andrew

Thema Audit Ja, wir hatten schon mal vor noch nicht langer Zeit einen Fall, wo Jemand, wer auch immer, warum auch immer, an einer AD-Gruppe Änderungen vorgenommen hatte. Ich vermute, es war Jemand von meinen Vorgängern, welche unsere Firma vor kurzem verlassen hatte und nun einen Rache Akt obere mehrere auf uns plant und oder bereits umgesetzt hat und was mache ich als Leiter IT? 1. Diese Situation habe ich bereits der der zentralen IT vor Monaten gemeldet. Dies habe ich bereits auf Grund eines ähnlichen Vorfalls schon vor Monaten via Support Ticket tun müssen. 2. Als ich die IT darauf angesprochen hatte, Sie müsse Ihr AD bzw. unsere OU inkl. den zig Unter OUs Monitoren, hies es: wir können AD-Änderungen nicht weltweit für zig angeschlossene Gesellschaften loggen, da das enorme Speichervolumn bräuchte. 3. Darum gab es vor wenigen Monaten ein Update der IT Security Policy: da steht drin, dass nun jede Gesellschaft ein Logsystem anschaffen müsse und nach Vorgaben selbst zu konfigurieren habe. 4. Dieser Punkt wie noch weitere, ganz viele IT Security Optimierungen erfordern Zusatz Manpower. Diese wird mir aber auch nicht von heute auf Morgen zur Verfügung stehen können,. Weil das Mail, welche von der GL versendet wurde und diese AD Gruppe benutzte, vor wenigen Tagen eine Rundmail versendete . An jenem Tag existierte diese AD Gruppe auch noch, sonst hätte er Sie nicht als Verteiler nutzen können. Öffne ich heute das Outlook und navigiere zu dem Rundmail, sehe ich beim Feld «An» die AD Gruppe, welche ich via AD Tool Benutzer und Gruppen nicht mehr finde (wir haben n im Outlook den Cache aktiv}

Ich habe festgestellt, dass die gelöschte AD-Gruppe ALLE Mitarbeitenden beinhaltet hatte. Diese Gruppe wurde nämlich vor kurzem auch von der GL verwendet, um ALLE Mitarbeitende über etwas zu informieren und wenn ich nämlich von dieser Gruppe via Outlook die Mitglieder anzeigen will, wird Niemand angezeigt.

Danke für die rasche Antwort. Recycle Bin für AD? Ok, das AD läuft bei. Er zentralen IT, dann werde ich mein Anliegen dort plazieren. Hierfür braucht es welche Rechte im Minimum? Wir sprechen davon, eine AD Gruppe löschen zu können. Nach meinem technischem Verständnis braucht es hierfür Domain Admin Rechte oder? Wieso denn nicht? Nach meinem Verständnis haben dadurch ALLE User*innen automatisch wieder Berechtigungen auf Ihre Laufwerke bzw. würden diese wieder automatisch verbunden bekommen, das wäre das Ziel inkl. deren persönliches Laufwerk, welches Sie im Moment auch nicht verbunden bekommen. Cheers André

Hallo zusammen Ausgangslage Gestern bzw. Vorgestern, am Freitag Abend, 07. Juli als ich per remote im Homeoffice arbeitete, wurden meinem 08:15 AD User beim Verbinden mit VPN noch alle Laufwerke wie immer verbunden (gemappt). Am Samstag, 08. Juli, als ich wieder im Homeoffice arbeitete, stellte ich nach erfolgreicher, hergestellter VPN Verbindung fest, dass plötzlich eine PW Abfrage erschien. Als ich mein AD Passwort eingab, erhielt ich trotzdem keinen Zugriff auf meine rot gekreuzten Laufwerke im Datei Explorer. Fehleranalyse Ich begann, das Problem einzugrenzen und stellte fest: - Dass ich via Homeoffice plötzlich einen Tag später, also am Samstag keinen Zugriff mehr auf meine Laufwerke hatte, lag NICHT an der VPN Verbindung, denn als ich mich auf einen virtuellen PC mit Windows 10 mit einem Test AD User einloggte, erhielt auch dieser KEIN einziges Laufwerk mehr über, nur das lokale Laufwerk C:\ war im Datei Explorer zu sehen. - dann verwendete ich einen AD User eines zukünftigen IT-Mitarbeiters von uns, loggte mich mit seinem AD User am virtuellen Windows 10 PC ein und stellte auch fest, dass auch diesem kein Laufwerk mehr verbunden wurde. Zwischenfazit - Mehrere AD Benutzer verwendet (aus unterschiedlichen Bereichen) - an unterschiedlichen Maschinen getestet (mein physikalischer PC via VPN) und via einen virtuellen PC mit Windows 10, an welchem ich mich mit unterschiedlichen User anmeldete, übrigens auch mit meinem pers. AD 08:15 User Weitere Erkenntnisse - Ich habe mir das DFS Verwaltungstool gestartet und stellte fest, dass auf der obersten Hierarchie im Reiter Share Permission von den 3 hinterlegte AD-Gruppen bei einer nur noch die SID S-1-2-3-4-5-.x-y-z angezeigt wird. - Dann prüfte ich noch den Home Folder (auf der obersten Ebene) welcher das Homeverzeichnis aller User*innen beinhaltet und stellte auch da fest, dass von den 3 hinterlegten AD Gruppen ebenfalls bei einer AD Gruppe nur noch die SID SID S-1-2-3-4-5-.x-y-z angezeigt wird. Fazit > AD Gruppe wurde gelöscht?! Ich bin der Meinung, dass hier Jemand, wer auch immer und wie auch immer, eine AD-Gruppe gelöscht hat oder hatte, nach meinem Verständnis müsste dies zwischen Freitag, 07. Juli und Samstag, 08. Juli passiert sein. Frage 1. Kann man irgendwie herausfinden, welche Gruppe ursprünglich hinter der noch vorhandenen SID AD Gruppe vorhanden war bzw. wie der AD Name der Gruppe ursprünglich lautete? Da diese anscheinend einerseits zwecks Share Permission auf dem DFS Share benutzt wurde und andererseits auch auf dem übergeordneten Home Folder (Share Permission) muss nach meiner Analyse dies der Grund sein, warum kein AD User Stand jetzt KEINEN Zugriff mehr auf kein einziges Laufwerk mehr hat und dieser Umstand zwingend behoben werden muss, bevor der Montag beginnt, ansonsten wird wohl das Desaster gross sein, wenn kein einziger Mitarbeiter mehr seine Laufwerke angezeigt bekommt - im Datei Explorer. 2. Gibt es eine Möglichkeit, dass ich mit einem PowerShell Skript auslesen kann, wer sich auf unserem Mitgliedserver lokal sowie auch remote eingeloggt hat, um dort ggf. die Active Directory Konsole starten zu können, um schlussendlich auch die von mir genannte AD-Gruppe zu löschen? Gemäss diesem MS Artikel hier müsste ich/ man sicher folgende Dinge via PowerShell in Erfahrung bringen 1. Windows Logs/ Security wäre der entsprechende Punkt in der Ereignisanzeige, welcher man im Skript einbeziehen müsste und des Weiteren dann noch 2. die Event-ID 4624 (Logon) 3. Der Anmeldetyp 2 wäre wohl der zu suchende Wert, wenn man wissen möchte, welche Person sich physikalisch bzw. via RDP am Mitgliedserver eingeloggt hat oder? Ich hoffe schwer, dass ich hilfreiche Inputs erhalte. P.S. Spricht etwas dagegen, auf einem DFS Share (NICHT NTFS seitig, sondern Share seitig) jeder (everyone) vertibt, anstatt auf Seite Share Permission einzelne Gruppen zu berechtigen mit unterschiedlichen Berechtigungen? Mit der gleichen Frage ziele ich auch auf das Thema ab, einen Home Folder auf der obersten Ebene auf Seite Share Permission so zu berechtigen, nämlich, dass man jeder oder everyone mit Änderungsrechten versieht, denn nach meinem technischen Verständnis werden schlussendlich die Berechtigungen via NTFS gesteuert, da verstehe ich nicht wirklich, warum meine Vorgänger auf Share Seite diverse Gruppen mit unterschiedlichen Berechtigungen vergeben haben oder hatten. cheers André

