Jump to content

Samoth

Members
  • Posts

    402
  • Joined

  • Last visited

Everything posted by Samoth

  1. Darum gehts mir persönlich auch nicht Die nutzen schon auch TLS 1.2 und setzen es bei aktuellen Themen wohl auch als Minimum voraus. Ich hab mal den Hinweis als PDF erzeugt und angehängt. 2384290_E_20221104-neu.pdf
  2. Danke dir, aber dort wird eher beschrieben wie ich das im SAP umstelle. Mir gehts aber um mehr Details zur Aussage "Contrary to urban legends floating on the internet, the security benefit from disabling TLSv1.0 is formally provably ZERO".
  3. Hi zahni, welche Beiträge? SAP verlinkt nur einen sehr alten. Aber unabhängig davon, ist die von mir zitierte Aussage in einem brandaktuellen SAP-Hinweis zu finden und SAP bestätigt diese weiterhin als Stand der Dinge. Das irritiert mich. Grüße Samoth
  4. Hi zusammen, ich würde gerne mal was mit euch besprechen bzw. eure Meinung hören. Einem Kunden wurde per Audit empfohlen TLS1.0/1.1 in deren SAP-System zu deaktivieren und statt dessen auf TLS1.2/1.3 zu setzen. "OK", dachte ich mir und habe mich bei SAP zu dem Thema informiert. Keine Idee, ob ihr das kennt, aber SAP veröffentlicht zum Know-How Transfer, etc. so genannte "SAP Hinweise". Auch zu dem Thema gibt es einen (2384290 - SapSSL update to facilitate TLSv1.2-only configurations, TLSext SNI for 721+722 clients), zuletzt aktualisiert am 18.10.2022. Den kann ich bei Bedarf auch per PDF anhängen. Dort ist u. a. zu lesen: "Contrary to urban legends floating on the internet, the security benefit from disabling TLSv1.0 is formally provably ZERO, whereas the interoperability problems are painfully real. The cryptographical difference between TLSv1.0 and TLSv1.1 is quite marginal, and outside of the security properties officially provided by TLS (as documented in rfc5246 Appendix F). Where this difference mattered at all (with the prerequisite of a partially subverted communication endpoint, such the "BEAST" attack against web browsers and SSL VPNs), a fully backwards-compatible workaround using 1/(n-1) TLS record splitting was adopted in 2011, making that marginal difference between TLSv1.0 and TLSv1.1 formally provable cryptograhically negligible, even for inside attacks." Und verweist zusätzlich auf: http://www.educatedguesswork.org/2011/11/rizzoduong_beast_countermeasur.html Wir haben das mal bei SAP angefragt, denn "provably ZERO" reicht mir nicht als Aussage. Vorläufige Antwort dazu u. a. ist: "Confirmed, the information in SAP KBA 2384290 is state of the science." Soll heißen, dass die Infos im Hinweis den aktuellen Wissensstand darstellen. Wir haben weiter nachgebohrt und hoffen auf mehr erleuchtende Details. Mir geht das aber nicht in den Kopf. Einerseits zeigt eine Google-Suche, das TLS1.0/1.1 reihenweise deaktiviert und nicht mehr supported wird. Auf der anderen Seite ist SAP auch kein kleines Licht. Ich unterstelle denen schon ein gewisses Fachwissen. Und kann jemand was mit der Aussage "TLS 1.0 war nie offiziell." anfangen? Das habe ich im persönlichen Umfeld zu dem Thema gesagt bekommen... Grüße und Danke! Samoth
  5. Danke dir! das hat sich mit meinem Update überschnitten. Aber schön, dass dur das Tool auch nutzen würdest. Wie gesagt, werde ich die Tage mal testen.
