cj_berlin

Aber die *Funktion* der Conditional Forwarder basiert nicht auf Rekursion. Die Rekursion, die man für sie einstellen kann, ist eigentlich schädlich, denn die besagt ja, dass man globale Forwarder oder Root Hints fragen soll, wenn der Conditional Forwarder die Anfrage nicht beantworten kann! Vielleicht sollte ich darüber bloggen

Ich habe die PMs gefragt, mal sehen, ob was zurück kommt. Aber *eigentlich* ist es ja schnell getestet Tatsächlich kann man die Rekursion sogar für Conditional Forwarder individuell einstellen, und das überschreibt die Server-Einstellung: https://learn.microsoft.com/en-us/powershell/module/dnsserver/set-dnsserverconditionalforwarderzone?view=windowsserver2025-ps#-userecursion Das ganze wird durch den Registry-Wert "ForwarderSlave" gesteuert, und der Default-Wert ist "0" (ja, Rekursion benutzen). Das könnte auch der technische Grund sein, warum die globale Deaktivierung der Rekursion die Conditional Forwarder nicht beeinflusst...

Moin, der DL irrt. Conditional Forwarders sind nicht von der Rekursion betroffen. Sie sind ja technisch quasi nur Slave-Zonen ohne Zonefile.

Moin, nach allem, was bisher bekannt ist, und ich hatte auch schon versucht, die Uhr nach vorne zu stellen, kannst Du das Update auch in 2027 noch vornehmen. Im Bereich PK + KEK wird auf die Zeit eh nicht geachtet, denn zur Einschaltzeit ist die gute Uhr ja nicht garantiert, aber auch im weiteren Boot-Prozess wird nur das Vertrauen geprüft und nicht die Gültigkeit. Was halt nach Ablauf nicht mehr regulär geht, ist eine neue Signatur zu erzeugen. Aber auch das kann mit verdrehter Uhr umgangen werden.

Normalerweise nicht, aber Firmware wurde ja auch nur von Menschen* geschrieben. Es kann also passieren, dass irgendwas beschädigt wird. Manche UEFI-Varienten haben sogar ein Fallback-Verhalten für Secure Boot, wonach sie automatisch die Default Stores probieren, wenn die Verifizierung mit den Runtime Stores fehlschlägt. * heutzutage muss man ja sagen, "oder, schlimmer noch, NICHT von Menschen"

Moin, wenn die Restricted Groups-GPO die Mitgliedschaften im oberen Bereich pflegt, sind sie verbindlich und Du hast verloren. Wenn sie im unteren Feld gepflegt sind, müsste man schauen, das muss eigentlich gehen.

Wenn das EFI auf Default ohne 2023er PKI geht und Windows einen Boot Manager hat, der nur 2023-signiert ist (sagen wir mal, so Mitte 2027, nach einem Boot Manager-Sicherheitsupdate), wird Windows nicht booten. Obs tragisch ist, ist dann individuell zu bewerten

Ja, Custom Mode hat die 2023er Certs in die Current Stores gedübelt, nicht jedoch in die Defaults.

Das ist genau der Grund für meine Frage. Ich habe ein älteres Latitude, da war das KEK-Package im letzten verfügbaren FW-Update gerade noch drin, somit konnten die Runtime-Stores durch Windows aktualisiert werden, aber die Default Stores hat DELL nicht mehr für dieses Modell nachgeliefert. Bei einem semi-aktuellen Lenovo (Ende 2022 hergestellt, und seitdem die Firmware regelmäßig gepatcht) ist ein komischer Mischzustand, aber definitiv fehlen die UEFI-CAs in den Defaults.

Da gibt es keine Katastrophe. Wenn am 20. Oktober ein Zero Day für den Windows Bootloader bekannt wird, kann Microsoft auf einer Maschine mit zurückgestellter Uhr sogar ein Notfall-Update mit der 2011er PCA signieren. @phatair Habe keine DELL-Geräte mehr hier... werden bei eurem Prozess auch die Default-Stores aktualisiert, oder bleiben sie auf 2011?

