blub

Ok, das ist eine Erklärung! Merci!

Ein Forum ist dazu da, andere Sichtweisen kennen zu lernen. Die letzten Posts bzw. der Link sind von daher durchaus interessant. Trotzdem verwundern sich mich schon wieder. Aber jeder, wie er meint!

Klar, Banken könnten dir deine KreditkartenPIN auch offen auf einer Postkarte zuschicken. Wenn alle Postboten ehrliche Männer bzw. ehrliche Frauen sind,...kein Problem!

https://www.microsoft.com/en-us/windows/windows-10-specifications LAHF/SAHF sind z.B. erst seit Ende 2005 bei Intel Prozessoren mit dabei. http://vsphere-land.com/news/what-is-sahf-and-lahf-and-why-do-i-need-it-to-install-vsphere-51.html Ich habe keine Ahnung, wie sich das Fehlen dieser Features bemerkbar macht. Das ist eine reine Vermutung von mir!

- Hast du im scheduler nachgesehen? - entferne mal alle Berechtigungen auf der Datei entfernen. Vielleicht "protestiert" dann der Erzeuger an anderer Stelle. - Gibt es einen Owner der Datei (Eigenschaften -> Sicherheit -> Erweitert) - steht in der Datei etwas - kannst du die Datei löschen @other: Warum sollte ein Virus eine tmp-Datei erzeugen und öffnen. Diese Programme versuchen eher sich still zu verhalten. blub

Mit diesem Verhalten setzen die User den Server bzw. die Hardware aufs Spiel. Egal ob mit oder ohne DC.

Türkisch anhand von Makros lernen :-)

Furchtbar! Wenn ohne weitere Erklärung der Konsequenzen eine Securityoption ausgeschaltet wird und das auch noch als "Lösung" verkauft wird! :schreck:

Auf eine Betrachtung oder Diskussion über Steinzeit-Systeme (Win NT, Win 95, Win 2000) habe ich mittlerweile keine Lust mehr. Ist nicht persönlich gemeint! Ein Anheben des Forestlevels führt unter anderem dazu, dass jeder DC alle Objekte in der AD-Datenbank komplett neu indiziert. Abhängig von Größe der DB und Stärke der DC-Hardware steht dieser DC eine mehr oder weniger lange Weile unter Vollast (CPU 100%) und ist von anderen Rechnern fast nicht erreichbar. Große DB + Schwache HW -> mehrere Stunden. Machen das mehrere DCs in einer Site gleichzeitig (und das werden sie ohne vorherige Planung), dann steht die Site ggf. mehrere Stunden! Weiter ändert sich die Verschlüsselung des Kerberospasswortes (krbtgt), was besonders bei schwach angebundenen DCs in Außenstellen zur Verwirrung führen kann. Beides gilt zumindest für ein Anheben des Forestlevels von 2003 auf 2008R2. Nichts spricht gegen ein Anheben der Levels, im Gegenteil!. Aber es ist -entgegen der oft zu lesenden Meinung- nicht immer eine lockere, risikolose Aktion, die man mal ebenso Montag morgen nach dem ersten Kaffee anstößt. blub

Kann es sein, dass der Inder mit dem Chinesen alle 15 min repliziert? Repadmin -replsum , ausgeführt auf dem Inder lliefert vielleicht mehr Ich denke nicht, dass der Forest- oder Domainlevel mit der Replikation zu tun hat. Gerade bei so verteilten, evtl. großen Umgebungen musst du dir beim Hochsetzen aber unbedingt vorab ein paar Gedanken machen und recherchieren. Blub

Und mit etwas Pech macht der zweite DC die DB ganz kaputt.

Oben schreibst du, dass es Einträge im Protokoll gibt. Da steht doch sicher auch ein Datum dabei. Beherrscht du das Backup bzw. den Restore eines DCs? Falls ja, dann führe die Reparatur testweise auf einer netzwerktechnisch abgeschotteten, restorten Maschine durch.

Wenn du den Key gefunden hast, dann geh zu deinen Domain Admins. Der oder die kennt mit Sicherheit GPPs und weiß, wie man damit umgeht. Du hättest vermutlich nicht einmal die Rechte für eine solche Maßnahme.

http://searchsecurity.techtarget.com/video/How-to-use-Wireshark-to-detect-and-prevent-ARP-spoofing Schau dir doch dieses Video mal an. Vielleicht findest du doppelte ARP-Adressen

Webbrowser sind die meist angegriffenen, für Hacker am lohnenswertesten und am schwierigsten zu schützenden Ziele auf jedem PC! (wer regelmäßig Bulletins liest,... ) DomänenCredentials (Passwörter) sind andererseits die sensiblsten Daten in der IT. -> AD-Administration "übers Web": das passt nicht zusammen!

