Marco31

Hintergrund des ganzen ist dass ich bisher solche Arbeiten mit "dem einen" Domänen-Administrator gemacht habe. Für alle anderen AD-Arbeiten habe ich schon seit längerem einen anderen Benutzer mit Domänen-Admin-Rechten. Diesen möchte ich jetzt für alle Arbeiten am AD nutzen, so dass das PW für den Domänen-Administrator wie empfohlen in Ruhe im Tresor bleiben kann Es stand jetzt die Aktualisierung der Domänencontroller von Win 2012R2 auf 2019 an, da wollte ich das gleich mit in die Tat umsetzen. Hat auch funktioniert, mit Vergabe des Organisations-Admins und des Schema-Admins wurden die FSMO Rollen übertragen.

Ok, danke an alle. Werd's morgen testen

Domänen-Admin reicht für die FSMO-Rollen nicht, zumindest kam beim Versuch "Zugriff verweigert"

Hallo Forengemeinde, habe jetzt auf die schnelle nichts dazu gefunden, daher kurze Frage an die Spezialisten: Welche Rechte braucht ein User zum Herauf- und Herabstufen von Domänencontrollern und verschieben der FSMO-Rollen? Reicht die Mitgliedschaft bei Domänen-Admins, Organisations-Admins und Schema-Admins?

Noch mal eine Frage dazu; es gibt ja leider einiges an Software (Monitoring, SW-Verteilung, Backup) die gerne Adminrechte oder sogar Domänen-Admin-Rechte haben möchte. Würde diese nicht das ganze Konstrukt torpedieren?

Hallo Forengemeinde, bei uns wird gerade über die Einführung eines Mail-Archivs nachgedacht. Mails laufen derzeit über Exchange 2016/Outlook, was auch für die nächsten Jahre so bleiben soll. Ich hatte mich mal etwas in Sachen Mail-Archiv umgeschaut und bin auf MailStore aufmerksam geworden - klang für mich preislich und funktionstechnisch recht gut. Hat das jemand im Einsatz, wie sind die Erfahrungen? Gibt es andere Mail-Archive die ihr empfehlen könnt?

Hallo liebe Forengemeinde, bei der immer größer werdende Gefahr durch Ransomware ging mir auch durch den Kopf, ob nicht eine Umsetzung von 2-Faktor-Authentifizierung für User und Administrative Konten sinnvoll ist. Wir haben hier eine relativ kleine Umgebung (ca. 28 Clients, 2 VMware Hosts mit 12 virtuellen Servern, 2 physische Server), derzeit ohne CA. Ist das überhaupt sinnvoll für unsere Größenordnung? Wer setzt das ein, welches System setzt ihr ein, wie zufrieden seid ihr? Gerade auch hinsichtlich der Administrativen Arbeiten? Hatte mir mal den Jubikey angeschaut, das soll ja recht gut funktionieren. Gibt's da Erfahrungsberichte?

Es gibt Neuigkeiten: https://www.borncity.com/blog/2022/01/18/windows-7-8-1-server-2008r2-2012r2-sonderupdates-mit-fixes-fr-jan-2020-patchday-probleme-17-1-2022/ https://www.borncity.com/blog/2022/01/18/windows-10-server-sonderupdates-mit-fixes-fr-jan-2020-patchday-probleme-17-1-2022/

Weiß jemand wie es mit den Updates weitergeht? Ist ja momentan etwas konfus, wann werden die Updates überarbeitet? Kommen da wieder Out-of-Band Updates oder kommt da erst nächsten Monat ein Fix? Ich habe bisher alle Server-Updates zurückgehalten, ist mir doch etwas viel Russisch Roulette...

Finde den Fehler Aber ja, genau so läuft es. Leider.

On Premise kann man (Glück und das Lesen der richtigen Blogs vorausgesetzt) zumindest noch gegensteuern, wenn's die Kollegen von der wer-auch-immer-Cloud versauen schaut man nur noch dumm durch die Wäsche.

Im WSUS sind sie noch drin, eben gerade mal synchronisiert.

