mwiederkehr

Das Problem ist nicht der Nagel. Das Problem ist das, was Du möglicherweise nicht siehst. Der Vergleich ist eher: Terrorist war eine Stunde unbemerkt an meinem Auto. Auf Anhieb finde ich keine Bombe. Fahre ich mit dem Auto? Wenn Malware mit SYSTEM-Rechten ausgeführt wird, kann sie sich so verstecken, damit Du sie als Admin nicht siehst.

Ja, entweder wsushide oder Updates bis zur Lösung des Problems aussetzen. Falls Dein Problem Bluescreens beim Drucken sind, dafür gibt es mittlerweile eine Korrektur: KB5001567. Dies wird vom Windows Update gefunden, aber als optional angezeigt. Nach dessen Installation ging das Drucken bei meinen Kunden wieder ohne Probleme.

Automatisiert ist das ja wie Container.

Spannend, danke! Hätte jetzt gedacht, die hätten das vollständig in Containern, um Updates schnell ausrollen zu können.

Danke für die Links! Wären die CUs zwei Wochen früher erschienen, hätte ich auch nichts dagegen gehabt. Darf man noch auf Container-Unterstützung für Exchange hoffen?

Falls die Frage war, ob und falls ja welche Tools oder "Packages" es dazu braucht: keine. Die laufenden Queries kann man per SQL abfragen, das braucht keine speziellen Management-Komponenten: https://tecadmin.net/find-currently-running-query-in-sql-server/. Auch eine Session abschiessen kann man über SQL: https://docs.microsoft.com/en-us/sql/t-sql/language-elements/kill-transact-sql?view=sql-server-ver15 Du kannst das mit C# machen, aber auch mit jeder anderen Sprache, die mit einem SQL Server sprechen kann. PowerShell wäre auch kein Problem. Schlussendlich wirst Du wohl ein Grid haben, welches die aktiven Verbindungen anzeigt, darauf ein Kontextmenü "Verbindung beenden". Ist aber alles nur ein Workaround. Ich würde zuerst versuchen herauszufinden, weshalb Abfragen manchmal hängen. Kommt das auf die Reihenfolge/Gleichzeitigkeit an? Wenn Du einen reproduzierbaren Testfall hast, ist der Weg zur Lösung für einen Datenbank-Spezialisten wahrscheinlich nicht mehr weit.

Ein Kunde setzt auf den Remote Desktop Manager. Ist sehr komfortabel zum Arbeiten. Verbindungen zu Servern (RDP / SSH) und Webdiensten können aus dem RDM heraus hergestellt werden. Man braucht so kein mRemote oder ähnliches mehr und der Benutzer muss das hinterlegte Passwort nicht kennen. Das ist praktisch für Geräte, die keine personalisierten Accounts haben. Der Kunde nutzt DUO für 2FA, weil er das eh schon benutzt, aber es ginge auch TOTP (Google Authenticator & Co.).

Das wird so funktionieren und die Verfügbarkeit ist wahrscheinlich nicht mal so schlecht dank Loadbalancer. Würde ich es so machen? Nein, weil: - Warum will man seinen Exchange extern haben? (Gut, nach "Hafnium" hat das Konzept mit eigener Domäne nur für Exchange schon seinen Reiz.) - Warum Rootserver? Ich würde eher virtuelle Server nehmen, die der Provider in ein Netzwerk hängt. Geht bei Azure, aber auch bei anderen Anbietern, manchmal "vRack" genannt. - Warum selbst betreiben? Wieso nicht Exchange Online oder Hosted Exchange? Wenn Du viele Benutzer hast, wird es mühsam mit der getrennten Domäne (Einrichtung Outlook, Passwortwechsel etc.). Wenn Du wenig Benutzer hast, ist eine Infrastruktur mit vier VMs nur für Exchange ein teurer Spass.

Das geht ganz normal wie bei Standard. Beim Server 2019 ist Essentials nur eine andere Lizenz, es gibt keine anderen Tools oder Assistenten mehr. Also ganz normal die Rollen verschieben. Innerhalb von 21 Tagen den alten DC entfernen, sonst wird der Essentials unzufrieden.

