v-rtc

Ich Liebe Bänder

vor 13 Stunden schrieb daabm:

Wenns wichtig ist frag ich rum - wir haben das wohl im DefaultSD von gMSA angepaßt, weiß nur nicht was genau weil ich nicht dran beteiligt war...

Frag gerne mal nach, würde andere auch interessieren ;)

vor einer Stunde schrieb cj_berlin:

https://docs.dbatools.io/Copy-DbaDatabase

5000 Zeilen Text und Du nur n kurzer Link 😂 köstlich ☺️

vor 3 Minuten schrieb HeizungAuf5:

Wenn ich die Funktion richtig interpretiere, sorgt diese dafür, dass alle Änderungen vom Produktiven System sofort auf das Testsystem übertragen werden?

Ja Intervall legt man selbst fest… 

es ist aber wohl angekündigt in einer kommenden Version

Database Mirror vielleicht eine Option? Zu den anderen zuvor?

Ich frag mich, wie man sowas überhaupt noch gemanaged bekommt 😵‍💫

krasse Beschleunigung 

vor 1 Stunde schrieb MurdocX:

 

Falls du unterfordert sein solltest, hier wären noch weitere Themen zum anknüpfen:

• Supportete u. mit aktueller Firmware Netzwerkkomponenten
• Sammeln (und auswerten) der Logs der Netzwerkkomponenten
• Härten der Netzwerkkomponenten
• Blick auf die Passwortrichtlinien werfen
• Regelmäßiges wechseln der Admin- u. Service-User Passwörter (krbtgt nicht vergessen...)
• Authentifizierungsrichtlinien für Service-User (FGPP)
• Nicht benötigte SPNs entfernen
• Umgebung auf AES128 umstellen (RC4 deaktivieren)
• Beschränken der Berechtigungen zum Erstellen von Tasks
• Schwachstellen-Management (und ja, das macht Arbeit ;) )
• NTLM beschränken
• HVCI (und auch aktuell halten)
• Näheren Blick auf CIS u. STIGs werfen
• Updatestand auf den Servern und Clients aktuell halten

Coole Liste. Härten der Netzwerkgeräte bedeutet unnötige Zeilen entfernen oder gibt es da noch mehr? Mein Wissen ist leider von 2017 noch…und ja Schwachstellenmgmt ist ein riesiger Aufwand :-(

vor 40 Minuten schrieb mwiederkehr:

Das Marketing wirkt leider und ich sehe immer wieder Firmen, die lieber Geld für "AI-enhanced Cloud Security" oder "Managed Detection and Response" ausgeben als für organisatorische Massnahmen, obwohl letztere aus meiner Sicht mehr bringen würden. So trifft man immer noch Umgebungen an, in denen der Azubi sich als Domain-Admin auf dem Printserver einloggt, um im Internet nach Druckertreibern zu suchen. Oder Scripts per Taskplaner als Domain-Admin ausgeführt werden, aus für Benutzer schreibbaren Verzeichnissen. Aber man fühlt sich gut geschützt durch "360° Total Insight Premium Cloud Edition".

Werbung funktioniert, Gefahrenmeldungen werden ignoriert… :-|

vor 9 Stunden schrieb daabm:

Aus dem Alltag eines Umsetzungsveranstalters... Einführung von Tier-Trennung und Eliminieren von NTLM-Auth:

 

Du mußt jedem erst mal erklären, warum er jetzt ne Domain mit angeben muß.

Du mußt danach jedem auch erklären, daß es überhaupt verschiedene Domains gibt und warum das wichtig ist.

Danach erklärst Du dann den "Doppel-Tier-Leuten", warum sie jetzt 2 Accounts haben und mit denen jeweils andere Dinge können bzw. eben nicht können. Und warum das alles vom Arbeitsplatz aus gar nicht mehr geht.

 

Damit hast Du die Basics der Tier-Trennung aus Sicht "Admin-Accounts" beinahe durch - wenn man ignoriert, daß "eigentlich" auch alle Peripheriesysteme (Identity Management, Systems Management, Inventory Scanner etc.) getrennt aufgebaut werden müssen. Das bezahlt aber quasi niemand, da wirst Du Kompromisse eingehen müssen. Das Thema PAW ist damit auch noch ungelöst - wir haben's mit CyberArk gemacht. MFA ebenso.

