kosta88

vor 51 Minuten schrieb Dukel:

Manche Themen müssen organisatorisch und nicht technisch geklärt werden und von der Geschäftsführung festgelegt werden. Es sind ja im Prinzip derren Geräte.

Klar. Schrieb ja schon oben.

vor 9 Minuten schrieb lefg:

Kann der Admin denn auf das Benutzerprofil. des Mitarbeiters, auf dessen Eigene Dateien zugreifen?

Schon... mache ich ja wenn ich will über dem Admin-Share.

Der MA sichert in Dropbox, bringt ihm aber genauso wenig, da die Daten in ein Profil-Ordner gesynct werden (außer er schaltet das ja ab, was nicht in meinem Interesse ist, denn dann blocke ich ihm die Dropbox wegen hohen Datenvolumens...).

Hallo,

grundsätzlich sagt mir ein Mitarbeiter dass er nicht will dass ich als Admin Zugriff zu seinem Rechner (Privatdaten) habe. Es handelt sich jedoch um ein Firmengerät.

Jetzt kann ich natürlich die harte Schiene gehen, und sagen dass es sich um Firmengeräte handelt und private Daten eigentlich darauf nichts zu suchen haben. Aber versuchen wir mal anders...

Sehe ich das aber so richtig, egal was man tut, solange das Gerät in der Domäne ist, egal welcher NTFS-Berechtigung man setzt, ein Admin wird immer draufkommen, korrekt? Auch zB. wenn der User sich einen Ordner erstellt und diesen nur sich selber als Recht gibt, kann ich als Admin trotzdem die Rechte übernehmen?

Danke an euch beide.

Ich habe mittlerweile klären können, dass wir eine Gateway-Lösung eventuell implementieren können.

Zum Thema Zertifikat-Verlängerung:

Es wird mir geschrieben dass man das Zertifikat nicht verlängern kann, jedoch wenn man ein neues Zertifikat kauft, überschreibt dieses nicht das alte Zertifikat, und beide bleiben im System bestehen - und damit kann man die alte Emails entschlüsseln.

Zum Archivieren stimme ich ja zu: das muss man sich dann genau überlegen wie.

Hier mal noch eine Frage:

Angenommen wird setzen dann die öffentlichen Zertifikate ein, wie schon oben erwähnt, und verschlüsseln damit die Emails (bzw. empfangen verschlüsselte E-Mails).

Normalerweise werden gewisse E-Mails ja irgendwo im Outlook abgelegt, Archiv-Ordner oder was weiß ich - jeder wie er will, eigentlich. Dann liegen nämlich verschlüsselte E-Mails dort.

So lange das Zertifikat im System existiert, ist es ja kein Problem, damit kann man die E-Mails auch zukünftig entschlüsseln.

Aber, was wenn das Zertifikat nach 3 Jahren abläuft? Dann muss man ja ein neues Zertifikat erstellen und dieses überschreibt ja das alte Zertifikat im Zertifikats-Store, oder?? Damit lassen sich ja die alte E-Mails dann nicht mehr entschlüsseln.

Wie soll man damit vorgehen?

Weil, wenn ich das richtig verstehe, das eine Lösung ist, die wir in unserer gehosteten Umgebung nicht verwenden können.

Gerne. Mache sowieso zuerst Tests in einem engeren Benutzer-Kreis.

Es werden alle Postfächer die eingebunden sind mit Zertifikaten bestückt. Kostet ja auch nicht wirklich ne Lawine ($29/3J) und der Anzahl non-pers Postfächer ist sehr überschaubar.

Die Lösung mit dem Gateway ist bei uns leider überhaupt nicht einsetzbar.

EDIT: Aber ich sehe gerade Outlook legt automaitsch ein Profil an, wenn er das Zertifikat im Store findet... auch nicht schlecht.

Mal ein kurzes Zwischenbericht:

Ich bin mit dem Comodo EPKI-Manager relativ zufrieden.

Scheint mal einen Teil der Arbeit abzunehmen, und zwar wegen dem Zertifikat-Kauf. Der User bekommt die Email und damit kann bereits das Zertifikat installieren. Ich bestimme zentral die Einstellungen.

