Weingeist

Muss nicht sein. Bis jetzt war jedenfalls alles für immer weg was ich da rausgenommen habe. Wenn ne neue Version kommt wie 8 auf 8.1 dann logischerweise schon. Kann man ja aber auch als Script vorbereiten. Dem kann man aber mit den LTSB Versionen wieder entgegen wirken.

Windows: Also ich weiss ja ned, aber wenn ich mir die Bedingungen von Windows 10 so durchlese kann ich mir eigentlich fast nix schlimmeres mehr vorstellen. Im Moment würde ich da noch alten Kram verwenden, Server mit Remotedesktop nehmen, oder eben W10 LTSB mit Anpassungen um sich den neuen "Features" und dem Auto-Update zu entziehen. Office: Office 2010 auch wenn Word auch nach fünf Jahren immer noch den unsäglichen Serienbrief-Bug hat. Die neueren sind ja auch mit Online-Diensten verzahnt das es nur so schnattert. Installation anpassen ist auch nur mit verhältnissmässig hohem Aufwand möglich. Dazu Animationen en mass die es nicht zum Arbeiten braucht und nur Ressourcen verbraten. Aber auch dieser Zug fährt ab mit dem Support-Ende. Bezüglich AMD/Intel: Nun, da die Architektur von Windows seit Vista identisch ist und selbst XP z.B. vollständig in den Binaries von Vista/7 aufgeht, bezweifle ich, dass die alten Varianten nicht auf den neuen Systemen laufen werden wenn nicht bewusst etwas eingebaut wird. Die ganze Architektur wird MS kaum so schnell über den Haufen werfen. Allerdings nützt das alles nichts, da man sich früher oder später mit Windows 10 abfinden muss weil es keine Alternativen gibt und der Support der alten Systeme ausläuft.

Ich mache das mit diesen Hilfsmittel - auditpol.exe /set /category:"Objektzugriff" /subcategory:"Filterplattform: verworfene Pakete" /success:enable /failure:enable (Unter Security erscheinen dann alle Logs) - tasklist - Process-Explorer von SysInternals - svchost.exe Dienste separieren usw. zum besseren herausfinden wer was tut Dienste separieren: "sc config <Dienstname> type=own" Anschliessend neustart. Notfalls mit Systemrechten oder Registry verbiegen. Klappt nicht bei allen mit Administratorrechten. Rückgängig machen kannst es mit "sc config <Dienstname> type=share". --> Ich mache solche Dinge immer in ner Test-VM wos egal ist. Dann kannst mit den Hilfsmittel oben bestimmen wer was und wie sendet und empfängt und gezielt blockieren. Nur weil man ne GPO setzt, heisst das noch lange nicht, dass es keine Kommunikation mehr gibt. Tue mir zumindest ziemlich schwer das zu glauben. Variante 2: Windows LTSB lizenzieren und installieren. Variante 3: Cortana kannst wie jedes Windows Modul auch komplett los werden wenn Du die Pakete im Component-Store entfernst. Das klappt mit jeder Windows-Version zuverlässiger. Bei 8.1 schon richtig gut. Besser ist aber eigentlich vor der Installation von Windows, da das Teil sicher tief im System verankert ist. Bei der tief verankerten Windows-Bing-Suche gibt es ein paar Side-Effects wenn sie abgeschossen wird, z.B. ein leeres Menü auf der rechten Seite. Variante 4: Industrial Image hernehmen und anpassen, da ist schon viel Schrott gar nicht erst drinn.

Naja, nicht so ganz. Das meiste was wirklich an Firewallrichtlinien erforderlich ist, bleibt über die verschiedenen (neueren) Windows-Versionen ziemlich identisch. Aber klar, Pflege ist notwendig. Auch die ganzen Tasks und Dienste muss man logischerweise wieder prüfen ob was neues dazugekommen ist. EDIT: Die Sammeldienste bleiben seit XP immer vorhanden, es kommen einfach immer neue dazu. Was da an IOPS verbraten wird - z.B. in ner VDI-Umgebung - ist schon sehr beachtlich. Meiner Meinung nach ist das alleine schon ein Grund sich damit zu beschäftigen. Aber wie gesagt, läuft schon etwas auf Sysiphus raus.