Ja oder jein... Datacenter hat auch funktionale Vorteile wie AVMA oder HGS-Support... oder auch die Fähigkeit, die Hyper-V-Farm hyperconverged zu betreiben. Aber wenn es nur einen Host und eine Handvoll VMs gibt - oder wenn die VMs mehrheitlich nicht Windows Server ausführen, ist es natürlich vollkommen richtig. Und Windows 11 virtualisiert ausführen, da muss man sich den Use Case und den vorhandenen Lizenzvertrag genau anschauen: Windows 11 Licensing For Virtual Desktops Licensing Guidance

Moin, sind die Maskenlängen genau wie in Deiner Definition? Sprich, ist das Storage-Netzwerk wirklich stretched, oder haben die tatsächlichen NICs eine längere Maske mit Routing dazwischen?

Wenn man hier bösen Willen voraussetzt, gibt es nur Schutz, wenn die Ver- und Entschlüsselung außerhalb der Cloud passiert. SQL AlwaysEncrypted kann das, auch in Azure. Für Office gibt es diese Gateways von Rohde & Schwarz, welche die Menge an Klartext in Office-Anwendungen auf das absolut notwendige Minimum beschränken. Geht für Office (um den Preis der ganzen modernen Features), geht für Files, geht natürlich nicht für VMs, Data Tables, Cosmos-DB usw. Es ist IMMER langsamer und weniger komfortabel, aber es ist sichergestellt, dass in der Cloud nur Ciphertext liegt, der (nach dem Stand der Technik) nicht durch den Betreiber der Cloud entschlüsselbar ist. Die Anforderung "dass MSFT nicht an die Daten kommt" muss man also sehr vorsichtig genießen, sie wird nur äußerst selten umsetzbar sein.

Sicherer als was? Sicherer gegen welches Bedrohungsmodell?

So isses.

Hmmm. Kannst Du bitte nochmal präzisieren: Du hast einen neuen Kollegen, der einen AD-User mit Exchange-Postfach bekommt... danach kann er sich ganz normal anmelden und mit Outlook arbeiten. Nun gibst Du diesem User administrativ die Stellvertretung auf ein bereits bestehendes Postfach... ...und danach kommt ein Anmelde-Pop-Up... ...obwohl es bei einem anderen User mit Stellvertretung auf dasselbe Postfach, nicht passiert. Richtig verstanden oder irgendwo falsch abgebogen?

Moin, dann Skript per GPO als Startup / Logon oder Scheduled Task. Wenn man keinen Wert auf das Mitlöschen der Private Keys legt, könnte man natürlich aus den Daten der Zertifizierungsstelle eine Registry-Lösch-GPP bauen Dies soll keine Empfehlung sein, sondern nur das Ergebnis meines Nachdenkens über @v-rtc's GPO-Einwurf darstellen...

Vergleiche mal die Ausgabe von whoami /privs von dem nicht-Admin auf Server und Client. Ich hatte das mal untersucht, und es ist eine andere Art von Login: https://it-pro-berlin.de/2024/07/use-ssh-on-windows-they-said/

das war nicht die Frage

Moin, welche Anmeldenrechte hat denn der Nicht-Adminuser auf der Maschine? Ich meine, in einem der beiden Szenarien braucht man lokale Anmeldenrechte. Das könnte auch den Unterschied Client OS vs. Server OS erklären...

Nö, 2022 kann 2012 ohne R2 DFL/FFL

Hier ist die Umfrage der Produktgruppe: Windows Secure Boot certificate expiration on Windows Server – Fill out form

Das ist oft ein Trugschluss, da man auf Blech oft eine Sitzungsdichte erreicht, die man nicht ansatzweise sieht, wenn man dasselbe Blech in VMs aufteilt. Aber wie immer, YMMV. Natürlich, wenn man unbedingt eine RemoteApp haben will, die nur 3 Leute brauchen, ist Blech vermutlich ein Overkill (hatte ich aber auch schon, eine GIS-Anwendung...). Aber man kann ja auch mischen

Ja, stimmt, die Office Apps... Aber schaut mal, ob der Citrix Optimizer was helfen kann. Ich hatte immer eine Kombi aus dem und dem VMware OSOT (derzeit offenbar eingefroren) benutzt, mit gutem Erfolg.

Ja, das kann ich bestätigen. Wenn man jetzt paranoid wäre, könnte man meinen, das ist ein sanfter Schubs in Richtung AVD. Welche Image-Optimierungen macht ihr denn? Citrix Optimizer hat einige Punkte für Windows 11 und Server 2025... Und, last but not least: gibt es einen klaren Bedarf nach 2025 in der Apps-Umgebung? 2022 ist ja noch eine ganze Weile supported...