MurdocX

Hallo, falls die Gruppe weg sein sollte, wird dir die Wiederherstellung aus dem AD-Papierkorb auch nur bedingt helfen. Die Mitgliedschaften sind AFAIR weg. Ob diese nun wiederhergestellt oder eine Neue angelegt wird, ist demnach vom Aufwand egal.

hier.. Ich muss aber zugeben, dass ich damals Probleme mit der RDS-Farm des Kunden auch mit nächtlichen Reboots behoben habe. Das Thema ist - gefühlt für mich - besser geworden.

Hallo, ich habe hierzu ein paar Fragen: Liegen die Daten auf dem gleichen Netzwerksegment? Falls ja, ist dort eine Firewall zwischengeschaltet? Wenn der Dienst gestartet wurde, gibt es die Verzögerung nicht? Wenn danach direkt wieder auf die Freigabe gespeichert wird, kommt die Verzögerung nicht? Dienstdefinition MS:

Hallo, ich kann deine Frage nicht herauslesen. Könntest du sie nochmal etwas klarer formulieren?

Ja 👍🏼

Einfach die Einträge der Netzwerkerkennung aus der Windows-Firewall entfernen. Wäre auch eine Idee. Möglichkeiten gibts viele.

OK, das ist schon mal gut. Alternativ habe ich hier noch etwas gefunden die Suche zu unterbinden. Disable Network Discovery in Windows 10/11 – Mike Galvin - Technical Consultant

AFAIR hängen diese beiden zusammen. Kümmere ich um SMB1, dann sollte der zweite Dienst auch nicht mehr funktionieren. Das wäre nachhaltiger, als nur den Dienst zu deaktivieren. Anleitung: How to detect, enable and disable SMBv1, SMBv2, and SMBv3 in Windows | Microsoft Learn

Hallo, ich bezog mich hier auf die Clients.

Hallo, deaktiviere den Computer-Browser-Dienst. Bei der Gelegenheit auch gleich mal SMB1 deaktivieren/entfernen.

Ich kann noch die Microsoft-recommended security configuration baselines (SCT) empfehlen. Das ist schon fast gebetsmühlenartig

@q617 & @LED Ich bitte Euch sachlich zu bleiben. Anderenfalls mache ich den Thread dicht. Danke fürs Beachten.

Ich habe die Formatierung angepasst.

Hi, Veeam macht bei seinen Jobs Depublizierung und das richtig gut. Best Practises - Verständnis und Konfiguration findest du hier dazu: KB1745: Deduplication Appliance Best Practices (veeam.com)

Hallo Dirk, Verschlüsselt nein: Ja, er kann. Verschlüsselt ja: Nein, er kann nicht. Damit würde die geheime Verschlüsselung aufgebrochen und mit einem bekanntem Schlüssel verschlüsselt. Das zählt dann zu "nicht verschlüsselt" im Sinne des Angreifers. Diese Lösung wird idr. bei Proxies im Unternehmensnetzwerk verwendet, um schadhafte Kommunikation aufzudecken. Da heute so gut wie jede Webseite TLS macht, ist die Gefahr hier nicht so groß.

Hallo, das Thema kenne ich und konnte es auch schon lösen. Das Hauptproblem war der Windows-Treiber der Netzwerkkarte. Witziger Weise hatte dieser Einfluss auf das BIOS und verweigerte WOL. Der Volle des Herstellers hatte auf Anhieb funktioniert. Viel Erfolg!

Hatte ich auch schon erwähnt Geht meist in dem vielen Text unter. Ich hatte es mit Screenshots nur nochmal unterstrichen :)

Es ist ja nichts persönliches In meiner Teststellung klappt das wunderbar mit nur einer Inbound-Regel: In- u. Outbound -> Block Weder noch. Eine Inbound SMB wird ohne lokale Freigabe (Drucker oder Share) NIE benötigt. Unabhängig ob der SMB-Verkehr signed oder unsigned stattfindet. Es findet keine initiale Inbound-SMB bei einem ausgehenden Verkehr (Fileserver Zugriff bspw.) statt. Technisch hast du eine DROP-ALL Regel die entweder am Ende einer Firewall-Regel-Liste steht, oder am Anfang. Die Windows-Firewall arbeitet hier korrekt, wie sie soll.

Ich würde da eher bei einer GPO oder dem Defender ansetzen. Die gehen auch wenn der MA zuhause ist.

Dann kannst dir auch noch die .mov anschauen Selbes Kaliber.

Interessante Auslegung. Das kann ich so nicht bestätigen und gehe auch weit zu sagen, dass es falsch ist. Out- und Inbound Traffik geht immer vom Initiator aus. Wenn ich also initial eine Outbound-Connection habe, dann darf natürlich die Gegenüberstelle antworten. Was aber nicht heißt, dass deshalb auch der initiale Inbound-Connection damit freigeschaltet wäre. Natürlich kann ich es abdrehen, indem ich die FW inbound schließe. Am Client würde ich keine Dienste verändern. Die Kommunikation zur Domäne ist inital vom Client, also Outbound.

👍 ChatGPT empfiehlt: Das ist nur mal ein Test...

Hallo, kurze Gegenfrage: Welcher Port muss denn überhaupt auf einem Client offen sein? Clients haben ausschließlich ausgehende Kommunikation. Ausnahmen bestätigen die Regel. Mach die Clients dicht. Für ggf. administrative Tätigkeiten erlaube ein geschlossenes Admin-Netz.

Jo, ich wollte es auch nicht schlecht reden. Das mag bei euch passen und funktionieren. Ich habe schon so einige Konstrukte gesehen die auch "funktioniert" haben, bis sie halt an Ihre grenzen kamen.

Es kann jeder berechtigen wie er möchte. Ich habe schon einige große Umbauprojekte begleitet oder geplant. Eine rein einflächige Struktur Organisation hätte bisher nirgendwo Sinn ergeben. Es gibt hier keine geschriebenen Gesetzte. Aus der Erfahrung heraus sind 3 Ebenen gut handlebar, auch bei größeren Firmen. Hier sollte man sich dann selbst Grenzen setzen, sonst ufert das aus. Passt etwas nicht, dann muss es halt eine Ebene noch oben gezogen werden. Wichtig ist hier konsequentes Handeln und kein so lala.. "lala.. Berechtigen" ist der Grund warum dann nach Jahren wieder Dienstleister Geld verdienen dürfen