Dein Freund ist der Prozess-Explorer von Sys-Internals sowie andere Tools der SysInternals. Damit kannst Du alle Zugriffe auf Registry, Dateien etc. Protokollieren. Normalerweise reicht es, wenn Du Schreib und ändern-rechte für die Keys, ordner etc. vergibst. --> z.B. per GPO an bestimmte Benutzergruppen wenn mehrere Rechner betroffen sind. Klappt meistens, aber nicht immer.

Die Windows-10 Download und auch Upload Datensammlungswut ist echt krank und jenseits von Gut und Böse. Dann stimmt man dem auch noch zu in den Bedingungen. Das ist echt nicht mehr normal. Termine, Kontaktdaten, E-Mail-Verkehr alles drum und drann mit Freipass für MS, Drittparteien sowie Regierungen und das auf Firmenrechner. Was es neben den GPO's noch gibt, wäre das anpassen diverser Dienste sowie Tasks sowie vollständige Blockierung von In und Out Traffic via Windows-Firewall. Anschliessend für jeden Dienst und Programm entsprechende Freigaben. Nach Möglichkeit nur ins interne Netzwerk bzw. zu den entsprechenden Rechner. Dazu noch explizite Verbote für bekannte Verbindungsaufbauten. Ein Spass ist das nicht, aber möglich. Hilfsmittel: - auditpol.exe /set /category:"Objektzugriff" /subcategory:"Filterplattform: verworfene Pakete" /success:enable /failure:enable - tasklist - Process-Explorer von SysInternals - svchost.exe Dienste separieren usw. zum besseren herausfinden wer was tut Völliger Overkill und unglaublich viel arbeit aber man wird nicht mehr drum rumkommen wenn MS nicht vernünftiger wird. Bei Privatpersonen und geschenkten OS kann ich den sc*** ja verstehen, man muss das ja finanzieren. Wenn man aber viel Geld dafür bezahlt eine Frechheit.

Ja genau, einfach die Anleitung durchgehen und Du hast keinen Ärger mit den Zeit-Einstellungen mehr. Auch ned bei PDC-Wechsel bei einem Upgrade der Umgebung z.B. usw. Funkuhr wüde ich mich nie verlassen, der Kram ist - wohl je nach Standort - so unzuverlässig das einem schwindlig wird. Klappte mit meinem Funkwenker bei uns z.B. gar nicht. Also gemäss Anleitung vorgehen. Entweder mit nem ntp Server ausm internet oder mit einem richtigen LAN-Time-Server mit SAT-Abgleich.

Am besten nach dieser Anleitung: http://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo/ Finde ich zumindest.

Nach Möglichkeit gehe ich wieder auf gespiegelt Festplatten auch wenn es ein paar hunder euro mehr bedeutet und leicht mehr Stromkosten verursacht. Auch bei shared storage. Logs sind dann auch gleich wieder da drauf. USB nur noch zum testen einer neuen ESXi-Version. Gespiegelte SD sind natürlich auch schick. Hatte jetzt einige mal das Problem, dass USB-Sticks über den Jordan gegangen sind trotz Marken-Teilen und teilweise gekühlten Räumen und ausserhalb der Server. Die Sticks also nie zu heiss hatten. Das wäre auch nicht weiter schlimm oder war früher nicht weiter schlimm da der ESXi ja eigentlich munter im RAM weiter läuft. Sobald aber eine Konfig-Änderung ansteht - und sei es nur eine Änderung in einer VM - und man bemerkt das nicht vorher, kommt es zu unerklärliche Problemen weil der ESXi irgendwas auf den Stick schreiben will. Dann reagieren die VM's nicht mehr, laufen teilweise weiter usw. Hilft dann manchmal nur noch ON/OFF Schalter am Host. Sehr uncool. Ob man das überhaupt frührer merken könnte, keine Ahnung. ;)

Yep, wie wahr - eines der einfachsten, unkompliziertesten und funktionierensten Tools von MS überhaupt. Und das sogar im Preis inbegriffen. =) Mir wäre das schon nervig auf allen Clients andere Update-Stände vorzufinden bzw. nicht die übersicht zu haben, welche Clients sich sogar weigern (aus welchen Gründen auch immer) die Updates zu installieren. Die Leute selber entscheiden lassen schon gar nicht. Aber egol.... ;) Um noch was zum Thread hinzuzufügen, Du kannst die Ereignisse auch triggern. Siehe z.B. http://www.windowsecurity.com/articles-tutorials/authentication_and_encryption/Attaching-Tasks-Event-Viewer-Logs-Events.html Dann kannst direkt darauf reagieren (lassen).

