NilsK

Moin, dann habe ich so keine Idee dazu. Ich vermute, dass da andere Effekte im Spiel sind, das ergibt dann aber über ein Forum keinen Sinn. Gruß, Nils

Moin, spätestens an dieser Stelle sollte man konkret werden und genau beschreiben, was erreicht werden soll. Sonst werden ab hier alle aneinander vorbeireden. Fangen wir mal an: Wozu sollen denn die Zertifikate verwendet werden? Warum sollen die Root- und Sub-Zertifikate "ohne Import ... und ohne Verteilung per GPO" verteilt werden? Über die Frage, ob es sinnvoll ist, Kunden-Domänen per Trust anzubinden, sprechen wir hier jetzt mal nicht. Gruß, Nils

Moin, das heißt, der PC ist in beiden Fällen derselbe? Der ist mal langsam, mal schnell? Oder handelt es sich um unterschiedliche Mitarbeiter und Geräte? Gruß, Nils

Moin, findest du nicht, dass ein Thread zu dem Thema reicht? Gruß, Nils

Moin, gut, dann nimm das, was ich geschrieben habe, als Appell. Gruß, Nils

Moin, ich finde, wir sollten uns mit solchen Bewertungen zurückhalten. Wir wissen nur aus zweiter Hand, was der Herr angeblich gesagt hat. Ich vermute hier einfach Missverständnisse, weil das in solchen Situationen immer so ist. Stellt euch mal vor, ihr kommt neu in ein Unternehmen und euch eilt so ein Ruf voraus, weil jemand in einem Forum was über euch behauptet hat. Gruß, Nils

Moin, ich meine nicht die Berechtigungen im AD. Das ist in kleinen Umgebungen überhaupt kein Thema. Ich meine die "langweiligen" Berechtigungen in den Nutzdaten. Dateien, Datenbanken, Exchange ... du nennst es. Dass ihr sowas könnt, wie du beschreibst, bezweifle ich keine Sekunde. (Naja, keine Minute.) Ob das für KMU geeignet ist ... da habe ich dann schon sehr grundsätzliche Zweifel. Ich verweise in dem Zusammenhang auf den Eröffnungsbeitrag, Punkt 9. In einer KMU-Umgebung würde ich niemandem den Floh ins Ohr setzen, man könnte Backup und Recovery an den dafür vorgesehenen Funktionen vorbei aufbauen. Gruß, Nils

Moin, Mag sein. Eine Nicht-Original-Quelle meinte, das sei so. Die Original-Quelle hat zu lange zum Laden gebraucht, da hatte ich keinen Nerv mehr. Gruß, Nils

Moin, miteinander reden hilft. Klingt mir doch arg nach Missverständnissen. Ich gehe mal davon aus, dass der Cluster ein Host-Cluster ist, also wohl Hyper-V oder ESXi? Dann braucht es (überblicksweise) 4 Lizenzen (bzw. Lizenz-Packs wegen der Core-Lizenzierung) Windows Server Standard - zwei pro Host eine Lizenz Exchange Sever 201x mit Software Assurance Exchange-CALs in ausreichender Zahl mit Software Assurance Windows-Server-CALs in ausreichender Zahl passende Lizenzen, um die Windows-10-Installation als VM in einem Cluster zu betreiben - hier würde ich aber auf eine Server-Installation wechseln, die ist dann in den Host-Lizenzen enthalten Gruß, Nils

Moin, das ist doch eigentlich der springende Punkt. Ich habe mir die Frage an den TO diesmal verkniffen, aber bevor wir hier Details auseinanderdröseln, wäre das doch mal relevant. Gruß, Nils

Moin, ich verstehe die Idee, aber das ist doch sehr optimistisch gedacht. Wenn nicht noch sehr viel Automatisierung dazukommt, fehlt mit dieser Grundmethode doch das eigentlich Wichtige, nämlich die gesamte Berechtigungsstruktur - ohne Restore gibt es nun mal keine zu den ACLs passenden SIDs. Die müsste man also auch in einer Skriptlösung berücksichtigen. Und dann stellt sich mir die Sinnfrage. Wenn wir bei den Details bleiben: Die Sample Scripts hatten/haben so ihre Tücken. Deshalb habe ich für Test- und Laborzwecke mal was gebaut. [Active-Directory-Double als Testumgebung | faq-o-matic.net] https://www.faq-o-matic.net/2006/12/17/active-directory-double-als-testumgebung/ [Domänen-Double für Testzwecke | faq-o-matic.net] https://www.faq-o-matic.net/2016/05/02/domnen-double-fr-testzwecke/ Gruß, Nils

