Weingeist

Nicht ganz trivial. Ist ja immer so eine Sache, insbesondere wenn das Geräte sind, die gar nicht ohne weiteres ersetzt werden können. Ideen habe ich schon, nur noch keine umgesetzt. Konnte bis jetzt jeweils auf ein anderes Protokoll ausweichen oder eine Insellösung machen. Insellösungen sind halt mühsam im Unterhalt. Die anderen Protokolle sind zwar nicht sicher, dafür aber ohne Windows-Credential-Klau =) Mein theoretischer Favorit wäre eine Art Linux-Proxy. Linux kann ja aus quasi allem Mount-Points machen. Die Idee wäre jetzt eine Freigabe auf einem aktuellen Windows Server direkt in eine SMB1 Freigabe zu mounten welche auf einem eigenen Netzwerkadapter bereitgestellt wird und eine direkte, dedizierte oder VLAN-getrennte LAN-Verbindung zum zugreifenden Client hat. Sprich der Zugriff läuft zwar über den Linux Server, zugegriffen wird aber indirekt in das Verzeichnis das mit aktuellem Protokoll an Linux angebunden ist. Leider kenne ich mich selber zu wenig aus mit Linux um das sinnvoll durchzutesten. Den Vortiel sehe ich darn, dass die Daten im Hauptnetz liegen würden. Wäre aber natürlich nur für einzelne Clients sinnvoll wie z.Bsp. Maschinen-Steuerungen Wenn die Daten bzw. deren Vertraulichkeit nicht unglaublich wichtig sind bzw. im Zugriff nicht mehr als nur über ein VLAN oder den zugreifenden Client beschränkt werden müssen, könntest auch eine VM nehmen die nicht in der Domäne ist. Allfällige Credentials die geklaut werden, nützen dann im eigentlichen Netz nichts.

Weil im Sinne von den Hipstern eine normale klassische Installation eh nur alter Quatsch ist. Mir perslönlich kommt das Konzept wirklich vor wie aus dem IT-Mittelalter. Oder wie eine gewachsene Access-Anwendungen, da muss die Frontend auch zu jedem User ins Verzeichnis mit Schreibrechten damit es +- Multi-User-Tauglich wird. Und Access wird einfach von allen komplett zerrissen Einen Vorteil sehe ich. Wenn der Kram dann mal richtig funktioniert, funktioniert vielleicht auch das Hot-Patching. Sprich es ist kein Neustart der Maschine/App für alle User zur gleichen Zeit fällig. Imho ist das Konzept um das zu erreichen aber falsch. Die hätten das auch einfach in den Neustart der App einbauen können. Mit VSS und Soft- oder Hardlink ist die Technologie dazu ja vorhanden. Und ne Menge Windows Apps haben sowieso so viele Speicherlöcher, dass ein Neustart ab und wann angebracht ist. ;) Ansonsten sehe ich nur konzeptionelle Nachteile. Oder wo liegt der Vorteil verschiedener Versionsstände auf der gleichen Maschine und nicht nur die Nutzerdaten pro User zu haben? Ist im Grunde auch ein Sicherheitsrisiko.

Alles super duper modern Workplace, unmanaged dafür möglichst viel Telemetrie zum Hersteller, alle 3 Monate neue Versionen, nen Haufen potentieller Sicherheitslücken... Nur das speditive Arbeiten kommt zu kurz. Quasi zurück ins Mittelalter mit neuen Kleidern. Mich gurkt nur an, dass ich für den ganzen Mehraufwand den "moderne-super-duper" Software benötigt auch noch viel mehr Geld bezahlen muss, dafür als Dankeschön das Patchmanagment und die bequeme Verwaltbarkeit früherer Jahre auf der Strecke bleibt und als I-Tüpfelchen oft auch noch fast unerträglich langsam wird ;)

Das ist eher der Standard als die Ausnahme... eine geht ins interne Netz um mit CAM, CAD, PP, Werkzeugvermessung etc. vernetzt zu sein und ein Anschluss geht ins offene Netz. Meist auf der Maschinensteuerung. Der Dritte ist dann Bedienpanel direkt ins Internet für Fernwartung der Bedienung sofern nicht machbar via internem Netz. Der direke Anschluss ins Internet für die Maschinensteuerung selbst - meist für das propritäre OS - ist dafür meistens mit einem Hardware-Kommunikationskarte und Schlüsselschalter ausgestattet. Aber selbst das wird teilweise weggespart. Der zweite Standard ist dann "keine Updates" und Windows 10 Pro für Bedienpanel/Kommunikation. Vor ein paar Jahren als schon längst EOL, W7 oder XP. Und nein, Alternativen gibt es da selten weil einfach pauschal alle so sind, mit sehr sehr wenigen Ausnahmen (Zeiss Messmaschinen sei hier zum Beispiel lobend erwähnt, die nutzen LTSC). Willkommen in der Welt der Industrie/Fertigung. Ahja, und 10 Jahre möchte man die Maschine ja mindestens einsetzen, dumm nur, wenn das OS schon fast EOL bei Verkauf ist

