testperson

Hi,

ich würde noch Wazuh als Open Source SIEM / XDR in den Raum werfen.

Gruß

Jan

Zum Thema Fileshares (und anderen Dingen) evtl.: Kein RDP oder File Share mehr nach letzten Windows Update (LSA(LsaSrv) Event ID 6167) - Microsoft Q&A

Moin,

schau ggfs. einmal hier (auch wenn das Problem meiner Meinung nach nicht Windows Server 2025 als DC ist, sondern die vermutliche Missachtung aller Dinge, die mit RC4 zusammenhängen): Windows Server 2025 als DC: Finger weg, bei gemischten Umgebungen (RC4-Problem)Borns IT- und Windows-Blog

HTH

Jan

Hi,

unter diesen Umständen würde ich mir derzeit die Frage gar nicht stellen. Der Exchange hängt ja scheinbar (direkt) am Internet und Mitte Oktober ist es mit dem Support vorbei. Evtl. sollte man hier über eine Migration zu Exchange Server SE (oder in Exchange online) nachdenken und in diesem Step direkt nach Best Practices vorgehen, die sich im Falle von ExO von alleine erledigen:

• Split DNS
• öffentliches Zertifikat
  • Falls es nichts "kosten" darf -> Let's Encrypt oder ähnlich

Generell würde ich beim Vorfinden eines solchen Exchanges einen Fahrplan in Richtung Split DNS + öffentliches Zertifikat aufstellen bzw. dankend ablehnen. (Zusätzlich wäre zu beleuchten, ob der Exchange wirklich direkt und ohne Web Application Firewall im Internet hängen muss, sofern er dies denn derzeit tut.)

Gruß

Jan

Hi,

der Windows Server Essentials ist Domain Controller und gleichzeitig Hyper-V? Oder ist die Hyper-V Rolle "auf der Hardware" installiert und der Essentials läuft bereits als VM unter Hyper-V?

Losgelöst davon ist das meiner Meinung nach eine echt bescheidene Idee, den Essentials als Hyper-V Host zu nutzen und den Essentials dann als VM zu betreiben. Für die zweite RDS VM wirst du am Ende so oder so eine Windows Server Standard (samt CALs) benötigen und kannst daher auch gleich auf den Essentials verzichten.

Gruß

Jan

vor 54 Minuten schrieb zahni:

Falls Deine Windows-Edition keinen Applocker hat:

Seit ~Oktober 2022 gibt es da keien Einschränkung mehr: Requirements to use AppLocker | Microsoft Learn

Zitat

Note

As of KB 5024351, Windows 10 versions 2004 and newer and all Windows 11 versions no longer require a specific edition of Windows to enforce AppLocker policies.

Dafür müsste man halt erstmal wissen, was denn da wie und warum mit den PFs gemacht wird. 

Hi,

im anderen Thread kam ja schon die "indirekte Frage" auf, warum werden die PFs überhaupt benötigt? Was bildet der Kunde da in den PFs ab, dass diese benötigt werden?

Gruß

Jan

Hi,

ich _vermute_ du hast nicht genug Geduld. ;)

Zusätzlich - falls du es nicht schon machst - solltest du Gruppen berechtigen und nicht direkt den/die User.

Gruß

Jan

Hi

vor 12 Stunden schrieb Ulli39130:

was mach ich da falsch

jetzt noch mit Batch anfangen.  *SCNR*

Die Frage wäre halt, ob es _wirklich_ Batch sein muss. Ansonsten würde ich in Richtung PowerShell gucken.

$Ordner = "menue"
if($Ordner -eq "menue"){
	Write-Host "JA"
} else{
	Write-Host "NO"
}

Gruß

Jan

Ich meine mich an DAN Software (von Medifox?) zu erinnern, die Software für Pflege entwickeln. Da hatte damals ein größerer Pflegeverbund "DAN Touch"(?) im Einsatz, was per Schloss / USB Token die Notebooks bzw. Tablets der Pflegekräfte entsperrt / gesperrt bzw. an- / abgemeldet hat.

Vielleicht ist DAN ja im Einsatz oder die eingesetzte Software bietet auch so eine Möglichkeit.

Dafür muss aber Autodiscover sauber funktionieren. Zeroconfig übernimmt an der Stelle ja "nur", dass der Benutzer im ersten Screenshot seine E-Mail-Adresse nicht eintippen muss und diese aus dem AD kommt.

Steht ja im Endeffekt auch so in den von dir verlinkten Artikel:

Zitat

Ohne Zeroconfig:

By default, when Outlook is started for the first time, a simple wizard is launched to help the user connect to the mailbox. Users must provide their email address and specify that the mailbox is hosted on Exchange (on-prem Exchange or Exchange Online), and then click Next -> Next -> Done. Outlook will then use Autodiscover to obtain the Exchange mailbox connection settings.

...

Mit Zeroconfig:

Now, when Outlook starts, it gets the user’s SMTP address from AD, receives the mailbox connection settings via Autodiscover, and creates a new user mail profile. This means that when a user opens Outlook, the profile name and mailbox connection settings are automatically and silently configured without any manual input.

Hier scheint ein Autodiscover vom Domain Provider oder Guesssmart bzw. wie es heißt reinzufunken und eben von irgendwo die Info zu bekommen, dass es sich um IMAP dreht.

