testperson

Am 9.12.2021 um 13:08 schrieb NorbertFe:

Deswegen darf man ja auch Gruppenrichtlinien nicht mehr verwenden. Da tut sich auch seit Vista nix mehr ;)

Die haben sich ja auch nicht durchgesetzt. Vgl.: Active Directory, Internet, das Tragen von Hosen in der Gesellschaft.

Ui...

Zitat

JBIG2 doesn't have scripting capabilities, but when combined with a vulnerability, it does have the ability to emulate circuits of arbitrary logic gates operating on arbitrary memory. So why not just use that to build your own computer architecture and script that!? That's exactly what this exploit does. Using over 70,000 segment commands defining logical bit operations, they define a small computer architecture with features such as registers and a full 64-bit adder and comparator which they use to search memory and perform arithmetic operations. It's not as fast as Javascript, but it's fundamentally computationally equivalent.

The bootstrapping operations for the sandbox escape exploit are written to run on this logic circuit and the whole thing runs in this weird, emulated environment created out of a single decompression pass through a JBIG2 stream. It's pretty incredible, and at the same time, pretty terrifying.

(Project Zero (googleprojectzero.blogspot.com))

Vor diesem Hintergrund und losgelöst vom Topic: Warum macht man genau diesen Workload "Webserver" auf einem Windows Server?

Wenn die Hyper-V-Dienste gestartet sind, ist es ein Hyper-V Host. Wenn nicht, dann ist es was anderes.

Hi,

da könnte (derzeit nur in Azure) SMB over QUIC ein Ansatz sein/werden: SMB over QUIC | Microsoft Docs

Gruß

Jan

Hi,

um den Hypervisor zu finden, könntest du in den Diensten mal nach entsprechenden "Integrationdiensten" des potentiellen HVs suchen. Oder auch im Gerätemanager nach den Treibern gucken. Evtl. finden sich dann auch zum Hypervisor passende Ansätze. Vielleicht gibt es ja einen "Hyper-V-Dienst für Zeitsynchronisierung" o.ä.

Gruß

Jan

Hi,

fangen wir doch mal anders an: Was hast du denn später mit dem Ergebnis vor?

Alternativ:

Get-CimInstance -ClassName Win32_OperatingSystem |
	Select-Object Caption

Gruß

Jan

zu 1) 1:1.

zu 2) Ja, ist aber auch wie bei RDP Murks.

zu 3) Das würde ich prozessseitig lösen.

Hi,

bei Citrix ist das hauptsächlich (ADC), Storefront und der Federated Authentication Server (FAS). Die User müssen aber definitiv vorhanden sein für ein Mapping: Federated Authentication Service architectures overview (citrix.com)

(Den FAS kenne ich aber auch nur aus den Schulungen.)

Gruß

Jan

Hi,

der Parameter "-Force" benötigt i.d.R. keine Value wie bspw. "$false" oder "$true". Ansonsten nutze ich immer einen Doppelpunkt nach einem "Bool-Paramter". Irgendwelche CMDlets sind mir schon auf den Fuß gefallen, wenn kein Doppelpunkt genutzt wurde. ;)

Ansonsten gibt es an verschiedenen Stellen noch doppelte Leerzeichen. Das kann aber auch ein Copy&Paste Problem hier sein.

Gruß

Jan

Betroffene HPE Produkte: Document - HPESBGN04215 rev.1 - Certain HPE Products using Apache Log4j2, Remote Code Execution | HPE Support

DATEV: Log4-J Schwachstelle - DATEV-Community - 258147

Zitat

... Generell lässt sich sagen, dass bei standardmäßiger Installation von DATEV on premises Anwendungen kein erhöhtes Risiko ausgeht. Dennoch stellen wir morgen und übermorgen Hotfixes zur Verfügung, die umgehend nach Veröffentlichung installiert werden sollten. ...

Log4-J Schwachstelle - DATEV-Community - 258147

Hi,

poste doch einmal den kompletten NDR oder zumindest den kompletten SMTP Fehler.

vor einer Stunde schrieb grka:

dabei sollte ich bei meinem alten Provider den DNS Eintrag für meine Nameserver ändern auf

das musst du nicht machen, kannst du aber. Es wäre auch möglich gewesen, nur die benötigten DNS Records für deine Microsoft online Dienste bei 1blu zu erstellen.

Was gibt denn ein "nslookup -type=MX <deine Domain>.<tld>".

Generell wäre denkbar, dass verschiedene Anbieter einfach nur noch die alten DNS Infos im Cache haben.

Gruß

Jan

Hi,

am iPhone (und vermutlich auch unter Android) lassen sich doch App-Limits oder auch eine Auszeit konfigurieren. Ggfs. kann man an der Stelle per MDM was erzwingen und die Mail App(s) am Abend auf eine Bildschirmzeit von 0 und am Morgen wieder auf unbegrenzt setzen.

Wirklich ausgereift ist das aber sicherlich auch nicht.

Gruß

Jan 

Hi,

du könntest dir jetzt für alle deine Einstellungen angucken, wo die in den Policies Zweig geschrieben werden und das dann per GPP Registry auf den Client in den "normalen nicht Policy Zweig" schreiben lassen. Oder eben ein Office Paket kaufen, welches die Policies auch anwendet.

Gruß

Jan

zu 1) Hängt von den gleichzeitigen Anmeldungen und davon ab, was eure Applikationen (Outlook (im Cache Mode), OneDrive, Teams, ...) so im Profil machen. Auf den Broker würde ich die Profile nicht packen.

zu 2) Es gibt diverse Scripte, die die Profile aufräumen / "optimieren" bzw. "Maintanance" machen. Alternativ kannst du per "redirections.xml" auch Ausnahmen setzen. Bei Log-On / -Off kannst du auch aufräumen, verlängert den Vorgang aber ggfs. und erzeugt halt zusätzliche Last.

