gaijin

Das bedeutet, dass wir dem Kunden im Vorfeld erklären, was wir dort tun. Es geht hier ja weniger darum personenbezogene Daten auszuwerten, sondern nach unserem Verständnis die Transparenz zu schaffen, was möglich wäre und wie damit umgegangen wird. Dazu gehört z.B.; wir zeichnen Daten auf (Verbindungsdaten, Firewall-Logging) und müssen dafür Sorge tragen, dass diese entsprechend geschützt sind. Und ja, natürlich sollte das selbstverständlich sein. Ist es aber nach meiner Erfahrung bei weitem nicht.

Wir betreiben das bei unseren Kunden (natürlich nach Rücksprache und unter Beachtung der Datenschutzrichtlinien) in Verbindung mit einer Thread-Detection und einem Alerting. Als kritisch eingestufte Threads isolieren automatisch den Host. Das geht natürlich etwas über die reine TLS-Inspection hinaus. Wir haben tatsächlich immer wieder Erkennungen, die von der Firewall durch die TLS-Inspection unterbunden wurden. Der Ansatz ist für uns; wenn der AV-Client auf dem Endpunkt anschlägt, haben wir im Vorfeld an der Eingangstür etwas nicht beachtet. Zu 1.: Da ja für spezifische Ziele Ausnahmen definiert werden müssen, gibt es hier auch kein Hickhack mit den Zertifikaten, da diese ja eine direkte Verbindung aufbauen. Aber auch hier gibt es verschiedene Ansätze, z.B. kann man Regeln für die spezifischen Ziele oberhalb der TLS-Inspection Policy ansiedeln, dann passiert da erstmal nix und man muss keine Ausnahme in der Inspection definieren. Zu 2.: Vollkommen korrekt, dass muss natürlich im Vorfeld geklärt und absolut offen und transparent besprochen werden. Zusammenfassend kann ich sagen, tatsächlich ist TLS-Inspection alleine kein Allheilmittel. In Verbindung mit weiteren Diensten ist es (meiner Meinung nach) ein durchaus nicht zu unterschätzender Benefit. Aber wie ich schon Anfangs erwähnt hatte, die Meinungen gehen in der Thematik berechtigterweise durchaus auseinander.

Es läuft mir persönlich sehr häufig über den Weg. Meine Meinung dazu: Man sollte heutzutage TLS Inspection betreiben.

Das ist absolut korrekt, Banking und auch Medizin, sowie Papa Staat sollten (müssen) bei der TLS Inspection als Ausnahme definiert werden. Das hier eine Pflege und Überwachung der Detections erfolgen muss versteht sich von selbst (dachte ich ).

Hallo, da wirst Du sicherlich vielfältige Meinungen erhalten, da es ein stark umstrittenes Thema ist. Wir brechen bei unseren Kunden die Verbindungen in der Firewall auf und prüfen auf den Datenstrom auf Schadcode, Botnetz Kommunikation, etc. Das geht natürlich, wie Du schon richtig bemerkt hast, nicht mit allen Zielen und muss entsprechend mit Ausnahmen gepflegt werden. Viele Grüße!

Hi, das ist meines Wissens das Standardverhalten, wenn die Druckerumleitungen in der RDS Sammlung aktiviert sind. Ansonsten kann das über Gruppenrichtlinien ausgesteuert werden, prüfe mal, ob da Einstellungen vorgenommen wurden.

Bitte erhelle mich; was ist in Deinen Augen denn hier eine moderne Cloudlösung? Ich lerne ja immer gerne dazu.

Hallo, der Screenshot zeigt die gesamte Menge aller Offlinedaten auf dem System. Möglichweise wurden mit der Aktivierung der Offlinedaten weitere Shares zwischengespeichert. Die Inhalte kannst Du im Synchronisierungscenter einsehen und prüfen. Ein Cloud-Sync hätte den Vorteil, dass eben keine Daten lokal vorgehalten werden müssten. Außerdem (Meiner persönlichen Meinung nach) ist der Offlinesync von Windows ... etwas fehleranfällig ;)

Hi, die Erfahrungen haben wir auch gemacht. Wir haben einen ähnlichen Kunden und fahren hier Inkrementell und Synthetic Full. Wir haben dadurch einen ordentlichen Performancezuwachs erreicht.

Hi, dann sollte das meines Erachtens nach so passen, wie Du das aufgeführt hast.

Hi, das Storage sollte in einem eigenen Netz und über eigene Adapter angebunden werden. So wie ich das lese, ist das Storage über die Management Adapter und Netz angebunden? Das ist ein echtes Risiko und sollte unbedingt geändert werden. Vor allem, mach's gleich, wenn Du das Environment sowieso anpacken musst.

