Halford

Danke schon mal für die ganzen Anregungen, derzeit friemel ich mit Devcon rum.

@NorbertFE: die Sales Truppe hat ne Mail von mir bekommen, wenn die Antworten und bestätigen das USB Tethering da geblockt wird, werd ich mir ein Angebot schicken lassen und die Infos mit euch teilen.

Wenn jemand noch eine Idee hat, nur raus damit :-)

Cheers

Hal

Die Device Pro - Lösung von cynaps bekommt es auch nicht ausgesperrt.

@'NorbertFe: setzt du die verlinkte Software ein und weist ob sie das USB Tethering auch unterbinden kann?

Ich kann mir nicht vorstellen das es ein Einzelproblem ist und das Sicherheitsrisiko finde ich schon sehr krass.

S3 dran, USB Tethern an, Portable FTP App ziehen und feuer frei mit den Unternehmensdaten in die Wolke ...

# edit

Zu deinem "mit dem iPhone geht es nicht" hab ich gelesen das Apple den ODI statt NDIS verwendet.

So steht kein vorgehaltener Treiber für das UMTS-NIC parat.

Schränkt eure Gruppenrichtlinie die USB Devices auf Computer oder Benutzerebene ein?

Hier muss ich leider mit Benutzerebene arbeiten, weil einige spezielle Anwender USB Datenträger zum Transfer von großen CAD Dateien benötigen ...

Ich selbst bin jedoch nicht in der Sicherheitsgruppe.

Meine Adminkennung verwende ich an einem separaten Client. Ich bin 100% als eingeschränkter User unterwegs.

#Edit

Die Sysinternals-Tools sind natürlich über "ausführen als admin" geöffnet.

In der lokalen Administratorgruppe ist mein User nicht hinterlegt.

Ich habe nach einem Neustart das gleich nochmal probiert und Screenshots gemacht.

Facebook ist gesperrt, und man kommt mit dem Avant direkt drauf.

Der IE kommt glaube ich drauf weil er durch das zweite Netz den Pacserver nicht auflösen kann und nach einigen Minuten aufgibt und auf die aktive Netzwerkverbindung (UMTS USB Modem im S3) schwenkt.

Ich bin für jede Anregung zu dem Thema dankbar!

Viele Grüße

Hal

Hallo Boardgemeinde,

wir setzen Gruppenrichtlinien (2k8) zum unterbinden des USB Wechselmedien und Speicher Einsatzes an Clients (W7) ein. CD FD usw. sind auch gesperrt über die Gruppenrichtlinien.

Der Internet Explorer hat seinen Pacserver der auf einen squid-verbund zielt.

Alles schön und gut, dachte ich zumindest.

Ich bin als Normalsterblicher Benutzer ohne Adminrechte angemeldet.

Wenn ich mein Samsung S3 über USB zum laden anstöpsel kommt die das Explorerfenster und vermeldet das das Gerät verbunden wurde.

Zugriff klappt natürlich nicht (Zugriff verweigert). Soweit alles gut.

Wenn ich jetzt aber im S3 unter Einstellungen, Weitere Einstellungen, USB-Tethering anstelle habe ich ein weiteres verbundenes Netz und kann z.b. mit Firefox oder Avantbrowser ohne Änderungen vorzunehmen direkt auf die Webseiten zugreifen die ich dank Proxy nie erreichen würde. Krass ist auch das wenn ich im Avantbrowser als User wohlgemerkt, unter Extras "Kein Proxy" auswähle komme ich sogar mit dem Internet Explorer am Proxy vorbei ...

Erkannt wird das USB Modem als "ndis based internet sharing device" hat jemand eine Idee wie ich das für alle meine User dicht machen kann?

(Class ID anyone? Ich hab nichts gefunden bei Google...)

Am liebsten wäre es mir natürlich über Gruppenrichtlinie ohne Veränderungen an den ganzen Clients vorzunehmen.

Ich hab mir mit Procmon und Procexp und co. von Mark Russinovich den Verbindungsaufbau etc. angeschaut, man sieht die Verbindungen zu 1.1.1.1- 1.1.1.5 das hängt mit dem Socketaufbau zum UMTS Provider zusammen.

Beim anstecken tauchen kurz die "DeviceDisplayObjectFunction" fürs HinweisFenster auf und die WUDFHOST.exe

Über Applocker die aussperren ist glaub ich keine Gute Idee... Es gibt ja auch angeschlossene Scanner und PKI Kartenleser ...