Sicher? Gibts auch ne Wegleitung? Domain Admin kann man ja nicht wirklich effektiv beschneiden bzw. kann er sich ja selbst beglücken. Nen Exploit gibts auch von Zeit zu Zeit. Ob es dann wirklich hilft die Kiste nicht in der Domain zu haben steht wieder auf einem anderen Blatt =) Allerdings wird es wohl je länger je mehr vorkommen das Kisten nicht Domain-Joined sind und Authentifizierung eher in Richtung Applikation geht. Zumindest wenn man so den Trend beobachtet mit eigenen Heimgeräten, oder sogar bei MS selbst mit Ihren Cloud-Geräterichtlinien etc. Man wird sehen. Dürfte die Verwaltung nicht unbedingt einfacher machen. =)

Stimmt. OOps.... Falsch gelesen Aber da dürfte das gleiche gelten. Manuell in DNS registrieren damit die Namens-Auflösung funktioniert. Und auf einer Maschine manuell installieren ist ja jetzt auch nicht so dramatisch. Finde ich. Firewall aufmachen ist jendenfalls kaum zielführend für ein System das aus Sicherheitsgründen aus der Domäne raus ist. Da sollte eher nur genau das aktiviert sein, was effektiv zwingend gebraucht wird. =)

@Dukel Naja ich denke erhofft sich ein Sicherheitsplus wenn der Antivirenserver nicht mit Domänenkonten komprimittiert werden kann. Gab ja in letzter Zeit einige solcher positivien Meldungen insbesondere z.Bsp. für Backup-Ziele die ausserhalb der Domäne in einer Workgroup lagen die dann z.Bsp. nicht von vollständig von Ransomware verschlüsselt wurden weil kein Zugriff via den üblichen Domänen-Konten erfolgen konnte. Aber solche Maschinen müssen dann auch entsprechend abgeschottet werden damit es wirklich einen Vorteil hat. @sd2019 Was meinst Du mit "Der Client wird über die Gerätesuche nicht gefunden"? Heisst das die Antivirenlösungen findet die Clients nicht? Der Hinweis mit DNS ist eher ein "Muss" wie ein "Soll". Du brauchst eine funktionierende Namensauflösung wenn deine Antiviren-Lösung nicht rein IP-Adressen basiert ist. Den Antivirenserver musst also im internen DNS-Server auch als Host eintragen. Der Antivirenserver muss die Hostst/Clients ebenfalls mit dem internen DNS-Server in der Domäne die IP-Adressen auflösen können. Insbesondere wenn alte Techniken zum Namensauflösung abgedreht wurden und auch abgedreht werden sollten. Aber eben: Fragt sich was überhaupt die Antiviren-Lösung auf dem Server bereitstellen muss, was hin und her muss und warum der Server die Clients finden muss und nicht der Client sich melden soll und dann eingetragen wird. --> Meine erste Anlaufstelle wäre hier der Hersteller der Lösung. Insbesondere bei Sicherheitstools hast selten eine Verbesserung sondern eher eine Verschlechterung der Sicherheits-Situtation wenn Du nicht Herstellerangaben befolgst.

Nope Nope, das Ding ist nur eine effektive und korrekte Auflistung Deiner Drucker. Im Grunde das gleiche wie die "neue" Geräteauflistung wo Du Deinen Ärger hast. Einfach eine die eben auch funktioniert. Also einfach einen neuen Ordner irgendwo erstellen und den Punkt sowie die GUID hinten anhängen. Ist dann quasi ein Ordner-Link, ähnlich den Elementen in der Systemsteuerung. Öffnests dann diesen leeren Ordner, dann siehst Du Deine effektiv installierten Drucker, egal ob sie in der Geräteauflistung korrekt angezeigt werden oder nicht. Du siehst Sie so wie es auch verbunden wurde. Wenn jetzt Deine Drucker auch da nicht so benamselt sind wie Du es gerne hättest, dann hast Du deine Drucker vermutlich nicht gleich benannt wie in der Freigabe. Dann verbindest Du zwar über die Freigabenamen, aber angezeigt wird Dir der effektive Druckername den Du auf dem Server vergeben hast. Ich bin jetzt gar nicht sicher, aber ich meine das war vor langer Zeit mal anders und früher wurde der Freigabename angezeigt, ist aber mehr ein Gefühl wie wirklich gewusst =) Im Grunde kann Dir die Geräteauflistung deshalb total egal sein, wird aktuell noch nirgendwo verwendet soweit mir bekannt. Ist ein rein optisches/kosmetishes Problem. Das was Sunny meint ist die "neue" Funktion von Windows 10 wo Windows glaubt besser zu wissen was Dein Standarddrucker sein soll als Du selbst. In 99% der Fälle völlig unbrauchbar. Kannst per GPO abdrehen. Ich hoffe der PrintNightmare Bug bringt endlich mal den dringend nötigen Fokus auf die Printer und daraus ergibt sich mal ein schlaues Treibermodell... die Hoffung stirbt zuletzt =)

Normal gibt es seitens Windows Kontakte zu Akamai, Updates für den Defender, time-sync, Telemetrie etc. Sind insgesamt ziemlich viele Verbindungen. Wirklich etwas herunterladen tut meines Wissens aber nur der Defender. Die anderen laden eher hoch.