Hi, schalte mal UDP auf Deinem lokalen Client für TDP ab: “HKEY_LOCAL_MACHINE -> Software -> Policies -> Microsoft -> Windows NT -> Terminal Services -> Client” “DWORD 32” Eintrag mit dem Namen “fClientDisableUDP” erstellen und den Wert 1 zuweisen.

Hast Du anstatt den Namen die IP-Adresse in VEEAM getestet? Ansonsten einfach mal nach diesem Tutorial konfigurieren, bzw. die vorhandenen Einstellungen verifizieren: Veeam Backup auf FritzBox-NAS einrichten (kreyman.de)

Teste bitte auch mal, ob über den Windows Explorer der Share erreichbar ist. Nimm mal anstatt den Namen die IP-Adresse: "\\xxx.xxx.xxx.xxx\Elements\veeam_backup"

Hi, wahrscheinlich so: "\\fritz.box\elements\veeam backup" Wenn das nicht funktioniert, nenne mal den Ordner "veeam backup" um in z.B. "veeam-backup". Leerzeichen in einem UNC Pfad sind immer schlecht.

Hallo, welches Ergebnis wird nach "gpupdate /target:computer" ausgegeben? Gibt es mehr als einen DC? Wenn ja, ist die Syvsol Replikation in Ordnung? Viele Grüsse Flo

Hi, es ist jetzt nunmal so. Klar sollte ein DC keine weiteren Rollen oder Software betreiben, dass ist sicherlich unstrittig. Aber beim TO ist es aktuell halt so. Zurück zum Thema; nur mal so ne Sicherheitsfrage um mir Klarheit zu verschaffen: Der DC ist aber nicht auch der Hyper-V? Das Non-paged Pool Problem hatte ich zumindest seither nur mit gewissen Third-Party Treibern, wie z.B. AV, Drucker oder Netzwerkkarten. Einmal auch mit Storage-Treibern. Wenn der DC also virtuell ist, sollte nicht allzuviel übrig bleiben. Viele Grüße Flo

Hi, ist der Server aktuell? Soweit ich von Prozessen sehe, ist auch neben dem Malwarebytes Endpoint Agent noch der bordeigene Defender aktiv. Vor ein paar Wochen gab es mal einen Vorfall mit bestimmten Defender Signaturen, welche den RAM auf den betreffenden Systemen voll ausgelastet haben. Vielleicht wäre das ein Ansatz zur Fehlersuche. Viele Grüsse Flo

Hi, dann ist möglicherweise der Outlook Cache defekt. Ich würde hier einmal zum Test ein neues Outlook-Profil mit aktiviertem Cache erstellen und nochmals das Prozedere durchgehen. Viele Grüsse Flo

Hi, lass Dir mal bitte anzeigen, ob aus versehen "Senden im Auftrag von" für den Account zusätzlich aktiviert ist. Die Meldung "Diese Nachricht konnte nicht gesendet werden. Sie besitzen nicht die Berechtigung, die Nachricht im Auftrag des angegebenen Benutzers zu senden." weißt irgendwie darauf hin. Wenn die GUI nichts anzeigt, evtl. nochmals die Einstellungen per Shell prüfen. Viele Grüsse Flo

Hallo, aufgrund der von Dir geschilderten Thematik und Deinen Antworten kann Dir nur dringend empfehlen das einem Dienstleister zu übergeben. Idealerweise plant der das mit euch einmal durch und setzt das dann um. Die Sache nicht ganz so trivial ist wie Du Dir das vorstellst. Ausserdem kann man nach meiner Meinung die von Dir gewünschte Konstellation nicht in einem Forum lösen, sofern Du nicht sattelfeste Kenntnisse in Routing, VLANs und Switching besitzt.

Solange der angefragte DNS Server per PING erreichbar ist verwendet Windows diesen weiter auch wenn keine gültigen Antworten kommen. Das Problem ist mir die letzten Monate auch ein paarmal (aber nicht gehäuft) unter die Finger gekommen. Eine Analyse der DCs und DNS Server ergab in meinen Fällen keine Hinweise auf Malware oder andere Unstimmigkeiten, ich habe es dann auf Windows Updates geschoben (Zumal der Fehler tatsächlich jeweils nur einmal aufgetreten ist).

Moin, sind die DCs vielleicht Windows Server 2019 und wurden neu gestartet? Ich hatte da vor kurzem bei einem Kunden das Problem, dass die DCs nach einem Neustart nicht mehr im Domänen-Netzwerk waren sondern die Verbindung als Öffentlich eingestuft wurde.

Also Microsoft nennt als Voraussetzung folgendes, wenn ich richtig gelesen habe: https://docs.microsoft.com/de-de/system-center/dpm/prepare-environment-for-dpm?view=sc-dpm-2019 Unterstützte SQL Server-Version DPM 1807 und DPM 2019 - SQL Server 2016 und SPs wie hier angegeben - SQL Server 2017 wie hier angegeben

Ist das aufgebaute VPN transparent oder gefiltert?