testperson

Was hast du denn in der neuen GPO (und möglicherweise auch ansonsten noch) konfiguriert? Ist es möglicherweise einfacher / schneller, das letzte Backup wiederherzustellen?

@CoNtAcT2000 was passiert denn überhaupt, wenn du den Server ganz normal bootest und du dich an der Konsole vorm Server anmelden willst?

Hi, versuchst du die Anmeldung nur per RDP und der IP Adresse? Nimm einmal den FQDN, falls du dich per RDP anmeldest. Ansonsten kannst du dich lokal direkt am Server oder halt per RMM (iLO, iDRAC, etc.) anmelden? Gruß Jan

(Ich würde mal vorsichtig hinterfragen, wozu (noch?) den WSUS wenn baramundi da ist?)

Hi, So wirklich weit weg von unsupported wäre das meiner Aufassung nach nicht: Manage recipients in Exchange Server 2019 Hybrid environments | Microsoft Learn Bei solchen Problemen würde ich den User einfach einmal aus dem Sync Scope nehmen und warten, bis er online gelöscht wird. Dann wieder in den Scope und syncen lassen. Mach ansonsten ein Ticket bei MS auf. Gruß Jan P.S.: Diese Änderung hat es auch nur in den ersten Splashscreen geschafft. An allen anderen Stellen heißt es weiterhin "AzureAD Connect". (Zumindest bei der ersten Version, die "umbenannt" wurde.) :)

Dann sind wir aber "fast" an dem Punkt, dass auch der regelmäßige Kennwortwechsel nicht hilft, sofern im "nicht Idealfall" SMB signing nicht erzwungen wird und mDNS / LLMNR, etc. zutrifft. (Was in der Praxis leider immer wieder zu sehen ist. :/ Manchmal bin ich doch froh, Umgebungen zu finden, wo es mehr als die DDP + DDCP gibt. :)) Aber: Verstanden. Danke!

Evtl. etwas zu vereinfacht: Bei PtH gibt es einen Man in the Middle und die Kommunikation ist unverschlüsselt und/oder unsigniert oder der Angreifer ist bereits auf einem Device authentifiziert und sammelten die lokal liegenden Hashes, die es im Idealfall nicht gibt. Oder bin ich hier zu blauäugig / unwissend / realitätsfern?

Moin, vielleicht auch einfach darüber nachdenken, die Kennwort nicht mehr regelmäßig ablaufen bzw. ändern zu lassen. Der Artikel ist jetzt auch fast schon fünf Jahre alt: Passwörter: BSI verabschiedet sich vom präventiven, regelmäßigen Passwort-Wechsel | heise online Wenn es um Sicherheit geht, wäre eine MFA wohl zu bevorzugen. Möglicherweise zusätzlich auch eine "Überwachung" der Kennwörter mit Tools wie bspw. "Microsoft Entra Password Protection" oder auch "Specops Password Policy" . Gruß Jan

Hi, kann man die Posteingänge evtl. freigeben mit "Lesen" / "Löschen" -> "Keine" und "Schreiben" -> Elemente erstellen? Dann könnte man die Mails ggfs. in die Posteingänge verschieben. Das dürfte früher (oder später) aber auch an seine Grenzen stoßen. Ggfs. auf ein Ticket System wechseln und den Mitarbeitern dann einfach die Mail als Ticket bereitstellen oder eine Mailablage in einem Archiv / DMS, wo es dann beim Bearbeiter landet? Bzw. das nicht mit Outlook / Exchange abbilden. ;) Gibt es Regelmäßigkeiten, um sowas ggfs. im Hintergrund per Script o.ä. automatisiert zu erledigen? Gruß Jan

Hi, der Zugriff über die IP dürfte ab DFL/FFL 2012 R2 gar nicht mehr funktionieren (außer evtl. vom Host selber auf die eigene IP), da du in den Protected Users kein NTLM mehr machen darfst. Kannst du auf "\\domain.local\netlogon" direkt zugreifen? Gruß Jan

Moin, ist das ein ganz normaler User oder ist der ggfs. Mitglied der "Protected Users"? Gruß Jan

Hi, das verstehe ich noch nicht ganz. Ich würde es "ganz nett" finden, den Workspace zu nutzen und mich dort eben per Entra Id User bzw. eben "Conditional Access" anzumelden und dann auf die lokalen Ressourcen zu kommen. Das lässt sich bspw. ähnlich (besser?) mit "Entra Private Access" oder auch nur dem Azure Application Proxy umsetzen. Wenn es nur um einen neuen Client geht, kannst du zumindest mittlerweile wieder den (roten) RD Client (per Workaround: GitHub - Devolutions/MsRdpEx: Microsoft RDP Client Extensions) nutzen. (Alternativ und je nach Lizenzierung der Server 2025 kannst du halt im Rahmen des Azure Hybrid Vorteils kostenlos Azure Local (Azure Stack HCI) nutzen und müsstest nur die AVD VMs zahlen.) Wie gesagt, so ganz erschließt sich mir dein Plan noch nicht. HTH Jan

OT: Das hätte ja fast schon was von was schlägt man?

Ich nutze das nur als Computer Richtlinie. Für User habe ich es noch nicht getestet / genutzt. Der einzige Unterschied wäre jetzt noch, dass ich ein, zwei Leerzeichen nutze, wie es in den Beispielen steht. Laut Filter format for Microsoft Edge URL policies | Microsoft Learn ist das so und funktioniert bei mir auch so. Ein Test wäre ggfs. noch eine zweite Domain "*.domain.de" anzugeben, obwohl es eigentlich nicht notwendig sein sollte.

