Jump to content

Weingeist

Members
  • Content Count

    1,324
  • Joined

  • Last visited

Everything posted by Weingeist

  1. Die Bevorzugung funktioniert nicht in jedem Fall zuverlässig wenn nur die Disabled Components gesetzt werden. Schlicht weil es wohl nicht alle Komponenten interessiert was da drin steht. Die versuchen es dann trotzdem erst mit IPv6 statt IPv4. Gibt unter Umständen ne Menge Ärger wenn du z.Bsp. die IPv6 Protokolle auf den Adaptern deaktivierst und DisabledComponents auf 255 stellst. Also in der Theorie ist IPv6 dann deaktiviert, in der Praxis nicht wirklich. Kannst mit dem Filter-Engine-Audit gut mitschnippseln. Die Prefix-Policy wird dagegen immer respektiert oder im mindestens für
  2. Bei allen Manipulationen die IPv6 einschränken würde ich immer auch die Prios allgemein auf IPv4 bevorzugen ändern. Kann sonst gerne Side-Effects und irgendwelche Verzögerungen geben. Wenn man IPv6 nicht braucht und ganz deaktiviert ist das sogar Pflicht. netsh int ipv6 set prefixpolicy ::ffff:0:0/96 60 4 netsh int ipv6 set prefixpolicy ::/96 55 3 netsh int ipv6 set prefixpolicy ::1/128 50 0 netsh int ipv6 set prefixpolicy ::/0 40 1 netsh int ipv6 set prefixpolicy 2002::/16 30 2 netsh int ipv6 set prefixpolicy 2001::/32 5 5 netsh int ipv6 set prefixpolicy fc00::/7 3 13
  3. Nicht das es besondes schön wäre, aber Du könntest evtl. beim abmelden immer den üblichen Domain User eintragen. Die lokalen User werden ja sowieso gelistet. ;)
  4. Ich teile Deine Argumentation grösstenteils, wenn auch nicht den Ton. Aber die Argumentation ist dabei das absolut kleinste Probleme. Einsehen tut das jeder. Hatte jedenfalls noch nie Mühe mit der Argumentation, auch vor über 10-15 Jahren nicht wo das im Industriebereich noch selten ein Thema war. Seit man es alle Tage in der Zeitung lesen kann und gestandene Mittelklassefirmen hops gingen, sowieso nicht mehr. Nur die Umsetzung empfinde ich alles andere als trivial. Wie stellst Du eine vollständige physische Isolation sicher? Also ich finde das in der Praxis enorm schwierig. Allein
  5. Das mit dem Pflichtenheft kannste knicken. Habe ich schon unzählige Male versucht. Haben wir nicht, machen wir nicht, vielleicht in Zukunft. Die ändern keine Baureihe nur weil eine handvoll Kunden sich tatsächlich erfrecht, ihre Steuerungs-Philosophie in Frage zu stellen. Ist denen komplett egal und wenn es 10 Maschinen sind. Und warum? Weil eben 99% der Hersteller genauso so ticken. Da immer mehr vernetzte Produktionsbetriebe durch Ransomware an die Wand gefahren werden, ist da glücklicherweise schon endlich etwas in der Mache. Sobald Grosskunden das verlangen tut sich dann mal was. Nur
  6. Naja, aber sind ja auch Kosten die entstehen. Gekoppelt mit sinnvoller Bandbreite über das ganze Volumen damit man ein "Vor-Ort-Feeling" hat, kann das durchaus ein nicht zu vernachläsigender Kostenfaktor pro User sein. Summiert sich schon und sind halt versteckte Kosten. Also je nach Situation, ist der Einwurf nicht unbegründet und gehört durchaus in eine saubere Kostenaufstellung. Auch wenn grad alles in die Cloud muss. ;) Weils grad so schön zum super-duper-modern passt: Gard vor kurzem mit einem Kollegen von der cloud gehabt. Die mussten eine Reservierung und Zimmer-Einteil-Soft
