MurdocX

Die einfachste Variante ist die Installationsdateien auf ein Share zu legen und einzelne Clients nach dem Turnschuh-Prinzip auf Windows 10 hochzuziehen. Prüfen ob das und die Software soweit weiter funktioniert und es bei dem Modelltyp keine Fehler im Setup auftauchen die du bestätigen musst. Danach kannst du das automatisch via Windows Update verteilen. Ich persönlich hab die Installation remote über ein PS-Skript gestartet.

Oder die Profile einfach nach einer Zeit automatisch von Windows löschen zu lassen. Funktioniert bei uns ganz gut. Das kann über die Gruppenrichtlinien eingestellt werden.

Die Aussage kommt immer erst, wenn man das Kind wieder aus dem Brunnen ziehen konnte. Man kann immer nur die versuchen zu retten, die auch gerettet werden wollen.

Halte mal die "Shift" taste beim Abmelden gedrückt oder beim "Anderer Benutzer" auswählen. Ich kann´s nicht nachstellen, denn ich hab so ein System nicht im Zugriff.

Beim Surfen bin ich gestern auf Twitter gelandet. Der Hashtag #InfoSec hat mich etwas desillusioniert. Ich habe/hatte keinen naiven Blick auf die Sicherheitslage, dennoch war ich geplättet über das was ich da las. Ohne ins Detail zu gehen, glaube ich, dass wir noch sehr viel Kommunikationsarbeit beim Thema Sicherheit und Konzepte vor uns haben, wenn es ein Mindestmaß an Sicherheit im Netzwerk geben soll.... Vom Benutzer zum Domain-Admin in 36 Minuten mit den Sysinternals. Das ist auf einem HoneyPot genau so abgelaufen. Meiner Meinung nach ist es schier unmöglich einem kleinen und mittelständigem Unternehmen zu erklären, das er mehrere tausende von €uros investieren muss, um ein kleinen Grundschutz zu haben. Der dann auch noch stark davon abhängig ist, wie geschult, geschickt und teuer der Systembetreuer und Admin ist. Hier muss sich eindeutig was tun. Zu viele wiegen sich in falscher Sicherheit.

Ohne es direkt nochmal erwähnt zu haben, falls es aus dem Kontext nicht direkt aufkam, möchte ich gerne noch die Freigabe-Berechtigung des Ordners "Data" sehen.

Genau, die sind gemeint. Eintragen kannst du das über die GUI, die Registry oder die Gruppenrichtlinien. Du könntest den Registry-Key auch per Gruppenrichtlinien verteilen. Die Berechtigungen setzten sich aus den Beiden oben genannten zusammen. Der Ordner "pmueller" ist nicht freigegeben, deshalb ist das auch keine Freigabe. Deine Freigabe ist "Data" und damit auch verantwortlich für die insgesamten Berechtigungen der Unterordner in der Freigabe Data. Also auch für deine Benutzer-Ordner wie z.B. "pmueller". Ja, der heißt SYSTEM. Hier etwas zum Einlesen für Dich: How to: Best Practice Security - Windows file sharing https://community.spiceworks.com/how_to/27258-best-practice-security-windows-file-sharing

Ja, ist empfehlenswert.

Danke. Das sind Infos die ich/wir nun weiter zerpflücken können Hier kommen meine weiteren Fragen: Ist der Freigaben-Screenshot von der Freigabe Data? Könntest du zusätzlich noch die "Erweiterte Freigabe" posten? Ist dort der Benutzername des Benutzers oder eine Gruppe enthalten? Direkte Empfehlung: Der System-Benutzer gehört noch zu den NTFS-Berechtigungen des Users Ich persönlich verbinde die Benutzer-Ordner und Arbeits-Ordner mit den GPPs. (Gruppenrichtlinien)

Leider hast du meine Frage nicht vollständig beantwortet. Es wäre super, wenn du das noch tun würdest Folgende Fragen habe ich noch zusätzlich: Funktioniert das Programm, wenn es z.B. vom Desktop des Benutzers ausgeführt wird? Welche Programmversion wird eingesetzt?

Ich schieße jetzt einfach mal ins Blaue. Der Domänen-Admin hat wohl ein Recht, dass alle anderen User dort nicht haben. Der Unterschied wäre dementsprechend das Recht des "Schreibens". Vermutlich brauchen das die Benutzer auch auf der Freigabe. Welche NTFS- und Freigabe-Berechtigungen sind denn gesetzt?

