blub

das ist die Netbios Browserliste, die dir angezeigt wird. Netbios (=olle Kamelle) kann man in einer aktuellen Windowsumgebung prinzipiell deaktivieren, aber der Weg dorthin wird kein leichter sein. (je nach Umgebung) Auch wenn der Kollege hier das Problem andersrum hat, dass er keine Maschinen mehr sieht, kannst du hier ein paar Ansätze pro/ contra Netbios finden https://www.mcseboard.de/topic/205769-netzwerkumgebung-mit-subnetzen-clients-nicht-sichtbar/

Kannst du mal in der DomainGPO nachsehen, welches "LAN Manager Authentication Level" ihr gesetzt habt. (Security Options -> Network Security -> Lan Manager authentication level) https://technet.microsoft.com/de-de/magazine/2006.08.securitywatch%28en-us%29.aspx Der User versucht luat deinem Log sich mit NTLM zu authentisieren. Falls deine DCs wegen der Policy nur NTLMv2 akzeptieren (was prinzipiell gut ist und nicht aufgeweicht werden sollte!), dann schlägt die Anmeldung byDesign fehl. alte, falsch konfigurierte Safari-Browser und mindestens 14 weitere Gründe können am Client die Ursache sein, dass diese nur NTLMv1 nutzen können. https://wiki.cac.washington.edu/display/UWWI/NTLMv1+Removal+-+Known+Problems+and+Workarounds ist aber ein Schuss ins Blaue! blub

enable auf der Netzwerkkarte doch mal Netbios unter: TCPIP -> Advanced settings -> Wins blub

jeden Monat werden neue kritische Sicherheitslücken in Office/ Word behoben

such mal nach den letzten Windows10 TH2 Policies. Da gibt es die AdmPwd.admx LAPS - Enable local admin password management LAPS - Password Settings LAPS - Name of administrator account to manage LAPS - Do not allow password expiration time longer than required by policy blub

Die neuen Intel und AMD Prozessoren werden wohl bald nichts älteres als Windows 10 unterstützen http://www.theverge.com/2016/1/16/10780876/microsoft-windows-support-policy-new-processors-skylake Alleine deswegen würde ich jetzt nicht mehr auf ältere OS setzen. Gerüchteweise soll es dieses Jahr auch noch Windows10 as a Service geben. Dann dürfte sich meiner Meinung eh sehr viel ändern. blub

Manche meinen, dass Microsoft möglichst schnell ein große Zahl von nicht Pro, Enterprise und EDU- Win10Versionen im Netz haben will, damit diese meist nicht professionell genutzten Rechner (meist Home-Edition) bzgl. der Updates/ Upgrades die "Guinea pigs" für die industriellen Kunden mit WUB spielen. WUB-Kunden kommen erst ein paar Tage später in den Genuss der dann möglicherweise nachgebesserten Updates/ Upgrades https://technet.microsoft.com/en-us/library/mt622730%28v=vs.85%29.aspx?f=255&MSPPError=-2147217396 Klingt nicht ganz unlogisch, wenn man sieht, wie oft MS die Updates nachbessern muss. blub

leider erst ab Windows10, "Windows10 Server" per Powershell https://technet.microsoft.com/en-us/library/dn283401%28v=wps.630%29.aspx in Verbindung mit der Computer-GPO "Start Menu and Taskbar" "Start Layout" https://technet.microsoft.com/en-us/library/mt431718%28v=vs.85%29.aspx

besonders auf Layer 8 und höher

Hi, Solltest du doch über Programme -> Windows Funktionen ... aktivieren können. Hast du deine Source noch eingebunden? Schau mal unter .\sources\sxs nach, da liegt das Cab-File. noch als Ergänzung bzgl. supportet versions: http://blogs.msdn.com/b/dotnet/archive/2015/12/09/support-ending-for-the-net-framework-4-4-5-and-4-5-1.aspx blub

und trotzdem: Ändere alsbald, insbesondere bevor du neue AdminAccounts anlegst, die Passwörter aller bestehenden Administrator-Accounts, incl. krbtgt!

Könnte es sein, dass von den Berechtigten tatsächlich niemand dieses Passwort geändert hat? Dann sollten als ersten Schritt ganz schnell alle Administratoren und privilegierten Accounts ihr PW ändern. Beim krbtgt-Konto gleich 2-mal! blub

Hallo, kontrolliere mal in der Userpolicy: Windows Components\Internet Explorer - Do not allow users to enable or disable add-ons bzw. HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions!NoExtensionManagement Möglicherweise wurde durch die Updates wieder der Default-Wert "not configured" gesetzt. blub