In den letzten paar Jahren traf das für jede Kleinumgebung zu. Anzahl Cores hat jede moderne CPU mehr als genug. Ausser dem Fileserver bei hohem Traffic sowie den DB-Server ist eh allen Maschinen todlangweilig. Wenn nur Server drauf sind sowieso. Auf solchen Mühlen habe ich schon einige komplette Umgebungen inklusive VDI draufgepackt. Flaschenhals war noch immer die IOs (Ausser bei SSD's, da lastet die virtuelle Netzwerkkarte nen Core unter Umständen komplett aus). Da interessiert die Taktrate weit mehr als die Menge der Cores / VM's. RAM ist heutzutage auch jede Menge auf ne Single CPU schiebbar. Kommen CAD-Maschinen oder ähnliches hinzu, brauchts dafür halt eigene Maschinen oder virtualisierbare Grakas (habe ich bis jetzt nicht gemacht).

Anbei noch auf was Du achten solltest bezüglich Hardware, oft kommt von nem Systemhaus folgendes an: - überdimensionierter Server mit Dual-Chipsatz dafür eine lahme CPU verbaut (gibt auch gute Server mit Single CPU und Dual-Netzteilen zu deutlich günstigeren Preisen mit teilweise deutlich mehr Performance) - zwei oder drei lahme HDD's (Deren vier sollten es immer sein z.B. im RAID 10, dann noch ein Hotspare. mind. 10'000 Umdrehungen bei 2.5 und 15'000er bei 3.5") - Mini-USV interaktiv (Online sollte es sein, lieber zwei davon, gerne auch gebraucht mit neuen Batterien, 2000er oder 3000er von nahmhaften Hersteller wie APC oder Eaton)

Die dinger von APC funktionieren erste Sahne. Habe davon auch ne kleine Leiste im Einsatz für Bildschirm, Modem, Wartungsswitch (IPMI) usw. Als Non-Rack ist mir aber nichts bekannt, Elektriker fragen. Die üblichen verdächten wie Phönix-Contacts, Schneider Electric oder Eaton haben aber eventuell was im Programm.

Nun, ein E-Mail Dienst muss heute grundsätzlich immer 24h am Tag, 7 Tge die Woche laufen. Unabhängig von der Betriebsgrösse oder? Bei den Providern funktioniert das normalerweise 1A. Deshalb ja auch der Wunsch, den Server eben grundsätzlich nicht In-House zu betreiben, weil das die Kosten enorm hochtreibt um das gleiche Level zu erreichen.

Danke für die Inputs! IP ist da nur folgendes möglich: - Feste IP, miese Geschwindigkeit, bezahlbar - Feste IP, hohe Geschwindigkeit, unbezahlbar - Dynamische IP, hohe Geschwindigkeit, günstig Exchange - Aktuell noch nicht vorhanden. - Als Mailserver mit der entsprechenden Verfügbarkeit Kostenmässig (jetzt nicht rein lizenztechnisch gesehen) auch etwas oversized. Ist ein sehr kleiner Betrieb. Als Datengrab ok wenn auch Perlen vor die Säue. Backup MX beim Provider kommt für mich ned in Frage. Zu viele Nachteile. Aktuell sind da zwei IMAP-Postfächer bei nem Hoster. Funktioniert grundsätzlich ja 1A. Solange eben die Postfächer nicht enorm gross sind. Praktisch kein Unterhalt und dennoch hat man immer alle Mails verfügbar, inklusive der gesendeten. @Mr. Cocktail: Nun, mich betrifft das ja eigentlich nicht sondern ein Kunde. Suche da aber eh was generell intelligentes, einfaches, bezahlbares (Unterhalt wie Anschaffung). Sind ja fast überall die selben Probleme bei den kleinen. ;) VPN-Gateway wäre tatsächlich eine Möglichkeit. Da ist aber eben Exchange wieder der primäre Mailserver. Wollte ich eigentlich vermeiden (Verfügbarkeit usw.) Eine separate Mail-Archiv-Lösung schmeckt mir und vor allem dem Kunden halt ned, weil es nicht direkt im Posteingang jedes Mailprogrammes abrufbar ist. @Squire: Aktuell mache ich noch gar nichts sondern betreibe lediglich "Brainstorming". Weil mir bis jetzt keine Variante gefällt, frage ich ja nach. DynDNS will mir auch nie so richtig gefallen.

