Ja_Nosch

Es wundert mich, dass wir hier in einem IT-Forum von "paranoid" schreiben, auf der anderen Seite im Forum aber (zu Recht) IT-Sicherheit hochgehalten wird. (Nicht nur) als Berufsgeheimnisträger sollte jede/r dieses Thema hochhalten, was aber leider in der Praxis nicht passiert - das genau ist doch auch, was in diesem Forum oft kritisiert wird. Klassisches Beispiel ist doch, dass den Leuten von Mailverschlüsselung erzählt wird, da aber nur die die Transportverschlüsselung gemeint ist. Schaut man dazu noch bei großen Hostern in die Einstellungen derer Webmailer, sieht man, dass selbst die mit den dahinterstehenden IMAP-Servern ohne SSL/TLS kommunizieren ... Wir kommen aber vom Thema ab. Ich war einfach erschrocken, als ich gesehen habe, wie leicht man bei HE im Virtuozzo PowerPanel (VZPP) auf das Dateisystem "seines" Windows-VPS zugreifen kann - und das auch bei (bis auf den RDP-Port) geschlossener Firewall und keinerlei anderer User in der Windows-Benutzerverwaltung. Hat jemand von Euch Erfahrung mit IPMI-KVM von Supermicro? Dieses System war bei besagtem Hoster schonmal in der Fachpresse, wegen Sicherheitslücken und es gibt da noch immer Fehler / veraltete Softwarestände. Ohne KVM ist aber keine Lösung für mich bei nem dedicated Server. Ihr habt doch sicher auch hin und wieder die Anforderung, dass vom Host auf eine VM nicht zugegriffen werden können soll - wie regelt ihr das? Nicht umsonst gibt es seit Windows Server 2016 ja die Shielded Virtual Machines, wenn auch kein Anwendungsfall für mich. Danke Euch für Ideen P.S.: @Nobbyaushb habe in einem anderen Thema Deine private Ausrüstung gesehen, da kann man ja neidisch werden - top. "Garage" wäre bei mir auch eine Alternative, allerdings klappt es dann wegen der dynamischen IP-Adressen nicht mit dem eigenen Mailserver (klappt schon, aber Du bist halt bei sorbs direkt wegen Deiner IP auf der Liste). Gerne per PN Infos zu der KVM-Problematik, die ich meine.

Lieber Nobbyaushb, danke für Deine Rückmeldung, aber was hat das mit der technischen Fragestellung zu tun? Ich könnte Deinen Punkt bezüglich Zugang zu Rechenzentren aus eigener Berufserfahrung sofort widerlegen, darf es aber nicht; zudem könnte man ja mit dieser Argumentation jegliche Sicherheit / Verschlüsselung hinterfragen.

Vielen Dank für die Mühe, @Sunny61! MS hat wohl die Methode mit Reboot --> Reboot.bak + Reboot-Ordner erstellen gestopft. Traurig, dass man seinen Server austricksen muss, damit er durchläuft. @Testperson, ich wüsste nicht, was diese Fragen hier zur Sache tun?! Meine Frage- bzw. Problemstellung war doch klar: ich will nicht, dass der Server ohne mein Zutun / ohne meine Aufsicht neu startet. Welche Rolle spielt es da, ob der Server in nem Krankenhaus die Gebäudeleittechnik steuert oder zu Hause fürs Videostreaming zuständig ist? "Einfach" einen weiteren dazutun - was sollte das bringen? Der hat dann ja wieder diese Eigenheit und wer sagt mir, dass nicht beide zur selben Zeit Updates installieren wollen?! Auch die Frage, weshalb Bitlocker benötigt wird, erschließt sich mir nicht.

Ein plötzlich neu startender Server, der dann an der Bitlocker-Kennworteingabe hängt, ist auch kontraproduktiv ... Gibt es eine GPO-Einstellung, die dafür sorgt, dass der Server unter keinen Umständen neu startet? Oder bleibt nur der o.g. Workaround? Danke! Edit: Unter Server 2019 klappt dieser Trick nicht mehr (siehe https://serverfault.com/questions/952657/server-2019-updateorchestrator-reboot-missing). Welche Möglichkeit habe ich, einen automatischen Neustart unter allen Umständen zu unterbinden? Danke!

Niemand eine Idee für dieses Szenario, das doch sicher für jede/n relevant ist, der IT (teilweise) in externe Rechenzentren auslagert?

Hallo Community, gibt es zwischenzeitlich eine zuverlässige Lösung, bei Windows Server 2016 oder 2019 den automatischen Neustart nach Updates zwingend zu verhindern, außer über diesen Workaround: https://www.mioso.com/automatischer-neustart-nach-updates-deaktivieren-windows-server-2016/? Danke.

