Jump to content

Moped

Members
  • Gesamte Inhalte

    272
  • Registriert seit

  • Letzter Besuch

Beiträge erstellt von Moped

  1. Hi Leute,

     

    wir haben immer mal Rechner auf denen der WMI Provider Host Prozess die Prozessorlast und damit den Lüfter des Systems stark ansteigen lässt.
    Ich finde aber leider nicht raus welche Software/Programm dafür verantwortlich ist.

     

    Gibt es evtl. ein Tool, ähnlich dem Prozess-Explorer, dass das kann? In dem ich sehe welches Programm damit "verknüpft" ist? 

    Danke euch vorab :-)

     

    LG

  2. Am 21.7.2023 um 12:00 schrieb NorbertFe:

    Evtl. das hier?

     

    Bye

    Norbert

    PS: In dem Fall wäre es Threat Protection und nicht die für die Fäden. ;)

     

    Die entsprechende GPO gab es bei uns schon und hilft demnach leider auch nicht.

    Interessant ist, letzte Woche konnte ich die Links in der Excel Datei ohne Meldung öffnen, heute bekomme ich u.g. Hinweis, der aber nach 1-2 Sekunden wieder verschwindet und der Link (lokaler Intranet Link) wird geöffnet.

     

    Dieses ATP, ist das Bestandteil der Defenders? oder ist das eine separates Sicherheitsfeature?

    @NorbertFe was meinste du mit "PS: In dem Fall wäre es Threat Protection und nicht die für die Fäden. ;)"?

     

     

    Fehler2.png

  3. Hallo Zusammen,

     

    nach einem Office Update habe ich einen User bei uns der die u.g. Meldung bzgl "Advanced Thread Protection > sichere Links" bekommt.

    Er bekommt die Meldung wenn er in Excel auf einen Link zu einer lokalen Intranet Seite klickt.

    Ich und mehrere andere bekommen die Meldung nicht. Ich habe zumindest gelesen dass man das im Admincenter konfigurieren kann. Darauf haben wir aber keinen Zugriff, weil das über unsere Mutter verwaltet wird.

    Wir haben noch eine lokale Domäne mit lokalen DC's. 
    Kann man diese Einstellung auch über GPO's konfigurieren.

    Schon komisch dass es nur einen User betrifft. Oder kann man sogar in Excel selber was einstellen?

     

    Danke vorab und Gruß

     

     

    Fehler.png

  4. Hallo Zusammen,

    danke für die Ausführungen, mega interessant.
     

    Was genau ist denn der Unterschied wenn ich in der Firewall "Blockieren (Standard)" setze oder "Alle Blockieren"?

    Bei Standard klappt ja noch sowas wie z.B. die SMB Verbindung.
     

    Würde bedeuten, so wie @MurdocX schreibt, man stellt "Alle Blockieren" ein und gibt dann die entsprechenden eingehenden Verbindungen, wie man sie braucht frei.

     

    Handhabt ihr das auch so?

     

    Nachtrag: Wir haben das schon mal gehabt, dass z.B. wenn ich Teams starte, eine Meldung kam dass die Einträge in der Firewall angepasst werden sollen.

    Das würde ja dagegen sprechen, dass Outbound Kommunikation auch automatisch Inbound geht, sonst würde das lokale Teams ja nicht die Firewall regeln anpassen wollen, oder habe ich da einen Denkfehler?
     

  5. vor 38 Minuten schrieb chrismue:

    Mahlzeit,

     

    du bist sicher, dass du ALLE SMB KOMMUNIKATION sperren sollst?

    Oder geht es hie um SMB1?

     

    Gruß

    chrismue

     

    Die Aussage bezog sich jetzt nicht auf eine bestimmte Version,  wobei ich SMB1 schon per GPO deaktiviert habe und die bei W11 nicht mehr dabei ist

    vor 35 Minuten schrieb MurdocX:

    Hallo,

     

    kurze Gegenfrage: Welcher Port muss denn überhaupt auf einem Client offen sein?