Hi,

ich vermute, das geht nicht. Die Frage wäre aber, warum willst du das so machen bzw. was willst du später damit erreichen, wenn der zweite User ohne Postfach eine "fremde Mailbox" im Outlook hat? Für mich klingt das nach einem Problem / einer Anforderung wo vermutlich Outlook und/oder Exchange die falsche Wahl sind.

Gruß

Jan

OT:

vor 2 Stunden schrieb cj_berlin:

AVD und RDS kannst Du aber in Bezug auf den Lifecycle nicht wirklich vergleichen. Den Link für on-prem wirst Du vermutlich die nächsten 3 Jahre nicht finden, denn Server 2022 ist produktiv, Funktionalität ist enthalten und somit für 10 Jahre garantiert.

Ja, es ist im Server drin. Entwickelt wird da aber wohl nichts mehr, gerade da "die Cloud" es nicht nutzt. Und bzgl. RDS ist ja auch die Frage, was da noch so passiert (und welche Ideen MS noch hat): https://docs.microsoft.com/en-us/azure/virtual-desktop/azure-stack-hci-overview

Hi,

AFAIK sind die UPDs auch deprecated. Finde zwar nur den Link zum Azure Virtual Desktop, aber dann wird das On-Premises / im Server ähnlich sein (Azure Virtual Desktop FSLogix profile container share - Azure | Microsoft Docs):

Zitat

We don't recommend using the User Profile Disk (UPD) solution, which will be deprecated in future versions of Azure Virtual Desktop.

Gruß

Jan

vor 27 Minuten schrieb MHeiss2003:

Insgesamt sollen dann zwei Sites und zwei Subnetze bestehen.

Da Exchange mindestens einen DC in der entsprechenden Site braucht, brauchst du in diesem Fall definitiv einen DC im RZ. Und an der Stelle wäre ich dann auch - auch bei nur 25 Usern - direkt bei zwei DCs im RZ (und auch vor Ort). Ein weiterer DC vor Ort dürfte im "Worst Case" ein Intel NUC mit einer Windows Server Standard Lizenz sein und im RZ kommt es halt auf die Infrastruktur und Lizenzierung an. Aber auch da dürfte das nicht so ins Geld gehen. 

Etwas OT: Wäre eine evtl. nötige Software Assurance für Exchange eigentlich auch schon ein Software-Mietvertrag oder falls im RZ SPLA Lizenzen anfallen zumindest eine indirekte Software-Miete bei MS. :-P

vor 17 Minuten schrieb MHeiss2003:

Exchange Online kann ich nicht implementieren, da das Projekt "on Prem" im Cloud RZ in Deutschland ausgeführt werden muss. Diese Vorgabe ist nicht "verhandelbar"!

Wenn du als Kunde aus Deutschland Exchange online buchst, dann ist dein Datenstandort ebenfalls Deutschland (Berlin / Frankfurt), muss also gar nicht verhandelt werden.

vor 18 Minuten schrieb MHeiss2003:

Würdet Ihr eher den DC am Hauptstandort über VPN ansteuern oder einen eigenen DC im Cloud RZ mit Replikation über VPN implementieren? 

Dürfte am ehesten von deinen AD Sites abhängen. Sinnvoll sind jeweils zwei DCs pro Standort bzw. AD Site in meinen Augen aber so oder so.

Hi,

also bei 25 Usern wäre ich ja direkt bei Exchange online und würde mir den lokalen Betrieb von Exchange gar nicht ans Bein binden wollen.

Gruß

Jan

Hat da jetzt jemand einen "." oder ein "@" nach "websupport" vergessen oder ein ".fr" mit ".com" verwechselt? Sieht jedenfalls nach einem klassischen "... kannst du mal eben schnell ... " Problem aus.

Hi,

es sind auch definitiv beide IMAP Dienste gestartet bzw. wurden die nach der Konfiguration nochmal neu gestartet? Gibt es eine Firewall oder einen Virenschutz, der ggfs. in IMAP (und Co.) reinpfuschen kann/könnte?

Gruß

Jan 

Hi,

schau dir doch bitte mal an, wer den kostenlosen Teamviewer wozu nutzen darf: Commercial Use - TeamViewer

Zitat

... TeamViewer is offered free of charge to everybody for personal, non-commercial use – and most of our users play by the rules by purchasing a license if they intend to use TeamViewer for commercial purposes. ...

...

What is considered commercial use?

Essentially, commercial use is anything where money or services in kind are likely involved. This mainly covers all situations in which you might typically use TeamViewer for job-related functions.

Examples of commercial use:

 

• Helping or supporting customers or colleagues at work
• Assisting businesses or organizations, even on a voluntary basis
• Connecting to your company PC or server from your home office

Examples of personal use:

 

• Helping or supporting friends and relatives
• Connecting to your personal computer at home

...

Gruß

Jan

Hi,

auch wenn ein Wildcard Zertifikat da ist, würde ich empfehlen für den Exchange ein eigenes SAN Zertifikat zu nutzen, die kosten ja nun nicht die Welt. Evtl. kommst du an der Stelle auch mit Let's Encrypt zurecht (, wenn es "nur" Zeit kosten darf).

Das tolle an Wildcard Zertifikaten ist halt, dass sie überall genutzt werden können. Das Problem an Wildcard Zertifikaten ist halt, dass sie überall genutzt werden.

Gruß

Jan