-
Gesamte Inhalte
2.711 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von MurdocX
-
-
vor 10 Stunden schrieb haiflosse:
Die Verknüpfung bei den Gruppenrichtlinie am dc habe ich derzeit beim der OU wieder herausgelöscht.
Das ist nicht nötig. Einfach so stehen lassen.
vor 10 Stunden schrieb haiflosse:Derzeit passt die Zeit überall. Somit denke ich muss da nichts weiter tun - oder?
Das ist doch ein tolles Ergebnis! Damit das nicht mehr passiert, sollte der DC sich gegen eine externe Zeitquelle synchronisieren.
Sync-Kette: [Client] > holt Zeit > [DC] > holt Zeit > [Externe Quelle]
Als externe Zeitquelle kannst du ntp.org nutzen. Schau mal hier:
pool.ntp.org: Wie benutze ich den NTP Pool?
Das kannst du auf deinem PDC ausführen. Das Ergebnis steht im Eventlog.
w32tm /config /syncfromflags:manual /manualpeerlist:"0.pool.ntp.org 1.pool.ntp.org 2.pool.ntp.org 3.pool.ntp.org"
-
Hallo,
die Zeit wird vom DC mit der Rolle des PDCs synchronisiert.
Bei Problemen sollte überprüft werden, ob "Uhrzeit des Gastsystems mit dem Host synchronisieren" bei VMs aktiviert wurde.
Hilfreich kann folgender Beitrag sein:
Zeitsynchronisation der Domäne - w32time - Zeitserver per GPO
https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo
- 1
-
Wie ist denn der Stand der Dinge?
-
vor 33 Minuten schrieb NorbertFe:
Übrigen zieht sich Sophos da schön aus der Affäre, wenn man zum Thema waf und Exchange 2019 ein Ticket eröffnet und verweist darauf, dass ja überall nur 2016 steht und 2019 somit gar nicht supported wäre. ;) muss echt noch mal die Mail raussuchen.
Mit Cloud wäre....
Ich kenne auch kein Dienstleister der mit dem Support bisher zufrieden war. Einer hat deswegen sogar sein Portfolio angepasst.
Das Produkt an sich finde ich ok. Etwas mehr Pflege durch den Hersteller wäre wünschenswert.
-
Als einer der das Produkt auch im Einsatz hat, kann ich Norbert nur zustimmen.
Hier eine Anleitung, wie man das laut Sophos konfiguriert:
Sophos Firewall: Web Application Firewall for Exchange 2016
https://support.sophos.com/support/s/article/KB-000040209?language=en_US
- 1
-
Man schaue mal beim Hersteller in seiner Dokumentation nach... ;)
Microsoft Oscdimg-Befehlszeilenoptionen
-
Am 8.3.2024 um 18:16 schrieb daabm:
Für High Privilege Accounts solltest Du es nach jeder Verwendung ändern.
Diese Empfehlung habe ich auch schon gelesen.
Oder es tatsächlich nur für den DC verwenden
Oder Smartcard-Logon mit rolling NTLM. Das finde ich immer interessanter. Ich evaluiere gerade Karte oder Yubikey. Unschlüssig bin ich bzgl. dem Arbeitsaufwand beim Troubleshooting...
-
vor 35 Minuten schrieb testperson:
BTW.: Auf frisch installierten Systemen mit der Build 26063 ist Copilot überall "aktiv".
Vielleicht wird der Server-Core-Mode irgendwann auch mal eine "paid" Variante bei M365. Bei solchen Entwicklungen mit der Server-GUI wird er immer attraktiver
-
Am 17.2.2024 um 20:48 schrieb testperson:
Konntest du den Cluster Kerberos-only erstellen? Bei mir war eine Validierung mit aktiviertem NTLM blocking nicht möglich. Jetzt "im Betrieb" ist Kerberos-only kein Problem.
Die VMs liefen beide einfach mal so eine Weile weiter. Nun ist der Cluster nicht mehr existent. Fehler: Failed to register cluster name in the local user groups: incorrect function.
Cluster entfernt, Cluster neu erstellt. Nun kann ich ihn ohne NTLM auch nicht wieder erstellen. Warum es erst bei mir anfangs ging, keine Ahnung. (vll kein gpupdate durchgeführt).
Läuft er bei Dir noch?
-
Am 29.2.2024 um 18:33 schrieb mwiederkehr:
Verdächtig (ausser des Inhalts) ist eigentlich nur die brandneue Domain.
Da wird mittlerweile auch "empfohlen" 3 Monate zu warten oder eine abgelaufene Domain abzugreifen ;)
-
Am 1.3.2024 um 16:33 schrieb testperson:
Bzw. welche Auswirkungen es auf die Live Migration hat, wenn man die "Authenticated Users" aus der "Pre-Windows 2000 Compatible Access" Gruppe entfernt.
Jetzt bin ich neugierig geworden. Ist zwar etwas am Thema vorbei, aber du als TO hasts ja in die Runde geschmissen
-
Am 29.2.2024 um 08:32 schrieb Falke07:
Meine bedenken:
Kann aus dem Nebennetz auf die Datenstruktur auf dem PC und / oder auf das Hauptnetz zugegriffen werden
Am 29.2.2024 um 11:57 schrieb Falke07:Kann ich über das Nebennetz (192.168.220.0/24), welches auf der 2. Netzwerkkarte im PC mit der IP 192.168.220.100 verbunden ist, auf die Datenstruktur des PC's zugreifen bzw. komme ich hier in das 192.168.178.0/24 Hauptnetz und kann so auf Geräte / Daten in dem Hauptnetz zugreifen.
Nein. Gehen wir mal von einer "default" Installation ohne Änderungen (bspw. ICS) aus.
