cj_berlin

Wie unterbinde ich SMB auf einem Fileserver?

Abgesehen von dem sehr validen Einwurf von @Nobbyaushb, macht man das mit Save-Module. Damit wird alles richtig entpackt, und Du brauchst es nur zu kopieren. Oder Du lädst tatsächlich die nuPKGs herunter, packst sie in eine Share und definierst diese als Repository auf dem Zielgerät.

Moin, direkt vergleichbare Intel-Karten (das wäre beispielsweise E810-XXVAM2) kosten die gleichen 460 Euro wie die Original-Nvidia-Karte. Dass die QNAP-Variante billiger ist, liegt auf der Hand, denn auch Support und Garantie kommen ja dann von QNAP. Mellanox verwendet, wenn RDMA zum Einsatz kommt, nur RoCE, Intel kann RoCE und iWARP. RoCE ist an sich das bessere Protokoll, braucht aber meistens Zusatz-Konfigurationen auf den Switchen. Daher empfiehlt derzeit sogar Microsoft iWARP für S2D. Ansonsten gilt bei Netzwerkkarten >10GB immer: Ganz genau auf die jeweiligen Kompatibilitätslisten schauen! Eigentlich gilt es bei allen Komponenten, aber bei 25/40/100GB kann man schon recht schnell Schiffbruch erleiden.

Dann ist bei der initialen Replikation etwas schief gelaufen. Replikation aufbrechen, per Robocopy neu seeden (/XO vermeidet das Überschreiben veralteter Dateien) und Replikation wieder einrichten. Das kann schon sein, wenn beispielsweise lauter Textdateien oder viele Dateien, die gemeinsame Teile beinhalten, gespeichert werden. Auch die NTFS-Blockgröße spielt bei der Berechnung der Ersparnis eine Rolle, wenn ich mich richtig erinnere.

Das ist aber der Knackpunkt hier. Wenn für SAP "Abschaltung von 1.0" nicht mehr bedeutet als "Umstieg auf 1.1", dann haben sie tatsächlich Recht.

Moin, also POODLE und CRIME wären zwei Stichworte, die sehr für das Abschalten von TLS 1.0 und möglichst auch 1.1 sprechen. Die Verschlüsselung als solche hat sich zwar erst zu TLS 1.3 richtig gravierend weiterentwickelt, aber in 1.2 kann man SHA-2-Funktionen für die Integritätsprüfung erzwingen, und eben auch die Initial Vector- und Padding-Angriffe sind da nicht mehr so "einfach" möglich.

Wenn Du nie, aber auch überhaupt nicht, unter keinen Umständen diese VM bedienst und das auch auditsicher nachweisen kannst, könnte man das tatsächlich diskutieren Sobald Du auf diese VM zugreifst, brauchst Du entweder Windows 10+ unter SA auf dem zugreifenden Endgerät oder VDA. Beides sind Mietlizenzen, die nur mit einem Volume Licensing oder Enterprise Agreement zu haben sind. Such mal hier im Forum nach "VDA", da sollte einiges an Infos zu finden sein.

Lass .Value weg --> DatabaseSize.ToMB() ABER: Die Sortierung wird ja so nicht funktionieren, Du brauchst so was wie: Get-MailboxDatabase -status | Select-Object @{label="Datenbankname"; expression={$_.Name}}, @{label="wirkliche Datenbankgröße"; expression={$_.DataBaseSize.ToMB()}} | Sort-Object "wirkliche Datenbankgröße" -Descending

Korrektur: Ob lokal oder remote, ist egal - der Unterschied ist, ob die Exchange Management Shell oder eine neutrale PowerShell verwendet wird.

Moin, Du spricht vom "sich Domain-Adminrechte verschaffen" wie von einem magischen Vorgang, dem man als Normalsterblicher gar nicht entgegenwirken kann. Tatsächlich jedoch geschieht dieses "sich Verschaffen" auf zwei Wegen: man kapert einen Account, der diese Rechte bereits hat - evtl. nicht unmittelbar, sondern durch Verwaltungsberechtigungen auf Gruppen oder so man kapert einen Domaincontroller oder sein Äquivalent (irgendein Objekt mit DCSync-Berechtigung) Alle anderen Angriffspfade zu DA sind eine Abwandlung und/oder Kombination aus den beiden. Gegen den zweiten Punkt musst Du in jedem Forest vorgehen, aber das ist auch machbar - Hardening ist im CIS *und* bei Microsoft hinreichend beschrieben, Segmentierung sowohl bei Microsoft als auch bei 3rd Parties. Aber in diesem Thread befassen wir uns ja mit dem ersten Punkt. Und da hast Du Deinen Sicherheitsgewinn - die Accounts, um die es geht, hinterlassen nichts, was man kapern könnte (im einfachsten Fall) oder existieren gar nicht erst (SCAMA/PIMTrust/Shadow Principals). Und mal ganz ehrlich: Die Komplexität, einen Adminforest zu bauen und zumindest einfach nach CIS zu härten, ist mit der Komplexität, einen Cluster aus NT Wolfpack zu bauen, nicht zu vergleichen.