Hi, ich würde es mit diesen Policies probieren. Zumindest in der Ecke mal suchen 1) Windows Components\App Package Deployment - Allow a Windows app to share application data between users 2) Windows Components\App Package Deployment - Allow all trusted apps to install 3) Windows Components\App Package Deployment - Allow deployment operations in special profiles 4) Windows Components\App Package Deployment - Allows development of Windows Store apps and installing them from an integrated development environment (IDE) 5) Windows Components\App Package Deployment - Disable installing Windows apps on non-system volumes 6) Windows Components\App Package Deployment - Prevent users' app data from being stored on non-system volumes Nummer 1,4,5,6 sind neu gekommen seit Win10 TH1 blub

ein Mediziner, ein Jurist und ein BWLer erhalten die Aufgabe, ein Telefonbuch auswendig zu lernen. Der Mediziner: "Bis wann?" Der Jurist: "gibt's einen Kommentar zum Buch?" Und der BWLer: "Was bekomme ich dafür?" Für diejenigen, die noch wissen was ein Telefonbuch ist

generell gilt das aber nicht https://technet.microsoft.com/en-us/library/hh831807.aspx?f=255&MSPPError=-2147217396

ja, entweder CRL-Zugriff oder "Certification Path" sind die größten Fehlerquellen. Alle(!) Certificate in deiner Certificatskette müssen z.b. "IP security IKE intermediate (.......)" als enhanced Usage drinnen haben. Du könntest im Windows-Eventlog noch das "CAPI2-Log" aktivieren. Vielleicht schreibt Windows ja etwas Brauchbares hinein.

Warum MS den Schlüssel überhaupt veröffentlicht hat, erschließt sich zumindest mir noch nicht. Außer Angreifer dürfte der Schlüssel in Reinform doch niemanden interessieren https://msdn.microsoft.com/en-us/library/cc422924.aspx

Schizophrenie (lt. Wikipedia) ....Häufig ist das sogenannte Stimmenhören sowie der Wahn, verfolgt, ausspioniert oder kontrolliert zu werden..... so in etwa meinte ich das auch Wenn's dir um Port/ ProzessID geht, kommst du auch mit "netstat -aon" hin http://poshcode.org/3139 liefert dir noch den Prozessnamen dazu. Manuell erhältst du aus der ProzessID den Prozessnamen über den Taskmanager oder "get-process" in PSH

ausgehende Ports werden meist dynamisch vergeben (1023 - 65536). Die kannst du also nicht fest freigeben oder sperren. Bei ausreichender Schizophrenie könnte man sich überlegen, sich die Blacklists böser IPs regelmäßig zu organisieren und diese in die Windows-Firewall dynamisch per PS reinzupumpen. https://dshield.org/suspicious_domains.html https://www.blocklist.de/downloads/ BSI etc. Im Normalfall überlässt man das aber den Kollegen, die an den richtigen Firewalls sitzen. Die Kollegen erkennen beispielsweise an den FW-Logs, ob sich irgendwo im Netz ein Trojaner eingenistet hat, der versucht zu einer dieser bösen IPs nach Hause zu telefonieren. Auf die SourceIP im eigenen Netz wird dann gezielt zugegangen. blub

1) "urplötzlich" würde ich nicht akzeptieren. Kannst du anhand der Logs zurückverfolgen, wann es losging? Dann schau im Windows-Systemlog und Anwendungslog nach, ob zu dem Zeitpunkt etwas von einem bekannten Account installiert wurde und frag bei diesem nach. Versuche diese SW-Installation rückgängig zu machen 4) Auf einem Server (außer TS) Anwendungen wie Outlook/ Browser laufen zu lassen, ist zumindest mal nicht Best-Practice. Werden die genannten Programme mit administrativen Berechtigungen gestartet und wird damit im Internet gesurft? Ist der Server aktuell gepatcht? (Wobei selbst ein aktueller Patchstand nur Schutz vor bereits bekannten Schwachstellen bietet. Jeden Monat kommen neue hinzu) Bei negativen Antworten nimm den Server vom Prod-Netz. Je nach Motivation kannst du den Server dann forensisch untersuchen oder neuinstallieren

Vielleicht kannst du etwas mehr zur Anamnese schreiben: - seit wann tritt das Problem auf - was wurde auf dem Server gemacht - tritt das Problem immer auf? (nach Reboot auch?) - tritt das Problem auch auf anderen Maschinen auf? - für was wird der Server genutzt? (Terminalserver, Citrix?) - Test- oder Produktivsystem? ...

da ich die dieselbe Beobachtung auf meiner Kiste habe und beim ersten nachweihnachtlichen Googeln hier gelandet bin, noch eine späte Antwort: 1.) auf cmd "netstat -aon" eingeben und nach folgender Zeile in der Ausgabe suchen: UDP 0.0.0.0:54915 *:* <PID> 2.) z.B. in Powershell mit "get-process" z.B. alle Prozesse ausgeben und nach der (P)ID von oben -bei mir "9920"-suche Daraus erhält man den Processname Bei mir: Handles NPM(K) PM(K) WS(K) VM(M) CPU(s) Id SI ProcessName ------- ------ ----- ----- ----- ------ -- -- ----------- 424 31 29880 34776 201 9920 5 LCore "LCore-" ist lt. Google der Process einer Logitechsoftware, die ich tatsächlich installiert habe.

mit einer solchen Antwort hatte ich nicht gerechnet :confused:

bei mir finde ich im SystemLog das Event 98 "Volume \\?\Volume{347da9e0-a97c-11e5-80ea-000c29c55446} (\Device\HarddiskVolume2) is healthy. No action is needed." samt "Date and Time" Das Event wird offenbar nach erfolgreicher Formatierung erzeugt. Wenn du nicht selbst formatiert hast, ...