mwiederkehr

Falls das Argument der "zweistufige Filter" ist: Der NSP kann Anhänge zusätzlich zur integrierten Scan-Engine mit einem weiteren Virenscanner prüfen. Dieser könnte sogar von Sophos sein.

Für das Monitoring könntest Du den SMTP&IMAP-Roundtrip-Sensor vom PRTG einsetzen. Damit kannst Du regelmässig eine E-Mail an die vorderste Appliance (also den MX) schicken und er prüft per IMAP, ob diese auf dem Exchange ankommt. Aber ich schliesse mich meinen Vorrednern an und würde mich auf einen Filter konzentrieren, in diesem Fall ist der NSP die bessere Wahl. Da Du es erwähnt hast und es evtl. in der Diskussion mit dem Vorgesetzten auftauchen kann: E-Mail-Quarantäne ist eine schlechte Idee. Damit müssen entweder die Mitarbeiter regelmässig den Inhalt des Spam-Ordners prüfen (was den Zeitgewinn durch Spamfilterung mindert) oder aber E-Mails werden "vergessen", ohne dass der Absender eine Meldung bekommt. Moderne Filter haben so wenige False Positives, dass es besser ist, als Spam oder Viren erkannte E-Mails abzulehnen. Dann wird der Absender benachrichtigt und kann entsprechend reagieren.

Bei uns in der Schweiz ist Auffahrt ein normaler kirchlicher Feiertag. Wir verreisen jeweils mit Kollegen über das Auffahrtswochenende in den Schwarzwald. Da habe ich die Tradition zum ersten Mal gesehen. Männer auf provisorisch umgebauten Traktor-Anhängern oder die sportliche Variante mit dem Bier im Handwagen und unterwegs aufgefundenen Pylonen als Kopfbedeckung. Ich dachte, das sei eher ein südlicher Brauch, wo es Orte mit Namen wie "Bierbronnen" gibt und die Brauereidichte höher ist als im Norden, aber anscheinend findet der Brauch auch dort Verbreitung.

Der Veeam Agent kann den gesamten Rechner sichern und bringt Datenbanken über Schattenkopien in einen konsistenten Zustand. Der Veeam Explorer for Microsoft SQL Server ist eine zusätzliche Anwendung, welche bei der (kostenpflichtigen) Serverversion dabei ist. Damit lassen sich Datenbanken aus einer Sicherung öffnen, einzelne Tabellen wiederherstellen oder Datenbanken vor der Wiederherstellung temporär an einen SQL Server anhängen. Das ist bei sehr grossen Datenbanken sicher praktisch, aber Du brauchst es nicht. Ich würde zusätzlich zur Veeam-Sicherung die Datenbanken und Logs regelmässig per SQL-Backup sichern und die Sicherungsdateien dann mit Veeam sichern.

Wenn es darum geht, einen Cluster mit S2D zu bauen und den Speicher irgendeinem System zur Verfügung zu stellen, würde ich einen Scale-out File Server bauen und die Freigaben ein paar Clients zur Verfügung stellen. Dann wäre die Arbeit die Konfiguration von S2D, evtl. inkl. SSD-Cache, Benchmarks, Failover-Tests, Überwachung und Dokumentation der Wiederherstellung nach dem Austausch defekter Disks. Zusätzlich allenfalls noch einen kurzen Vergleich der Vor- und Nachteile mit anderen Systemen. Das wäre in der Schweiz im Rahmen einer Abschlussarbeit (zehn Tage Zeitbudget).

NFS ist für S2D bzw. Scale-Out File Server nicht unterstützt. Aber was ist überhaupt das Ziel Deiner Arbeit? Einen Virtualisierungscluster zu bauen oder einen redundanten Speicher: Falls Virtualisierungscluster, würde ich entweder Hyper-V Hyperconverged nehmen oder VMware mit einem iSCSI-Target ohne S2D, einfach auf einem einzelnen Server. In der Arbeit kannst Du dann beschreiben, dass man in der Praxis den Speicher anders aufbauen würde. Allenfalls, falls Du den Speicher in die Virtualisierungs-Hosts einbauen kannst, wäre VMware vSAN eine Option. Falls Du einen verteilten Speicher bauen willst, wirst Du wohl entweder bei einer kommerziellen Software (SANsymphony) oder aber Linux (mit DRBD und Pacemaker) landen. Das ist aber evtl. zu viel für ein einzelnes Projekt (und es stellt sich die Frage nach der Praxisrelevanz).