Moin, wenn Du eine Berechtigung im AD vergibst, kannst Du immer einen Scope für die Berechtigung angeben, zum Beispiel "alle Computer-Objekte in dieser OU" oder "diese OU, Unterstruktur und Objekte darin". Es gibt keinen PowerShell-Befehl, der "von alleine alles richtig macht", denn "richtig" ist von Organisation zu Organisation unterschiedlich. Das Zoning per PowerShell zu machen, hat trotzdem den großen Vorteil, dass es a. wiederholbar und b. quasi automatisch dokumentiert ist.

Moin, was Norbert sagt, CNAME oder A-Record und ggfls. zusätzliche Kerberos-SPNs hinzufügen, damit die Authentifizierung beim Zugriff unter dem alten Namen klappt.

Hier ist Dein Freund (bei mir heißt die Spalte "payload", denn "string" ist ein echt ungünstiger Name): SUBSTRING(payload, CHARINDEX('<ac:parameter ac:name="extras">', payload) + LEN('<ac:parameter ac:name="extras">'), (CHARINDEX('</ac:parameter>',payload,(CHARINDEX('<ac:parameter ac:name="extras">', payload) + LEN('<ac:parameter ac:name="extras">') + 1)) - CHARINDEX('<ac:parameter ac:name="extras">', payload) - LEN('<ac:parameter ac:name="extras">')))

Du musst den Besitz übernehmen und Dir *dann* Vollzugriff geben.

Dann musst Du zuerst den Besitz übernehmen. Dass dabei die ursprünglichen Berechtigungen flöten gehen, ist ja in dem Moment egal, da der Ordner eh zum Löschen vorgesehen ist. Oder Du nimmst einen Account, der bereits Vollzugriff hat. beispielsweise SYSTEM (falls es ein Windows-Fileserver ist).

Kriegst Du diese Fehlermeldung?

...oder man migriert den "Essentials für die alte Software" zu Standard, behält aber die Version vorerst bei - der Bedarf an CALs ist ja durch den anderen Standard schon gegeben, und die Server-Lizenz kostet evtl. nicht einmal etwas extra, wenn man beide auf dem gleichen Blech virtualisiert.

hold my beer Von höchster Stelle abgesegnet: Und hier ist die (IMO) bisher beste Aufarbeitung der ganzen Misere: https://www.theverge.com/2022/10/28/23428132/elon-musk-twitter-acquisition-problems-speech-moderation

Der "Freiheit"-Teil erschließt sich mir nicht. Was macht ein Webforum, dessen Betreibern und Moderatoren ich vertraue (z.B. dieses) weniger "freiheitlich" als einen Newsgroup-Server, dessen Betreibern und Moderatoren ich vertraue? Und würde dieses Forum davon profitieren, wenn man die Beiträge auch über NNTP lesen und schreiben könnte? Das wurde mit dem Technet-Forum ja jahrzehntelang versucht, und ich kann nicht bestätigen, dass es dort mehr Spaß gemacht hat, als der Community Gateway noch funktionierte...

Moin, gibt es handfeste Argumente? Ich halte von einer Menge Menschen nichts, denen Unternehmen gehöre, deren Produkte ich nutze. Aber ist bereits irgendetwas vorgefallen?

Ihr lacht, aber mit Druckern hatten wir das Thema mal.

Moin, beide Knackpunkte wurden schon genannt: 1. Bei Neuinstallationen hat das noch nie funktioniert. 2. Beim Zugriff auf virtuelle Windows Workstation - Instanzen brauchst Du SA oder VDA, in beiden Fällen ist das betroffene Windows Enterprise oder Education.

Der Kollege macht es viel zu komplex, um alle Eventualitätan abzufangen, und baut dafür eine Abhängigkeit von der Sprache ein Hier mal ein einfacherer Ansatz - vorerst ohne Zeiten, aber das geht genauso gut: $result = Invoke-Expression "robocopy /mir <source> <target>" if ($result[-13] -match "\-+") { $folders = $result[-10] -split "\s+" $files = $result[-9] -split "\s+" $bytes = $result[-8] -split "\s{2,}" | Foreach-Object { if ($_ -match "[a-zA-Z]") { "$($_ -replace "\s")B" } else { $_ }} } Die Dezimalzahlen werden nämlich auch in einer deutschen Shell im Computer-Format ausgegeben, zumindest bei mir ist es so.

Die Beschreibung ist aber ganz ordentlich Ich würde niemals in einen an sich gesunden AD-Forest ein Backup, geschweige denn Snapshot, eines DC zurückspielen. Entfernen und neu hinzufügen, dauert genauso lange und bringt ein gesichertes Ergebnis, wenn man sauber arbeitet.

Moin, füge irgendein harmloses Feature hinzu, boote und entferne es wieder. Hat hier schon 1000x bei diesem Phänomen geholfen. Der Fairness halber muss ich aber zugeben, dass der Erfolg nicht ganz 100%-ig war.