Moin,. Ja, ich auch. Um ernsthaft Forensik zu betreiben, braucht man aber mehr. Gruß, Nils

Moin, im Prinzip schon - aber "anständige Forensik" und "Hausmittel" passen nicht zusammen. Da wäre mir wichtiger, dass keine akute Gefahr mehr von dem Gerät ausgeht. Gruß, Nils

Moin, und weil es sonst auch immer zu Recht betont wird: So eine Auswertung ist juristisch heikel und kann die Zustimmung von Betriebsrat, Mitarbeiter*in, ... erfordern. Lass dich im Zweifel beraten, wir dürfen es nicht. Gruß, Nils

Moin, sofort plattmachen und neu einrichten. Wieso fackelt man da noch lange rum? Gruß, Nils

Moin, okay, der Gedanke ist nachvollziehbar. Ich rate trotzdem von diesem technischen Ansatz ab, denn Technik ist fast nie die die richtige Antwort auf organisatorische Probleme - im benannten Szenario empfehle ich, mit anderen, organisatorischen Anforderungen zu arbeiten (z.B. Grenze, ab der auf einem anderen Kanal eine Bestätigung einzuholen ist) auch einen Signaturhinweis übersieht man leicht - besonders wenn er eben nicht da ist (vgl. Unmöglichkeit eines negativen Beweises) "interne" Signaturlösungen laufen regelmäßig auf Probleme, wenn der Zugriff mal nicht intern ist (z.B. aus dem Home-Office, von einer Dienstreise) insgesamt entsteht so trügerische Sicherheit das Schlüsselmanagement kann sich zum Alptraum entwickeln (Zugriff auf Mail über andere Rechner) und es gibt auch erhebliche Risiken, die sich aus dem Einsatz von Mail-Signaturen und -Verschlüsselung ergeben (Schlüsselverlust = Datenverlust) Ob es überhaupt möglich ist, "Nur intern" zu signieren, ist mir nicht bekannt, weil es aus meiner Sicht keine sinnvollen Einsatzbereiche dafür gibt. Gruß, Nils

Moin, welches Ziel verfolgt ihr damit? Was ist die Anforderung, die ihr lösen wollt? Gruß, Nils

Moin, was mir daran nicht schmeckt, ist das VM-basierte "Backup". Nennt mich konservativ, aber: Ich würde sowas höchstens als Zusatzoption machen, aber als Basis immer bei einem herkömmlichen Systemstate-Backup bleiben. Das hat eine ganze Reihe von Vorteilen - einer davon wäre für mich in dem Ransomware-Szenario der wichtigste: Es ist eben keine VM. Im Fall von Ransomware sollte man sich von dem Gedanken verabschieden, dass der Schaden in dem Moment eintritt, in dem der Angriff stattfindet. Eine 14 Tage alte VM, wie im Beispiel genannt, kann sehr gut bereits "gehackt" sein. Es gibt kein einfaches Backup und erst recht kein einfaches Recovery in einem produktiv genutzten Netzwerk. Gruß, Nils

Moin, an der Rückfrage erkennt man, dass du das noch keinen Senioren erklären musstest. Gruß, Nils

Moin, das Stichwort lautet "administrative Delegation". Das AD erlaubt eine sehr granulare Steuerung. Ja, so kann man es beschreiben. https://duckduckgo.com/?q=active+directory+delegation&ia=web Gruß, Nils

Moin, ja, das steht ja unten in meinem Artikel, wo es um die Verarbeitung des CSR geht. ;) Gruß, Nils

Moin, hilft dies? [Windows-PKI: Computerzertifikat manuell anfordern | faq-o-matic.net] https://www.faq-o-matic.net/2017/09/13/windows-pki-computerzertifikat-manuell-anfordern/ Gruß, Nils

Moin, Passt so halb. Ich hab vor zehn Jahren gewechselt ... Gruß, Nils

Moin, Siehste, nach gerade mal dreizehn Jahren Core bewahrheitet sich, dass der sicherer ist. Gruß, Nils

Moin, naja, wenn du so pauschal fragst, dann selbstverständlich: ja. Ob das Risiko in einer gegebenen Situation tatsächlich höher einzuschätzen ist, wäre im Einzelfall zu bewerten und hängt von vielen Umständen ab. Prinzipiell ist es aber so, dass bei jeder VM das Risiko des Host-Übergriffs besteht, das es so bei einer physischen Maschine natürlich nicht gibt. Dazu kommen Fehlkonfigurationen, die sich in einem VM-Host-Szenario gravierender auswirken können. Gruß, Nils