blub

Bin ich froh, dass es in der MSDN noch Office 95 und Windows 3.1 (16-bit) gibt! Die ISOs sollte ich dann wohl auch besser sichern! Braucht man ja schließlich immer mal wieder

Hallo, Der Funktionsaufruf muss klammer- und kommalos test123 5 2 lauten blub

- Die Möglichkeiten zum Whitelisting hängt stark von deiner Umgebung ab - Emet ist ein Muss. Etliche Attack-Vektoren werden damit unbrauchbar für Malware - Sandboxie: Kenn ich nicht. Wir haben Bromium - Getrennte Arbeitsplätze: Wirst du glaub ich nicht durchsetzen können. Für APs, an denen vertrauliche Dokumente prozessiert werden, kannst du dir diese MS-Empfehlung für PAWs ansehen : https://blogs.msdn.microsoft.com/azuresecurity/2015/12/15/secure-high-privilege-credentials-with-privileged-access-workstations/ https://technet.microsoft.com/en-us/library/mt634654.aspx - Nicht benötigte Komponenten deinstallieren ist m.E. absolut zu empfehlen. Aber such mal hier nach den Diskussionen über die Deaktivierung von IPv6 oder Wins.. - Windows Firewall: Das ist die letzte Schutzwand vor deinem Rechner. Default ist die Regel ja schon so, dass alles geblockt wird, was nicht explizit erlaubt ist. Am besten per GPO konfigurieren, da besonders Admins und Helpdeskler gerne auf ihren Clients any/any-Durchzug einstellen, sobald es ein Problem gibt.

Klasse! ein Integrity Check würde ich aber trotzdem machen

Deine Screenshots im ersten Post sehen schon ziemlich strange aus. Besonders #2 und #3. Normalerweise sind die Tabellen in den Fenstern von links nach rechs (#2) und oben nach unten (#3) sauber gefüllt und haben keine Leerfelder wie bei dir. Vielleicht ist in der DB etwas durcheinander geraten. https://blogs.technet.microsoft.com/askds/2010/08/31/the-case-of-the-enormous-ca-database/ Compact oder ein Integrity Check mit Esentutl kann auf keinen Fall schaden! (aber bitte Backup vorher machen!) Wie alt, wie groß und wie gepflegt ist denn die Datenbank der CA? Diese DB braucht recht wenig Liebe und Zuneigung, aber ganz ohne geht's in größeren Umgebungen mit Autoenrollment über einen längeren Zeitraum auch nicht.

Hallo Bakirsche Bitte nur einen Thread pro Thema eröffnen! https://www.mcseboard.de/topic/207774-nach-start-eines-services-cpu-bei-100/ Sonst gibts nicht mehr Lösungen, sondern Chaos blub

Eine gute Anwendung sollte Log-Dateien erstellen (Error-Logs, Change-Logs, Operating-Logs, etc.). Such diese mal raus und schau, ob sich dort seit ein paar Tagen etwas significant verändert hat. Das wäre mal mein erster Ansatz. Es kann natürlich auch mit dem Arbeitsspeicher zu tun haben. Hat sich die Last z.B. durch neue User sprunghaft erhöht? 1024MB sind nicht viel für einen 2008R2 Server bzw. 1024MB sind sogar absolute Unterkante! Reden wir von virtualisierter Serverhardware oder möglicherweise von UraltPC-Hardware?

man braucht jedenfalls das Rad nicht neu erfinden!

Vielleicht interessiert sich jemand dafür: Hier gibt es jede Menge kostenlose IT-Kurse per Webcast. (Außer einer Registrierung ist nichts erforderlich) u.a. auch einen 24h MCSA-Kurs. https://www.cybrary.it/coursecatalog/ -> Microsoft blub

noch ein schönes Beispiel, um Mitarbeiter speziell für phishing emails zu sensibilisieren. http://securingthehuman.sans.org/resources/votm

Hier haben entfernte ex-Kollegen von mir eine schöne Präsentation erstellt: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Veranstaltungen/Grundschutz/1GS_Tag_2012/Mitarbeitersensibilisierung_in_der_Praxis.pdf?__blob=publicationFile Ist natürlich (sparkassen-) spezifisch. Es wird aber deutlich, dass für eine auch IT-Laien ansprechende Präsentation mindestens soviel Marketingtalent wie technische Expertise notwendig ist.