  7. Naja, meinst du dann würde sie "einfach" und "schnell" sein? Microsoft hat dazu tatsächlich einige gute Dokumente zu Härtungen. Hatten wir dazu nicht zuletzt schon ein Thread dazu worum dazu ging? Ich meinte jetzt nur bezüglich Beschneidung Dom-Accounts. Dass scheint zumindest mir unmöglich zu sein ;)
  8. So richtig Straight ist das das nicht, hat auch ein paar Stolpersteine. Meines Wissens gibts keine Api die das direkt kann. Wenn doch, ich wäre empfänglich. =) Hatte ich mir mal vor ~15 Jahren mit VB die Zähne dran ausgebissen bis ich nen Code gefunden habe. Die Anwendung sollte AD-Gruppenzugehörigkeit nutzen für allerelei Bereichtigungen. Der Code war dann vereinfach gesagt eine Abfrage von AD mittels ADO über ein Service-Konto. Das Service-Konto war nötig weil ein normaler User nicht alle gewünschten Parameter auslesen durfte. Details weiss ich nicht mehr zu 100%, meine es war nötig für
  9. Nicht ganz trivial. Ist ja immer so eine Sache, insbesondere wenn das Geräte sind, die gar nicht ohne weiteres ersetzt werden können. Ideen habe ich schon, nur noch keine umgesetzt. Konnte bis jetzt jeweils auf ein anderes Protokoll ausweichen oder eine Insellösung machen. Insellösungen sind halt mühsam im Unterhalt. Die anderen Protokolle sind zwar nicht sicher, dafür aber ohne Windows-Credential-Klau =) Mein theoretischer Favorit wäre eine Art Linux-Proxy. Linux kann ja aus quasi allem Mount-Points machen. Die Idee wäre jetzt eine Freigabe auf einem aktuellen Windows Server
  10. Weil im Sinne von den Hipstern eine normale klassische Installation eh nur alter Quatsch ist. Mir perslönlich kommt das Konzept wirklich vor wie aus dem IT-Mittelalter. Oder wie eine gewachsene Access-Anwendungen, da muss die Frontend auch zu jedem User ins Verzeichnis mit Schreibrechten damit es +- Multi-User-Tauglich wird. Und Access wird einfach von allen komplett zerrissen Einen Vorteil sehe ich. Wenn der Kram dann mal richtig funktioniert, funktioniert vielleicht auch das Hot-Patching. Sprich es ist kein Neustart der Maschine/App für alle User zur gleichen Zeit fällig. Imho i
  11. Alles super duper modern Workplace, unmanaged dafür möglichst viel Telemetrie zum Hersteller, alle 3 Monate neue Versionen, nen Haufen potentieller Sicherheitslücken... Nur das speditive Arbeiten kommt zu kurz. Quasi zurück ins Mittelalter mit neuen Kleidern. Mich gurkt nur an, dass ich für den ganzen Mehraufwand den "moderne-super-duper" Software benötigt auch noch viel mehr Geld bezahlen muss, dafür als Dankeschön das Patchmanagment und die bequeme Verwaltbarkeit früherer Jahre auf der Strecke bleibt und als I-Tüpfelchen oft auch noch fast unerträglich langsam wird ;)
  12. Das ist eher der Standard als die Ausnahme... eine geht ins interne Netz um mit CAM, CAD, PP, Werkzeugvermessung etc. vernetzt zu sein und ein Anschluss geht ins offene Netz. Meist auf der Maschinensteuerung. Der Dritte ist dann Bedienpanel direkt ins Internet für Fernwartung der Bedienung sofern nicht machbar via internem Netz. Der direke Anschluss ins Internet für die Maschinensteuerung selbst - meist für das propritäre OS - ist dafür meistens mit einem Hardware-Kommunikationskarte und Schlüsselschalter ausgestattet. Aber selbst das wird teilweise weggespart. Der zweite Standard