Nehmen wir das zusätzliche Abteilungspostfach Support.xyz@unsereFirma.com als Beispiel: Damit ich und meine IT-Abteilung nun neu via diese Support Adresse erreichbar sind, habe ich im Active Directory einen 08:15 User eingerichtet und diesem ein Exchange Postfach zugewiesen. Wie muss ich nun Step by Step vorgehen (welche Schritte sind nun noch zusätzlich notwendig), dass ich A: auf eine Mail im Support Postfach antworten kann und beim Versenden des Mails dann keine Fehlermeldung erhalte. Zur Erinnerung: ich öffne das M365 Outlook, gehe auf den Menüpunkt Optionen/ Von und blende somit dadurch das Drop-Down Menü "Von" zusätzlich im Outlook ein, damit ich sagen kann: Die Absenderadresse ist nun nicht meine pers. Geschäftsadresse, sondern Support.xyz@unsereFirma.com. B: Die Mails unter gesendete Objekte des Support Postfachs abgelegt werden und NICHT unter gesendete Objekte meiner pers. Geschäfts Mailadresse. Wie kann ich selber per Outlook, wenn wir bei unserer Beispiel Mailadresse Support.xyz@unsereFirma.com bleiben, meinem User auf diesem Postfach Vollzugriff vergeben? Bemerkung: Wenn dies auf irgend eine Art geht oder möglich sein sollte, dann nach meinem technischen Verständnis nur via M365 Outlook, Punkt Datei/ Konteneinstellungen/ Zugriffsrechte für Stellvertretung/ hier gewünschten User hinzufügen und via Punkt Berechtigungen beim Punkt Posteingang die Rolle Bearbeiter eingeben, korrekt?

Guten Tag zusammen Ich arbeite in einem internationalen Unternehmen mit einer zentralen IT Anlaufstelle. Wir haben die Situation, dass verschiedene Leute (diverser Abteilungen) wie auch unser IT-Team selbst so genannte Abteilungspostfächer im Einsatz haben. Vorab: Wir haben noch, mit Betonung auf noch kein eigenes Helpdesk Tool Als Beispiel: unsere interne IT Support Adresse lautet z.B. Support.xya@unsereFirma.com. Diese habe ich vor kurzem neu eingerichtet (im AD einen 0815 Benutzer angelegt und diesem ein Postfach zugewiesen) Damit wir in unserer eigenen IT- Abteilung hier bei uns im Outlook eine zweite Mailadresse haben und die Support Fälle pflegen können, damit die Mitarbeitenden uns nicht direkt per Mail auf unsere persönliche Geschäftsadresse kontaktieren, sollen Sie ab sofort immer an Support.xyz@unsereFirma.com mailen. Absender Adresse Support.xyz@unsereFirma.com > braucht das Exchange Recht "im Auftrag senden als" (ist erwünscht) Wenn ich/ wir in unserem Outlook auf eine Mail klicken, welche nicht in meinem persönlichen Postfach liegt, sondern im Support Postfach und ich darauf antworte, bedeutet dies aus Exchange Sicht, dass ich als Absenderadresse Support.xyz@unsereFirma.ch verwende und mein 08:15 AD User, mit welchem ich an meinem PC eingeloggt bin, mit diesem User, auf dem Postfach Support.xyz@unsereFirma.com z.B. mit der Postfachberechtigung "senden im Auftrag von" berechtigt werden müsste! Frage an euch Wenn nun die zentrale IT sagt, wir berechtigen grundsätzlich NICHTS direkt auf unseren Exchange Server, weil die dort sagen: Ihr müsst alles immer selber via Outlook berechtigen (z.B. Stellvertretungen vergeben"). wage ich zu behaupten: Es gibt nach meinem technischen Verständnis keine Möglichkeit, dass ich via mein Outlook z.B. nun technisch die Möglichkeit habe oder hätte, für das Postfach Support.xyz@unsereFirma.com die Postfachberechtigung "senden im Auftrag von" auf diesem Postfach zu vergeben (für meinen 08:15 User), damit ich ich Namen von Support.xyz@unsereFirma.com eine Mail versenden kann Und: Dass die Mails dann unter gesendete Objekte im Support.xyz@unsereFirma.com Postfach landen und nicht bei mir unter gesendete Objekte in meinem Postfach. Geht das, kann ich die Postfachberechtigung z.B. "Senden im Auftrag von" selber via Outlook für ein Abteilungspostfach vergeben, Ja oder Nein und wenn ja, wie funktioniert dies? Als Ergänzung: in meinen früheren Tätigkeiten hatte ich stetes selber Zugriff auf die Exchange Server und hatte immer direkt via Exchange Shell die Berechtigungen vergeben und nicht alles den Usern "abgeschoben". cheers André

