Ergebnis 1 bis 24 von 24

Thema: 2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

  1. #1

    2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

    Guten morgen zusammen,

    ich habe aktuell ein Problemchen was ich nicht genau einordnen kann, weswegen ich auch noch nicht weiß ob es server oder clientseitig ist.

    Kurz zum netzwerkaufbau

    Windows 2k12 R2 Essentials Server
    IP 192.168.2.1
    fungiert als Domaine/active Directory , File-Server etc.
    CPU Intel Xeon E3-1230 v5 @3,4GHz
    32GB ram

    Fritzbox 7490
    IP auf 192.168.2.254

    2. Windows 10 64 Bit Pro Clients
    IP auf 192.168.2.11 und .15
    Main DNS = Server-IP, 2nd DNS = Fritzbox-IP

    Virensoftware: Avast Endpoint Protection Suite

    Problembeschreibung: Seit kurzem (ca 4 Tage) treten bei den oben genannten beiden Windows Clients die Fehler auf, das diese etwa alle 30-45 Minuten kurzzeitig die Verbindung zum Server verlieren. In diesem Fall ist der Server nicht pingbar, eingebundene Drucker, die über den Server verteilt werden, sind laut aussage der betroffenen angestellten während des Verbindungsabbruchs auch nicht nutzbar. Internet funktioniert währenddessen einwandrei.

    während der Fehler bestand kam ich von meinen Client problemlos via Remote auf den Server und hatte ebenso einen positiven Ping.

    bei allen anderen Rechnern tritt diese Problematik nicht auf

    Virenbefunde laut Avast negativ.

    Nutzer der Systeme sind an sich keine DAUs und kennen sich schon deutlich besser mit Rechnern aus als ein Standard-Nutzer, weswegen ich Anwenderfehler erstmal ausschließ.

    Bereits probiert:
    Clientseitig
    • Hardware Updates
    • Software Updates
    • Netzwerkkartentausch
    • Domain aus- und wiedereintritt


    serverseitig
    • Hardware Updates
    • Software Updates
    • Zugriffsrechte der jeweiligen Nutzer überprüft


    Die Netzlaufwerke und IP-Drucker werden vom Server an die jeweiligen Benutzer verteilt/zugewiesen.

    weiß jemand Rat? Falls weitere Informationen benötigt werden, einfach nachfragen.
    schonmal danke im vorraus
    Geändert von venom2k6 (16.04.18 um 14:40 Uhr)

  2. #2
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    2.994
    ngb:news Artikel
    6

    Re: 2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

    @venom2k6: Kann es sein, dass die Clients danach neue IPs haben? Mein Bauchgefühl sagt mir DHCP...
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

  3. #3
    Mitglied

    (Threadstarter)

    Avatar von venom2k6
    Registriert seit
    Jul 2013
    Beiträge
    69

    Re: 2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

    hi Metal_warrior,
    beide Clients haben auch während des Fehlers ihre feste IP Adresse

    EDIT:
    Ich hab gerade noch die Prozesse überprüft, auffälligkeiten sind hier keine. zumindest sind mir hier keine aufgefallen die ungewöhnlich sind.
    Geändert von venom2k6 (16.04.18 um 12:24 Uhr)

  4. #4
    Mitglied Avatar von phre4k
    Registriert seit
    Mar 2015
    Beiträge
    5.272
    ngb:news Artikel
    4

    Re: 2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

    Sind die Freigaben und Drucker über eine IP eingebunden? Was sagt eventvwr dazu? Lass deine User mal die exakte (!) Zeit aufschreiben, wann das Problem auftritt.

    Falls ein DNS-Name genutzt wird, könnte in der Zeit nslookup getestet werden.

    Hängen beide Clients am selben Switch? Was für einer ist es? Dort mal in die Logs geschaut? Falls es ein dummer Switch ist, mal ausgetauscht?

    Bereits probiert:
    Clientseitig
    • Hardware Updates


    […]

    Clientseitig
    • Hardware Updates
    Also sind die Hardwarekomponenten des Clients jetzt wieder so wie vorher?

    Fritzbox 7490
    Wegwerfen, schreddern und verbrennen.
    Für diesen Beitrag bedankt sich venom2k6
    *mit Linux wäre das natürlich nicht passiert™
    Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say. – Edward Snowden
    tilde.fun – dein kostenloser Linux-Account in der Cloud | Inoffizielle ngb-Telegram-Gruppe
    GCM/S/TW d s+:- a-----? C++$ UL+++$ P-- L+++ E---- W++++ !N ?K w- M-- !P[A-Z] Y++ PGP R* tv-- b++>++++ DI++\:\( G+ e+>++++ h*

  5. #5
    Mitglied

    (Threadstarter)