Du hast recht. Abgekündigt wurde Version 1.x von AADC, aber bei Version 2.x ist nichts bezüglich EOL zu lesen. Da wohl einige Medienberichte ungenau und ich war ebenfalls nicht genug aufmerksam.

AADC wird abgelöst durch Cloud Sync. "Raider heißt jetzt Twix – sonst ändert sich nix!" gilt zwar nicht ganz, aber in den (kleinen bis mittelgrossen) Umgebungen, in denen ich damit zu tun hatte, wurden alle benötigten Funktionen unterstützt und der Umstieg hat problemlos geklappt. Bei einer neuen Umgebung würde ich gleich mit Cloud Sync beginnen, dann spart man sich die Migration. Zudem wurde der Bedienkomfort verbessert, man kann den Status jetzt im Azure-Portal überwachen.

Was ich schon gesehen habe: Die "heiklen" Daten werden per Remotedesktop bearbeitet, mit deaktivierter Zwischenablage und Screenshotfunktion. Du könntest Dir das Information Rights Management von Microsoft anschauen. Damit kann man Dokumente schützen, sodass sie nur auf Firmenrechnern geöffnet und daraus nichts kopiert werden kann. Es ist aber nicht trivial in Einrichtung und Betrieb.

Ich sehe aktuell nicht, wie ein Problem eines NTP-Servers relevant sein sollte für die Sicherheit der Clients, die im Falle von Windows eine andere Implementation verwenden. Zudem betrifft der Bug libntp, könnte also auch nur den Client betreffen. (Wonach es laut Kommentaren aussieht, aber habe es nicht geprüft.)

Die Jahre um das Erscheinen von Exchange 2013 waren eine turbulente Zeit mit vielen Kurswechseln. Das HMC ist wegen überbordender Komplexität gefloppt, aber die Kunden wollten Hosting. Multi-Tenancy kam (zumindest für mich) überraschend mit dem SP1 von Exchange 2010. Der "/hosting"-Switch hätte dem GAL-Berechtigungs-Gebastel ein Ende setzen sollen. Gleichzeitig wurde das beliebte kommerzielle DotNetPanel aufgekauft und sollte als Ersatz für das HMC dienen. Es wurde unter dem Namen WebsitePanel als Open Source veröffentlicht und als Paket für den Web Platform Installer gepflegt. Hosting von Microsoft-Produkten sollte endlich nicht nur lizenzrechtlich (SPLA), sondern auch technisch funktionieren. Mit Exchange 2013 wurde man dann so richtig im Regen stehen gelassen: kein "Hosting Mode" mehr, nicht einmal ein vernünftiger Migrationspfad wurde angeboten, nur Cross-Forest-Migration. Das WebsitePanel wurde tauglich für Address Book Policies gemacht, viel mehr kam aber nicht mehr. Das war die Zeit, als man bei Microsoft gemerkt hat, dass man Hosting auch selbst kann und keine Partner benötigt dafür.

Das ist korrekt für die Samsung Gallery. Die scheint nur mit dem persönlichen OneDrive synchronisieren zu können. Was aber funktionieren sollte, ist die Synchronisation mit der OneDrive-App. Also dass nicht die Gallery die Fotos hochlädt, sondern die OneDrive-App. Das sollte mit jedem Gerät funktionieren, da OneDrive die Fotos aus der Bibliothek zieht.

Falls beide, dann zuerst den Network+, da der weniger weit geht. Ich würde den Arbeitgeber einbeziehen, evtl. ist ihm eine Zertifizierung etwas wert. Muss ja nicht Geld sein, schon einen halben Tag pro Woche lernen auf Arbeitszeit wäre nicht schlecht. Wie auf https://www.cisco.com/c/en/us/training-events/training-certifications/certifications/associate/ccna.html zu lesen ist, kann man die Prüfung online machen oder in einem Center Pearson VUE. Beim Network+ ist es ebenso.

