blub

Die Chancen auf ein Recovery kannst du noch weiter minimieren, wenn du vor dem Anheben sicherstellst, dass die Domäne einwandfrei tickert. Bei unschönen Fehlern im Eventlog bzw. in der Replikation (repadmin -replsum) würde ich das Level nicht anheben. Ansich selbstverständlich, aber kontrollier diese Dinge lieber zweimal!

Wer nutzt das RDP? Ein Admin? Helpdesk mit erweiterten Rechten?

mit windbg kann man oft selbst erkennen, welcher Treiber zickt: https://support.microsoft.com/en-us/kb/315263

Die IKEv2-Properties sagen dem Server, wie die Schlüssel getauscht werden sollen. Nicht wie die Verbindung tatsächlich aufgebaut wurde. Auch wenn du es wieder überliest: -> Wireshark und ein Netzwerkscan zwischen deinen Servern würde dir helfen

a-tens ) bist du sicher, dass IKE auf dem 2008R2 verwendet wird und nicht MS-CHAP2? b-tens) Im Handling von alten, unsicheren Protokollen unterscheiden sich Betriebssystemversionen natürlich. BTW: De Tipp weiter oben von Norbert mit "Wireshark" war übrigens ein guter Tipp!

Lt. deinem erstem Screenshot erlaubst du auch die EAP und MS-CHAP2 Protokolle zur Authentication. Das sind Asbach-Uralt Protokolle aus Window2000 Zeiten. Nimm das mal raus, ebenso wie den Preshared Key. Falls die Verbindung anschließend noch aufgebaut wird, bist du erstmal sicher, dass vernünftiges IKE verwendet wird. Kann schon sein, dass MS-Chap eine Lifetime für den Key implementiert hat und Windows2012 keinen neuen Key aus SecurityGründen mehr ausstellen will. Ist aber Spekulation!

Mit WMI kann man bischen was rauslesen. Ich habe mir mal zwei Skripte dazu geschrieben: Set-StrictMode -Version "2.0" Clear-Host $ReplInfo = Get-WmiObject -Namespace root\MicrosoftActiveDirectory -Class MSAD_ReplNeighbor ` | ft SourceDsaCN, NamingContextDN, LastSyncResult, @{N="NumSyncFailures"; E={$_.NumConsecutiveSyncFailures}}, @{N="LastSyncAttempt"; E={$_.ConvertToDateTime($_.TimeOfLastSyncAttempt)}}, @{N="LastSyncSuccess"; E={$_.ConvertToDateTime($_.TimeOfLastSyncSuccess)}} -auto $ReplInfo #end of code #so sah das Ergebnis bei mir aus SourceDsaCN NamingContextDN LastSyncResult NumSyncFailures LastSyncAttempt LastSyncSuccess ----------- --------------- -------------- --------------- --------------- --------------- DC1 DC=dom1,DC=intern 0 0 02.04.2013 02:13:26 02.04.2013 02:13:26 DC2 CN=Configuration,DC=dom1,DC=intern 0 0 02.04.2013 00:55:10 02.04.2013 00:55:10 DC1 CN=Configuration,DC=dom1,DC=intern 0 0 02.04.2013 01:55:10 02.04.2013 01:55:10 DC2 CN=Schema,CN=Configuration,DC=dom1,DC=intern 0 0 02.04.2013 00:55:10 02.04.2013 00:55:10 DC1 CN=Schema,CN=Configuration,DC=dom1,DC=intern 0 0 02.04.2013 01:55:10 02.04.2013 01:55:10 DC1 DC=DomainDnsZones,DC=dom1,DC=intern 0 0 02.04.2013 01:55:10 02.04.2013 01:55:10 DC2 DC=ForestDnsZones,DC=dom1,DC=intern 0 0 02.04.2013 00:55:10 02.04.2013 00:55:10 DC1 DC=ForestDnsZones,DC=dom1,DC=intern 0 0 02.04.2013 01:55:10 02.04.2013 01:55:10 DC2 DC=Dom2,DC=dom1,DC=intern 0 0 02.04.2013 00:55:10 02.04.2013 00:55:10 DC1 DC=Dom2,DC=dom1,DC=intern 0 0 02.04.2013 01:55:10 02.04.2013 01:55:10 DC2 DC=dom3,DC=dom1,DC=intern 0 0 02.04.2013 00:55:10 02.04.2013 00:55:10 DC1 DC=dom3,DC=dom1,DC=intern 0 0 02.04.2013 01:55:10 02.04.2013 01:55:10 https://msdn.microsoft.com/en-us/library/windows/desktop/ms677408(v=vs.85).aspx Man kann auch nachsehen, ob sich etwas in der Rep-Queue befindet Set-StrictMode -Version "2.0" Clear-Host $PendingOps = @(Get-WMIObject -class MSAD_ReplPendingOp -namespace root/MicrosoftActiveDirectory) If($PendingOps.Count -eq 0){ "There are no pending replication jobs" }else{ "There are some replication jobs in delay" $PendingOps | ft * -auto } #end of code #Wenn es nichts zu replizieren gibt: There are no pending replicationjobs https://msdn.microsoft.com/en-us/library/windows/desktop/ms677412(v=vs.85).aspx Die Skripte sind noch aus W2k8! Damals gedacht zum schnellen Monitoren und Troubleshooten der AD-Replikation für den Eigenbedarf. blub