Was meint ihr dazu und wie löst ihr das Sicherheitsproblem USB Tethering bei euch?

Freue mich auf jede Art von Feedback / Ideen :-)

Hal

Wenn du Windowstaste + R drückst und den oben genannten WMIC befehl eingibst fährt der Rechner runter und schaltet ihn ab, dabei schließt er alle Programme die den PC vom runterfahren abhalten können unsanft.

Der WMIC benutzt eine andere Session als shutdown -f, im Prinzip ist der Effekt aber der gleiche.

Wenn es am Netzteil liegt friert der Rechner ein und selbst die Numlock Taste geht nimmer aus.

Hämmer mal nach dem Biosload auf der F8 Taste rum und probier mit "letzte bekannte funktionierende Konfiguration" ins System zu kommen.

Eventlog anschauen, evtl. nur den Treiber updaten.

Hast du es mal mit nem Runterfahren mit "shutdown -f" probiert ?

Wars***einlich installiert der Chipsatztreiber etwas, das sich nicht sauber beendet beim Runterfahren.

Gibts sonst noch poweroff statt shutdown ;-)

WMIC PATH Win32_OperatingSystem WHERE (Primary = TRUE) CALL Win32Shutdown 12

4 Forced Log Off

5 Forced Shutdown

6 Forced Reboot

12 Forced Power Off

geht auch mit Remotemaschinen, einfach Node User PW mit dazu ;-)

Hast du mal in den Taskmanager geschaut ob da was auftaucht ?

Es startet wars***einlich, ist jedoch nicht als Fenster auf dem Desktop zu sehen ist.

Das liegt daran, dass der lokal angemeldete Benutzer normalerweise in der Session 1 arbeitet. Bis einschließlich Windows XP wurde dafür die Session 0 genutzt.

Wird an der fehlerhaften Übergabe einer Session-ID liegen.

Um das zu gewährleisten muss mit der Fremdklasse Win32_ProcessStartup als Parameter mitgegeben werden.

Am besten wäre es dann ein vbs zu nehmen statt einer CMD.

Was passiert denn wenn du das Script als lokal angemeldeter User startest ?

Läuft es dann ?

Zum Verständnis,

Du willst eine Workstation die im Unternehmensnetzwerk hängt, aber noch nicht Mitglied in der Domäne ist, fernsteuern und darüber in die Domäne holen, korrekt?

Ich würde das per wmic lösen:

TS Dienste anwerfen

wmic /node:"Client/Server-Name" /user:"Client/Server-Name bzw. Domäne\AdminUser" /password:"password" RDToggle where servername="Client/Server-Name" call SetAllowTSConnections 1

Dann kannst du dich ja per RD-Verbindung dort einklinken.

Nimmst den Namen vom Server/Client und als User Server/Clientname\AdminUser

Als Kennwort das Kennwort des lokalen Adminusers vom Client/Server

und drauf bist du und kannst der Domäne beitreten.

Es gibt meine ich auch einen Wmic Schalter für den Domänenbeitritt, müsste ich nochmal recherchieren.

Nach allem was ich hier so lese, denke ich das ich mit meinen TVÖD 6 E3 wohl auch auf der Stelle schwimme und mich neu orientieren sollte!?

Gehaltsrechner Öffentlicher Dienst

Hab nach der Realschule die Höhere Handelsschule besucht und ne Ausbildung zum Informatikkaufmann (2000 - Juni 2003) gemacht.

Durch die bestandene Prüfung hatte ich so mein Fachabi und wurde im ÖD Unternehmen auf 3 Monate Praktikantenstellung weiter im Unternehmen auf 39Std-Basis beschäftigt. Jedoch bin ich effektiv seit Beginn der Ausbildung mindestens 43 Stunden die Woche präsent. Überstunden werden nicht ausgezahlt und müssen abgebummelt werden (was nicht schlecht ist, wenn es klappt)

Ich fahre keine 10 Minuten zum AG ...

Seit meiner Ausbildungszeit bin ich in Projekte involviert und führe Teilprojekte selbst. Mittlerweile muss ich zwei Leute steuern.

Von Hard&Software wie auch Serverbeschaffung, Aufbau, wie auch deren Einrichtung und folgende Betreuung obliegt alles mir.

Nebenbei betreue ich bis heute die Druckerlandschaft und liege mehrmals am Tag unterm Tisch um Probleme vor Ort zu lösen.

Unterstütze die IT-Hotline noch nebenbei... Also Benutzerverwaltung von unzähligen Anwendungen.