Steht der Entscheid zum CCNA schon fest? Nichts gegen den CCNA, die Ausbildung bietet eine solide Grundlage in Netzwerktechnik. Aber es ist eine herstellerspezifische Zertifizierung. (Wobei das nicht mehr so "schlimm" ist wie früher, da die Protokolle mittlerweile standardisiert sind und sich auch bei der Konfiguration viele Hersteller an die Cisco-Syntax anlehnen.) Herstellerunabhängig wäre zum Beispiel CompTIA Network+, wenn auch nicht ganz auf dem gleichen Niveau. Lernen kannst Du selbst, wobei es natürlich hilfreich ist, einen Experten fragen zu können, wenn man irgendwo nicht weiter kommt. Zumindest früher lag den offiziellen Lernunterlagen ein Netzwerksimulator bei, mit dem man diverse Komponenten virtuell verkabeln und die echte Syntax verwenden konnte. Wie ich sehe, gibt es den jetzt online: https://www.boson.com/network-simulator/ccna-200-301-cisco-network-simulator

Gegen das gesteigerte Marketing-Blabla gibt es dann wieder eine KI:

Die zunehmende Automatisierung und Digitalisierung bedroht viele Arbeitsplätze mit niedriger Qualifikation. Die "KI" ist daran aus meiner Sicht zumindest aktuell nicht so sehr beteiligt. Aber mehr als die Blockchain, um den vorhergehenden Hype nicht zu vergessen. Vor dreissig Jahren musste, wer für ein Bauprojekt einen beglaubigten Grundbuchplan wollte, diesen beim zuständigen Geometer bestellen. Die Pläne waren pro Gemeinde nur auf Papier vorhanden, welches auf einer Aluminiumplatte aufgeklebt war. Jemand musste den richtigen Ausschnitt im Heliografen zentrieren und der Plan wurde fotografisch reproduziert. Danach wurde mit Tusche und einer Schablone das Datum notiert und der Stempel kam darauf. Vor zwanzig Jahren waren die meisten Pläne digitalisiert, sodass es nur einen Ausdruck im Laserdrucker und den Stempel benötigte. Heute wählt man den Ausschnitt auf einer Website, bezahlt mit Kreditkarte und bekommt Sekunden später den Plan als signiertes PDF. Es ist eine Illusion zu glauben, dass der ungelernte Hilfsarbeiter, welcher den Heliografen bedient hat oder der Vermessungszeichner, welcher den Ausdruck gefertigt hat, nun alle an der Entwicklung von Webanwendungen arbeiten. Diese Stellen sind verloren gegangen. Das ist aber die "Schuld" der Digitalisierung, ChatGPT braucht es dafür nicht. Neu ist bei ChatGPT höchstens, dass jetzt auch gewisse "höherwertige" Stellen bedroht sind: Produktbeschreibungen aufgrund von Stichworten oder ganze Affiliate-Spam-"Produkttests" erzeugt ChatGPT in "menschlicher" Qualität, auch Beiträge für Content-Marketing, also Texte im Stile von "zehn Tipps für die Grillsaison", sind brauchbar. Das sind aber alles Sachen, die bestehende Inhalte in anderer Form wiedergeben und keine neuen Erkenntnisse bringen.

Es gibt Metasploit-Module zur Auflistung von Benutzern bei OWA und RDWeb. Soweit ich es den entsprechenden Websites entnehmen konnte, ist das Problem bei Microsoft bekannt, wird jedoch als nicht schwerwiegend genug erachtet, um eine Lösung anzubieten. Ich würde, wie Nils vorgeschlagen hat, die Pentester fragen.

Ich habe ja immer gemeint, als Dialekt-gewohnter Schweizer die deutschen Dialekte recht gut zu verstehen. Als mir der Opa des Schwagers aus der Lüneburger Heide einen Witz in Heidjer-Platt erzählt hat, habe ich fast gar nichts verstanden. Wenigstens ist mein Hochdeutsch inzwischen so gut, dass ich erst nach ca. einer Minute die Frage "aus der Schweiz?" zu hören bekomme.

