mroth

Danke für die Antworten. Das war auch mein letzter Stand, nur ist mir das bisher viel zu unsicher. Es ist mir auch nicht vollkommen klar, ob man dieses Feature lizenztechnisch überhaupt nutzen darf, ohne Intune/MDM-Lizenzen, selbst wenn es nicht nur um eine temporäre Erscheinung halten sollte. Ganz davon abgesehen, dass man praktisch so mit jedem Update sein Whitelisting spontan verlieren könnte.

Hallo, wir nutzen zur Zeit die Software Restriction Policy von Microsoft, die es seit XP-Zeiten gibt, jedoch denken wir zur Zeit über Alternativen bzgl. Software Whitelisting nach. Vorgestellt wurde uns bereits das Application-Whitelisting von Seculution. Hat mit dieser Software hier bereits jemand Erfahrungen sammeln können? AppLocker kommt leider nicht infrage, da wir "nur" Windows 10 Pro im Einsatz haben. Kann hier jemand eine Alternative empfehlen? Wikipedia liste z.B. noch als Anbieter Bit9, Velox, McAfee, Lumension, ThreatLocker, Airlock Digital und SMAC. Eine integrierte Lösung in userer Antivierensoftware haben wir nicht, da wir hier auf den Microsoft Defender setzen. Ich würde mich freuen, wenn jemand seine Erfahrung in diesem Bereich teilen könnte.

Hallo, wir haben das Problem, dass wir Makro-Enabled Excel-Dateien von einem Kunden nicht mittels Defender-Management bei der Attack Surface Reduction ausgeschlossen bekommen. Diese liegen auf einem UNC-Pfad: \\unternehmen.local\dfs_name\QS\Kunde\2022\22304-01\Doc_PP_968774301_mit_Makro_300270257.xls ASR-Regel: Block Win32 API calls from Office macros Yes (ist aktiviert) Wenn wir nun Pfadausnahmen einpflegen z.B: \\unternehmen.local\data\QS\Kunde\ \\unternehmen.local\data\QS\Kunde\*\ \\unternehmen.local\data\QS\Kunde\*\*\ Hat dies jedoch keine Auswirkung, da die Dateien in einem lokalen Cache ausgeführt werden. Die Ausführung aus dem lokalen Pfad wird dann wegen der ASR-Regel unterbunden. z.B. C:\Users\Benutzer.DOMAIN\AppData\Local\Microsoft\Windows\INetCache\Content.MSO\D22495CB.xls Da die Regel praktisch unwirksam würde, wenn der komplette lokale Cache-Pfad ausgenommen wird, stellt dies keine Option dar. Wir können leider auch keine Mustererkennung in den Dateinamen vornehmen, da die Cache-Dateinamen generiert werden. Hat jemand eine praktikable Idee, wie wir diverse Office-Dokumente mit Makros nutzen können, ohne die Win32-API-ASR-Regel zu deaktivieren? Kann man evtl. in MS-Office den Cache für Netzwerkpfade deaktivieren, sodass wieder mit (UNC)-Pfadausnahmen gearbeitet werden kann?

Hallo, wir haben Probleme mit dem Windows Defender. Ein Fullscan mittels Defender nutzt trotz begrenzender Einstellung zwischen 90-100% der CPU-Zeit. Es hat den Anschein, dass dieser Wert ignoriert wird oder lediglich als eine Art Richtlinie zu verstehen ist. Hat hier jemand Erfahrungen mit dem Windows Defender und kann mir sinnvolle Einstellungen nennen, damit ein Scan möglichst wenig stört? Ich könnte mir vorstellen, den Prozess evtl. auf einen CPU-Kern zu beschränken, jedoch scheint dies nur über Umwege möglich zu sein. PS C:\Users\User> Get-MpPreference | select ScanAvgCPULoadFactor ScanAvgCPULoadFactor -------------------- 25 Grüße, mroth

Hallo, Ich habe die Anfrage bekommen alle Mitarbeiter eines Büros komplett mit Funkmäusen zu versehen. Es würde ca. 10-15 Arbeitsplätze betreffen. Abgesehen von den Sicherheitsaspekten, hat hier jemand bereits Erfahrungen sammeln können, wie zuverlässig die Geräte in ,,Großraumbüros" arbeiten? Wir setzen schon vereinzelt Funkmäuse ein und ich konnte eine z.B. bei Logitechs Unifying eine Reichweite von 8-10 Metern bestätigen. Ich würde mich freuen, wenn jemand seine Erfahrungen mit diesem Thema teilen könnte.