Hallo Admin66 Danke für die Inputs. Ich gehe jetzt nicht auf jeden, von dir genannten, einzelnen Punkt ein, da mir diese Punkte nicht fremd sind. Vielleicht zu deinem ersten Satz: Das weiss ich sehr wohl, nur wenn Du als IT-Zuständige Person für ein paar Hunder Leute zuständig bis - alleine, dann bist Du, ist man, bin ich sehr, sehr vorsichtig mit PW ändern, warum? Wenn der Worst Case Eintritt und geändertes PW von meinen schlauen Vorgängern irgendwo bei einem Dienst, bei einem Task oder was weiss ich wo hinterlegt wurde (was man normalerweise früh lernt, nie zu machen > Admin User für solche Zwecke hinterlegen) und dann plötzlich nicht mehr und oder hat weiterführnde folgen und Du/ man/ Ich sollte dann nebst dem Daily Business auch noch solche Problemen dann auf den Grund gehen und lösen, wo man doch schon sowieso keine Zeit für gar nichs hat und Ende Woche mehr Pendenzen hat als Anfang Woche, weil das IT-Team auf grüner Wiese neu aufgebaut werden muss und dies nicht von heute auf Morgen passiert, habe ich absichtlich mit solchen Dingen gewarten und mich in erster Linie "nur" auf ein paar wenige Admin Accounts konzentriert, wo ich wusste, da kann nichts schief gehen, wenn ich diese ändern, z.B. den lokalen Admin user für den vCenter Zugriff. Stand Heute habe ich meinen ersten IT-Supporter anstellen können, seit wenigen Wochen ist es Vollgas im Einsatz. Jedoch, sollten wir eigentlich für unsere Grösse für mein Verständnis Minimum 4 Leute sein - besser 5 Leute. - 2 IT Supporter - 2 System Engnineers, welche sich einigerseits um unsere Haus internen EDV Strukturen (ESX Cluster) kümmern (wir haben im Moment eine externe Firma, welche sich "nur" um die ESX Infrastruktur kümmert > nicht aber um die vielen VMs, welch da drauf laufen). Die 2 System Engineers sollten auch im Bereich Security sehr bewandert sein, weil die welweit verstreuten Gesellschaften durch die zentrale IT im Bereich Security 1x jährlich auditiert werden Und: Schon nur, was es in diesem Bereich zu erfüllen gilt, was an Dokumentationen hierfür fällig sind, was an Infos aus div. Systemen für die Audit Menschen an Infos vorbereitet und von denen ausgewertet werden muss/ sollte, ist Monster mässig Und: schon nur für das jährliche Security Audit könnte ich ohne Probleme 1 Mensch 100% Vollzeit beschäftigen, damit dann beim nächsten Security Audit auch die gewünschten Infos in der Form zur Verfügung stehen, wie Sie sollten. Das Thema Person Rekrutierung ist schwierig und man steht mir beim Aufbau der IT-Abteilung zur Verfügung, unterstützt mich, will aber nicht, dass ich nun auf einen Schlag gleich 4 Menschen anstelle. - ein weiterer IT-Supporter kommt dann im Spätsommer, dann wären wir dan 3 IT- Menschen - inkl. mir Zurück zum Thema: Alle genannten Punkte werden ein Thema sein und werden aufgebessert, geändert usw. Dies neben dem Daily Business, wo ich meinen neuen Mitarbeitenden noch sehr viel unterstützen müssen, weil wir ein sehr komplizierter Betrieb sind und sehr viele Themen auf einen neuen Stand gebracht werden sollten, auch die Digitalsierung ist ein grosses Thema. Aber wenn ich/ wir nur am Feuer löschen sind, da hast Du schlicht und ergreifend keine Zeit, nebenben noch Strategien und Visionen ausztuarbeiten, so wie es sich normalerweise für einen IT-Leiter gehört :-( > im Moment noch, aber wir kommen vorwärts und sind den Mount Evererest Pendenzen Berg am Abbauen Wünsche allen einen sonnigen Tag und Weekend, geniesst und vergesst das Leben da drauen nicht, denn das Leben findet draussen statt cheers Andrew

das sehe ich auch so.

Hey, Danke vielmal. Als ich den Artikel geöffnet hatte, habe ich schnell den Eindruck erhalten, dass dieser Artikel wirklich sehr viel versprechend aussieht. Den werde ich heute noch genau unter die Lupe nehmen ;) Ok, danke für den Input. Gibt es einen Grund, dass diese nicht älter als ausgerechnet 29 Tage sein sollen?

