, selbst sorgt es selten für Zufriedenheit. Zumindest nicht bei jenen, die wirklich arbeiten. Insofern würde ich Sicherheitsupdates und Code-Refactoring auch begrüssen, die meisten Probleme betreffen eh alle OS bis zurück nach XP.

schon möglich. Wie genau SQL-caching funktioniert weiss ich jetzt nicht. Wäre aber die ganze DB im RAM für Reads/Auswertungen dann könnte es durchaus sein, dass es mit Genug RAM trotzdem etwas schneller ist.

Interessant... Ist das normal? Oder sogar verkraftbar weil keine Remote-conns erlaubt sind? Irgendwie seltsam finde ich. Bis jetzt habe ich bis auf Ausnahmen mit Standard (wo vorhanden) immer Express genommen, auch wegen der Index-Anpassung wodurch die Cleanups gefühlt um Faktor 100 schneller sind. Express wird immer aktualisiert wie ein "normaler" SQL-Server. Habe aber in diversen Installationen Mühe mit der DB-Grösse wodurch ich überlege bei den anstehenden Neuinstallationen oder Upgrades bei 2022 auf die WID zu wechseln. RAM ist ja mittlerweile günstig, CPU-Power erschwinglich. Da würde vermutlich auch der lahme Cleanup zügiger laufen. ;)

Das kannst verstehen wie Du möchtest, such Dir was aus... Ist wie Lotto spielen, was am Ende raus kommt weiss vermutlich noch nicht mal MS, aber die Ziehung zu W10 war ja auch noch nicht offiziell. Ich denke die Build steht einfach für W11 21H2 und was noch kommt ist ein W10 21H2. Vermutlich sobald W11 genügend Aufmerksamkeit bekommen hat, gibt es eine stille und heimliche Veröffentlichung bei den Volumenlizenzkunden. Aber wir werden sehen... Mühsam wirds, wenn die RDS-Server auf quasi W10 21H2 laufen und die Clients auf W11 21H2 *rofl*

Die 21H1 und 21H2 ist für MS technisch gesehen eigentlich irrelevant. Wird nicht (mehr) zuverlässig gepflegt. Zuverlässig für die Auswertung ist eigentlich nur die Build-Nr. Warum dann teilweise doch wieder auf dieses Schema zurückgegriffen wird, ist mir auch schleierhaft. 21H2 ist eigentlich die letzte Windows 10 welche aber noch gar nicht veröffentlich wurde um W11 zu pushen, bzw. Server 2022. Aber die Wissen eh selbst nicht mehr was für ein Chaos die ständig produzieren. Daher bin ich froh muss ich mich normal nur mit LTSC Builds rumschlagen. ;)

Dann verkaufst Du das was Du willst - bzw. im Endeffekt Dich - zu schlecht Alleine die übermittelten Telemetrie-Daten an MS gehen vom "gewöhnlichen" Handschriften-Index bis hin zum Index von User und Firmendaten. Dürfte im Grunde in keinster Weise der deutschen DSVGO entsprechen. Mit Pro kannst nicht wirklich steuern oder nachvollziehen was konkret übermittelt/ausgewertet wird. Bei Enterprise suggieren zumindest die ganzen GPO's das hier deutlich weniger über den Jordan geht. ;) Enterprise kannst ein Image erstellen/verteilen. Z.Bsp. ohne die ganzen Apps, die lediglich vom Arbeiten abhalten. Die Leute sind genug abgelenkt von ihrem Handy, da brauchts die ganzen Apps nicht auch noch. Ist Windows dann unter SA, kannst je nach Lizenzierung auch mehrere OS-Instanzen pro User/Arbeitsplatz bereistellen. Gerade auch mit Home-Office interessant. --> VM innerhalb des Unternehmensnetzwerk auf welchen sich der User verbindet (schnellere Zugriffe, einfacher abzusichern usw.), VM's für Internetzugriff usw. Also wenn es mit WSUS ein separates Update ist, dann kommt es vermutlich generell als separates Update. Kannst es also normal auch wieder deinstallieren.

