mwiederkehr

Ein Rechner in einem anderen Netzwerk ist schon mal ein guter Schritt. Klar könnte ein Angreifer die RDP-Zugangsdaten abgreifen, wenn der Rechner kompromittiert ist, aber in der Praxis scheint das bei "Massen-Malware" nicht implementiert zu sein. Die entsprechenden API-Aufrufe machen die Schadsoftware vielleicht zu verdächtig. Zusätzliche Sicherheit gewinnt man, wenn man den RDP-Client als anderen Benutzer startet. Dann kann ein Keylogger, welcher unter dem normalen Benutzer läuft, keine Tastatureingaben abfangen. In die andere Richtung erhöht es die Sicherheit, wenn man den Browser unter einem anderen Benutzer laufen lässt. Also Office und Arbeitssoftware unter dem normalen Benutzer und den Browser für die Treibersuche und die Zeitungslektüre unter einem anderen. Vereinfachen lässt sich das mit dem Feature "Windows Defender Application Guard", welches den Edge in einer Sandbox laufen lässt.

Ach, jetzt, wo ich auch die harte "der Server läuft stabil, der braucht kein CU"-Fraktion überzeugt und die CUs installiert habe, kommt Microsoft mit Patches für alte Versionen. Erzähle ich denen aber nicht. Der Trick mit dem "Dienste stoppen, .Net 4.8 installieren, CU installieren", den ich vor einiger Zeit hier erhalten habe, hat übrigens überall funktioniert. Krassester Fall war ein Exchange 2013 SP1, der jetzt tadellos mit CU23 läuft. Ich habe übrigens auf keinem Server eine "Infektion" festgestellt. Vielleicht nicht gefunden, vielleicht Glück gehabt oder evtl. waren KMU nicht die Zielgruppe, wenn es von den Chinesen kam. Man will sich gar nicht vorstellen, was passiert wäre, wenn der Exploit in den Händen einer Malware-Gang gelandet wäre...

Gibt es zum CVE-2021-26855 schon Informationen, wie genau (oder zumindest auf welcher Seite) der SSRF ausgeführt wird? Weil "Port 443 blocken" ist keine brauchbare "Mitigation", aber "den Zugriff auf /xy blocken" (und dann geht Feature XY im OWA temporär nicht mehr) wäre eine. Es ist schon klar, dass Microsoft keinen PoC veröffentlicht, wenn erst die Chinesen den Exploit haben, aber etwas mehr Details wären hilfreich.

Mit Bordmitteln kann man soweit ich weiss keine Wörter aus dem Betreff entfernen. Dafür bräuchtest Du ein zusätzliches Tool wie CodeTwo. Was ginge, wäre ein Kriterium "ausser, wenn [EXTERN] im Betreff vorkommt", um das Wort nicht doppelt zu haben. Es stünde dann bei Antworten nicht mehr zu vorderst.

Bei Hetzner ist die Installation vin Hyper-V dokumentiert: https://docs.hetzner.com/de/robot/dedicated-server/virtualization/windows-server-hyperv und https://docs.hetzner.com/de/robot/dedicated-server/windows-server/microsoft-hyper-v-network-configuration. Du musst der Netzwerkkarte der VM die MAC-Adresse zuweisen, die Dir Hetzner für die zweite IP-Adresse genannt hat. (Oder Du konfigurierst NAT, wie von Gulp erwähnt.)

iPerf wäre eine einfache Möglichkeit, allerdings ohne grafische Aufbereitung der Messungen.

Dann verwendet die Anwendung ein anderes Verfahren, um festzustellen, ob sie bereits läuft. Und zwar eines, welches unter Citrix nicht funktioniert. Da müsste ein Citrix-Spezialist weiterhelfen. Mir ist nicht bekannt, dass Citrix die Prozesse verschiedener Sitzungen besser voreinander "versteckt" als die Remotedesktopdienste. Falls es eine .NET-Anwendung ist, könntest Du mit einem Tool wie ILSpy in den Source- bzw. IL-Code schauen und nach der Meldung suchen. Mit etwas Glück siehst Du dann, was die Anwendung prüft.

Die EXE wurde händisch umbenannt, einmal pro Benutzer. Das Script war ein CMD mit nur einer Zeile "start programm_%username%.exe". Evtl. kannst Du mit einem Script die EXE auch unter neuem Namen in ein Verzeichnis kopieren, auf welches der Benutzer Schreibrechte hat. Dann könntest Du Dir das manuelle Umbenennen sparen. Als aktives Verzeichnis dann aber trotzdem das Programmverzeichnis verwenden. Funktioniert aber nicht mit allen Anwendungen, einige verwenden zum Laden von weiteren Dateien nicht das aktuelle Verzeichnis, sondern explizit den Pfad, wo die EXE liegt.

