Emmermacher

Hallo @Sunny61

Danke für die Info. Wir setzen nur Windows 10 Pro ein. Dann werde ich mal in diese Richtung weiter lesen.

LG

Dirk

vor 16 Stunden schrieb zahni:

Das ist ein Weg aber nicht der Einzige. Man muss auch immer wieder mit gehackten Servern rechen. Entweder bringt man durch Sicherheitslücken im Browser Malware ohne Rückfrage zur Ausführung oder man zeigt irgendwelchen Unfug an, der die User zum Download und zur Ausführung verleitet. Wie Martin schon schrieb: Applocker ist dein Freund. Am Besten zusammen mit einem Content-Filter auf einem Proxy.

 

Moin @zahni.

Danke für den Hinweis. Das Thema klingt interessant.  Da werde ich mal ein wenig im Netz herumstöbbern. Wie viel Zeit für Vorbereitung uns Umsetzung benötigt man dafür in etwa? Ohne gute Planung und Tests rollt man das ja wohl nicht aus.

LG

Dirk

vor 10 Stunden schrieb daabm:

Der Schaden kommt heute nicht mehr von außen (Firewall), sondern von innen (Mailanhang). Und zum Thema AV: https://heise.de/-4646386

Ich bevorzuge Application Whitelisting (Applocker oder vergleichbares - ein Standardbenutzer darf nichts ausführen von Speicherorten, an denen er Schreibrechte hat) und das Blocken aller unsignierten Makros (oder gleich ganz alle, wenn das im Arbeits-Workflow machbar ist).

@daabm: Hallo Martin.

Formate wie docm sind hier in E-Mails gesperrt. In meinen GPOs ist die Ausführung von Makros auch nicht zulässig. Maktos nutzt hier sowieso niemand.

Zum Thema AV: Auch bei AV-Herstellern können Sicherheitslücken vorhanden sein. Unschön, aber wohl nicht zu ändern. Andere Hersteller kann es hier auch erwischen.

LG

Dirk

vor 3 Stunden schrieb Harris:

Wie hälst du die restliche Software auf den Kisten auf den aktuellen Stand? Wie meinst du 150km fahren fürs Patchen, oder meinst du musst die 150km hinfahren wenn ein Update kracht? Keine Ersatzrechner an den Außenstellen, welche man zur Not einsetzen könnte als Überbrückung?

 

 

Hallo @Harris.

Keine Panik. Zum Patchen fahre ich keine 150km. Dort gibt es auch einen WSUS-Server, der die Updates von unserem Server übernimmt.

Da meistens nicht alle Mitarbeiter vor Ort sind, findet sich meistens ein anderer Arbeitsplatz. Mit Ersatzgeräten vor Ort haben wir eher schlechte Erfahrungen gemacht, da diese monatelang im Schrank liegen und keine Updates bekommen.

vor 2 Stunden schrieb schlingo:

Hallo Dirk :)

 

jein. Das liegt daran, dass die Änderungen bereits in vorherigen Updates enthalten sind und mit dem Funktionsupgrade auf 1909 nur freigeschaltet werden.

 

Quelle: Windows 10 November 2019 Update (V1909) verfügbar: Tipps zur Installation

 

Gruß Ingo

Hallo Ingo.

Danke für die Info :)

LG

Dirk

Hallo @Harris.

Das ist halt immer eine Sach der Abwägung. Unser System halte ich für relativ gut geschützt (eine absoluten Schutz gibt es ja leider nicht, das isz schon klar). Firewall und AV-Programm machen hier meiner Meinung nach einen guten Job. Lücken zu patchen hätte bei mir auch Vorrang, wenn es hier genügend Manpower gäbe. Mal eben150km zu seiner Außenstelle fahren, geht halt auch nicht.

LG

Dirk

Einen schönen guten Morgen.

Herzlichen Dank für Eure Antworten.

@Sunny61: Danke für den Tipp mit dem Regkey. Den werde ich mal nutzen.

Wie viele Rechner sind bei Dir repräsentativ? Bei mir würde ich wohl etwa 5 Rechner nehmen. Das sollte eigentlich ausreichen.

@Harris: Das Build 1909 habe ich zuhause mal installiert. Im Verhältnis zu den vorigen Updates ging das wesentlich schneller. Die Änderungen werden wohl nicht allzu groß sein.

LG aus Hannover

Dirk

Hallo.

Danke für Eure Antworten.

@NorbertFe: Da bin ich ich nicht sonderlich anspruchsvoll. Da wir in der digitalen Welt unterwegs sind, reicht ein "geht" oder "geht nicht".

