PIC

@ Duffman :jau: isch glaub, so gefällt Euch der Betreff etwas besser, oder ;) Gruss Jan the Sweeper

Die für das Unternehmen sicherste Reparatur ist die Neuinstallation des DC, und dafür brauchst Du keinen neuen Server. Reparaturen an den bestehenden Symptomen wachsen sich schnell zur Frickelei aus. Das möchte ich Dir ja gerne glauben, nur vom Sicherheitsstandpunkt aus ist gerade das unklug. Kein Tool findet alles, Du KANNST eben nicht sicher sein. PS: Welche Trojaner hast Du identifiziert und mit welchen Tools? Wann war das? Wie lange waren die auf dem System aktiv, bevor Du die Infektion bemerkt und die Trojaner gelöscht hast? Du schreibst selbst: alle Trojaner - das klingt für mich nach mehrfacher und anwachsender Infektion, wenn ein Hacker sich erst Zugriff verschafft und den dann zügig ausgebaut hat. Das ist also nicht sofort bemerkt worden und der/die Hacker haben sich richtig schön austoben können? Was heisst denn hier perfektes Verhalten? Keine ungewöhnlichen offenen Ports vielleicht, OK. Hoffentlich aber nicht, dass ein Hackertool z. B. Passwortdumpdateien all Eurer Mitarbeiter über den ganz normalem FTP Port 21 versendet? Bedenke: diese Firewall hat Euch vor dem Angriff nicht schützen können - es sei denn, der Angreifer kam von innen! Nein, ich sehe nicht, wo es da genau hakt. Ausser Abarbeiten der ganz normalen DNS-Checklisten (gibt's bei Microsoft) als erster Schritt fällt mir im Moment nix ein. Vielleicht hat ja ein anderer unserer User eine Idee dazu. Gruss Jan

Hallo rdsbonn, wenn Du sicher bist, dass Euer Produktiv-PDC gehackt wurde - dann mach ihn neu! Um die Domäne funktionsfähig zu erhalten, kommt es jetzt auf sorgfältige Planung an. Wann wurde der Rechner gehackt - gibt es eine saubere Sicherung? Habt Ihr weitere DCs laufen - und sind die noch sauber? Wenn ja, hast Du eine gute Basis, den PDC schlicht zu demoten und das System neu zu installieren, weil die AD durch die Replikation erhalten wird. Ein einmal von Trojanern kompromittiertes System ist grundsätzlich nicht mehr als sicher zu betrachten. Ich sehe keine Alternative - das wäre viel zu gefährlich. Ich verweise ansonsten mal auf meinen Beitrag HIER und die zitierten Threads, falls Du noch zögerst, die Neuinstallation in Angriff zu nehmen. Gruss Jan

Hallo Frank123, In einer AD-Domäne unter W2K3 Server wird das komfortabel über die Gruppenrichtlinie gesteuert: Gruppenrichtlinienobjekt-Editor Snap-In öffnen, Gruppenrichtlinienobjekt auswählen > Durchsuchen > Default Domain Policy. Die Default Domain Policy mit ihrer Computer- und Benutzerkonfiguration wird angezeigt Benutzerkonfiguration > Windows-Einstellungen > Internet Explorer-Wartung > Sicherheit > Sicherheitszonen und Inhaltsfilter: Die Konfiguration erfordert, aktuelle Einstellungen der Sicherheitszonen aus einer bestehenden Internet Explorer-Installation zu importieren. Soll dies auf einem Windows 2003 Server erfolgen, so ist vorher dessen standardmäßige IE-Voreinstellung der verstärkten Sicherheitskonfiguration unter "Systemsteuerung > Software > Windows-Komponenten hinzufügen/entfernen" vorübergehend zu deaktivieren (ACHTUNG: Keinesfalls vergessen, sie nach der Übernahme der Einstellungen wirder zu aktivieren!!!). Sobald die verstärkte Sicherheitskonfiguration ausgeschaltet ist, können die lokalen IE-Einstellungen übernommen und in die Richtlinie übertragen werden. Nachdem die gewünschten Websites den Vertrauenswürdigen Sites hinzugefügt wurden, ist diese Einstellung Bestandteil der Gruppenrichtlinie. Anschließend die verstärkte Sicherheitskonfiguration des Server-IE wieder einschalten. Gruss Jan

Hallo MCSE2000, Wie Data schon schrieb, ist der RAID nicht für das Backup gedacht, sondern stellt Redundanz her. Das System ist also ein Produktivserver zum Geldverdienen. Dann scheiden eigentlich IDE-Platten aus, da nicht dauerlauffest (oder hast Du Platten, für die das vom Hersteller explizit garantiert ist - anderenfalls mittlere Lebensdauer der Platten im Dauerbetrieb ca. 3 Jahre, ab dann erhöhte Gefahr des Totalversagens. M. E. kommt für einen Produktivserver nur SCSI-Raid in Frage, um auf der sicheren Seite zu sein. Bei SATA bin ich bei der Standfestigkeit der IDE-SATA-Platten noch skeptisch. Wenn Du für das System geradestehen musst, würde ich nur eine hochwertige SCSI-Lösung verbauen. Gruss Jan

und auch der hier ist geschlossen! Zwei Beiträge, zweimal Braindumps, zweimal geschlossen. :nene: @leininc: Erste Verwarnung! Gruss Jan