Achja die Material und Lagerverwaltung für Verbrauchsmaterialien obliegt auch mir.

Betreuung von Selbstbedienungsgeräten mache ich ebenfalls noch.

August 2003 kam der erste Zeitvertrag es folgte eine Projektbedingte Verlängerung, daraufhin wieder ein Zeitvertrag und daraufhin wieder eine Projektbedingte Verlängerung. Hat sich immer gut mit den Migrationen gepasst (aus AG sich >:-( )... Habe hier 34 Server, das AD, NAS, SAN und 450 Clients unter der Fuchtel.

Ich hatte bereits Gehaltsgespräche von meiner Seite aus initiiert und gefordert das ich zumindest in die gleiche Stufe wie die Hotliner(8) komme.

Das wurde jedoch abgewiesen.

Selbst wenn ich in 8 kommen würde, wäre ich wieder in der ersten Stufe und würde im endeffekt 140 Euro weniger verdienen.

Das Geld wäre wohl über nicht Rentenwirksame Sonderzahlungen wieder drin, aber irgendwie fühle ich mich da verar*cht.

Um meinen Forderungen mehr Gewicht zu verleihen will ich im die Weiterbildungen machen:

MCITP: Server Administrator

(MOC6424e/MOC6856d) Fundamentals of Windows Server 2008 Active Directory

(MOC6425e/MOC6237d) Configuring and Troubleshooting Windows Server 2008 Active Directory Domain Services

(MOC6426e) Configuring Identity and Access Solutions with Windows Server 2008 Active Directory

(MOC6421e/MOC6742d) Configuring and Troubleshooting a Windows Server 2008 Network Infrastructure

(MOC6430e/MOC6748d) Planning and Administering Windows Server 2008 Servers

Cisco CCNA

(ICND1) Interconnecting Cisco Network Devices Part 1

(ICND2) Interconnecting Cisco Network Devices Part 2

Da ich mir alles durch learning by doing bisher selbst angeeignet habe, hielt ich nie besonders viel von "Microsoft Brainwashing Scheinen".

Aber wenn ich mich nun auf dem Arbeitsmarkt umschaue und die Anforderungen sehe, graust es mir.

Wenn ich meine Ausbildung mitrechne bin ich nun um 9 Jahre Berufserfahrung reicher, ohne sind es 6 Jahre.

Über Anregungen würde ich mich freuen ;-)

Bedenke: die Möglichkeiten ein Konto zu sperren sind vielfältig.

Klar, bei der generellen Anmeldung am System, mit dicken Fingern, ausgeschaltetem Num oder eingeschalteten Capslock.

Dann wenn der PC gesperrt ist weil der User abwesend ist und ein Kollege an den Platz möchte und stumpf sein Kennwort da eingibt ...

Zu guter letzt noch 3rd Partyanwendungen wie Saperion die das AD als Benutzerbasis verwenden. Anmeldung in der Webanwendung 3 x falsch = AD Konto gesperrt.

Du siehst ja in der Ereignisanzeige-Sicherheit des jeweiligen betroffenen PC´s ob ein User sich da nun bei der Anmeldung gesperrt hat.

Horido

Hal

Also ich verwende Privtat Blackburn´s Passwort Tresor.

In der Firma verwenden wir einen Single Sign on Logon ...

SSO Watch

Einmal im AD Anmelden und jede Anwendung einmal starten, Passwort hinterlegen, fertig.

In der ct 16 / 08 wurden diverse Gold Rohlinge getestet.

Die Verbatim Archival Grade waren die besten, Kodak und TDK die schlechtesten.

Taiyo Yuden war das Beste im Testfeld, jedoch nicht für Privatpersonen beziehbar.

Verbatim Archival Grade:

Vorläufige Abschätzung der Haltbarkeit bei 25 °C, 50 Prozent relative Luftfeuchte

minimale Lebensdauer Faktor 500 bis 2000 18,4 bis 73,5 Jahre

Empfohlener Prüfungsintervall alle 18 Jahre

Wenn man sich die Pi Sum 8 und DC Jitter Werte so anschaut sollte man die im zusammenspiel mit dem LiteOn LH-20A1L (BL05) verwenden

Cheerio

Halford

Also Teufel kann ich nur wärmsten Empfehlen,

Concept E Magnum Power Edition ist an meinem Daddelrechner dran und wird über eine XFI Gamer angesprochen. Der Crystalizer baut dir sogar aus Stereoquellen eine Soundkulisse die seinesgleichen sucht !