@Sunny61: Ich arbeite mit WSUS. Da wird eigentlich nichts automatisch auf den Rechnern angeboten. Spannenderweise suchen ein paar Systeme trotzdem Online. Die Einstellungen hatte ich kontrolliert. Die GPOs passen und in der Registry ist auch alles OK. Das ist aber ein anderes Thema...

@Harris: Mit dem, was man so im Netz findet, ist das ja immer so die Sache, welchen Informationen man trauen kann.  Bugss in den Updates gab es ja schon immer, damit müssen ja leider leben. Ist halt die Frage, was vertrauenswürdig ist. Da ich für ca 150 Windowssysteme (alleine) verantwortlich bin, habe ich kein Zeit, Updates wieder zu deinstallieren. Da lebe ich dann zwangsweise lieber mit Sicherheitslücken, als mit Rechnern, die mehr Bugs, als notwendig.

Vernünftige Listen findet man kaum. Für Updates unterhalb von 1903 habe ich diese Seite gefunden: https://www.rockwellautomation.com/ms-patch-qualification/qualifications.htm .

Das funktioniert auch ganz gut. Was haltet Ihr den askwoody.com? Die Leute dahinter beschäftigen sich ja nur mit Updates.

Euch allen einen schönen Feierabend.

LG

Dirk

Hallo.

Zum Wochenende mal eine Frage zum Thema Windows-Updates an Euch. Wir rollen hier jetzt langsam das Build 1903 aus. Da ich keine Testumgebung habe, muss ich mich der Freigabe die Ergebnisse von Google verlassen. Hier bekommt zwar  Ergebnisse, aber leider lässt gerade bei Fehlern in den Updates nicht immer beurteilen, ob die Updates "brauchbar" sind. Gefühlt ist die Qualität der Updates mit der Einführung von Windows nicht gerade besser geworden.

Welche Udpates lassen sich aktuell freigeben, ohne zu große Ausfälle zu riskieren?

Vielen Dank im Voraus für Eure Antworten.

Ich wünsche Euch ein schönes Wochenende !

Dirk Emmermacher

Guten Morgen.

@testperson Hallo Jan. Das hilft mir schon weiter. Das werde ich mal mit meinen Kollegen diskutieren. Aktuell werde ich keine größeren Veränderungen vornehmen können, da hier bis Ende des Monats noch eine große Versanstaltung läuft.

@daabm Moin. Ihr glücklichen. Das macht vieles einfacher. Ich arbeite in einem Sportverband. DSGVO ist zwar auch Thema, aber wenn die Geschäftsleitung beschließt, die Daten bei MS in die Cloud legen zu lassen, können wir auch nur auf mögliche Risiken hinweisen. Bis Oktober hatten wir unser Mailsystem On Prem im Haus.

Ich wünsche Euch ein schönes Wochenende :)

LG

Dirk

Hallo Jan.

Zum Thema FSLogix habe ich mich mal ein wenig informiert. Das Thema klingt interessant für uns. Unter https://www.kreyman.de/index.php/microsoft/ms-sonstiges/164-fslogix-profile-container-vs-citrix-user-profil-manager  habe ich einen Vergleich FSLogix vs. UPM gefunden.

Kann man existierende Profile unter FSLogix nutzbar machen? Meine User wären nicht amused, alles neu anzulegen.

Was ist mit mobilen Arbeitsplätzen? Wer mit dem Notebook extern unterwegs ist, hat ja keinen Zugriff auf das entsprechende Share.

Was ist im Betrieb praktikabler? Profile- oder Officecontainer? Wäre die Nutzung von beiden auch machbar?

Lassen sich die VHD-Dateien nachträglich in der Größe anpassen? Von Citrix gab dioch ein Prgramm für virtuelle Desktops, um VHDs anzupassen.

LG

Dirk

Guten Morgen Jan.

Danke für Deine Antwort. Files on Demand wäre ein Ansatz. Wenn ich das richtig gehesehen habe, kann man die Grüße des Onedrives auch noch verändern. Der böse Admin kann das ja auch verkleinern ;-). Die Citrix-Farm wollte ich eigentlich (noch) nicht auf Server 2019 bringen. Da habe ich noch genug Baustellen, die dringender sind.

Auf jeden Fall wird bei mir die Speicherung der OneDrive-Ordner aus dem Profil heraus genommen. Mit Dropbox und einigen anderen Ordner mache ich das schon. Bei Desktops ist das ja kein Problem. Bei TS-Serverumgebungen würde ich wohl eher den Zugriff über den Browser vorziehen. Bei Teams machen wir das so. Soweit ich weis, wird diese hier nicht empfohlen, bzw. unterstützt.

LG aus Hannover

Dirk

Guten Abend daabm. 

Danke für Deine Antwort. Ich kenne meine Kollegen. Das kennen wir alle. Der Mensch, Jäger und Sammler... 