Wir möchten auf einfache Art Laufwerke entziehen können und "Aktualisieren" fügt zwar nach meiner Kenntnis neue Laufwerke hinzu, löscht aber bestehende nicht.

Vielen Dank für die Rückmeldungen. Diese Richtlinie ist bereits gesetzt, was ich mit dem etwas unglücklichen vorletzten Satz ausdrücken wollte. "Wartezeit für Richtlinienverarbeitung beim Systemstart angeben" steht ebenfalls auf 60s. Den Artikel kenne ich, jedoch konnte ich mich zur "alternativen Lösung", der Abhängigkeit zum IP-Hilfsdienst noch nicht durchringen.

Hallo, Wir haben einige wenige Windows 10 Clients bei denen die Gruppenrichtlinien-Aktualisierung im Hintergrund abgeschaltet ist und dies jedoch ignoriert wird. Ein auslesen der angewendeten GPOs, sowie der Registry selber, bestätigt eine erfolgreiche Anwendung der Gruppenrichtlinie. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy 1 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\GroupPolicyRefreshTime 660 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\GroupPolicyRefreshTimeOffset 30 Dies ist relativ lästig, da unsere Netzlaufwerk-GPOs auf "Ersetzen" und nicht auf "Aktualisieren" eingestellt sind. Unseren Anwendern fallen somit beim Verarbeiten von Dateien kurz die Pfade weg oder es schließt sich das Explorerfenster. Ich würde mich freuen, falls jemand eine Idee hat wie man dieser Problematik begegnen kann.

Hallo, Ich habe das Problem, dass z.B. Gruppenrichtlinien nicht richtig übernommen werden, da unsere Windows Rechner zu früh anfangen unseren AD-Server zu kontaktieren. Wahrscheinlich ist das aktivierte Spanning Tree Protocol unserer HP-Switches dafür verantwortlich. Ich gehe davon aus, dass die Netzwerkkarten-Treiber bereits in den ,,active Link"-Status wechseln, obwohl der Tree noch nicht komplett aufgebaut ist. Wenn ich bei Intel-Netzwerkkarten die Option ,,Warten auf Verbindung"/,,Wait for Link" aktiviere verschwindet das Problem. Allerdings fehlt mir diese Option bei Qualcomm und Realktek Netzwerkkarten. Bei Qualcomm Geräten konnte ich den Fehler bereits bestätigen, ob Realtek NICs betroffen sind kann ich noch nicht mit Bestimmtheit sagen. Eine Option wäre es evtl. die Switch-Ports fest als Edge-Ports (,,admin-edge-port") zu konfigurieren, allerdings würde dies einen hohen administrativen Aufwand bedeuten. Messungen zufolge bringt dies bei unseren Switches bis zu. 3s Gewinn beim Aufbau der Verbindung. Die "wait for link at startup" und "group policy wait time" GPOs bringen leider keine Verbesserung. Gibt es evtl. eine generelle Möglichkeit den Link-Status erst "aktiv" werden zu lassen, wenn tatsächlich eine Verbindung aufgebaut wurde?

Ja, das ist ausgeschaltet.

Einer ist mittels DVI (Nvidia Quaddro)<->DVI (Monitor) angeschlossen und der andere DP (Nvidia Quaddro)<->DVI (Monitor). Die Anschlusskabel habe ich an der Monitoren bereits einmal quer getauscht, jedoch ist noch immer der selbe Monitor betroffen.