Hinweisen darf er doch so lange man will solange keine nervigen Popups wie bei bei 7 kommen. Hauptsache man verhindert das automatische Upgrade wenn man es nicht möchte. Aber ob das bei Pro respektiert wird und die Policy tatsächlich greift? Keine Ahnung. Hätte ich so meine Zweifel. Seit W10 setze ich nach Möglichkeit keine Pro mehr ein. Keine Ahnung wie man sich sowas antun kann. Kommt der Krempel auch mit WSUS oder nur wenn sie am Netz hängen?

Je nach Windows Version gibt es das tatsächlich. Ähnlich wie bei 7 gibts auch hier ein Update das entsprechend konfiguriert werden kann. Möglicherweise wirst aber mit Home oder Pro Probleme haben weil die GPO nicht greift. Hier mal ein Link mit verschiedenen Varianten. GPO ist meiner Meinung nach grundsätzlich zu bevorzugen, sofern verfügbar. https://www.easeus.com/knowledge-center/stop-windows-11-update.html Ich installiere nur LTSC Builds weil mir die neuen Funktionen grösstensteils Schnuppe sind und ich mich dann auch icht immer um neukonfigurationen kümmern muss.

Du könntest den Kram auch einfach per Windows-Firewall abdrehen. Sprich Block Out aktivieren, In und Out entsprechend konfigurieren. Dann wird von extern auch nichts beantwortet/akzeptiert. Ist halt je nach dem etwas aufwendiger in der Konfig. Mit dem erweiterten Logging für die Firewall (geblockte Pakete) kommt man den entsprechenden Prozessen, Diensten, Anwendungen relativ easy auf die Spur die man freigeben muss um eine einwandfreie Kommunikation sicherzustellen. Die Kommandozeilen-Tools tasklist sowie netstat helfen dabei ebenfalls. Befehle: Englisches OS: auditpol.exe /set /category:"Object Access" /subcategory:"Filtering Platform packet drop" /success:disable /failure:enable Deutsches OS: auditpol.exe /set /category:"Objektzugriff" /subcategory:"Filterplattform: verworfene Pakete" /success:disable /failure:enable Sprachübergreifend: auditpol.exe /set /category:"{6997984A-797A-11D9-BED3-505054503030}" /subcategory:"{0CCE9225-69AE-11D9-BED3-505054503030}" /success:disable /failure:enable https://msdn.microsoft.com/en-us/library/windows/desktop/bb309058(v=vs.85).aspx Damit kann herausgefunden werden welcher Prozess es betrifft - tasklist /svc - netstat -a -b Damit findet man die GUID's von Auditpol heraus: auditpol.exe /list /category /v = GUID erhalten

Hallo zusammen, Kann man irgendwie verhindern, dass der Service EventLog abstürzt wenn ein normaler User z.Bsp. auf das EventLog zugreifen möchte und keinen Zugriff hat? Das er keinen Zugriff hat ist ja gut, aber gleich abstürzen sollte der Service er nicht. Betrifft Server OS 2022. Jemand eine Idee? Kann irgendwie nicht verwertbares finden. Die Tipps die ich gefunden habe betreffen jeweils alle User und fehlende Berechtigungen für System oder Admins. Als Admin ist alles aber OK. Gruss und Danke für Inputs

Live-Konto geht: Tatsächlich nicht so gelesen... Senkt natürlich die Chance, dass das neuerstellen des Profils Wirkung zeigt.