Am 29.2.2024 um 08:32 schrieb Falke07:Dazu stellen sich 2 Fragen, wie ich folgendes unterbinden kann:
Ein Zugriff auf die Datenstruktur vom PC.
Ein Zugriff aus dem Nebennetzt in das Hauptnetz.
Generell kann man empfehlen erstmal alle vorhanden eingehenden Firewallregeln zu entfernen. Damit würdest du zumindest die administrativen Möglichkeiten remote aus beiden Netzen auf den PC zuzugreifen unterbinden.
-
Am 1.3.2024 um 15:47 schrieb NorbertFe:
..ich hätte da mal eine Frage zum Handling mit Accounts, die vom Offboarding betroffen sind. Bisher handhabe ich das normalerweise so, dass die Accounts (im AD) deaktiviert und von den Gruppenmitgliedschaften bereinigt werden und in eine entsprechende OU gepackt werden. Wie handhabt ihr das im Allgemeinen? Auch noch Nutzernamen (SAMAccountName und UPN) und Kennworte zurücksetzen? Oder doch einfach löschen?
Wir deaktivieren User und schieben sie in eine andere OU. Die Berechtigungen bleiben bestehen, um im Falle von Missbrauch hier nochmal ansetzen zu können. In der Regel werden die Accounts bei uns nach 3-6 Monaten gelöscht.
vor 8 Stunden schrieb Nobbyaushb:Um eure Fragen zu beantworten - das war eine Forderung des Prüfers
Witzig, das hatten wir auch. Auf (aktualisierte) Nachfrage beim Wirtschaftsprüfer stellt sich heraus, dass es sich nicht auf AD-User bezieht, sondern auf SAP User, die zugriff auf die Firmenfinanzen haben. Und selbst das bezieht sich nicht auf 10 Jahre, sondern auf die Zeit bis zur Prüfung. Also nach der Prüfung i.d.R. 1 Jahr, konnten die Accounts entfernt werden.
-
vor 4 Minuten schrieb NorbertFe:
Ja, und ansonsten soweit mir bekannt eben gar nicht als Option zu bekommen, oder?
TBH Wir haben nur Tensor angefragt. Andere Modell haben nicht die benötigten Features gehabt und kamen nicht in Frage.
-
Das kann ich nicht beantworten. Kenne die früheren Preismodelle nicht. Wir haben Preise u. Features mit anderen Herstellern gegenübergestellt und alle waren ähnlich. Wir haben viel Standorte und nicht alle benötigen eine VPN-Anbindung, dennoch wird mit mobilen Geräten gearbeitet.
Die entscheidenden Faktoren bei uns waren:
- Support in Deutschland
- Unterstützt Android u. iOS (ohne zus. Pakete)
- SSO inkl. bei einer Tensor-Lizenz
- Keine Inbound-Ports nötig
- Granulare Regeln ähnlich Conditional Access in Entra ID (Azure AD).
- MFA
- Bekanntheitsgrad der SW durch die MAs
-
Am 21.2.2024 um 17:09 schrieb wznutzer:
TeamViewer
Haben wir im Einsatz und funktioniert gut. Kann auch mit SSO verwendet werden und über Zugriffsrichtlinien zentral gut eingeschränkt werden.
-
Danke, hatte ich auch schon gelesen. Was nicht andere Boardmember daran hinder könnte das Gleiche zu tun ;)
Anscheinend ist es, selbst heutzutage, schwer Sicherheit ernst zu nehmen. Admin-Zufallspasswörter für Hardware sollte heute schon drin sein.
-
Am 12.12.2023 um 12:59 schrieb Squire:
ggf. gehen wir da in Richtung UbiQuity UniFi ...)
Joah... Ohne Wissen der Eigentümer: US-Justizministerium entfernt russische Malware von Routern - Golem.de
Ich denke mit einer Fortigate kannst du nichts falsch machen. "Hin und wieder" gibts hier mal Sicherheitslücken, die man instant patchen sollte ;)
-
-
Getreu dem Motto: "Erst schießen, dann Fragen"
- 1
-
Darauf hab ich angespielt ;)
-
Meine persönliche Überraschung beim Schwachstellen-Management war die riesige Anzahl an Schwachstellen und deren Alter. Bei uns gab es eine 14 Jährige alte Adobe-Schwachstelle.
vor 5 Stunden schrieb Gulp:Weniger Management oder weniger Schwachstellen?
Weniger Anwendungen = weniger Schwachstellen = weniger Management
- 1
-
vor 1 Minute schrieb v-rtc:
Härten der Netzwerkgeräte bedeutet unnötige Zeilen entfernen oder gibt es da noch mehr?
Viele Hersteller bieten etwas (bspw.):
- Cisco - Cisco Leitfaden zur Härtung von Cisco IOS-Geräten - Cisco
- HP - ArubaOS-Switch Hardening Guide for 16.06 (hpe.com)
Ergänzend würde ich mir die Richtlinien von CIS noch ansehen.
vor 8 Minuten schrieb v-rtc:Mein Wissen ist leider von 2017 noch…und ja Schwachstellenmgmt ist ein riesiger Aufwand :-(
Hier ist die Taktik "Weniger ist Mehr"
- 1
-
Spannend finde ich das Thema der Kommunikation untereinander. Ist Kommunikation untereinander ist dann NTLM oder Kerberos?
Hinweis: Mögliche Nachwirkungen Patchday März
in Active Directory Forum
Geschrieben
Ich kann mich erinnern, dass es das Problem schon mal vor nicht allzu entfernter Vergangenheit vorkam.
Wir sehen den erhöhten RAM-Verbrauch. Bisher laufen die Systeme noch. Alternativ -> Reboot tut gut.
# OOB-Updates sind verfügbar: (Microsoft Update-Katalog only!)
Info: