Weingeist

Ernst oder ned? Ich hab sehr viele Bekannte die mit Maschinen arbeiten, die auf W95 und XP laufen. Das ist ein echtes Problem wenn die Steuerung defekt ist. XP wird heute noch in Industrierechnern verkauft und ich kans ned mal mehr herunterladen, also ich finde das echt übel. Wenn auch von beiden Seiten.

Vielen Dank für die Inputs! Whitelisting mit SAFER: Habt ihr hierfür ein Logging eingerichtet um zu sehen ob es tatsächlich Schrott gibt, der gestartet werden möchte? Von E-Mail anhängen z.B.? Whitelisting mit Applocker: Hmm ok, eigentlich eher weniger, da viele Pro unterwegs. Auch wenn schon einige kleinere auch VDI haben. Wäre etwas granularer einzustellen da unterschiedliche Rechte für unterschiedliche Gruppen und wohl einfacher zu administrieren soweit ich das beurteilen kann. EMET: Alles klar, Pflichtprogramm ist eine Ansage =) Firewall Windows: Yep, Standard Out ist alles erlaubt. Bin ich eh drann an nem Stanardprofil für granulares freigeben.

Hallo Leute, Ist es normal, das Windows XP, Office 2003 aktuell verschwunden sind. Ohne Akündigung? Brrr, da bin ich nur froh, dass ich auch selber ein ISO-Archiv habe und die Keys ab und wann zwischengespeichert habe. Danke EDIT: Mist, falsches Fenster. Hätte ins OT sollen.

So gut wie keine Erfahrung, weil mir bis dato der Aufwand schlicht zu gross war für kleinere Umgebungen. Sonst würde ich nicht nachfragen. Da wäre es eben sehr interessant ob solche Massnahmen tatsächlich schon schlimmeres verhindert haben oder ob es die aktuell übliche Malware genauso so wenig stört wie allfällige Virenscanner.

Hallo Leute, Aufgrund aktueller Ereignisse bei diversen Foren-Teilnehmer, immer besser verfassten Mails die auf meinen Server eintrudeln, gehackte Seiten von beliebten Webportalen, ein Vorfall bei nem Kunden der auf ne perfekt verfasste Offertenanfrage doppelklickte bin ich daran meine Standardkonfigs zu überdenken/überarbeiten. Irgendwie werden mir die Meldungen über verschlüsselte Server einfach etwas zu viel. Aufwändige und teure Proxy-Lösungen, Live-Überwachungen, Auswertungen usw. fallen ja bei KMU's raus. A zu teuer, B kein Personal, C kein Fachwissen. Daher muss es etwas sein, dass möglichst nur das zulässt, was erlaubt ist und alles andere verbietet und granular freigegeben werden muss. Auch wenn der Startaufwand evtl. deutlich grösser ist. Vieles dürfte aber standardisierbar sein. Was bei mir grad auf dem Radar steht zur näheren Prüfung bezüglich Aufwand, Nutzen, Kosten, Benutzerfreundlichkeit folgendes - Konsequentes Whitelisting mit Safer, AppLocker etc. - Nutzung von EMET - Whitelisting für die Windows-Firewall - Sandboxie - Getrennte Arbeitsplätze Internet/Local - Deinstallieren von nichtgebrauchten Packages, Deaktivieren von Diensten etc. Ein paar Fragen dazu: Whitelisting für ausführbare Files: Theoretisch sagt MS, dass dazu nur noch AppLocker gebraucht wird. Wenn man aber das Netz ein wenig durchforscht, dann gibt es einige Seiten die behaupten, AppLocker sei weniger sicher als Safer und es wird teilweise auf einen (bereits geschlossenen?) Exploit verwiesen. SAFER sei dagegen nach wie vor besser. Was stimmt nun? EMET: Setzt das jemand standardmässig ein? Erfahrungen? Windows-Firewall: Bin ich in ner Testumgebung schon relativ weit mit vollständig unabhänigen und expliziten Regeln. Sandboxie: Ist das so gut wie es klingt? So wie ich das nach einiger Recherche verstehe habe, ist das eine ziemlich sichere Sache fürs Surfen oder allgemein für Programme die ins Internet müssen. Falls das jemand professionell einsetzt, wie nutzt ihr das? Ist es Anwenderfreundlich --> Favoriten in IE, Speichern von Files, usw.? Getrennte Arbeitsplätze: Macht das jemand? - Reine Internetkisten - Zugriff mit nem möglichst sicheren Protokoll von intern auf die Internetkiste - Transfer-Shares wo Internet und local-Kiste Zugriff haben Wäre sicher nicht so benutzerfreundlich, aber mit VDI einigermassen einfach machbar. ERP und andere Geschichten die Internet brauchen, wären dann etwas die Showstopper oder aber bräuchten auch nen beschränkten Internetzugang z.B. mit Whitelisting für entsprechende IP's, Programme etc. Windows strippen: Also alles unnötige bzw. nichtgebrauchte aus dem Component-Store raushauen. Was nicht da ist, kann nicht missbraucht werden. Dienste deaktivieren, auf Dienstkonten umbiegen etc. Enormer Testaufwand, mitunter mühsam wieder instand zu stellen. Unter Umständen nicht supported von MS etc. Mache ich teilweise bereis in beschränktem Masse. Grüsse und vielen Dank für eure Inputs

Also in einem Betrieb mit 15 Leuten bekommt man eigentlich immer auch ein vernünftiges Budget für einen vernünftigen Server inkl. RAID, SAS Platten, USV und Backup hin. Alles eine Frage der Argumentation. ;) Es muss ja nicht gleich ein Dual CPU System sein. Ein Single-CPU System auf Xeon Basis tut es auch da. Die Relation zu Löhnen für nen Angestellten pro Monat / Jahr ist z.B. immer ein guter Vergleich. Nen vernünftiges Setup kostet ned zwingend mehr als 2-3 Monatslöhne eines besseren Angestellten. Den gerne gebrachten Vergleich mit dem Dienstwagen für den auch Geld aufgebracht wird, mag ich persönlich ned und habe ich noch nie gebracht. Da fühlen sich mit Sicherheit einige KMU-Chefs/Inhaber auf den Schlips getreten. Den Spruch kann man einem Nicht-Inhaber vor den Latz knallen wenn man den wirklich mag. ;)

Boote die VM einfach mit einer gparted Iso-CD und verkleinere die Partition. Dann bist OS-Technisch schonmal auf dem richtigen Weg. Finde ich für Manipulationen an der Partitionstabelle angenehmer / vertrauenserweckender als das OS. Vor allem bei älteren Windows Versionen. Zumal Windows oft Probleme hat, wenn da noch Journal-Files etc. des Dateisystems drauf liegen was es nicht defragmentieren kann vor dem verkleinern. Anschliessend musst evtl. noch die VHDX an sich verkleineren, damit kenne ich mich aber zu wenig aus, da nur VM Ware.

Hi Nils, OK, alles klar. Betreffend Optik: Nein, nicht wirklich wegen der Optik sondern weil das Teil die ganze Festplatte mit Müll füllt und Daten ohne Ende sammelt sowie das Suchmenü mit seinen 100 einträgen beglückt. Da ich es partout nicht deinstalliert bekomme obwohl ich schon mehrere Anläufe genommen habe, wollte ich es eben von vornherein weg haben. Unter W10 gehts ja fast schon standardmässig den Store und die Immersive Shell rauszuschmeissen. Unter 8.1 aber eben ned. Store schon, aber die Immersive ist wohl schwierig. Grüsse und Danke

Hallo zusammen, Ist es lizenztechnisch eigentlich erlaubt ein Windows Industrial anstelle des Pro oder Enterprise als Basis-Image zu verwenden? Eingabe dann logischwerise des Pro/Enterprise Lizenzschlüssels. --> Grund: Ein paar Build-In Features wie das Immersive Control Panel fehlt in den Builds von Industrial. Grüsse und vielen Dank

