blub

"If you don't need it, get rid of it!" Das ist eine m.E. vernünftige Leitlinie für das Hardening von IT-Systemen. Klar, IPv6 wird irgendwann IPv4 ablösen! Aber ob das in einem Jahr oder in 10 Jahren sein wird, weiß niemand. Ja, ich weiss, dass der SBS für RRAS und Exchange relativ zwinged IPv6 gebraucht hat, ebenso ältere Versionen von DirectAccess. Der dritte, vielleicht trifftigste Grund, der gegen das Disablen von IPv6 spricht, ist das Microsoft seine Hotfixe, ServicePacks etc. nur noch gegen Systeme mit enabled IPv6 testet. Daher wohl auch die MS-Empfehlung am Ende des verlinkten Beitrags. IPv6 on/off ist wieder eine typische Streitfrage zwischen Operations und Security. Ich disable IPv6 jedenfalls, solange bis ich es brauche. Ist aber wiegesagt Ansichtssache. blub

Welchen Weg bzw. welche Karte die Daten von deinem Win7-Rechner aus zum Ziel wählen, ist in der Routing-Table (route print) am Rechner mehr oder weniger statisch mittels Standardgateway und festen Routen festgelegt. Denkbar ist es, die Routing-Table in Abhängigkeit der zu übertragenden Daten über ein Skript dynamisch zu gestalten (route add). Obwohl ich deine Beweggründe natürlich nicht kenne, denke ich, dass es bessere Lösungsansätze für dein Problem gibt, als über eine bestimmte Netzwerkkarte gehen zu wollen. blub etwas mehr über Routing-Tables findest du hier: https://technet.microsoft.com/en-us/library/cc958823.aspx

Wenn es sich nur um einen einzigen Server handelt, würde ich es über die Windows Firewall einstellen - command prompt als Admin - wf - inbound rules: suche nach "Remote Desktop - User Mode (TCP-In)" - ggf. kopier dir diese Rule und disable das Orginal - unter "Scope" kannst du die Remote IP Adressen eintragen, die auf den Server zugreifen sollen - hast du IPSec am Start, kannst du unter "Remote Computers" Rechnernamen oder Gruppen eintragen. Nur IPSec garantiert dir die Echtheit des Computerkontos (vielleicht genügt schon Null-Encapsulation für dich!) - oben links mit der rechten Maustaste auf "windows Firewall with Advanced Security on Local Computer" -> Properties -> Prüfen, dass das entsprechende Profil aktiviert ist, (inbound connection: Block (default)) Mehrere Rechner verwaltest du natürlich besser über eine Domain Policy. Powershell geht bei 2012R2 selbstverständlich auch: get-command set-netfire* musst mal selbst probieren blub

Der PDCe bekommt eine Passwortänderung sofort, ohne Replikationsdelay, von seinen anderen DCs direkt mitgeteilt. Durch diesen Mechanismus kann sich ein User sofort nach einem PW-Wechsel mit seinem neuen PW anmelden und muss nicht warten, bis das neue PW auf alle DCs durchrepliziert ist.

ist der DC1 der PDCe? Die erste Anmeldung erfolgt an einem beliebigen DC aus der Site des Clients, bei falschem Kennwort erfolgt der zweite Anmeldeversuch beim PDCe. blub

Hab ich nicht! Aber man fängt nicht am Grund des Brunnens an mehr oder weniger gut zu monitoren, damit ein erneut hineingefallenes Kind diesmal eventuell schneller (zumindest werktags zwischen 9:00 und 16:00 Uhr) entdeckt wird. Und verkündet anschließend "jetzt ist der Brunnen zumindest etwas sicherer"

Das ist doch eine Bastellösung, die genau 0% mehr Sicherheit bringt. - der nächste Attacker nutzt die Endung *.aa1 (ganz doof sind die Authoren von Malware auch nicht!) - gegen Malware, die Informationen ausspäht, verändert oder löscht, hilft diese Lösung überhaupt nicht - man erhöht die Komplexität der eigenen Umgebung unnötig für mehr gefühlte Pseudo-Sicherheit, was wiederum weitere Angriffe nur erleichtert - "Ohne Backup kann der Schaden sehr groß werden." ja,....das ist tatsächlich richtig, aber die Lösung bzw. Folgerung daraus ist komplett falsch!

Ich habe eher das Gefühl, dass organisatorisch was schiefgelaufen ist: https://technet.microsoft.com/en-us/library/mt598226(v=vs.85).aspx - Feature Updates sollen je nach Branch erst nach 4 Monate verpflichtend sein - Servicing Updates (also Sec-Patches) sind naturgemäß asap Pflicht und cumulative Updates enthalten sowohl Feature- wie auch Servicing Updates Irgendwie klingt das für mich noch unlogisch.

