Jump to content

Täglichlerner

Members
  • Gesamte Inhalte

    20
  • Registriert seit

  • Letzter Besuch

Profile Fields

  • Member Title
    Newbie

Fortschritt von Täglichlerner

Explorer

Explorer (4/14)

  • Erste Antwort
  • Engagiert
  • Erster eigener Beitrag
  • Eine Woche dabei
  • Einen Monat dabei

Neueste Abzeichen

12

Reputation in der Community

  1. Ja, ich hab´s kapiert. Time is changing faster than i thought. Danke für alle wohlgemeinten Ratschläge.
  2. Es sei denn, man ist masochistisch veranlagt :- Natürlich ist es besser, die Schotten antizipatorisch dicht zu machen und die Email-user zur Vorsicht aufzurufen. Aber da sitzen Menschen an den Kisten - unterschiedlichste Beweggründe zum Fehlgriff. Realität ist eben alles zwischen "worst case" und "oh, Datei weg". b***d wäre nur, wenn das "Emergency Response Team" einen auf Auslassungen aufmerksam macht, die man hätte bei Wissen vermeiden können.
  3. ok, die Terminologie könnte ich noch verbessern. Daher thx für die Klarstellung. ERP mit SQL2016 und PowerShell-Script zum Export der DB alle 4 Std. Muss ich da nachsehen, ob zum Original eine Änderung stattgefunden hat? Sonst Makros kein Thema hier.
  4. @NorberFe :- .. ich wollte mit dem DB-Beispiel sagen, dass eben alle Altdaten aus Sicherungen - wenn dann schon seit Monaten oder Jahren "unbemerkt" gehackt - sleeper - immer korrupt sein könnten. WO soll man da ein Zeit-Limit für "saubere" Daten setzen. Ja, selbst, wenn ich die letzte DCvm nähme und händisch in einen neu aufgesetzten DC das AD vom DCvm "abschreiben" würde - ich hätte also ein sauberes AD/DC - dann kämen ja irgendwann auch wieder die Übernahme von bis zum Hack-Screen gesicherten Unternehmensdaten wieder rein und so ein Schläfer schaut aus einem Client aus einem PDF-File raus und alles wäre wieder obsolet.
  5. Klar kann man da spekulieren: jahre-, monatelange Infiltrierung. Dann kann man ja theoretisch ALLES vergessen. Selbst die Datenbanken von Wochen oder Monaten wären obsolet. Ich betrachte den letzten verbliebenen DC auch nicht als vertrauenswürdig. Nehme mal einen, der zwei, drei, vier Wochen alt ist (tombstone 365) und nicht im Netz war. Aber wie ist die Alternative: DCs neu aufsetzen und alle nötigen Einstellungen neu? Und was ist, wenn eine ERP Datenbank gehackt ist, ein Mitgliedserver/Fileserver mit einem PDF z.B.?? Läßt sich ein KMU für >100tsd ein Anti-Hacker-Team kommen?? Oder wieder Karteikarten?
  6. Danke. So habe ich es vor 2 Wochen in einer Testumgebung gemacht mit unter der Annahme, dass alles alte durch Ransom korrupt ist und das auch schon unbemerkt vor 2 Wochen passiert sein kann was die DCvm angeht: Bis hierher lief die Testung ohne sichtbare Macken durch. Kommt jetzt drauf an, wann die Daten korrupt wurden durch Hack und wie sauber die Sicherungen waren. Hoffe, euch nicht mit diesem Newbie-Teil zu sehr aufgehalten zu haben. Und noch mal vielen Dank allen !
  7. Gut. Du meinst jetzt die Metadaten im verbliebenem DCvm mit Bezügen zu den plattgemachten Hardw.-DCs?
  8. Ok, verstanden. Dann würde ich mich freuen, wenn ich ausschließlich zu diesem Punkt der gleichen Namen und IPs was hören würde. Und zwar ohne ;- würde gerne von cj-Berlin wissen: Er schrieb: "Physische DCs mit den alten Namen und IP-Adressen wieder promoten". Geht das wirklich so? Sind da nicht eigene SIDs der Maschinen, wenn ich nun nicht den "hardware "plattgemachten DC" neu aufsetze, sondern eine neue Hardware nehme? Bislang habe ich es testweise so gemacht: neue Hardware, neuer Name und IP, bei der "echten" DCvm angemeldet. Dann in der DCvm alle Metadaten der beiden korrupten DC gelöscht. Dann den hardware-DC promotet und in einem Test-Client (Image eines PROD-Clients) die DNS angepasst. Danke.
