wznutzer

Herzlichen Dank für die Infos. So hatte ich das bisher. Dann kann man den HCW nach der Stelle an der man die kostenlose Lizenz abholen kann abbrechen.

Hallo, wenn ich einen Exchange lokal nur noch zur Verwaltung der AD-Attribute nutze, weil alle Postfächer in der Cloud sind (für alte Drucker noch ein Relay), muss man bei der Installation trotzdem den Hybrid Wizard ausführen, aber warum? Was macht der? Ich benötige ja keinerlei Routing (Minimal Hybrid, Modern Topologie) und die AD-Attribute werden durch den Azure-Sync übertragen. Auch die Migration ist schon länger her. Evtl. hat mir jemand von euch einen Link zum Nachlesen?

Bezüglich des Problems des Hängenbleibens: Nachdem ich die Vorlage und das Register Kryptografie einmalig ohne Netzwerkverbindung angewählt habe, ist das Problem verschwunden. Seltsam, aber der Rest scheint zu funktionieren. Aber bei Gelegenheit komplett neu machen um dann ganz sicher nie wieder dran denken zu müssen ist bestimmt besser.

Ich weiß . Das seltsame ist ja, dass fast alle Zertifikate munter erneuert werden, aber niemandem bewusst ist, dass das verwendet wird. Ich bin selber dabei und ich weiß ganz genau, dass ich das nicht verwende .

Das wird wohl das Beste sein. Die DCs holen sich ja automatisch Zertifikate. Lassen sich die EFS-Zertifikate der Nutzer übernehmen, wobei alle mit denen ich gesprochen habe, ist nicht bewusst, dass sie jemals eine Verschlüsselung verwendet haben.

Oh shit... Ich habe mich darauf verlassen und das eher als Empfehlung gesehen https://learn.microsoft.com/de-de/troubleshoot/windows-server/identity/move-certification-authority-to-another-server

Die CA heißt noch gleich, aber der Server auf dem die CA läuft hat einen anderen Namen. Weil Microsoft das so beschrieben hat, dachte ich, das sei kein Problem Das ist Plan B um den IIS schnell zum Laufen zu bringen. Aber eine kaputte CA will ich auch nicht dauerhaft haben. Es sind halt EFS-Zertifikate ausgestellt, deswegen habe ich die migriert und nicht einfach weggeworfen.

Ja, aber wäre der Ablauf anders als bei der Übernahme vom W2K12R2? Zertifizierungsstelle sichern inkl. privatem Schlüssel und Zertifizierungsstellenzertifikat Registry-Key sichern: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration hier beschrieben: https://learn.microsoft.com/de-de/troubleshoot/windows-server/identity/move-certification-authority-to-another-server Zertifizierungsstelle deinstallieren Dann Zertifizierungsstelle wieder installieren (jetzt auf dem gleichen Server, bei der Migration auf einem neuen) Zertifikatedienst beenden Registry-Key importieren (hat sich der Name geändert CaServerName vorher anpassen) Nun mit der Assistent das Backup wiederherstellen Server neu starten Müsste ich irgendwas anders machen? Danke

Hallo, für einen ausschließlich intern von Domänen-Clients genutzten IIS wollte ich ein Zertifikat ausstellen. Das klappt soweit auch, nur hat das Zertifikat der Standardvorlage (Webserver) eine Schlüssellänge von nur 1024. Das mögen nun die Browser nicht. Die Zertifizierungsstelle wurde immer wieder migriert. Wenn ich nun das Template dupliziere um Anpassungen vorzunehmen hängt sich die ganze MMC auf, sobald ich beim duplizierten Template das Register Kryptografie anwähle. Auch nach einer Wartezeit von über einer Stunde ändert sich nicht. In den Eventlogs wird nichts protokolliert. Auffällig ist noch, dass der Dienst Zertifikatverteilung (CertPropSvc) sich nicht beenden / neu starten lässt. In meiner Testumgebung geht das. Kenn das jemand von euch? Danke

Nutzt Du die Standardrichtlinien oder Strikt? Ablehnen müsstest Du ja explizit eingestellt haben, bei einigen Optionen geht das gar nicht. Falls Du eigene hast (wie ich) sind diese stark unterschiedlich zu den Standardregeln (Konfigurationsanalyse)? Ich habe jeden Tag 100-150 in Quarantäne und gebe so 1-3 frei. Ich habe schon einiges damit rumgespielt. Mit den Standardregeln sind z. B. fast alle Mails mit der OneNote-Links-Masche zum Nutzer durch. Oder auch die Bank-Phishing-Mails gehen auf einer Stufe <4 (maximal aggressiv) immer mal wieder durch. Mit Stufe 4 ist das dicht. Jetzt geht bei mir nichts mehr durch was nicht gewollt ist, aber so 1-3 am Tag landen halt in der Quarantäne und sollten nicht. Die User bekommen einen Quarantänebericht und fordern die Freigabe an.