Die Onboard 7.1 (Abit AW9D Fatalaty) war gut, aber im Vergleich zur XFI sieht & hört sich alles anders an.

Am Mediacenter PC im wird die Teufel Concept G THX 7.1 ebenfalls per XFI Music befeuert.

Die Immersion die durch Bild und Ton entsteht kann ich kaum in Worte fassen.

Grüße Hal

Nun, man kann eine gleichartige Platte kaufen und die Steuerungseinheit umbauen. Sollten die Daten allerdings verschlüsselt sein, dann war es das wohl (wahrscheinlich).

Wenn im PW kein Umlaut / Y&Z sowie Sonderzeichen drin waren solltest du potentielle "Verschreiber" notieren und durchprobieren.

Steuerplatine von identischer Festplatte gegen die vorhandene tauschen ist neben dem korrekten Passwort die einzige möglichkeit.

Ist eigentlich kein großer Akt, bei uns waren in einer ausgelieferten Clientserie von FuSi IBM Deathstars drin ... bei 4 wirklich wichtigen Platten hab ich die Steuerplatinen gegen die von funktionierenden getauscht; die Platten laufen heute noch.

Büro abschließen und ne ruhige Hand sowie passendes Werkzeug vorrausgesetzt :D

Am einfachsten machst du es dir wenn du den installationsordner der Scansoftware öffnest und auf dem Ordner dem Benutzer Vollzugriff einräumst.

Funktioniert danach der Scan noch nicht wird es in system32\ noch die eine oder andere Datei geben die noch passende Rechte für den Nutzer benötigt.

Wenn du das als HTML Mail anschaust siehst den "sinnvollen" Text nicht der ist eigentlich weiss auf weissen Grund und nur da um Spamfilter zu "überzeugen" das es sich um eine "richtige" Mail handelt.

Gerade die Phishing Mails haben unterhalb ihres FulllinkTextbausteins einen 4 Zeiler oder mehr der Buchpassagen enthält damit die Dinger auch durch Spamfilter kommen.

Also ich bin mit DameWare total happy. War zwar nicht billig aber ist sehr genial.

Wir setzen die Suite ein... "Rund um Sorglospaket"

DameWare Remote Control - schau dir mal die Testversion an.

Welcome to DameWare Development. Home of the DameWare NT Utilities & Mini Remote Control remote systems management software for Windows. Now Featuring Smart Card Login & Authentication

Übertakten bis der Arzt kommt: Luftgekühlt von 1.8 GHz auf 3.5 GHz | THG Praxis & Software

Du kannst aus deinem Kameraden mit nem 9700er Zalman auch bis zu 3.2Ghz Pro Core rausholen ... have phun

mein c2d 6600er läuft auf 3,5Ghz (2x1GB Cellshock Abit AW9-Max ati1950xtx) auch nur Luftgekühlt (mit Zalman)

Also du kannst per regedit hier

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

LogonPrompt & Welcome anpassen.

Dadurch veränderst du den Text im Anmeldefenster :D

Macht sich bei Kollegen gut - " Wilkommen im Chaos - willst du dich wirklich anmelden ?"

Danke Dir für das prompte Feedback - werde ich gleich mal ausprobieren

DANKE!

Hallo Boardgemeinde!

Ihr alle kennt das Java Runtime Enviroment, das JRE bezieht standardmässig die "Proxy Einstellungen" aus dem Browser.

Nun soll den 380 Clients gesagt werden das die Java aber nicht wie der Browser über Proxy sondern über ein "Skript für automatische Proxyconfiguration" laufen soll.

Any ideas, neben dem Turnschuhmanagement ?

Wenn jemand eine ADM / ein Script oder Link anzubieten hat wär das grande :)

Gruss Hal

Nach der C&C Ära über Serielles Kabel haben wir mit BNC Verkabelung das klassische Counterstrike gedaddelt - der Netcode ist bei fast allen Spielen sehr schmal gehalten.

Sonst könntest es ja nicht mit ISDN (64k) wunderbar online daddeln :D

Also nen 100Mbit Netzwerk ist schon mehr als genug - das wichtigste ist das ihr nen Dedicated Server hinstellt. Nur daddeln und parallel Daten austauschen könnte zum Problem werden ....

Wenn die Hardware nen Uplink Port hat dann nutz den fürs Kaskadieren- viele Switche erkennen aber auch selbständig ob nen Port als Uplink genutzt wird oder nicht.

Also sollte 10.*.*.* auch gehen ?`werd ich heute abend mal einstellen und schauen was ich morgen früh an problemanrufen bekomme :D