Daniel -MSFT-

Noch einmal: Du verwechselst Passwort mit biometrischen Merkmalen. Das ist nicht das gleiche: http://devtechnology.com/emerging-biometric-technology-revocable-biometric-features/ und http://www.scholarpedia.org/article/Cancelable_biometrics Weiterhin gibt es durchaus Unterschiede in der Fälschungssicherheit bei biometrischen Sensoren:http://www.ifsecglobal.com/truth-is-the-key-addressing-criticism-of-biometrics/ Ich kann auch weitermachen mit meinem Beispiel: Das Passwort zu ändern nutzt Dir gar nichts, wenn ich beim nächsten Eintippen über die Tippgeräusche das Passwort wieder erfahre. ALARM! Passworte sind sinnlos!!!

If you have an audio recording of somebody typing on an ordinary computer keyboard for fifteen minutes or so, you can figure out everything they typed. https://freedom-to-tinker.com/blog/felten/acoustic-snooping-typed-information ALARM! Passwörter sind nutzlos! Ein simples Aufzeichnungsgerät reicht aus und wir sind alle doomed. Ich behaupte, bei Passworten wird Sicherheit vorgegaukelt, die gar nicht vorhanden ist. Verstehst Du die Analogie?

Was sagt denn Euer Leasinggeber dazu? Was steht in seinem Vertrag mit Microsoft? Was steht in Eurem Vertrag? OEM-Lizenzen darf man prinzipiell gar nicht verleasen oder vermieten, solange man keinen speziellen Vertrag mit Microsoft hat. Siehe: https://www.microsoft.com/de-de/licensing/produktlizenzierung/faq/windows-betriebssystem.aspx F: Wir leasen grundsätzlich unsere Hardware zusammen mit einer OEM-Lizenz für ein Windows Desktop-Betriebssystem. Was müssen wir beachten, wenn wir nun unter unserem Volumenlizenzvertrag ein Windows-Upgrade nutzen möchten? A: Es muss sichergestellt sein, dass Sie berechtigt sind, die OEM-Software einzusetzen und zu nutzen. Dies erfordert, dass Ihnen die OEM-Software rechtmäßig zur Verfügung gestellt wurde. Da alle OEM-Lizenzverträge sowie Volumenlizenzverträge das Vermieten, Verleasen und Verleihen der Software nicht gestatten, muss Ihr Leasinggeber von der lizenzgebenden Microsoft-Gesellschaft durch einen Sondervertrag hierzu autorisiert worden sein. Dies ist möglich entweder über sogenannte Rental Rights-Lizenzen, die der Leasinggeber über seinen eigenen Volumenlizenzvertrag (Open License oder Select Plus) in Ergänzung zur Windows OEM- bzw. Office-Lizenz erwerben kann, oder der für Leasingunternehmen verfügbaren Lease Agreement for Microsoft Products Installed on Leased PCs.

Du machst dabei den Fehler, den Fingerabdruck mit einem Passwort gleichzusetzen. Das Problem ist aber nicht, dass der Fingerabdruck bekannt ist, sondern dass der Sensor den echten Abdruck nicht von einem manipulierten unterscheiden kann. Die Authentifizierung selbst kann ja per Public/Private-Key-Verfahren erfolgen. Ausserdem muss man Biometrie ja nicht als alleinigen Authentikator nutzen. Denk mal an Zwei-Faktor-Authentifizierung zum Beispiel.

Was mir immer wieder auffällt, ist die Annahme, dass etwas 100% perfekt sein muss, um eine bestehende Technik abzulösen. Sei die alte Technik noch so löchrig - mit deren Problemen lebt man aber und hat gelernt, sie zu ignorieren. Passwort-basierende Loginmethoden sind keineswegs 100% sicher. Genausowenig wie Türschlösser und Schlüssel in Rekordzeit knackbar sind. Trotzdem werden sie heute großflächig genutzt. Hinter der Gesichtserkennung steht mit Windows Hello eine Technologie, die mit neuartigen Sensoren die Authentifizierung ohne die Schwächen von Kennworten in Zukunft moderner gestalten kann. Für die Gesichtserkennung hat Intel zum Beispiel eine Infrarot-basierende 3D-Kamera entwickelt, die ähnlich wie Kinect funktioniert: http://newsroom.intel.com/community/intel_newsroom/blog/2015/03/17/chip-shot-intel-realsense-3d-cameras-support-new-windows-hello-feature und http://m.windowscentral.com/heres-how-well-intel-realsense-works-windows-hello Da werden in Zukunft noch spannende Technologien entstehen. Have fun! Daniel

/MIR löscht die Dateien auf dem Ziel, die in der Quelle nicht enthalten sind.