Vielleicht kam es in meinem Post von letzter Nacht etwas falsch rüber: So aufwändig ist es nicht, die Bulletins zu lesen und zu verstehen! Die allermeisten Patches ersetzen einfach eine dll (Remote Code Execution, Privileges Elevation). Da gibt es nur "friss" oder "stirb". Bei ein paar wenigen Patches muss man ggf. vor dem Einsatz sich etwas damit beschäftigen. Die Bulletins/ KBArtikel sind dann aber recht deutlich.

Meine Kollegen und ich investieren jeden Patch-Mittwoch ca. einen halben bis ganzen Tag, um alle Bulletins durchzulesen und zumindest grundlegend zu verstehen und zu kategorisieren. Finde ich wiegesagt auch wichtig, da es Patches gibt, die z.B. erst durch weitere Konfiguration wirksam werden. Oder auch bei .Net patches, dass Klassen deaktiviert werden -> das müssen dann die Entwickler und Anwendungsbetreuer wissen, etc. Auch in meiner vorigen Firma war das üblich. Daher wundert mich deine Nachfrage ein klein wenig. Dieser Schritt gehört für mich seit Langem zum Patchday-Prozess dazu. Offenbar bin ich aber wohl eher die Ausnahme Microsoft hat beim MS16-072 in der Vorankündigung (Newsletter) tags zuvor deutlich auf die grundlegende Änderung des GPO-Security Konzepts hingewiesen und im Bulletin auch nochmal. Was soll Microsoft denn noch machen, wenn die Notwendigkeit einer solchen Änderung besteht?

Es steht ja ein bestimmter Sinn hinter dem Patch. Derjenige Administrator, der eben mal einen WSUS aufsetzt und blind -ohne die Bulletins zumindest mal zu überfliegen- alle Hotfixe freigibt, wird früher oder später wieder auf die Nase fallen.

wie schon gesagt, Registry vorher-nachher vergleichen. Dann würde ich den gefundenen key bzw. value aber per GPP, falls wir über eine Domäne sprechen, setzen. Gefällt mir persönlich besser, als in dem Default-Userprofile direkt zu werkeln. Funktionieren werden beide Wege.

- hat die Usergruppe "Read" + "Apply" in der GPO-Filterung der GPO? - ebenso "domain computers", falls "authenticated users" gelöscht wurde - Wenn es an dem von Duerener beschriebenen Patch liegt, wird die GPO auf keinem Client angewendet. Aber das definitiv nicht der Fall?

Hallo Blase, Wenn du ein gültiges TGT-Ticket vom DC bekommst, haben du und der Client sich schonmal erfolgreich angemeldet! Das ist gut :- d.h. - DNS funktioniert - du hast dich nicht mit einem lokalen User, sondern einem Domainuser angemeldet - du hast dich nicht mit einem zwischengespeicherten Profil angemeldet. (das hatte ich vermutet, daher die Frage) Wenn du jung und wissbegierig bist , kannst du noch diese Schritte untersuchen - hängt dieser Rechner in derselben OU wie die anderen Clients? - gpresult /H /F c:\temp\badclient.html (dauert immer einen Moment) sind in der Ausgabe weder user noch machinepolicies zu sehen? - kannst du von dem Client auf \\<DCName>\Sysvol zugreifen und weiter auf den GPO-Ordner? - hast du schonmal mit enem Netzwerkmonitor (wireshark.org) gearbeitet? Der liefert dir die besten Informationen: DNS, LDAP, krbtgt und SMB sind die entscheidenden Protokolle, auf die du Filtern solltest. Gerade wenn du funktionierende und nichtfunktionierende Clients miteinander vergleichen kannst! In meinem Alter würde ich wahrscheinlich den von Sunny vorgeschlagenen Weg im vorletzten Post bevorzugen blub

klist tgt bekommst du ein TGT Ticket vom DC? Sind die Daten im oberen Teil der Ausgabe schlüssig?

ich habe jetzt keine bessere Lösung auf die Schnelle, aber ein "*" am Beginn eines Filters ist generell ganz schlecht für die Performance!

https://blogs.msdn.microsoft.com/mssmallbiz/2016/07/10/free-thats-right-im-giving-away-millions-of-free-microsoft-ebooks-again-including-windows-10-office-365-office-2016-power-bi-azure-windows-8-1-office-2013-sharepoint-2016-sha/ Die Quantität ist jedenfalls hoch

Product-Security Can Hackers Break My Heart? https://www.youtube.com/watch?v=wfsooH0YpSc Ob der erwähnte Herzschrittmacher durch XP-Embedded, oder einer anderen Outdated-Plattform gesteuert wird, wird nicht erwähnt. Macht aber keinen Unterschied.