blub

https://en.wikipedia.org/wiki/XAMPP "It is a simple, lightweight Apache distribution that makes it extremely easy for developers to create a local web server for testing and deployment purposes." ist dir bewusst!?

[system.Environment]::GetEnvironmentVariables().CLIENTNAME [system.Environment]::GetEnvironmentVariables().SESSIONNAME Groß-/Kleinschreibung beachten! Nachtrag: Sorry! Ich habe die Frage nicht richtig gelesen. Du brauchst ja WMI!

Danke!

Das wäre natürlich schlecht. Eine kritische Schwachstelle, die seit Feb. 2015 bekannt ist, sollte aber trotzdem alsbald geschlossen werden. Besonders bei dieser Größenordnung! https://support.microsoft.com/en-us/kb/3000483 blub

In der Tat! Es wird in mittelfristiger Zukunft nichts Anderes mehr geben als Windows10. Kein Windows 11/12 oder 13 etc. Nur noch Windows10 in verschiedenen Releases 1511/ 1605/ 1611.... Wenn sie Windows10 nicht mehr supporten können, dann braucht man diese Firma auch nicht mehr.. Vielleicht kannst du mal deinen Chef/ Chef-Chef dazu bringen, eine "IT-Strategie" zu entwickeln, bei der du und der alte Admin mitwirken.

Meinst du vielleicht das hier: https://technet.microsoft.com/en-us/library/cc771348%28v=ws.11%29.aspx https://technet.microsoft.com/en-us/library/cc700848.aspx Aus dem ersten Artikel der erste Satz, immerhin schon von 2009: Laut dem zweiten Artikel wird "Credential Roaming" sogar schon empfohlen, sobald man mindestens eine reine 2003er Struktur hat. Es sollen also nicht mehr ggf. riesige Datenberge verschoben werden, sondern nur noch "certificates and private keys". Es kann schon sein, dass daher MS bei Windows10 nur noch wenig bis gar keine Energie mehr auf die Pflege von RUP verwendet. Ich habe aber auch kaum Erfahrung mit Profilen. Ich weiss noch nicht einmal, wie das bei uns geregelt ist :-) blub

meine letzte Antwort an Dich: siehe den wikipedia link oben

Ja, er entscheidet, ob notwendige Mittel für derartige Projekte bereitgestellt werden. Wenn wie bei Edgar's Hausmeister auch noch Peripherie getauscht oder Software upgedatet werden muss, können schnell ein paar viele Euro zusammenkommen. Falls er auf dem unsupporteten Alt-Stand z.b. aus wirtschaftlichen Gründen bleiben will, dann trägt er das Risiko für das Unternehmen oder seinen Bereich, dafür hat er eine C-Rolle! Was ist dir daran unklar? Ok, 20% der Unternehmen organisieren sich anders ohne CISO Rolle.

Diese Entscheidung trifft im Normalfall nicht die IT, sondern der CISO. https://en.wikipedia.org/wiki/Chief_information_security_officer Die IT muss aber dem CISO vernünftige Empfehlungen geben, damit er Business-Need und Security gegeneinander abwägen kann.

war ein Versuch

Hallo Damian, QuarkXPress kenne ich leider nicht. Wir erstellen unsere Dokumente alle mit LateX. Bei LateX erstellt man einen Asciitext, der verschiedenste Formatierungstags enthält und am Ende ins PDF-Format kompiliert wird. Ähnlich wie bei HTML gibt es in einem Dokument hunderte von verschachtelten, öffnenden und schließenden solcher Tags. Und auch wie bei HTML kann ein "Programmier"-Fehler zu verschiedensten, unspezifischen Effketen führen: von "das Dokument kann gar nicht kompiliert/ gelesen werden", bis zu solchen Dingen wie du sie beschreibst. Besonders wenn man die Warnungen beim Kompilieren nicht ernst nimmt. Wenn Quark ein ähnliches Prinzip wei LateX hat, würde ich den Fehler hier vermuten. blub

jetzt muss ich doch was dazu schreiben: WINS ist zwei Generation älter als XP/ Server2003! Das Protokoll hat absolut keinerlei Securityfeatures (Signatur/ Verschlüsselung/ Authentifizierung) und die WINS-Binaries werden schon Ewigkeiten von MS nicht mehr upgedatet. WINS ist einer der großen Schwachstellen (Operations + Security) schon seit NT4.0/ ? Zugegeben, es mag noch Hausmeister mit Uralt-Peripherie geben, ebenso wie Uralt Applikationen die nur unter NT40 laufen. Aber man sollte von so alten Techniken zumindest versuchen, Abstand zu nehmen, und nicht noch als "eleganteste Lösung" geradezu zu empfehlen. Ein dreistelliges Domänenpasswort würde der Hausmeister wahrscheinlich auch eleganter finden, als ein komplexes 8-stelliges. Ist ja kein Wunder, dass IT-Industriespione sich so leicht tun!

der Account ist immer deaktiviert, wird dennoch zum Erstellen aller Kerberos TGT-Tickets verwendet. Das Passwort bzw. der Hash daraus, ist das wichtigste PW in der ganzen Domäne und das Ziel jedes etwas versierteren Angreifers! Bitte ändere es zweimal, prüfe aber vorher, dass die Replikation in der Domäne absolut fehlerfrei funktioniert!

