RainerZu
-
Gesamte Inhalte
11 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von RainerZu
-
-
Hallo zusammen,
um einige Sachen per PowerShell zu kontrollieren, müsste ich Windows RM auf den Clients aktivieren.
Ich habe bisher nur die Möglichkeit gefunden, gewisse IPs darauf zugreifen zu lassen.
Ich stelle mir nun die Frage, ob man das noch weiter absichern kann? Per Zertifikat, durch "Zugriff nur von Benutzer X" oder ähnliches?
-
vor 3 Stunden schrieb MurdocX:
Der AppLocker ist auf jeden Fall eine solide Basis. Der Windows Defender schneidet auch neuerdings gut ab. Da spricht m. M. n. nichts dagegen. Die Konfiguration würde ich mit dem Softwarehersteller absprechen, ob nicht Inkompatibilitäten dagegensprechen würden.
Eben und in von heise verlinkten Test sogar besser als der ESET-Virenscanner. Ich erkundige mich mal, ob der Windows Defender zu Inkompatibilitäten führt.
-
Hallo zusammen,
uns kommt bald ein Windows Server 2016 ins Haus bzw. eine virtuelle Maschine auf einem Linux Host. Die Migration von einem bestehenden Dienst übernimmt ein Dienstleister. Diese wollten uns ein Virenschutzprogramm (ESET) andrehen.
Ich bin eigentlich der Meinung dass auf dem Server (Terminalserver auf dem eine Software ausgeführt/genutzt wird) ein WindowsDefender samt AppLocker ausreicht. Der Dienstleister rät uns aus "Sicherheitsgründen und aus Erfahrung" ab. Ohne jegliche Begündung. Habt ihr ähnlich schlechte Erfahrungen mit dem Defender gemacht? In den letzten heise-Artikeln hat er ja immer gut abgeschnitten und durch den AppLocker sollte doch eigentlich nicht sehr viel passieren?
-
vor 15 Minuten schrieb Dr.Melzer:
Wie viele User oder wie viele Geräte sollen denn auf dein Terminalserver zugreifen?
Das Szenario: eine Windows Server 2016 Lizenz/Installation mit der wir 1x virtualisieren (den TS). 15 Nutzer von 15 verschiedenen Geräten(ihren eigenen Firmen-PCs) greifen dann darauf zu.
Allerdings sind nur maximal 10 gleichzeitig angemeldet. Laut unserem Dienstleister würde das wohl eine Rolle spielen, aber ich kann ihn auch missverstanden haben. Daher vielen Dank für die Aufklärung!
-
Sorry falls ich mich jetzt dumm anstelle. Heißt jeder Nutzer braucht definitiv eine User und eine RDS-User CAL - egal wie viele Leute gleichzeitig auf den Server zugreifen? Dachte das müsste man nochmal extra beschränken durch eine der beiden Lizenzen. \../
-
Auch gleichzeitig? Wofür sind dann die "normalen" Windows Server 2016 User CALs? Ich brauche ja beides, oder?
-
Hallo zusammen,
ich möchte einen Windows Server 2016, der als Terminalserver funktioniert, richtig lizenzieren. Wenn ich das alles richtig verstanden habe, dann brauche ich einmal User-CALs bzw. Device-CALs die mir entsprechend die Benutzer/Geräte lizenzieren. Zusätzlich brauche ich dann noch RDS User-CALs die die Anzahl der gleichzeitigen Anmeldungen steuern (sprich wenn ich 5 dieser RDS-Lizenzen habe, dann können sich gleichzeitig 5 Nutzer anmelden). Ist das richtig?
-
vor 15 Stunden schrieb Dr.Melzer:
Auch das ist falsch! Jeder Gerät von dem aus Office auf dem Terminalserver gestartet werden kann braucht eien Office Lizenz (und zwar die gleiche die auch auf dem TS genutzt wird). Die lizenzierung erfolgt pro GERÄT nicht pro Benutzer!
Wie grenzt man das nun sinnvoll ab? So gesehen kann ja jedes Gerät, das im Netzwerk ist, über rdesktop, Remoteverbindung o.ä. auf einen Terminalserver zugreifen. Reicht eine normale Zugriffsbeschränkung? Die Office-EXE per Zugriffsrechte einzuschränken reicht ja auch nicht, so wie ich gelesen habe.
-
Das klingt ja schon mal gut, danke für die Info!
Wie sieht das bei Office 365 konkret aus? Muss ich für alle 30 Mitarbeiter ein eigenes Konto erstellen und die müssen sich dann jeweils anmelden und ein Passwort eintragen?
Microsoft Kontos haben wir bisher noch gar keine im Unternehmen.
-
Hallo zusammen,
folgendes Vorhaben: wir haben derzeit noch MS Office 2010 im Einsatz und wollen/müssen daher zeitnah umstellen. Zusätzlich kommt uns bald noch ein Windows Server 2016 (als Terminalserver) ins Haus. Auf diesem sollen potentiell ~30 Mitarbeiter arbeiten. ~10 brauchen dafür auch Office. Mit einer Volumenlizenz ist mir die Lizenzierung klar. Wir brauchen eine Volumenlizenz für alle 30 Mitarbeiter die da irgendwann mal drauf zugreifen. Ob sie nun das Office nutzen wollen oder nicht. Zusätzlich hätten die gleich auch noch ein neueres Office auf ihrem lokalen PC.
Wie sieht das aber nun mit Office 365 aus? Für eine Terminalserver-Nutzung braucht man Office 365 ProPlus. Braucht das dann jeder der 30 Mitarbeiter die darauf zugreifen? Oder wirklich nur die 10, die es auch auf einem Terminalserver nutzen? Denn dann würde ich natürlich nur 10x Office 365 ProPlus beschaffen (für die Office-Terminalserver Leute) und 20x Office 365 Business für die, die es nur lokal verwenden und aus anderen Gründen auf den Terminalserver müssen.
WindowsRM einschränken
in Windows Forum — Security
Geschrieben · bearbeitet von RainerZu
Das sind sehr gute Hinweise, vielen Dank.
Das Thema Powershell bzw. tiefere Windows-Administration ist noch recht neu für mich. Ich komme eher aus der Linux-Ecke ;)
Zum Thema lateral movement bzw. Admin-Accounts nur für jede Zone.... wir sind gerade dabei das von MS vorgeschlagene Admin-Tiering umzusetzen.
Die Clients bekommen tatsächlich (bzw haben schon) alle einen eigenen lokalen Account. Geplant ist, aber eventuell noch eine Umstellung auf LAPS. Die Domäne-Admins können nur auf der Tier0(Server) benutzt werden und Zugriffe sind auch nur aus der Tier0 zugelassen. Für Domäne-Beitritt gibt es einen speziellen Account.