Die Geräte-Auflistung unter Windows 10 ist im Grunde unbrauchbar. Zwar nicht alleine die Schuld von MS, aber MS greift für die Auflistung auch nicht richtig auf die korrekte Liste zu bzw. wertet sie falsch aus. Die einzig wirklich zuverlässige Auflistung bekommst indem du einen neuen leeren Ordner erstellts mit beliebigen Namen, gefolgt von einem Punkt und der GUID dieser Systemfunktion. Im Grunde ist es die alte Auflistung aus der Vor-Vista-Zeit. Die Programme und selbst Office greifen zum Glück noch auf die alte Auflistung zu. Will heissen: Erweiterte Drucker.{2227A280-3AEA-1069-A2DE-08002B30309D} Ich erstelle jeweils auf dem Netlogon Share einen solchen Ordner, dann muss ich nicht lange danach suchen. Greift immer auf die Daten des Systems zu auf welchem man sich befindet und nicht wo der Ordner gespeichert ist. ;) In dieser Auflistung kannst auch mehrere Drucker markieren und gesammelt zuverlässig rauswerfen und neu verbinden. Zusammen mit aktuellen Treibern von guten Business-Geräten und die andere Auflistung ist im Normalfall wieder "repariert". EDIT: Wenn auch in den Programmen die Drucker falsch angzeigt werden dürfte es mühsamer werden. Dann dürfte etwas generell verkonfiguriert sein.

@NorbertFe Finde ich nicht. Oft ist es nicht das wollen, sondern eben einfach das es zu kompliziert ist bzw. unnötig kompliziert gemacht ist und Infos fehlen. Wäre eine interne CA Pflicht und die Wegleitung dazu ganz vorne ersichtlich, es gäbe deutlich mehr davon. Davon bin ich überzeugt. Insbesondere, wenn man sich sonst gar nicht anmelden könnet Ich rede hier nicht von einer PKI für Webdienste oder vorinstalliertem Kram, sondern nur von der 0815 Windows-Anmeldung, 0815 Windows-Umgebung und der Abschaffung von NTLM. Logisch kommt jeder in irgend einer Form in Kontakt mit Zertifikaten die irgendwo gemanaged werden, aber darum geht es nicht. Und ich behaupte, Du weisst eigentlich ganz genau auf was ich hinaus will. Auf alle Fälle sind immer noch sehr sehr sehr viele Umgebungen nicht Kerberos-Basiert. Sogar wichtige Infrastruktur, also nichtmal im Staat oder Gesundheitswesen ist das Thema durch. Wie soll es im KMU angekommen sein?!? Das ist imho numal dem Umstand geschuldet, das es keine 0815 Wegleitung gibt die man einfach befolgen kann. Vom Hersteller. Und das es nicht der Standard ist, sondern NTLM. Ich kann mich gut erinnern als ich vor ein paar Jahren mir die ganzen Infos zusammengesucht habe. Ehrlich gesagt habe ich sogar ziemlich viele Stunden damit verbracht und mich hat es wirklich interessiert. Ich wollte wissen wie man das aufbaut. Alleine die Tatsache, dass man nicht einfach Schwups einfach verständliche Anleitungen findet beweeist, dass das Thema eben noch NICHT angekommen ist. Vielleicht Aber Du oder Ihr kannst/könnte das gerne anders sehen, ich behaupte jetzt einfach, KMU sind nicht eure Clientel und da wo Du/Ihr in Anspruch genommen wirst/werdet, sind die Leute/Unternehmen entsprechend mit dem Thema bereits à jour. Aber das dürften nicht 90% der Installationen sein. (Von mir aus auch 60%, keine Ahnung ehrlich gesagt). Just my 2cents. ;) Und MS habe ich nicht direkt die Schuld gegeben. Sondern einfach nur auf die Tatsache hingewiesen, dass sie zu wenig unternehmen und es in der Hand hätten. Wenn sie wollen würden. Ein bisschen was geht, denn mittlerweile gibt es doch ein paar Infos mehr die man sogar findet... Aber immer noch keine exakte Wegleitung. Aber wenn sie zu viel machen würden, kämen wohl mehr support-anfragen = mehr arbeit = weniger Gewinn. Auch nur meine 2 cents dazu. Wollte nur aufzeigen das es auch andere Denkweisen gibt. Die ihr natürlich nicht teilen müsst. ;)