Zwei Goldfische wandern durch die Wüste. Einer war rot, der andere dünn. Wie viel wiegt die Palme, wenn es regnet?

"Select-String" ist das grep Pendant in Powershell https://technet.microsoft.com/en-us/library/hh849903.aspx

dir /B > Verzeichnis1.txt dir /B > Verzeichnis2.txt dann kannst du beide Dateien mit Windiff oder einem deiner (evtl. Commandline-) Tools vergleichen. Aber Powershell ist auch ein sehr guter Tipp! $GroupA_Members = @($(gci -File "D:\tempA").Name) $GroupB_Members = @($(gci -File "D:\tempB").Name) $Members = $GroupA_Members | Where {$GroupB_Members -NotContains $_} Write-Host ""`n"Files, die in GroupA, aber nicht in GroupB sind" $Members

sicher im Sinne der Herstellerangaben von whatsapp (Update April 2016): Wenn du in Richtung Verschwörungstheorien (FBI/ NSA/ CIA/...) tendierst, wird's schwierig überhaupt IT-Lösungen bzw. Hersteller zu finden. (Soll nicht heißen, dass ich deine Meinung für unwahrscheinlich halte !)

http://www.ghacks.net/2016/06/03/you-better-disable-update-checks-in-keepass-2/ Am besten, wie im Artikel empfohlen, auf die Orginalseite (http://keepass.info/) von Keepass gehen und sich nur(!) von dort erstmal die neueste Version (derzeit V2.33) runterladen. Erst ab Keepass 2.34 soll diese Schwachstelle durch Signatur behoben sein.

Ein DC bzw. adas AD ist die zentrale Stelle eines Microsoft Netzwerks und sollte sich daher in einem möglichst gut definierten Zustand befinden. Bei diesen Startbedingungen ist das für diese Domäne bzw. diesen DC nicht ansatzweise möglich! Perfekte Welt: besorgt euch eine (besser zwei) Maschinen, installiert dort Microsoft 2008R2 Server (besser 2012R2) exclusov mit der DC-Rolle und setzt AD nochmal sauber auf. Etwas externe Unterstützung schadet sicher auch nicht. Die Investitionskosten habt ihr schnell durch den eingesparten Ärger bzw. zeitverlust wieder zurück. Vielleicht wäre auch ein AD in der AzureCloud eine Alternative. Dazu brauchst du aber sicher externe Beratung. btw: wir haben flächendeckend die .2 als Default Gateway blub

Ich habe das Urteil aus dem Link mal überflogen: Ich bin juristischer und lizenzrechts Laie! Ich lese aber aus dem Urteil, dass es ausgesprochen rechtswidrig (250.000€ Ordnungsgeld oder ersatzweise Ordnungshaft bis 6 Monaten) ist, "statt einer vollständigen Box-Version" Kunden "lediglich eine Seriennummer für das Programm...zuzusenden" Als Käufer hast du damit sicherlich keinen gültigen Kaufvertrag abgeschlossen! Selbst für mich klingt das eigentlich recht klar!