  9. Moin, danke erst mal für eure hilfreiche Beteiligung. Wollte noch - bevor ich mit meiner ausführlichen Antwort und meinem Testbericht beginne - etwas von cj-Berlin wissen: Er schrieb: "Physische DCs mit den alten Namen und IP-Adressen wieder promoten". Geht das wirklich so? Sind da nicht eigene SIDs der Maschinen, wenn ich nun nicht den "hardware "plattgemachten DC" neu aufsetze, sondern eine neue Hardware nehme? Bislang habe ich es testweise so gemacht: neue Hardware, neuer Name und IP, bei der "echten" DCvm angemeldet. Dann in der DCvm alle Metadaten der beiden korrupten DC gelöscht. Dann den hardware-DC promotet und in einem Test-Client (Image eines PROD-Clients) die DNS angepasst. Also passiert nichts, wenn ich in den sauberen neuen DCs die gleichen Namen und IPs nehme? Ansonsten würde ich gerne den hier Beteiligten eine ausführlichere Beschreibung des Recovery anbieten, um auch auf eventuelle Lücken zu sprechen zu kommen. Sicher ist das hier für einen >50 Betrieb kein Thema, aber ggf. gibt es ja solche Leser von KMU, für die das interessant wäre? Muriel
  10. Danke Dir für den Hinweis, dass AD recovery ein wichtiger, aber nicht einziger Schritt ist. Genau das habe ich ausdrücklich in meinem Text anklingen lassen (2. Abschnitt). Aber es geht mir hier jetzt ausschließlich um das AD und dessen Wiederherstellung mithilfe einer sagen wir 2-wochenalten VM (die offline war bei Hack) nach Verschlüsselung aller online gewesenen Geräte. DIE sind alle gebackuped und können supi neu aufgesetzt werden ohne Datenverlust. Meine Aufmerksamkeit gilt den laufenden DCs mit AD, die im angenommenen Fall auch verschlüsselt wären und meine Bitte wäre an euch, mir zu sagen "ist es eine Möglichkeit, die AD so wie beschrieben, wiederherzustellen"? Und was habe ich ggf. übersehen?
  11. Fragen an die Wissenden und sorry, wenn´s in der falschen Abteilung gelandet sein sollte: In meinem kleinen Kreis laufen 2 physikalische DC und ein virtueller DC (alle 2019er). Die replizieren sich fehlerfrei. Jetzt denke ich an einen möglichen Ransomware Angriff und möchte nicht nur meine VMs, Client-Images und aktuelle DB-Files extern in Sicherheit bringen fortlaufend, sondern auch meinen virtuellen DC. Der Tombstone-Range der DCs ist auf 365 angehoben. 1. Annahme: ich dokumentiere alle Änderungen am DC (user, PWs, Berechtigungen etc.). 2. Ich kopiere den virtuellen DC ins OFF ausserhalb des Netzes. Merke mir das Datum. 3. Das mache ich z.B. so jede 2. Woche mit dem laufenden aktuellen VM-DC. Die Änderungen (user, PWs und Berecht.) liefen bei mir bislang bis auf PWs gegen Null. So weit so gut. 4. Jetzt mal angenommen die laufenden DCs (FSMO-Rollen hier) werden gehacked mit Ransomeware, dann würde ich sie platt machen. (Ein Image der phys. Maschinen VOR der Anhebung zum DC ist jeweils vorhanden und könnte zurückgespielt werden. (Name und IP würden erneuert später vor dem Promoten)) 5. Ich würde jetzt die letzte aktuelle (ggf. 2 Wochen alte) DC-vm starten und die FSMO Rollen forcieren. 6. Alle Infos der beiden platt gemachten DC aus der FSMO-DC-vm löschen. 7. Nun die beiden phys. Server nacheinander wieder mit geändertem Namen (also statt des alten DC1 nun DC1b) und geänderten IPs !! zum DC promoten. 8. die FSMO wieder auf einen phys. DC übertragen und die Infos der platt gemachten DCs überall dort löschen, wo sie auftreten. Dann checken, dass Repl. klappt. 9. Auf den ca. 10-15 Clients und Mitgliedsservern alle alten DC-Bezüge, d.h. DNS, neu anpassen. 9. Bis hierher nehme ich als Laie an, sollte das klappen. Jetzt meine Frage an euch: habe ich irgendwo einen krassen Gedankenfehler gemacht? Und sicherlich kann ich auch einen Hardware DC ausschalten und alle 2 Wochen zuschalten für ein paar Stunden, aber ich denke, einen virtuellen DC kann ich besser hin und her kopieren. Würde einer von euch mir den Gefallen tun, sich da mal reinzudenken, denn ich gehe davon aus, dass die Problemlage viele interessierte Mitglieder angehen könnte ( siehe letzter Hack in den USA). Im Voraus schon mal danke. PS: ich bin also keine ausgewiesene IT-Fachfrau - daher bitte bei AW daran denken.