  6. Ich will doch eigentlich nur drei Ordner auf meiner NAS durchsuchen Update Mit der kostenlosen und portablen Version davon werde ich es mal testen: https://www.mythicsoft.com/agentransack/download/
  7. Guten Morgen zusammen, ich muss öfter mal mehrere Ordner nach Dateien durchsuchen. Da die Ordner nicht als Unterordner in einem gemeinsamen Ordner liegen mache ich das dann drei Mal händisch. Gibt's denn die Möglichkeit mehrere Ordner in einem Zug zu durchsuchen? Vielen Dank und Grüße Samoth
  8. Mist, da hab ich einen Bock geschossen, sorry. Das muss ins Client-Forum. Verschieben möglich? Und noch mal ein Sorry: Ich beziehe mich nur auf Clients. Da aber auf normale Home- wie auch Domänen-Installationen. Ich wollte es nicht zu spezifisch formulieren, weil ich nicht weiß, ob es in einer Domänen-Umgebung vll. wirklich so ist, dass der lokale "Administrator" nach einem Versionssprung deaktiviert wird. Das Upgrade-Pfad ist auch nur ein exemplarischer, um zu verdeutlichen, das ich nicht die normalen Updates meine, sondern die Versionssprünge. Habe mir die Versionierung bei Wiki rausgesucht und einfach die letzten beiden Hauptversionen herausgepickt
  9. Dank dir, die Info hatte ich noch nicht! Aber ich meinte schon konkret das lokale Administratorkonto. Uns wurde nämlich nahe gelegt, als Fallback einen weiteren lokalen Administrator anzulegen, weil sich bei Tests ergeben hat, dass der aktive "Administrator" deaktiviert wurde. Ich kann aber nicht so recht daran glauben, dass Windows sich so verhält
  10. Moin zusammen, ich habe bewusst keine zwei Themen daraus gemacht, da es letztlich um den lokalen "Administrator" geht. 1. Ist euch was bekannt dazu, dass MS per Default(!) den lokalen "Administrator" (sofern dieser aktiviert wurde) nach Windows Updates oder Versionssprüngen (z. B. 21H2 --> 22H2) wieder deaktiviert? Ich habe nur was gefunden, das jedoch als Bug identifiziert wurde. 2. Habt ihr was davon gehört, dass der lokale Administrator in absehbarer Zeit verschwinden soll? Leider habe ich das nur so als Aussage und keinerlei Quelle dazu erhalten oder gefunden. Danke, Grüße und einen schönen Tag! Samoth
  11. Danke an die "üblichen Verdächtigen" Ja, das lese ich auch bei Heise und MS. Aber wie schaut es denn im Backoffice aus? Hast du dazu was Schriftliches? Das soll keine Kritik an dir sein. Auflösung steht hier im letzten Satz Es wird u. a. beschrieben, dass häufiges PW-Ändern bei den Usern dazu führt, dass diese zu einfache Passwörter nutzen bzw. Zahlen im Passwort hochzählen, usw. Da macht es für mich auch Sinn. Aber wenn der sorgsame Admin mit einem PW-Generator arbeitet und damit jedes halbe Jahr ein langes undkomplexes PW neu erzeugt, sollte doch nichts dagegen sprechen die Backoffice-Passwörter regelmäßig zu ändern? Ja, ich stelle mich gerade auf die andere Seite, weil ich diese Diskussion sicher noch öfter führen muss