Du kannst in den Microserver auch 32 GB RAM reinstecken und darauf drei VMs einrichten. DC, Fileserver und Webserver. Für die Datensicherung eine USB 3.0-Karte rein (falls der das noch nicht hat) und per externe Festplatten sichern. In den DC kannst Du noch die Essentialsrolle installieren zum einfacheren Administrieren.

Bei den genannten Anforderungen nimm den Server und eine Per-User RDS-CAL für Dich.

Ich meine, die kostenlose Lizenz bekommst Du nur, wenn Du Windows 10 via Windows Update beziehst.

Du suchst den Schalter /MIR für Robocopy. Schau mal hier rein: http://blogs.technet.com/b/dmelanchthon/archive/2006/10/30/robocopy-gui.aspx

Du brauchst lizenzrechtlich dafür entweder Software Assurance oder eine VDA-Lizenz. Nur mit der Ultimate allein geht das nicht.

Das ist kontraproduktiv. Der RDP-Codec arbeitet bei 32bit am effizientesten. Lies mal http://www.mcseboard.de/topic/196883-flash-unter-rdp-auf-windows-2012-terminalservices-esxi-51/?p=1221647 RemoteFX zu ntuzen wäre auf jeden Fall die Empfehlung. Neben dem Abschalten der Office Animations (ADM\Microsoft Office 2013\Miscellaneous). Have fun! Daniel

Die Webseite von Winarpwatch (http://jota.sm.luth.se/~andver-8/warp/) ist leider down. Hier gibt es einen Mirror: warpwatch.zip. Wenn Du eh schon einen Linuxserver am Laufen hast, ist es am einfachsten, dort das Paket mitzuinstallieren. Je nach Distribution einfach über den Paketmanager installieren (# yum install arpwatch bei Red Hat, CentOS, Fedora oder sudo apt-get install arpwatch bei Debian, Mint, Ubuntu, etc.). Have fun! Daniel

Naja, dann gibt der Anwender halt in das Dialogfenster für die Freigabe die Daten ein zweites mal ein. Auch nix wirklich gewonnen. @wegsurfer83: Was ist denn der Hintergrund für die Anfrage? Welche Aufgabe willst Du mit Deiner Frage erfüllen?

BTW: Das teuerste an unserer Lösung sind imho die physikalischen Smartcards. Die sind bei uns gleichzeitig für Gebäudezugang und (nicht in jedem Land) für das Bezahlen in der Kantine geeignet. Damit passt jeder schön auf seine auf und hat die immer bei sich. Alle anderen Sachen hängen nur am Know How des Admins und sind nahezu kostenneutral umsetzbar. Da man seit Windows 8 auch den TPM im Computer als Smartcard für den Computer konfigurieren kann, braucht man heute auch nicht mal zwingend mehr eine physikalische Smartcard-Infrastruktur: https://technet.microsoft.com/en-us/library/dn593708.aspx Es muss auch nicht zwingend ARP Guard sein. ARPwatch allein öffnet einem schonmal kostenneutral die Augen, was im Netzwerk so passiert: https://en.wikipedia.org/wiki/Arpwatch

Grob gesagt ist der wichtigste Baustein eine solide PKI-Infrastruktur, die Smartcard-based Login ermöglicht. Danach kannst Du dann problemlos Server- und Domain Isolation implementieren. Zugang zum Netzwerk wird mit Network Access Control abgesichert und mit 802.1x umgesetzt. Weiterhin wird starke Authentifizierung durch Multifaktor-Authentifizierung erzwungen in unsicheren Netzen. Schliesslich Bitlocker und TPM am Client mit verpflichtenden Energiesparpolicies und Boot-PIN. Dabei fällt auch gleich eine Smartcard pro Maschine mit ab, die für MFA mitbenutzt werden kann. So ungefähr läuft das bei uns intern. Persönlich bin ich noch ein Fan von ARP Guard/ARP Watch bei kleineren Netzen, um einen sind unerkannten Wechsel der MAC-Adresse von Netzteilnehmern zu erkennen. Viele Angriffe beruhen ja auch ARP Spoofing. Have fun! Daniel