Also der Thread lehrt einen wirklich das Fürchten... Und kein Wort bisher von MS, das ist schon mehr als grenzwertig...

Wenn's so wäre dann wäre ja noch interessant ob's nur Hyper-V guest DCs betrifft oder auch unter VMware

Das möchte ich erstmal nicht testen

Nur noch peinlich was MS da so liefert... Habe mir schon angewöhnt am Patchday erstmal hier und in Born's IT Blog auf Kommentare zu warten, hat mir heute mal wieder den A... gerettet.

Ja, "Sicher" war ja in der heutigen Zeit eh schon falsch ausgedrückt... Ein möglicher Angriffsvektor ins interne Netz wäre dann z.B. entsprechender Code per Email als Dateianhang oder kompromittierte Websites, die Geräte im internen Netz nach der Schwachstelle scannen und dann über diese Code ausführen? Da bleibt bis zum patchen der betroffenen Anwendungen wohl nur die Hoffnung, dass Applocker und blocken von ausführbaren Dateianhängen den Worstcase verhindern...

Eine Frage dazu; wenn ich mal die Anwender im lokalen Netzwerk als potenzielle Angreifer ausklammere, bin ich vor der Schwachstelle sicher wenn meine Applikationen nicht aus dem Internet erreichbar sind?

Da habt ihr wohl recht, da war ich "leicht" auf dem Holzweg... Danke für den Schubs in die richtige Richtung

Ok, der Absatz erklärt es. Hatte ich so nicht am Schirm, danke für die Info! Ist zwar so gesehen b***d wenn Applocker erstmal nur im Audit Mode läuft, aber ist halt so. Danke an alle für die Hilfe.

Ok, ich glaub wir reden tatsächlich aneinander vorbei. Ich versuch's noch mal besser zu erklären. Wir haben größtenteils noch Windows10 Pro-Maschinen, haben aber (unter anderem auch wegen zukünftigem Einsatz von Applocker) auch schon einige Maschinen mit Windows10 Enterprise lizensiert. Die SRP haben wir schon lange im Einsatz, hat auch immer bestens funktioniert. Soweit so gut. Wenn ich aber jetzt eine Applocker-GPO im Audit-Mode (zum erstellen der notwendigen Freigabe-Regeln) zusätzlich aktiviere, beachten meine Enterprise-Maschinen nur noch die Applocker-Regeln im Audit Mode (nix wird geblockt) und die SRP-Regeln werden völlig ignoriert; es kann also (von nötigen Admin-Rechten abgesehen) beliebige Software ausgeführt werden. Ich bin eigentlich der Meinung dass die Koexistenz mal funktioniert hat und das ganze so eher neu ist, aber so 100%ig sicher bin ich mir da auch nicht. Ist halt die Frage ob das so gewollt ist oder ob's ein Bug ist.

Arbeiten, surfen, Mails empfangen, was halt so auf Büro-PC's passiert.

Ok, hatte ich tatsächlich etwas falsch verstanden. Aber die Frage ist doch, wie schütze ich die PC's, auf denen ich Applocker teste, wenn die SRP-Richtlinien dann deaktiviert sind? Das kann so nicht im Sinne des Erfinders sein...

Dazu müsste ich eine Testmaschine aufbauen auf der sämtliche Anwendungen installiert sind und müsste auch noch testen, ob diese einwandfrei funktionieren... Wir haben hier Anwendungen von denen ich nicht die geringste Ahnung habe weil sie durch ein Rechenzentrum gehostet werden, da habe ich nicht mal Zugriff drauf. Also nein, das ist definitiv keine Lösung! Und der Audit-Modus von Applocker ist ja gerade dazu da, im Echtbetrieb zu sehen welche Anwendungen geblockt würden (bzw. noch freigegeben werden müssten) wäre Applocker im Nicht-Audit-Mode. Also sorry, aber dedizierte Testmaschinen sind für diesen Fall die falsche Herangehensweise.

Da sehe ich aber nicht was für Applocker freigegeben werden muss, bzw. was Applocker blocken würde wenn... Macht keinen Sinn. Dafür gibt's ja den entsprechenden Modus in Applocker