Hallo zahni Frag doch meine Vorgänger, welche die ganze IT eingerichtet hatten? Als ich angefangen hatte, wusste ich, dass das bestehende IT-Personal die Firma verlassen wird und dass ich, als gesuchter IT-Leiter dann alleine sein werde Und: Dass ich auch sofort anfangen muss, eine neue IT- Abteilung aufbauen zu müssen/ wollen, weil man als einzige Person sehr schlecht den ganzen Betrieb für zig hundert Leute aufrecht halten kann, was ich aber bereits seit Monaten tun muss, auf Grund der personellen Situation, für welche ich leider auch nichts dafür kann. Die Infrastruktur ist anscheinend vom einem System Engineer, welcher wie erwähnt, die Firma auch verlassen hat, aufgebaut und ich würde meinen, sein Wissen war wohl nicht über ALLE Zweifel erhaben, sonst hätte man nicht einen virtuellen Server gebaut, auf welchem zig verschiedene Dritthersteller Software (und Datenbanken) eingerichtet sind. Denn wenn das passiert, was vor kurzer Zeit bei uns passiert ist, wenn eine solche, eierlegende Wollmilchsau zurückgesetzt wird, dann sind alle Daten, von allen Systemen auf diesem Server gleichermassen betroffen, was nicht wirklich sexy ist! Diese Feuerwehraktion, dafür sorgen zu müssen, dass der Server wieder funktionsfähig wird mit möglichst wieder einem aktuellen Datenbestand, wünsche ich Niemandem! Dazu kam natürlich noch, dass ich währende der Datenrettung an jenem Tag und auch Tage danach noch die ganze Zeit mit Anfragen konfrontiert wurde im Sinne von: Ich habe dann noch eine Mail gesendet am Tag X, hast Du diese noch nicht gelesen? Was läuft jetzt bei meinem Problem X usw. Nicht gerade das, was man sich wünscht. Doch, das aktuelle Backup konnte ich wiederherstellen und der Server läuft nun wieder, alle Lohndaten sind wieder da, alle Daten für programmierte Schlüssel in Bezug Schliesssystem sind wiederhergestellt worden usw. Insofern, alles gut. Die Frage ist, wie kann ich/ wir ein solches Horror Szenario in Zukunft wieder verhindern, weil mir anscheinend bis heute noch immer Niemand mitteilen kann oder konnte, warum und wieso dieser Fall passiert war, als ich notabene einmal kurz 1 Woche Ferien nehmen wollte. Am Schluss war ich dann halt mehrheitlich in meiner 1 Ferienwoche am Arbeiten, nichts mit Ferien. Komisch, dass dieser Vorfall genau dann passiert, wo ich endlich mal nach zig Überstunden arbeiten - monatelang, einmal, das erste Mal 1 Woche Ferien wollte. Es gibt manchmal im Leben schon sehr merkwürdige Zufälle? Am zweiten Ferientag gab es dann eben diesen Knall und man kontaktiere mich in meinen Ferien, sehr unschön! CJ_Berlin hat ja weiter oben grossspurig argumentiert, es sei keine grosse Sache, herausfinden zu können, von welcher IP Adresse aus die Verbindung auf den vSphere Client gemacht worden war. Wenn es so einfach ist, aus welchem Grund sollte man mir diese Information vorenthalten? Im Wissen, dass hier Jemand gerade einen krassen Sicherheitsvorfall hatte und genau über eine solche Information sehr dankbar wäre? Das ist es doch nur naheliegend und menschlich, dass man versucht, einer solchen Person auch die Infos geben zu wollen, im Sinne von, wenn es hilft, dann umso besser und nicht mit Argumentationen um sich wirft, wir sind ein Forum auf freiwilliger Basis, wir helfen hier nur den Hobby Informatikern, welche in Ihrer Hobby Umgebung ein Problem haben und wenn Du in einer produktiven Umgebung ein Problem hast, dann such doch einen kostenpflichtigen Partner, ich sage dazu: Danke für diesen sehr wertvollen Tipp, darauf wäre ich selber nun gar nicht gekommen.

Genau, der Snapshot wurde mit einen Administrator Login ausgeführt, welches nicht personifiziert ist, heisst: Diese Erkenntnis bringt mich als IT-Leiter wie auch meine Firma und oder die Security Leute wohl nicht zum Ziel? Würde diese Tatsache den Security Leute von Deutschland (Mutterhaus IT des Konzerns) weiterbringen, welche von mir/ unserer Gesellschaft denen gemeldet wurde, so wäre wohl längst unsere GL informiert worden im Sinne von: Das Administrator Login, welches benutzt wurde, um den Snapshot wieder herzustellen, wurde durch die Person X vom PC Y aus verwendet. Eine solche Erkenntnis wurde uns noch nicht zurückgemeldet, darum muss ich davon ausgehen, dass man noch immer nicht weiss, welche Person das Administrator LOGIN im vSphere Client verwendet hat, um diesen Snapshot zu wiederherstellen. cj_berlin: Danke für diesen sehr hilfreichen Input. Von wegen analytischem Geschick: Hier sind konkret Produkt spezifische Kenntnisse von VMware gefragt, damit man konkret auch wissen kann: in einem solchen Fall musst man Troubleshooting betreiben im Event x unter Punkt Y das Monitoring X von VMware unter Punkt Y usw. Kennt man nur sehr oberflächlich wie ich das Produkt VMware vSphere Client, findet man entsprechend auch nur das, was man so beim "herumklicken" an "interessanten" Punkten in Erfahrung bringen kann wo man denkt: ok, dieser Event LOG hier müsste wohl mehr Aufschluss geben oder: Ahaaa, hier gibt es noch eine interessante Anlaufstelle, mal schauen, was da so an LOG Infos vorhanden sind und was diese mir erzählen wollen Und: Genau auf diese Art und Weise habe ich auch heraus gefunden, dass A: Der uralte Snapshot vom Monate alten Datum X wurde zurückgeholt B: unter welchem LOGIN wurde der Snapshot zurückgesetzt Aber C;, von welcher IP Adresse aus dieser Task angestossen wurde, das weiss ich nicht, wie ich das im vSphere Client herausfinden kann, Du cj_berlin weisst es anscheinend oder deute ich deine Argumentation falsch? Wie auch immer, wenn mir Jemand verraten kann, in welchem LOG ich eine solche Information finden könnte, mache ich mich auf die Suche > jetzt! Lieber Nils Da hast Du wohl was überlesen und oder nicht verstanden: Der Kunde sind wir, eine Gesellschaft von ganz vielen, welche weltweit verteilt sind Und: wir Gesellschaften gehören alle zum gleichen Konzern. In dem weltweiten Konzern, in welchem ich arbeite, gibt es in Deutschland eine IT Firma, welche als zentrale Stelle für alle Gesellschaften aktiv ist. Wir alle, die Gesellschaften, welche zu diesem weltweit tätig aktiven Konzern gehören, beziehen verschiedene Dienstleistungen wie zum Beispiel div. Software oder beispielsweise wird auch unser Netzwerk durch die zentrale IT via Monitoring überwacht. Manche Gesellschaften, welche weltweit über die ganze Welt verteilt sind, haben wie unsere Gesellschaft, hier in der Schweiz, selber, eine lokale IT. Ich bin der IT-Leiter dieser Gesellschaft hier in der Schweiz. Wenn irgend ein Konzern spezifisches Programm nicht funktioniert, dann müssen wir z.B. ein Support Ticket bei der zentralen IT in Deutschland eröffnen. Diese dort machen 2nd und 3rd Level Support. Die zentrale IT ist der Ansicht, dass wenn eine Gesellschaft selber eine IT vor Ort hat, wie das bei uns der Fall ist, da ich ja der IT Leiter bin, müssen wir selber bei uns First Level Support betreiben. Bei diesem Sicherheitsvorfall, wie ich Ihn persönlich nenne handelte ich sofort, informierte unsere GL und verlangte von der GL, dass diese wiederum sofort die Security Abteilung bei der zentralen IT in Deutschland aktiviert, was auch geschah und es wurde eine Notfall MS Teams Sitzung einberufen mit einem IT Security Verantwortlichen und ein paar Technikern, welche dann via Frage und Antwort Spiel in einem ersten Schritt versuchten, heraus zu finden, ob unsere IT hier in der Schweiz möglicherweise Opfer eines Hackerangriffs wurde, welcher durch extern, sprich, via Internet erfolgt wurde. Da ich aber seit Monaten als einziger Informatik Arbeiter hier in der Gesellschaft in der Schweiz aktiv bin, konkret als IT-Leiter und zugleich auch anfallende Support Arbeiten erledigen muss, für notabene zig hundert Leute, weil ich schauen muss, dass die Neueintritte, welche es jeden Monat gibt, dass die Neueintritte ein Notebook erhalten, welches mit der notwendigen Software ausgestattet ist und alles funktioniert, bin ich derart ausgelastet, dass ich mittlerweile mit den Support Anfragen zig Wochen in Verzug bin. Bei uns existieren an 2 geografisch verteilten Orten "Rechenzentren". Das Wort ist wohl sehr übertrieben, aber trotzdem wird die Infrastruktur bei uns im Gebäude gespiegelt an das zweite RZ, welches sich geografisch auch auf unserem, sehr grossen Areal befindet. Auf Grund der sehr schlechten IT Situation in Bezug mangelndes Person ist es nur selbsterklärend, dass ich als ehemaliger System Engineer kaum Zeit aufbringen kann für die bei uns vor Ort vorhandene EDV Infrastruktur. Aus diesem Grund habe ich schon vor der Einstellung für diesen Job, vor wenigen Monaten der GL klar gemacht, sollte ich eingestellt werden, wir dringend anfangen müssten, weiteres IT-Personal zu suchen, was auch sofort geschah. Nur leider regnet es IT-Supporter als Beispiel nicht einfach so vom Himmel und so ist es weiter nicht erstaunlich, dass ich nun nach Monaten erst meinen ersten IT-Supporter anstellen konnte und jetzt, man glaubt es kaum, sind wir schon zu zweit. Und die gute Nachricht ist, in wenigen Monaten kommt nochmals ein IT-Supporter dazu, welcher auch schon Erfahrung hat in Bezug Server Migrationen usw. und mich sicher auch im Server Bereich unterstützen kann. Zu deiner Frage, Nils, wegen dem Bakups: Ich war in der Lage, für alle Dritthersteller, für jede Software, eine sehr aktuelle Datenrettung zu machen. Somit haben wir "nur" genau Tag an Daten verloren.

