MurdocX

Hallo, deaktiviere den Computer-Browser-Dienst. Bei der Gelegenheit auch gleich mal SMB1 deaktivieren/entfernen.

Ich kann noch die Microsoft-recommended security configuration baselines (SCT) empfehlen. Das ist schon fast gebetsmühlenartig

@q617 & @LED Ich bitte Euch sachlich zu bleiben. Anderenfalls mache ich den Thread dicht. Danke fürs Beachten.

Ich habe die Formatierung angepasst.

Hi, Veeam macht bei seinen Jobs Depublizierung und das richtig gut. Best Practises - Verständnis und Konfiguration findest du hier dazu: KB1745: Deduplication Appliance Best Practices (veeam.com)

Hallo Dirk, Verschlüsselt nein: Ja, er kann. Verschlüsselt ja: Nein, er kann nicht. Damit würde die geheime Verschlüsselung aufgebrochen und mit einem bekanntem Schlüssel verschlüsselt. Das zählt dann zu "nicht verschlüsselt" im Sinne des Angreifers. Diese Lösung wird idr. bei Proxies im Unternehmensnetzwerk verwendet, um schadhafte Kommunikation aufzudecken. Da heute so gut wie jede Webseite TLS macht, ist die Gefahr hier nicht so groß.

Hallo, das Thema kenne ich und konnte es auch schon lösen. Das Hauptproblem war der Windows-Treiber der Netzwerkkarte. Witziger Weise hatte dieser Einfluss auf das BIOS und verweigerte WOL. Der Volle des Herstellers hatte auf Anhieb funktioniert. Viel Erfolg!

Hatte ich auch schon erwähnt Geht meist in dem vielen Text unter. Ich hatte es mit Screenshots nur nochmal unterstrichen :)

Es ist ja nichts persönliches In meiner Teststellung klappt das wunderbar mit nur einer Inbound-Regel: In- u. Outbound -> Block Weder noch. Eine Inbound SMB wird ohne lokale Freigabe (Drucker oder Share) NIE benötigt. Unabhängig ob der SMB-Verkehr signed oder unsigned stattfindet. Es findet keine initiale Inbound-SMB bei einem ausgehenden Verkehr (Fileserver Zugriff bspw.) statt. Technisch hast du eine DROP-ALL Regel die entweder am Ende einer Firewall-Regel-Liste steht, oder am Anfang. Die Windows-Firewall arbeitet hier korrekt, wie sie soll.

Ich würde da eher bei einer GPO oder dem Defender ansetzen. Die gehen auch wenn der MA zuhause ist.

Dann kannst dir auch noch die .mov anschauen Selbes Kaliber.

Interessante Auslegung. Das kann ich so nicht bestätigen und gehe auch weit zu sagen, dass es falsch ist. Out- und Inbound Traffik geht immer vom Initiator aus. Wenn ich also initial eine Outbound-Connection habe, dann darf natürlich die Gegenüberstelle antworten. Was aber nicht heißt, dass deshalb auch der initiale Inbound-Connection damit freigeschaltet wäre. Natürlich kann ich es abdrehen, indem ich die FW inbound schließe. Am Client würde ich keine Dienste verändern. Die Kommunikation zur Domäne ist inital vom Client, also Outbound.

👍 ChatGPT empfiehlt: Das ist nur mal ein Test...

Hallo, kurze Gegenfrage: Welcher Port muss denn überhaupt auf einem Client offen sein? Clients haben ausschließlich ausgehende Kommunikation. Ausnahmen bestätigen die Regel. Mach die Clients dicht. Für ggf. administrative Tätigkeiten erlaube ein geschlossenes Admin-Netz.

Jo, ich wollte es auch nicht schlecht reden. Das mag bei euch passen und funktionieren. Ich habe schon so einige Konstrukte gesehen die auch "funktioniert" haben, bis sie halt an Ihre grenzen kamen.