Ich vermute doch sehr stark, dass es am Markt mehr als eine Datenbanklösung speziell für Personalabteilungen gibt und diese Lösungen auch die aktuellen und zukünftigen gesetzlichen Bestimmungen einhalten. Als Berater mit 15 Jahren Erfahrung hast du dazu sicher einen besseren Überblick als wir hier. Ich kann mir jedenfalls schwer vorstellen, dass Personalabteilungen, die diesen Namen verdienen, mit einzelnen Dateien arbeiten und diese einzeln manuell auf Servershares verwalten. m.E. ist "sicheres Löschen" ein endgültiger, unwiderruflicher Prozess. Eine Verschlüsselung mit den heutigen Ciphers und Schlüssellängen ist doch maximal temporär ein Schutz, bis die heutigen Protokolle gefallen sind. Eine Zwischenfrage eines juristischen Laien zu dieser Aussage von Dir: Du, als Berater, schlägst deinem Kunden etwas vor und der Kunde lehnt den Vorschlag ab. Dann muss der nicht-gewonnene Kunde unterschreiben, damit Du aus der Haftung bist, obwohl kein Vertragsabschluss bzw. keine Zusammenarbeit zustande kam?

die end2end Verschlüsselung bei WhatsApp ist mittlerweile strong und secure! Aber - Verbindungen mit dem Webclient sind unverschlüsselt (zumindest bis vor ca. 2 Monaten) - WhatsApp lädt das ganze locale Addressbuch auf seine Server hoch. Theoretisch müsste ich also von jedem neuen Contact in meinem Adressbuch dessen Zustimmung dazu einholen, um keine Datenschutzverletzung zu begehen. Machen wahrscheinlich eher wenige blub

hier stehts für den Chrome ganz gut beschrieben https://www.chromium.org/administrators/policy-templates Generell: google nach "<application name> admx"

du kannst ein Password verschlüsseln, so dass nur derjenige mit dem passenden PrivateKey dies entschlüsseln und verwenden kann. Meinst du das? Einem normalen User solltest du aber so oder so keine Credentials an die Hand geben, mit dem er bewusst oder unbewusst größeres Unheil anrichten kann. Einem administrativen Mitarbeiter vergibst du besser eine normalen Account und einen zweiten Account, mit den notwendigen, erweiterten Rechten.

"auch" normal gelöschte Daten können doch nur von Administratoren mit lokalem Zugriff wiederhergestellt werden. Angreifer mit Adminrechten + lokalem Zugriff werden sich nicht erst um sensible Daten kümmern, wenn diese gelöscht wurden. Gegen welches Szenario willst die gelöschten Daten denn schützen? Dass jemand die Platten incl. sensibler Daten irgendwann mal verhökert, oder dass die physikalischen Platten gestohlen werden?

war auch etwas ironisch gemeint

Ich habe mir mal ein Skript geschrieben, um auf Rechnern SHA1 Zertifikate zu finden, bzw. ein Skript von Microsoft etwas erweitert. https://gallery.technet.microsoft.com/SHA1-Certificate-Signature-22c94da9 Du kannst die main.ps1 einfach starten, dann exportiert er alle Zertifikate des Clients und gibt die wichtigen Daten (z.b. Signature Algorithm) in einer Textdatei aus. Vielleicht kannst du es brauchen blub 04-Sha1Check.zip

wie schon an anderer Stelle mal geschrieben: Der GF will die hochsensiblen Daten natürlich auch auf seinem IPhone lesen können...soll heißen, auch Netzwerke und Endgeräte müssen der Sensibilität der Daten angepasst werden.

Wirksam ist relativ.. Sobald ein lokaler (bosartiger) Administrator ein entsprechendes Tool auf dem Server installieren kann, dann debugged er damit den Prozess, wenn du auf verschlüsselte Daten zugreifst. Dann ist nichts (Passworteingabe, Passwordhash, Credentials) mehr geheim vor ihm. Keylogger sind eine weitere Möglichkeit, um an Die Anzahl der lokalen Administratoren auf das absolut notwendige Minimum reduzieren sowie penibles Auditing sind bei sensiblen Daten genauso wichtig, wie die Verschlüsselung selbst.

Ultracrypter /Cryp1 schon wieder so ein Viech in der Wildbahn unterwegs, auf Basis von Angler https://www.pcrisk.com/removal-guides/10058-ultracrypter-ransomware https://heimdalsecurity.com/blog/ultimate-guide-angler-exploit-kit-non-technical-people/

in XAMPP sind bewusst etliche Sicherheitsfeatures disabled. Zum Testen ist es gut geeignet, aber nicht für produktive Installationen.