Muss es Windows sein oder ginge auch Android? (RDP geht auf Android problemlos, die Frage ist eher der Scanner.) Ginge Windows ARM oder muss es x86 sein? Von Kosten und Stromverbrauch her gilt Windows 10 x86 > Windows 10 ARM > Android. Oder je nachdem findest Du auch ein Tablet mit eingebautem Scanner. Ich würde mich mal bei Alibaba umsehen. Habe dort schon gute Erfahrungen mit "Industriehardware" gemacht. Für einen Kunden sollte ich mal ein wasserdichtes Android-Gerät mit Barcode-Scanner und Ohrmarkenleser beschaffen. Habe ich so nur bei Alibaba gefunden, hat dort nur 450 Euro gekostet und der Kunde ist immer noch begeistert. Die Auswahl ist wirklich riesig und die Qualität nicht zwangsläufig schlecht. Deshalb Alibaba und nicht Aliexpress oder gar Wish, dort gibt es den Ramsch für Privatleute. Ach ja, falls Du ein Windows-Gerät in China kaufst, kaufst Du zur Sicherheit am besten noch eine Windows-Lizenz bei eurem normalen Lieferanten dazu, die Chinesen sind bezüglich Lizenzierung etwas "kreativ".

Ich trenne das System immer von den Daten (VMs). Macht es bei Problemen mit dem Host-OS einfacher, dieses zu restoren oder neu zu installieren. Ja. Finde es auch besser, das über einen Netzwerk-USB-Hub zu machen. Linux läuft problemlos unter Hyper-V. Anstelle LXC könntest Du vielleicht Docker nehmen. (Ist schon nicht das Gleiche, aber ich habe mit Docker die Anzahl Linux-VMs massiv reduzieren können.) Docker läuft auch unter Windows (und nutzt im Hintergrund die Virtualisierung von Hyper-V).

Ich würde keine drehenden Platten mehr einbauen. Nicht nur wegen der Performance, sondern auch wegen Stromverbrauch und Lebensdauer. In einem so verhältnismässig kleinem System sollte es keine Probleme geben, alles auf einem RAID zu haben, zumal dieses ein SSD-RAID ist. Da gelten die "alten Weisheiten" nicht mehr zwingend. Proxmox kenne ich nur im Zusammenhang mit Linux, insofern würde ich eher zu Hyper-V raten. Wenn Du USB-Geräte an VMs verbinden willst, wäre Proxmox natürlich im Vorteil. Oder Du nimmst VirtualBox (headless). Wenn Du den Hypervisor definitiv nicht auf dem gleichen RAID wie die VMs haben willst, wäre ESXi eine Alternative. Der lässt sich auf einen USB-Stick installieren. Der Nachteil ist, dass Backupsoftware wie Veeam nicht mit der Gratisversion läuft. Womit wir wieder bei Hyper-V wären...

Apache Guacamole wäre eine Möglichkeit. Das bietet RDP per HTML5. (Kann Microsoft neuerdings auch, allerdings benötigt es eine recht aufwändige Infrastruktur.) Würde die Installation über Container empfehlen, ist sonst etwas mühsam. Hier eine Anleitung inkl. Frontend mit Let's-Encrypt-Zertifikat: https://www.oradba.ch/2020/12/a-simple-container-based-guacamole-setup/. Guacamole unterstützt TOTP, man kann also den Google Authenticator etc. einbinden.

Ein Rechner in einem anderen Netzwerk ist schon mal ein guter Schritt. Klar könnte ein Angreifer die RDP-Zugangsdaten abgreifen, wenn der Rechner kompromittiert ist, aber in der Praxis scheint das bei "Massen-Malware" nicht implementiert zu sein. Die entsprechenden API-Aufrufe machen die Schadsoftware vielleicht zu verdächtig. Zusätzliche Sicherheit gewinnt man, wenn man den RDP-Client als anderen Benutzer startet. Dann kann ein Keylogger, welcher unter dem normalen Benutzer läuft, keine Tastatureingaben abfangen. In die andere Richtung erhöht es die Sicherheit, wenn man den Browser unter einem anderen Benutzer laufen lässt. Also Office und Arbeitssoftware unter dem normalen Benutzer und den Browser für die Treibersuche und die Zeitungslektüre unter einem anderen. Vereinfachen lässt sich das mit dem Feature "Windows Defender Application Guard", welches den Edge in einer Sandbox laufen lässt.

Ach, jetzt, wo ich auch die harte "der Server läuft stabil, der braucht kein CU"-Fraktion überzeugt und die CUs installiert habe, kommt Microsoft mit Patches für alte Versionen. Erzähle ich denen aber nicht. Der Trick mit dem "Dienste stoppen, .Net 4.8 installieren, CU installieren", den ich vor einiger Zeit hier erhalten habe, hat übrigens überall funktioniert. Krassester Fall war ein Exchange 2013 SP1, der jetzt tadellos mit CU23 läuft. Ich habe übrigens auf keinem Server eine "Infektion" festgestellt. Vielleicht nicht gefunden, vielleicht Glück gehabt oder evtl. waren KMU nicht die Zielgruppe, wenn es von den Chinesen kam. Man will sich gar nicht vorstellen, was passiert wäre, wenn der Exploit in den Händen einer Malware-Gang gelandet wäre...