Aber, im Outlook kann ich ja nichts automatisieren, oder? D.h. wenn einer 5 Postfächer eingebunden hat, und für alle 5 ein Zertifikat ausgewählt werden soll, muss ich ja alle 5 Zertifikat-Profile im Outlook händisch erstellen. Oder ginge das irgendwie per GPO, oder Skripte?

Danke

vor 28 Minuten schrieb Nobbyaushb:

Moin,

welche Signaturen meinst du?

 

Digitales signieren oder den Disclaimer drunter?

 

Bequem geht da eigentlich eher weniger, einer der Gründe, warum das kaum jemand macht, siehe Kommentar von Nils.

Digitale Signaturen (ich dachte das wäre klar, nachdem man von Zertifikaten redet).

OK, also unterm Strich: mit IE machen und gut ist.

Für die nicht persönlichen Adressen mache ich, anders geht's nicht.

Ich werde wohl ne Anleitung schreiben, verteilen, Chef soll sagen bitte machen, und dann mal sehen was dabei rauskommt

Hallo,

es geht primär eigentlich um die Signaturen. Verschlüsselung ist nett wenn der Andere auch einen Zertifikat hat.

Ich werde mir das Thema Gateway näher ansehen.

Unter dem Strich sieht es nämlich so aus, als ob jeder diese Prozedere mit der Zertifikatanforderung selber machen soll/muss. Und ist wesentlich einfacher als wenn ich es mache.

Welche Wege gibt es, die am bequemsten sind? Habe es zur Zeit bei Comodo als Free E-Mail Certificate angefordert und dann ja importiert und im Outlook ausgewählt.

Für die gemeinsamen Adressen jedoch wird es keinen anderen Weg als pfx geben, vermute ich...?

vor 2 Stunden schrieb NorbertFe:

Warum nicht?

Weil wie ich meine Tussis kenne, selber was in IT zu machen ist nix... auch wenn ich es vom Rechner des Users machen muss, muss ICH es machen. Vielleicht 5 von 20 schaffen (und wollen) es überhaupt machen. Chef inklusive. 

vor 2 Stunden schrieb magheinz:

Die user müssen einen Key erzeugen.

Damit generieren sie eine Zertifikatsanforderung.

Diese signiert dann Die Registrierungsstelle und stellt das Zertifikat aus.

 

Ob du das die Leute händisch per openssl, powershelle what ever, per webinterface mit javascript etc machen lässt oder sonst ein Tool einsetzt kommt auf die Anforderungen an.

Wenn die Anforderungen richtig Streng sind liegen die Keys auf einer Smartcard.

Wichtig ist nur das niemand ausser dem Zertifikatsinhaber den Key in die Hände bekommt. Zum Schutz kann man den mit einem Passwort versehen um bei Verlust auf einer halbwegs sicheren Seite zu sein.

 

Ein Admin der Zugriff auf die keys und Zertifikate hat der kann ja alles damit anstellen was er will. Das geht einfach gar nicht und widerspricht dem ganzen Prinzip.

Danke. Ja grundlegend muss es aus dem Profil des Users gemacht werden. 

Und die aktuellen Zertifikate mit denen gestartet wird, werden sowieso dann gelöscht (revoked). 

Was ist mit den allgemeinen E-Mail Adressen, zB. info@ oder office@ ? Wer stellt diese Zertifikate aus?

vor einer Stunde schrieb lefg:

 

Hast Du bei euch jemanden, mit dem Du Verfahren, Methoden diskutieren, deine Meinung überprüfen kannst?

Leider nein - ich kann grundlegend entscheiden was das beste ist, und aufgrund von Gegebenheiten habe ich so entschieden. Ich kenne aber andere Lösungen auch, und werde sie einsetzen wenn ich den Bedarf erkenne (und letztendlich das nicht mit Kanone auf Spatzen schießen ist).

Reden wir bitte kurz mal Klartext. Was mache ich falsch? Wie sollte es ablaufen?

Ich kann doch nicht meinen von meinen Usern verlangen dass sie die Zertifikate bspw. von Comodo selber anfordern und installieren...?