     

    Clients haben ausschließlich ausgehende Kommunikation. Ausnahmen bestätigen die Regel. Mach die Clients dicht. Für ggf. administrative Tätigkeiten erlaube ein geschlossenes Admin-Netz.

     

    Das ist eine gute Frage, sinnvoll wäre es ja die Clients dicht zu machen, klar.
    Aber das muss man dann mal separat testen und anpassen

    Die Windows Firewall steht bei uns auf Blockieren (Standart), damit sollte ja eigentlich alles zu sein (bis auf die Windows eigenen Ports glaube ich. 
    Weil wenn ich sage "Alle Blockieren" funktioniert erst mal fast nichts mehr 

  6. Hallo Zusammen,

     

    ich wollte mal nachfragen, wie ihr das mit SMB auf Windows 10/11 Clients handhabt, bezogen auf die Sicherheit

    Wir sollen, wie es so schön heißt, "die SMB Kommunikation auf den Clients sperren"

    Ist dann noch ein gescheites Arbeiten Möglich?

    Blockt ihr z.B. in der Windows Firewall den Port 445? Wobei in der MS Beschreibung steht "Die Windows Firewall hat standardmäßig alle eingehenden SMB-Kommunikationen blockiert, seit Windows XP SP2 und Windows Server 2003 SP1."

     

     

    Suche nach einer praktikablen Lösung, deshalb mal die Frag in die Runde wie ihr es handhabt

     

  7. Ich würde gerne zu dem Thema nochmal eine Ergänzung bringen

     

    Ich sehe im DNS Log folgenden Eintrag:

     

    Zitat

    Ein Ressourceneintrag vom Typ "1", Name "Hostname-1", TTL "1200" und RDATA "0x0A340927" wurde erstellt in Bereich "Default" von Zone "Firma" über das dynamische Update von IP-Adresse "10.11.12.100".

     

    Dieser Eintrag wird aber im DNS nicht erstellt, stattdessen gibt es im DNS gibt es aber noch einen anderen älteren Eintrag mit der o.g. IP aber zu einem anderen PC zugeordnet.

     

    hat da jemand eine Idee?

  8. Hallo Zusammen,

     

    wir haben ein einem Standort das Problem, dass die Clients teilweise minutenlang warten bis sie "Netz" haben.

     

    Wir haben zwei Standorte, an jedem ist ein DHCP Server welche im Active/Passive Standby konfiguriert sind, Jeweils der Am Standort befindliche ist für das Netz der Aktive.

    An einem Standort haben wir das Problem, dass die Clients Minuten brauchen um Netz zu bekommen. 

    Im Log des DHCP Servers finde ich u.g. Einträge. Die gehen so lange, bis das Log seine max. Größe erreicht hat

    Erst ist die Lease erneuert, ist teilweise erfolgreich und dann kommt ein NACK

     

    Hat jemand eine Idee wo man ansetzen kann?

     

    Zitat

    30,04/17/23,08:29:32,DNS-Aktualisierungsanforderung,10.11.12.100,Hostname.Firma.de,,,0,6,,,,,,,,,0
    11,04/17/23,08:29:32,Erneuern,10.11.12.100,Hostname.Firma.de,ABC123AB12A1,,3361966582,0,,,,0x4D53465420352E30,MSFT 5.0,,,,0
    30,04/17/23,08:29:32,DNS-Aktualisierungsanforderung,10.11.12.100,Hostname.Firma.de,,,0,6,,,,,,,,,0
    11,04/17/23,08:29:32,Erneuern,10.11.12.100,Hostname.Firma.de,ABC123AB12A1,,3361966582,0,,,,0x4D53465420352E30,MSFT 5.0,,,,0
    32,04/17/23,08:29:32,DNS-Aktualisierung erfolgreich,10.11.12.100,Hostname.Firma.de,,,0,6,,,,,,,,,0
    32,04/17/23,08:29:32,DNS-Aktualisierung erfolgreich,10.11.12.100,Hostname.Firma.de,,,0,6,,,,,,,,,0
    15,04/17/23,08:29:32,NACK,10.11.12.100,,ABC123AB12A1,,0,6,,,,,,,,,0