So kompliziert beschrieben? =) Ziele 1. Ein neuer Client nicht wieder den kompletten Krempel mit allen Anhängen herunterladen muss 2. Jeder Client alle Mails zu Verfügung hat, über Jahre, nicht Tage 3. Die Clients nicht jeder X Gbyte an Daten hat 4. 10 MB files innerhalb nullkommanix verfügbar sind (LAN-Geschwindigkeit) 5. Kein eigener E-Mail Server im Internet, keine statische IP Bis jetzt ist mir nicht ganz klar wie man das Problem gscheit erschlagen soll. Danke noch für den Link, schaue ich mir mal an!

Weiss jemand was dazu oder hätte jemand ne bessere Lösung? Bin eigentlich offen für alles wenn es nicht zu kompliziert wird. Sollte irgendwie sinnvoll verwaltbar sein. Habe auch noch ein paar Ideen aber so 100% überzeugen tut mich bis jetzt nichts. Idee 1: - Ein Client mit POP3 Abfrage, der speichert alles. Zusätzlich via IMAP-verbinden um alle gesendeten Objekte aller Clients zu haben. - Restliche PC's mit IMAP, da wird alles nicht aktuelle gelöscht --> Suchen von altem Material geht dann nur auf dem einen PC der so quasi als Archiv funktioniert. Wird etwas gelöscht das noch nicht abgerufen war, isses weg. War schonmal so. Ist Quark weil immer das fehlt, was man haben möchte nebst dem vorher genannten. Auch müssen die gesendeten Objekte der anderen Clients manuell verschoben werden. Idee 2: - Ein Client ruft alle E-Mails ab und schiebt sie (auch) auf den Exchange (Manuell oder Automatisch innerhalb von Outlook). Was der nicht abruft, kommt ned auf den Server. - Alle anderen sehen nur Mails die im Exchange sind - Senden können die Clients via Exchange, der Exchange funktioniert als Relay oder direkt via Provider. --> Hängt alles vom einen Client ab ob die Leute was sehen. Vorteil, Chef übernimmt quasi gleichzeitig eine Filterfunktion. Die Angestellten sehen nur, was sie zu sehen haben. Auf IMAP wird gelöscht, was der Chef gelöscht haben möchte (Schlank). Evlt. nen AddIn damit er mit rechter Maustast damit Mails per Mausklick rübergeschoben werden. Zentrale Gesendete Objekte sind evtl. auch hier problematisch. Idee 4: - Klassischer Pop3 Connector der die ankommenden Mails fleissig abholt. --> Problematisch für gesendete Objekte. Oder Exchange eben für alle als Relay beim senden. Auf Exchange und Provider Mails speichern. Idee 3: - Die virtualisierten Clients kommen auf ein Dedupe-Volume und man schert sich ned um den Speicherplatz innerhalb des Clients und den unnötigen Traffic. IMAP wie bis anhin. - Evtl. separates Volume für E-Mails damit SystemVolume nicht so aufgebläht wird --> Backup/Recovery --> Total aufgeblähte Clients. Recovery unpraktisch/lahm. Internet-Server muss auch alles bereitstellen. Bei separatem Volume schnelleres Recovery. Alle diese virtuellen Volumes auf eine dedupliziertes Storage - welches evt. wiederum ein virtuelles Volume ist - lagern und direkt unabhängig vom Client sichern. Ein Client komplett sichern falls das Recovery des deduplizierten Storages nicht wie gewünscht verlaufen ist. Vom E-Mail Store dann ne Kopie auf alle anderen Kisten machen (etwas langwieriger). Schick wäre echt ein Sync-Tool. Gesehen habe ich sowas aber noch nie. Dürfte auch One-Way sein. Also dass nix automatisch auf dem Exchange gelöscht wird, sondern nur auf dem IMAP-Server des Providers. Senden dann ausschliesslich via Provider. Der Exchange muss sie "nur" irgendwie erhalten. Muss doch irgend eine gscheite Lösung für diese Problem geben. Vielen Dank für Inputs.

