zahni

Den Text offline als verschlüsselte PDF erstellen und unverschlüsselt als Mailanhang senden...

Die DataCenter-Lizenz benötigst Du, weil Du, wenn die Hardware korrekt lizensiert ist, eine beliebige Anzahl von VM's betreiben kannst. Auch DataCenter (die Edition ist dann egal). Das Windows muss entsprechend der Physik, auf dem der ESX läuft, lizensiert sein (Anzal der Core, usw.). Problem ist eventuell die Aktivierung. Unter VmWare geht es am besten mit einem KMS oder auch MAK's. AVMA funktioniert bei Vmware nicht.

Die gezeigten BIOS- und ILO-Version können als museal bezeichnet werden. Ansonsten kann man nicht erkennen, was verbaut ist. Wenn ein Array Controller vorhanden ist, scheint der zu "fehlen".

Als Sysadmin braucht man starke Nerven in in ist in jedem Fall der Schuldige, wenn etwas passiert. Daher muss man Sicherheitskonfigurationen eben gegen User-Befindlichkeiten durchsetzen oder die Risiken den Verantwortlichen haarklein kommunizieren. Dann kann man diese Information im Notfall vorweisen und ist aus der Nummer raus. Die Arbeit hat man natürlich trotzdem.

Aus meine Sicht der Basis-Schutz: - Im Email-System läuft ein Content-Filter, der alle ausführbaren Programme herausfiltert, und unklare Dateien (z.B. verschlüsselte ZIP-Archive) von einer befähigten Person prüfen lässt. - Web-Proxy, der auch via SSL-Interception alle ausführbaren Programme herausfiltert, böse Skripte und den Zugang zu bekannten "verseuchten Seiten" blockiert. Natürlich muss Ausnahmen für definierte Quellen, Server und User definieren können. - Am Client läuft als letzte Bastion ein korrekt konfigurierter Applocker bzw. SRP. - Wenn man mag installiert man noch einen Virenscanner. Der bringt heute aber eigentlich nichts.

Oder es funktioniert nur mit Enterprise? Per Google findet man nicht wirklich was.

Eigentlich sollte ein guter RAID-Controller für diese Sektor-Geschichten eine passende Emulation anbieten, in dem man z.B. dort das passende Ziel-Betriebsystem einstellt. Was hast Du denn konfiguriert? Der Controller unterstützt wohl JBOD (mit RAID 0,1,10) und nativ RAID (auch z.B. 5). Eventuell tritt es nur im JBOD-Mode oder nur im AID-Mode auf. Persönlich würde ich auf JBOD als Ursache tippen.

Doch. Event: 865. Fand damals sogar aussagekräftiger und man konnte mit Tools hier einfach mal eingeschaltete PCs danach absuchen. Applocker loggt sehr viele unnötige Dinge. Diese "neuen" Windows-Events außerhalb der normalen Eventlog sind für viele Tools unsichtbar.

Eventuell erzeugt der Controller beim log. Laufwerk per default bei NVME eine nicht unterstützte Sektorgröße schaue mal, ob man dort irgendwor 512e einstellen kann. im Server ist UEFI an und nicht etwas im BIOS-Modus konfiguriert?

Und ich würde auch dringend empfehlen, die Richtlinie per default auf "nicht erlaubt" zu stellen und alle Pfade hinzufügen, wo der User dann doch Programme ausführen darf. Nicht nur EXE-Dateien sind gefährlich. Im Übrigen muss ein Großteil der Richtline in der User-GPO konfiguriert werden. Du möchtest sicher nicht, dass dem Computer selber oder Administratoren der Zugriff auf c:\windows verwehrt wird.

Wie schon geschrieben: Wir haben da keine Erfahrungen, weil das niemand macht. Du kannst Dich in der Domäne auch nicht mehr anmelden, wenn die Uhrzeit nicht mit der Uhr in den DC's übereinstimmt (ich glaube, per default sins max, 3 Minuten Abweichung zulässig). Vielleicht schreibt Du zunächst, was das Ziel der Übung ist?

Welche Firmware ist auf dem Controller? Je nach Firmware braucht man offenbar andere Treiber, wenn ich die HCL richtig interpretiere. Ansonsten hat der Hersteller sicher auch einen Support.