 

Und gegen "verschlüsselt in der Ecke" hilft das auch nur bedingt. Im Kontext des Work-Accounts kann man halt immer alles verschlüsseln, auf das der Work-Account Schreibrechte hat.

 

Wenn Du (wie wir) gleichzeitig versuchst, NTLM loszuwerden, mußt Du dann jedem erklären, warum sein Adminserver jetzt nicht nur seine Zielserver erreichen muß, sondern auch ziemlich viele DCs. Und warum DNS-Aliase nicht mehr funktionieren. Und warum er plötzlich nicht mehr auf \\10.0.1.15\c$ kommt... ("Ging doch bisher immer")

Dann aktivierst Du LDAP Channel Binding und stellst fest, daß Deine Loadbalancer für LDAPS über Nacht unbrauchbar geworden sind, weil sie SSL terminieren.

 

Und dann merkst Du, daß die meisten MFP (Scan to Folder) zwar Kerberos unterstützen, aber daran sterben, wenn der Serviceaccount nicht im Realm der Domain ist. Und daß auch ganz viele Drittanbieter Kerberos "unterstützen", aber nur wenn alles in einem Realm liegt.

 

Daran stirbt übrigens sogar .NET - System.DirectoryServices.AccountManagement verträgt es nicht, wenn der ausführende Account aus einer trusted Domain kommt: https://github.com/dotnet/runtime/issues/95676. Und es stirbt auch, wenn GetAuthorizationGroups aufgerufen wird, der Zielaccount Mitglied von Gruppen ist, die ForeignSecurityPrincipals als weitere Mitglieder haben (warum das überhaupt geprüft wird, weiß nur MS) und der ausführende Account keine Leserechte auf die FSP-Objekte hat.

Citrix PVS hat auch ganz lustige Probleme mit Trusts. Die checken nämlich an bestimmten Stellen nicht "reale" Gruppenmitgliedschaften von Serviceaccounts, sondern schauen ins AD. Konkret mußte ein Serviceaccount aus einer trusted Domain dort (!) in eine domain local (!) Group... 🙈

 

Wenn Du dann noch aufgrund "organisatorischer Anforderungen" (= Management-Wünsche) disjoint Namespaces hast, dann hast Du jetzt richtig Spaß an der Sache 😁 Und bist für mehrere Jahre unentbehrlich .

 

Da fließt noch sehr viel Wasser ins Meer...

 

PS: Wir haben ~8.000 MA im Konzern.

Heilige F***krütze 😳

vor 20 Minuten schrieb NorbertFe:

Ähm. Was genau ist jetzt der Weg den man gehen muss, wenn man was nutzt?

Man muss sich damit befassen und schauen was für einen Sinn ergibt und machbar ist. Deshalb ein guter Weg, wenn man aktiv ist  mehr wollte ich damit nicht sagen. Kenne die Umgebung auch nicht.

Wer es nicht macht, handelt aus meiner Sicht relativ grob fahrlässig. Security kostet viel Zeit auch bei der Administration. Daher ist es aus meiner Sicht der Weg den man gehen muss, wenn man das nutzt. 
Es gibt sicher viele die es nicht machen, da wäre mir das Risiko zu hoch. Daher Glückwunsch dass Ihr das getan habt.

Der seit langem erste Newsletter den ich komplett mit Freude gelesen habe. Vielen Dank und Glückwunsch 👍

Halt uns gerne auf dem Laufenden… wenn Ihr MS einsetzt, denke ich ist Azure nicht die schlechteste Idee

Verstehe die ganzen Firmen nicht die nun soweit, zum Teil sind, alles an MS Azure „raus“ zu geben… sind alle so naiv? :o(

Geht wieder alles?

vor 18 Minuten schrieb zahni:

Frage: Warum gibt es auf produktiven VMs aktive Snapshots? Das macht man höchstens via Storage. Ansonsten kostet das jede Mange Performance und braucht HDD-Platz.