Nicht vergessen auch das krbtgt-Password zweimal zu ändern. Bei größeren Umgebungen mit mehreren/ vielen DCs am besten per Skript. Das Skript repliziert die Änderung schneller und zuverlässiger, als es bei einem manueller Reset geschehen würde. https://gallery.technet.microsoft.com/Reset-the-krbtgt-account-581a9e51 Stichwort: Golden Ticket Den Vorfall nutzen, um euer Securitykonzept überprüfen zu lassen, ist sicher sinnvoll. Es ist ja nichts anderes wie : "Trojaner im Netzwerk entdeckt, wie reagieren wir auf einen derartigen Incident". Einen solchen Prozess auszuarbeiten, ist keine verlorene Investition! blub

Die Berechtigungen der User für diesen Process müssen passen! Dann mit Powershell "session configurations" https://technet.microsoft.com/de-de/library/dd819508.aspx

Ich habe bei uns IPv6 abgedreht, indem flächendeckend nach https://support.microsoft.com/en-us/kb/929852 "DisabledComponents" auf 0xff gesetzt ist. Das ist dann aber auch schon alles gewesen! Warum soll ich etwas aktiv setzen, wenn ich es nicht brauche? Kommt morgen, in einem Jahr oder in 5 Jahren IPv6, dann kann man es wieder aktivieren. Über Nacht wird das auch nicht passieren. Die Idee IPv6 zu deaktivieren hat nichts mit "System verbiegen" oder "IPv6-Unverständnis" zu tun, sondern kommt aus der Security. "Jede Komponente, die man nicht braucht, sollte man deaktivieren". -> Ein unnötiger Angriffspunkt weniger! Ich bin aber sehr an konkreten Nachteilen interessiert! (Bitte nicht, dass die interne Kommnukation dann unsichtbar ist :-) ) blub

Zugegeben, produktiv habe ich UNC Hardening nicht im Einsatz. see: https://support.microsoft.com/en-us/kb/3000483 Wenn es Microsoft schon ausdrücklich empfiehlt, dann habe ich kein schlechtes Gewissen, das hier auch so zu posten. Selbstverfreilich muss man sowas sorgfältig testen. Wenn du andere Quellen hast, die davon abraten, interessieren mich diese sehr!

Ich würde versuchen, ob ich so schon meinen Finger duplizieren kann, incl. Fingerprint. Vielleicht sogar mal einen Kopf, aber dann eher nicht den eigenen :D. Dann diesen gegen ein biometrisches Gesichtserkennungssystem halten ("Hello")

Oh, das heisst also wenn ich KB929852 anwende, spricht der Server nicht mehr mit sich selbst auf Layer 3.

Mir ist noch was dazu eingefallen: Per GPO könntest du UNC - Verbindungen weiter härten: Administrative Templates -> Network -> Network Provider -> Hardened UNC Paths Auch Platzhalter werden, soweit ich weiß, akzeptiert: \\ServerName\* \\*\Software1 weitere Infos findest du hier bzw. in der Erklärung in der GPO: KB3004375 KB3000483 https://technet.microsoft.com/en-us/library/jj635700%28v=wps.630%29.aspx

der reine Ping ist immer etwas dünn an Aussagekraft. Probier mal, ob du mit rpcping.exe -s <Dein-dcName> -u 9 -a connect rpcping.exe -s <Dein-DCName> -u 16 -a connect eine Antwort bekommst Falls nicht, dann gibt es Probleme auf Port 135 o. 445 blub

Solche Zugriffsprobleme bei Trusts treten auch auf, wenn die "Lan Manager Authentication Level" der beiden Domänen zu weit auseinanderliegen (2 und 5) https://technet.microsoft.com/en-us/library/jj852207%28v=ws.11%29.aspx oder auch durch andere NTLM-Restrictionen Trotzdem musst du natürlich die (Domänen!-)User/ Gruppen aus A auch auf der Resource in B irgendwie berechtigen! blub

"net use" ist weder sicher noch unsicher. Welches Protokoll hast du? SMB1.0/ 2.0/ 3.0/3.1 . Wenn du das weisst, kann man dir etwas zur Sicherheit sagen. get-smbconnection liefert die Antwort smb1.0 ist vollkommen unsicher smb2.0 bietet Signatur smb3.0 bietet Signatur und Verschlüsselung smb3.1 ist glaub ich nur noch effizienter generell_1: IPSec (Kerberos oder Zertifikatsbasiert) würde deine Netzwerksicherheit deutlich erhöhen. generell_2: see: https://technet.microsoft.com/en-us/library/jj635700%28v=wps.630%29.aspx blub

Du kannst eine statische Route einfügen. Die Metric ist uninteressant. https://technet.microsoft.com/en-us/library/cc757323%28v=ws.10%29.aspx https://technet.microsoft.com/en-us/library/cc958823.aspx Aber zum x-ten Mal: Das Anpassen der Routing Table ist keine gute Lösung, maximal ein temp. Workaround. Sprich mit deinem Netzadministrator, er hat das Problem zu lösen!

Ich bin auch kein Netzspezialist, aber welche der beiden Netzwerkkarten sich die Daten auswählen, hängt ab von der Ziel-IP-Adresse und den Netzwerkeinstellungen am Rechner (Routingtable). Sicherlich nicht - von den MAC-Adressen der Interfaces - von IRQ Settings - wie der Layer 7 auf die MAC Adresse geschmiedet ist (wobei das zumindest sehr gut klingt!) - ob es sich um Onboard oder Steckkarten handelt - von der Bindungsreihenfolge der Karten - ob beide Anschlüsse Ethernet, TokenRing oder sonstwas sind. Also sieh dir die Routingtabelle an (route print). Die kannst du ggf. ändern. (Layer 3 kannst du so beeinflussen) Besser ist es, einen Netzwerktechniker hinzuziehen und wie schon geschrieben, das Netzdesign anzupassen. Das Ergebnis muss sein, dass User gar nicht mehr das kritische Netz durch Flooding lahmlegen können, sei es bewusst oder unbewusst. Eine solche Netzwerkseparierung für das kritische Netz ist kein Hexenwerk! blub