Derzeit testen wir die Zertifikate in einem kleinen Kreis der Mitarbeiter, und die Zertifikate habe ich nachdem ich sie aus meinem IE geholt habe, komplett (.pfx) in unserem Passwortsafe abgelegt. Die Zertifikate konnte ich dann händisch im Windows-Store am RDS eintragen (via IE, da ich keinen Zugriff zum zertlm habe) und zusätzlich in Outlook importieren.

Sollte es anders und einfacher ablaufen, bitte um konkrete Vorschläge.

Hallo,

wir sollen unsere 20 Rechner bzw. 30 Email Adresse mit S/MIME Zertifikaten bestücken.

Kann ich das irgendwie tun, ohne auf jeden einzelnen Rechner zu gehen und die Zertifikate importieren und im Outlook zuweisen? Und das jede 3 Jahre, nachdem die Zertifikate ablaufen? Und wenn ich denke dass manche Outlooks bis zu 10 Postfächer eingebunden haben...

Denn, ich muss auch die privaten Schüssel importieren, und da muss man das Kennwort eintippen...(deswegen denke ich eine Verteilung via GPO wird nicht funktionieren).

Outlook-Import funktioniert soweit ich weiß auch nicht...

Ein weiteres Problem ist nämlich dass wir größtenteils auf einer RDS-Farm via Citrix arbeiten (Outlook ist auch dort), und diese Farm/Citrix wird nicht von mir verwaltet, und ich eine Intermediate-CA nicht einsetzen kann (wäre das eventuell eine plausible Lösung).

Gibt's ne Lösung, oder bin auf den manuellen Import jede 3 Jahre angewiesen?

vor 2 Stunden schrieb Dukel:

Evtl. in der VPN Verbindung die Veeam Ports blockieren, dass darüber kein Backup gemacht werden kann.

Ein Restore wird dann aber via VPN evtl. auch nicht möglich sein.

Hi, danke. Ist eine Idee, es gibt sogar Angaben von Veeam... ob das funkt, mal sehen.

vor 58 Minuten schrieb lefg:

 

Bei uns Daten(Aufträge, Projekte, Protokolle) nicht im Profil.

Aufgrund unserer Umgebung, ist das bei uns die bessere Idee, so meine Meinung.

vor einer Stunde schrieb Nobbyaushb:

Wir haben unsere externen alle erzogen, die müssen einmal am Tag die externe Platte anstecken.

 

Klare Anweisung von der GL und schon geht das.

Gerät kaputt - Daten nicht gesichert? Selber Schuld.

 

Primär arbeiten die auch per VPN auf der RDS Farm, selten Offline, aber eben doch manchmal.

 

Was hat eure Server-Sicherung damit zu tun?

Es wird gerade ein Konzept erstellt, und ja das geht klar über GL. Die klare Anweisung wird es geben.

Uns reicht eigentlich wenn unsere Berater jede 1-2 Wochen in der Firma sind, denn die lokalen Daten liegen hauptsächlich am RDSH, aber wie du sagst manchmal ja auch offline.

Server-Sicherung: nichts mit dem Server, wollte eigentlich nur sagen dass wir Nakivo einsetzen, falls jemand einen Vorschlag für eine andere Software machen würde.

vor 9 Minuten schrieb lefg:

Moin

 

Client sichern? Mobile Clients sichern? Total sichern jedesmal? OS und Nutzerdaten Ist das wirklich nötig?

 

Wir haben sehr weitgehend auf die Total-Sicherung verzichtet, es erschien uns nicht nötig und war nicht praktikabel.

 

In einigen Fällen haben Laptops einen Platz für eine zweite Platte, darauf werden Nutzerdaten bei Bedarf gesichert.

 

Es wurde versucht online automatisch differenziell zu sichern, das funktionierte zwar prinzipiell, aber nicht immer, lag meist am Benutzer. Deshalb ist der Benutzer eingewiesen und trainiert zum Sichern in der Cloud.

 

Wir hatten es mal sehr automatisiert versucht, es hatte sich nicht wirklich bewährt. Mit eingebundenen Benutzer in die Zuständigkeit und Verantwortung wurde es gut. Zuständig und Verantwortlich, und keine studierter und hochbezahlter Mitarbeiter will sich seinem Vorgesetzten erklären müssen bei Datenverlust.

