WhiteHelix
Commander
- Registriert
- März 2022
- Beiträge
- 2.715
Äh doch, hätte ich schon gesagt. Das ist doch der Albtraum jeder IT AbteilungMac_Leod schrieb:
Austausch unter IT-Professionals - Erfahrungen, Tipps, Fachsimpelei
- Ersteller Zensai
- Erstellt am
Mac_Leod
Captain
- Registriert
- Dez. 2001
- Beiträge
- 3.817
ja ok, ich hab keine Lust das auszudiskutieren, denn vor ner ganzen Weile hab ich auch noch so gedacht.
Dann kam Corona und die BYOD Welle.
Egal, ich freu mich für euch, wenn es so gut bei euch funktioniert.
Danke für eure Gedanken.
Komplett anderes Thema:
Hat sich schon mal wer mit den Unterschieden eines internationalen und eines Chinesischen Micrsoft Tenants beschäftigt?
Suche die Diffs zusammen.
Dann kam Corona und die BYOD Welle.
Egal, ich freu mich für euch, wenn es so gut bei euch funktioniert.
Danke für eure Gedanken.
Komplett anderes Thema:
Hat sich schon mal wer mit den Unterschieden eines internationalen und eines Chinesischen Micrsoft Tenants beschäftigt?
Suche die Diffs zusammen.
Affenzahn
Rear Admiral
- Registriert
- März 2017
- Beiträge
- 5.442
Ich hab bislang nur von komplett getrennter IT gehört. Meine Samplesize dafür ist allerdings auch Zwei.
Scheint aber für die beiden immer noch günstiger (oder geschäftlich sinnvoller) als alle Internas direkt in's Reich der Mitte zu kopieren.
Scheint aber für die beiden immer noch günstiger (oder geschäftlich sinnvoller) als alle Internas direkt in's Reich der Mitte zu kopieren.
Mac_Leod
Captain
- Registriert
- Dez. 2001
- Beiträge
- 3.817
Hintergrund ist eine frisch gegründete Tochterfirma.
Die Idee ist einen komplett eigenständigen Tenant unter Einhaltung des PIPL zu betreiben.
Einen Reseller für die Office365 Lizenzen vor Ort zu organisieren und sozusagen von der deutschen Mutter keinerlei Abhängigkeiten zu haben.
Ich frag mich nur gerade ob ein Besuch in Deutschland dann schon kritisch wird aus der Sicht des PIPL.
Damit meine ich:
Ein MA aus cn kommt zu uns, schmeißt sein VPN an, landet logischerweise im RZ in cn, dann fließen Daten in beide Richtungen, zwar verschlüsselt aber gilt es dann schon ab abfließende Daten raus aus China?
Wenn das PIPL genauso lasch wie die DSGVO eingesetzt wird, mach ich mir da wenig Sorgen, nur habe ich keinen Schimmer wie die Chinesen da drauf sind.
Die Idee ist einen komplett eigenständigen Tenant unter Einhaltung des PIPL zu betreiben.
Einen Reseller für die Office365 Lizenzen vor Ort zu organisieren und sozusagen von der deutschen Mutter keinerlei Abhängigkeiten zu haben.
Ich frag mich nur gerade ob ein Besuch in Deutschland dann schon kritisch wird aus der Sicht des PIPL.
Damit meine ich:
Ein MA aus cn kommt zu uns, schmeißt sein VPN an, landet logischerweise im RZ in cn, dann fließen Daten in beide Richtungen, zwar verschlüsselt aber gilt es dann schon ab abfließende Daten raus aus China?
Wenn das PIPL genauso lasch wie die DSGVO eingesetzt wird, mach ich mir da wenig Sorgen, nur habe ich keinen Schimmer wie die Chinesen da drauf sind.
LasseSamenström
Lieutenant
- Registriert
- Mai 2016
- Beiträge
- 832
Mac_Leod schrieb:
Bei uns geht so, liegt aber eher daran das die Terminalserver scheiße konfiguriert wurden. Neu aufsetzen kann ich nicht (Office Lizenz fehlt). Demnächst kommt 2024 (365 wird es bei uns nicht geben, zum Glück) und dann werd ich wohl einige User auf ihre Clients umziehen damit Last von den Servern geht. Man merkt es bei einigen Usern beim telefonieren (nachdem wir auf komplett auf SIP und Softphone umgestiegen sind). Das machen sich die Latenzzeiten bemerkbar.