Guten Morgen allerseits Situation 1. Von der IT war Niemand im Geschäft, 2. Niemand von der IT hatte per remote aus dem Homeoffice gearbeitet, da die IT Ferien technisch abwesend war. 3. Es besteht oder bestand auch nie die Möglichkeit, dass man hätte von extern irgendwie auf das Firmennetzwerk zugreifen können, da nach meinem Wissensstand keine Server per remote zugänglich sind oder wären. 4. Wenn eine externe Firma einen Zugriff auf ein Server System braucht, weil Sie z.B. Ihre Software Lösung updaten müssen/ die Konfiguration anpassen, dann muss jede, externe Firma uns anrufen und wir lassen Sie per Team Viewer drauf. 5. Punkt 3 & 4 gilt auch für unseren, externen Informatik Partner. Auch diese haben gemäss eigener Aussage keine Möglichkeit, unbeaufsichtigt auf irgend ein Server System und oder einen PC per remote ohne Einwilligung zuzugreifen. (Sicherheit) Vorfall ist passiert Am Tag X, am Morgen früh, meldet sich die Personal Verantwortliche bei der Verantwortlichen Person der IT-Abteilung und meldet, dass Sie im Lohnsystem nur noch den Stand hätte, welcher Monate zurück liege. Bald merkte man auch, dass die Zeit Stempelungen nicht stimmen, dass man auch hier einen Stand vorfand, welcher Monate in der Vergangenheit lag. Das "Unheil" nahm seinen Lauf und leider merkte ich schnell, dass der virtuelle Server X betroffen sein musste. Schnell versuchte ich mich per RDP auf den Server zu verbinden, was mir aber nicht gelang (eine Fehlermeldung erschien, welche mir nicht geläufig war und ich wurde stutzig) Als ich mich im vSphere Client der VMware Infrastruktur einloggte und für den besagten, virtuellen Server X die Remote Konsole innerhalb des vSphere Clients startete, um mir endlich Zugang auf den Server verschaffen zu können, staunte ich nicht schlecht, als ich folgende Meldung sah "Die Vertrauensstellung zur Domäne ist nicht mehr vorhanden > sinngemässe Übersetzung" Eine Bemerkung zum Thema "Die Vertrauensstellung zur Domäne ist nicht mehr vorhanden": Ich habe beim Mutterhaus in der IT-Abteilung (wir sind eine weltweit, tätige Firma mit zentraler IT- Verwaltung in Deutschland) und eigener IT vor Ort, hier in der Schweiz) schon seit Monaten ein offenes Support Ticket, wo ich die Problematik wegen der Vertrauensstellung bei uns lokal im LAN festgestellt hatte, der zentralen IT in Deutschland gemeldet. Bis heute hat man nur Vermutungen, an was es liegen könnte, hat aber die Ursache dieses Problems noch nicht herausgefunden bzw. versucht, mit der lokalen IT der Schweizer Gesellschaft, in welcher ich tätig bin, zusammen zu arbeiten, um, möglichst schnell dem Problem auf den Grund zu kommen. Der Punkt ist, dass nämlich seit Monaten sporadisch mehrere Mitarbeitende mit Ihrem Notebook zu uns in das Büro laufen und sagen, Sie könnten Sie nicht mehr im System einloggen. Analysiert man das Problem, stellt man/ ich jeweils schnell fest, dass jeweils diese betroffenen Geräte die Vertrauensstellung zur Domäne verloren haben. Innerhalb von 3 Monaten habe ich bis jetzt, grob geschätzt rund 20 Notebooks aus dem genannten Grund aus der Domäne entfernen müssen, in die Arbeitsgruppe aufnehmen, das entsprechende, AD Computerkonto aus der Domain löschen, das AD Computer Konto wieder neu erstellen und den PC wieder in die Domain aufnehmen. So, nun habe ich kurz ausgeholt, um euch aufzeigen zu können, dass die Sache mit der Vertrauensstellung bei uns im LAN (Kommunikation der Clients zu den DCs in Deutschland) anscheinend ein Problem hat. Wenn ich bei einem PC die Vertrauensstellung Problematik gelöst habe, dann lässt dieser PC unserer IT Minimum 30 Tage lang in Ruhe Und: Es kam auch tatsächlich schon vor, dass es Notebooks gab, welche innerhalb von 3 Monaten schon mehrmals betroffen waren Und: Leider war nun auch plötzlich ein Server betroffen, auf welchem leider viel zu viel Software (Datenbanken) der unterschiedlichsten Hersteller installiert sind, was absolut schlecht ist und NICHT der Fall sein dürfte. Es ist auch geplant, diesen Umstand möglichst schnell ändern zu können, jedoch versinken wir, die IT in Support Fällen und haben hierfür im Moment, mit Betonung auf "im Moment" keine Zeit. Auswirkungen "Sicherheit" Vorfall Zum Thema zurück: Wir halten fest, die Situation war also so, dass der virtuelle Server X, warum auch immer, durch wen auch immer, nach meinem technischen Verständnis auf den Stand X zurückgesetzt wurde > via einen Snapshot, welcher zufälligerweise genau für diesen Server noch vorhanden war. Das heisst, wie oben beschrieben, ich kam per RDS nicht mehr auf den Server, konnte mir also nur noch via Remote Konsole des vSphere Clients Zugang zum Server verschaffen und stellte wie soeben geschildert fest, dass bei uns in der Firma plötzlich nun auch der erste Server mit diesem Problem betroffen ist oder war (Vertrauensstellung Problematik). Langer Rede kurzer Sinn oder umgekehrt, ich musste bei diesem Server auch gleich vorgehen wie bei einem Client, welcher die Vertrauensstellung zur Domain verloren hatte, nämlich den Server aus der Domain entfernen und schlussendlich wieder neu in die Domain aufnehmen. So, als ich den Server wieder in die Domain aufgenommen