Funktioniert das zuverlässig? Ich nutze das ähnlich, aber es gibt das Problem, dass Emails die von der Exchange-Online-Protection in die Quarantäne sortiert werden, nach Freigabe nicht in das Journalpostfach zugestellt werden. Der Microsoft-Support hat das bestätigt, aber ist wohl by Design und das Journalpostfach wird als Featurecomplete angesehen und es ist mit keiner Änderung zu rechnen. Im Archiv fehlen somit alle Emails die mal in der Quarantäne waren und von da aus freigegeben wurden.

Da war ich aber schön falsch abgebogen . Danke!

Hi, so ein bisserl b***d muss ich jetzt doch noch fragen. Wenn ich das über eine Gruppenrichtlinie oder auch lokale Richtlinie konfiguriere sehe ich die Konfiguration nicht im Registry-Key: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters Bei der Abfrage mit w32tm /query /status wird aber die korrekte Zeitquelle angezeigt. Wenn ich die Zeitquelle direkt mit w32tm (z. B. w32tm /config /manualpeerlist: “meine Zeitquelle”) konfiguriere sehe ich das in der Registry. Funktionieren tut es immer, nur für mein Verständnis. Warum sehe ich das in der Registry nicht? Ich dachte mal ich hätte das mit den GPOs und dem Tattooing verstanden . Danke und Grüße

Guten Tag, in meinem AD ist die Uhrzeit falsch. Also nicht unterschiedliche Zeiten im AD, sondern das AD komplett. Nach der Migration des DC mit der Rolle PDC-Emulator wurde einfach nicht darauf geachtet, diesen nach extern zu synchronisieren: w32tm /query /status Sprungindikator: 0(keine Warnung) Stratum: 1 (Primärreferenz - synchron. über Funkuhr) Präzision: -23 (119.209ns pro Tick) Stammverzögerung: 0.0000000s Stammabweichung: 10.0000000s Referenz-ID: 0x4C4F434C (Quellname: "LOCL") Letzte erfolgr. Synchronisierungszeit: 10.09.2023 15:52:08 Quelle: Free-running System Clock Abrufintervall: 6 (64s) Die Zeit ist ungefähr 3 Minuten voraus. D. h. wenn ich jetzt das korrekt konfiguriere habe ich im Netzwerk beim Generieren von Timestamps evtl. 2x die gleiche Zeit. Ich meine irgendwo mal gelesen zu haben (weiß aber nicht mehr wo) dass das kein Problem ist, weil Windows nicht einfach die Zeit umstellt, sondern bis zum Erreichen der korrekten Zeit die Zeit etwas schneller oder langsamer laufen lässt (im AD). Liege ich hier richtig oder falsch? Danke und Grüße

Ich bin grundsätzlich für neu machen. Allerdings schaue ich mir das immer selber an und verlasse mich nicht auf die Aussage von Kollegen. Gerade solche Meldungen wie AV ist ausgefallen, man solle diese oder jenes tun, waren bei mir schon harmlose Browser-Benachrichtigungen und keine Erweiterungen oder sonstiges Software die ausgeführt wurde (wenn es bei der Benachrichtigung geblieben ist und die "Ratschläge" nicht befolgt wurden). Man fängt sich das ja nicht einfach so ein. Da hat der User schon was dafür gemacht. Ist es aber tatsächlich ein Stück Software das ausgeführt wurde ==> neu.

Vielen Dank für eure Beiträge. Generell hoffe ich, dass ich das gar nie brauche, wie wahrscheinlich alle die das machen. Ich sehe, dass das Fullbackup (-allCritical) gerade mal 6 GB mehr braucht. Da stelle ich dann doch lieber auf Fullbackup um. Es lohnt sich doch immer mal wieder Gewohntes in Frage zu stellen und mal nachzufragen . Danke und schönen Tag

Guten Morgen, neben Veeam mache ich ein Backup eines DC (GC, alle FSMO-Rollen) per Windows-Backup (wbadmin) und zwar "nur" den Systemstate. Ich habe den Restore schon probiert und war der Meinung alles ist gut. Nun habe ich zufällig hier (https://www.msxfaq.de/windows/dc_backuprestore.htm) gelesen, dass man in neueren Versionen >2008 das Backup mit der Option Bare metal recovery machen sollte. Es heißt "Eine Sicherung des "System State" alleine ist nicht ausreichend!" Das widerspricht meiner Erfahrung. Aber ich lerne gerne dazu. Sollte das AD grundsätzlich per "Bare metal recovery" gesichert werden oder reicht wie bisher angenommen der Systemstate? Für einen Tipp, Link oder Erfahrungsbericht wie das bei euch üblich ist, würde ich mich freuen.