Darüber wird hier schon länger diskutiert, leider ohne Lösung. Nur die Hoffnung auf einen Patch https://social.technet.microsoft.com/Forums/office/en-US/7ae7c38d-9c62-4208-b738-27698ea76061/windows-10-wsus-gpos?forum=winserverwsus

Ich würde über NTFS-Auditing versuchen, den Verursacher zu finden: 1.) secpol.msc -> Advanced Audit Policy Configuration -> Object Access -> Audit File System "Success and Failure" 2.) Am Ordner in den NTFS-Settings: -> Advanced -> Auditing -> Add -> Principal "Domain Users" oder "Everyone" -> Permissions nur auf "Write" (SACL), um die Anzahl der Events klein zu halten 3) Im Security Eventlog siehst du dann genau, "wer, mit welchem Prozess wann welche Datei" in den Ordner geschrieben hat. Mit "Read" in der SACL könntest du auch sehen, ob jemand auf diese Dateien zugreift. blub

Ransomware ist ja nur ein Typ von Malware, deren Existenz man naturgemäß auch bemerkt. Man kann nur erahnen, wieviel mehr IT-Systeme unbemerkt von Malware gekapert sind und unbemerkt missbraucht werden. Ich behaupte mal, wer jetzt Locky etc. bei sich hat, dessen Systeme sind schon lange vorher verseucht worden. (zumindest sehr oft)

Mit Powershell müsste sich das doch relativ einfach umsetzen lassen. Get-Netipaddress -> Jenachdem "windows update" stoppen oder starten oder auch in Abhängigkeit vom verwendeten Adapter: http://serverfault.com/questions/145259/powershell-win32-networkadapterconfiguration-not-seeing-ppp-adapter

man könnte monieren, dass -ähnlich wie bei Terminalservern oder RDP-Sitzungen- ein User mit Adminrechten unter Einsatz der üblichen Hackingtools einfach die Passwörter der parallel angemeldeten User auf der Maschine auslesen kann. Und sich als Normal-User zum lokalen Admin aufzuschwingen, ist auch nicht so schwierig, wie schon die monatlichen MS Security Bulletins immer wieder zeigen (https://technet.microsoft.com/en-us/library/security/ms16-apr.aspx -> Elevation of Privilege) Je nach Sicherheitseinstufung der Benutzer, Daten und Rechner solltest du dir Gedanken machen, ob diese Gefahr auf diesem Rechner tolerierbar ist. Ab Windows10 soll mit IsolatedUserMode und CredentialGuard der Schutz der Credentials wesentlich besser sein. https://technet.microsoft.com/en-us/library/security/ms16-apr.aspx (ich finde dieses Video wirklich sehr informativ, auch die weiteren 2 Teile) Win7 ist an der Ecke jedenfalls noch offen wie ein Scheunentor. Der Vollständigkeit die beiden weiteren Teile https://channel9.msdn.com/Blogs/Seth-Juarez/Isolated-User-Mode-Processes-and-Features-in-Windows-10-with-Logan-Gabriel?ocid=relatedentry https://channel9.msdn.com/Blogs/Seth-Juarez/More-on-Processes-and-Features-in-Windows-10-Isolated-User-Mode-with-Dave-Probert blub

nach dem letzten April-Patchday sind vermehrt Probleme zwischen 2003er DCs und Win10 Clients bzw. XP-Clients und 2012(R2) DCs auch hier im Forum aufgetaucht. -> Wenn man 2012-er und 2003-er Betriebssysteme mischt, sind früher oder später ebenfalls (evtl. sogar unlösbare) Kommunikations-Probleme zwischen 2003 und 2012 zu erwarten. https://www.microsoft.com/en-us/server-cloud/products/windows-server-2003/

kannst du mal IPv6 auf der Netzwerkkarte eines Rechners deaktivieren? Nur IPv4 aktiviert lassen. (IPv6 würde ich dann ohne trifftigen Grund auf deaktiviert lassen) Mit Netzwerktrace meinte ich eigentlich einen richtigen Trace aufgenommen mit einem Netzwerkmonitor wie "Wireshark" oder "Microsoft Netzwerkmonitor". Eine sinnvolle Auswertung setzt allerdings etwas (nicht soo viel, aber doch etwas!) Erfahrung voraus.

