ChrisRa

Wird der Ordner in regelmäßigen Abständen erzeugt? Du schmeißt einfach den Capture an, wartest bis der Ordner erstellt wurde. Anschließend filterst du die Ergebnisse nach z.B. "Path contains Eigene". Dann musst du mal weiter schauen. Der Ordner wird wahrscheinlich im Kontext des Explorer erstellt? Das weiß ich jetzt nicht genau.

Erklärung?

Ja, ProcMon. https://technet.microsoft.com/de-de/sysinternals/processmonitor.aspx

Teilen wir regelmäßig aus. Manche Einrichtungen drucken diese Handbücher auch aus und kleben Teile davon ins Büro. Finde ich ganz treffend: https://www.sophos.com/de-de/security-news-trends/it-security-dos-and-donts/online-handbook.aspx?utm_source=ITDD&&utm_medium=Doc-link&&utm_campaign=ITDD-Doc-BuyInDoc Edit: Aber Vorsicht! Nicht, dass jeder morgen das Kennwort $ie7enKr0k0dile:inderB@d3w@nne hat. :D

Koschinski gehört zu den Favoriten würde ich behaupten. Falls ihr Fragen habt, legt los. Ich wohne in Lingen.

Ich finde die Idee einer Tipps und Links Sammlung aber ganz nett. Deswegen hier auch noch mal.

Die meisten haben es schon gelesen. http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/ Puh, das hätte Montag geknallt. :shock:

Wenn er kein Tape will (warum auch immer), schau dir mal die RDX Quickstation von Tandbergdata an. Wir haben auch lange mit RDX gesichert. Habe hier auch mehrere Laufwerke liegen. Das wird mit der Zeit allerdings ziemlich teuer. Gerade, wenn man Sicherungen archivieren will. Wir sind auf LTO-6 umgestiegen.

High School Musical? :D

Zum Glück wohne ich ca. 10 Laufminuten entfernt! :D http://www.hotel-zum-maerchenwald.de/ Ist auch ums Eck.

Arbeitsspeicher auswechseln und Windows 10 installieren! :)

Dann sollte man sich aber auch dessen bewusst sein, dass es eventuell kritisch werden kann, wenn die NTLMv2 Authentifizierung auch Probleme verursacht. Aber grundsätzlich hast du natürlich recht. Dokumentation schafft Abhilfe.

GPO genügt auf oberster Domänenebene deiner Clients. Ab 2008 R2 ist NTLMv2 only auf den Servern sowieso Standard. Was willst du damit erreichen? Die Clients würden sowieso auf NTLMv2 switchen.

Wir haben auch buddeln lassen. Der Provider hat uns einen LWL ins Haus gelegt. Die Baukosten haben wir auch nicht bezahlt. Laufzeit bei uns auch 36 Monate. Habe gerade gesehen, dass Viprinet mit 100%iger Ausfallsicherheit wirbt. Unseriös.

Der ist Default deaktiviert. Hat nichts zu sagen. Mit dem Konto soll man sich ja auch nicht anmelden. Works as designed

Anwalt zurate ziehen! Du kannst dir nie zu 100% sicher sein, dass er sich nicht doch irgendwo eine Backdoor eingebaut hat. Jeden Abend eine Vollsicherung offline Bereitstellen (sofern möglich). Keine Ahnung ob sowas möglich ist. Kann ja gleichzeitig auch mit dem Anwalt abgeklärt werden. Keine Rechtsberatung im Forum.

Du könntest es mal mit Iperf versuchen, wenn du dem netIO nicht vertraust. https://github.com/esnet/iperf

Server 2012 R2 Datacenter oder die Standard?

Dann hat den wohl irgendwann mal jemand als Knoten hinzugefügt. Nur merkwürdig, dass er nach dem löschen wieder auftaucht. Hast du im richtigen Protokoll geschaut? "Eventlog -> Anwendungs- und Dienstprotokolle -> DNS Server"

Ist ja auch der gleiche Server. ;) Was passiert denn, wenn du von den Clients aus versuchst den Server oder andere Clients via DNS-Namen zu erreichen. Löst er die noch auf? Schon mal im Eventlog des Servers geschaut?

Und außerdem gehe ich mal davon aus, dass die Dienste, auf die eure Clients zugreifen wollen sowieso nicht extern erreichbar sind, sondern nur durch das VPN? Schau dir die Hosts-Datei mal an. Das dürfte erstmal dein Workaround sein. In Zukunft solltet ihr euch um eine Lösung bemühen, die die VPN-Verbindung schon vor dem Start von Windows zur Verfügung stellt.

Wird keiner erraten, behaupte ich mal.

So sollte sein. Ich habs irgendwie so raus gelesen, dass der Client zum initialen Verbindungsaufbau einen bestimmten Host auflösen muss. Dann solltet ihr tatsächlich euer Design überdenken.

Und was passiert bei Malwarebefall oder wenn das AD kompromittiert wurde?

Erreichst du die Seite denn von deinen Clients aus?