Vielleicht nochmal als Ergänzung: Neben den Privileges und Gruppenmitgliedschaften sind auch noch die "Mandatory Integrity Controls" ggf. auch "Windows Integrity Levels" genannt mit von Bedeutung, um UAC zu verstehen http://www.mcseboard.de/topic/207728-admintool-runas-taskbar/?p=1307522 Die 6 MIC-Levels findet man hier http://www.minasi.com/apps/ "whoami /all" zeigt eigentlich alles relativ deutlich auf. Mit Icacls kann mit Dateien und MIC testen, noch besser ist allerdings chml.exe von M. Minasi blub

such dir einen spezialisierten Partner, der einen "Incident Response Prozess" in der Tasche hat. Mit "Müsste man...", "Sollte man...", "Könnte man...", etc. gehst du auf sehr dünnes Eis.

Neben NTFS und Sharerechten besitzt Microsoft auch noch die weniger bekannten "Mandatory Integrity Control Levels" als Securitysystem. Seinen eigenen MIC-Level kann man sich z.B. mit "whoami /all" ansehen: -> Mandatory Label\Medium Mandatory Level (beim nicht erhöhten User) -> Mandatory Label\High Mandatory Level (beim UAC-angehobenen User) Ebenso haben alle Dateien und Prozesse ein MIC Level, welches man sich z.B. mit icacls.exe ansehen bzw. verändern kann "/setintegritylevel". Zeigt icacls nichts an, so steht das MIC-Level der Datei auf Medium. Nur wenn der user mindestens das gleiche Level hat, wie die Datei/ der Prozess (für Prozesse siehe Prozessexplorer), kann er diese(n) auch öffnen oder bearbeiten. Von einem auf High angehobenen Prozess (z.B. cmd.exe) kann man dann auch mit High getaggte Prozesse ohne erneute UAC-Meldung starten. Dazu braucht es aber wie schon gesagt, kein externes Tool! Einfach mal nach "Mandatory Integrity Control Levels" suchen. Ich hoffe, ich habe das noch so einigermaßen richtig zusammengebracht. blub

und wie immer gilt: - Downloads von nicht vertrauenswürdigen Stellen bitte mit äußerster Vorsicht behandeln! - Wenn die Software Sicherheitsfeatures des Betriebssystems aushebelt (gehen wir mal wohlwollend davon aus, dass diese SW tatsächlich nur dies macht), dann den Einsatz ebenfalls zweimal überlegen! - Wer UAC nicht möchte, kann diese auch per GPO anpassen

Meine Meinung: Frag dich, wer dein "Gegner" ist. - Wenn du Microsoft als "Gegner" betrachtest, dann musst du auf ein anderes OperatingSystem (Apple, Linux, etc..) wechseln. Wenn MS an deine Daten will, dann kommen sie natürlich unter Windows auch daran. (Ebenso wie Mozilla oder Google, wenn du deren Browser nutzt). - Wenn du MS nicht als Gegner betrachtest, würde ich security relevante Einstellungen wie Smartscreen/ Defender eingeschaltet lassen. Damit hast du einen wirksamen, stets aktuellen Schutz gegen Bedrohungen, so aktuell können klassische Virenscanner gar nicht sein! Privat habe ich z.B. persönlich kein Problem, wenn ein Absturzbericht mit Speicherabbild und samt verwendeten Treibern automatisch an MS gesendet wird. In der Firma ist das natürlich per GPO deaktiviert. Ja, ich vertraue MS soweit, dass sie erstens mit meinen übertragenen Daten kein Schindluder betreiben und zweitens, dass MS disabled Settings nicht ignoriert. Überprüfen kann ich es aber nicht!

