zahni

Hm, und wie sollen sich die Anwender dann mit dem Fileserver verbinden? Und warum empfiehlt Dir der DL keine sinnvollen Schutzmaßnamen, wie Applocker / SRP / Contentfilter Mail und Proxy?

Wir hatten mal Probleme, als im Windows der Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" deaktiviert wurde.

Dort spekuliert ein Kommentar, dass die SRP-API für "Smart App Control" genutzt wird.

Montagmorgen: Es war ein SOLARFLARE Adapter. Keine Treiber im Windows 2019 mitgeliefert und auch Online nichts zu finden.

Sorry, hier steht Unsinn. Ich musste einen SOLARFLARE-Adapter entsorgen. Ich habe neulich einen älteren Mellanox-Adapter entsorgt, weil es keine Treiber mehr gab. Dann lieber Intel.

Wichtig ist noch, dass der Link im PDF zum Web Archive geht. Denn der originale Aufruf funktioniert nicht mehr: https://web.archive.org/web/20160314172859/http://www.educatedguesswork.org/2011/11/rizzoduong_beast_countermeasur.html Und ich lese es auch so, dass man TLS1.2 nutzen soll, was ja nicht falsch ist.

Wie wäre es mit https://answers.sap.com/questions/13468484/tls-vesion-10-disabled-and-enable-12-version-in-sa.html ?

Wie alt sind denn die Beiträge? Fakt ist, dass kaum noch ein Browser oder Windows TLS 1.0 unterstützt bzw. aktiviert hat. Der verlinkte Artikel ist nicht mehr existent, was nach über 10 Jahren vielleicht normal ist.

Den Text offline als verschlüsselte PDF erstellen und unverschlüsselt als Mailanhang senden...

Die DataCenter-Lizenz benötigst Du, weil Du, wenn die Hardware korrekt lizensiert ist, eine beliebige Anzahl von VM's betreiben kannst. Auch DataCenter (die Edition ist dann egal). Das Windows muss entsprechend der Physik, auf dem der ESX läuft, lizensiert sein (Anzal der Core, usw.). Problem ist eventuell die Aktivierung. Unter VmWare geht es am besten mit einem KMS oder auch MAK's. AVMA funktioniert bei Vmware nicht.

Die gezeigten BIOS- und ILO-Version können als museal bezeichnet werden. Ansonsten kann man nicht erkennen, was verbaut ist. Wenn ein Array Controller vorhanden ist, scheint der zu "fehlen".

Als Sysadmin braucht man starke Nerven in in ist in jedem Fall der Schuldige, wenn etwas passiert. Daher muss man Sicherheitskonfigurationen eben gegen User-Befindlichkeiten durchsetzen oder die Risiken den Verantwortlichen haarklein kommunizieren. Dann kann man diese Information im Notfall vorweisen und ist aus der Nummer raus. Die Arbeit hat man natürlich trotzdem.

Aus meine Sicht der Basis-Schutz: - Im Email-System läuft ein Content-Filter, der alle ausführbaren Programme herausfiltert, und unklare Dateien (z.B. verschlüsselte ZIP-Archive) von einer befähigten Person prüfen lässt. - Web-Proxy, der auch via SSL-Interception alle ausführbaren Programme herausfiltert, böse Skripte und den Zugang zu bekannten "verseuchten Seiten" blockiert. Natürlich muss Ausnahmen für definierte Quellen, Server und User definieren können. - Am Client läuft als letzte Bastion ein korrekt konfigurierter Applocker bzw. SRP. - Wenn man mag installiert man noch einen Virenscanner. Der bringt heute aber eigentlich nichts.

Oder es funktioniert nur mit Enterprise? Per Google findet man nicht wirklich was.

Eigentlich sollte ein guter RAID-Controller für diese Sektor-Geschichten eine passende Emulation anbieten, in dem man z.B. dort das passende Ziel-Betriebsystem einstellt. Was hast Du denn konfiguriert? Der Controller unterstützt wohl JBOD (mit RAID 0,1,10) und nativ RAID (auch z.B. 5). Eventuell tritt es nur im JBOD-Mode oder nur im AID-Mode auf. Persönlich würde ich auf JBOD als Ursache tippen.

Doch. Event: 865. Fand damals sogar aussagekräftiger und man konnte mit Tools hier einfach mal eingeschaltete PCs danach absuchen. Applocker loggt sehr viele unnötige Dinge. Diese "neuen" Windows-Events außerhalb der normalen Eventlog sind für viele Tools unsichtbar.

Eventuell erzeugt der Controller beim log. Laufwerk per default bei NVME eine nicht unterstützte Sektorgröße schaue mal, ob man dort irgendwor 512e einstellen kann. im Server ist UEFI an und nicht etwas im BIOS-Modus konfiguriert?

Und ich würde auch dringend empfehlen, die Richtlinie per default auf "nicht erlaubt" zu stellen und alle Pfade hinzufügen, wo der User dann doch Programme ausführen darf. Nicht nur EXE-Dateien sind gefährlich. Im Übrigen muss ein Großteil der Richtline in der User-GPO konfiguriert werden. Du möchtest sicher nicht, dass dem Computer selber oder Administratoren der Zugriff auf c:\windows verwehrt wird.

Wie schon geschrieben: Wir haben da keine Erfahrungen, weil das niemand macht. Du kannst Dich in der Domäne auch nicht mehr anmelden, wenn die Uhrzeit nicht mit der Uhr in den DC's übereinstimmt (ich glaube, per default sins max, 3 Minuten Abweichung zulässig). Vielleicht schreibt Du zunächst, was das Ziel der Übung ist?

Welche Firmware ist auf dem Controller? Je nach Firmware braucht man offenbar andere Treiber, wenn ich die HCL richtig interpretiere. Ansonsten hat der Hersteller sicher auch einen Support.

Wird der RAID-Controller unterstützt? Wer ist der Hersteller des Servers oder ist er gebastelt? Edit, Blödsinn. https://www.vmware.com/resources/compatibility/detail.php?deviceCategory=io&productid=49471

Auch wenn es weh tut: Man verwendet nur getestete Server, die in der VMWare HCL verzeichnet sind. https://www.vmware.com/resources/compatibility/search.php

Ist das eine Domäne? Wenn ja: Wozu ist das Script gut?

Hi, wir verwenden Lexmark. Ob dort direkt im Drucker direkt Kerberos unterstützt wird, kann ich nicht sagen. Jedoch müsste der Drucker hier in der Domäne gejoint sein oder zumindest mit über eine Kerberos-Konfig mit einem privaten Schlüssel verfügen. Lexmark bietet jedoch zahlreiche Managment-Lösungen an, bei denen die Scan-Funktion zar am Drucker erfolgt, die Ablage der die Scans dann aber von der Mangement-Lösung. Lexmark bietet hier z.B. LPM an https://www.lexmark.com/de_de/products/smart-mfp-ecosystem/manageability.html , für das es zahlreiche Erweiterungen gibt. Ansonsten schau mal hier: https://infoserve.lexmark.com/ids/ifc/ids_topic.aspx?root=kb20211201183846179&topic=FA1041&productCode=Lexmark_X925&loc=en_NZ

Und wenn man schon dabei ist, sollte man das Password vom krbtgt-Konto regelmäßig ändern. Damit werden etwaig ausgestellte oder erlangte "Golden Tickets" ungültig. PS: Man muss ein mindestens 2x ändern (hatte ich vergessen) https://blog.quest.com/what-is-krbtgt-and-why-should-you-change-the-password/