 

 

Ja, ist derzeit noch notwendig. Eine Erziehung ist noch notwendig, um sicherzustellen dass die Benutzer lediglich die Daten an einem Ort ablegen (zB. nur ins Profil, und nicht auf C:\ Ordner anlegen). Kann man bestimmt regeln, habe ich aber noch nicht untersucht.

Außerdem mag ich auch Programdata sichern, da dort ja oft App-Einstellungen hingehen, was mir das Restore wesentlich erleichtert.

Natürlich sollte ich eine permanente VPN-Verbindung einsetzen, also ein Programm bspw. dass sich immer verbindet, und sichern NUR die Benutzerdaten/Programdata, dann ist wohl auch über VPN nicht so tragisch - müsste ich testen.

Wir haben Surfaces, daher keine 2. Platte, evtl. Ext/USB-Stick. Aber bevorzugen tue ich lieber die Sicherung zentral in der Firma, da die Sticks verloren gehen, Sicherheit und co.

Hallo,

derzeit setze ich Veeam Backup Agent als Sicherungssoftware auf den Clients.

Wobei einerseits die Software gute Leistung und brauchbare Ergebnisse liefert, bin ich bei einer Sache nicht so ganz zufrieden:

Sind die Clients in der Firma (Laptops), kann ich die automatischen Sicherungen einschalten, und alles ist gut.

Jedoch wenn ich das mache, sind die Clients außerhalb der Firma, und sich per VPN verbinden, rennt die Sicherung über VPN... nicht so ganz optimal. Bei WLAN nicht so tragisch, dauert ja nur Ewigkeit und setzt die VPN Verbindung lahm.

Kann natürlich die automatischen Sicherungen abschalten, aber die Erfahrung zeigt ja dass ein nicht IT-affiner MA total auf die Sache vergisst, in der Firma die Sicherungen durchzuführen - wundert mich ja auch nicht.

Und es würde vermutlich auch nicht funktionieren, würde ich den Usern versuchen zu erklären wie der Zusammenhang zwischen VPN, Backup, LTE, WLAN usw. ist.

Als Server-Sicherungen setzen wir auf Nakivo ein.

Gibt es eine Lösung die ich für die Clients einsetzen kann, die irgendwie Serverseitig funktioniert, damit die Clients nur gesichert werden, wenn sie zB, nur in der Firma sind (Bspw. im internen Netz), unabhängig davon ob die VPN aufrecht ist oder nicht?

Danke

Hi Nils,

wunderbar - danke für die Antwort!

Hallo,

Mir ist unklar wie die Account Policy funktioniert - und zwar wie die Einstellungen in der GPO mit den Einstellungen der Benutzerkonten korrelieren.

Grundsätzlich kann ich ja in der Computer-Einstellungen in GPO Account Policies/Password Policy "Maximum Password Age" definieren.

Aber in Benutzerkonto Einstellungen kann ich den Haken "Passwort never expires" setzen.

Abgesehen davon dass das eine Computer-Einstellungen sind, und das andere ja die Benutzerkonto-Einstellungen, was wirkt sich da wie aus? Was nimmt Präsedenz?

Danke

Hallo,

also ich habe bei mir zwei WSUS laufen. Einer ist für die Clients in der Firma, da laden die Clients die Updates vom WSUS1 herunter.

WSUS2 ist ein Replica, dieser wird für die portablen Clients genutzt, und ist so eingerichtet, dass die Clients die Updates direkt vom Microsoft Windows Update ziehen.

Das funktioniert alles wunderbar, bis auf eine Kleinigkeit:

Bei mir ist es so eingerichtet dass das Update um 16:00 beginnt, mit einem sofortigen Neustart (und bis zu 180min Verzögerung).

Wenn aber ein Kollege mit einem portablen Clients sich zu dem Zeitpunkt in der Firma befindet, fängt das Gerät die Updates aus dem Internet zu ziehen und legt das Netz lahm.