Gibt es zum CVE-2021-26855 schon Informationen, wie genau (oder zumindest auf welcher Seite) der SSRF ausgeführt wird? Weil "Port 443 blocken" ist keine brauchbare "Mitigation", aber "den Zugriff auf /xy blocken" (und dann geht Feature XY im OWA temporär nicht mehr) wäre eine. Es ist schon klar, dass Microsoft keinen PoC veröffentlicht, wenn erst die Chinesen den Exploit haben, aber etwas mehr Details wären hilfreich.

Mit Bordmitteln kann man soweit ich weiss keine Wörter aus dem Betreff entfernen. Dafür bräuchtest Du ein zusätzliches Tool wie CodeTwo. Was ginge, wäre ein Kriterium "ausser, wenn [EXTERN] im Betreff vorkommt", um das Wort nicht doppelt zu haben. Es stünde dann bei Antworten nicht mehr zu vorderst.

Bei Hetzner ist die Installation vin Hyper-V dokumentiert: https://docs.hetzner.com/de/robot/dedicated-server/virtualization/windows-server-hyperv und https://docs.hetzner.com/de/robot/dedicated-server/windows-server/microsoft-hyper-v-network-configuration. Du musst der Netzwerkkarte der VM die MAC-Adresse zuweisen, die Dir Hetzner für die zweite IP-Adresse genannt hat. (Oder Du konfigurierst NAT, wie von Gulp erwähnt.)

iPerf wäre eine einfache Möglichkeit, allerdings ohne grafische Aufbereitung der Messungen.

Dann verwendet die Anwendung ein anderes Verfahren, um festzustellen, ob sie bereits läuft. Und zwar eines, welches unter Citrix nicht funktioniert. Da müsste ein Citrix-Spezialist weiterhelfen. Mir ist nicht bekannt, dass Citrix die Prozesse verschiedener Sitzungen besser voreinander "versteckt" als die Remotedesktopdienste. Falls es eine .NET-Anwendung ist, könntest Du mit einem Tool wie ILSpy in den Source- bzw. IL-Code schauen und nach der Meldung suchen. Mit etwas Glück siehst Du dann, was die Anwendung prüft.

Die EXE wurde händisch umbenannt, einmal pro Benutzer. Das Script war ein CMD mit nur einer Zeile "start programm_%username%.exe". Evtl. kannst Du mit einem Script die EXE auch unter neuem Namen in ein Verzeichnis kopieren, auf welches der Benutzer Schreibrechte hat. Dann könntest Du Dir das manuelle Umbenennen sparen. Als aktives Verzeichnis dann aber trotzdem das Programmverzeichnis verwenden. Funktioniert aber nicht mit allen Anwendungen, einige verwenden zum Laden von weiteren Dateien nicht das aktuelle Verzeichnis, sondern explizit den Pfad, wo die EXE liegt.

Hatte mal so einen Fall und da hat es geholfen, die EXE zu kopieren und einmal pro Benutzer bereitzustellen: programm_username.exe, gestartet dann über ein Script.

Es gibt ein Add-In für Outlook, welches Anhänge auf eine Nextcloud lädt und im E-Mail durch Links ersetzt: https://nextcloud.com/outlook/ Als Appliance gibt es die Funktion bei SEPPmail, welche als Hardware- oder virtuelle Appliance erhältlich ist: https://www.seppmail.ch/produkte/large-file-transfer/

Weiterleiten ist nicht nur datenschutzrechtlich "uncool", auch Kunden kann es in den falschen Hals kommen, wenn ihre Nachricht ohne Vorwarnung von jemand anderem beantwortet wird. Man schreibt ja vielleicht noch einen persönlichen Spruch dazu oder so. Was ich eine gute Lösung finde: ein Postfach (oder eines pro Abteilung) einrichten, genannt "ehemalige MA". Dort die Adressen als Alias hinzufügen und den Abwesenheitsassistenten aktivieren mit einem Text in der Form von "Der Mitarbeiter arbeitet nicht mehr bei uns, bitte wenden Sie sich an XY. Ihre Nachricht wurde gelöscht." Dann noch eine Regel, die alle ankommenden Nachrichten löscht. So geht nichts verloren und trotzdem liest niemand fremde E-Mails. Hat auch den positiven Nebeneffekt, dass der neue Mitarbeiter keine Zeit mit dem Abmelden von vom Vorgänger abonnierten Newsletter verbringt.

Der Vorschlag von Jan mit VHDX hat mich noch zu einer Variante gebracht: Ventoy. Das teilt den Stick (oder die SSD) in zwei Partitionen: exFAT für den Bootloader (UEFI und Legacy) und NTFS für die Daten. Dort kann man dann ohne weitere Tools ISOs, VHDXs und sogar WIMs ablegen und von ihnen starten. Muss ich bei Gelegenheit mal testen.