  12. Das weiß ich leider (noch) nicht. Habe mich mit der Thematik noch nicht befasst. Bei denen (wie bei anderen Kunden auch) wurden ebenso die SAP-Server verschlüsselt. Vermutlich ist die Denke nun, dass das durch andere Handhabung der Passwörter (wie auch immer die aussieht) das Ganze sicherer machen kann. Ich stellte der einen Security-Firma, die nach der Verschlüsselung halfen, mal die Frage, ob sicherere Passwörter (ich spreche weiterhin nur von Back-Office Passwörtern) nützlich gewesen wären. Die Antwort war "Nein." Ich gehe auch davon aus, dass derartige Logins nach wenigen Anmeldefehlversuchen gesperrt werden... Thema erfolgreiches Brute Force. Ach und ergänzend: Ich erkundige mich hier bei euch nach eurer Ansicht, weil mich das Thema nervt. Wir kommen von einer Gängelung in die andere. Ich gehe bei solchen Themen eigentlich gerne mit, aber ich wüsste schon gerne warum ich mich so verhalten soll
  13. Hallo zusammen, aktueller Anlass: Ein Kunde schrieb mir, dass nun jedes halbe Jahr die Passwörter für Windows Admin-User für den Zugang zum Betriebssystem der SAP-Systeme geändert werden müssen. Dabei handelt es sich um von SAP vorgegebene Benutzernamen. Die User werden ausschließlich zur Administration des jeweiligen SAP-Systems auf dem jeweiligen Server genutzt. Meine bisherige Erfahrung zeigt, dass solche Passwortänderungen in der Praxis oft zu Problemen führen, da die Änderungen nicht kommuniziert werden, die Passwörter nicht sauber dokumentiert werden, usw. Ich gebe zu: Ich bin in dem Fall kein Fan von regelmäßigen Passwortänderungen. Trotzdem kann ich den Kunden verstehen. Die wurden vor Kurzem durch eine Ransomware verschlüsselt und haben gelitten. Mein Eindruck ist aber, dass nun alles was unter der Flagge "Sicherheit" stattfindet umgesetzt wird und das ohne Rücksicht auf Verluste. An der Stelle frage ich mich jedoch: 1. Wie steht ihr zu regelmäßigen PW-Änderungen im Backoffice Umfeld? Sinnvoll? Nicht sinnvoll? Ich spreche explizit nicht von Passwörtern für den normalen Windows User, sondern von Passwörtern für Admin-User wie oben beschrieben. Ich las neulich bei Heise (https://www.heise.de/news/BSI-Beirat-warnt-vor-ueberkomplexen-Passwoertern-und-staendiger-Erneuerung-7221073.html) "BSI-Beirat warnt vor überkomplexen Passwörtern und ständiger Erneuerung" und wollte dem Kunden das augenzwinkernd zuschicken. Aber dann fiel mir auf, dass sich diese Empfehlung mMn eher an normale User richtet. Wäre ich ein Admin, der diesen Artikel bekommt, würde ich antworten: "Und? Ich ändere regelmäßig die Passwörter der Back-Office Accounts und nutze einen PW-Generator. Und davon wird nun abgeraten?" 2. Ist es eine Illusion, dass man sich vor Ransomware-Befall schützen kann wenn man seine Passwörter regelmäßig ändert? 3. Kann man abschätzen, ob der Ransomware-Befall auch mit hochkomplexen Passwörtern "erfolgreich" hätte stattfinden können? Viele Grüße und Danke schon mal für den Austausch! Grüße Samoth
  14. Eben erst gesehen. Danke dir für den Input. Mein "ohne Weiteres" bezog sich auf Lizenzthemen, potentielle Neuinstallationen und die Restunsicherheit, ob alles nach dem Update wirklich einfach so läuft
  15. Danke dir! Daher auch meine Frage, ob sich bei Win10 was geändert hat. Dieses Zugriffskonstrukt hat mit beidseitig Win7 jahrelang funktioniert.
