cj_berlin

Müsste man ausprobieren, aber ich bin der Meinung, dass es nur für Systeme gilt, die es damals schon gab. Und seit Oktober letzten Jahres ist nichts davon supported. Aber wäre zu testen. Hat jemand eine XML herumliegen? Ich mache ja keine Audits mehr, habe also keine Hoffnung, Montag auf eine zu stoßen...

Aber die Tasks aus der GPP kann es doch auf keinem heute noch supporteten System mehr geben. Das ist vermutlich auch Teil des Problems

Ich habe das in nahezu jeder Umgebung gesehen, wo ich ein Audit gemacht habe. Richtig erschreckend finde ich halt auch, dass der Kram seit 10 Jahren nicht mehr funktioniert, die Accounts aber immer noch gültig sind.

Moin, auf welchem Transport läuft die OpenVPN-Verbindung - TCP oder UDP? Wenn es TCP ist, versuche am Client per Policy (notfalls per LocalGPO) zu erzwingen, dass für RDP ebenfalls TCP benutzt wird.

Hier kannst Du dir sicher sein: eine 2. Instanz auf derselben Windows-Maschine ist von derselben Lizenz abgedeckt wie die erste. Doch, mit mehreren Instanzen geht das. Die Anzahl der Instanzen muss aber halt noch managebar bleiben...

Moin, auch wenn diese POP3-Puller schon immer verpönt waren und das Konzept in mehr als einer Hinsicht Sch**ße ist, ist anhand der geschilderten Anamnese nicht eindeutig, dass es nur daran liegt. Hol doch mal eine signierte, aber nicht verschlüsselte Mail direkt mit einem POP3-Client vom Hoster ab und schau, wie der Header bzw. die Struktur aussieht. Vielleicht ist es bereits der Hoster, der das zerhaut. In diesem Fall hast Du wirklich keine Wahl, die Mails statt zum Hoster entweder direkt an den Exchange oder, besser, an einen Gateway davor zustellen zu lassen. "Gateway davor" kann ein Online-Dienst sein, muss nicht zwingend on-premises sein.

Das ist einmal wieder richtig geiler Stoff: https://msrc.microsoft.com/blog/2024/01/microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/ Klar, böser Nobelium, böse Russen, aber dann kommt's: Und da kann ich nur kopfschüttelnd sagen: DAFUQ? Darf dort ein Praktikant Berechtigungen an Postfächern von Managern vergeben, und zwar an identitäten außerhalb des Tenants? Solange das so bleibt, ist die ganze "EU Data Boundary"-Diskussion das digitale Papier nicht wert, auf dem sie geführt wird...

Moin, das einzige, was an EWS als Zugriffsprotokoll auszusetzen wäre, ist, dass damit der vollständige Befehlssatz möglich ist, sprich, dass damit auch Mails, Permissions vorausgesetzt, versendet werden können. Daher, wo möglich, NICHT mit Impersonation arbeiten, sondern mit expliziten Berechtigungen, und dort nur das Leserecht erteilen. Muss die Anwendung natürlich in ihrem Code umsetzen. Ansonsten, wenn es nur um Lesezugriff geht, POP3 und IMAP4 sind immer noch möglich - auch da muss die Anwendung dies im Code umsetzen. Schwieriger wird es, wenn die zugreifende Anwendung die Elemente, auf die zugegriffen wird, anpassen muss - zum Beispiel, den Link zum Speicherort im DMS in eine MAPI-Property des archivierten Eintrags injizieren. Das geht wieder nur über EWS oder MAPI, und MAPI willst Du wirklich nicht.

Moin, bei einem Kunden haben wir das nach langen Diskussionen mit mehreren Instanzen gelöst, wo das betreffende Team zwar nicht sa, aber immerhin db_creator hatte. Es waren aber nur drei Dev teams plus Produktion, da geht es. Hast Du zwanzig solche User oder Teams, wird es nicht mehr händelbar.

Jetzt, wo die vSphere-Lizenzierung Geschichte ist, kann man sich das in der Tat angewöhnen

Für geografisch entfernte Familienmitglieder ist Familink richtig, richtig geil. Ich traue mich nicht, auf die Datensicherheit dieses Providers zu schauen, denn dann müsste ich es meiner Mutter vermutlich gleich wieder abklemmen, aber funktional einwandfrei und erlaubt ihr, an unserem Familienleben teilzuhaben. Wir und unsere Töchter können ihr Bilder mit einer Handy-App auf den Rahmen schicken, sie kann sie dann per Touchscreen liken - top! Sieht auch hübsch aus.

Die Anzahl betroffener SBS-Kunden dürfte sich also in Grenzen halten

Der Gedankensprung war mir jetzt zu weit, zumindest am Sonntag.