Hallo, Ich habe das Problem, dass bei einem Rechner manchmal der Samsung-Monitor nicht automatisch erkannt wird, wenn man den Computer entsperrt. Normalerweise sollte nach dem Entsperren vom Lockscreen, auf beiden Bildschirmen der Desktop dargestellt werden. Der zweite Monitor lässt sich allerdings nur durch ein aus- und einschalten wieder dazu bewegen seinen Dienst aufzunehmen. Versucht habe ich bereits die Source Detection am Monitor auf manuell zu stellen. Die Monitore habe ich bereits quer getauscht an den Grafikkartenanschlüssen. Ich habe festgestellt, dass dies weder die Position des Monitors geändert hat, noch den Fehler behoben hat. Ist dies überhaupt ein Windows 10 Problem? Als Grafikkarte wird eine Nvidia Quaddro 2000 verwendet, ein Treiberupdate würde ich gerne unterlassen, da zur Zeit die CAD-Software keine Probleme macht. Folgende Richtlinien sind gesetzt:

Hallo, gibt es eine Möglichkeit normale Benutzer Skype Classic (z.B. 7.40.0.103) selbstständig aktualisieren zu lassen? Die C:\users\nutzername\appdata\local\temp\SkypeSetup.exe, welche automatisch im Hintergrund heruntergeladen wird, fragt via UAC nach administrativen Rechten. Vielleicht hat sich hier ja bereits jemand mit dem aktualisieren von Skype auf mehreren Rechnern (in der Domäne) beschäftigt. Ich habe bereits ausprobiert den "Skype Updater"-Dienst als Administrator zu starten (ohne Erfolg), darüber hinaus führt auch Skype selbst beim Start die Updateprüfung durch und startet die SkypeSetup.exe-Executable mit den Rechten unter denen auch Skype gestartet wurde. Desweiteren nutzen wir auch eine Software-Restriction, hier sehe ich jedoch die Möglichkeit das Setup mittels Zertifikat freizugeben. Das Skype Programmverzeichnis ist über eine Pfadregel freigegeben. Grüße, mroth

Naja, Linux hat out of the box keinen. Natürlich gibt es auch dort entsprechende Services, welche man installieren kann. Ich wollte das auch wirklich nur benennen, da ich die DNS-Server somit auch einmal außerhalb von Windows getestet habe. Die Windows Server - DNS-Dienste können also schnell antworten. Ich weiß momentan ehrlich gesagt nicht woran es liegen könnte. ^^ Ich kenne mich auch nicht gut genug aus um zu wissen, ob dies jetzt ein Client-Problem ist, ein Kombinationsproblem oder ein Server-Konfigurationsproblem.

Danke für die Antwort, die Clients haben beide die richtigen DNS-Server eingetragen. Vielleicht helfen ja auch die Einstellungen des DNS-Servers. Wir haben zwei AD/DNS-Server: 192.168.100.1 und 192.168.100.19 DNS-Manager: (identisch mit übergeordnetem Ordner) Autoritätssprung (SOA) ads01.server.local hostmaster.server.local (identisch mit übergeordnetem Ordner) Nameserver (NS) ads01.server.local (identisch mit übergeordnetem Ordner) Nameserver (NS) ads02.server.local (identisch mit übergeordnetem Ordner) Host (A) 192.168.100.1 (identisch mit übergeordnetem Ordner) Host (A) 192.168.100.19 Wenn ich sie beide DNS-Server abwechselnd manuell einzeln beim Netzwerkadapter eintrage, bekomme ich bei beiden das selbe Fehlerbild. Der Ping auf das dns suffix mit Round Robin ist langsam. Ein Ping auf einen einzelnen Host wird hingegen sofort durchgeführt. So richtig kann ich das Verhalten auch nicht nachvollziehen, da Windows ja zusätzlich auch einen DNS Cache besitzt. Dies passiert auch nur unter Windows, unter Linux ohne DNS-Cache wird sofort aufgelöst.