Jump to content

MurdocX

Moderators
  • Gesamte Inhalte

    2.711
  • Registriert seit

  • Letzter Besuch

Beiträge erstellt von MurdocX

  1. Ich kann mich erinnern, dass es das Problem schon mal vor nicht allzu entfernter Vergangenheit vorkam.

    Wir sehen den erhöhten RAM-Verbrauch. Bisher laufen die Systeme noch. Alternativ -> Reboot tut gut.

     

    # OOB-Updates sind verfügbar: (Microsoft Update-Katalog only!)

     

     

    Info:

    Zitat

    Dieses Update behebt ein bekanntes Problem, das den Lokalen Sicherheitsautoritätssubsystemdienst (LSASS) betrifft. Es kann speicherverlusten auf Domänencontrollern (DCs). Dieses Problem tritt auf, nachdem Sie KB5035857 (12. März 2024) installiert haben. Das Leck tritt auf, wenn lokale und cloudbasierte Active Directory-DCs Kerberos-Authentifizierungsanforderungen verarbeiten. Dieser erhebliche Verlust kann zu einer übermäßigen Speicherauslastung führen. Aus diesem Fall reagiert LSASS möglicherweise nicht mehr, und die DCs werden neu gestartet, wenn Sie dies nicht erwarten.

     

    • Like 3
    • Danke 1
  2. vor 10 Stunden schrieb haiflosse:

    Die Verknüpfung bei den Gruppenrichtlinie am dc habe ich derzeit beim der OU wieder herausgelöscht.

    Das ist nicht nötig. Einfach so stehen lassen.

     

    vor 10 Stunden schrieb haiflosse:

    Derzeit passt die Zeit überall. Somit denke ich muss da nichts weiter tun - oder?

    Das ist doch ein tolles Ergebnis! Damit das nicht mehr passiert, sollte der DC sich gegen eine externe Zeitquelle synchronisieren.

    Sync-Kette: [Client] > holt Zeit > [DC] > holt Zeit > [Externe Quelle] 

     

    Als externe Zeitquelle kannst du ntp.org nutzen. Schau mal hier: 

    pool.ntp.org: Wie benutze ich den NTP Pool?

     

    Das kannst du auf deinem PDC ausführen. Das Ergebnis steht im Eventlog.

    w32tm /config /syncfromflags:manual /manualpeerlist:"0.pool.ntp.org 1.pool.ntp.org 2.pool.ntp.org 3.pool.ntp.org"
  3. vor 33 Minuten schrieb NorbertFe:

    Übrigen zieht sich Sophos da schön aus der Affäre, wenn man zum Thema waf und Exchange 2019 ein Ticket eröffnet und verweist darauf, dass ja überall nur 2016 steht und 2019 somit gar nicht supported wäre. ;) muss echt noch mal die Mail raussuchen.

    Mit Cloud wäre.... :lol3:

     

    Ich kenne auch kein Dienstleister der mit dem Support bisher zufrieden war. Einer hat deswegen sogar sein Portfolio angepasst.

    Das Produkt an sich finde ich ok. Etwas mehr Pflege durch den Hersteller wäre wünschenswert.

  4. Am 8.3.2024 um 18:16 schrieb daabm:

    Für High Privilege Accounts solltest Du es nach jeder Verwendung ändern.

    Diese Empfehlung habe ich auch schon gelesen.

     

    Oder es tatsächlich nur für den DC verwenden

    Oder Smartcard-Logon mit rolling NTLM. Das finde ich immer interessanter. Ich evaluiere gerade Karte oder Yubikey. Unschlüssig bin ich bzgl. dem Arbeitsaufwand beim Troubleshooting...

     

  5. Am 17.2.2024 um 20:48 schrieb testperson:

    Konntest du den Cluster Kerberos-only erstellen? Bei mir war eine Validierung mit aktiviertem NTLM blocking nicht möglich. Jetzt "im Betrieb" ist Kerberos-only kein Problem.

     

    Die VMs liefen beide einfach mal so eine Weile weiter. Nun ist der Cluster nicht mehr existent. Fehler: Failed to register cluster name in the local user groups: incorrect function.

    Cluster entfernt, Cluster neu erstellt. Nun kann ich ihn ohne NTLM auch nicht wieder erstellen. Warum es erst bei mir anfangs ging, keine Ahnung. (vll kein gpupdate durchgeführt).

     

    Läuft er bei Dir noch?