Wenn ich mir unsere Shares anschaue, liegt da ziemlich viel Kram, der über Jahre liegen bleibt. Löschen ist halt Luxus. 

Da bei uns mittlerweile auch Teams, Exchange und SharePoint genutzt wird, ist das Thema Datenschutz zwar wichtig, aber da eine deutsche oder europäische Cloud nicht verfügbar ist, spielt leider eine geringere Rolle. Vertrauliche Daten sollen nicht Online gestellt werden. Überprüfen können wir das nicht. Ich bin auch nicht der Big brother. Dafür haben wir ja die NSA?. 

Wie wird bei euch Onedrive genutzt (Sofern Du darüber Infos geben möchtest)? 

Schönen Abend 

Dirk 

Hallo.

Euch allen wünsche ich ein frohes neues Jahr!

Zur Nutzung von OneDrive habe ich mal ein paar Fragen an Euch. Wir haben letztes Jahr O365 eingeführt. Mittlerweile kommen Anfragen zu OneDrive. Aktuell ist das noch nicht weiter eingerichtet, da wir uns noch sicher sind, wie das genutzt werden soll. Wir arbeiten mit Desktop, Notebooks und einer Citrix-Umgebung mit "normalem" und UPM-Roaming. (Citrix 7.15 LTSR CU4 mit published Apps und Desktop).

Unsere User wollen unbedingt OneDrive im Explorer nutzen. Hier sperre ich mich, da unser Storagesystem auf Dauer solche Datenmengen nicht aufnehmen kann. Aktuell haben rund 40TB zur Verfügung. Mit den aktuellen Standardeinstellungen von 1TB pro User müssten wir bei ca. 100 Usern auch 100TB (plus Reserve) vorhalten.

Wie wird das bei Euch eingerichtet? Von meiner Seite aus würde ich den Zugriff nur über Browser zulassen, um eine Synchronisation zu vermeiden.

Vielen Dank im voraus für Eure Antworten.

LG aus Hannover

Dirk Emmermacher

Hallo Norbert.

Danke für Info. Ist eigentlich logisch. Die anderen Ressourcen prüfe ich gerade. Hier steht bei allenAutomateProcessing ein AutoAccept und bei ResourceDelegates sind Personen eingetragen.

Eine Resource haben wir jetzt getestet. Das funktioniert jetzt.

Der Rest ist auch umgestellt, muss aber noch getestet werden.

Schönen Feierabend :)

Dirk

Hallo.

Wir haben hier ein Problem mit Terminen für Ressourcen in Office 365. Sowohl in Outlook als auch Online tauchen Termine mit Ressourcen (Räumen) nicht in den Kalendern der Ressourcen auf .

Per Powershell habe ich schon versucht, hier Einstellungen zu ändern:

 Set-CalendarProcessing raum@mydomain.de -AutomateProcessing AutoAccept

Quelle: https://support.microsoft.com/en-us/help/2005631/resources-in-exchange-don-t-respond-to-meeting-requests

Über die Konsole hatte ich das schon eingestellt. Leider habe ich keine Ahnung, ob der Schalter auch so funktioniert hat.

Der Raum hat noch zwei Personen, an die delegiert wird.

Wie stellt man das ein, sofern das nicht ein Bug sein sollte?...

Vielen Dank im voraus für Eure Antworten.

LG aus Hannover

Dirk Emmermacher

Hallo Jan. 

Wir nutzen Networks von CAS. Angeblich soll der Bug in der aktuellen Version gefixt worden sein. 

Schönes Wochenende 

Dirk 

Hallo.

Der Hersteller kennt den Bug bereits.

Für mich das Thema damit gelöst.

Ich wünsche Euch allen ein schönes Wochenende :)

LG

Dirk

Hallo.

So, wie im Moment aussieht, habe ich das Problem eingrenzen können. Es handelt sich um das Plugin unserer CRM-Software. Hier habe ich mal ein Ticket beim Hersteller aufgemacht.

LG

Dirk

Hallo Jan.

Testweise haben wir jetzt mal die Telemetriedienste von Office per Regkey abgeschaltet.

HKEY_CURRENT_USER\Software\Microsoft\Office\Common\ClientTelemetry

DisableTelemetry
dword=1
 

Mal schauen, ob das was bringt. Mit meinem eigenen Account läuft Outlook hier jetzt mit ca. 1% CPU. Das ist Ok.

Da werde ich morgen hoffentlich  genauere Erkenntnisse haben...

LG

Dirk

Hallo Jan.

Outlook in Safemode muss ich testen.

Wir die Profilverwaltung con Citrix, das Streaming ist dabei eingeschaltet. Allerdings ist die "Profilstreaming-Ausschlussliste - Verzeichnisse" nicht konfiguriert.

Bei den OST-Dateien werden 3 Monate gecached.