... und aus diesem Grund geschlossen! Die Verwendung sog. Braindumps entwertet die Zertifikate - deshalb unterstützen wir das in unserem Forum nicht. Gruss Jan

:jau: :jau: :jau:

... und hier die Links zu diesem schönen Tipp: Beschreibung Download ;)

Hallo mars-online, ich lese immer wieder die Klagen von Opfern einer Infektion, die in ihrem kompromittierten System herumstochern, um es zu retten. Du hast mit Antivirus- und Antispywaretools die Maschine gefilzt und gleich mehrere Würmer gefunden. Gut so. Du hast den gefundenen Mist beseitigen können. Auch gut. Aber wer sagt Dir eigentlich, das Du jetzt wirklich alles gefunden hast? :shock: Wenn Dein System mit Trojanern/Backdoors (Dein Codbot.Z!) infiziert wurde - DANN MACH ES NEU! Du weißt nämlich nach einem erfolgreichen Angriff nicht mal im Ansatz :suspect: , was der oder die Hacker bei Dir so alles an Hintertüren aufgemacht haben - über den ersten Trojaner erfolgt der Zugriff, dann werden weitere Backdoors, unautorisierte TFTP-Server, Keylogger und all so Zeug eingeschleust :jau:. Ein einmal von Trojanern kompromittiertes System ist grundsätzlich nicht mehr als sicher zu betrachten. Wenn das, was Du mit dem Rechner machst, irgend einen Wert darstellt (ob Produktivsysten oder privat z. B. Online-Banking), dann ist JETZT ein neues Betriebssystem fällig - mit allen aktuellen PATCHES und durch eine FIREWALL abgesichert. Ansonsten spielst Du Lotto mit Deinen Daten - aber ohne jede Gewinnchance :eek: . Und auch das hier :shock: ist ein Grund, infizierte Systeme zu erneuern: Wer solche Maschinen weiter verwendet, unterstützt mit Chance Kriminelle und betreibt z. B. für diese sauberen Herren Spamschleudern. Und nur für die, die jetzt immer noch nicht neu installieren wollen, noch zwei Beispiele aus dem Board: Eins Zwei Gruß Jan

Der gute Exterminator ist ja fast schon ein Fall für die Darwin Awards... :jau:

Hallo Ultraschall, Zur Ursache: Was du beobachtest, ist die Umwandlung von 8-Bit-Zeichen in 7-Bit-"Quoted Printable", um Sonderzeichen sicher zu übertragen. Jetzt musst Du die Stelle finden, wo da was anscheinend uneinheitlich konfiguriert wurde. Leider habe ich keinen Exchange griffbereit, aber das sollte es geben... Dumme Frage: sind die internen alles Windows-Clients, oder sind auch Macs darunter? Ich hab etwas in der Art mal in einer gemischten Umgebung gesehen...

... und aus der Kehle dringt ein Schrei: "Schütt's nei, schütt's nei!" (Bamberger Pfadfinder...) :D ;)

Definitiv - der Kartentreiber muss WPA können, sonst geht es nicht. Falls nicht, beim Kartenhersteller checken, ob es nicht Treiberupdates gibt, die die entsprechende Funktionalität haben. Seit WEP nicht mehr als sicher gelten kann (vgl. http://www.heise.de/security/artikel/59098), haben einige Hersteller auch bei älteren Modellen in Sachen WPA nachgebessert Gruss Jan

Hallo _ab, ich kenne diese Firewall auf dem NIC auch noch nicht aus der Praxis, würde aber spontan eine separate Box bevorzugen (Sicherheitseinrichtung und Produktivmaschine voneinander trennen). Anders als Necron mag ich auch Privatanwendern keine Software-FW mehr empfehlen (und fasse das auch im "Freundeskreis-Support" ;) nicht mehr an), auch wenn das zusätzliche Kosten bedeutet. Hardwarefirewall oder Router mit Stateful Inspection FW-Funktion sind mir inzwischen das Minimum: sind einfach zu viele kranke Seelen da draussen im Internet :eek: :shock: Gruss Jan

Tja, kostenlos sieht wohl eher mau aus - wir hatten hier schon mehrfach Threads dazu, nicht nur den oben zitierten (siehe auch Boardsuche). Wenn Du nix zahlen willst, wirst Du vielleicht selbst was entwickeln müssen - fragt sich ob Du das kannst und ob sich das unterm Strich rechnen würde ;) Gruss Jan