    30,04/17/23,08:29:32,DNS-Aktualisierungsanforderung,10.11.12.100,Hostname.Firma.de,,,0,6,,,,,,,,,0
    11,04/17/23,08:29:32,Erneuern,10.11.12.100,Hostname.Firma.de,ABC123AB12A1,,1262625697,0,,,,0x4D53465420352E30,MSFT 5.0,,,,0
    32,04/17/23,08:29:32,DNS-Aktualisierung erfolgreich,10.11.12.100,Hostname.Firma.de,,,0,6,,,,,,,,,0
    30,04/17/23,08:29:32,DNS-Aktualisierungsanforderung,10.11.12.100,Hostname.Firma.de,,,0,6,,,,,,,,,0
    11,04/17/23,08:29:32,Erneuern,10.11.12.100,Hostname.Firma.de,ABC123AB12A1,,1262625697,0,,,,0x4D53465420352E30,MSFT 5.0,,,,0
    15,04/17/23,08:29:32,NACK,10.11.12.100,,ABC123AB12A1,,0,6,,,,,,,,,0

     

  9. Hallo Zusammen,

     

    Wir sind gerade in der Phase unseren McAfee gegen den Defender "auszutauschen"
    Jetzt stolpere ich über ein paar Dinge und wollte mal frage wir ihr das so handhabt.

     

    Ich würde gerne, vom Grundsatz her z.B. einen täglichen Schnellscan durchführen und 1x in der Woche oder im Monat einen Fullscan. (Wir hatten das bei McAfee auch so mit dem FullScan)

    Habe aber noch nicht herausgefunden wie das zu konfigurieren ist. 

    Dann habe ich bei MS gelesen dass die einen FullScan nicht empfehlen, nur bei einer Neuinstallation des Defenders/Rechners

     

    Daher die Frage zur BestPractice
    Wie handhabt ihr das bei euch? 

     

  10. Hallo Zusammen,

     

    ich habe mal eine Verständnisfrage, bin vermutlich auf dem Holzweg.

     

    Es gibt in der Domäne eine OU User.

    Auf der OU habe ich eine GPO die nur eine AD Gruppe (Lesen und übernehmen) berechtigt. (natürlich sind in der Gruppe auch die entsprechenden User drinnen)

    Die Computereinstellungen in der GPO sind deaktiviert, weil es sich um Usereinstellungen handelt.

     

    Warum auch immer, wird diese GPO von den Usern nicht übernommen. Erst wenn ich deren Computerkonten zusätzlich in die GPO Berechtigungen mit aufnehme, dann wird sie übernommen.

     

    Hab ich da einen Gedankenfehler?

     

     

  11. vor 35 Minuten schrieb cj_berlin:

    Moin,

    es kommt ja auch darauf an, was für euch "Managen" bedeutet. Die *Konfiguration* könnt ihr auch mit Gruppenrichtlinien ausbringen, dafür braucht ihr keinen SCCM.

    Ihr bekommt ohne die Cloud aber auch nur einige wenige Teile des Malware-Schutzes, und das ist viel gravierender als das Bisschen Management.

     

    Managen bedeutet einerseits die Einstellungen auf den Clients, andererseits aber auch eine Übersicht für evtl. gefundene Ereignisse.
    Das ist eine der Vorgaben die wir erfüllen müssen. Also so eine Art Dashboard 

     

    Wo kann ich das mit dem Malwareschutz nachlesen? Gibt's da überhaupt was oder ist das "Erfahrung"?

  12. Moin Zusammen,

     

    wir verwenden bisher den McAfee für unser Clients und Server. Müssen aber jetzt aufgrund Vorgaben von diesem weg und auf MS Defender wechseln.

     

    Unsere Herausforderung ist, dass wir die komplette Verwaltung ohne Cloud, Azure und Tenant machen müssen.