Also wenn das auch in abgeschotteten Umgebungn auftritt, tippe ich auf Authentifizierungsprobleme mit einem unsäglichen "Korrekturverhalten" das gegen DC läuft oder aber W10 hat zwischendurch das Bedürfnis sich eben doch extern abzugleichen mit höherer Prio als DC wobei DC gar nicht mehr gefragt wird. Ist also extern nicht erreichbar, wird eben die Zeit auf irgendwas das von der Bios-Zeit abhängig ist (evtl. Redmonder Zeitverschiebung, abweichung zu Bios jeweils identisch?) anstelle DC genommen oder sonst auf irgend Zeit gestellt. Irgendwoher muss er diese ja haben. Würde nach wie vor mal das Security Journaling einschalten um herauszufinden ob indem moment eine externe Anfrage läuft oder nicht. Aufgrund des Zeitstempels im Security-Log siehst dann auch gleich wo es Zeitsprünge gab und was auf welchem Port an die Kiste angekomen ist, raus ging bzw. raus wollte. Eventuell reichen die verworfenen Pakete schon aus. Ansonsten eben alles loggen. Würde mal damit beginnen. Einschalten: auditpol.exe /set /category:"Objektzugriff" /subcategory:"Filterplattform: verworfene Pakete" /success:disable /failure:enable Tipp: Schreibe dir immer auf was du mit Auditpol aktivierst/deaktivierst. Damit Du nachher wieder weisst wie Du es abschalten kannst. Sonst wird Dein Log unter Umständen ohne Ende geflutet. ;) Wenn es von extern kommt bzw. nahc extern geht via UDP 123 kannst vor Auditpol auch mit dem normalen Firewall-Journaling prüfen ob da Pakete im Success oder Failure raus oder reingehen. Mit Auditpol hast den Vorteil, dass eben die Prozesse auch mitgeliefert werden, nicht nur Adressen. Diese findest dann wiederum mit der Tasklist in ner Kommandozeile (sofern sie noch laufen - was sie tun wenn es sich um Dienste handelt).

Hallo Leute, Hat jemand eine Ahnung wie das Package heisst, welches PCSettings.exe bzw. die Immersive Shell enthält welche unter den Client-Versionen existiert, nicht aber unter Windows Server. Sollte irgendwo unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\Packages\" zu finden sein. Finde es nur ned. *hmpf* Also dieses Pseudo, unglaublich-mühsam neue Setting-Tool anstelle Systemsteuerung. =) EDIT: Den Paketnamen weiss ich mittlerweile, ist nur nicht am gleichen Ort gespeichert wie die anderen Pakete. Entfernen lässt er sich aber leider trotzdem nicht. Gruss und Danke

Fragt sich, ob er die Zeit von extern oder intern bekommt. Würde mich nicht wundern bei W10, dass irgend nen Quatsch zu MS nach Hause telefoniert weil es ja bei älteren OS kein Problem ist wenn es korrekt konfiguriert wurde. Da alles ins leere führt, würde ich mal die Firewall auf Port UDP 123 (Time Service) auf den internen DC limitieren. In und Out Kommunikation. So kannst Du ausschliessen, dass auf regulärem Wege etwas auf deinen Client von extern kommt. Sowie dann evtl. beides protokollieren lassen. Entweder das extensive logging per Kommandozeile oder eben das schlichte innerhalb der Firewall.