hatte, konnten auch verschiedene Systeme wie z.B. ein Schliesssystem oder was auch immer, wieder korrekt mit dem Server kommunizieren, da ja der Server wieder korrekt in der Domain integriert war. Hackerangriff ? Die Fehleranalyse von meiner Seite ergab also, dass Jemand, eine unbekannte Person, ein Virus, ein Mechanismus, wer auch immer, dafür gesorgt hat, dass der betroffene, virtuelle Server, leider mit zig Dritthersteller Software ausgestattet (zig verschiedenen Datenbanken), ich behaupte jetzt einfach mal, böswillig auf den leider vorhandenen, uralten Snapshot zurückgesetzt wurde. Als ich in den Events LOGs des vSphere Clients recherchierte, fand ich einen Eintrag, wo stand, Reverte Snapshot xy (eben der Snapshot, welcher sehr veraltet war). Die Folge war klar: Ich musste in enger Zusammenarbeit mit allen Drittherstellern eine Datenrettungsaktion starten, damit jedes System (Lohn System, Schliesssystem, Zeit System usw.) wieder einigermassen auf einen aktuellen Stand gebracht werden konnten (es ging glaube ich höchstens 1 Tag verloren) Wie kann es sein, dass bei uns in der Firma ein virtueller Server von alleine auf einen alten Snapshot zurückgesetzt wurde, was für Möglichkeiten gibt es technisch, damit dies geschah oder welche, technische Umstände können dazu führen? Dieser "Sicherheit" Vorfall war für unsere IT sowie die ganze Firma der absolute Horror, der absolute Super Gau, was nie und nimmer hätte passieren dürfen. Die Security IT Abteilung des Mutterhaus in Deutschland wurde umgehend informiert und diese sind nach wie vor am Prüfen, was bei uns im Netzwerk alles "schief" läuft. Bis jetzt lautete das Fazit in einem Satz zusammengefasst: Die Sache passierte durch eine Verkettung unglücklicher Umstände. Ich habe jahrelang als System Engineer gearbeitet und behaupte folgendes: Für mein technisches Verständnis können nur folgende Umstände dazu führen, dass ein virtueller Server in der VMware Infrastruktur sich "selbständig" auf einen alten Snapshot zurücksetzt: 1. Szenario 01: Ein ehemaliger Informatik Arbeiter, welcher NICHT zum IT-Leiter befördert wurde, wollte der Firma einen Seitenhieb verpassen und hat mir, dem neuen IT-Leiter der Firma den Aufbau und die Einarbeitung absichtlich erschweren wollen und hat diverse Dinge verändert und oder "Stolpersteine" eingebaut und hat irgendwo, irgendwie einen Task hinterlegt, welcher am Tag X diesen Snapshot des Servers wiederherstellen soll. 2. Szenario 02: Der ehemalige Mitarbeiter hat noch immer, auf welches System auch immer, einen remote Zugang (z.B. via Team Viewer oder welches remote Programm auch immer), damit er jederzeit uns das Leben schwer machen kann (aus der Ferne) 3. Szenario 03: Wir haben einen Virus im Netzwerk, welcher in der Lage ist, solche Dinge zu tun. Ich hoffe, es gibt unter euch Server Spezialisten auch Leute, welche im Bezug Security einiges auf dem Kasten haben, welche vielleicht auch im VMware zertifiziert sind und mir hoffentlich plausibel erklären können, wie es in unserer Firma zu diesem Vorfall kommen konnte und noch wichtiger: Wie wir einen solchen Sicherheitsvorfall in Zukunft verhindern können. Ihr werdet jetzt sagen: Ändere sofort ALLE Passwörter! Ich sage: Ja, würde ich sehr gerne, nur wir sind aktuell nur zu zweit, mein neuer Mitarbeiter hat vor wenigen Tagen angefangen und wir versinken zurzeit in der Arbeiten und sind Tage/ Wochen in Verzug mit der Abarbeitung von Support Fällen Und: Wenn ich/ wir jetzt die tausend Passwörter im KeePass in ein anderes, Passwort Programm migrieren möchten, so wäre dies wohl ein Mega Aufwand und könnte nicht rasch geschehen, aber ich lasse mich gerne eines besseren belehren! Denn wenn man Passwörter ändern will, wenn man administrative Berechtigungen einschränken will, so muss man auch auf reagieren können, falls ein System plötzlich nicht mehr tut, sei es nun, weil irgend ein Dienst mit einem User versehen ist, welcher dann durch die PW Änderung betroffen sein könnte oder wie auch immer. Als Ergänzung: Ich stellte auch fest, dass unter anderem an Active Directory Gruppen Änderungen vorgenommen wurden und dazu führen, dass urplötzlich die Geschäftsleitung keine Zugriffe mehr auf unsere Dateiserver hatte (lokal, eingerichtetes DFS System). Dieser Sicherheitsvorfall ist nun mittlerweile rund 2 Monate oder so her und es hört nicht auf, wie Ihr lesen könnt. Als ich dies festgestellt hatte und in den AD Attributen der betroffenen AD Gruppe feststellte, dass an dieser eine Änderung vorgenommen wurde zu einem Zeitpunkt, wo Niemand von der IT am Arbeiten war und Zugriff vom Homeoffice auf das Firmennetzwerk hatte, teilte mir das Mutterhaus IT in Deutschland unserer lokalen IT hier in der Schweiz mit: Leider müssen wir Ihnen mitteilen, dass wir aktuell solche Active Directory Änderungen an AD Gruppen NICHT aktiv loggen. Wäre dies geloggt worden, hätte man nämlich jetzt nebst dem genauen Zeit Stempel, wo eine Änderung an einer AD Gruppe vorgenommen worden war, auch den User ausfindig machen können, also den LOGIN Namen, unter welchem diese Änderung an diesem AD Gruppenobjekt vorgenommen worden wäre! Bitte um Hilfe, Danke. cheers André