Hallo Leute, Klingt jetzt vielleicht doof, aber könnte man einen Exchange auch einfach als zentrales Datengrab für externe E-Mail Adressen benutzen? Problem/Hintergrund: - externe E-Mail-Konten (IMAP) - viele Mails mit grossen Anhägen - Mehrere Clients welche die gleichen Mails abrufen - ergibt neben viel Traffic auch sehr viel lokaler Datenspeicher auf jedem Client - Dateien nur auf dem Internet vorhalten ist nicht sinnvoll, weil dann jedes mal ewig dauert bis die Datei kommt - sehr wenige verschiedene Adressen Den Exchange selber als "richtigen" Mailserver benutzen wollte ich jetzt nicht. Die Internetanbindung ist dynamic DSL und die Verfügbarkeit beim Online-Anbieter mit Sicherheit besser. Auch muss man sich ned selber um die Veröffentlichung des Servers im Internet Gedanken machen. Auch hat jedes ERP-Programm eine Exchange-Anbindung. Auch die E-Mails extern speichern ist irgendwie wenig Praktikabel für die Übersicht und Suche. Hat das schonmal jemand gemacht und ist das vernünftig ohne Basteln machbar? Hatte früher mal mit Pop3-Connectoren unter SBS-Server zu tun. Hat eigentlich sehr gut funktioniert, Zeitversatz war aber relativ lästig und das nicht via Exchange versendete E-Mails nicht angezeigt wurden. Grüsse und Danke für Inputs

@daabm: Nicht ganz. Das Eventlog spuckt den Kram nicht einfach so aus. Das der Firewall auch nicht. Ohne Nachhilfe mit Auditpol gibts nix, das an einem tatsächlich weiterhilft. Taucht auch nicht da auf wo Du und auch ich es vermutet hat sondern im Haupt-Reiter Sicherheit wo auch Benutzeranmeldungen geloggt werden.

Die Glaskugel sagt: - SBS, Kleinunternehmen - Bis jetzt hattet ihr nix mit Replikation, Always-On, Lockstep und enorm kurze Ausfallzeiten am Hut. Ergo muss man sich fragen ist das tatsächlich gebraucht wird oder ob es einfach nur unter die Kategorie lästig geht wenn die Systeme maximal ein paar Stunden flach liegen oder ein paar Stunden Daten weg sind und einfach wieder eingegeben werden können. Das meinen die Jungs hier mit Anforderungen definieren. Ein paar Stunden Arbeit rechtfertigen z.B. selten die Kosten von Replikation- oder FT-Lösungen. Nicht nur von der Anschaffung sondern auch im Unterhalt. In fast jeder Kleinumgebung ist es sinnvoller sich das ganze TamTam mit Replikation, Cluster oder FT zu sparen und die Backupstrategie, sowie Primär- und Backupspeicher entsprechend performant auszulegen damit ein Restore sowie die Sicherung in der gewünschten Frist gemacht ist. Notfalls mit SSD-Systemen auf beiden Seiten. Das brauchst bei den FT und Replikations-Geschichten neben dem entsprechenden Know-How nämlich sowieso wenn die Anforderungen entsprechend hoch sind und ein solches System in Erwägung gezogen wird. Sprich die ganze Software und Hardware ist immer zusätzlich und kostet ein Vermögen. Die Fehleranfälligkeit für Misskonfiguration + falscher Reaktion im Fehlerfall (egal ob automatisch oder manuell) oder bei Hardwarefehler ist zudem bedeutend höher und sollten entsprechende Spezialisten machen. Eine normale Backup-Recovery Umgebung kriegt auch ein normaler IT-Techniker gut hin. Und auch hier bekommt man die Kohle schneller raus, als einem lieb ist wenn man es auf die Spitze treibt. Sprich das meiste davon muss eigentlich schon vorhanden sein, bevor man über die "richtigen" Always-On System nachdenkt. - Mehrere Server, Ersatzteile vor Ort, Kompletten Ersatzserver - Sehr schnelle storage-Systeme für schnelles Full-Recovery beim Primärspeicher sowie Backup welche mehrfachsicherungen pro Tag zulassen - Infrastruktur redundant - jeweils zwei potente USV's für Primärsystem und Backup in separaten Brandabschnitten oder Gebäuden - separate Absicherungen im Stromkasten - evtl. zwei getrennte Einpeisungen vom Stromanbieter - Notstromaggregat - zwei ISP's für Internet, Backupanbindung über Mobilfunknetz usw. - Switches, Sämtliche Netzteile usw. Klar kann man auch Kompromisse an den ein oder anderen Stellen machen, vorher muss man aber eben definieren was tatsächlich wichtig ist. - Ist es wichtig dass keinerlei Daten weg sind wie z.B. wichtige Live-Aufzeichnungen von Prozessen die nicht mehr wiederbeschafft werden können *1) - Ist es wichtig, dass die Systeme immer verfügbar sind oder spielt es nicht so die Rolle wenn mal ein paar Stunden nix geht (sprich z.B. einfach 5 Leute nix arbeiten und nach Hause geschickt werden müssen) - Ist alles zusammen extrem wichtig fürs Geschäft - usw. zu 1*) auch hier gibt es vielleicht sinnvollere Ansätze als FT/Replikation. z.B. Anpassung der Software z.B., dass sie direkt auf zwei unabhängige Ziele schreibt. Von daher wie die Vorredner schon sagten: Es gibt Vor- und Nachteile von verschiedenen Lösungen nur in Abhängigkeit von dem, was man erreichen möchte, was tolerierbar ist und im Endeffekt finanziert werden muss.