@Knorkator: Die eigentliche Verfügbarkeit hat erstmal nix mit dem Vor-Ort-Service zu tun. Der Vor-Ort-Service kommt zum Zuge, wenn das Kind in den Brunnen gefallen ist und die Verfügbarkeit wiederhergestellt werden mus und garantiert nur die Instandstellung defekter Geräte. Normalerweise ist der Tausch von Hardware der kleinste Teil der Arbeit und die eigentlichen Kosten für einen Controller in Form von Manpower schon mit dem ersten Schaden bezahlt. Meines erachtens kann man sich das nur bei sehr wenigen Szenarien sparen. z.B. bei neueren Filesystemen wie ReFs oder ZFS z.B. in Verbindung mit SSD's mit eigenen Kondis/Stromversorgung die diesen Job übernehmen. Wenn Du auch Bootpartitionen drauf hast, wirst Dein blaues Wunder erleben wenn Platte 1 ausfällt. Die Kiste fährt nämlich nicht hoch, weil die Bootinformationen auf der zweiten Platte fehlen. Diese müssen selber rüberkopiert werden. Ein richtiger Controller mit BBU gewährleistet z.B. dass die Daten nach einem Stromausfall auf die Platten bzw. alle Partner geschrieben werden. Sei es durch eine Cache-Sicherung per Batterie oder FlashChip. Das ist bei allen Pseudo-Controllern nicht der Fall. Im besten Fall sind einfach ein paar letzte Daten weg, im schlechtesten Fall können korrupte Files entstehen und bei gewissen Datenbanken wie dem Exchange wird es mit grosser Wahrscheinlichkeit in einer korrupten Datenbank enden, was man ned zwingend sofort bemerken muss, später aber grosse Auswirkungen haben könnten. Macht dann besonders Spass wenn alte Backups mit aktuellen Daten gefüttert werden müssen. Ein solcher Fall und Du hast eine vielzahl solche controller finanziert, auch wenn auch das nicht 100%ige Sicherheit gibt. Aber eben, ist immer die Frage was einem der Ärger, die Arbeitszeit, Tote Systemzeit und allfälliger Datenverlust wert ist. =) Edit: Ich bin nicht per se gegen diese Raids auf Pseudo-Controller, auf Desktop-Computer mache ich das sogar sehr oft weil ich kein Bock auf neuaufsetzen habe nur weil ne Platte ausfällt. Auf Servern hat das aber nix verloren.

Die Pfade bringt man schon länger hin. Kann die Hälfte des Windows auch damit umgehen (irgendwo um 32'000 oder warens doch 65'000 zeichen ist Schluss). Die andere Hälfte von Windows hat aber Mühe wens mehr als 255 Zeichen sind. Allen voran - was ich gar ned verstehe das es nach so vielen Jahren immer noch so ist - der Explorer. Der Windows Unterbau, also das Filesystem an sich, hat 0 Probleme mit langen Strukturen. Robocopy packts z.B. auch. Manche andere Programme wiederum ned. Ein Relikt aus alten Tagen das leider immer noch bei weitem nicht durchgefixt ist. DFSR und Rechte: Nun, das ist theoretisch möglich, dass hier die fehlenden Berechtigungen mit reinpfuschen. Allerdings dürfte er deswegen ned hängenbleiben sondern müsste eigentlich Fehler produzieren wenn er tatsächlich keinen Zugriff hat. Wenn es gewollt ist, das Admin und System keinen Zugriff haben und es Probleme macht, muss man mit Dienstkonten für die benötigten Dienste arbeiten, die dann auch in den entsprechenden Gruppen Mitglied sind. Solche Konstrukte machen gerne immer wieder mal Probleme, weshalb manche Admins die Berechtigungen für System und oder Admin jeweils über Nacht hart setzen. Wiederum andere machen sich diese Mühe weil es - zumindest theoretisch - etwas weniger einfach ist, an die Daten zu kommen und passen eben alles auf Dienstkonten an. Ich entziehe dem System und den Admins vor allem im VDI-Bereich auch gerne Schreibrechte in Registry oder Filesystem die viele IO's produzieren oder mit Spy/Telemetry-Tätigkeit zusammenhängen. Man glaubt kaum, was da alles an unnötigen IO's zusammen kommen. Gleichzeitig gibts dann eine Dienst-Gruppe welche genau diese Rechte hat. Bei Problemen bzw. deren Lösung kommen Admin und System in die Gruppe rein und Problem wird gesucht.