Guten Morgen! Ich möchte von einem gemieteten VPS (also eine virtuelle Maschine) bei meinem Hoster wechseln zu einem dedicated Server, also eigener Hardware. Darauf soll u.a. ein eigener Mailserver betrieben werden. Nun geht es mir um das Thema Sicherheit und wie ich Zugriffe Dritter - z.B. Personal des Hosters - auch technisch ausschließen kann, insbesondere da der dedicated Server ja nicht in meinen Räumlichkeiten steht (und man normalerweise sagt, dass der, der den Zugriff auf die Hardware hat, auch Zugriff auf die Daten hat). Auf dem Server soll Windows Server 2016 oder 2019 laufen (Lizenzen werden über Hoster mitgemietet). Prinzipiell könnte ich ja einfach Bitlocker aktivieren, ggf. nur mit Key beim Booten (müsste dann über KVM eingegeben werden), dann wäre ich zumindest sicher, wenn jemand den Stecker zieht und die Hardware entwendet. Ich sehe aber Probleme beim laufenden Betrieb. Auf den Servern ist eine IMPI von Supermicro installiert (Screenshots siehe hier: https://serverfault.com/questions/452063/entering-bios-setup-from-supermicro-ipmi-kvm). Als "Operator" kann ich diesen Zugang nutzen, z.B. um mich über KVM schon während des Bootvorgangs aufzuschalten. Weiß jemand, ob der Hoster über diesen Zugang auf Festplatten zugreifen kann? So wie ich es bisher sehe, ist das nicht möglich, er kann lediglich Sensoren u.ä. auswerten (CPU Temperatur etc.). (Anders kenne ich das vom VPS z.B. einem großen Provider, dort kommt man über das Virtuozzo-Panel über den Kundenbereich auf die Daten des eigenen VPS, auch wenn man dort alle User gesperrt / PW geändert hat! Ist aber ja auch Virtualisierung). Um das ganze aber sicherer zu machen, habe ich mir überlegt, den Host nicht zu verschlüsseln, sondern lediglich die einzelnen Hyper-V-Maschinen (2 darf ich ja betreiben). Ich hätte dadurch auch den Vorteil, die Bitlocker-Keys nicht via (unverschlüsseltem!) KVM, sondern über die RDP-Sitzung des Hyper-V-Hostes eingeben zu können. Welche Möglichkeiten hätte ein Angreifer hier noch, an Daten aus den Hyper-V-Gästen zu gelangen? Zieht er den Stecker, ist sowieso aus, weil die Verschlüsselung beim Neustart abgefragt wird. Schafft er es, z.B. über IPMI, auf den Hyper-V-Host (was in meinen Augen bereits unwahrscheinlich ist), sehe ich keine Möglichkeit, auf die eingebundenen Hyper-V-Gäste zugreifen zu können, auch wenn diese laufen. Mache ich einen Denkfehler? Vielen Dank für Euren Input.

Was VPN anbelangt: da is es doch, wenn ich mich nicht irre, nur für ggf. späteres Site-to-Site problematisch, weil er dann die Adressen des fremden Netzes im eigenen sucht, oder? Als Client in ein fremdes Netz per VPN zu verbinden dürfte doch unproblematisch sein, da er ja dann alles dortin routet, per default? Das mit den Multicasts interessiert mich aber jetzt schon noch

Das war nur ein (doofes) Beispiel. In der Tat würde ich immer solche Netze wählen, die durch Änderung der Subnetmaske leicht erweiterbar wären. Trotzdem soll es etwas exotisch sein, wegen anderer VPNs.

Du rätst also von meiner geplanten Adressaufteilung ab? Ich habe eben keine Lust auf 192.168.20.1 bis 192.168.20.254, das ich dann z.B. so unterteile: 192.168.20.1 bis 192.168.20.10 Router/Switch, 192.168.20.11 bis 192.168.20.50 Clients etc. Wo kann ich denn mit Multicasts Probleme bekommen? Vodafone TV bzw. T-Entertain? Danke.