Natürlich kann ich Traffic-Shaping implementieren, und wird noch kommen, aber gibt es eine schönere Lösung, dass ich zB. definieren kann, wenn sich das Gerät im Netz-X befindet, soll vom WSUS1 ziehen, und wenn nicht WSUS2... vermute nicht, aber fragen kostet nichts :)

Danke

Danke.

Also in Verwendung ist jetzt schon seit gestern auf beiden Win10 VMs im Normalbereich (rund 1,5-2,0GB).

Verfügbar steht jetzt respektive 2,3GB (VM mit SQL, Defender an), und 2,6GB (VM ohne SQL, Defender via Policy aus).

Es ist derzeit mir schon unklar warum jetzt stabiler wie vorher. Nachdem Defender auf der VM mit SQL rennt, und RDP ist angemeldet.

Das einzige was wirklich gleich auf beiden VMs passiert hat, ist Pagefile wurde abgeschaltet und dann wieder eingeschaltet. Vorher gab's die Hänger, nach dem Abschalten des Pagefiles auch, und dann wieder aktiviert - und jetzt ist scheinbar Ruhe??

Ich werde testweise Defender wieder normal aufdrehen und abwarten wie sich die VMs über mehrere Tage verhalten.

vor 13 Stunden schrieb Operator:

Und erneut die Frage: wo liest du den RAM Bedarf ab und kann es nicht einfach nur das normale Caching Verhalten sein, wie bereits beschrieben?

Im Task Manager lese ich den Gesamtwert und Process Manager habe ich auch - nur da muss ich zugeben dass ich nicht weiß welche Werte ich einblenden soll bzw. was sie wirklich bedeuten.

Working Set im taskmgr habe ich mir eingeblendet.

Nun: seitdem ich Defender abgedreht habe, ist die eine VM wo kein SQL drauf ist stabil. Habe sie gestern mit angemeldeten/getrennten RDP-Sitzung gelassen, und hat weiterhin 1,5/4,0GB.

Als Maximum im Working Set wird SearchUI.exe mit 125MB angezeigt. Was mir allerdings als sehr viel vorkommt. Mein Laptop hat 8GB RAM und sehe gerade 59MB SearchUI.exe Working Set.

vor 17 Stunden schrieb NilsK:

Moin,

 

es wäre nett, wenn du dir beim Formulieren etwas mehr Mühe gäbest. Was genau hast du deaktiviert? Die Auslagerungsdatei? Wenn ja: Warum macht man sowas? Damit verhindert man effektiv, dass Windows sein sehr ausgereiftes Memory Management anwenden kann.

 

Der Prozess, der so viel Speicher belegt, ist der Defender. 160 MB ist eine Menge, wenn auch nicht beunruhigend viel. Dass ein SQL Server viel RAM belegt, liegt irgendwie auf der Hand. Ich vermute einen Anwender- oder Konfigurationsfehler.

 

Gruß, Nils

Die Auslagerungsdatei war vom Anfang an aktiv (bereits ca. 1 Monat her dass ich die VM aufgesetzt habe). Habe ich lediglich vor paar Tagen testweise deaktiviert. Ist mittlerweile wieder aktiv und default (System-Managed).

SQL ist mir klar, aber auf einer VMs ist ja kein SQL drauf.

Defender habe ich also deaktiviert und werde beobachten.

vor 10 Stunden schrieb Nobbyaushb:

Moin,

auch wenn viele das anders machen, dynamische Disk verwenden wir nie - d.h. nur im Labor, nie im Betrieb.

Ich mache es so: sofern SQL/Exch/o.ä. im Einsatz: fix. Ansonsten dynamisch.

Ein Win10 Rechner ist fix, der andere (ohne SQL) hat dynamische Platte.

vor 7 Stunden schrieb Operator:

Weitere Tests sollten mit einer Pagefile Konfigurationen durchgeführt werden, die möglichst den Original Microsoft Einstellungen entsprechen. Wenn das nicht zur Besserung führt, müsste man weiter überlegen. Aber teste das bitte erst mal und melde Feedback

Außer Pagefile (dieser wurde wieder auf Standard eingestellt), tanzt sonst nichts aus der Reihe - das war eben nur ein Test. Zu dem Zeitpunkt der ersten Meldung war Pagefile noch ganz normal an. Also nochmals: war nur ein Test.

