cj_berlin

Moin,

die Bandbreite geht natürlich sogar noch weiter, sowohl nach unten (jeder User hat DA) als auch nach oben (Red Forest mit Smartcards und SCAMA oder zumindest Shadow Principals). Alles (´zumindest nach oben) schon gebaut, alles (sowohl nach oben als auch nach unten) schon irgendwo gesehen  

Zumal es Dir schon zum zweiten Mal empfohlen wird, auf nur TCP umzustellen 😊

Zitat

Get-ADUser -Properties mail -Filter '*'

Vielleicht wollen wir aber auch ein paar CPU-Zyklen sparen und die Auswahl nur auf die User konzentrieren, wo die Prüfung auch tatsächlich Sinn ergibt:
 

Get-ADUser -Properties mail -LDAPFilter '(mail=*)'

Ja, eine ähnliche Entwicklung wie bei @m0insen habe ich bei einigen Kunden miterleben dürfen. Dazu kommt, dass das Versprechen des automatischen Compliance-Audits fast nie eingehalten wird. Mein Lieblingsthema waren  immer die im SAM gemeldeten Dutzende von "Exchange-Servern", die sich bei näherer Betrachtung als Admin-Jumphosts oder -Workstations mit installierten Exchange Management Tools entpuppten  

Das ist nicht die Sender Domain, sondern der Sender Host. Und der HELO String beim Send Connector ist halt ein anderer als der Hostname hinter der IP-Adresse, die zum empfangenden MX spricht. Es ist *schon* ein Fehlerzustand, aber einer, den Du bei 75% der SMTP-Handshakes feststellen würdest, wenn Du dir die Mühe machen würdest zu prüfen.

Ja, das ist in der Tat Quatsch, der in den frühen 2000ern erfunden wurde, um Billig-Internetzugänge von den ordentlichen zu trennen. Das war auch damals schon Quatsch, aber seit SPF und vor allem DMARC ist es totaler Dreck.

Moin, und willkommen on Board!

Magst Du die Aufgabenstellung *und* die vorhandene Netz-Topologie etwas ausführen? Traffic von wo nach wo, was ist hinter was geschaltet usw.

Bedeutet aber, dass MSFT immer noch Win311 irgendwo als SKU führt und hin und wieder Rechnungen dafür schreibt  

Ich frage mich halt, was im September wird? Der Kollege kommt wohl nicht mehr wieder - haben die gerade einen in Ausbildung? Ich stelle mir das so richtig bildhaft vor - angehender SysEl oder FISI, geilen Ausbildungsplatz bei SIEMENS geschossen, und dann das  

Das nicht, aber was gibt es da zu aktualisieren? Und vor allem, woher?

Es muss ja neben unserer Welt noch eine parallele Realität existieren, in der es Hardware gibt, auf der Windows 3.11 läuft, und Leute Treiber dafür schreiben.

"Treiber für Windows 3.11 aktualisieren"? Ich habe Fragen...

Müsste man ausprobieren, aber ich bin der Meinung, dass es nur für Systeme gilt, die es damals schon gab. Und seit Oktober letzten Jahres ist nichts davon supported. 

Aber wäre zu testen. Hat jemand eine XML herumliegen? Ich mache ja keine Audits mehr, habe also keine Hoffnung, Montag auf eine zu stoßen...

Aber die Tasks aus der GPP kann es doch auf keinem heute noch supporteten System mehr geben. Das ist vermutlich auch Teil des Problems  

Ich habe das in nahezu jeder Umgebung gesehen, wo ich ein Audit gemacht habe. Richtig erschreckend finde ich halt auch, dass der Kram seit 10 Jahren nicht mehr funktioniert, die Accounts aber immer noch gültig sind.

Moin,

auf welchem Transport läuft die OpenVPN-Verbindung - TCP oder UDP? Wenn es TCP ist, versuche am Client per Policy (notfalls per LocalGPO) zu erzwingen, dass für RDP ebenfalls TCP benutzt wird.

vor 18 Minuten schrieb wos:

Ihc bin mir nicht sicher (wie kann man sich jemals beim MS Lizenzdschungel überhaupt sicher sein), aber wenn ich eine 2. Instanz installiere, dann dürfte damit auch ein weiterer SQL Server zu lizenzieren sein?! 

Hier kannst Du dir sicher sein: eine 2. Instanz auf derselben Windows-Maschine ist von derselben Lizenz abgedeckt wie die erste.

vor 21 Minuten schrieb wos:

Bin mir gar nicht sicher, ob das überhaupt geht, was ich mir vorstelle.

Doch, mit mehreren Instanzen geht das. Die Anzahl der Instanzen muss aber halt noch managebar bleiben...

Moin,

auch wenn diese POP3-Puller schon immer verpönt waren und das Konzept in mehr als einer Hinsicht Sch**ße ist, ist anhand der geschilderten Anamnese nicht eindeutig, dass es nur daran liegt.