Guten Tag, beim Konzept der Tiers versucht man grob gesagt zu verhindern, dass die Credentials von höher privilegierten User wie Tier1 nicht in Tier 2 landen. Also ein Account, der Tier1 zugeordnet ist, darf sich nicht an einem Tier2 PC anmelden. Wie sind da Network-Logons zu beurteilen? Also ich kopiere etwas mit einem Tier1 Account auf die SMB-Freigabe eines Tier2 PCs oder auf ein NAS in Tier2. Ich meine irgendwo mal gehört zu haben, dass das unbedenklich ist. Aber ist das so? Danke

Hallo, es heißt, dass man geschützt sein sollte, wenn man Microsoft Defender for Office 365 nutzt. Habe ich zwar, aber wenn eine präparierte Office-Datei von irgendwoher anders geöffnet wird und nicht per Dateianhang ankommt, sollte man wahrscheinlich trotzdem die Keys per GPO setzen.

https://learn.microsoft.com/de-de/troubleshoot/windows-client/networking/saving-restoring-existing-windows-shares

Danke, das handhabe ich genau so. Ich versuche das noch etwas zu verbessern in dem ich auf RDS-Hosts oder auch hin und wieder bei einen der anderen Server noch sozusagen anlasslose Kontrollen vornehme. Aber ich habe nun gelernt, dass ich da wohl ziemlich alleine mit dastehe . Teilweise mache ich das auch, mit Veeam. Darf ich fragen, welches Backup Du nutzt?

Da rennst Du bei mir offene Türen ein. Aber wann ist die Schwelle erreicht es neu zu machen? Schon wenn der AV eine URL bei einer Internetrecherche meldet oder die Phishing-Mail angeschaut wurde? Die 3-4 Stunden sind auch nicht zu viel, aber wenn jemand schreibt, dass das auch in 20 Minuten geht, wundere ich mich schon. So lange geht die Installation schon von einem Stick. Wahrscheinlich ist das so. Aber trotzdem versuchen wir doch ständig irgendwas besser zu machen und dazu zu lernen. Andere Meinungen zu kennen, finde ich schon sehr hilfreich. Der Mensch davor bleibt.

Ich würde etwas als "clean" bezeichnen, wenn keine andere Software drauf läuft als diejenige die vorgesehen ist. Dem stimme ich zu und handle auch so. Aber wann ist etwas mutmaßlich kompromittiert? Klar wenn das Monitoring dubiose Verbindungen protokolliert, auf eine Rechnung.pdf.exe geklickt wurde, all diese Sachen, keine Frage, das Teil wird neu gemacht. Aber wenn der User bei einer Internetrecherche irgendwo draufgeklickt hat und der AV meldet einen Zugriff auf eine URL, irgendwas im Browsercache oder er hat den Link in der Email angewählt eine blöde Internetseite geöffnet, die Logindaten abgreifen will und wieder zugemacht. Ist so etwas schon ein "Sicherheitsfall"? Dass ich überhaupt etwas merke, muss mir der Nutzer ja berichten oder irgendein Monitoring muss anschlagen. Aber wenn der User 1 Tag bevor etwas erkannt werden kann schon draufklickt? Dann würde ich das gerne bei "regelmäßigen Wartungsarbeiten" feststellen. Und genau um diese möglichen Prüfungen geht es mir. Ich habe das wahrscheinlich falsch formuliert. Oft heißt es ja, dass ein Netz manchmal schon Wochen/Monate kompromittiert ist, bevor man das merkt. Was hätte man in den Wochen/Monate machen müssen um zu bemerken, dass etwas nicht stimmt? Hätte man das mit etwas Übung, Autoruns, ProcessExplorer, Thor, Offline-Scan bemerken können?

Das ist mal konsequent. Evtl. hat da auch die Überlegung mitgespielt, dass man es nicht mit Wald und Wiesen Malware zu tun hat. Darf ich etwas OT werden? Meinst Du Puppet, Ansible und Co? Oder den Weg alles einzeln zu recherchieren (Powershell, Registrykeys usw.). Bis alle Schrauben dran sind, komme ich immer auf 3-4 Stunden.

Danke für Deine Mühe, aber Du versuchst eine Frage zu beantworten die ich nicht gestellt habe. Evtl. reden wir auch aneinander vorbei. Der letzte Punkt gehört zu den regelmäßig stattfindenden Wartungsarbeiten. Die Frage war, wie stelle ich fest, ob ein System clean ist? Nicht, wie stelle ich sicher, dass mein System clean bleibt? Auch wichtig, aber halt eine andere Baustelle, auch wenn es dazugehört. Inzwischen habe ich eine Meinung eines Dienstleisters, wie das in sehr großen Umgebungen die auditiert, zertifiziert und was es noch alles gibt sind, gemacht wird. Da wird diese Frage erst gar nicht gestellt. Da gilt: Ein System ist per Definition clean, wenn die installierten Monitoring-Maßnahmen nichts melden. Ist die Mail durchgerutscht und der User hat draufgeklickt, der AV hat die Url geblockt, gibt es keine weiteren Maßnahmen. Der Grund für diese Sichtweise ist aber nicht, weil man das zu 100% so sicher sagen kann, sondern aufgrund der schieren Größe (mehrere 1000 Clients) gar nicht anders zu handeln ist. Mir ist schon klar, dass es keine Maßnahme gibt, die zu 100% sagen kann, dass ein System clean ist. Aber zwischen "ich mache nichts" und "100%" gibt es ja noch etwas dazwischen. Interessant wäre zu wissen, ob bei allen Fällen die bekannt werden, solche regelmäßigen Maßnahmen nicht in einigen Fällen dazu geführt hätten, dass eine Kompromitierung frühzeitig entdeckt worden wäre.