Steht das Lease-Ablaufdatum denn immer noch auf unendlich? Dazu schreibst du nichts. Du kannst mit ipconfig /resease die Reservierung auf dem Client lösen. Das Eine bedingt natürlich das Andere.

Das würde ich ohne Einwilligung des Kunden tunlichst sein lassen. Kunde und IT-Firma wissen auch nicht was die Datei beinhaltet. Würde mich das ein Kunde fragen, dann würde ich ihm tunlichst davon abraten. Ich würde über einen Wartungsvertrag, Sicherheitskonzepte und die neue Einrichtung des ganzen sprechen. Edit: Der Kostenvorschlag von fast 10k€, ohne die Kalkulation gesehen zu haben, wäre auch meine Einschätzung.

Wer bei 4800$ Insolvenz anmelden muss, der hat wohl ganz andere Probleme Die großen Kosten kommen erst danach...

Vielleicht wäre es gut, wenn die Erpresser-Links nicht in einer Nachricht vorhanden sind Für Kriminelle brauchen wir ja keine Werbung machen. Ohne die Umstände zu kennen, halte ich das vorgehen für äußerst kritisch. In der Masse lohnt sich das dann für die Erpresser und es wird immer so weitergehen.

Ihr müsst euch hier nicht angreifen. Man muss nicht jeder Antwort zu 100% zustimmen. Manchmal braucht es etwas „direktere“ Töne, solange diese nicht beleidigen. Wichtiger ist doch, das er verstanden hat, dass man Basics nicht durch ein zwei Fragen im Forum klären kann. Das Ziel sollte erreicht sein.

Hallo Snoopy16, die Sicherheit ist leider keine eine "Frage" oder eine Option die man auswählt, sondern basiert auf einem Konzept das stetig wieder angeschaut, kontrolliert und erweitert werden muss. Hierzu müssen alle Faktoren vor Ort, sowie Berechtigungskonzepte unter die Lupe genommen oder entwickelt werden. Meine Empfehlung ist, dass du dich allgemein mit IT-Security beschäftigst, bevor du in Themen tiefer einsteigst. Mit einem Domänen-Admin kannst du schon die Installation einfach durchklicken. Das ist keine Kunst. Wenn die "ka**e" mal am dampfen ist und die Mitarbeiter/Geschäftsführer keine Mail mehr bekommen, dann wirst du an diese Ratschläge zurückdenken. Der Externe kommt dann so oder so Ich wünsche Dir viel Erfolg.

Das kann er nicht Lass den Thread lieber ruhen.

Hast du denn einen Remotezugriff auf die Eventlogs? Da würde ich mal einen Blick rein werfen. Wenn ein Neustart weniger Arbeit macht, dann das.

Der Befehl ist tatsächlich Workflow fähig. schau mal hier: https://devblogs.microsoft.com/scripting/use-powershell-workflow-to-ping-computers-in-parallel/

Nutze die Jobs :) https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.core/start-job?view=powershell-6

Frohes Weihnachten und eine schönen besinnlichen Abend allen?

Es bietet sich an, diese später einfach über eine Softwareverteilung auf die Clients zu bringen. Alternativ: Bei den Herstellern sind sicher MSI-Installer im Einsatz die über Batch gefüttert installiert oder einfach via GPO nachinstalliert werden können.

Ich kann jetzt nicht herauslesen, ob das ironisch gemeint war. Solange das System vom Netzwerk isoliert läuft, spricht auch erstmal nichts dagegen. Im Netzwerk möchte ich das nicht verantworten müssen. Hier muss jeder seinen Weg finden. Hier kannst du nachlesen, dass u.a. Emotet sich der SMB1-Lücke bedient: Heise https://www.heise.de/security/artikel/Emotet-Trickbot-Ryuk-ein-explosiver-Malware-Cocktail-4573848.html?seite=2 BSI https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Informationspool/Themen/Emotet/emotet.html

Gerade in den Zeiten von EternalBlue auf SMB1 und Emotet halte ich das für sehr mutig. Die IT ist ja stetig im Wandel, dort stehen zu bleiben mag für den Moment sinnvoll klingen, wird aber später sicher zum Boomerang werden.