Hol doch mal eine signierte, aber nicht verschlüsselte Mail direkt mit einem POP3-Client vom Hoster ab und schau, wie der Header bzw. die Struktur aussieht. Vielleicht ist es bereits der Hoster, der das zerhaut. In diesem Fall hast Du wirklich keine Wahl, die Mails statt zum Hoster entweder direkt an den Exchange oder, besser, an einen Gateway davor zustellen zu lassen. "Gateway davor" kann ein Online-Dienst sein, muss nicht zwingend on-premises sein.

Das ist einmal wieder richtig geiler Stoff: https://msrc.microsoft.com/blog/2024/01/microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/ 

Klar, böser Nobelium, böse Russen, aber dann kommt's:

Zitat

the threat actor used a password spray attack to compromise a legacy non-production test tenant account and gain a foothold, and then used the account’s permissions to access a very small percentage of Microsoft corporate email accounts, including members of our senior leadership team and employees in our cybersecurity, legal, and other functions, and exfiltrated some emails and attached documents.

Und da kann ich nur kopfschüttelnd sagen: DAFUQ? Darf dort ein Praktikant Berechtigungen an Postfächern von Managern vergeben, und zwar an identitäten außerhalb des Tenants?

Solange das so bleibt, ist die ganze "EU Data Boundary"-Diskussion das digitale Papier nicht wert, auf dem sie geführt wird...

Moin,

das einzige, was an EWS als Zugriffsprotokoll auszusetzen wäre, ist, dass damit der vollständige Befehlssatz möglich ist, sprich, dass damit auch Mails, Permissions vorausgesetzt, versendet werden können. Daher, wo möglich, NICHT mit Impersonation arbeiten, sondern mit expliziten Berechtigungen, und dort nur das Leserecht erteilen. Muss die Anwendung natürlich in ihrem Code umsetzen.

Ansonsten, wenn es nur um Lesezugriff geht, POP3 und IMAP4 sind immer noch möglich - auch da muss die Anwendung dies im Code umsetzen.

Schwieriger wird es, wenn die zugreifende Anwendung die Elemente, auf die zugegriffen wird, anpassen muss - zum Beispiel, den Link zum Speicherort im DMS in eine MAPI-Property des archivierten Eintrags injizieren. Das geht wieder nur über EWS oder MAPI, und MAPI willst Du wirklich nicht.

Moin,

bei einem Kunden haben wir das nach langen Diskussionen mit mehreren Instanzen gelöst, wo das betreffende Team zwar nicht sa, aber immerhin db_creator hatte. Es waren aber nur drei Dev teams plus Produktion, da geht es. Hast Du zwanzig solche User oder Teams, wird es nicht mehr händelbar.

vor 7 Minuten schrieb Dukel:

Daher sollte man sich angewöhnen von Core-Lizenzen und nicht von Server-Lizenzen zu sprechen. Dann sollten solche Nachfragen obsolete sein.

Jetzt, wo die vSphere-Lizenzierung Geschichte ist, kann man sich das in der Tat angewöhnen  

Für geografisch entfernte Familienmitglieder ist Familink richtig, richtig geil. Ich traue mich nicht, auf die Datensicherheit dieses Providers zu schauen, denn dann müsste ich es meiner Mutter vermutlich gleich wieder abklemmen, aber funktional einwandfrei und erlaubt ihr, an unserem Familienleben teilzuhaben. Wir und unsere Töchter können ihr Bilder mit einer Handy-App auf den Rahmen schicken, sie kann sie dann per Touchscreen liken - top! Sieht auch hübsch aus.

Die Anzahl betroffener SBS-Kunden dürfte sich also in Grenzen halten   

Der Gedankensprung war mir jetzt zu weit, zumindest am Sonntag.

Moin,

die Dienstleistungen verschieben sich dorthin, wohin sich auch die Budgets verschieben. Noch ein paar Jahre Preisentwickllung für Energieträger, wie wir sie jetzt erleben, und der nächste Green-IT-Boom ist vorprogrammiert  Und wenn die Rezession noch 7-8 Jahre andauert, werden wir das Jahr von Linux auf dem Desktop vielleicht doch noch erleben, weil einfach Geld für den nächsten Hardware-Refresh fehlt.

Was Security angeht, wird sich nichts ändern, solange Manager nach Performance und Usability bewertet werden, und damit meine ich nicht nur IT-Manager. Ich weiß nicht, ob es wahr ist, aber jemand, der sehr lange in Japan gelebt und sich mit der dortigen Kultur gut auskennt, hat mir dies erzählt: Bis vor ein paar Hundert Jahren hat jedes größere Dorf (das sich das leisten konnte) einen Arzt ausgehalten. Er hat ein Haus bekommen, Bedienstete, Tiere, Nahrung für sich, seine Familie, Bedienstete und Tiere, Kleidung, alles, was man braucht - solange alle im Dorf gesund waren. Wurde einer krank, wurden Zuwendungen eingestellt. Wenn wir die Manager - nicht nur den CISO, die gesamte C-Suite - nach dem KPI "Tage seit dem letzten Cyber-Vorfall" entlohnen würden, hätten wir eine völlig andere Wahrnehmung.