  6. Am 29.2.2024 um 08:32 schrieb Falke07:

    Meine bedenken:

    Kann aus dem Nebennetz auf die Datenstruktur auf dem PC und / oder auf das Hauptnetz zugegriffen werden

    Am 29.2.2024 um 11:57 schrieb Falke07:

    Kann ich über das Nebennetz (192.168.220.0/24), welches auf der 2. Netzwerkkarte im PC mit der IP 192.168.220.100 verbunden ist, auf die Datenstruktur des PC's zugreifen bzw. komme ich hier in das 192.168.178.0/24 Hauptnetz und kann so auf Geräte / Daten in dem Hauptnetz zugreifen.

    Nein. Gehen wir mal von einer "default" Installation ohne Änderungen (bspw. ICS) aus.

     

    Am 29.2.2024 um 08:32 schrieb Falke07:

    Dazu stellen sich 2 Fragen, wie ich folgendes unterbinden kann:

    Ein Zugriff auf die Datenstruktur vom PC.

    Ein Zugriff aus dem Nebennetzt in das Hauptnetz.

    Generell kann man empfehlen erstmal alle vorhanden eingehenden Firewallregeln zu entfernen. Damit würdest du zumindest die administrativen Möglichkeiten remote aus beiden Netzen auf den PC zuzugreifen unterbinden.

     

     

  7. Am 1.3.2024 um 15:47 schrieb NorbertFe:
     

    ..ich hätte da mal eine Frage zum Handling mit Accounts, die vom Offboarding betroffen sind. Bisher handhabe ich das normalerweise so, dass die Accounts (im AD) deaktiviert und von den Gruppenmitgliedschaften bereinigt werden und in eine entsprechende OU gepackt werden. Wie handhabt ihr das im Allgemeinen? Auch noch Nutzernamen (SAMAccountName und UPN) und Kennworte zurücksetzen? Oder doch einfach löschen?

    Wir deaktivieren User und schieben sie in eine andere OU. Die Berechtigungen bleiben bestehen, um im Falle von Missbrauch hier nochmal ansetzen zu können. In der Regel werden die Accounts bei uns nach 3-6 Monaten gelöscht.

     

    vor 8 Stunden schrieb Nobbyaushb:

    Um eure Fragen zu beantworten - das war eine Forderung des Prüfers

    Witzig, das hatten wir auch. Auf (aktualisierte) Nachfrage beim Wirtschaftsprüfer stellt sich heraus, dass es sich nicht auf AD-User bezieht, sondern auf SAP User, die zugriff auf die Firmenfinanzen haben. Und selbst das bezieht sich nicht auf 10 Jahre, sondern auf die Zeit bis zur Prüfung. Also nach der Prüfung i.d.R. 1 Jahr, konnten die Accounts entfernt werden.

     

     

  8. Das kann ich nicht beantworten. Kenne die früheren Preismodelle nicht. Wir haben Preise u. Features mit anderen Herstellern gegenübergestellt und alle waren ähnlich. Wir haben viel Standorte und nicht alle benötigen eine VPN-Anbindung, dennoch wird mit mobilen Geräten gearbeitet.

     

    Die entscheidenden Faktoren bei uns waren:

    - Support in Deutschland

    - Unterstützt Android u. iOS (ohne zus. Pakete)

    - SSO inkl. bei einer Tensor-Lizenz

    - Keine Inbound-Ports nötig

    - Granulare Regeln ähnlich Conditional Access in Entra ID (Azure AD).

    - MFA

    - Bekanntheitsgrad der SW durch die MAs

     

     

  9. Meine persönliche Überraschung beim Schwachstellen-Management war die riesige Anzahl an Schwachstellen und deren Alter. Bei uns gab es eine 14 Jährige alte Adobe-Schwachstelle.

     

    vor 5 Stunden schrieb Gulp:

    Weniger Management oder weniger Schwachstellen?

    Weniger Anwendungen = weniger Schwachstellen = weniger Management :-)

    • Like 1
  10. vor 1 Minute schrieb v-rtc:

    Härten der Netzwerkgeräte bedeutet unnötige Zeilen entfernen oder gibt es da noch mehr?

    Viele Hersteller bieten etwas (bspw.):

    Ergänzend würde ich mir die Richtlinien von CIS noch ansehen.

     

    vor 8 Minuten schrieb v-rtc:

    Mein Wissen ist leider von 2017 noch…und ja Schwachstellenmgmt ist ein riesiger Aufwand :-(

    Hier ist die Taktik "Weniger ist Mehr" :-)

     

    • Like 1
×
×
  • Neu erstellen...