SandyB

Danke! Ich habe heute von ca. 20% Leistungsverlust gehört.

Es geht etwa um 3500 User mit hohen Ansprüchen an die Performance.

Hallo

Gibt es eine harte Obergrenze für gleichzeitige RDP Verbindungen von einer Windowsmaschine (Server 2019 oder 2016). ? Welche resource bildet den Anschlag . Wenige dicke Maschine sind günstiger, als viele kleine Server.

Mit wieviel Prozent abschlag an Leistung muss man etwa rechnen, wenn statt als Blech die Server mit dem gleichen Speicher und denselben CPUs virtualisiert betrieben werden?

Du brauchst bei deinem Alter und deinem Lebenslauf so schnell wie möglich ein richtiges Arbeitszeugnis.

Deine Posts hören sich zumindest so an, dass du immer gute und viele Argumente findest, etwas nicht zu machen.

Warum ist aus deinen vielen Vorstellungsgesprächen nichts geworden?

Ich selbst habe keine tiefen Kenntnisse in Active Directory. Daher muss ich sehen, dass ich die von Leuten bekomme, die sich auskennen. Daher hatten wir den Workshop mit Microsoft. Selbstvertändlich wurde dort mehr besprochen, als nur eine einzige Frage. Ich dachte halt, es die Info wäre innerhalb dieser Diskussion allgemein interessant.

@Nils

 z.B. GPOs sollen künftig mit Jamf abgebildet werden 

vor 18 Minuten schrieb djmaker:

Wie valide ist die Info? ich halte die Aussage für sehr gewagt. . .  .

Von einem Microsoft Senior Product Manager

Er war vom Fach 

Zur Info: Ich habe mit Microsoft darüber gesprochen. Eine Aussage war, dass Microsoft absolut nichts mehr in OnPremise-ActiveDirectory investieren wird.

Danke dir! 

Wir werden dann mal sehen, dass wir genug KnowHow für das Vorhaben heranholen. 

Bei 2008R2 muss man meiner Erinnerung nach die Verschlüsselung noch konfigurieren

https://support.microsoft.com/en-us/help/3080079/update-to-add-rds-support-for-tls-1-1-and-tls-1-2-in-windows-7-or-wind

Aufgrund eines CarveOuts müssen wir ein neues AD erstellen.

Ganz grundsätzlich: Braucht man heutzutage überhaupt noch physikalische Domaincontroller, oder kann man die Client- und Userverwaltung incl. GPOs und Rechteverwaltung komplett über Azure AD abwickeln?   

Danke für die Antworten

Dir ist die ZT-Strategie gänzlich unbekannt, ähnlich wie mir selbst bis vor einer Woche (Eine Präsentation hatte ich nur mal bei einem Google-Workshop gesehen). Da sich auch sonst niemand positiv oder negativ dazu äußert, ist das für mich die Antwort.

z.B.

https://www.microsoft.com/en-us/itshowcase/implementing-a-zero-trust-security-model-at-microsoft

https://cloud.google.com/beyondcorp/

Ich würde gerne wissen, welche Rolle bei Euch die Zero Trust Strategie spielt (Microsoft-/ Non-Microsoft Welt).

"Ich hatte Probleme bei der Automobil Branche Fuß zu fassen. Deswegen möchte ich nun umschweifen und zwar Richtung IT. "

In der IT Branche sind die Anforderungen nicht geringer, als bei Automotive. 

"Plattformvalidierungsdaten nach BitLocker-Wiederherstellung zurücksetzen" habe ich gefunden. Im Internet stand außerdem irgendwo, dass der Zähler von 0 bis 23 läuft. 23 schusslige Falscheingaben über die Jahre kommt bei mir schon hin.

Ich werde mein Notebook nächste Woche neu installieren lassen, daher drückt mich die Frage nicht mehr besonders. Den Sinn der Limitierung auf 23 versteh ich eh nicht, man kann's mit der Sicherheit auch übertreiben.

Die Einstellung muss zentral geprüft und vorgenommen werden. Das wird etwas dauern.

Danke für den Tipp! Hab die GPO glaub ich gefunden. Jetzt brauch ich nur noch die Rechte zum Setzen.

Du bist doch fertiger Ingenieur. Da startet man irgendwo zwischen 45 und 60 T€ ins Berufsleben.

z.B. in der Elektro- und Metallbranche (z.B. Automotive)  https://www.igmetall.de/download/docs_MuE_ERA_Entgelte_Juni2018_78d3e1848939887f53dcf9506907870bb637c493.pdf

bei EG 9, gute Absolventen auch EG 10

Warum hast du keine Praktikas?