Hast du mal einen Netzwerktrace gezogen und den Trace mit einem eurer Netzwerker besprochen?

vergleiche doch mal nslookup madb.europa.eu auf einem Rechner im Office und zu Hause ich bekomme diese Adressen und kann die Seite auch erreichen: Addresses: 2a01:7080:24:100::361:1 2a01:7080:24:100::362:1 2a01:7080:14:100::361:1 2a01:7080:14:100::362:1 147.67.119.20 147.67.119.102 147.67.136.2 147.67.136.20 147.67.119.2 147.67.136.102 Schau auch mal in die Hosts - Datei (c:\Windows\System32\etc), ob dort eine blinde IP eingetragen ist.

Offensichtlich deinen Change-Prozess. Und die Lösung wurde dir nun schon mehrfach erklärt!

Hallo, Nach diesen Posts hat die splwow64.exe mehr oder weniger mit veralteten 32-bit Printertreibern zu tun http://www.groovypost.com/howto/splwow64-exe-process-windows/ http://answers.microsoft.com/en-us/windows/forum/windows_10-update/windows-10-upgrade-splwow64exe/d35cca1d-55d1-4765-9cc9-969094ab4f1f?page=2&auth=1 Ich würde mal durch die installierten Printer durchgehen, ob es neuere Treiber gibt und updaten. blub

Hallo Nic, Willkommen an Board! Anstelle dieser Custom Columns (L= ..., E= ...) finde ich PSObjects oder PSCustomerObjects deutlich übersichtlicher und flexibler Ich habe mir mal ein Beispiel geklaut: $Path = "c:\temp" $Directory = Get-Acl -Path $Path $Dirs = @() ForEach ($Dir in $Directory.Access){ $PSDir = [PSCustomObject]@{ Path = $Path Owner = $Directory.Owner Group = $Dir.IdentityReference AccessType = $Dir.AccessControlType Rights = $Dir.FileSystemRights }#EndPSCustomObject $Dirs += $PSDir #befüllen des Arrays mit einem PSCustomObjects pro Foreach-Durchlauf }#EndForEach $Dirs | ft Path,Owner #$Dirs | Export-CSV ... #see http://powershell.org/wp/kb/new-object-psobject-vs-pscustomobject/ Hier hast du für jede Property innerhalb der Foreach-Schleife eine eigene Zeile (die sogar auf eine eigene Function verweisen könnte). Am Ende hast du dann ein Array ($Dirs), welches du bequem ausgeben oder weiterverarbeiten kannst. Du kannst dir so Spalten für "OFFICE | Name | SMTP | SIP | smtp | weitere mögliche" übersichtlich erzeugen und zeilenweise befüllen. blub

Wenn diese Rechner noch nie ein Update erhalten haben, müsstest du diese Rechner alle frisch aufsetzen. Falls die Rechner Internet Zugriff haben, kannst darauf wetten, dass sie unheilbar verseucht sind! btw: "Nie" bedeutet tatsächlich "nie" und nicht etwas wie "ursächlich eines der zuletzt installierten optionalen Updates."

Aah, ich habe mich verlesen! du schreibst ja "gupdate" nicht "gpupdate". Das Erstere ist google-update und hat mit GPOs überhaupt nichts zu tun! Ich würde mal den Regkey von deinem Problem Server mit einem problemfreien Server vergleichen HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gupdate Dieser Artikel sieht außerdem noch ganz hilfreich aus: http://www.fixerrorkit.com/fix-error/fix-Gupdate.exe-error.html Google Update am Server, naja...es wird sicher einen guten Grund geben!

was passiert, wenn du "gpupdate" auf der Commandline (als Administrator ausführen) ausführst? Wird die User- und ComputerPolicies fehlerfrei gezogen? Gibt es einen Event wieder im Eventlog. Die Frage ist, ob du nur ein Anzeigeproblem im Eventlog hast, weil irgendeine Komponente nicht registriert ist, oder ob der Policyupdate selbst einen Fehler hat. Evtl. hilft es schon, wenn du den Server aus der Domain entfernst und neu aufnimmst. Wenn du nicht ganz so sparsam mit Informationen wärst, wäre es etwas einfacher.

Kannst du herausfinden, wann dieses Event das erste Mal aufgetreten ist? Gleich nach der Serverinstallation oder erst später?

upps, sorry für die unqualifizierte Frage, kommt nicht wieder vor! Hab jetzt leider nur deinen letzten Beitrag im anderen Forum gelesen: "net time" ist eine super Lösung, die mittels Browserliste bereits unter NT4.0 und vorher wunderbar funktioniert hat. Zusammen mit time.windows.com als Zeitserver gibt's nicht Besseres für zeitkritische Umgebungen, vorausgesetzt man deaktiviert flächendeckend den W32Time-Service. Aber das weißt du ja bestimmt!