  16. Moin zusammen, Haha, OK OK Ich war dann gestern Abend einfach nur noch platt... nach dem Käsekuchen und dem Latte Macchiato vor Ort. Das Problem ist gelöst. Details, für einige von euch sicher völlig offensichtlich, aber hey...: Ich habe es noch mal geprüft und wie vermutet, ging es nicht um den Vollzugriff auf LW C, sondern auf den Zugriff auf den Benutzerordner seiner Frau auf dem anderen Notebook. Wenn man in der Netzwerkumgebung auf das Notebook seiner Frau klickte, sah man einen freigegebenen Drucker, die Freigabe "Users" und die Freigabe "Maria". Den Drucker konnte man verbinden und der Doppelklick auf "Users" öffnete auch die Freigabe. Nur beim Klick auf "Maria" erschien: "...konnte nicht zugegriffen werden. Sie haben keine Berechtigung für den Zugriff... Wenden Sie sich an den Admin". Grundsätzlich scheint die Verbindung zw. den beiden Geräten also zu funktionieren. Ich habe dann die Freigabe "Maria" gelöscht, neu angelegt - gleiches Spiel. Dann fiel mir doch irgenwann auf, dass es in der Systemsteuerung des Windows 7 bei den Anmeldeinformationen noch zwei zwischengespeicherte Datensätze gab, die auf das Notebook der Frau verwiesen. Die habe ich gelöscht. Nach dem Löschen und Neustart konnte ich übers LAN nicht mal mehr auf das Notebook seiner Frau zugreifen. Es erschien eine Meldung von wegen "Zugriff mit leerem Passwort nicht möglich." Daraufhin habe ich dem Windows 7 User nun ein Kennwort verpasst, was diese Meldung verschwinden ließ. Im Anschluss erschien beim Zugriff auf die Freigabe "Maria" eine Anmeldemaske mit User/PW-Abfrage. Sobald ich dort User/PW der Frau eingab, waren die Inhalte der Freigabe wieder verfügbar. Danke euch für den Support
  17. Genau. Und heute Abend schaue ich mir das noch mal live vor Ort an.
  18. Ach, hau raus! Mir macht das nichts Ich komme ja auch hierher mit der Annahme vielleicht nur konventionelle Antworten zu bekommen, die mir dann nicht weiterhelfen, weil man es in den Augen des anderen "falsch" macht. Daher ja auch schon einleitend mein "Sorry" zu Windows 7 Also stellt euch schon mal auf eine korrigierte Fragestellung "Warum komme ich vom Win 7 PC nicht auf den Benutzerordner?" ein
  19. Update: Stopp! Die Erinnerung hat mich wohl sowas von im Stich gelassen. Weil mich das Thema doch schon länger beschäftigt und auch interessiert, habe ich eben mal mit dem Bekannten telefoniert. Es geht gar nicht um das komplette Laufwerk. Er war sich nicht sicher, aber es scheint wohl nur um den Benutzerordner seiner Frau zu gehen, in dem dann wiederum alle relevanten Unterordner (Bilder, Dokumente,...) lagern. Und dieser Zugriff klappt wohl nicht mehr. Ich schaue mir das heute Abend genau an und berichte. Mea culpa! Ich hatte das mit der Ordnerfreigabe eingerichtet, aber aus irgendeinem Grund war das nicht praktikabel. Spätestens heute Abend erfahre ich den Grund Welche Möglichkeiten habe ich, wenn das mit den Ordnern als nicht tauglich angesehen wird?
  20. So betreiben Sie Datenaustausch (Bilder, usw.) in beide Richtungen über unterschiedliche Ordner. Das komplette Öffnen macht die Handhabung für die User leichter.