Was mir aber aufgefallen ist:

Wenn ich den Speicher über der Konsole beobachte, bleibt gleich.

Melde ich mich per RDP an, und egal ob ich die Sitzung offen lassen oder mich trennen, steigt die Speicher-Nutzung kontinuierlich.

Kann hier irgendwas Probleme verursachen?

Ursprunglich war wie nach der Installation - unberührt. Habe dann aber versucht auch zu deaktivieren. Ich habe es dann deaktiviert.

Und was mir noch aufgefallen ist, dass das Pagefile die Größe des dynamischen Disks vergrössert hat - was auch nachzuvollziehen ist. No-go...

Nun, ich bin glaube ich der Sache einen Schritt näher, denn:

- bleibe ich in der Hyper-V Konsole angemeldet, bewegt sich Speichernutzung bei ca. 1,1-1,2 GB (Pagefile ist abgeschaltet). Und wird nicht höher

- melde ich mich per RDP an, und bleibe ne Weile drin, steigt und steigt die RAM-Nuztung. Habe bis 3GB beobachtet, dann habe ich die VM neugestartet.

Warum verursacht die RDP Verbindung auf einen Win10 Rechner offensichtlich solche Probleme? Mittlerweile bin ich sicher das auch mal auf einem Intel NUC gesehen zu haben (war per RDP drauf, mich nicht abgemeldet, und das Ding war am nächsten Tag "tot").

vor 4 Stunden schrieb Nobbyaushb:

welcher Hyper-V läuft oben drüber, aktuell?

Hyper-V ist also Rolle installiert, v10.0.14393.0 (Hyper-V Manager). Server hat die aktuellsten Updates (2018-02 Cumulative).

vor 4 Stunden schrieb Nobbyaushb:

Die haben festen oder dynamischen RAM?

Fester RAM, dynamische Platte.

vor 4 Stunden schrieb Nobbyaushb:

Was läuft auf dem virtuellen W10?

Nichts wirklich. Installiert ist Firefox, RSAT, 7zip, Citrix Client.

Ich merke gerade auf einem der Clients viele svchost.exe laufen.

vor 4 Stunden schrieb Nobbyaushb:

Nachtrag - Integrationsdienste auch aktuell?

Wie stelle ich das fest? Es ist alles außer Guest services aktiviert (Standard).

vor 4 Stunden schrieb lefg:

Wie sieht es denn mit dem Zusatand der Hardware aus, RAM sorgfältig geprüft, versuchsweise ausgetauscht?

Nagelneuer DL360 G10, derzeit trägt weitere 8 Server 2016 VMs, die alle performant und stabil laufen. Ich schließe hiermit einen Hardwarefehler aus.

vor 3 Stunden schrieb NilsK:

das heißt konkret was?

EventID 2004

Windows successfully diagnosed a low virtual memory condition. The following programs consumed the most virtual memory: MsMpEng.exe (3448) consumed 147271680 bytes, SearchUI.exe (6604) consumed 73035776 bytes, and NisSrv.exe (4536) consumed 64032768 bytes.

Ich lag bei einer Sache falsch, die Programme sind hier immer wieder die selben (innerhalb einer VM).

Die andere VM (da rennt auch ein SQL, aber auch hier dürften 4GB reichen, da Pagefile aktiviert ist, aber wie gesagt 8GB macht keinen Unterschied):

Windows hat diagnostiziert, dass der virtuelle Speicher unzureichend ist. Die folgenden Programme belegten den meisten virtuellen Speicher: sqlservr.exe (3596) belegt 309661696 Bytes, MsMpEng.exe (3740) belegt 167518208 Bytes und NisSrv.exe (5292) belegt 91832320 Bytes.

vor 3 Stunden schrieb NilsK:

Auch wenn es mit den technischen Problem nichts zu tun hat: Dir ist bekannt, dass du spezielle Lizenzen brauchst, um Client-Windows als VM zu betreiben?

Ja, ist bekannt. VDA, haben ein OV-Vertrag.