Es kann jeder berechtigen wie er möchte. Ich habe schon einige große Umbauprojekte begleitet oder geplant. Eine rein einflächige Struktur Organisation hätte bisher nirgendwo Sinn ergeben. Es gibt hier keine geschriebenen Gesetzte. Aus der Erfahrung heraus sind 3 Ebenen gut handlebar, auch bei größeren Firmen. Hier sollte man sich dann selbst Grenzen setzen, sonst ufert das aus. Passt etwas nicht, dann muss es halt eine Ebene noch oben gezogen werden. Wichtig ist hier konsequentes Handeln und kein so lala.. "lala.. Berechtigen" ist der Grund warum dann nach Jahren wieder Dienstleister Geld verdienen dürfen

Hallo, technisch möchtest du eine Hybridstellung mit deiner Domäne machen. Dazu benötigst du einen Azure Connector. Die Anleitung zur Einrichtung ist hier gut beschrieben. Was ist Azure AD Connect V2.0? - Microsoft Entra | Microsoft Learn Um deinen Defender online verwalten zu können benötigt einen Defender-Plan. Falls du schon einen Microsoft 365 Business Premium Plan hast, dann wäre der Defender und ATP mit inkludiert. Compare Microsoft endpoint security plans | Microsoft Learn Hier kannst du nachlesen, wie du für deine Server vorgehen kannst: Planen einer Defender for Servers-Bereitstellung zum Schutz lokaler und Multicloudserver | Microsoft Learn Das ganze wird nach Benutzern lizenziert. Man sollte sich überlegen, ob man das für Zuhause so kompliziert und teuer haben möchte.

Defender for Endpoint ist nicht für Server. Dafür braucht du Denfender for Cloud. Da solltest du Obacht geben. Das wird anderst lizenziert.

Hallo, fast immer ist eine Neuinstallation einfach sinnvoller und zielführender, als das Rumprobieren von vielen Dingen. Öfters braucht die Erkenntnis viel Zeit und dann hätte man sich frühzeitig einen Rat gewünscht.

Liest sich, als wenn der ComponentStore oder eben Systemdateien eine Beschädigung haben. In Anbetracht der Laufzeit bis Oktober, kann man sicherlich drüber hinweg sehen. Man könnte die Dienste für das DNS und AD noch auf deaktiviert stellen und die Windows-Firewall anpassen. Alles KANN, kein muss.

Nein, solange alle Einträge im Ad zu diesem DC bereinigt sind. Deswegen zeigt sich warum es ungünstig ist, eine andere Software auf einem DC zu haben ;) Bedenke das baldige EOL. https://learn.microsoft.com/de-de/lifecycle/products/windows-server-2012

Nein. In großen Umgebungen ist es ohnehin schon sehr komplex. Kollegen werden einem Sonderkonfigurationen danken ;) Einfacher -> Alle möglichen administrative Ports abschalten und die Übriggebliebenen festlegen auf einen Trusted-Hosts oder ein Admin-Netz. Warum kompliziert, wenn es doch so einfach sein kann ;) Keep IT short and simple sollte überall angewendet werden, wo es möglich ist. Im Allgemeinen sollte man sich nicht um die Auswirkung/das Problem am Ende kümmern, sondern das Thema an der Wurzel analysieren. "Berechtigungen" sollten ein Hauptaugenmerk bekommen. Das Protokoll ist i.d.R. selten der Schuldige.

Einlesen, aktiviert und fertig. Auswirkungen, die es zu spüren gab im Cluster-Bereich, wurden schon gepatcht.

Sehe ich auch so. Macht Ihr keine regelmäßigen und zeitnahen Windows Updates Ich persönlich würde mich für VPN aussprechen. Hier gibt es bessere Möglichkeiten die Telemetrie abzugreifen, Kommunikationsports selbst festzulegen und zu analysieren, falls man es denn auch tut ;) Das Risiko eines Dienstleisters auf dem Server hast du so oder so. Die Zeiten das man mit einer externen Firewall geschützt ist, sind rum. Interne Maßnahmen sind alternativlos, außer man möchte es strategisch nutzen, um Geld von der GF für eine Erneuerung der Serverlandschaft zu bekommen

Das "Warum" würde mich auch interessieren. Habe bei Server 2022 das selbe Verhalten festgestellt, ohne WSUS.