Gibts das tatsächlich schon? Wäre ja echt heftig... Aber auch so schon extrem schwierig da nen ziemlich lückenloses Konzept auf die Reihe zu kriegen.

Kleiner Tipp: Speichere die VM's auf zwei und nicht nur auf einem Datenträger/RAID-Verbund. Also wie im Normalbetrieb, Backup und Laufdaten. Mir ist mal vor ein paar Jahren genau bei einer solchen Aktion eine Festplatte abgeraucht. War ein Heidenspass ne passende Elektronik auf die schnelle aufzutreiben und die Daten wiederherzustellen. Bezüglich HyperV: Kann ich Dir auch nicht sagen obs dem Schmeckt oder ned. Kannst das ganze ja auch im abgesicherten Modus zurückspielen. Oder mit einer Start-CD, oder einem extra dafür aufgesetzten Windows wenn Du ganz sicher gehen willst. Bleibt halt immer noch die Unsicherheit, dass Windows auf Denträger-ID und nicht Laufwerkbuchstaben zugreift bei Hyper-V. Kann ich schlicht nicht sagen. Edit: Sofern Dom's Variante nicht gehen sollte. Wird aber sicher ewig dauern bis alles durch ist.

Die Silex "SX-DS-4000U2" haben mir bis jetzt jedes USB-Gerät auf die Mühlen gebracht. Ist auch ziemlich flott vom Speed her. Mit einem Dongle hatte ich erst einmal Mühe, da gabs aber bereits ein Firmware-Update das Bereit stand. Die Jungs sind schon sehr fix mit den Anpassungen.

Ganz einfach, DirectAccess ist quasi EOL. Da werden sie keinen Bock haben, das auch noch auf neueren Systemen zu supporten. ;)

Das habe ich Dir doch bereits geschrieben. Du nimmst einen Hex-Editor und vergleichst die ersten Sektoren der Festplatte. Da sie gespiegelt ist, sind alle Sektoren identisch, bis eben auf den Boot-Record der bei Software-RAID häufig bzw. eigentlich nie mitkopiert wird. Die nicht Bootbare hat an der Stelle keine Informationen. Daher ist das sehr einfach zu erkennen. Die paar Werte kopierst dann direkt mit dem Hex-Editor von Festplatte A auf Bestplatte B. Ist wirklich kein Akt. Habe ich früher - als es im Winter noch schneite - sehr oft für Arbeitsstationen gemacht wo die Kohle für ein Hardware-Controller nicht zu Verfügung stand mir aber die Zeit zu Schade war, immer die Kisten neu aufzusetzen wenn mal wieder eine Festplatte über den Jordan ging. Zudem war das mit günstigen Festplatten zu realisieren weil die Hardware-Controller Mühe mit normalen Platten hatten und die von Zeit zu Zeit abhängten. Mittlerweile aber auch schon länger nimmer, da ich das mit Virtualisierung auf den Layer unterhalb des ausführenden OS verschieben kann und es das OS quasi nicht mehr interessiert. Der Typ von MagHeinz könnte auch funktionieren. War mir aber immer zu undurchsichtig. Hex-Editor ist eine klare Sache und Windows bekommt davon gar nichts mit.

Je nach Software-RAID isser vielleicht schon mitkopiert. Relativ einfach prüfen/ergänzen kannst mit einem Hex-Editor. Ist ned viel was es dazu braucht. Liegt zudem ganz am Anfang der Platte. Da sie ja gespiegelt sind, solltest die Differenzen sofort sehen. Bei 2008 brauchst ausser Admin-Rechte ned mehr. Ab 2012 wird es tricky, da kein direkter Hardware-Zugriff mehr möglich ist. Auch nicht mit Admin-Rechten.