Mini-PCs sind ja mittlerweile kompakt und performant genug für das bisschen Office Gedöns.
Ich schätze mal ich werde alle "Sitz" Arbeitsplätze auf die Clients umziehen und die "hybriden" Mitarbeiter weiterhin auf den Terminalservern lassen. Mobile Arbeitsplätze gibt es wenig, aber die werden wohl auch weiterhin Terminalserver nutzen. Ist halt einfacher zu managen.
Spike S.
Lt. Commander
- Registriert
- Feb. 2012
- Beiträge
- 2.043
Bei meinen Firmenlaptops musste ich immer beim Start ein Passwort eingeben. Das wird die Bitlocker Laufwerksverschlüsselung sein, hatte ich mir mal zusammengereimt.
Anfang November fiel mir auf, dass ich gar nicht mehr danach gefragt werde. Also Ticket eingestellt, ist ja sicherheitsrelevant. Vor anderthalb Wochen (!) habe ich diese Antwort erhalten:
Wie seht ihr das, ist es hier angemessen vom Glauben abzufallen? Ich mein, wenn das so einfach umgangen werden kann, bzw. das Sicherheitsfeature einfach von allein verschwindet, was nützt es mir oder der Firma dann?
Einen Fehler an der BIOS Batterie kann man dann ja mutmaßlich auch gezielt ausnutzen, wenn man als unberechtigter Dritter an so ein Gerät gelangt.
Und ich hatte wirklich nix gemacht^^
Und den Ruhezustand in Windoze aktivieren oder WSL installieren (in meiner Firma hat man weitgehend Adminrechte auf den Kisten), wird ja wohl kaum den Bitlocker deaktivieren. Zumindest nicht ohne große deutliche Warnung...
Ich bin ein bisschen sprachlos...
Anfang November fiel mir auf, dass ich gar nicht mehr danach gefragt werde. Also Ticket eingestellt, ist ja sicherheitsrelevant. Vor anderthalb Wochen (!) habe ich diese Antwort erhalten:
...und ich soll einfach ein neues Passwort setzen.
Wie seht ihr das, ist es hier angemessen vom Glauben abzufallen? Ich mein, wenn das so einfach umgangen werden kann, bzw. das Sicherheitsfeature einfach von allein verschwindet, was nützt es mir oder der Firma dann?
Einen Fehler an der BIOS Batterie kann man dann ja mutmaßlich auch gezielt ausnutzen, wenn man als unberechtigter Dritter an so ein Gerät gelangt.
Und ich hatte wirklich nix gemacht^^
Und den Ruhezustand in Windoze aktivieren oder WSL installieren (in meiner Firma hat man weitgehend Adminrechte auf den Kisten), wird ja wohl kaum den Bitlocker deaktivieren. Zumindest nicht ohne große deutliche Warnung...
Ich bin ein bisschen sprachlos...
Ranayna
Admiral
- Registriert
- Mai 2019
- Beiträge
- 7.614
Hast du einen Desktop oder einen Laptop? Bei Laptops ist das BIOS in aller Regel deutlich staerker abgesichert. Da kannst du oft ein vergessenes Passwort nicht resetten ohne Herstellersupport. Macht ja auch Sinn, weil Laptop schnell mal abhanden kommen.
Bei Desktops ist die BIOS Absicherung meistens lascher, einfach weil das Diebstahl und Verlustrisiko kleiner ist.
Ob dein Rechner mit Bitlocker verschluesselt ist, erkennt man aber ganz gut: Im Windows Explorer hat die C:\ Partition dann ein Schlosssymbol. Und man kann Bitlocker so konfigurieren, das wenn das System beim Booten ein bestimmtes Netzwerk erkennt, der Rechner automatisch ohne Passwortangabe hochfaehrt.