Ja klar, aber ich finde nicht, das dies ausreicht oder? Und so manches was da umgesetzt wird, hat eben Voraussetzungen damit es auch so geht (CA z.Bsp.) Paar Beispiel: - Firewall (Vorlagen bei OutBlock für systemrelevante Dienste wie AD, DNS, Beschreibung was man tunlichst tun sollte, drauf hinweisen das Dienste teilweise maskiert werden und somit leider keine Filterung auf den Dienst möglich ist, welche das betrifft usw.) --> Teilweise vorhanden klar - wirklich für den Betrieb notwendige Dienste, sowie entsprechende Beschreibung was genau für was verantwortlich ist, eventuell sogar beteiligte Dateien (Nachschlagewierk halt, recht undurchsichtig teilweise) - CA - Was hilft einem Admin wenn er NTLM deaktivieren soll, aber keine Ahnung hat was es überhaupt dafür braucht, das Kerberos unter Windows funktioniert. Diese Infos sind oder waren es zumindest (vermute immer noch) unglaublich mühsam herauszufinden. Das dies wirklich nicht Straight-Forward ist, beweist das die wenigstens Umgebungen, selbst grössere, überhaupt über eine CA verfügen ;) --> Ging schon was in die Richtung mit Anleitungen für eine 0815 CA, aber auch da steht nicht was man nun explizit für die Abschaltung von NTLM machen muss. Braucht es nur Computer-Zertifikate? Welche Rechte braucht das Zertifikat? Oder braucht es auch User Zertifikate? Was passiert wenn der User ein Signing-Recht erhält? Kann er dann Scripte signieren die dann überall in der Firma als "safe" gelten? Ich meine das sind zwar Basics, aber bis man den Krempel zusammen hat wird man fast selig, zumindest vor ein paar Jahren. Und ich rede nicht von komplexen Dingen, sondern einfach nur den 0815-Kram den man eben für Kerberos braucht. Seitenhieb mit 16bit? Pffft das war aber unter die Gürtelinie hahah Nö 16bit habe ich zum Glück wirklich nur noch auf einzelnen, speziellen Systemen. Analysengeräte, Spezialdrucker, Roboter und so Zeugs. Die sind alle Offline. Ich bzw. die Buden sind dennoch froh, dass es noch zum laufen zu bekommen ist weil es teilweise Systeme sind, die es so nicht mehr gibt, zu selten gebraucht werden damit sich Neuanschaffung lohnt, viel genauer sind als neue usw. Darum mag ich ja Windows so, irgendwie gehts immer in halbwegs vernünftigem Zeitrahmen. Mir machen halbaktuelle, integrierte Systeme viel mehr Sorgen.

Weil? =) Was ist deiner meinung nach des Hackers liebster Freund den Du genannt hast? Das Problem mit den Dienstleister ist immer das die guten Leute dieser Firmen selten jene sind, die sich um die Anliegen der KMU's kümmern. Also selbst wenn man sich Leistung einkauft, bekommt man oft keine sinnvolle Beratung. Ist so meine Erfahrung, nicht nur im IT Bereich. ;) Ich finde ja schade, dass MS keine effektiven, einfach verständlichen Konfigurations-Guide-Lines zu Verfügung stellt wenn Sie schon aus Kompatibilitätsgründen nicht so konfigurieren, dass es mal sicher ist - soweit man das sagen kann - und man freigeben muss.

Wenn Du ne Firewall hast - was Du haben solltest - dann kannst Das da blocken. Als Proxy-Server auch Userbasiert ;) Als es im Winter noch schneite und der nette TMG noch verfügbar... wobei, solange ist es nun auch wieder nicht. Auf alle Fälle hat der hat das wunderbar user, zeit und was auch immer basiert gemacht. Ich vermisse ihn immer noch. *heul* Habe den MA's den ganzen Nicht-Firma-bezogen-Quatsch jeweils über Mittag freigegeben. Gibt aber auch heute solche Lösungen von anderen Herstellern oder eben eine der Hardware-Firewalls. Dann gibts noch die Bastelvarianten. Nicht sondernlich intelligent, funktioniert aber beschränkt auch. Auf dem DNS-Server eine primäre Webseite einrichten und die Anfrage ins leere laufen lassen. Dann noch die Ports mit denen ein allfälliger Browser selber DNS spricht auf ihn blockieren (mit der windows firewall). Ich meine Firefox tut das von Haus aus auch selber. Auch die Hosts-Datei kann man dafür "missbrauchen". Habe ich ganz früher gerne mal gemacht, ist aber eigentlich Quatsch. Heute mit VM's kann man auch einfach eine Billig-Lösung mit Linux machen wenn man nichts investieren will und Arbeitszeit einfach so vorhanden ist. ;)

Danke für die Links. Scheint doch etwas gegangen zu sein in den letzten Jahren. Schade gibt es immer noch keine vernünftige ZeroClient-Lösung à la Teradici. Leider hat da das Management das ganze Kapital in ein schwachsinniges ThinClient Konzept gesteckt, statt ihr bewährtes Konzept auf grössere Screens zu portieren *hmpf*