@blub: Oh, jemand der die Meinung teilt... Habe ich extrem selten in diesem Punkt =) @DocData: Interessante Sichtweise. Kommentiere ich nicht weiter... ;)

Wenn ich alle - Tunnels im Geräte-Manager - Firewallregeln für Tunnels, IPv6 komplett abdrehe - Protokolle in Adapter entferne - Registry-Werte für IPv6 deaktivieren - Allgemeine IP-Prio von IPv6 nach hinten schiebe - Loopback Prio von IPv6 nach hinten schiebe dann vermute ich, dass auch IPv4 für die Kommunikation zwischen Clients und Servern verwendet wird solange es verfügbar ist. Zumindest suggerieren mir das die Firewall-Protokolle. Ansonsten müsste der Traffic komplett an der Windows-Firewall vorbei. Was auch nicht deren Zweck wäre. Beschäftigen: Na klar, das werde ich mit Sicherheit noch tun müssen, habe ich auch schon und den Aufwand für eine korrekte durchgehende Konfig als deutlich höher taxiert. Unkonfiguriert schmeckt mir ned. In der Tat :D

Tja, da hast Du teilweise sogar Recht. Insbesondere der Sinn zwei Übertragungs-Technologien für dasselbe innerhalb eines Netzwerkes zu nutzen und vor allem bereitzustellen, verschliesst sich mir in der Tat solange eine Technolgie noch wunderbar funktioniert. Solange das Thema also bei Grossfirmen nicht komplett durch ist, sehe ich keinen Sinn als Minifirma und Betreuer von anderen Minifirmen vor der Musik herzurennen und den Turn-Around zu vollziehen bzw. parallel zu betreiben. Sehe schlicht keinerlei Vorteile gegenüber einigen Nachteilen. Zudem wäre es mit ner simplen GPO-Anpassung oder nem Script innert kürze wieder ausgerollt, sollte der Tag X kommen und die OS immer noch aktuell sein. Aber eben, jedem wie er mag. Schön wenn Du schon Heute komplett von IPv6 überzeugt bist, den Zweck sämtlicher unsichtbaren Tunnels verstehst, die Kommunikation die darüber läuft analysieren und das ganze auch noch komplett kontrollieren kannst. Ich habe da so meine Mühe damit. ;)

MS wechselt auf alle nicht-Sicherheits-relevanten Updates auf ein Update-Rollup. Nun bekommt man den ganzen Schrott doch noch mit aufs Auge gedrückt den man unter Umständen gar ned haben möchte. - Telemetrie-Updates - Irgendwelche zusätzliche Programmiersprachen - Tunnels (z.B. ISATAP) - Online-Integrationen - Apps - usw. Von anderen Problemen wie Active-X oder PlattformUpgrades für ältere Software ganz zu schweigen. Wird sicher wieder toll, vor allem bei der Qualität der Updates die MS in letzter Zeit raushaut. Hoffentlich werden wenigstens die Unternehmenskunden davon verschont. Glaube ich aber noch ned... Quelle: http://www.itmagazine.ch/Artikel/62181/Microsoft_vereinfacht_Windows-7-Installation.html

Wird halt immer schwieriger, je besser die Leute die Landessprache beherrschen oder vermutlich sogar Landsleute einsetzen. Habe heute auch grad von einem Bekannten erfahren, dass seine Firma letzte Woche davon betroffen war. Hochpersonalisiert, perfektes Deutsch und eine Offertenanfrage mit einer technischen Zeichnung zum downloaden. Also genau so wie er jeden Tag zich Mails bekommt. Ergebnis war wie so oft eine verschlüsselte Festplatte. Bei grossen Files hat sich in dessen Branche so eingbürgert, dass man die 3D Zeichnungen oft per Download bekommt. Sei es von eine Firmenportal oder auf einem epxliziten Portal. Denke die aktuelle Entwicklung kann man ned nur noch auf Selber-Schuld schieben, da muss man schon fast paranoid sein und einfach jedes einzelne Mail hinterfragen und den Link vorher prüfen. Bei X angestellten mit unterschiedlich hohem Faktor an Misstrauen, kein leichtes Unterfangen.