Bei Desktops ist die BIOS Absicherung meistens lascher, einfach weil das Diebstahl und Verlustrisiko kleiner ist.
Ob dein Rechner mit Bitlocker verschluesselt ist, erkennt man aber ganz gut: Im Windows Explorer hat die C:\ Partition dann ein Schlosssymbol. Und man kann Bitlocker so konfigurieren, das wenn das System beim Booten ein bestimmtes Netzwerk erkennt, der Rechner automatisch ohne Passwortangabe hochfaehrt.
Spike S.
Lt. Commander
- Registriert
- Feb. 2012
- Beiträge
- 2.043
Laptop, wie ich schrieb. Und es ist dann wohl so, wie ich es mir erreimt hatte:
Dieses "bestimmte Netzwerk", muss das manuell festgelegt werden oder lernt das Windows dies automatisch? Oder gibt es in solchen bestimmten LANs dann Server die ein speziellen Broadcast o.ä. senden?
Weil, ich wurde nie über mein heimisches Netzwerk ausgefragt, weder vom Support noch von Windows. Und bis November war das Gerät bereits etwa 5 Monate in Verwendung. Ich bin im Schnitt höchstens ein mal die Woche in der Firma, Rest daheim.
Aber private WLANs als Bitlocker Schlüssel zu verwenden, erscheint mir auch nicht sinnvoll. Zum entschlüsseln bräuchte man dann "nur" vorm Haus entlang laufen.
Dieses "bestimmte Netzwerk", muss das manuell festgelegt werden oder lernt das Windows dies automatisch? Oder gibt es in solchen bestimmten LANs dann Server die ein speziellen Broadcast o.ä. senden?
Weil, ich wurde nie über mein heimisches Netzwerk ausgefragt, weder vom Support noch von Windows. Und bis November war das Gerät bereits etwa 5 Monate in Verwendung. Ich bin im Schnitt höchstens ein mal die Woche in der Firma, Rest daheim.
Aber private WLANs als Bitlocker Schlüssel zu verwenden, erscheint mir auch nicht sinnvoll. Zum entschlüsseln bräuchte man dann "nur" vorm Haus entlang laufen.
Ranayna
Admiral
- Registriert
- Mai 2019
- Beiträge
- 7.614
Es geht drum, das der Rechner einen bestimmten Server im Netzwerk erreichen kann. Ich glaub es findet auch Kommunikation statt, so das man Rechner dafuer sperren kann.
Bitlocker kann dafuer im Preboot WLAN oder LAN verwenden, so das man, wenn man in der Firma ist, den Rechner einfach hochfahren kann.
Wenn du im Homeoffice nicht nach der Bitlocker PIN gefragt wirst ist da was falsch konfiguriert. Aber so tief bin ich bei Bitlocker selber leider nicht drin als das ich da helfen kann. Ich bin Netzwerker
Bitlocker kann dafuer im Preboot WLAN oder LAN verwenden, so das man, wenn man in der Firma ist, den Rechner einfach hochfahren kann.
Wenn du im Homeoffice nicht nach der Bitlocker PIN gefragt wirst ist da was falsch konfiguriert. Aber so tief bin ich bei Bitlocker selber leider nicht drin als das ich da helfen kann. Ich bin Netzwerker
Nilson
Grand Admiral
- Registriert
- Dez. 2008
- Beiträge
- 25.468
Man kann zwar den Zugriff mit drei Passwörtern absichern (BIOS/UEFI + Bitlocker + Windows), aber das würde die User schnell nerven und dazu verleiten möglichst kurze und einfache Passwörter zu nehmen.
Ich kenn es daher eher so: Kein BIOS/UEFI Passwort (höchstens eins zu Schutz der Einstellungen). Bitlocker läuft über TPM, sodass der User nur noch das Windows-Passwort eingeben muss. Das dafür dann entsprechend lang und sicher. Bei uns geht aber auch inzwischen Windows-Hello, also PIn und/oder Fingerabdruck und/oder Gesicherserkenung.