Die Credentials ein zweites Mal lokal auf dem Fileserver anzulegen ist sicherheitstechnisch auch nicht viel besser. Jeder Admin, bzw. jeder der sich Adminrechte verschaffen kann, hat auch Zugriff auf die Credentials der User in der lokalen DB des Fileservers. Dazu brauchst du noch einen sicheren Prozess für die doppelte Passwortänderung. Mein Tipp: Lass den Zustand so "unpraktisch" wie er ist, bis ihr nächstes Jahr ActiveDirectory bekommt. Du kannst deinen Usern ggf. als Mitigation das kostenlose "Keepass" (= elektronischer Passwordsafe) zeigen: mit der Funktion in Keepass "Perform Auto-Type" kann man per Mausklick Username/ beliebig langes und komplexes Passwort automatisch in eine Anmeldemaske übertragen. Sehr praktisch!

für Masochisten halt

1000ende Seiten Hardcore vom Allerfeinsten findet man hier: http://download.microsoft.com/download/9/5/E/95EF66AF-9026-4BB0-A41D-A4F81802D92C/Windows_Protocols.zip Manchmal sind die Dateinamen etwas irreführend: Alles über LDAP findet man z.B. in [MS-ADTS].pdf oder über Kerberos in [MS-KILE].pdf Viel Spaß damit :-)

Ein gleiches Verhalten muss ja nicht unbedingt die exakt gleiche Ursache haben: Zieh dir bitte auch eine Logdatei, Ist die protokollierte Meldung dieselbe wie oben("digest format")? Läuft der referenzierte Zeitserver sauber? (gibt es Replikationsprobleme, sind die Eventlogs sauber, ist das Patchlevel aktuell??? etc., etc......).

Dann haben wir ja die Ursache Wdigest ist ein Authentisierungsprotokoll mit dem großen Nachteil, dass Passwörter unverschlüsselt im Arbeitsspeicher abgelegt werden bzw. im Profil gespeichert werden und damit mit einfachen Hackertools leicht auslesbar sind. Es gab schon andere Threads hier an Board, die zeigen, dass Windows2003 DCs und Windows10 Clients nicht mehr fehlerfrei zusammenarbeiten. Empfohlene Lösung: Update des DCs auf mindestens 2008R2, besser gleich auf 2012R2 blub

Du kannst vor Rename-Computer mit ICMP prüfen, ob der Computer reagiert entweder mit .Net (geht immer) Function Ping-Host ($Computer) { $Ping = New-Object System.Net.NetworkInformation.Ping Try{ $Result = $Ping.Send($Computer) #Return $Result.Address Return $Result.Status }Catch{ Return "No Success" } } ping-host "Client01.myDomain.intern" oder mit Test-Connection (ab Powershell 5.0) https://technet.microsoft.com/en-us/library/hh849808.aspx

auf welchem Betriebssystem laufen deine DCs? Gibt es noch Windows2000/ 2003er als DCs? Welches OS hat XP1.Praxis.local ? wdigest ist alt, unsicher und sollte schon längst disabled sein. (Außer man hat noch 2003/ XP etc.). https://blogs.technet.microsoft.com/kfalde/2014/11/01/kb2871997-and-wdigest-part-1/ Würde mich jetzt nicht wundern, wenn Windows10 default das "digest format" ablehnt

Hallo, Zum Umbenennen von Rechnernamen gibt es das cmdlet "rename-computer": https://technet.microsoft.com/en-us/library/hh849792.aspx Um mehrere 100 Rechner zu installieren, google mal nach WDS z.B. https://technet.microsoft.com/en-us/library/hh849792.aspx Eine Realisierung mit DVD, Textdatei, festen IP-Adressen...besser nicht! blub

Kannst du auf einem Client, bei dem das Problem auftritt, ein Log ziehen, a) wenn er keinen Zeitsprung hat. (ca. 24h) dann versuchen, den Zeitsprung in einem zweiten Log einzufangen. Vielleicht kannst du den Zeitpunkt des Sprungs zusätzlich noch etwas eingrenzen, dann tut man sich bei der Auswertung leichter und kann deine Frage beantworten.