Ausnahmen bestätigen die Regel

vor 1 Stunde schrieb Damian:

Hi

 

Vor allem: Man spart ja im eigenen Haus Arbeitsplätze aka Menschen ein. In der BWL-Etage zieht das wie frischer Kaffee.

 

VG

Damian

Die Preise für Cloud möchte ich nicht wissen 🤗 glaub da werden die irgendwann meckern.

Nils hast schon recht, Kinderschuhe sind es nicht mehr. Trotzdem hat sich am Grundthema, Daten aus der Firma geben, nicht so viel geändert, oder doch? 

vor einer Stunde schrieb mwiederkehr:

Der Unterschied zu früher ist jetzt wohl, dass auch bei kleineren Unternehmen die Anforderungen an die Verfügbarkeit der IT massiv gestiegen sind. Früher hat man ohne grosses Murren gewartet, bis der Restore vom NTBackup fertig war und halt einen halben Tag lang das Büro aufgeräumt. Bei den heutigen papierlosen Büros gibt es nichts mehr aufzuräumen und ohne IT funktioniert nicht mal das Telefon. Da hat die Cloud schon ihre Vorteile.

Das find ich völlig irre im Notfall 🥸

wie die Spiegel an den LKWs, mögen sie immer funktionieren…

vor 8 Stunden schrieb Damian:

Als die Computertechnik noch sehr kostspielig war, konnten sich nur wenige Unternehmen eigene IT-Systeme leisten. Alle anderen mussten sich Slots bei Rechenzentren oder eben großen Unternehmen mit eigener IT buchen. Dann wurde die Technik kompakter und günstiger. So konnten sich auch die kleineren Unternehmen eigene IT-Systeme leisten und die Daten im eigenen Haus halten. Wo sie ja angeblich hingehören. Jetzt geben die Unternehmen ihre ach so kostbaren Daten wieder in die Obhut anderer Unternehmen und hoffen darauf, das alles gut geht.

 

Ist schon eine seltsame Entwicklung. Aber das wäre eine Paradigmadiskussion, passt jetzt nicht hierher.

 

VG

Damian

Trifft es teilweise ziemlich gut. Das machen sogar Firmen, denen ich es Regulatorisch nicht zutrauen würde. Allerdings ist Cloud doch ein Good Vibe, agil, schnell und kann alles viel besser als in der komplizierten aufwendigen OnPrem Welt

Na endlich 🍀🙏👍 danke Dir

vor 2 Minuten schrieb zahni:

Kurzfassung: Wenn Du im System-Eventlog der DC's keine Eintrage mit den Quellen "KdsSvc, Kerberos-Key-Distribution-Center" hast, hast Du kein Problem.

Der KB-Artikel ist übrigens fehlerhaft. Event 39 hat als Quelle "Kerberos-Key-Distribution-Center"  und nicht kdsSvc.

 

Vielen Dank! Hatte ich mir auch schon gestellt 😂

Würde erst mal mit deinem Kunden sprechen?

Fortinet kann ich empfehlen, Preis/Leistung

Du bist ein Schatz! Vielen Vielen lieben Dank 😊 Du hast mir Mega geholfen 🍀

Hallo zusammen,

Ich habe gerade ein wenig eine Denkblockade im Kopf.

Ziel: ich würden gerne ein Public Zertifikat in den Adobe Reader 2020 importieren, aber nicht manuell, sondern am liebsten über eine GPO

Frage, hat einer sowas schon mal machen müssen?

Grund: Damit die internen Unterschriften gültig markiert werden, brauch ich die eigenen Zertifikatskette im Adobe Reader selbst. :-(

vielen Dank vorab.

Grüße

Hallo,

ok, also Telnet und SSH sind für Verbindungen zur „Console“ gedacht, und eher auf Switches, Firewall und Linux in Benutzung. Putty ist dann das Tool mit dem Du beide Verbindungsarten testen kannst 

oder auf Windows den Telnet Client, da nur Telnet.

Grüße