Habe in einer Umgebung vor ein paar Monaten mal folgendes umgesetzt: Desktop A bzw. internes Netz: Internetverbindung über Firewall nur mit Whitelisting für unternehmensnotwendiges wie E-Mail, Bankanbindung, MS-Updates, ERP Desktop B: Internetzugriff auf alles (gefiltert ;) )ausser den Adressen oben (Bis auf MS-Updates) Transfer-Server welcher in beiden Netzen hängt und auf Netzwerk Seite B nur ein dummes Protokoll spricht (sollte also nicht also nicht auf gängige Angriffe reagieren). Die User haben einen KVM-Switch um umzuschalten. Ist eine relativ hohe Materialschlacht. evtl. wäre es ökonomischer hier auf ein Ferwartungsprotokoll zu setzen. Dürfte aber ausser Pixel nichts von B nach A lassen. Dachte da auch schon an VNC. Jemand besser Ideen? Kommt eigentlich erstaunlich gut an bei den Usern. E-Mail hatte ich anfänglich bei den Testusern auf B, hat sich aber nicht wirklich bewährt. War einfach zu mühsam für die tägliche Arbeit um sämtliche CAD Daten, Zeichnungen, Kundendokumente etc erst auf den Transfer zu legen. Dachte mir dann, OK wenn man sich also trotz allem etwas einfangen würde, dann könnte wenigstens kein Code nachgeladen werden solange keiner der kritischen externen Dienste direkt betroffen ist. Auf nachladen von Code sind aber viele der aktuellen Schadcodes angewiesen. Die meisten öffnen "nur" das Tor. Aber eben, wie viel das im Ernstfall bringt... Schwierig zu beurteilen. Ich bin froh wenn es nie eintrifft. Aber je mehr Steine im Weg liegen und je schneller und aktueller man mit Restores sein kann, desto weniger haben automatisierte Angriffe eine Chance solange man nicht Opfer von einem gezielten Angriff wird. Was normal zum Glück nicht die KMU-Stufe ist, ausser eben Forschung =) Mal noch eine Annäherung für Kleinumgebungen Zumindest denke ich - auch wenn mein Storage-VM-Prinzip auf ESXi hier verpöhnt ist und obwohl das wohl die wenigsten selber ernsthaft geprüft haben - dass dies doch einiges bringt weil lediglich der aktive Teil verschlüsselt werden kann auf welcher ein ESXi Zugriff hat. Die Storage-VM selbst ist bis auf NFS komplett zu. Die Credentials dürften schwierig einfach so zu klauen sein (nicht Domain joined). Die Zugangsdaten mit einem Keylogger ebenfalls, weil man sich so selten einloggt. Bis jetzt habe ich jedenfalls noch nicht gelesen, dass PCI-Passtrough-Geräte direkt verschlüsselt wurden. Da dies doch eher sehr exotisch ist, hoffe ich, es interessiert kein Mensch. =) Ein Rebuild ist dann easy, Festplatte mit ESXi + Storage VM tauschen und Systeme wieder hochfahren. Im Optimalfall liegt eine Kopie neben dem Server. VSS Snapshot aktivieren und man hat einen Zustand seiner Wahl ohne das ein Recovery notwendig ist innerhalb weniger Minuten zur Analyse bereit. Im Lab hat das funktioniert. Im Ernstfall? Ich hoffe ich brauche es nie. =) Ansonsten für jene diese interessiert ein netter "Blog" wie solcher Krempel überhaupt funktioniert, teilweise ziemlich übel wie wenig es im Endeffekt eigentlich braucht. Finde ihn recht informativ. Irgendwie ist das am Ende so easy, dass man eigentlich alles nur noch Offline haben möchte. Und das sind nur eine handvoll der bekannten öffentlichen Exploits. Wundert mich irgendwie fast, dass nicht mehr passiert. https://itm4n.github.io/windows-server-netman-dll-hijacking/ https://itm4n.github.io/from-rpcview-to-petitpotam/ Und ein Anti-Script-Projekt zu üblich bekannten Einfallstoren, das relativ zeitnah aktualisiert wird: https://github.com/itm4n/PrivescCheck Alleine das DLL-Hijacking. Wenn ich mir vorstelle wie viel Aufwand die Pflege von erlaubten DLL Hashes mit z.Bsp. Applocker gibt, wird mir schlecht. Wie soll man das managen bei den vielen Updates? Mir persönlich ist das schleierhaft. Habe zwar eine Umgebung wo ich das Pflege, aber das ist echt ein Krampf. Oder ich machs zu kompliziert. Und ob es das am Ende wirklich bringt? Und all die Sicherheitstools? Doch einige der grossangelegten Hacks der letzten Jahre kam über Sicherheitstools rein, wunderprächtige Aussicht... *rofl* AppLocker soll ja angeblich mit ein paar "Handgriffen" deaktiviert bzw. umgehbar sein. Leider kann ich meinen Hint nich mehr finden wo das demonstriert wird. War irgend ein Design-Fehler. War aber noch zu W2008R2 Zeiten. Vielleicht gehts auch nicht mehr, ist ja doch einige Zeit her. War damals so ein Blog-Eintrag warum SAFER - das eingestellt wurde - deutlich schwieriger zu knacken sei als AppLocker. Vielleicht finde ichs ja wieder oder ist mittlerweile sogar obsolet. Aber irgendwie war mir das früher auch zu mühsam alles umzusetzen in einer Klein-Umgebung, aber man kommt wohl je länger je weniger darum herum... Sollte nur irgendwie Umgebungsübergreifend automatisierbar sein, sonst ist das uncool. *hmpf*