  21. Hm, ist das zusätzliche Einbinden ins CC also nicht vorgesehen? Für die Einrichtung per WLAN müsste ich nämlich mal hinfahren und das ist momentan nicht vorgesehen
  22. Guten Morgen, heute Abend soll ich mir bei einem Bekannten zu Hause ein Problem anschauen. Es geht um eine normale Netzwerksituation wie man sie zu Hause vorfindet: Zwei Notebooks, Drucker, Fritzbox, usw. Also keine Sonderlocken. Das Problem: Sein Windows 7 (ja, sorry!) Notebook kann nicht mehr auf die Netzwerkfreigabe (Komplettes LW C: ) des Windows 10 Notebook seiner Frau zugreifen. Das hat noch wunderbar funktioniert, als beide Geräte mit Windows 7 liefen. Aufgrund des Homebanking-Programms auf dem Gerät seiner Frau haben wir dort ein Inplace-Upgrade auf Windows 10 durchgeführt. Nur ergänzend: Windows 7 nutzt er hauptsächlich, weil auf dem Notebook Konstruktionstools laufen, die wohl nicht ohne Weiteres unter 10 nutzbar sind. Ich hab da schon mal ein wenig rumgefummelt, aber ich werde aus der Sache nicht schlau. Ich habe auch auf beiden Rechnern den jeweiligen User mit gleichem Passwort angelegt. Wenn ich auf dem Windows 10 allerdings einen Ordner freigebe und darauf von Windows 7 aus zugreife, klappt es wunderbar. Wenn ich jedoch auf die Freigabe des LW C: zugreifen möchte, klappt es nicht. Die Fehlermeldung weiß ich nicht mehr - ich glaube was mit Berechtigungen. Es ist lange her, dass ich vor Ort war. Nun die Frage an euch: Was mache ich falsch? Wie mache ich es richtig? Und hat sich beim Zugriff auf das komplette LW C: bei Windows 10 vll. was geändert? Viele Grüße und Danke mal wieder! Samoth
  23. Moin zusammem, folgende Situation: An einem Notebook, das zwischen Büro und Zuhause hin und her getragen wird, soll der Drucker (MFC-2710DN) der jeweiligen Örtlichkeit angeschlossen werden. Relevant wäre die Scan-Funktion über die Brother Tools. Das bekomme ich nicht hin. Dabei steht an beiden Plätzen das gleiche Modell, wie erwähnt MFC-2710DN. Im Büro ist der MFC per WLAN und zu Hause per USB angeschlossen. Im Büro funktionert alles 100%ig. Zuhause hat Windows das Gerät als Drucker erkannt, das Drucken funktioniert. Nutze ich das rudimentäre interne Windows Scan-Tool, so kann ich auch zu Hause per USB scannen. Grundsätzlich funktioniert es also schon mal. Aufgrund der Funktionsvielfalt möchte ich Zuhause jedoch die Brother Tools nutzen. Leider taucht im Brother Control Center (aktuelle Version) nur ein Gerät auf - das aus dem Büro. Wie bekomme ich es hin, den Zuhause-MFC zusätlich noch ins Control Center einzubinden? Grüße und Danke Samoth
  24. Moin zusammen, das mit dem Ruhezustand werden wir mal testen. Ich denke wir verlieren nichts damit - selbst wenn die Kiste abschmiert. Das Ergebnis wäre das gleiche wie beim Nicht-Aktivieren aus der Bildschirmabschaltung. Grüße Samoth
  25. Und das wird es bei uns auch sein. Ich denke die (von mir nachgesagte) Schrottigkeit der Hardware bekommt das nicht hin. Würde das Gerät täglich heruntergefahren und am nächsten Tag neu gestartet, wäre es wahrscheinlich alles kein Ding. Ich kann den Besitzer schon verstehen, wenn er sagt, dass er nicht jeden Tag neu starten und seine Dokumente erneut öffnen will. Ich bin ja genauso. Aber das hatten wir hier eh schon, glaube ich Steinigt mich, aber ich bin der Ansicht, dass ein Notebook mehr oder minder 24/7 aushalten muss. Mein NB im Büro läuft auch von Patchday zu Patchday durch und so kenne ich es von allen anderen Geräten aus meiner Erfahrungshistorie. Trotzdem empfehle ich seit der Wortmann-Erfahrung nur noch mit dem Zusatz täglich neuzustarten Ich wurde auch schon gefragt, ob wir nicht einfach was neues und vll. auch teureres kaufen sollen. Aber ich traue mich unter den Betriebsumständen nicht, eine Empfehlung auszusprechen. Ich würde aber aktuell was von Lenovo nehmen.
×
×
  • Create New...