Hallo, ich richte derzeit mein privates Netzwerk neu ein und denke über ein neues IP-Adressdesign nach. Im Moment gibt es drei Standorte der Familie, die über VPN miteinander verbunden sind: Standort A: 192.168.10.0 / 255.255.255.0 (CIDR: 24) Standort B: 192.168.20.0 / 255.255.255.0 (CIDR: 24) Standort C: 192.168.30.0 /255.255.255.0 (CIDR: 24) Die so an einem Standort zur Verfügung stehenden IP-Adressen von .1 bis .254 werden langsam knapp, vor allem, wenn man untergliedert (z.B. .40-.50 nur Server etc.). Daher dachte ich daran, auf das 10er-Netz umzustellen, z.B. für den Stanort A: 10.200.8.1 - 10.200.15.254 / 255.255.248.0 (CIDR: 21), dies könnte weiter untergliedert werden, z.B. wie folgt: 10.200.8.0 - Router, Switche, Repeater etc. 10.200.9.0 - Server mit fester IP Adresse 10.200.10.0 - Hausautomation 10.200.11.0 - DHCP 10.200.12.0 - VPN 10.200.13.0 - Reserve 10.200.14.0 - Reserve 10.200.15.0 - Versuch / Test Der nächste Standort würde dann ab 10.200.16.0 beginnen. Was haltet ihr von der Idee? Genügen für eine spätere Hausautomation 254 IP-Adressen (KNX?)? Ggf. läuft das dann sowieso über IPv6. Welche Unterteilung würdet ihr vornehmen? Danke für Eure Vorschläge!

Die Anforderungen sind, dass es ein Server mit mehreren VMs für den Privatgebrauch und mein Kleingewerbe sein soll. Ich habe mich nun gegen das Raid entschieden, weil es, wie oben auch angedeutet wurde, letztlich nur Schlangenöl wäre, weil alle anderen Komponenten ja auch nicht redundant sind (Netzteil, Internetanbindung etc.). Ich investiere lieber mehr in Backups, die Ausfallzeiten sind in jedem Falle zu verkraften. Erst dachte ich noch, dass ich 2 x die kleinere SDD nehme, aber die hat wohl schlechtere Werte. Kann noch wer sagen, ob ich von den Intel-DC-Produkten mit der S4600 gut beraten bin, gerade als Gast für VM? danke Euch!

Wenn ich nochmal drauf zurück kommen kann ... im konkreten Fall dann besser nur die Intel-SSD ohne Raid, statt 2 x Intel-SSD mit Software-Raid, korrekt?

Doch, alles da, aber ich hatte auch immer im Kopf, dass die Aktivierung nach so und so vielen Neuinstallationen streikt. Da bin ich beruhigt, wenn das offensichtlich nicht so ist.

Hallo zusammen, gibt es eine Möglichkeit, für die Neuinstallation auf der selben Hardware die Aktivierung eines Server 2012 R2 oder Server 2016 zu "sichern", damit anschließend nicht mehr aktiviert werden muss? Lieben Dank!

Ich muss mich mal bei Lian ganz kleinlaut entschuldigen: Mein NAS hat in der Tat kein Hardware-Raid. Sorry für den Mist, den ich da geschrieben habe ...

Hallo zusammen, vielen Dank für Eure Hilfe. Soll für mich privat sein in diesem Fall. Hatte die "normalen" Storage Spaces in der Tat mit Direct verwechselt. List sich interesannt, ist aber, wenn ich das sehe, auch nichts anderes, als eine Art Software-Raid? Vor allem: mit dem Intel-Software-Raid kann ich auch den Host "schützen", das geht bei den Storage Spaces ja nicht, dort klappt das wohl nur für die VMs selber. Was ist im Zweifel also besser? Kein Intel-Software-Raid oder die Funktion aktivieren? Mir geht es insbesondere um die Performance der SSD. Andere Variante in meinem Fall wäre eben die, dass ich regelmäßig die VMs und den Host sichere, auf das NAS ziehe (dort echtes HW-Raid), das verschlüsselt bei einem Cloud-Anbieter sichert UND auf das NAS (auch Raid) bei einem Verwandten. Dann wäre die Datensicherheit da, nur im Falle des HDD- bzw. SDD-Ausfalls keine Redundanz / Verfügbarkeit. Was haltet ihr generell von der genannten Intel-SSD? Danke.

Danke Dir. Storage Spaces ist spannend, aber aus meiner Sicht für diesen Anwendungsfall too much. Der T30 ist auch nicht auf der Liste kompatibler Geräte. Freue mich über Meinungen zu obigem Konzept :)

Dachte ich auch schon dran. Möchte / muss aber auch per IMAP dran kommen, das geht bei vielen Exchange-Hostern nicht (z.B. Hosteurope).

Hallo zusammen, es geht um einen Dell T30-Server, bei dem der Hyper-V-Host auf der ab Werk vorhandenen HDD installiert ist (Windows Server 2016) und der mittelfristig 2-4 Gäste beherbergen soll. Diese Gäste auf der eingebauten HDD zu betreiben, kann man vergessen - funktioniert, ist aber quälend langsam. Daher möchte ich eine Intel DC S4600 einbauen und darauf die Gäste legen. Erste Frage ist, wie ihr diese SDD findet? Mir war u.a. Powerloss Protection wichtig und dass es ein RZ- und kein Consumer-Produkt ist. Problem ist nun, was ich mit dem RAID mache. Der T30 hat selbst kein Hardware-Raid, unterstützt auch offiziell keines. Man kann aber z.B. einen Dell H310 umflashen auf IT-Modus. Habe ich nicht so Lust drauf. Die andere Alternative wäre ein Software-Raid - das wird über die Intel-Software unterstützt. Zweite Frage also: würdet ihr im Zweifel lieber kein Raid nutzen oder in dem Fall dann (mit zusätzlichen SDD/Platten) auf das Softwareraid ausweichen? Backup läuft auf andere Geräte, ist also davon natürlich unabhängig. Vielen Dank!

Hi, sorry, da war ich nicht genau genug. Provider soll den Mailserver selbst betreiben. Vom Datenschutz wäre es auf meinen eigenen Systemen zwar besser, denke aber, dass das für 1 Person und paar System-Adressen übertrieben wäre. Vor allem will ich keine Port-Weiterleitungen ins interne Netz, konnte ich bisher (außer VPN zum Router) gut vermeiden. Bei Hosteurope kam es in den letzten Monaten immer wieder zu Fehlern und Problemen - und auch sowas wie automatische Weiterleitung nach Filter geht dort nicht.

Hallo ihr, könnt ihr mir einen zuverlässigen Hoster für meine Domain für den Versand und Empfang von Mails empfehlen? Bin bisher bei HE, aber nicht mehr zufrieden. Ich schwanke bisher zwischen Contabo und Hetzner. Wichtig ist mir halt auch, dass die Mails in der Regel ankommen und man nicht überall geblacklisted ist. Danke!

Hallo zusammen, ich habe mich echt unglücklich ausgedrückt - tut mir leid. Danke erstmal für Eure Antworten. Prinzipiell geht es mir nicht um die Zeit, während der neu installiert oder neu gestartet wird, sondern darum, ob dadurch dann später im wieder verschlüsselten Zustand irgendwelche Nachteile entstehen (was weiß ich durch Sektoren, die dann ausgelesen können oder temporäre Dateien etc.). Vielleicht mache ich mir aber in der Tat zu viele Gedanken. - mit "ohne TMP" meine ich die Nutzung von nur einer PIN (muss man ja zuvor über Gruppenrichtlinien erst ermöglichen) - für den Neustart würde ich "Schutz anhalten" auswählen. Dann muss man meines Wissens nach keinen PIN beim Neustart eingeben. Ich wusste nicht, dass man mit aktiviertem Bitlocker neu installieren kann. Das probiere ich nachher. Key exportiere ich natürlich vorab, ist klar

Hallo zusammen, ich brauche mal Eure Einschätzung. Bei nicht verschlüsselten Festplatten ist es ja so, dass auch nach dem Formatieren und Neuinstallieren von Windows mit speziellen Tools noch Dateien wiederhergestellt werden können. Mein neues Notebook habe ich direkt nach der Installation vollständig mit Bitlocker verschlüsselt (über Key, TMP deaktiviert). Danach habe ich Daten aufgespielt. Wie verhält es sich nun, wenn ich Bitlocker kurzzeitig deaktiviere, z.B. um die Maschine remote neu zu starten? Ist die Sicherheit nach erneuter Aktivierung wieder vollständig gegeben oder können die Daten nun auch mit diversen Tools ausgelesen werden? Ich denke da z.B. an das Problem, dass bei SSDs Daten wiederhergestellt werden können, da die SSD entscheidet, auf welche Speicherbereiche wann zugegriffen wird. Ähnlich gestaltet es sich nun mit einem Notebook, das ich neu aufsetzen möchte: dazu muss ich ja Bitlocker deaktivieren. Zuvor würde ich alle Daten runterlöschen. Ist das sicher? SSD mit Spezialtools formatieren will ich ungern, da davon ja wohl die SDD Schaden nehmen kann. Ich hoffe, ihr versteht meine Frage - irgendwie habe ich ein ungutes Gefühl, wenn die "Sicherheitskette" durch Aufhebung der Verschlüsselung unterbrochen wird. Wie macht ihr das? Danke Euch.

Hallo zusammen, ich habe auf einem Server 2008 R2 ohne Domäne alle Updates installiert und anschließend das deutsche Sprachpaket installiert und aktiviert (zuvor war alles auf Englisch). Seither kommen verschiedene Fehlermeldungen beim Öffnen von gpedit.msc (siehe Anhang). Wie werde ich das Problem los? Nach Umstellung auf "Deutsch" sind die Fehlermeldungen weg, ebenfalls, wenn unter C:\Windows\PolicyDefinitions die Ordner tausche (dann aber sind die GPOs auf englisch). Danke!