zahni

Warum glaubt eigentlich jeder, dass man PDF-Dateien valide mit selbst erstellten Zertifikaten (egal ob self oder Enterprise-CA) valide signieren kann? Ich habe hier wieder ein Angebot, wo Acrobat natürlich meldet: Unterschrift ungültig (bzw. Es gibt es Problem mit der Unterschrift). Dafür, dass die Technik uralt ist, herrscht hier sehr viel Unkenntnis.

Ohne genau zu wissen, was Ihr macht: Ich würde eine FollowMe-Lösung empfehlen, die auch die Scan-Funktion abdeckt. Wir stellen primär ein Druckobjekt bereit, dass zu einem Druckserver druckt. Dort werden die Jobs an die Lösung von Lexmark übergeben. Diese Lösung kann wohl auch intern mit einem Load Balancer betrieben werden. Man kann auch auf die zentrale Warteschlange verzichten und direkt auf diesem emulierten Lexmark-Port drucken. Die Druckertreiber muss man dann eben anders bereitstellen. Das nur ganz grob. Es gibt hier schon Lösungen, aber nicht unbedingt direkt von MS.

Für IPSEC für ich den NCP-Client empfehlen: https://www.ncp-e.com/de/produkte/zentral-gemanagte-vpn-loesung/managed-clients Der unterstützt auch eine VPN-Anmeldung in der Domäne: PS: Willkommen im Forum.

Na also. Und jetzt installiert Die eine neuere Version

Das nächste Mal einfach warten. Windows-Updates auf Windows 2016 dauern aus unbekannten Gründen ewig. Mal 30 min, manchmal auch Stunden. Der Hänger bei 100% ist bekannt. Einfach hängen lassen und warten. Lösung: Windows 2019 oder neuer benutzen.

"Klick und Los"-Office wurde noch nie über den WSUS aktualisiert. Nur die MSI-Version. Die mag MS aber nicht mehr und hat sie mit Office 2019 eingestellt.

Wenn Du Platz hast, wird erfahrungsgemäß ein Teil der Kartons nie ausgepackt

Zumindest ab Windows 2019 wird das automatisch gemacht, wenn man das Computerkonto des alten DC löscht. Man sollte das AD nur eine Weile in Ruhe lassen und dann im DNS schauen, ob die _xxx-Einträge alle von dem DC befreit wurden.

Vor meinem Bürofenster gibt es eine Ecke, wo man nicht parken darf. Hier könnte man den ganzen Tag kassieren. Besonders lustig ist es mit Warnblinkern. Denn wer zur Warnung blinkt darf... ,-)

Da kann ich Dir nicht weiterhelfen. Ob und wie Kerberos mit Samba funktioniert: keine Ahnung. Es kann hier aber sein, dass durch unterschiedliche Windows-Versionen am Client und Server unterschiedliche Encryption Types konfiguriert sind. Ob überhaupt Kerberos benutzt wird, muss Du selber herausfinden. https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/network-security-configure-encryption-types-allowed-for-kerberos

Neuere Tableau-Versionen sollen KI-Funktionen bekommen haben...

Entweder ist am Client Kerberos mit AES256 nicht erlaubt oder am DC deaktiviert?

Sicher, aber sonst ist der Blog vom Kollegen Born schon recht gut. Ich hatte gestern auch etwas gebraucht, bis ich da durchgesehen habe. Und Google ist nicht ganz unschuldig. Offenbar ist es offenbar 1. zu einfach so ein Workspace-Konto einzurichten (keine Identitätsprüfung?) und 2. schickt man gebouncte Mails nicht an den ganzen Verteiler.

Ja. Ich kenne Google Workspace nicht. Für mich sieht es aber so aus, dass man dort Verteiler mit einer Mailadresse belegen kann, Dann schickt "jemand" die eigentliche SPAM an diesen Verteiler (das war wohl eine ICloud-Adresse). Google hat hatte nicht Besseres tun und schicket dann alle (automatischen) Antworten wieder an den Verteiler. Bei dem ganzen Müll im Header (mehrfache ARC-Seals und DKIM) würde ich auch durcheinanderkommen.

Hi, kann es sein, dass jemand über Google Workspace eine Verteilerliste anlegt und damit SPAM-Mails verschickt? Ich habe heute 9 Autoresponder von Überall bekommen, inkl. irgendwelchen Ticket-Systemen? die 1. Mail war die hier: Danach bekam ich 8 oder 9 Autoresponder. Die Mails kommen von Google, diese Domain bh.ipetecnologia.net hat Google im SPF. In den Headern steht sowas: X-Google-Group-Id: 407248796611 List-Post: <https://groups.google.com/a/bh.ipetecnologia.net/group/sg/post>, <mailto:sg@bh.ipetecnologia.net> List-Help: <https://support.google.com/a/bh.ipetecnologia.net/bin/topic.py?topic=25838>, <mailto:sg+help@bh.ipetecnologia.net> List-Archive: <https://groups.google.com/a/bh.ipetecnologia.net/group/sg/> List-Subscribe: <https://groups.google.com/a/bh.ipetecnologia.net/group/supporty/subscribe>, <mailto:supporty+subscribe@bh.ipetecnologia.net> List-Unsubscribe: <mailto:googlegroups-manage+407248796611+unsubscribe@googlegroups.com>, <https://groups.google.com/a/bh.ipetecnologia.net/group/sg/subscribe>

Was willst Du erreichen? Lizenztechnisch ist das u.U. nicht erlaubt.

Was soll damit erreicht werden? Geht es um einen transparenten Proxy? Da würde ich einen echten Proxy mit Kerberos-Auth bevorzugen. Der kann dann über LDAP Gruppenzugehörigkeiten abfragen.

Es könnte etwas mit einer weiteren Härtung. Die Installation von Druckertreibern über diesen Weg ist seit die Bug ein Sicherheitsrisiko. Wir verbinden Drucker generell mit dem Logon-Script (und löschen sie vorher).

Ich denke an den Spooler CVE https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527 Due solltest Generell auf allen Servern den Spooler deaktivieren (außer dem PrintServer). Am Client sollte es die GPO geben, dass nur lokale Verbindungen erlaubt sind. Dann gibt es noch eine GPO, die definiert, von welchem Server Treiber installiert werden dürften. Steht im Link bzw. bei Google. Ich habe jetzt keine Zeit zum Raussuchen,

Falls Ihr die Software irgendwie nutzt: https://www.borncity.com/blog/2025/02/06/cyberangriff-auf-gfos-mbh-zeitwirtschaft-zugriffskontrolle/

Was mit noch einfällt: Unterstützt Windows XP embedded WebDAV? Vielleicht ist da ja eine Alternative.

Der Prozessor hat AVX2. Ist das eine VM? Ist AVX im Bios-Setup aktiviert (falls man es dort abschalten kann)? Bei der CPU sollte ein BIOS-Update mit einem aktuellen Microcode eingespielt werden: https://www.heise.de/select/ct/2024/20/2423208431489855752

Was willst Du denn für Lizenzen installieren?

Ja es lag RequireMutualAuthentication=0 Damit wird NTLM verwendet.

Eine Dumme Frage: Wenn wir im EA-Vertrag jährlich unseren Betrag zahlen, inkl. der E5-Lizenzen, sollte das doch abgedeckt sein?