cj_berlin

Shit, Du hast recht: Vermutlich nachts gebootet, ohne dass ich's mitgekriegt hatte, weil *aufgefordert* wurde ich mit 100% Sicherheit nicht dazu.

Für Windows 10? Ich habe bisher keine gesehen, mit oder ohne ESU. Insofern @xrated2 Du bist definitiv nicht allein.

Das ist nichts, was man in einer intakten Umgebung nachstellen könnte.

Für das aktuelle Ding? Ja, Server 2025 erlaubt derzeit (unabsichtlich) doppelte Attribute und Klassen im Schema beim Schema-Update, aber (sinnvollerweise) nicht bei der Replikation des Schemas...

Klar wird das funktionieren. Schön ist sowas nicht, aber doppelte OIDs z.B. sind auch früher schon aufgetreten...

Wenn das Interface mit dem Gateway höhere Prio (geringeres Gewicht) hat, hat das Vorrang.

Es ist neben den Definitionen der Routen auch deren Gewicht von Bedeutung. Früher konnte man Adapter explizit gewichten, inzwischen hat Windows da einen fest verdrahten Automatismus, aber ich meine, dass route print dennoch das anzeigt, was in Kraft ist

Moin, da es noch niemand gefragt hat: "höhere CPU-Auslastung" bedeutet bei euch...? Teilen sich die beiden Dienste die ganze CPU, wenn man sie lässt? 10% statt früher 2,5%? Und ist auch eine höhere Festplatten-Auslastung und/oder Queue Depth zu verzeichnen?

Moin, Graylog ist ein guter Einstieg und kann auch sehr gut skalieren. Ich sehe viel Splunk und Microsoft Sentinel, ein wenig IBM QRadar, einiges an Elastic (kann man auch kostenlos einsteigen) und noch wenig, aber Tendenz steigend, CrowdStrike als SIEM. Eingeschworene Fortinet-Jünger machen manchmal FortiSIEM, aber da hatte ich noch keine rechte Berührung zu.

Moin, das Wochenende naht - vielleicht kannst Du den Server mal booten und schauen, ob der Fehler verschwindet - vielleicht hat er sein Kennwort gerollt und irgendein Subsystem hat es nicht sauber mitbekommen. Oder schau erst mal, ob die letzte Kennwortänderung nach dem letzten Boot liegt oder davor. Ansonsten, da die Anmeldung offenbar über NTLM versucht wird, kannst Du mal lokal das NTLM Logging hochdrehen und schauen, welcher Prozess gegenüber welcher Ressource das versucht... Gibt's eventuell eine vergessene RDP-Session auf der Maschine? Vielleicht von einem Admin, der Mitglied in "Protected Users" ist?

Moin, "geht nicht" ist kein Fehlerbild. Was klappt genau nicht? Der SQL-Installer generiert auch eine umfangreiche Protokolldatei - was ist da zu finden? Es könnte sein, dass es einfach das fehlende .NET 3.5 ist, aber raten hat noch nie irgendwas gebracht. Logs erzählen die Wahrheit, meistens jedenfalls.

Moin, vielleicht sollte der Chef auf seinen Freund hören, der ja scheinbar immer noch Kaspersky macht, trotzt Warnung Es gibt Berichte aus dem Jahr 2022, wonach die BSI-Warnung vor Kaspersky das Geschäft von GData begünstigen sollte - um so lustiger (falls wahr), da ja die primäre Investorin von GData die Ex-Frau von E. Kaspersky ist Antivirus-Systeme mit zentraler Verwaltung gibt's viele - TrendMicro, SOPHOS, Microsoft, CrowdStrike... selbst McAfee EPO lebt als Trellix weiter

Yup, Imprivata macht das ganze richtig managebar - für einen mehr oder weniger angemessenen Preis, versteht sich

Wenn Du auf NLA verzichten kannst, kannst Du die Anmeldung direkt am Anmeldebildschirm des Terminalservers durchführen. Das geht mit mstsc, musst halt die .RDP Datei ein wenig pimpen. Die beste Lösung für sowas sind Smartcards. Gesteckt --> Anmeldung, gezogen --> Abmeldung

Also zumindest kannst Du dich dann schon mal an die Agilität der dynamischen Gruppen in Entra ID gewöhnen, solltest Du diese mal benötigen

-RecipientFilter "(PrimarySmtpAddress -like '*@vg1.de')" oder so ähnlich

Ja, aber ob die KI dann auch das Richtige daraus lernt... <duckundweg>

Es gibt viele gute Ansätze hier, beim Threat Modelling für die Windows Firewall sollte eins jedoch nicht außer Acht gelassen werden: Die Konfiguration, ob sie lokal vorgenommen wurde oder aus GPOs kommt, steht im Klartext in der Registry. Somit kann die Angreiferin, wenn sie dort Lesezugriff hat, bereits genau wissen, was konfiguriert wurde. Das verrät ihr unter Umständen Dinge, die sie sonst nur mit Mühe und viel Noise herausgefunden hätte, wenn überhaupt. Will damit sagen: weniger kann manchmal mehr sein.

Ist es eine Aufforderung oder eine Feststellung?

Moin, ich würde es durchaus als geplanten Task laufen lassen, den Task jedoch als SYSTEM einplanen und nicht an Zeit, sondern an die Event Id 6273 binden. Dann kannst Du dich austoben - email verschicken, Textdatei schreiben, was auch immer.

Moin, obwohl Du mit Active Directory lange vertraut bist, können wir uns bitte darauf einigen, dass es "das" AD und nicht "die" AD ist? Mir konnte bisher noch niemand zusammenhängend erklären, wie man da auf das Femininum kommt... Aber was die Original-Frage angeht, ein Drucker-Admin wird nicht immer - und sollte heutzutage nie! - die Rechte haben, *irgendwelche* Objekte im AD anzulegen. Es ist auch ein super Angriffsvektor, wenn die Leute es gewohnt sind, Drucker aus dem Verzeichnis zu mappen...

Wo werden diese Zahlen angezeigt? In Windows oder im BIOS? 448 ist ja genau ein Riegel weniger (es könnte einer schlecht sitzen, kaputt sein, oder ein Slot im BIOS deaktiviert sein), 511 kann ein Rundungsfehler sein, wenn Windows gemeint ist (dann im BIOS gucken, und falls da 512 steht, ist alles gut). Was sagt msinfo32 dazu?

Und obwohl die Zahl von 86400000 ausreichend hoch sein sollte , ist meine Sorge, dass wir da irgendein Übersprechen des Default-Verhaltens und GPO haben. Finde die Policy, die das steuert (s.o.), setze einen vernünftigen Wert (1000 oder so) und schau, obs besser wird.

1 bedeutet Group Policy

Moin @_Lars_, kannst Du mal bitte die Ausgabe von Get-WMIObject Win32_TSSessionSetting -Namespace "Root\CIMv2\TerminalServices" posten?