Such mal nach Domain- und Serverisolation: https://technet.microsoft.com/en-us/network/bb545651.aspx https://technet.microsoft.com/en-us/library/cc725770.aspx https://technet.microsoft.com/en-us/library/jj721511.aspx Have fun! Daniel

Es hilft auch immer, sich mal die Details der Implementierung anzuschauen und nicht nur auf Schlagworte zu reagieren. Ich habe bei keinem Build bisher gesehen, dass die Funktion standardmäßig an wäre. Weiterhin werden keine Unternehmensnetzwerke, die mit 802.1x arbeiten, geteilt. Schließlich gibt es auch eine Opt-Out-Möglichkeit für den Netzwerkbetreiber. @Lizenzdoc: Vielleicht einfach mal hier einsteigen https://www.windowsphone.com/de-de/how-to/wp8/connectivity/wi-fi-sense-faq Ich war gerade am letzten Wochenende in Tallin und es ist sowas von komfortabel, überall kostenfreies, offenes WiFi nutzen zu können. Ich glaube, wir Deutschen mit unserer Störerhaftung sind da noch weit hinter dem Rest der Welt hinterher. Aber auch da ist ja mittlerweile ein Ende in Sicht. Have fun! Daniel

Such mal nach Network Access Protection. Damit kannst Du sowas regeln.

Denk dran, dass Du zwei Serverdienste brauchst. Einen zum Senden/Empfangen von Mails (SMTP) und einen zum Bereitstellen von Postfächern (POP3/IMAP). Ersteres ist bei Windows dabei: http://mntechblog.de/smtp-server-unter-windows-server-installieren/ Letzteres musst Du von Drittanbietern einsetzen. Der POP3-Service ist imho nur bis 2008 R2 mit dabei gewesen. Übrigens solltest Du auch die Lizenzanforderungen für Gameserver und Teamspeak beachten. Ich vermute mal, dass Du nicht für jeden Mitnutzer eine Clientzugriffslizenz für den Windows Server gekauft hast, oder?

Vergiss die zweite Netzwerkkarte und die Trennung via DHCP-Reservierungen. Entweder an der Firewall die Gäste in ein physikalisch eigenes Netzwerksegment legen oder mit Hilfe der Switches und NAP/NAC mit VLANs die Netze trennen. So würde ich vorgehen.

Verloren ist da noch nix. Mit RunAsInvoker kann er die Installationserkennung und die Manifestverarbeitung außer Kraft setzen: https://technet.microsoft.com/de-de/library/dd638389.aspx Danach kann man dann mit Procmon schauen, wo die Anwendung genau administrative Rechte braucht bei der Ausführung als normaler Benutzer. In Summe ist eine weitere Möglichkeit, dass man auf den Hersteller der Software zugeht und eine Version anfordert, die im normalen Betrieb keine administrativen Rechte benötigt. Das ist schlicht schlampig programmiert.

Mit Office 365 ProPlus könnten man das schon pro User lizenzieren und die Rechner währen dann mit abgedeckt.

Ich würde den Intel-Treiber installieren, ein Bare Metal Recovery Backup mit der Windows-Sicherung machen, die neuen Platten einbauen, RAID einrichten und dann mit der Windows-DVD booten und die Sicherung wiederherstellen. Mit USB 3.0 geht das recht fix und Du hast immer noch das alte System als Rückfallebene. BTW: Kann das BIOS von 3TB-Platten booten?

Zu LDIF-Import schau Dir mal https://www.faq-o-matic.net/2004/12/31/ldifde-exe-zur-ad-bearbeitung/ an. Mittlerweilegibt es aber auch Möglichkeiten via dsadd.exe oder Powershell. Die Berechtigungen würde ich bei der Gelegenheit gleich auf ein Gruppenkonzept mit Resourcen- und Usergruppen setzen. Zum Einarbeiten: https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ Have fun! Daniel