Ich habe ein Notebook, auf dem vor 2 bis 3 Jahren von der Firma Windows 10 aufgespielt wurde incl. Bitlockerverschlüsselung der C-Platte.

Sobald ich beim Systemstart im Bitlocker-Fenster nur einmal einen falschen Key eingebe, sperrt Bitlocker sofort und ich muss wegen zu häufiger Fehleingabe den Recovery Key eingeben. Damit entsperrt der Rechner, aber der Zähler wird offenbar nicht zurückgesetzt. Bei der nächsten einzigen Falscheingabe, was halt gelegentlich mal passiert, muss ich wieder den Recovery-Key rauskramen.

Ein Helpdeskkollege meinte, dass Windows bzw. der TPM-Chip den Zähler nur nach oben zählen. Weder eine richtige Bitlocker-PIN noch der RecoveryKey setzen den Zähler zurück. Ich muss den Recovery-Key so ausgedruckt in der Notebooktasche haben, falls ich unterwegs mal den falschen BitlockerKey eingebe, was sicher nicht im Sinne des Erfinders ist.

Wie kann ich den Zähler für den Bitlocker hoch- bzw. noch besser zurücksetzen?  Wird bei einer Neuinstallation auch der TPM resetted?

Wiegesagt,ich kann den Rechner entsperren und könnte mir auch für 2 Stunden Adminrechte geben lassen.

Früher war Alles besser, sogar die Zukunft!

vor einer Stunde schrieb daabm:

Niemand kann das Abfotografieren von Bildschirmen verhindern. Wenns schnell gehen muß, filmt man beim Durchscrollen mit. Und dann?

Es gibt Controls, die auch das unberechtigte Abfotografieren wertvoller Inhalte zumindest stark erschweren. 4-eyes, least privilege, need-to-know, extended auditing, uncovering suspicious activities, um nur ein paar davon zu nennen. Und personelle controls gehören ebenfalls dazu, klar! 

Du brauchst ein erfahrenes Systemhaus, das die am Markt verfügbare Schutz-Software kennt. Neue Tools müssen auch in euer Gesamtkonzept passen.

Man kann Datendiebstahl nicht völlig verhindern, aber durch unterschiedliche Schichten wirksam erschweren.

vor 3 Stunden schrieb Gu4rdi4n:

 

 

Jemand eine Idee/Erfahrungen?

Gegen Data Leakage führen einige Bereiche bei uns den "digital guardian" als Pilot ein. Damit soll verdächtiges Verschieben und Kopieren von Daten erkannt werden. 

Um generell verdächtige Prozesse auf System/ Kernelebene zu erkennen, nutzen wir "Crowdstrike". 

Sieh dir trotzdem noch die letzten Version von Microsoft ATA und Windows Defender ATP an. Microsoft rüstet in diesen Bereichen mächtig nach. Wende dich vielleicht an ein Systemhaus, das auf Microsoft Security spezialisiert ist, 

Wir lassen emails über exchange online laufen und sind sehr zufrieden. 

https://docs.microsoft.com/en-us/office365/securitycompliance/anti-spam-and-anti-malware-protection

@Rob

Preise wird dir kein Hersteller einfach nennen. Wir reden über kein simples Computerspiel zum Download, sondern PAM ist ein erheblicher Eingriff in die Infrastrukur und die administrativen Prozesse deiner Firma.

Wenn du Interesse an der Materie hast, schau dir als Einstieg die Studie von Forrester Wave an

https://www.centrify.com/media/4908806/forrester_wave_pim_q4_2018.pdf

Dann geht zu einem Systemhaus, das Erfahrung mit PAM-Solutions hat, lasst euch beraten und ein Angebot mit euren Anforderungen erstellen. Die großen Häuser wie Accenture, Avanade, NTT oder Atos haben 100% sicher erfahrene PAM-Spezialisten im Haus, Aber auch kleinere Häuser werden sich dem derzeitigen PAM-Boom nicht entziehen wollen. 

@Dukel

Danke für den Link. 

@Robdust

Da hilft ein Privileged Access Management Tool (PAM) wie CyberArk oder Thycotics (IBM). Jeder privilegierte Account (egal ob im AD/ Local/ Linux) bekommt nach der Nutzung automatisiert ein neues Password verpasst. Jeder lokaler Account hat ein unterschiedliches Passwort. Und noch einige weitere Features.