@websurfer: Bei Backup auf iSCSI ist eine gewisse Vorsicht geboten. Du musst bei einer allfälligen Wiederherstellung in der Lage sein, den iSCSI-Datenträger für die Wiederherstellung überhaupt anzusteuern. Auch wenn dir das NAS hops geht, ist das Recovery nicht wirklich easy vom RDX zu einem iSCSI-NAS. Womöglich dann noch auf ein anderes Modell Das ist grosser Murks. Zudem sind diese ganze günstigen NAS eben NAS und keine gscheiten iSCSI-Controller. Fileservices ist ihr Gebiet, nicht Blockstorage. Auch der ganze Daten-Traffic und dessen Absicherung ist auf Files ausgelegt. Das können die Dinger ziemlich gut. Bei iSCSI ist Ärger vorprogrammiert, glaube mir. Habe mein Lehrgeld auch bezahlt. Die sind einfach nicht so richtig dafür gemacht. Das ist nur schnell eingerichtet aber defintiv alles andere als schnell wenn man es dann mal braucht. Würde ich allerhöchstens als Primärspeicher nehmen (auch da eigentlich lieber NFS), aber niemals als Backup. Wenn das Budget schon nicht so gross ist, würde ich eher etwas in Richtung virtuellem Datenträger auf einem NAS machen. Da bleibst beim NAS bei Files und bei Windows bei "Block-Storage". Das ist - viel sicherer, jedes Gerät arbeitet in seiner Domäne - deutlich einfacher wiederherzustellen - sehr viel einfacher auf andere Datenträger zu kopieren, zurückzukopieren usw. --> Kann mit jedem OS, Script etc. auf irgendwas erledigt werden - Kanns auf dem gleichen Volume auch mehrere Computer sichern. Jeder hat sein(e) Datenträger.

@MagHeinz: Da hast Du sicher nicht unrecht. Vielleicht ist es aber immerhin ein Anfang. Vielleicht auch nicht. Richtig helfen würde diesbezüglich sowieso nur, alles Offline zu nehmen. =) Die Illusionen das es gegen professionelle Angriffe/Software etwas nützt habe ich natürlich nicht. Egal ob von Extern oder durch eine Applikation. Dem OS an sich misstraue ich ned. Nur gewissen Diensten, Aufgaben und Apps. Wenn es nix nützt, war es immerhin gut um die Verkettungen/Abhängigkeiten der Dienste, Programme und Server besser zu begreifen. ;) Ansonsten für alle die es interessiert: Auditpol hat die gewünschten Ergebnisse im Ereignislog ausgespuckt. Zusammen mit ProzessID, Programmname, Protokoll etc. Also das was meiner Meinung nach eigentlich das Log der Windows-Firewall ausspucken müsste. Englisches OS: auditpol.exe /set /category:"Object Access" /subcategory:"Filtering Platform packet drop" /success:disable /failure:enable Deutsches OS: auditpol.exe /set /category:"Objektzugriff" /subcategory:"Filterplattform: verworfene Pakete" /success:disable /failure:enable

Hehe, ist doch tatsächlich ein Krankheitsbild davon... =) Da flüstert immer einer ins Ohr ich müsse die Software möglichst am Sammeln und übermitteln hindern. Muss ich mir Sorgen machen oder darf man es als "geht-mir-auf-die-Eier" abtun oder läuft das schon unter Verleugnung und forgeschrittenem Krankheitsbild? *lach* Danke für das Script, sieht vielversprechend aus!