  12. Hallo Gemeinde - (liebe Mods, sollte das hier im falschen Forum stehen, bitte umswitchen. Danke) Ich würde mich freuen, wenn man mich hier im Forum auf die richtige Fährte setzen könnte bei folgendem Problem, das mir bevorsteht: Es handelt sich um eine kleine Firma, die noch 3-4 Jahre existieren wird, dann wird sie von einer größeren Firma mit eigenen Softwareanwendungen übernommen. In dieser Firma gibt es einen DC mit Windows 2000, auf dem auch seit Anfang 2000 eine recht teure Betriebssoftware läuft - bislang klaglos und effektiv. Die restlichen ca 15 PC in der Domäne sind XP-PRO Rechner. Nun kommt ja das Problem, dass MS ab 8.4.2014 nicht mehr mit Sicherheitspatches supported. Damit also entsteht ein noch größeres Risiko für die Domäne als bislang. Normal wäre ja nun die Clients zum Inet hin alle auf Win7 zu setzen. Doch darauf läuft die Betriebssoftware nicht mehr. Eine Investition in eine aktualisierte Version der laufenden Betriebssoftware mit allen Anpassungen, ganz nebenbei auch eine neue Serverhardware, dazu den einen oder anderen Client neu oder Win7-fähig machen, all das ist für diesen Zeitraum von 3-4 Jahren recht teuer (ca 30-40 tsd Euro) und noch nicht mal zukunftsweisend, da die Übernehmefirma in 3-4 JAhren ihre eigenen Betriebssoftware drüberstülpt. Meine erste Frage ist: gibt es eine Möglichkeit, das bisherige Netz mit W2K-DC und XP-Clients so weiterlaufen zu lassen die paar Jahre - dann aber den internetseitigen Datenverkehr auf die nötigen neuen 5 Laptops mit Win7 in einem total separaten Netz laufen zu lassen? Evtl. Datentransport ins „ungeschützte“ Netz über USB-Sticks? Das wären CAD-Zeichnungen von Kunden, die der Betriebssoftware zugänglich gemacht werden müssen. Ich will also eine Regelung, die irgendwie „fast“ ***ensicher ist. Router-PC mit zwei NIC für je ein Netz, der dann als Firewall fungiert, aber eben auch konfiguriert und „dicht“ gemacht werden müsste, ist wohl mE nur so sicher, wie man ihn abdichtet, oder? Ich brauche hier als Hilfe keine Step by Step-Beschreibung, sondern erst mal einen Gedankenanstoß, in welche Richtung ich mich schlau machen sollte und was in diesem, meinem geschilderten Szenario sinnvoll wäre. Dafür schon mal vielen Dank. Muriel
  13. Danke für die schnelle Antwort. Nein, ich will beide PC NICHT parallel laufen lassen. Ich habe auch das Acronis Workstation bzw. Servertool mit Universal Restore genutzt. So weit alles im grünen Bereich. Was ich nur nicht genau wußte war, ob die neue Maschine (anstelle der alten) mit gleicher IP und Namen beim ersten Einloggen des einzigen Maschinen-Users in die vorhandene Domäne nicht doch ein neues Profil mit 000 verpasst bekommt und ich alle alten Profil-Einstellungen neu setzen muss. Dazu hätte ich gerne einen Hinweis für die richtige Vorgehensweise gefunden. Gruss Mysts Freundin "Täglichlerner"
  14. Dank dir. Das leuchtet mir ein mit der veränderten Portadresse. Dann hoffe ich mal, dass dies hier vielleicht noch einer liest, der mal ähnliche Erfahrungen gemacht hat. Jedenfalls habe ich alle PC nach Malware gescannt aber nichts gefunden. Reicht da so was wie Pestptrol8?
×
×
  • Neu erstellen...