Hallo gnome, mal vorneweg: die Probleme im Arbeitsmarkt sind eher anderer Natur, als dass Du sie mit einer Zertifikation wie dem MCSE erschlagen kannst (ausgiebige eigene Erfahrung, auch wenn ich noch nicht ganz so alt bin wie Du). Abraten will ich Dir keinesfalls, insbesondere wenn es Dir gelingt, Deine Vermittler davon zu überzeugen, das dies der richtige Weg für Dich ist, wieder in Arbeit zu kommen. Eine Fortbildung bringt Dich ohne Zweifel auch persönlich weiter. Die Trainergeschichte ist jedoch ein ganz anderer Stiefel. Die geht nämlich 1) in Richtung Selbständigkeit (kaum jemand stellt Trainer ein), 2) setzt sie ernsthafte didaktische Kenntnisse und Präsentationsfähigkeit voraus, die erlernt sein wollen und 3.) stehen, um erfolgreich zu sein durchaus über dem Wissenstand etwa des MCSE, wenn Du Dich, wie von zuschauer angeedacht, etwa in Richtung eines IT-Trainers wie MCT entwickeln wolltest. Da hättest Du einiges mehr an Weg vor Dir als selbst eine MCSE-Schulung zu absolvieren. ;) Dozent an der VHS kannste wohl auch ohne allzuviel formale Ausbildung machen, aber a)solltest Du auch da genügend didaktisches und fachliches Geschick haben, und b) ist das wohl eher nicht das, was Du eigentlich willst - wieder richtig in Arbeit zu kommen. Gruss Jan

Hallo Bytestream, OK, das erklärt, wieso Du nicht umfassende Rechte hast. Trotzdem git aber das schon Umrissene: Wenn es die GPO ist, kommt es von der Zentrale. Falls Drittanbieter-Tools zum Sperren der USB-Schnittstellen verwendet werden, kommen deren Restriktionen ebenfalls von der Zentrale. In beiden Fällen kommst Du nicht ohne Deine Ansprechpartnerin der Zentrale aus, denn die haben da offensichtlich etwas gesperrt. Jeder Versuch, da ohne deren Zustimmung dran zu zwicken, ist faktisch der Versuch, ihre Vorschriften zu umgehen (und hier setzen dann unserer Boardregeln ein: kein Support in diesem Fall, sorry - deshalb schliesse ich den Thread jetzt). Du musst wohl oder übel mit Eurer Zentrale darüber sprechen. Bedenke, dass Du Dich auch nicht darüber freust, wenn Du entdecken musst, dass die Benutzer Deiner OU die von Dir angelegten Regeln - mit welcher guten Absicht auch immer ;) - umgehen wollen. Gruss Jan

Zwar wird niemand in vollem Bewusstsein seine Platten restlos vollfahren, doch gilt es bei der Bandsicherung auf jeden Fall - wie von GerhardG schon geschrieben - ausreichend Reserven einzuplanen. Nichts ist ärgerlicher, als z. B. nach einem Jahr guter Geschäftsenwicklung (und damit Datenwachstum) beim GF neue Sicherungshardware (die sich in der Grössenklasse schnell auf einige Tausender beläuft) beantragen zu müssen. Das wäre doch etwas unprofessionell und peinlich. 100/200 GB sind gewiss eine gute Hausnummer, auch ohne die konkreten Anforderungen zu kennen. Gruss Jan

Hallo Bytestream, wenn an dem System etwas verboten wurde und Ihr die GPO nicht beeinflussen könnt, habt Ihr aber jemanden, den ihr zuerst fragen solltet: Euren Administrator :rolleyes: Ich möchte nichts unterstellen, aber ich kann nicht erkennen, ob die notwendigen Zugriffsberechtigungen eurerseits bestehen. In diesem Sinne verweise ich auf die Boardregeln (kein Support für des Umgehen von Benutzereinschränkungen)! Wenn Du die vollen Rechte hast, kommst Du entweder an die GPO heran oder kennst Deinen Ansprechpartner in der zentralen Administration Eures Unternehmens. Ich schliesse den noch nicht, aber der thread steht unter Beobachtung. Gruss Jan

Da liegt ein Konfigurationsfehler im DNS schon ziemlich nahe. Die 3er-Clients brauchen eine bessere Namensauflösung, sonst suchen sie sich einen Wolf. Poste mal die ipconfig /all und route print für die 1er und 3er Clients zum Vergleichen. Gruss Jan

Hallo corner, Möglichkeiten: Grafiktreiber oder die Grafikkarten-Hardware defekt. Der Monitor an sich funktioniert ja. Da Du im abgesicherten Modus an Dein System kommst: stell die Auflösung mal auf diesen Wert herunter (das wird wohl 800x600 sein...), dann neu starten. Oder den Grafikkartentreiber neu installieren. Gruss Jan

Hallo Steff484, Du willst nach Deinen Fehlermeldungen also einen DC klonen :shock: - das würd ich mal besser lassen :nene:. Neuen Server auf seiner Hardware installieren, in die Domäne aufnehmen, und per dcpromo das Active Directory replizieren. So wird das gemacht. Gruss Jan

Zau - ber - haft :D :jau: :D Besonders der Yakuza mit Sonnenbrille und dieser Skater-Mütze :cool:

OK, alles weitere dann per PN / Mail