MurdocX

Die einfachste Variante ist die Installationsdateien auf ein Share zu legen und einzelne Clients nach dem Turnschuh-Prinzip auf Windows 10 hochzuziehen. Prüfen ob das und die Software soweit weiter funktioniert und es bei dem Modelltyp keine Fehler im Setup auftauchen die du bestätigen musst. Danach kannst du das automatisch via Windows Update verteilen. Ich persönlich hab die Installation remote über ein PS-Skript gestartet.

Oder die Profile einfach nach einer Zeit automatisch von Windows löschen zu lassen. Funktioniert bei uns ganz gut. Das kann über die Gruppenrichtlinien eingestellt werden.

Die Aussage kommt immer erst, wenn man das Kind wieder aus dem Brunnen ziehen konnte. Man kann immer nur die versuchen zu retten, die auch gerettet werden wollen.

Halte mal die "Shift" taste beim Abmelden gedrückt oder beim "Anderer Benutzer" auswählen. Ich kann´s nicht nachstellen, denn ich hab so ein System nicht im Zugriff.

Beim Surfen bin ich gestern auf Twitter gelandet. Der Hashtag #InfoSec hat mich etwas desillusioniert. Ich habe/hatte keinen naiven Blick auf die Sicherheitslage, dennoch war ich geplättet über das was ich da las. Ohne ins Detail zu gehen, glaube ich, dass wir noch sehr viel Kommunikationsarbeit beim Thema Sicherheit und Konzepte vor uns haben, wenn es ein Mindestmaß an Sicherheit im Netzwerk geben soll.... Vom Benutzer zum Domain-Admin in 36 Minuten mit den Sysinternals. Das ist auf einem HoneyPot genau so abgelaufen. Meiner Meinung nach ist es schier unmöglich einem kleinen und mittelständigem Unternehmen zu erklären, das er mehrere tausende von €uros investieren muss, um ein kleinen Grundschutz zu haben. Der dann auch noch stark davon abhängig ist, wie geschult, geschickt und teuer der Systembetreuer und Admin ist. Hier muss sich eindeutig was tun. Zu viele wiegen sich in falscher Sicherheit.

Ohne es direkt nochmal erwähnt zu haben, falls es aus dem Kontext nicht direkt aufkam, möchte ich gerne noch die Freigabe-Berechtigung des Ordners "Data" sehen.

Genau, die sind gemeint. Eintragen kannst du das über die GUI, die Registry oder die Gruppenrichtlinien. Du könntest den Registry-Key auch per Gruppenrichtlinien verteilen. Die Berechtigungen setzten sich aus den Beiden oben genannten zusammen. Der Ordner "pmueller" ist nicht freigegeben, deshalb ist das auch keine Freigabe. Deine Freigabe ist "Data" und damit auch verantwortlich für die insgesamten Berechtigungen der Unterordner in der Freigabe Data. Also auch für deine Benutzer-Ordner wie z.B. "pmueller". Ja, der heißt SYSTEM. Hier etwas zum Einlesen für Dich: How to: Best Practice Security - Windows file sharing https://community.spiceworks.com/how_to/27258-best-practice-security-windows-file-sharing

Ja, ist empfehlenswert.

Danke. Das sind Infos die ich/wir nun weiter zerpflücken können Hier kommen meine weiteren Fragen: Ist der Freigaben-Screenshot von der Freigabe Data? Könntest du zusätzlich noch die "Erweiterte Freigabe" posten? Ist dort der Benutzername des Benutzers oder eine Gruppe enthalten? Direkte Empfehlung: Der System-Benutzer gehört noch zu den NTFS-Berechtigungen des Users Ich persönlich verbinde die Benutzer-Ordner und Arbeits-Ordner mit den GPPs. (Gruppenrichtlinien)

Leider hast du meine Frage nicht vollständig beantwortet. Es wäre super, wenn du das noch tun würdest Folgende Fragen habe ich noch zusätzlich: Funktioniert das Programm, wenn es z.B. vom Desktop des Benutzers ausgeführt wird? Welche Programmversion wird eingesetzt?

Ich schieße jetzt einfach mal ins Blaue. Der Domänen-Admin hat wohl ein Recht, dass alle anderen User dort nicht haben. Der Unterschied wäre dementsprechend das Recht des "Schreibens". Vermutlich brauchen das die Benutzer auch auf der Freigabe. Welche NTFS- und Freigabe-Berechtigungen sind denn gesetzt?

Steht das Lease-Ablaufdatum denn immer noch auf unendlich? Dazu schreibst du nichts. Du kannst mit ipconfig /resease die Reservierung auf dem Client lösen. Das Eine bedingt natürlich das Andere.

Das würde ich ohne Einwilligung des Kunden tunlichst sein lassen. Kunde und IT-Firma wissen auch nicht was die Datei beinhaltet. Würde mich das ein Kunde fragen, dann würde ich ihm tunlichst davon abraten. Ich würde über einen Wartungsvertrag, Sicherheitskonzepte und die neue Einrichtung des ganzen sprechen. Edit: Der Kostenvorschlag von fast 10k€, ohne die Kalkulation gesehen zu haben, wäre auch meine Einschätzung.

Wer bei 4800$ Insolvenz anmelden muss, der hat wohl ganz andere Probleme Die großen Kosten kommen erst danach...

Vielleicht wäre es gut, wenn die Erpresser-Links nicht in einer Nachricht vorhanden sind Für Kriminelle brauchen wir ja keine Werbung machen. Ohne die Umstände zu kennen, halte ich das vorgehen für äußerst kritisch. In der Masse lohnt sich das dann für die Erpresser und es wird immer so weitergehen.