Echt jetzt? Ich machte da gegenteilige Erfahrungen vor ein paar Jahren (puuuh geht die Zeit schnell vorbei). Hab Anydesk aber schon länger nicht mehr verfolgt, ist da die Verbindung auch indirekt oder nach Verbindungsaufbau direkt? Weiss ich nicht mehr. WEIL: Teamviewer hat einen solch enormen Zuwachs bekommen mit Covid, ich glaube die können bald nicht mehr gut schlafen mit Ihrem Gewinn. Hat aber möglicherweise auch Auswirkungen auf die Performance. Habe mal alles getestet was der Markt hergab. Ausser Teamviewer war da keines für CAD wirklich zu gebrauchen. Weder via LAN noch via Web. Ausser die habne ihr Protokoll mittlerweile versaut, was mich aber auch nicht wundern würde so aufgeblasen wie das mittlerweile ist. Da der Betrieb umgezogen ist, braucht er auch die Bastellösung mit dem Teamviewer für das CAD auch nicht mehr, insofern müsste ich das wieder extra aufsetzen um es zu testen.

Wenn man gezielt ins Visier genommen wird weil man z.Bsp. ein hochinteressantes Produkt hat wird es eh schwierig. Dann ist man auf relativ verlorenem Posten weil dann spezifisch vorgegangen wird. Sabotage an sich ist dann auch eher selten. Da gehts dann eher um Informationsbeschaffung. Da bemerkst es dann vielleicht das was nicht stimmt, wenn bei einer Routine-Kontrolle in der Werkstatt festgestellt wird, dass Dein Auto verwanzt wurde. Nicht ganz unüblich in der Forschung. Zumindest heute noch. Irgendwann wird das vielleicht auch System haben weil das sorglose Klicken auf Links nicht mehr funktioniert. Aber solange das ganze noch Anonym funktioniert, wird das wohl auch so bleiben und die Reinigungsfirma die absolute Ausnahme bleiben. Schadet aber sicher nicht, sich auch auf das einzustellen. =)

Bin ich schon im Grundatz bei Dir. Aber Zeugs das Top funktioniert durch einen halbgaren und oft komplett lahmen Schmarrn zu ersetzen wie das heute leider oft der Fall ist, ist einfach obermühsam. Da wäre eine Verbesserung des alten Codes oft sicher der bessere Weg. Oder wenigstens zu Ende gedachte neue Ideen. Aber heute sind ja auch die Leute nicht mehr 10 Jahre und mehr in einer Firma, muss man ja immer etwas neues sehen. Beispiel: Aktueller Zeitstempel für UWP: https://docs.microsoft.com/de-de/windows/uwp/get-started/universal-application-platform-guide (Wie toll doch UWP ist) Und hier die Abkündigung: https://docs.microsoft.com/en-us/windows/apps/windows-app-sdk/migrate-to-windows-app-sdk/overall-migration-strategy Wie lange es wohl geht das der Krempel nicht mehr tut, 16bit, 32bit oder auch VB6 Anwendungen immer noch? =) Oder Powershell, teilweise unglaublich langsam in der Verarbeitung bis hin zur Zumutung. Windows Firewall für Apps, ist der totale Wahnsinn und nicht konfigurierbar. Die Druckergeschichte, dabei sind Features von den eigentlichen Druckern ungefähr seit 30 Jahren so gut wie keine hinzugekommen. Es könnte also ein einziger generischer Treiber mit Infos der Hersteller gefüttert werden dazu ein Wrapper-Treiber für alte Drucker oder als Übergang. Aber solange man bei MS nicht mal die verbreitesten Funktionen implementiert. Wie dem auch sei, bei 2022 bin ich mal wieder Out-of-the Box happy das im Grundsatz das Zeug einfach funktioniert. Nichtmal seltsame Fehler die man nicht wirklich zuordnen kann liefen mir bis jetzt über den Weg. Das Starmenü - wenn man es zerstört - wird normal beim nächsten mal anmelden wieder neu aufgebaut (hoffentlich ist die Engine unter 11 nicht wieder komplett neu und das spiel fängt von vorne an). Deswegen Profile löschen dürfte also deutlich seltener werden. Auch Index bzw. der Zugriff darauf von Cortana scheint crahssicherer zu sein und die Suche funktioniert nach einmal neu anmelden wieder. Alles in allem wohl ein gutes Service Pack 4 oder so =)