Den Pfad habe ich eingetragen unter:

Benutzerkonfiguration -> Richtlinien -> Adminstrative Vorlagen -> Microsoft Outlook 2016 -> Verschiedenes -> PST-Einstellungen

Standardspeicherort für OST-Dateien

Der Link zu WEM ist interessant. Bislang haben wir WEM nur eingesetzt, um halt die CPU nicht voll auszulasten. Andere Funktionen habe ich aus zeitgründen noch nicht nutzen können.

LG

Dirk

Hallo Jan.

Danke für Deine Antwort.

Plugins werden bei uns genutzt (CRM-Software).

Wir nutzen UPM-Roaming.

Outlook arbeitet im Cached-Modus. Hier habe ich seit gestern per GPO einen Pfad für die OST-Datei eingetragen.

WEM haben wir aktuell nicht auf den Servern im Einsatz. Das hatte ich vor ein paar Monaten runtergeschmissen, da das nicht so lief, wie wir uns das erwartet hatten. Wir denken aber schon wieder in diese Richtung. Die Umstellung von GPO auf WEM dürfte wohl nicht so schnell durchzuführen sein.

Das AV-Programm verhält sich normal. Höhere CPU-Auslastungen gibt es bei nur bei Anmeldungen, das ist ja normal.

LG

Dirk

Moin Norbert.

Im Großen und Ganzen ja. Die Anzahl der der Fehler hat sich in Grenzen gehalten. Von meinen 90 Usern habe ich nur von einem gehört, das ein Ordner nicht sauber übertragen worden ist.

Ehrlich gesagt wäre ich lieber bei Groupwise geblieben (never touch a running system...). Mit dem System habe ich seit 2003 gearbeitet. Dank Cloud sind viele Dinge langsamer. Einige Dinge funktionieren immer noch nicht wieder.

Ich wünsche Dir einen schönen Tag.

LG aus Hannover

Dirk

Die Migration mit Quest ist jetzt fertig. Mittlerweile wird auc Version 18 unterstützt.

LG

Dirk

Hallo.

Wir haben hier gerade auf Office 365 umgestellt. Mit Outlook habe ich hier auf meinen Terminalservern massive Probleme bei der Prozessorauslastung. Startet man Outlook bewegt das noch im normalen Rahmen (5-10%) Nach einiger Zeit steht steht die Prozessorauslastung konstant bei 20-30% pro Outlook.exe (Die User haben das Programm teilweise nur offen und arbeiten in anderen Programmen). D.h., das vier User ausreichen, um CPU auf 100% zu bringen.

Wir nutzen Windows Server 2016 mit Citrix Xenapp 7.15 LTSR CU4, Office Pro Plus 16.0.11328.20438.

Die Maschinen haben 4 CPUs mit 32 GB RAM, Die Maschinen sind virtuell auf VMware 6.7.

Per GPO habe ich schon etliches abgeschaltet, wie z.B. die Hardwarebeschleunigung der Grafikkarte, die Animationen,... Dazu gibt es ja einiges an Doku. Leider hat bislang nichts wirklich geholfen, was ich probiert habe.

Müssen wir damit leben, oder hat hier jemand dieses Problem lösen können?

Vielen Dank im voraus für Eure Antworten.

LG aus Hannover

Dirk Emmermacher

Hallo Norbert.

mit Schwund ist halt immer zu rechnen. Das ist halt so. Wenn wir über 95% der Daten sauber migieren können, bin ich schon glücklich.

Noch ma eine andere Frage zum Betrieb von Exchange Online: Wie machen das Eure Kunden nach der Umstellung mit Spam und AV? Da wir unser Groupwise selber hosten, ist das aktuell noch eine gerade Linie. Meine Firewall nutzt diverse Techniken zur Erkennung von AV/Malware. Dahinter kommt noch ein Spamfilter, der auch noch mal nach Viren schaut. Der Spamfilter ist so gut, das bei mit im Monat max. 2 Spams durchkommen. So was gibt man ungern auf...

Dazu habe ich mir diverse Szenarien überlegt. Eine Entscheidung ist aber hier noch nicht getroffen worden.

Meine Überlegungen hier:

Wir betreiben unser Konstrukt so weiter und ändern im Spamfilter nur die IP-Adresse, zu der  weitergeleitet wird

Der Spamfilter fliegt raus und die Firewall übernimmt die Filterung (mit Sicherheit nicht so effektiv).

Spam/AV-Filterung bei MS (keine Ahnung, wie effektiv das ist)

Outsourcen der Spamfilterung.

LG

Dirk

vor 7 Minuten schrieb testperson:

Du hast das "onward" überlesen. ;)

 

Sorry. Das war noch vor dem ersten Kaffee ...

LG

Dirk