Ein BIOS/UEFI Passwort, dass nicht im flash sondern im CMOS gespichert wird, und damit duch ein Reset/Power-Loss zurücksetzbar ist, finde ich etwas Sinnlos. Gängelt nur die User ohne echte Sicherheit zu bieten. Das schrekt höchsten Gelegenheitsdiebe ab, die beim ersten Anzeichen eines Hinderniss das Ding plattmachen und verticken.
Ich kenn es daher eher so: Kein BIOS/UEFI Passwort (höchstens eins zu Schutz der Einstellungen). Bitlocker läuft über TPM, sodass der User nur noch das Windows-Passwort eingeben muss. Das dafür dann entsprechend lang und sicher. Bei uns geht aber auch inzwischen Windows-Hello, also PIn und/oder Fingerabdruck und/oder Gesicherserkenung.
Ein BIOS/UEFI Passwort, dass nicht im flash sondern im CMOS gespichert wird, und damit duch ein Reset/Power-Loss zurücksetzbar ist, finde ich etwas Sinnlos. Gängelt nur die User ohne echte Sicherheit zu bieten. Das schrekt höchsten Gelegenheitsdiebe ab, die beim ersten Anzeichen eines Hinderniss das Ding plattmachen und verticken.
Zuletzt bearbeitet:
Spike S.
Lt. Commander
- Registriert
- Feb. 2012
- Beiträge
- 2.043
Ich merk schon, euch will ganz spontan auch kein plausibles Szenario einfallen, in dem das Okay wäre
Es ist schon so, Laptop einschalten, BIOS Fullscreen Logo, Passworteingabe mit Schloss-/Schlüsselsymbol (weiß nicht mehr, ist ja nun lange her^^), direkt nach BIOS und vorm Windows Splash Screen. Ohne Eingabe geht der Rechner nach einer Minute wieder aus. So war das zumindest immer bisher und auch anfangs beim aktuellen Gerät.
Ich sehe aber gerade in der Bildersuche, Bitlocker Passwortabfrage sieht anders aus, bei mir sah es immer so aus (ist ein Lenovo ThinkPad):
Die nächste Passwortabfrage ist dann für das Windows Profil.
Es ist schon so, Laptop einschalten, BIOS Fullscreen Logo, Passworteingabe mit Schloss-/Schlüsselsymbol (weiß nicht mehr, ist ja nun lange her^^), direkt nach BIOS und vorm Windows Splash Screen. Ohne Eingabe geht der Rechner nach einer Minute wieder aus. So war das zumindest immer bisher und auch anfangs beim aktuellen Gerät.
Ich sehe aber gerade in der Bildersuche, Bitlocker Passwortabfrage sieht anders aus, bei mir sah es immer so aus (ist ein Lenovo ThinkPad):
Die nächste Passwortabfrage ist dann für das Windows Profil.
Hi,
Im Grunde wurde dir von deiner IT schon die Realisierung (UEFI PowerON Password) genannt. Mich wundert nur, dass sich das Passwort alleine durch eine leere CMOS Batterie zurücksetzt. Kenne das eigentlich nur bei Consumer Notebooks oder uralten Business Geräten. Bei aktuellen Geräten wird das Passwort - wie Nilson bereits geschrieben hat - in den Flashspeicher des UEFI geschrieben, sodass dies auch nach einem Stromreset erhalten bleibt.
State of the art ist TPM + zweiter Faktor (PIN, USB Stick), wen Bitlocker als Festplattenverschlüsselung genutzt wird: https://learn.microsoft.com/de-de/w...ity/data-protection/bitlocker/countermeasures
Dann mal besser nicht das Firmen Notebook verlieren
das Feature nennt sich Network Unlock und ja, dafür müssen spezielle Server/Dienste im Unternehmensnetzwerk erreichbar sein, sodass dein Notebook außerhalb des Firmennetzwerkes nicht automatisch darüber entsperrt werden sollte.Spike S. schrieb:
Im Grunde wurde dir von deiner IT schon die Realisierung (UEFI PowerON Password) genannt. Mich wundert nur, dass sich das Passwort alleine durch eine leere CMOS Batterie zurücksetzt. Kenne das eigentlich nur bei Consumer Notebooks oder uralten Business Geräten. Bei aktuellen Geräten wird das Passwort - wie Nilson bereits geschrieben hat - in den Flashspeicher des UEFI geschrieben, sodass dies auch nach einem Stromreset erhalten bleibt.