Hi,

mir ist bei einem Kunden die Event Id 6167 aus der Quelle "LSA (LsaSrv)" im Eventlog recht hartnäckig um die Ohren geflogen. Eine kurze Google Suche hatte dann diesen Beitrag hervorgezaubert.

Gruß

Jan

Hi,

den Anmeldevorgang auf den lokalen Client "auslagern" und per SSOn auf den Terminalserver verbinden? Evtl. findet sich auch was aus der Richtung "Transformer" aus dem Citrix WEM oder man versucht das mit Bordmitteln / Kiosk nachzuahmen.

Gruß

Jan

Hi,

ich würde darauf tippen, dass es genügt Autodiscover sauber zu konfigurieren und zusätzlich ggfs. per GPO am Client einzuschränken: GPS: AutoErmittlung deaktivieren

Gruß

Jan

vor einer Stunde schrieb Marco31:

Scheint auf jeden Fall zu funktionieren, habe mal ne Deny-All Inbound am Hyper-V-Host für eine Client-IP erstellt. Zugriff war vom entsprechenden Client auf den Hyper-V-Host nicht mehr möglich. Aber warum sollte ich das ganze auf den restlichen System umgekehrt auch implementieren? Wer erfolgreich am Hyper-V-Host ist kann ohne Probleme auf alle Server-VM's zugreifen, da hilft die Firewallregel nichts. Die einzigen Server bei denen das Sinn machen würde wären doch höchstens der Veeam Server und der physische DC? Oder habe ich da einen Denkfehler?

Das kannst du so argumentieren und handhaben. Wie viel Arbeit ist es aber, das "kurz" in ein GPO zu packen und auf alle Systeme auszurollen? Lohnt es da "groß zu diskutieren" bzw. Energie in die Abwägung zu stecken?

Hi,

oder auch: Kein RDP oder File Share mehr nach letzten Windows Update (LSA(LsaSrv) Event ID 6167) - Microsoft Q&A

Es findet sich zum September Patchday unter Server 2025 / Win 11 24H2 recht viel in diese Richtung.

Gruß

Jan

An der Stelle könnte man darüber nachdenken, an den Hyper-V Hosts - losgelöst ob Domain / Workgroup - per Windows Firewall eine Deny In- / Outbound Regel zu erstellen, die eben die IP Range(s) der Workloads / restlichen Systeme abdeckt. Auf den restlichen Systemen wird das Ruleset dann einfach "umgekehrt" implementiert.

Zwischen Hyper-V Hosts und Veeam Server bzw. ggfs. zwischen Veema Server und Workloads müsstest du dann etwas granularer rangehen. Bzw. auch wenn die Hosts in der Domain sind.

Hi,

vor 14 Minuten schrieb Marco31:

Leider ist Netzwerksegmentierung und damit ein Management-VLAN aus Gründen (noch) nicht möglich, daher ist das derzeit keine Option die die Sicherheit erhöhen würde.

ich würde - losgelöst von Workgroup / Domain - ASAP "Gründe" beseitigen.

vor 15 Minuten schrieb Marco31:

Leider hat sich jetzt durch Veeam B&R ein weiteres unschönes Problem ergeben; um einen Hyper-V-Workgroup-Cluster zu sichern, muss man auf den Hyper-V-Hosts entweder die Remote-UAC ausschalten oder für die Verbindung von Veeam zum Cluster DEN Administrator-Account auf den Hyper-V-Hosts nutzen.

Die Frage wäre, ob man den Admin Approval Mode nicht generell auch für den Built-In Admin aktiviert (User Account Control Admin Approval Mode for the Built-in Administrator account - Windows 10 | Microsoft Learn).

Gruß

Jan

Du hast ja auch eine "New-DynamicDistributionGroup" erstellt und keine "Get-DistributionGroupMember".

Siehe: View members of a dynamic distribution group | Microsoft Learn

vor 12 Minuten schrieb cj_berlin:

Also zumindest kannst Du dich dann schon mal an die Agilität der dynamischen Gruppen in Entra ID gewöhnen, solltest Du diese mal benötigen  

OT: Einfach zwei, drei Mal am Tag laufen lassen

Update-MgGroup -GroupId <Id> -MembershipRuleProcessingState Paused
Start-Sleep -Seconds 5
Update-MgGroup -GroupId <Id> -MembershipRuleProcessingState On

(Bei dynamischen Gruppen für Autopilot Geräte bzw. fürs Deployment Profil kann ich mal noch nicht über langsame Updates der Mitglieder klagen.)

Dann wirst du mit nem RecipientFilter auf "EmailAddresses" filtern müssen, sofern das machbar ist oder eben meinen Ansatz wählen.

Wo klemmt es denn bei deinem bisherigen Ansatz?

Ich wäre skeptisch, ob MSFT Webcast irgendwas mit Microsoft zu tun hat. 

Hi,

falls es nicht zwingend "dynamisch" sein muss, lass doch zwei, drei Mal am Tag ein PowerShell Script per Scheduled Task drüber laufen, das dir die Gruppen baut, wie du sie gerne hättest. Damit bist du vermutlich flexibler. Bzw. schreibe dir mit diesem "Helper Script" die entsprechende Domain in ein Custom Attribut, welches du dann für den Filter hernimmst.

Was soll den mit Usern passieren, die beide Adressen haben?

Gruß

Jan

Wer braucht schon die Hersteller Doku (Create a workgroup cluster in Windows Server | Microsoft Learn) wenn es Youtube Videos gibt.