MurdocX

Defender for Endpoint ist nicht für Server. Dafür braucht du Denfender for Cloud. Da solltest du Obacht geben. Das wird anderst lizenziert.

Hallo, fast immer ist eine Neuinstallation einfach sinnvoller und zielführender, als das Rumprobieren von vielen Dingen. Öfters braucht die Erkenntnis viel Zeit und dann hätte man sich frühzeitig einen Rat gewünscht.

Liest sich, als wenn der ComponentStore oder eben Systemdateien eine Beschädigung haben. In Anbetracht der Laufzeit bis Oktober, kann man sicherlich drüber hinweg sehen. Man könnte die Dienste für das DNS und AD noch auf deaktiviert stellen und die Windows-Firewall anpassen. Alles KANN, kein muss.

Nein, solange alle Einträge im Ad zu diesem DC bereinigt sind. Deswegen zeigt sich warum es ungünstig ist, eine andere Software auf einem DC zu haben ;) Bedenke das baldige EOL. https://learn.microsoft.com/de-de/lifecycle/products/windows-server-2012

Nein. In großen Umgebungen ist es ohnehin schon sehr komplex. Kollegen werden einem Sonderkonfigurationen danken ;) Einfacher -> Alle möglichen administrative Ports abschalten und die Übriggebliebenen festlegen auf einen Trusted-Hosts oder ein Admin-Netz. Warum kompliziert, wenn es doch so einfach sein kann ;) Keep IT short and simple sollte überall angewendet werden, wo es möglich ist. Im Allgemeinen sollte man sich nicht um die Auswirkung/das Problem am Ende kümmern, sondern das Thema an der Wurzel analysieren. "Berechtigungen" sollten ein Hauptaugenmerk bekommen. Das Protokoll ist i.d.R. selten der Schuldige.

Einlesen, aktiviert und fertig. Auswirkungen, die es zu spüren gab im Cluster-Bereich, wurden schon gepatcht.

Sehe ich auch so. Macht Ihr keine regelmäßigen und zeitnahen Windows Updates Ich persönlich würde mich für VPN aussprechen. Hier gibt es bessere Möglichkeiten die Telemetrie abzugreifen, Kommunikationsports selbst festzulegen und zu analysieren, falls man es denn auch tut ;) Das Risiko eines Dienstleisters auf dem Server hast du so oder so. Die Zeiten das man mit einer externen Firewall geschützt ist, sind rum. Interne Maßnahmen sind alternativlos, außer man möchte es strategisch nutzen, um Geld von der GF für eine Erneuerung der Serverlandschaft zu bekommen

Das "Warum" würde mich auch interessieren. Habe bei Server 2022 das selbe Verhalten festgestellt, ohne WSUS.

Servs, hatte meinen ersten Fall vor ca. 4 Wochen. Ein User sollte sich per RDP auf seinem migrierten Windows 11 PC verbinden. Klappte nicht. Die lokale Anmeldung war wiederum kein Thema. RDP auf andere Windows 10 Computer war einwandfrei möglich. Das Entfernen eines Ö´s im samAccountName, brachte auch RDP auf einem Windows 11 zum laufen...

Interessant wäre zu wissen, ob der Zugriff scheitert oder nur der Server/die Freigabe verbogen ist. Das wird ein allgemeiner FileServer für alle sein, oder?

Das kenne ich so nicht und kann das für unsere Flotte nicht bestätigen. Sind das VMs? Falls ja. laufen diese mit den Energieeinstellungen auf Höchstleistung? Fall nein, mal ausprobieren.

Das Thema ist gelöst, super! Dann mache ich den Thread mal zu, bevor das Thema hier noch weiter abdriftet.

Hallo, hier findest du alle: https://learn.microsoft.com/de-de/certifications/

AFAIK sollte es möglich sein die Datei zu signieren und sie damit im Defender mittels einer Konfiguration als Vertrauenswürdig zu deklarieren. Dazu würde ein Self-Signed-Zertifikat reichen, welches du via GPO auf die Computer verteilen kannst. Ressourcen: - SignTool.exe (Signaturtool) - .NET Framework | Microsoft Learn - https://learn.microsoft.com/de-de/microsoft-365/security/defender-endpoint/defender-endpoint-antivirus-exclusions?view=o365-worldwide#defender-for-endpoint-indicators

Ein bisschen Buggy ist’s noch. Bei uns kamen die externen Anrufe nicht an. :/ Nutzt doch eh keiner für Calls

2 Finger-Suchsystem wäre doch auch noch eine Option Da ist aber einer seeeeehr überrascht ... Es gibt bekannte Angriffstechniken die eine Misskonfiguration der CA ausnutzen um sich schnell DA oder DC-Sync Rechte zu verleihen. Hier passiert/passierte einiges. Was ich schon gesehen habe ist die Computervorlage mit Auto-Register, Auto-Approval auf authentifizierte Benutzer.

Und weil‘s gerade passt: Vermeide automatische Zertifikatsregistrierungen. Warum? Aus Sicherheitsgründen.

Als DNS-Server sind in 99,9% der Fälle nur die DCs einzutragen und keine anderen DNS-Server. Hier wird der Hund begraben sein.

Dann hättest du also ein neues Tool zur Verfügung.

Hallo, wenn wir hier über einen reinen KdcProxy reden, würde ich es nicht tun. Ob nun verschlüsselt oder nicht. Du öffnest dich für Kerberos-Angriffe. Ohne hier tiefer zu gehen, würde ich es nicht empfehlen. Einfach gesagt gibt es Gründe einen DC nicht ins Internet zu hängen. Wäre aber schön, dann würde vieles ohne VPN funktionieren 😀

Das muss jeder für sich entscheiden. Es kommt wie immer auf die Anwendungszenarien an M.M.n ist es auch nicht verkehrt. Surface-Reduction lohnt sich immer. Manchmal ist der Status "kompliziert"

Du hast eigentlich alle Teile schon beinander die du benötigst. Die Ausgabe über FT kannst du dir sparen, denn das wandelt es nur in eine Ansicht um. Du möchtest aber mit den Objekten weiterarbeiten. Eine Auswahl triffst du mit: Select-Object CsCaption,OsName,OsBuildNumber danach noch die Daten in das gewünschte Format Konvertieren: ConvertTo-Csv -Delimiter ";" -NoTypeInformation $computername gibts nicht. Nimm stattdessen: $env:Computername Als letzten Schritt musst du nur die Ausgabe in eine Datei dran hängen. Das solltest du hin bekommen Den gibt es in jeder Gruppe Riecht förmlich danach 👃

Hallo Gerald, willkommen an Board. Prinzipiell können diese Werte auch mit der Powershell oder WMIC abgefragt werden. Wir unterstützen Dich gerne in der Lösungsfindung oder bei Problemen. An welcher Stelle können wir Dich genau unterstützen, ohne Dir das Script zu schreiben?

Ja das sind tolle Erfindungen diese Stockwerksdrucker. Die sollten durch die Arbeitgeber gefördert werden. Durch die Bewegung kommt gleich mal Sauerstoff ins Hirn @Cryer Waren ein paar passable Lösungsvorschläge für Dich dabei?

Dann hatte ich also den richtigen Tipp. Siehe: Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind (admx.help) Nein, dann hast du die GPO-Technik nicht verstanden. Das bedeutet nur, dass keine Einstellung von der GPO gesetzt wird. Was nicht heißt das schon etwas gesetzt wurde. Um das Gegenteil der Richtlinie zu erreichen, hättest du diese auf "Deaktiviert" setzen müssen.