State of the art ist TPM + zweiter Faktor (PIN, USB Stick), wen Bitlocker als Festplattenverschlüsselung genutzt wird: https://learn.microsoft.com/de-de/w...ity/data-protection/bitlocker/countermeasures
Dann mal besser nicht das Firmen Notebook verlieren
Evil E-Lex
Commander
- Registriert
- Apr. 2013
- Beiträge
- 2.857
Das ist die Passwortabfrage vom BIOS bei ThinkPads, mit BitLocker hat das nichts zu tun. Ich bin allerdings ebenfalls irritiert, dass das Passwort durch eine leere CMOS-Batterie entfernt wird.Spike S. schrieb:
Zur Beruhigung: Es gibt kein Szenario, indem sich BitLocker selbstständig deaktiviert.
Spike S.
Lt. Commander
- Registriert
- Feb. 2012
- Beiträge
- 2.043
Okay. Dann scheint Bitlocker am TPM zu hängen, oder so. Es ist aktiv, aber direkt behelligt werde ich davon nicht.
Aber ich fasse mal zusammen: Dass ein BIOS Passwort einfach so verschwindet, bei einem Businessnotebook bzw. einem Notebook im Businesskontext, ist auch für euch unnormal. Gut, dann scheine ich das ja nicht ganz falsch eingeschätzt zu haben. Jetzt muss ich mir nur überlegen, wie ich mein "Entsetzen" in der Antwort ausdrücke, ohne zu flapsig zu werden^^
Aber ich fasse mal zusammen: Dass ein BIOS Passwort einfach so verschwindet, bei einem Businessnotebook bzw. einem Notebook im Businesskontext, ist auch für euch unnormal. Gut, dann scheine ich das ja nicht ganz falsch eingeschätzt zu haben. Jetzt muss ich mir nur überlegen, wie ich mein "Entsetzen" in der Antwort ausdrücke, ohne zu flapsig zu werden^^
morcego
Lt. Commander
- Registriert
- Aug. 2008
- Beiträge
- 1.967
hendrik.
Commander
- Registriert
- Dez. 2021
- Beiträge
- 2.690
Bei mir scheiterte die Installation auch. Seit einer halben Stunde dreht er nun die Uhr "Windows wird vorbereitet, schalten Sie den Computer nicht aus."
Habe den Beitrag zum Glück vorher gelesen und das Update erstmal auf einer VM installiert. Komme jetzt nur noch über das Host Betriebssystem ran. RDP ist tot. Am besten überspringen. WinSrv2019.
Als kleiner Hinweis:
Habe den Beitrag zum Glück vorher gelesen und das Update erstmal auf einer VM installiert. Komme jetzt nur noch über das Host Betriebssystem ran. RDP ist tot. Am besten überspringen. WinSrv2019.
Als kleiner Hinweis:
morcego
Lt. Commander
- Registriert
- Aug. 2008
- Beiträge
- 1.967
Lief bei mir bis 5% auf der WSUS VM und dann gescheitert. Direkt im WSUS wieder abgelehnt, rebootet, kam normal wieder. Software Distribution leer geräumt und fertig. Dann gibts halt vorerst nur das .net Update
Der RDP kommt wohl nach seeeeehr langer Zeit wieder, etwa 1h, hatte auch einer in den Born Kommentaren gesagt.
Der RDP kommt wohl nach seeeeehr langer Zeit wieder, etwa 1h, hatte auch einer in den Born Kommentaren gesagt.
LasseSamenström
Lieutenant
- Registriert
- Mai 2016
- Beiträge
- 832
Deswegen warte ich immer 2 Wochen, bevor ich überhaupt daran denke die Updates über WSUS auszurollen. Erspart einiges.
Gefühlt werden die Probleme häufiger bei den Patchdays
Gefühlt werden die Probleme häufiger bei den Patchdays