q617

Ob der OP nach diesen "Hinweisen" hier mal weiterhilft bei Fragen anderer Nutzer, wenn er denn könnte?

also erst Browser, dann Notepad, dann PowerShell?

Können die keine grafische Oberfläche bei Microsoft?

Dies ist ein Admin-Forum, kein Entwicklerforum.

Tja, wenn die zahlenden Kunden einfach die Qualitätssicherung der MS-Doku nicht durchführen.....

Ist keine Lücke in ExO, ist eine "Lücke"  bei den Keys, das betrifft alle MS-Online-Dienste:

Aber warte. Sie haben nur zugegeben, dass die Chinesen damit ihren Exchange aufmachen konnten. Nur... wenn du eine Art Admin-Schlüssel selbst erzeugen kannst, wieso würde das dann auf Exchange beschränkt sein? War es natürlich nicht.

This led us to believe that although the compromised key acquired by Storm-0558 was a private key designed for Microsoft's MSA tenant in Azure, it was also able to sign OpenID v2.0 tokens for multiple types of Azure Active Directory applications.

http://blog.fefe.de/?ts=9a407dc7

Hast du Azure ohne Supportvertrag oder wie?

Tja, bezieht sich "shared hardware" nur auf das Serverblech oder auch auf Switch(e) und Router?

“If you're not an E5-paying customer, you lose the ability to see that you were compromised.”
Und die Sicherheit, die Sicherheit ist in der Cloud auch immer mit 'bei.

Im Ausgangsbeitrag steht "Das Thema ist: GPO Verarbeitung nach erfolgreich, hergestellter VPN Verbindung.  "?

Warum werden da Internetbasierte Lösungen angeboten wie Sauerbier?

Warum macht deine Client-Management-Lösung das nicht automatisch?

Wir wissen gar nicht, ob der OP vor dem Kauf die Lizenzbedingungen akzeptiert hat.

Und ob oben zitierte Lizenzbedingungen auch die sind, die für den OP gelten.

vor 1 Stunde schrieb testperson:

beim Windows Server 2022 Essentials als VM wäre vermutlich das 10 Core Limit ein Problem: Hardware limits for Windows Server Essentials | Microsoft Learn

Der 2019er Essentials kann 2 Sockets OHNE Limit bzgl. Kernen.

Wobei immer noch die Frage bleibt, ob frisch installierter Client nicht genau dieselbe Lücke aufweist,.

vor 1 Stunde schrieb Nobbyaushb:

Mit dem Zug 4:30min für 45€

Wenn man um 10:17 eintreffen will: um 5:51 am Stuttgarter Hauptbahnhof sein,

oder wenn man 8:17 eintreffen will: um 2:22 am Stuttgarter Hauptbahnhof sein.

vor 17 Stunden schrieb wznutzer:

Darf ich etwas OT werden? Meinst Du Puppet, Ansible und Co? Oder den Weg alles einzeln zu recherchieren (Powershell, Registrykeys usw.). Bis alle Schrauben dran sind, komme ich immer auf 3-4 Stunden.

Das hat er bestimmt irgendwo verbloggt oder so. Ich kenn hier kaum jemand drum kann ich keine Adresse liefern.

Gibts hinterher Videos bei Youtube?

Kommt beim Konzept vielleicht drauf an, ob man selbst "hinterher" saubermachen muss, oder ob es jemand anders tut.

vor 46 Minuten schrieb testperson:

Es gibt verschiedene AppLocker Umgeheungen. Bspw. gibt es hier eine ganz brauchbare Applocker Bypass List: GitHub - api0cradle/UltimateAppLockerByPassList: The goal of this repository is to document the most common techniques to bypass AppLocker. Generell findest du "bei ihm" (https://oddvar.moe/) gute Infos in diese Richtung bzw. dann auch Ansätze zur weiteren Recherche.

Diese Liste ist 5 Jahre alt, da fallen mir selbst im Zug 3 weitere ein. Und: keine Berücksichtigung von Windows 11.

vor 38 Minuten schrieb fork:

 

Mit einem Paketsniffer auf der Firewall sehe, dass Outlook zahlreiche Verbindungen auf irgendwelche Hostnamen bei Microsoft initiiert. Die DNS-Anfragen sind dabei erlaubt und werden beantwortet. Die Verbindungen per http(s) aber nicht.

"funktioniert nicht " ist keine Fehlerbeschreibung.

Ohne Logfiles kann man zu den "zahlreiche Verbindungen auf irgendwelche Hostnamen bei Microsoft" nix sagen.

vor 46 Minuten schrieb wznutzer:

User dürfen nur Programme ausführen die in Pfaden liegen in denen sie keine Schreibrechte haben. Für einen Spezialfall (E-Post) gibt es eine Signatur-Regel.

Na wenn dir das ohne Nachschärfungen ausreicht....

Mir fehlen Infos zu deiner Netzwerkstruktur, welche Maschine darf ins Internet, welche nicht?

Da muss man früh ansetzen, welche App-Locker Regeln hast du denn genau auf deinen RDSH?

Schwarz-auf-Schwarz schwankt zwischen 30% und 70% hier vom selben Absender derselben mittelgrossen Firma,

also kein WEB.DE oder GMX.DE bei uns dabei, unsere Kunden nutzen eigene Domains mit eigenen Servern.
Selbstheilung sehr gering falls überhaupt vorhanden-

Tritt bei vielen Absendern auf, auch bei mittelgrossen Absendern.

Ich fände es komisch, wenn ein Group Security Officer vorbeikommt um eine Festplatte zu tauschen oder eine Datenbank zu migrieren

Hallo

Gemäss

Was der Hauptgrund dafür ist, einen DC mit DNS außerhalb des Hostes zu haben, am besten ein kleiner Server mit eigener USV

Ich hatte immer einen Intel NUC, aktuell einen Lenovo Tiny mit i5 an einer kleinen 1,5kw USV

Die Clients müssen den auch erreichen können, oder? Dann braucht man VPN zum Firmennetz, oder?

Ciao