Dukel

Meine Kunden nutzen Personalisierte Admin Accounts und auch nur zur Administration.

Soll man hierzu noch etwas schreiben?

Du versuchst das mit dem "Administrator" und machst dir in einem anderen Beitrag sorgen um die Sicherheit? 1. gibt es den Admin SD Holder 2. nutzt man den Administrator nicht für die Tägliche Arbeit!

Sicherheitsmechanismen und Konzepte gibt es viele. Wichtig ist in jedem Fall. Patchen. Ein Tiering Modell ist in jedem Fall auch relativ einfach umzusetzen, ergibt etwas mehr Sicherheit und ist auch eine Basis für andere Sicherheitskonzepte.

SQL 2008? Da ist selbst der Extended Support seit zwei Jahren abgelaufen. Außerdem gibt es in jeder SQL Server Version Performance Verbesserungen (wobei das die Ursache vermutlich nicht beheben würde).

Ich kann leider nicht sagen, ob Kemp mit mehren DNS Namen funktioniert. Dann doch evtl. HAProxy.

Jein. Mit nur einer IP kannst du alles in einem VS machen und, wie bei owa/ecp/... die Weiterleitungen auf SubVS Ebene. "/RDWeb" geht dann an den RDS Host.

Das User / Devices eine CAL benötigen, wenn sie auf einen DHCP Server zugreifen kommt daher, wenn diese Geräte (bzw. die User, die auf einem Gerät arbeiten) eine IP von dem DHCP Server anfordern und nicht wegen irgendwelcher Synchronisierungen. Und ein DHCP Server synchronisiert auch nur Leases, die vorher von einem Gerät angefordert wurden.

Welcher DHCP Server vergibt IP Adressen, wenn kein Client anfragt?

Gibt es einen Trust zwischen den Domänen? SharePoint kann dies. Sowohl SSO (Kerberos) als auch mehrere Domänen (mit Trust).

Wird neben dem Betreff auch der Header angepasst? Da würde ich nach dem Header (bei Spamassassin ist es X-Spam: Yes) filtern statt dem Betreff.

Entweder ich bin sicher, dass es keine Malware auf meinen Systemen gibt, dann kann ich das so belassen. Oder ich bin mir nicht sicher, dann hat man eine Risiko Analyse zu erstellen mit der Option, die Umgebung neu zu installieren. Da es immer zu dem Fall kommen kann, dass einem nichts anderes übrig bleibt die Umgebung neu aufzubauen, sollte man so was geplant haben.

Man muss aber auch einmal davon ausgehen, die komplette Umgebung neu aufzubauen. Hier ist jetzt die Chance dafür ein Konzept zu erstellen. Wenn die Umgebung zu komplex zum neu Aufsetzen ist, dann muss das ändern. Das ist immer noch ein großes Risiko (welches man Eingehen kann, würde ich aber nicht ohne GL entscheiden!) das so zu bereinigen.

Zeigen die Urls alle auf den R-Proxy? Gibt es Logs? Gehen die Adressen intern? http://1*****:80 ?

Man erkennt nicht viel an der Config. Entweder die externen Namen auf die jeweiligen Servern zeigen lassen oder die Url Teile (/rdweb zum RDS Host, /owa&/ecp&... zum Exchange, /qnap zur Storage) auf die jeweiligen Server. Für erstes muss DNS passen. EDIT: So in der Art: location /mapi { proxy_pass https://exchange01; } location /owa { proxy_pass https://exchange01; } location /rdweb { proxy_pass https://rds01; }

Was ist ein "Reiner" Loadbancer? Ein LB verteilt zugriffe auf mehrere Backendsysteme. Je nach OSI Schicht gibt es dabei unterschiedliche Möglichkeiten einzugreifen (SSL, Urls,...). Nginx kann auch TCP/UDP weiterleiten und verteilen. Ist das jetzt ein ReverseProxy, Webserver oder Loadbalancer?

Du lizenzierst nicht die VM's ("Hüllen") sondern das OS in der VM (OSE).

Das Verhalten ist schon immer so. Bei einer solchen Migration migriert man die Daten am besten ohne ACL's (Robocopy statt Drag&Drop). Dann werden die vorhandenen, neuen ACL's genutzt oder man setzt die ACL's danach. Jetzt kannst du z.B. die ACL's überall neu setzen.

Man kann mit einem Reverse Proxy einzelne Adressen (powershell, ecp, oab,...) erlauben oder verbieten.

Wieso solltest du für Linux eine Windows Lizenz benötigen?

Bei HA Proxy gibt es das auch. Aber nicht ganz so trivial. Klar ein Kemp ist auch möglich (und kostenfrei, wenn man mit den Einschänkungen leben kann).

https://www.loadbalancer.org/blog/nginx-vs-haproxy/ https://thehftguy.com/2016/10/03/haproxy-vs-nginx-why-you-should-never-use-nginx-for-load-balancing/ Außerdem ist es einfacher tcp Verbindungen (außer http(s)) zu loadbalancen / redirecten. EDIT: Frage 2: https://nginx.org/en/docs/http/server_names.html Das ist der externe Hostname bzw. auf den Nginx / Der Reverse Proxy hört. EDIT2: Eine Funktion, die mir bei Nginx fehlt ist, dass man einzelne Realen Server temporär deaktivieren kann (z.B. beim patchen).

https://nginx.org/en/docs/ https://nginx.org/en/docs/http/ngx_http_core_module.html#server_name Server_Name ist der Parameter, blog.indibit.de ist zu ersetzen. Ich würde HA_Proxy statt Nginx empfehlen als Reverse Proxy.

Wieviel Forensic Erfahrung hast du, dass du beurteilen kannst, ob es ein Angriff gab? Wenn du dir nicht sicher bist, beauftrage jemand, der das prüft.

Welche Passwörter? Auch der des KRBTGT (https://www.msxfaq.de/windows/kerberos/krbtgt_keyrollover.htm) ? https://www.msxfaq.de/exchange/update/hafnium-exploit.htm#was_tun_bei_erkanntem_einbruch_