@cj_berlin Das mit Appliances/Container/Docker/Nano oder wie man immer das im Endeffekt nennen möchte sehe ich immer etwas kritisch . Ja die Begriffe sind vermischt, aber zielen alle drauf ab neue Standards durchzuboxen und alte Zöpfe abzuschneiden. Windows steht für Kompatibilität und das beisst sich mit abschneiden von alten Zöpfen. Wo es Schatten hat, hat es eben auch Sonne und anders rum. Keine Ahnung wie eine schöne neue IT-Welt funktionieren soll, wenn über 20 Jahre gewachsene Applikationen - auch wenn sie sogar mal Remanufactoring erleben - alle paar Jahre auf den Kopf gestellt werden sollen. Bugs ausmerzen wäre dann sicher nicht die Stärke von so einem Prinzip. Datenübernahme auch nicht. Innovationen würden entweder auf der Strecke bleiben oder die Entwicklung und Pflege wäre zu teuer. Sieht man ja an den Zigtausend technischen Geräten die überall rumschwirren. Sind im Grunde wie Appliances. Gepflegt wird da im Endeffekt gar nichts. Fire and Forget. Millionen wenn nicht Milliarden von kleinen technischen Geräten mit allerhand Sicherheitsproblemen. Von kleinen Gadget bis zur Kaffeemaschine oder dem Kühlschrank. Entweder man kauf neu oder es bleibt alt. Klingt jetzt ketzerisch, aber das ist primär die Folge von Inkompatibilität und nicht gepflegtem Laufzeit-Untergrund. Es lohnt sich einfach nicht. Wenn auch in einem etwas anderen Kontext. Windows bietet eine Basis wo wenigstens der Unterbau selbst aktualisiert wird und somit viel zur Sicherheit von alten Zöpfen beiträgt.

Habe es auf ein paar Maschinen schon ausgerollt. Am ersten Tag als es verfügbar war. Erst im LAB, ein paar exzessive Tests mit Storage-Spaces, RDP usw. Bisher kein Problem. Meine eigene Umgebung hab ich danach fast komplett umgestellt ( Mein "Produktiv-LAB" bevor ichs auf andere loslasse ). Läuft sogar mit Horizon-Desktops einwandfrei. Las im Netz lediglich, dass man mit Storage-Space übernahmen warten sollte. Da gibt es wohl tatsächlich noch einen Bug wenn eine alte Version portiert wird. Den gibt es nicht auf neu erstellten Volumes. Mein Testlab-Volume machte dagegen keinen Ärger. Da ich produktiv aber immer alles neu erstelle weil ich auf potentiellen Upgrade-Ärger keine Lust habe, wird mich dieser Bug wohl nicht einholen. Mein Fazit: Da es sowieso die letzte Version in der W10 Reihe ist und 2022 eher ein Mini-Update zu 2019 ist und wenig gravierende Änderungen hinzukamen - ausser eben bei SP - würde ich den einfach verwenden. Für neue Umgebungen eh, die sind ja meist am besten getestet von MS. Die erste Update-Runde ist ja auch schon raus. Imho ist das mehr ein Service-Pack als wirklich ein neues OS. Mit 2022 hast 3 Jahre länger Ruhe vor einer neuen, wirklich notwendigen Updaterunde. Ich weiss, ist nicht Dienstleister-Chef freundlich aber, ich persönlich sehe das eher praktisch, Zeit für anderes. :D ABER: 2022 hat noch keine Exchange-Freigabe soweit ich das mitbekommen habe. Also weder das Domain Functional-Level noch die Installation darauf. Kleines Schmankerl bezüglich ReFs, darauf kann man jetzt auch eine NFS-Freigabe machen. Das einzige was mich persönlich nervt ist der bzw. die absolut aufdringlichen Tasks welcher Firewall-Freigaben automatisch bei Anmeldung erstellt. Und zwar nicht nur das erste mal, sondern jedes mal. Für allerlei Apps. Betrifft aber nur die GUI-Version. Welcher Task/service effektiv für welche Regeln verantwortlich ist, bin ich noch nicht 100% durch. Bis jetzt ging immer etwas anderes nicht mehr, wenn ich das wirklich abdrehen konnte. Auch will sich die Maschine ständig online mit Azure verbinden/registrieren. Ohne entsprechende Konfig versteht sich. Scheint gekoppelt zu sein mit der Meldung im OnPremise AD, also eher mühsam zum abschalten (ich habs über die Firewall gelöst, wird einfach geblockt bzw. nicht explizit erlaubt). Ein Teil der "Ärgernisse" gabs schon in 2019. Aber ich bin da auch etwas eigen, mich nervt alles was sich irgendwie ungefragt/unkofigurierbar ins Netz verbinden möchte. Es sind wieder ein paar Services/Tasks besser vor Manipulation geschützt. Braucht also teilweise den TI, da manche Einstellungen automatisch wiederkehren auch wenn sie einem nicht schmecken (Medical Services welcher den Kram überwacht). In Core mit FOD läuf immer noch ziemlich alles an Tools ohne jedoch ein grosser Teil der App-Geschichte. Sprich man bekommt z.Bsp. selbst das aktuelle Firefofox ESR recht problemlos zum laufen. 0815 Apps wie 7zip, putty, winscp etc. sind eh kein Thema. Meine das ging sogar unter reinem Core mit Minimalaufwand, hab aber nur ganz kurz rumgespielt. MMC braucht für die Unterstützung aller Bereiche etwas mehr Liebe. Wie vorher schon. Lohnt nicht so der Aufwand. In einer GUI-Installation möglichst alles abdrehen was in Core nicht vorhanden ist (um zbsp. die Verwaltungstools zu haben oder Applikationen die auf GUI-Bibliotheken angewiesen sind ohne jedoch den App-Kram). Ist dagegen nicht mehr gleichermassen einfach wie auch schon. Geht zwar, aber Windows merkt neu, dass die Shell nicht vollständig geladen ist und versucht x-mal pro Sekunde die Shell neu zu laden (So schnell wie die CPU ist).