Moin, die Dienstleistungen verschieben sich dorthin, wohin sich auch die Budgets verschieben. Noch ein paar Jahre Preisentwickllung für Energieträger, wie wir sie jetzt erleben, und der nächste Green-IT-Boom ist vorprogrammiert Und wenn die Rezession noch 7-8 Jahre andauert, werden wir das Jahr von Linux auf dem Desktop vielleicht doch noch erleben, weil einfach Geld für den nächsten Hardware-Refresh fehlt. Was Security angeht, wird sich nichts ändern, solange Manager nach Performance und Usability bewertet werden, und damit meine ich nicht nur IT-Manager. Ich weiß nicht, ob es wahr ist, aber jemand, der sehr lange in Japan gelebt und sich mit der dortigen Kultur gut auskennt, hat mir dies erzählt: Bis vor ein paar Hundert Jahren hat jedes größere Dorf (das sich das leisten konnte) einen Arzt ausgehalten. Er hat ein Haus bekommen, Bedienstete, Tiere, Nahrung für sich, seine Familie, Bedienstete und Tiere, Kleidung, alles, was man braucht - solange alle im Dorf gesund waren. Wurde einer krank, wurden Zuwendungen eingestellt. Wenn wir die Manager - nicht nur den CISO, die gesamte C-Suite - nach dem KPI "Tage seit dem letzten Cyber-Vorfall" entlohnen würden, hätten wir eine völlig andere Wahrnehmung.

Moin, wenn man ein ordentliches Imaging-Verfahren hat, würde ich den Nutzen von WinRE generell hinterfragen und das Update einfach ausblenden. Wer aber keins hat, wird um das Thema herum skripten müssen oder auf das Update verzichten.

Moin, die Idee, neue Fileserver mit CNAME- oder sogar A-Records mit dem alten Namen zu maskieren ist zwar verbreitet, aber am Ende landest Du meistens bei DisableStrictNameChecking und öffnest ein paar Anfälligkeiten, die Du nicht unbedingt haben müsstest. Grundsätzlich kriegt man das hin, ich würde es aber erst als Plan Z in Betracht ziehen. Wenn die Maschinen virtuell sind, kannst Du ja einen neuen Server 2022 als Fileserver mit dem Namen des DC erstellen. Das würde vermutlich die geringste Disruption verursachen, und Du hättest den DC vom Fileserver getrennt. Ansonsten musst Du die Migration gegenüber den Usern vielleicht einfach ankündigen: "Am Donnerstag, VPN aufbauen, langsam bis 20 zählen, dann gpupdate durchführen und rebooten." Danach sollte doch eigentlich alles funktionieren , auch wenn Zugriff auf GPOs erst nach dem VPN-Aufbau möglich ist. Der Einwand von Jan, dass SMB nicht für WAN und erst recht nicht für VPN gemacht ist, ist absolut berechtigt, aber natürlich kann sich nicht jeder einen Terminalserver / eine TS- oder VDI-Farm leisten. Spätestens jedoch. wenn die superkritisiche Excel-Tabelle durch WAN-Unterbrechung zerschossen wird, könnte auch Budget für eine solche Lösung frei werden. Wieviele User sind im Schnitt gleichzeitig per VPN verbunden?

Moin, ich meine, Du musst DuckDuckGo zu der Policy "Managed Search Engines" hinzufügen, dann hast Du für die Default auch diese Abkürzungen. Und der Hinweis auf die aktuellen ADMXen ist berechtigt, da gab es durchaus Bugs, auch im Bereich der Suchanbieter.

Daher empfehle ich auch gern das Exchange-Buch vom anderen Thomas (Stensitzki) - da fehlt gar nix. Allerdings war das Problem hier in diesem Thread ja kein Exchange-, sondern ein Outlook-Problem. Und da gibt es noch weitere, die einem nicht beigebracht werden. Aber dieses konkrete Problem ist schon 15 Jahre alt: https://web.archive.org/web/20141231022743/http://support.microsoft.com/kb/913843

Moin, checke erst mal in certlm.msc, ob das Zertifikat mit privatem Schlüssel importiert ist. Ist es drin, aber ohne privatem Schlüssel, lösche es, spiele dioe PFX noch einmal korrekt ein und nutze Enable-ExchangeCertificate, um es zu aktivieren. Danach, falls das Cmdlet keine Fehler wirft, iisreset durchführen. Ist das Zertifikat mit privatem Schlüssel drin, probiere Enable-ExcahnegCertificate nochmal und schau im IIS Manager, welches Zertifikat auf der Frontend-Website (Default Web Site) gebunden ist. BACKEND WEBSITE NICHT ANFASSEN!!!

Ihr habt Zertifikate vergessen - zumindest im öffentlichen Netzverkehr avancieren sie zum neuen DNS...

Ich würde die Frage nach "in Kürze neu aufsetzen" dringend klären, und wenn es auf 3-Monatssicht vorgesehen ist, das mit dem Upgrade sein lassen. Vielleicht kannst Du stattdessen ein paar längst überfällige Härtungsmaßnahmen dort vornehmen und so die Eintrittswahrscheinlichkeit der nicht mehr gepatchten Vulnerabilities verringern... Der neue Server ist dann ja vermutlich auch 2022 oder zumindest 2019, hast Du länger Ruhe.

Vermutlich UEFI vs. BIOS?

...und vorher das hier noch kurz lesen: https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/access-based-enumeration-abe-concepts-part-1-of-2/ba-p/400435

Moin, hier z.B. von ManageEngine: https://www.manageengine.com/products/active-directory-audit/how-to/how-to-track-changes-in-active-directory-groups.html

Moin, da Verteilern AD-Gruppen zugrunde liegen, ist es bei aktiviertem Audit Logging im AD möglich, festzustellen, welche Mitglieder wann welcher Gruppe hinzugefügt und welche wann entfernt wurden. Zurückrechnen aus dem aktuellen Stand muss man selbst. Bei dynamischen Verteilern ist es leider nicht möglich - es sei denn, man macht sich die Mühe, Änderungen an den Attributen, über welche der Filter definiert ist, aus dem Audit Logging zurückzuverfolgen...