Wird der RAID-Controller unterstützt? Wer ist der Hersteller des Servers oder ist er gebastelt? Edit, Blödsinn. https://www.vmware.com/resources/compatibility/detail.php?deviceCategory=io&productid=49471

Auch wenn es weh tut: Man verwendet nur getestete Server, die in der VMWare HCL verzeichnet sind. https://www.vmware.com/resources/compatibility/search.php

Ist das eine Domäne? Wenn ja: Wozu ist das Script gut?

Hi, wir verwenden Lexmark. Ob dort direkt im Drucker direkt Kerberos unterstützt wird, kann ich nicht sagen. Jedoch müsste der Drucker hier in der Domäne gejoint sein oder zumindest mit über eine Kerberos-Konfig mit einem privaten Schlüssel verfügen. Lexmark bietet jedoch zahlreiche Managment-Lösungen an, bei denen die Scan-Funktion zar am Drucker erfolgt, die Ablage der die Scans dann aber von der Mangement-Lösung. Lexmark bietet hier z.B. LPM an https://www.lexmark.com/de_de/products/smart-mfp-ecosystem/manageability.html , für das es zahlreiche Erweiterungen gibt. Ansonsten schau mal hier: https://infoserve.lexmark.com/ids/ifc/ids_topic.aspx?root=kb20211201183846179&topic=FA1041&productCode=Lexmark_X925&loc=en_NZ

Und wenn man schon dabei ist, sollte man das Password vom krbtgt-Konto regelmäßig ändern. Damit werden etwaig ausgestellte oder erlangte "Golden Tickets" ungültig. PS: Man muss ein mindestens 2x ändern (hatte ich vergessen) https://blog.quest.com/what-is-krbtgt-and-why-should-you-change-the-password/

Es ist zumindest keine schlechte Idee den echten "Administrator" umzubenennen und einen neuen Fake-Administrator anzulegen. Da können sich Script-Kiddies u.U. austoben.

Lt. Google soll man ein AXXRMM4LITE nachrüsten können. Vielleicht gibt es dafür irgendein nettes Tools zum Einschalten? Habe nicht weiter gesucht.

Hier die Erkenntnisse von Günter Born: https://www.borncity.com/blog/2022/09/15/windows-10-update-kb5017308-verursacht-probleme-beim-erstellen-kopieren-von-dateien-per-gpo/

Lies Dir den Link oben nochmal durch. Du bekommst eher eine ungültige Antwort von einem externen DNS-Server. Eine Abfrage nach ezone-*.bunnyinfra.net ist übrigens ungültig. Da ist kein Wildcard erlaubt. Wenn Du das DNS-Debug aktivierst, bekommst DU auch raus, wer diese Anfrage gestellt hat. bunnyfra.net scheint ein CDN zu sein, wobei ich das nicht mit Sicherheit sagen kann. Könnte auch suspect sein.

Hat er denn nun eine Weiterleitung oder soll er sonst externe Adressen auflösen? Denke daran: Wenn der DNS-Server die Root-Server erreichen kann, macht er Internet-DNS, auch wenn Du das nicht willst. https://social.technet.microsoft.com/Forums/ie/en-US/27d2015b-d107-433e-b944-279542a9d867/the-dns-server-encountered-an-invalid-domain-name-in-a-packet-from-1575611242?forum=winserveripamdhcpdns

Bitte EventID und Quelle nennen. Update: Im DNS eine Weiterleitung auf einen externen DNS einstellen und die Namensauflösung nicht über die Root-Zonen machen. Dann sollten die Meldungen verschwinden (zumindest lt. Google).

Vielleicht hat das WAN via UPD doch Zugriff? Falsch konfigurierte Firewall? Oder der das Default Gateway reagiert UPNP? Persönlich würde ich DC's keinen Internetzugriff erlauben. Edit: Falls Du das optionale DNS-Debug meinst: Wenn der DC auf öffentliche DNS-Server weiterleitet, ist das natürlich normal. Irgendwie muss er ja externe Adressen auslösen.

Wenn Su es trennen kannst, magst Du mit den Risiko leben. Bei Lösungen wie ILO ist IPMI schon länger der Default abgeschaltet. https://www.tenable.com/plugins/nessus/80101