  13. Sicher? Gibts auch ne Wegleitung? Domain Admin kann man ja nicht wirklich effektiv beschneiden bzw. kann er sich ja selbst beglücken. Nen Exploit gibts auch von Zeit zu Zeit. Ob es dann wirklich hilft die Kiste nicht in der Domain zu haben steht wieder auf einem anderen Blatt =) Allerdings wird es wohl je länger je mehr vorkommen das Kisten nicht Domain-Joined sind und Authentifizierung eher in Richtung Applikation geht. Zumindest wenn man so den Trend beobachtet mit eigenen Heimgeräten, oder sogar bei MS selbst mit Ihren Cloud-Geräterichtlinien etc. Man wird sehen. Dürfte die Verw
  14. Stimmt. OOps.... Falsch gelesen Aber da dürfte das gleiche gelten. Manuell in DNS registrieren damit die Namens-Auflösung funktioniert. Und auf einer Maschine manuell installieren ist ja jetzt auch nicht so dramatisch. Finde ich. Firewall aufmachen ist jendenfalls kaum zielführend für ein System das aus Sicherheitsgründen aus der Domäne raus ist. Da sollte eher nur genau das aktiviert sein, was effektiv zwingend gebraucht wird. =)
  15. @Dukel Naja ich denke erhofft sich ein Sicherheitsplus wenn der Antivirenserver nicht mit Domänenkonten komprimittiert werden kann. Gab ja in letzter Zeit einige solcher positivien Meldungen insbesondere z.Bsp. für Backup-Ziele die ausserhalb der Domäne in einer Workgroup lagen die dann z.Bsp. nicht von vollständig von Ransomware verschlüsselt wurden weil kein Zugriff via den üblichen Domänen-Konten erfolgen konnte. Aber solche Maschinen müssen dann auch entsprechend abgeschottet werden damit es wirklich einen Vorteil hat. @sd2019 Was meinst Du mit "Der Client wird über die
  16. Nope Nope, das Ding ist nur eine effektive und korrekte Auflistung Deiner Drucker. Im Grunde das gleiche wie die "neue" Geräteauflistung wo Du Deinen Ärger hast. Einfach eine die eben auch funktioniert. Also einfach einen neuen Ordner irgendwo erstellen und den Punkt sowie die GUID hinten anhängen. Ist dann quasi ein Ordner-Link, ähnlich den Elementen in der Systemsteuerung. Öffnests dann diesen leeren Ordner, dann siehst Du Deine effektiv installierten Drucker, egal ob sie in der Geräteauflistung korrekt angezeigt werden oder nicht. Du siehst Sie so wie es auch verbunden wurde.
  17. Normal gibt es seitens Windows Kontakte zu Akamai, Updates für den Defender, time-sync, Telemetrie etc. Sind insgesamt ziemlich viele Verbindungen. Wirklich etwas herunterladen tut meines Wissens aber nur der Defender. Die anderen laden eher hoch.
  18. Die Geräte-Auflistung unter Windows 10 ist im Grunde unbrauchbar. Zwar nicht alleine die Schuld von MS, aber MS greift für die Auflistung auch nicht richtig auf die korrekte Liste zu bzw. wertet sie falsch aus. Die einzig wirklich zuverlässige Auflistung bekommst indem du einen neuen leeren Ordner erstellts mit beliebigen Namen, gefolgt von einem Punkt und der GUID dieser Systemfunktion. Im Grunde ist es die alte Auflistung aus der Vor-Vista-Zeit. Die Programme und selbst Office greifen zum Glück noch auf die alte Auflistung zu. Will heissen: Erweiterte Drucker.{2227A280-3AEA-1069
  19. @NorbertFe Finde ich nicht. Oft ist es nicht das wollen, sondern eben einfach das es zu kompliziert ist bzw. unnötig kompliziert gemacht ist und Infos fehlen. Wäre eine interne CA Pflicht und die Wegleitung dazu ganz vorne ersichtlich, es gäbe deutlich mehr davon. Davon bin ich überzeugt. Insbesondere, wenn man sich sonst gar nicht anmelden könnet Ich rede hier nicht von einer PKI für Webdienste oder vorinstalliertem Kram, sondern nur von der 0815 Windows-Anmeldung, 0815 Windows-Umgebung und der Abschaffung von NTLM. Logisch kommt jeder in irgend einer Form in Kontakt mit