Dankeschön für die Antworten. @daabm: Schön wärs. Da wird leider gar nix punkto Paket drop gelogt sondern nur wenn an den Regeln geschraubt wird. @magheinz: Nun, das kann man sehen wie man möchte. Meine Beweggründe sind - neben gewissen Sicherheitsbedenken - eher in meiner Abneigung gegenüber moderner OS und Apps und deren Datensammlungswut und Nachhause-telefoniererei begründet die sich nicht ohne weiteres für einen einfachen User per GUI abdrehen lässt. Das soll aber hier nicht das Thema sein. Ich möchte nur wissen wie ich zuverlässig aufzeichnen kann, welches Programm, Dienst, Prozess etwas senden möchte oder gesendet hat. Nichts weiter. @blub: Du meinst Paranoia ;) Naja, die meisten kleineren Unternehmen haben ja nicht wirklich eine "richtige" Firewall sowie einen extra Kollegen der den Kram auswertet. Da hat man den Provider der einem einen Teil davon abnimmt und sonst hängen die Kisten quasi direkt im Netz. Ein wenig Selbstschutz - selbst wenn es "nur" die Windowsfirewall ist - kann nicht schaden. Danke für die Links! @DocData: "Ergo: Selbst ist der Mann. Alles zu und dann sukzessive öffnen. Oder einfach ausgehend alles erlauben und dann am Perimeter ansetzen." Und genau deshalb möchte ich ja etwas, wo ich sehen kann wer was und wo sendet und geblockt wird, damit ich das selektiv zulassen kann. Aktuell geht das nur sehr mühsam via Tasklist und arp zusammen mit dem Firewallprotokoll und etwas Rätselraten. Wenn der Prozess aber bereits beendet ist, sieht mans ned mal. Etwas gefunden habe ich doch noch, mal sehen ob es den gewünschten Effekt bringt. Auditpol.exe. Mal sehen ob die Prozess-ID tatsächlich mitgeloggt wird.

Kann auch nur empfehlen die Timeserver-Geschichte gscheit aufzugleisen. Deine Probleme kommen wie die Vorredner schon sagten, gerne von Zeitdifferenzen. Die schicke Anleitung von Norbert ist da sehr hilfreich für die Konfiguration. Gerade in Verbindung mit einem ESXi und virtualisiertem PDC und vor allem bei mehreren DC's empfiehlt es sich aber schon, dass der Host bereits über eine korrekte Zeit verfügt. Irgendwoher nimmt sich der Client ja mal die Startzeit, auch wenn er sie anschliessend korrigiert. Was ich auch schon mehr als einmal vorgefunden habe, waren schlechte LAN-Kabel. Die bewirken das gleiche Fehlerbild mit Clients die einfach so nicht mehr "sicher" sind. Also z.B. ehemals für 100 verlegt und jetzt mit 1000 Gbit drüber. Da werden unter Umständen so viele Pakete verworfen, dass keine saubere Kommunikation stattfinden kann auch wenn es zum arbeiten funktioniert. --> Abhilfe hier: neue Leitungen, Ports am Switch manuell drosseln oder einen kleinen 100er Switch mit in die Leitung hängen. Mit Wireshark sieht man wieiviele Pakete "verloren" gehen. Den ESXi mag ich persönlich ned so direkt in der Domäne/Internet. Leider bleibt einem meist nichts anderes übrig wenn man nicht über einen eigenen physischen Zeitserver verfügt. Einigermassen bezahlbar gibts die z.B. von einem deutschen Unternehmen namens Meinberg. Die haben auch Geräte mit mehreren getrennten LAN-Ports um die verschiedenen Netze zu trennen. Ansonsen gibts noch die Möglichkeit das jeweils manuell zu machen und zu schauen, dass der Host immer weniger als 5 minuten abweicht. Dann gibts eigentlich auch kein Probleme. Ausser das es der ESXi nicht so mit der Zeitumstellung hat. Oder Du erstellst eine zweite Netzwerkkarte vom DC zum Host und schaltest die Verbindung nur ab und wann frei. Leider lässt sich ja die Windows-Firewall nicht pro Adapter konfigurieren wie das z.B. mit dem TMG möglich wäre und so das ganze sicherer wäre. Da könnte man nur das Zeitserverprotokoll/Port auf diesem Adapter freigeben.