Hatte mal so einen Fall und da hat es geholfen, die EXE zu kopieren und einmal pro Benutzer bereitzustellen: programm_username.exe, gestartet dann über ein Script.

Es gibt ein Add-In für Outlook, welches Anhänge auf eine Nextcloud lädt und im E-Mail durch Links ersetzt: https://nextcloud.com/outlook/ Als Appliance gibt es die Funktion bei SEPPmail, welche als Hardware- oder virtuelle Appliance erhältlich ist: https://www.seppmail.ch/produkte/large-file-transfer/

Weiterleiten ist nicht nur datenschutzrechtlich "uncool", auch Kunden kann es in den falschen Hals kommen, wenn ihre Nachricht ohne Vorwarnung von jemand anderem beantwortet wird. Man schreibt ja vielleicht noch einen persönlichen Spruch dazu oder so. Was ich eine gute Lösung finde: ein Postfach (oder eines pro Abteilung) einrichten, genannt "ehemalige MA". Dort die Adressen als Alias hinzufügen und den Abwesenheitsassistenten aktivieren mit einem Text in der Form von "Der Mitarbeiter arbeitet nicht mehr bei uns, bitte wenden Sie sich an XY. Ihre Nachricht wurde gelöscht." Dann noch eine Regel, die alle ankommenden Nachrichten löscht. So geht nichts verloren und trotzdem liest niemand fremde E-Mails. Hat auch den positiven Nebeneffekt, dass der neue Mitarbeiter keine Zeit mit dem Abmelden von vom Vorgänger abonnierten Newsletter verbringt.

Der Vorschlag von Jan mit VHDX hat mich noch zu einer Variante gebracht: Ventoy. Das teilt den Stick (oder die SSD) in zwei Partitionen: exFAT für den Bootloader (UEFI und Legacy) und NTFS für die Daten. Dort kann man dann ohne weitere Tools ISOs, VHDXs und sogar WIMs ablegen und von ihnen starten. Muss ich bei Gelegenheit mal testen.

Ich habe meinen Stick mit YUMI erstellt. Hat bis jetzt immer funktioniert, aber die Lösung von Norbert ist eleganter, da dort wirklich ein DVD-Laufwerk emuliert wird. Kannte ich noch nicht, schon (früh) morgens was gelernt!

Besteht das Problem nur, wenn Du Dich mit PIN anmeldest? Bei der Anmeldung mit PIN (oder Windows Hello etc.) existiert das Problem auch bei privaten Konten (hatte dazu schon einige Anfragen von Bekannten, da ein NAS ja auch Samba ist). Die Ursache scheint zu sein, dass der LSASS keinen Passworthash hat, da man sich ja nie mit Passwort anmeldet. Wäre schön, wenn das mal gelöst würde. Ich weiss nicht, ob es auf Seite Samba gelöst werden kann, aber Windows sollte a.) eine bessere Meldung anzeigen und b.) bei der manuellen Eingabe von Benutzername und Passwort sollte es dann funktionieren.

Das kann man so pauschal nicht beantworten. Beide Varianten haben ihre Berechtigung. Bei 150 Benutzern lässt sich ein Exchange professionell betreiben, inkl. allem "Zubehör" wie Spamfilter, SSL-Zertifikat etc. Aber das muss natürlich auch in die Kostenrechnung einfliessen, man darf nicht nur die Lizenzgebühren vergleichen. Der Preis ist aber nicht alles, je nach Unternehmen will oder darf man gewisse Daten nur lokal haben und nicht in der Cloud etc. In meinem Umfeld wechseln die meisten Betriebe auf Microsoft 365. Viele, weil sie zu klein sind, um einen Exchange sinnvoll (verfügbar, sicher) betreiben zu können und viele wechseln nach und nach ganz in die Cloud, auch mit den Daten. Auch grössere Firmen (so bis 150 Benutzer) gehen immer mehr in die Cloud, weil sie die neuen Dienste nutzen wollen. Treiber ist hier aktuell sicher Teams, aber auch OneDrive wird vermehr genutzt zum Datenaustausch mit Externen. Das ist aber wie gesagt nur der Eindruck aus meiner "Filterblase". Die Exchange-Spezialisten hier werden wahrscheinlich vom Gegenteil berichten. Zum Thema "Kauflizenzen sind günstiger" ist noch zu erwähnen, dass man das Kauf-Office pro PC und nicht pro Benutzer lizenziert. Bei PC im Büro, Notebook für unterwegs, Tablet etc. kann die Mietlizenz günstiger sein.

Soweit ich weiss, ja. Was Du noch versuchen könntest: einen weiteren vSwitch mit NAT anzulegen, ggf. über PowerShell.

Der Uninstaller entfernt die Konfiguration leider nicht vollständig. Und es ist bei Microsoft zuweilen schwer bis unmöglich, eine genaue Dokumentation der Ablageorte der Konfiguration zu bekommen, so dass man händisch nachhelfen könnte. Du könntest es mit „netcfg -d“ versuchen, das setzt die Netzwerkkonfiguration komplett zurück. Ich bin mir zudem nicht ganz sicher, ob NAT über WLAN standardmässig funktioniert. Habe das das letzte Mal vor ein paar Jahren eingerichtet und damals musste ich den vSwitch per PowerShell erstellen.

Mir fällt da die Outlook-App ein. Die ist kostenlos, aber für den geschäftlichen Einsatz braucht man Microsoft 365. Sie darf nicht verwendet werden für den Zugriff auf Exchange-Server.

Das ist aus der Ferne schwierig zu sagen. Ich vermute, da bekommt man Zugriff auf einen virtuellen Server, welcher Mitglied einer Domäne vom Provider ist. Man hat nur lokale Adminrechte. So hätten sie die Lizenzierung im Griff. Bei den grösseren Angeboten ist noch 2X dabei, das ist eine Erweiterung der Terminaldienste (vergleichbar mit Citrix). Damit kann man über ein Gateway auf den Server zugreifen (und muss RDP nicht offen haben).

Cloud Server bei Hetzner geht schon, Du brauchst einfach mehrere Server: 1x Domänencontroller, 1x Terminalserver, 1x Firewall (zB. OPNsense). Die Server kannst Du dann in ein gemeinsames Netzwerk stecken und nur die Firewall von aussen zugänglich machen. Die Benutzer können sich dann per VPN einwählen. Aber: Hetzner bietet für die Cloud Server kein Windows an, sondern sagt lediglich, dass man es selbst installieren könne. Kauflizenzen auf geteilter Hardware sind lizenzrechtlich etwas schwierig... Besser wäre ein physischer Server, aber dann bist Du für die Virtualisierung zuständig und musst bei Ausfällen die Sicherung wieder einspielen etc. Von daher würde ich mir einen Anbieter suchen, der Terminalserver anbietet. Eine Suche nach "Terminalserver as a Service", "Desktop as a Service" oder "Cloud Arbeitsplatz" sollten genügend Resultate liefern.

Ja, ein AD brauchst Du für Benutzerlizenzen, aber das installierst Du besser nicht auf dem gleichen Server.

Du könntest die wuapilib.dll anzapfen. Hier Code von jemandem, der das gemacht hat: https://github.com/avogelba/GetUpdates Oder Du schaust in den Code von PSWindowsUpdate, die machen das über COM: https://github.com/joeypiccola/PSWindowsUpdate Die PowerShell lässt sich übrigens aus C# auch recht gut bedienen, das könnte auch ein Lösungsweg sein.

Server 2019 und Windows 10 sind sich zwar ähnlich, aber es lassen sich bei Server 2019 nicht alle (GUI-)Features von Windows 10 nachinstallieren. (Bei früheren Versionen war das die „Desktop Experience“, bei 2019 ist das die GUI.) Bevor ich Server 2019 zum Client-OS umrüste, würde ich prüfen, ob es wirklich VDI sein muss. In den meisten Fällen reicht ein „normaler“ RDS-Server aus. Und unbedingt abklären, ob die Software auf einem Server läuft. Technisch wird es kaum Probleme geben, aber bei der Lizenzierung unterscheiden viele Hersteller zwischen Server- und Client-OS. Während sich eine Software auf einem Client online aktivieren lässt, benötigt sie auf einem Server unter Umständen einen Lizenzserver, was zusätzliche Kosten verursachen kann.

Ja, das geht: https://docs.microsoft.com/en-us/azure/storage/files/storage-how-to-use-files-windows Das Gerät muss jedoch SMB 3.0 unterstützen. Da habe ich bei vielen Multifunktionsgeräten meine Zweifel.

Hast Du das Array und die logische Disk erweitert?