  20. Ja klar, aber ich finde nicht, das dies ausreicht oder? Und so manches was da umgesetzt wird, hat eben Voraussetzungen damit es auch so geht (CA z.Bsp.) Paar Beispiel: - Firewall (Vorlagen bei OutBlock für systemrelevante Dienste wie AD, DNS, Beschreibung was man tunlichst tun sollte, drauf hinweisen das Dienste teilweise maskiert werden und somit leider keine Filterung auf den Dienst möglich ist, welche das betrifft usw.) --> Teilweise vorhanden klar - wirklich für den Betrieb notwendige Dienste, sowie entsprechende Beschreibung was genau für was verantwortlich ist, e
  21. Weil? =) Was ist deiner meinung nach des Hackers liebster Freund den Du genannt hast? Das Problem mit den Dienstleister ist immer das die guten Leute dieser Firmen selten jene sind, die sich um die Anliegen der KMU's kümmern. Also selbst wenn man sich Leistung einkauft, bekommt man oft keine sinnvolle Beratung. Ist so meine Erfahrung, nicht nur im IT Bereich. ;) Ich finde ja schade, dass MS keine effektiven, einfach verständlichen Konfigurations-Guide-Lines zu Verfügung stellt wenn Sie schon aus Kompatibilitätsgründen nicht so konfigurieren, dass es mal sicher ist - so
  22. Wenn Du ne Firewall hast - was Du haben solltest - dann kannst Das da blocken. Als Proxy-Server auch Userbasiert ;) Als es im Winter noch schneite und der nette TMG noch verfügbar... wobei, solange ist es nun auch wieder nicht. Auf alle Fälle hat der hat das wunderbar user, zeit und was auch immer basiert gemacht. Ich vermisse ihn immer noch. *heul* Habe den MA's den ganzen Nicht-Firma-bezogen-Quatsch jeweils über Mittag freigegeben. Gibt aber auch heute solche Lösungen von anderen Herstellern oder eben eine der Hardware-Firewalls. Dann gibts noch die Bast
  23. Danke für die Links. Scheint doch etwas gegangen zu sein in den letzten Jahren. Schade gibt es immer noch keine vernünftige ZeroClient-Lösung à la Teradici. Leider hat da das Management das ganze Kapital in ein schwachsinniges ThinClient Konzept gesteckt, statt ihr bewährtes Konzept auf grössere Screens zu portieren *hmpf*
  24. Habe in einer Umgebung vor ein paar Monaten mal folgendes umgesetzt: Desktop A bzw. internes Netz: Internetverbindung über Firewall nur mit Whitelisting für unternehmensnotwendiges wie E-Mail, Bankanbindung, MS-Updates, ERP Desktop B: Internetzugriff auf alles (gefiltert ;) )ausser den Adressen oben (Bis auf MS-Updates) Transfer-Server welcher in beiden Netzen hängt und auf Netzwerk Seite B nur ein dummes Protokoll spricht (sollte also nicht also nicht auf gängige Angriffe reagieren). Die User haben einen KVM-Switch um umzuschalten. Ist eine relativ hohe Materialschl
  25. Echt jetzt? Ich machte da gegenteilige Erfahrungen vor ein paar Jahren (puuuh geht die Zeit schnell vorbei). Hab Anydesk aber schon länger nicht mehr verfolgt, ist da die Verbindung auch indirekt oder nach Verbindungsaufbau direkt? Weiss ich nicht mehr. WEIL: Teamviewer hat einen solch enormen Zuwachs bekommen mit Covid, ich glaube die können bald nicht mehr gut schlafen mit Ihrem Gewinn. Hat aber möglicherweise auch Auswirkungen auf die Performance. Habe mal alles getestet was der Markt hergab. Ausser Teamviewer war da keines für CAD wirklich zu gebrauchen. Weder via LAN noch
×
×
  • Create New...