Ja, habe was gelesen, dass man für Server noch ein Add-In braucht oder ggf. wie Du schreibst, Defender for Cloud. Aber mal abgesehen davon, wie bekomme ich es hin, wenn ich nun meinen Windows 11 PC onboarden möchte? Mein NB mit Win11 (glalbe Prof.) ist im meiner AD onprem. Ich habe für meine IT zu Hause (noch) nichts mit Azure zu tun gehabt. Die von mir genannten Anleitungen/ Links wären doch richtig, nach meinem Verständnis und eben, zurück zu meinem Problem und den dazu gehörenden, geposteten Screenshots. Eine Idee, was bei mir schief läuft? Cheers André

Hallo zusammen Da in meiner internationalen Firma gerade das Thema ist, unsere Gesellschaft soll ALLE Clients (ein paar Hundert) onbarden, damit diese neu im Online Monitorong Tool der Firma (zentrales Monitoring für ALLE, weltweit, verteilten Gesellschaften) erscheinnen, dachte ich, es wäre doch durchaus interessant, meine IT-Infrastruktur (Physischer Hyper-V Host inkluusive ein paar VMs, DC mit Domäne und Windows 11 Client) selber auch gleich zu onboarden, damit ich die ganze Sache mit dem Microsoft Defender for Endpoint besser vestehe (mich interessiet eigentlich nur die Möglichkeit, die Clients und Server grafisch anhand eines Kuchendiagramms monitoren zu können) Was habe ich bis jetzt unternommen? 1. Microsoft Defender for Endpoint P2 Trial gelöst (musste ein Azure Konto eröffnen/ registrieren) Das Microsoft 365 Admin Center zeigt mir folgendes an: Punkt Abrechnung/ Lizenzen > Windows Defender Advanced Threat Protection > verfügbare Lizenzen 24, zugewiesene Lizenzen 1 2. Diese Seite hier gelesen, der Link ist hier > Schritt 1, identifizieren der Architektur > das verlinkte PDF Dokument geöffnet > S. 4 spannend gefunden, Titel: "Onboard devices to Microsoft Defender for Endpoint using Configuration Manager or Group Policy" 3. Und auf S. 4, Punkt 3a komme ich nicht weiter. Da steht, ich zitieren einen Teil davon ".... under settings, download a System Center Configuration Manager package, and deploy it to a predefined collection" 3b > ich zitiere "......go in to the Microsoft Defender Security Center’s Onboarding tab under settings, download a Group Policy package," Wie man im Screenshot (Punkt Einstellungen) sieht, gibt es gar nichts zum Downloaden, weder das System Center Configuration Manger package, noch das Group Policy Package (wenn man das Onboarding via GPOs machen möchte) Warum erscheinen diese Packages bei mir in den Einstellungen nicht? Da steht: "go in to the Microsoft Defender Security Center’s ...." oder bin ich hier gar nicht in diesem Microsoft Defender Security Center? Es steht auch nirgendwo, dass man irgendwelche Schritte zuvor in die Wege leiten müsse, damit diese Packages hier dann erst zur Verfügung stehen oder wie jetzt? habe nirgendwo was in diese Richtung gelesen? Ansonsten hätte ich diese Schritte natürlich in die Wege geleitet und ich hätte diesn Beitrag hier nicht extra schreiben müssen *grins* oder eher *Mist* Das sieht dann bei mir so aus, wenn ich auf Settings klicke > siehe dazu den Screenshot.

Interessante Inputs - viele Stellungnahmen zu diesem Thema, das freut mich sehr. Vielen Dank, jetzt bin ich im Bilde cheers André

Danke für die Rückmeldung: Also früher, wo ich seit Jahren als System Engineer unterwegs war und für kleine KMUs Netzwerke, AD neu erstellt usw. ADs hatte ich nie migriert, aber ich hatte nie Probleme mit AD Objekten mit Umlauten cheers André

Guten Tag zusammen Frage: Wenn ich z.B. bei Neueintritten der User beim Erstellen des AD User Objects im Anzeigename als Beispiel (oder sonst einem Feld, ausser im Benutzername) Umlaute benutze, stellt das ein Problem dar? Stichwort: Zum Beispiel, das Migrieren eines Active Directory, Auflösen von Subdomänen bzw. Zusammenführen von AD Objekten in Subdomänen in eine Hauptdomäne. Als Beispiel: Mein Vorname ist André. Wenn nun im AD Objekt im Feld "First Name" Andre drin steht, ist mir das egal und muss auch so sein, weil dann später beim Erstellen des Postfach für die neu einzutretende Person eine Policy die Mailadresse aus Vorname und Nachname zusammenfügt. Da macht es aus meiner Sicht durchaus Sinn, dass sowohl beim Erstellen des Vornamen und Nachnamen beide Felder keine Umlaute beinhalten, aber wenn im Feld Displayname die Namen so geschrieben werden, wie die Leute auch effektiv bei der Geburt benannt wurden (im Geburtsschein .eingetragen) und somit den Leuten einen positiven Gefallen getan wird, weil dann z.B. in der Mail Signatur Ihr Name auch effektiv mit Umlauten korrekt erscheint und oder auch im Outlook Adressbuch (globales Adressbuch), würde somit nichts dagegen sprechen, bei AD User Konten nur das Feld Anzeigename mit Umlauten wie gewohnt zu behandeln oder wie jetzt? cheers André

ich habe mir wirklich Mühe gegeben, das Problem möglichst umfassend zu beschreiben, korrekt Aber eben, eine Lösung dazu habe ich noch immer nicht gefunden, ist schon etwas frustrierend Ausser: Dass nun der Klick auf JA das Problem behoben hat, jedoch würde dann immer noch die Frage offen bleiben, warum poppt urplötzlich diese Meldung auf? Was mich nachdenklich stimmt ist, das sagt mir meine jahrelange Erfahrung: Wenn man bei einem komischen Phänomen via Google KEINE schlüssigen Erklärungen für ein Problem findet, geschweige dann einen Lösungsansatz, dann heisst das meistens, dass dieses Problematik NICHT oft in der Welt vorkommt und oder sie kommt bei mehrere Personen weltweit, Europaweit wie auch immer, auf, jedoch machen diese Leute das Problem NICHT publik?