App-Reparaturen sind in der Regel mittels neustart (damit das Profil den lock verliert), anmelden mit anderem User, User-Profil löschen, neu anmelden gelöst. Nicht unbedingt was man möchte, aber funktioniert fast immer. Gibt auch noch die Möglichkeit Apps auf Systemebene neu zu installieren, aber das ist auch ein Krampf. Imho ist der App-Krempel allgemein ein Krampf, deshalb nutze ich ihn möglichst nicht, ist einfach ein Desaster in der Administration (Einschränkung von Rechten) und Reparatur An den neumodischen userbasierten Services hast nicht rumgespielt oder? An den Firewall-App-Freigaben unter Configurable Services in der Registry ebensowenig? Die Apps sind teilweise abhängig von ihren Freigaben. Falls Du rumgespielt hast, auch das ist mit neuanlagen des Benutzerprofils gelöst. Zum gucken ob etwas durch die Firewall geblockt wird, kannst ja mal das erweiterte logging der Firewall aktivieren. Dann siehst allfällige Kommunikationsversuche der Mail-App. (auditpol)

Ich finde es erbärmlich, dass der Krempel mit den Rules schon seit Jahren immer noch nicht konfigurierbar ist. Solche Pauschale Freigaben sind ja eigentlich Datenschutz- und Sicherheitsrelevant. Ab 2019 liegt das Userbasierte Zeug übrigens unter AppIso sowie den normalen Rules. Tipp: Entfernt man für System und den Firewalldienst die Schreibberechtigung auf die Reg-Folders, werden die Rules nicht mehr erstellt. Hat 'nur' den Caveat oder Vorteil - Je nach Zweck den man verfolgt -, dass die Apps nicht mehr installiert werden/nicht mehr kommunizieren können weil deren Installation mit einer Exception fehlschlägt (Erstellung der Regeln). Die Regeln werden teilweise auch für die Inner-Host-Kommunikation zwischen den Apps benötigt. Benachrichtigung, Uhrzeit/Datum Popup, Startmenü sind auch solche Apps. Auch das neue Einstellungsmenü. Nicht jedoch Desktop + Taskleiste. Ich mache das gerne für Produktionsmaschinen.

Ganz ehrlich: Nimm dir jemanden zur Hand der etwas davon versteht, das dürfte den Rahmen von Forenhilfe bei weitem übersteigen. ;)

Korrekt. Wie ich geschrieben habe, es muss nachweisbar sichergestellt sein, dass es nicht möglich ist. Wenn die Filterung User-Basiert ist, muss es auch die Lizenzierung sein. Ist es Office Pro Plus für Devices (gibts das überhaupt für User?), muss das Endgerät kontrolliert werden können.

Brauchen die User wirklich beides? Ansonsten könntest ja zwei RDS-Hosts aufsetzen. Ist lizenztechnisch sowieso problematisch wenn dann die Arbeitsplätze auf welchen Pro Plus nicht lizenziert ist, sich auf den RDS-Server verbinden können und schlimmer, auch noch tun wo ProPlus installiert ist. Ziemlich heikles Thema und beliebt für die Prüfung. EDIT: Gleiches gilt übrigens für Office Standard, da darfst auch nicht der Einfachheit halber das ProPlus ISO hernehmen und z.Bsp. nur die Apps von Standard installieren. Zudem musst Du - theoretisch und eigentlich auch praktisch - zuverlässig sicherstellen, dass sie sich eben nicht darauf verbinden können. Da der Krempel alles wunderbar an X-Orten protokolliert ist, kannst dich nicht rausplappern... Soll schon Firmen gegeben haben, die sowas richtig Geld gekostet hat (Beide genannten Fälle) Ansonsten: V1: Google bemühen, dürftest nicht der erste sein V2: z.Bsp. mit RegShot herausfinden wohin die Standard-App-Einstellungen geschrieben werden und diese dann z.Bsp. per GPO oder Script setzen

Für Kleinkunden ist VLSC eigentlich ziemlich in Ordnung. Ausser Downloads hat man ja nicht viel zu machen da drinn. Verträge anschauen was man hat ist aber richtig lästig... :) Das neue ist einfach "Modern" und somit typisch grottenlangsam und mit - milde ausgedrückt - der "Tendenz" zum unübersichtlichen. Zieht sich irgendwie durch alles durch. MS ist da nicht alleine