Das war in/aus Richtung "wir ziehen einfach die Domain von IONOS zu Anbieter XYZ, den wir dann auch als SmartHost nutzen". Wenn man halt keinen "dedizierten Smarthost Anbieter" nutzt oder eben nicht selber sendet.

Moin, bei "Option 1" hängt es ein wenig davon ab, ob das nur eine Domain für Mails ist oder ob da auch noch Website und ggfs. mehr dran hängt. Man kann ansonsten AFAIK bei All-Inkl externe bzw. fremde Domains zum Versand über deren Mailserver berechtigen. Generell wäre ich aber auch wie @NorbertFe bei Option 2. Falls das nicht möglich ist, würde ich eher Richtung Hornet Security, No-SpamProxy Cloud, Exchange Online Protection, o.ä. gucken und auch den Empfang darüber abwickeln und die (möglicherweise) Benefits von einem Cloud Anti SPAM (und evtl. weiterer Funktionien) mitzunehmen. HTH Jan

Hi, hier funktioniert es. Nutzt du aktuelle / die aktuellsten Edge ADMX Templates? Was kommt denn am Computer / beim User unter "HKLM\Software\Policies\Microsoft\Edge" oder eben "HKCU\Software\Policies\Microsoft\Edge" an? ExemptFileTypeDownloadWarnings REG_SZ [ { "file_extension": "rdp", "domains": ["binfordtools.org"] } ] ExemptSmartScreenDownloadWarnings REG_SZ [ { "file_extension": "rdp", "domains": ["binfordtools.org"] } ] Gruß Jan

Moin, also wenn eine Neuinstallation möglich ist, also nix wichtiges / brauchbares mehr auf dem Notebook liegt, würde ich das direkt machen und keine Zeit verschwenden. Ansonsten könnte man in der Suchmaschine der Wahl mal Richtung "Password" und "utilman" oder so suchen. ;) Gruß Jan

Für die Kosten eines zweiten Hosts und einer NAS kann man sicherlich ne ganze Zeit lang Hot Patching bezahlen. :)

Geld? Ihr bekommt Geld? Bei mir heißt es immer, ich solle froh sein, 8 Stunden am Tag ein Dach überm Kopf zu haben und dafür keine Miete zahlen zu müssen.

... oder wer, wie im Artikel verlinkt, den "zweiten" Faktor vor dem "ersten" bzw. vor LDAP nutzt. :) (Das wollte ich mir auch schon immer mal angucken. ;))

Kommt jetzt ein bisschen auf "den Haufen Speicher" an. Ich bin mittlerweile bei Minisforum MS-01 gelandet, da reichlich flotte LAN Ports (2x 2,5 GBE; 2x 10 GBE) anwesend sind und man "notfalls" noch bspw. ne Mellanox ConnectX-4 (2x 25 GBE) nachrüsten kann.

Hi, den Anstieg an Zugriffsversuchen hat evtl. der ein und andere mitbekommen. Hier ein Ansatz zur Mitigation von Citrix: Password spraying attacks on NetScaler/NetScaler Gateway – December 2024 - Citrix Blogs Was überall machbar sein sollte: # Responder Policy, um Zugriff ausschließlich über Hostname und nicht mehr per IP zuzlassen: add responder policy res_pol_IP_Block "HTTP.REQ.HOSTNAME.EQ(\"<gateway.fqdn.tldY\").NOT" DROP bind vpn vserver <Gateway_vServer_name> -policy res_pol_IP_Block -priority 100 # AAA Responder, um Anfrage bereits vor dem AAA Modul zu verwerfen (benötigt min. FW 13.0 oder neuer): add policy patset patset_block_urls bind policy patset patset_block_urls "/cgi/login" bind policy patset patset_block_urls "/p/u/doAuthentication.do" bind policy patset patset_block_urls "/p/u/getAuthenticationRequirements.do" add responder policy res_pol_block_urls "HTTP.REQ.URL.SET_TEXT_MODE(IGNORECASE).CONTAINS_ANY(\"patset_block_urls\")" DROP bind vpn vserver <Gateway_vServer_name> -policy res_pol_block_urls -priority 100 -gotoPriorityExpression END -type AAA_REQUEST Wer die WAF / Reputation lizenziert hat: # Das o.g. Pattern Set muss hier auch erstellt werden bzw. da sein :) set appfw profile ns-aaa-default-appfw-profile -denylist ON bind appfw profile ns-aaa-default-appfw-profile "HTTP.REQ.URL.SET_TEXT_MODE(IGNORECASE).CONTAINS_ANY(\"patset_block_urls\")" -valueType Expression -ruleAction log RESET add responder policy res_pol_block_malicious_ip "CLIENT.IP.SRC.IPREP_IS_MALICIOUS" DROP bind vpn vserver Gateway_vServer_name -policy res_pol_block_malicious_ip -priority 50 -gotoPriorityExpression END -type AAA_REQUEST (Hier möge man aber Obacht walten lassen, ob / wie die WAF bereits genutzt wird und das man nichts gewolltest abschießt.) HTH Jan

Und wie lange darf das System ausfallen?

Da beim Exchange (vermutlich) SA benötigt würde oder zwei Lizenzen, wäre es wohl sinnvoller dann über zwei Exchange und DAG nachzudenken. Möglichkeiten gibt es viele. :)