Guten Morgen miteinander Wenn Ihr in diesem Post hier zu meinem Beitrag nach oben scrollt, Geschrieben Montag um 14:58 werdet Ihr den grossen, blauen Screenshot von mir vorfinden, welchen ich gepostet hatte. Einer der betroffenen Personen teilte mir soeben z.B. mit, dass er diese Meldung auch oft habe, sobald er sich gerade eingeloggt habe, was mir in der Findung der Ursache noch nicht weitergeholfen hatte. Darum versuchte ich, via Taskmanager den dafür verantwortlichen Prozess zu finden, aber auch das ist NICHT möglich, warum? Der Arbeitsplatz hat 2 Bildschirme der linke Bildschirm ist der Hauptbildschirm der rechte Bildschirm hat die Anzeige als "erweitert" eingestellt Das Pop-Up (siehe meinen Screenshot, weiter oben in diesem Post) poppt somit auf dem linken Bildschirm, also auf dem Hauptbildschirm auf. Rufe ich nun den Taskmanager auf, so poppt dieser auch auf dem linken Fenster auf. Das wäre im Prinzip noch kein Problem, jedoch verhält sich dieses Pop-Up anders, als wenn sonst ein Fenster (Drucker Fenster, Systemsteuerung, Geräte Manger usw.) im Vordergrund offen ist! Man kann, solange dieses blaue Pop-Up Fenster auf dem Bildschirm aufpoppt, NICHTs anderes auf dem gleichen Bildschirm anklicken! Der Taskmanager ist im Hintergrund, man gelangt mit der Maus NICHT zum Taskmanager und ich kann somit NICHT ausfindig machen, welcher Prozess das ist. Ich kann auch nicht die Anzeigeeinstellungen ändern, im Sinne von: neu ist der rechte Bildschirm der Hauptbildschirm, weil ja die Fenster sich immer auf dem Hauptbildschirm öffnen, somit auch das Anzeigefenster, wo man die Einstellungen für die beiden Bildschirme ändern könnte. Wenn man den Screenshot anschaut, sieht man, dass man 2 Möglichkeiten hat, zum Anklicken: JA Nein Klickt man auf Nein, so kommt das Pop-Up innerhalb eines Tages wieder öfters über den Tag verteilt plötzlich zum Vorschein. Darum habe ich heute einmal auf JA geklickt, das Fenster hat sich geschlossen und weiter ist zumindest sichtbar, für den User am Computer nichts weiteres passiert. Ich habe nun den User gebeten, mir eine Meldung zu machen, ob heute irgendwann das Pop-Up nun trotzdem wieder aufpoppt oder eben, hoffentlich nicht mehr..

Oder so, genau

Stimmt, das kann ich mal bei einem betroffenen Benutzer testen. Das kann sein. Jedoch bin ich nun Job mässig in einer Situation, wo NICHT ich für den Exchange zuständig bin, sondern eine Niederlassung unseres Konzerns, welche sich in Deutschland befindet und den Exchange für alle Niederlassungen - weltweit zur Verfügung stellt, sowie auch z.B. Anwendungen. Somit habe ich betreffend Exchange, Patch Stand usw. KEINEN Einfluss (mehr)

Ich hoffe, diesen Post lesen auch andere IT affine Personen und haben vielleicht auch noch eine Idee, - warum die Meldung aufpoppt - was der vorgeschlagene Lösungsweg ist Ich merke immer wieder erneut, wie spannend es in der IT ist - plötzlich tauchen neue Phänomene auf und Niemand weiss so ganz genau, warum und wieso

Nehmen wir mal an, es wäre so. Hast Du eine Idee, warum und wieso die Windows eigene Mail App plötzlich so penetrant, mehrmals über den Tag verteilt den oder die User mit solchen Pop-Ups nervt? Ich habe aus Sicherheitsgründen den paar wenigen User*innen mitgeteilt, dass Sie auf der sicheren Seite wäre, wenn Sie hier auf NEIN klicken Soll ich mal auf Ja und gucken, was weiter passiert?

Ciao Nobbyaushb Der Exchange steht in Deutschland, wir sind hier in der Schweiz. Gemäss Outlook (rechte Maustaste auf Outlook Symbol und gleichzeitig Taste CTRL > Befehl Verbindungsstatus, Spalte Version: 15.1.2375.33 = 2016CU22 SU Nov 2022) Manche Benutzer*innen, es sind zurzeit weniger als 5 Stück, melden, dass urplötzlich das Pop-Up auf Ihrem Bildschirm aufpoppt. Also um auf deine Frage nun zu antworten, kommt diese Pop-Up Meldung vom OS oder vom Office, sprich Outlook, muss ich Dir sagen: Ich weiss es nicht, Aber: Meine Vermutung ist, vom OS, also Windows 10 - ohne Gewähr. Anbei noch ein Screenshot, wie die Pop-Up Meldung daher kommt

Hi all Wir haben bei ein paar wenigen Rechnern hier im Geschäft, in unserer Active Directory Domain, warum auch immer, plötzlich auf div. Windows 10 Rechnern die Pop-Up Meldung (erscheint mehrmals am Tag): "Möchten Sie Ihr E-Mail-Konto hinzufügen, aktualisieren oder entfernen?" Beim Recherchieren im Internet fand ich keine plausible Erklärung, warum urplötzlich diese Meldung bei manchen auf dem Windows 10 PC aufpoppt Und: noch interessanter, was die Lösung ist oder wäre, um dieses "Phänomen" zu unterbinden, denn dieses scheint sicher seit Minimum 2018 zu existieren?!