Ohne die Marketing-Abteilung, wären wir jetzt ungefähr bei Windows 6.8x oder so (grad zu faul zum zählen). Insofern ist das Verhalten von WSUS eigentlich gar nicht so verkehrt. Verwunderlich ist nur, dass diverse GPO's teilweise bewusst nicht identisch reagieren. Natürlich aber nur in Bezug auf Error-Reporting, Telemetrie, Cloud und ähnlichem. Ein Schelm wer sich da Gedanken macht *hüstel* Die ganze Technik ist gemäss höherem MS-Support eigentlich auf die Build ausgelegt, wegen der Marketing-Abteilung wird aber teilweise auf den ganzen Schwachsinn wie 20H2, 21H1, 21H2 etc. gefiltert. Die neue GUI ist wohl auch "etwas" verfrüht. Der Krempel wird von der Technikabteilung aber nicht gleichermassen "gut" gepflegt wie im Marketing, was dann eben an vielerlei Orten Probleme gibt. Erschwerend kommt dann hinzu, dass WSUS eh nicht gewüncht, ist. Zu gut, zu einfach und bringt vor allem kein Geld. Da muss man ab und wann ein Stöckchen in die Speichen werfen... Ganz vergessen noch was zum Thema: Ich würde mich fast auf eine Wette einlassen um einen Besen zu fressen, dass MS trotz allem Updates bereitstellen wird. =) Die wollen schliesslich sichere OS haben...

Ich glaube die normalen Typ 4 werden sowieso abgelöst. Ich bekam jedenfalls eine Mitteilung von einem grossen Druckerhersteller, dass die Typ 4 Druckertreiber ab 2022 nicht mehr weiterentwickelt werden. Man solle entweder auf Typ3 "upgraden" (sie nannten es einsetzen) oder das neue Super Duper Treibermodell via Store umsetzen. Irgendwie ist das alle Man kann auch nicht alle 3 bis 6 Jahre die ganze IT und alles mit dran hängt auf den Kopf stellen. Das ist weder ökologisch noch ökonomisch sinnvoll. Zudem steigt mit neuer Software selten die effektive Effizienz. Eher das Gegenteil ist der Fall. Irgendwie haben punkte Updates/Aktualität auch viele ITler eine Rosa Brille auf und sehen nur die Büro und Office-Computer, die Produktion ist da jeweils aussen vor obwohl heute oft honchintegriert in ERP etc. Habe es noch nie erlebt, dass ich offiziell Windows Updates auf einer Steuerung einspielen durfte ohne Garantieverlust. Bei XP/W7 habe es jeweils einfach gemacht, alte Festplatte raus, Kopie gezogen und die originale auf die Seite gelegt zur Reproduzierung eines Problems damit es nachweislich nicht von einem Sicherheitsupdate kommt. Aber dieses Vorgehen ist defintiv nicht verbreitet und sollte auch nicht so sein. Unter W10 habe ich den Mumm auch nicht mehr. Vor einem Monat habe ich eine W95 Steuerung ersetzt. Die Maschine war 16 Jahre alt. Sah optisch aus wie neu, war mechnaisch top. Ging auf den Schrott weil EOL. Neueste mögliche Steuerungsupgrade war vor ein paar Jahren W7 für 40-50k. Völlig unwirtschaftlich. Und alle reden von Ökologie. ;) In der Industrie kann man froh sein, wenn man auf der Steuerung ein OS bekommt, das noch nicht 10 Jahre auf dem Buckel hat und von MS schon EOL ist. Im Büro ist ein ständiges Upgrade zwar möglich, aber wie Du ja auch sagst, selbst sorgt es selten für Zufriedenheit. Zumindest nicht bei jenen, die wirklich arbeiten. Insofern würde ich Sicherheitsupdates und Code-Refactoring auch begrüssen, die meisten Probleme betreffen eh alle OS bis zurück nach XP.

schon möglich. Wie genau SQL-caching funktioniert weiss ich jetzt nicht. Wäre aber die ganze DB im RAM für Reads/Auswertungen dann könnte es durchaus sein, dass es mit Genug RAM trotzdem etwas schneller ist.

Interessant... Ist das normal? Oder sogar verkraftbar weil keine Remote-conns erlaubt sind? Irgendwie seltsam finde ich. Bis jetzt habe ich bis auf Ausnahmen mit Standard (wo vorhanden) immer Express genommen, auch wegen der Index-Anpassung wodurch die Cleanups gefühlt um Faktor 100 schneller sind. Express wird immer aktualisiert wie ein "normaler" SQL-Server. Habe aber in diversen Installationen Mühe mit der DB-Grösse wodurch ich überlege bei den anstehenden Neuinstallationen oder Upgrades bei 2022 auf die WID zu wechseln. RAM ist ja mittlerweile günstig, CPU-Power erschwinglich. Da würde vermutlich auch der lahme Cleanup zügiger laufen. ;)