Dazu fällt mir ein Lied eines (in der Schweiz) berühmten Komikers ein: https://www.youtube.com/watch?v=oLLLH8D5e8k

In meinem Umfeld hat sich diesbezüglich die letzten Jahre sehr viel geändert. Man hat es aufgegeben, Datenschutz ist etwas für Nerds. Mal kurz TikTok installieren? Kein Problem, "die Amis wissen sowieso schon alles über mich, dann können es die Chinesen auch wissen". Kürzlich hat ein Anwalt, der noch einen eigenen Exchange betreibt, gemeint, er könne demnächst auch in die Cloud, da ohnehin alle ausgehenden E-Mails dorthin gingen. Laut Erfahrungsberichten sollen "elektronische" Rückspiegel so ziemlich das dümmste Zubehör sein. Nicht wegen der Ausfallsicherheit, sondern weil man nicht räumlich sieht damit.

Der Unterschied zu früher ist jetzt wohl, dass auch bei kleineren Unternehmen die Anforderungen an die Verfügbarkeit der IT massiv gestiegen sind. Früher hat man ohne grosses Murren gewartet, bis der Restore vom NTBackup fertig war und halt einen halben Tag lang das Büro aufgeräumt. Bei den heutigen papierlosen Büros gibt es nichts mehr aufzuräumen und ohne IT funktioniert nicht mal das Telefon. Da hat die Cloud schon ihre Vorteile.

Falls ein Azubi vorhanden ist, wäre das doch eine schöne PowerShell-Übung. Stichworte: Graph API, Toast Notifications.

"SystemDefaultTlsVersions" = 1 bedeutet, dass .NET-Anwendungen sich an die Verschlüsselungseinstellungen des Betriebssystems halten. TLS 1.2 wird damit standardmässig nicht erzwungen, aber präferiert. Anwendungen, die für .NET-Versionen kleiner als 4.7 kompiliert wurden, verwenden sonst die Standardeinstellung von .NET und die ist je nach Version anders und bei diesen Versionen veraltet. Er versucht dann gar nicht TLS 1.2 zu verwenden, auch wenn er es könnte und so scheitern Verbindungen zu Servern, die TLS 1.2 erfordern. "SchUseStrongCrypto" = 1 heisst, dass nur noch TLS 1.0 und höher erlaubt sind, kein SSL 3.0 mehr. Ich lasse auf neuen Servern jeweils gleich noch "IIS Crypto" mit dem Profil "Strict" laufen, was alles unter TLS 1.2 deaktiviert. So würde man Probleme schon bei der Installation sehen. Ich hatte aber noch nie Probleme damit. Die Zeit läuft, TLS 1.2 ist nicht mehr so neu, wie man vielleicht meint.

Wenn auf dem Rechner noch Dienste laufen, muss ich meinen Vorschlag bezüglich OneDrive revidieren. Den Druck von Rechnungen wird man als moderne Firma bald abschaffen und E-Mail-Archivierung gibt es gehostet, aber das mit den Datenbanken wäre abzuklären. Es könnte sinnvoll sein, den Server als Server zu installieren und zwei VMs einzurichten: ein DC und ein Datei- und Datenbankserver. Bezüglich RAID bin ich bei diesem Mainboard skeptisch. Ein RAID 5 aus NVMe- und SATA-SSDs wird wahrscheinlich nicht funktionieren. Evtl. den Hyper-V auf die NVME-SSD installieren (ohne RAID) und mit den beiden SATA-SSDs ein RAID 1 einrichten. Dies lieber mit Windows als mit dem "Onboard-RAID" des Mainboards. Ich würde eine lokale Firma beiziehen. Die kann Dir Vorschläge machen zum Umzug in die Cloud oder den Server sauber installieren. Routineaufgaben wie Datensicherungskontrolle und Windows Updates kannst Du danach ja immer noch selbst durchführen.

Bei so wenigen Benutzern rate ich von einem eigenen Exchange ab, sogar wenn Kenntnisse vorhanden sein sollten. Der Aufwand für Installation und Unterhalt lohnt sich nicht für so wenige Postfächer. Ich bin bei einer Rechnung mal auf mindestens 50 Postfächer gekommen, ab denen sich rein finanziell betrachtet ein eigener Exchange lohnt. In der Zwischenzeit ist Exchange Online aber sogar noch günstiger geworden. Da ihr bis jetzt ohne Domäne auszukommen scheint, könnte man auch überlegen, den Server auszumustern und die Daten auf OneDrive zu speichern. Das sehe ich in kleinen Umgebungen immer häufiger.