    Heisst: 

    Wir haben eine Domäne in dem Unsere Clients verwaltet werden. Unsere Mailboxen liegen aber bei unserer Mutter in der Cloud (M365).

    Da wir aber dort keinen eigenen Tenant haben, ist es wohl nicht ganz so einfach. So wie ich das verstanden habe, müssen wir einen localen SCCM Server installieren und von dort aus den Defender managen.

    Ist das so?
    Hat da jemand Erfahrung mit?
    Hat evtl. jemand eine gute Seite in der das vorgehen beschrieben ist

     

    Danke euch vorab 

  13. vor 7 Minuten schrieb NorbertFe:

    Maaaaahaaaaan. ;) exportier das doch mal als Reg Datei

     

    Das macht es nicht besser 

     

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\Firma.de]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\Firma.de\netz]
    "file"=dword:00000001
    "*"=dword:00000001

  14. vor 2 Stunden schrieb daabm:

    Bei file: sind es IMHO 3 Slashes, nicht nur 2 - bin mir aber nicht 100% sicher. "netz.firma.de" sollte aber gehen (ohne Protokoll davor). Und bei DFS sollten die Zielserver auch eingetragen werden.

     

    Ich habe netz.Firma.de,  file://netz.Firma.de die IP Netze und die Server eingetragen.
    Dazu die beiden Werte UNCAsIntranet und IntranetFileLinksEnabled auf 1 gesetzt in der Registry (zum Test, später dann per GPO für alle)

    Wenn ich versuche File mit 3 Slashes einzutragen kommt u.g. Fehlermeldung

     

    Trotzdem funktioniert der Zugriff auf den FileExplorer nicht.
    Noch eine Idee?

    lokalesIntranet.jpg

  15. vor 16 Stunden schrieb zahni:

    Normalerweise sollte das hier reichen:

     

    https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.InternetExplorer::IZ_UNCAsIntranet

     

    Das LW E: auf einem UNC-Path liegt, bekommt Windows schon mit.

     

    Ich habe den Wert "UNCAsIntranet" mit 1 in meine lokale Registry geschrieben

     

    vor 14 Stunden schrieb daabm:

    Alternativ die FQDNs und Hostnamen der Fileserver (oder DFS-Roots) in die Intranet-Zone aufnehmen.

     

    Ich habe die Fileserver und den DFS Root in die IntranetSite's mit aufgenommen

    Unser Root im DFS heißt: \\netz.firma.de\firma

    So konnte ich das aber nicht in die Lokalen Sites aufnehmen, habe das jetzt in Form file://netz.Firma.de gemacht

     

     

    Trotzdem geht es nicht, bekomme immer folgendes beim klick auf den Link: about:blank#blocked

    Kann es sein, dass die Art des Links file:///E:/%5COdner1%5C%5CAllgemeines nicht mehr passt im Edge?

     

     

  16. Hi Nils,

     

    ein weiterer Server der auch im Fehlerfall auch alles was auf dem Ersten konfiguriert ist, übernehmen kann. Also ein Art Cluster.

     

    Der hat natürlich eine neue IP, Diese haben wir jetzt in das neue Cert aufgenommen und dieses muss nun in ADFS eingesetzt werden.

    Die neu erstellte XML Datei ist, soweit wir das prüfen konnten, eigentlich indentisch.

    Das reine Austauschen der Zertifikate an den beiden im Screenshot markierten Punkten, funktionierte nicht.

     

  17. Hallo Zusammen,

     

    wir haben ein ADFS Server der für eine Applikation SSO macht. (Tableau)

    Jetzt ist für diese Applikation ein weiterer Server hinzugekommen, dementsprechend muss ein neues Zertifikat bei ADFS in den Vertrauensstellungen hinterlegt werden.

     

    Kann ich das Zertifikat einfach austauschen?

    Muss die XML Datei auch neu importiert werden?

    Muss ich das an beiden Punkten (siehe Scrrenshot) austauschen?

     

    ADFS-Cert.jpg

×
×
  • Neu erstellen...