    Avatar von venom2k6
    Registriert seit
    Jul 2013
    Beiträge
    69

    Re: 2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

    Zitat Zitat von phre4k Beitrag anzeigen
    Sind die Freigaben und Drucker über eine IP eingebunden? Was sagt eventvwr dazu? Lass deine User mal die exakte (!) Zeit aufschreiben, wann das Problem auftritt.
    zugewissen uhrzeiten passiert das nicht. allgemein wird gearbeitet, dann ist nach 30-45minuten die verbindung weg kommt dann selbstständig wieder, oder halt durch einen neustart und dann wieder nach 30-45min

    Zitat Zitat von phre4k Beitrag anzeigen
    Falls ein DNS-Name genutzt wird, könnte in der Zeit nslookup getestet werden.
    an der domäne angemeldet mit einer namensauflösung, korrekt

    Zitat Zitat von phre4k Beitrag anzeigen
    Hängen beide Clients am selben Switch? Was für einer ist es? Dort mal in die Logs geschaut? Falls es ein dummer Switch ist, mal ausgetauscht?
    yes, eigene infrastruktur, neu und professionell verlegt (vom dienstleister), da die interne hausverdrahtung kappes ist


    Zitat Zitat von phre4k Beitrag anzeigen
    Also sind die Hardwarekomponenten des Clients jetzt wieder so wie vorher?
    danke für die info... hab ich angepast


    Zitat Zitat von phre4k Beitrag anzeigen
    Wegwerfen, schreddern und verbrennen.
    naaa. die macht gute dienste, alles ok, zudem läuft darüber auch die telefonanlage.


    was ich nun ausprobiert habe, ich habe die energiesparoptionen der Lan-Karte bei beiden clients ausgeschaltet. seitdem habe ich keine klagen mehr gehört. wir beobachten das nun erstmal und sehen weiter.

  6. #6
    Mitglied Avatar von phre4k
    Registriert seit
    Mar 2015
    Beiträge
    5.272
    ngb:news Artikel
    4

    Re: 2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

    Kannst du dich bitte bemühen, Groß- und Kleinschreibung zu beachten?

    Zitat Zitat von venom2k6 Beitrag anzeigen
    zugewissen uhrzeiten passiert das nicht. allgemein wird gearbeitet, dann ist nach 30-45minuten die verbindung weg kommt dann selbstständig wieder, oder halt durch einen neustart und dann wieder nach 30-45min
    Du sollst dir die Uhrzeit aufschreiben lassen, damit du in die Logs des Clients schauen kannst.

    an der domäne angemeldet mit einer namensauflösung, korrekt
    Und die funktioniert?

    Was passiert, wenn du die Fritz!Box aus der DNS-Config raus nimmst, die per DHCP verteilt wird?
    *mit Linux wäre das natürlich nicht passiert™
    Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say. – Edward Snowden
    tilde.fun – dein kostenloser Linux-Account in der Cloud | Inoffizielle ngb-Telegram-Gruppe
    GCM/S/TW d s+:- a-----? C++$ UL+++$ P-- L+++ E---- W++++ !N ?K w- M-- !P[A-Z] Y++ PGP R* tv-- b++>++++ DI++\:\( G+ e+>++++ h*

  7. #7

    Re: 2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

    Zitat Zitat von venom2k6 Beitrag anzeigen
    was ich nun ausprobiert habe, ich habe die energiesparoptionen der Lan-Karte bei beiden clients ausgeschaltet. seitdem habe ich keine klagen mehr gehört. wir beobachten das nun erstmal und sehen weiter.
    Kleine Anekdote dazu: Laptop (neu, Win10) angeschlossen an Kabelgebundenes Netzwerk "wählt ein und ist verbunden", Millisekunden später, "fliegt raus", "wählt sich ein", "fliegt raus", das ganze ging munter so weiter. Bis ich in den Adaptereinstellungen den Energiesparmodus des Adapters ausgeschaltet hatte.

    Also, um mal zu sagen, genau so ein Kram ist mir auch schon passiert, keine Ahnung warum, Laptop ist ein "Acer" Gerät gewesen.

    Vielleicht liegt oder lag das auch ein irgendwelchen Treibern, aber egal was Energiesparmodus sagt und tut, gibt es nicht mehr, dann lieber dauerhaft an.
    Für diesen Beitrag bedankt sich phre4k
    Gruß theSplit
    @ I might be sober. The good things... the bad things... all I ever know is here! @ The past; yesterday, the present; here and now; the future; to be shaped. @
    +++ Pi-Thread +++ IT-Talents Code Competitions +++ NGB-Statistik Opt-Out/Anonymisierung +++ KISS Ebook Starter [Linux] +++ Browser Add-on: Flag cookies +++ Bandcamp +++ Github +++ Touch +++

  8. #8
    Mitglied

    (Threadstarter)

    Avatar von venom2k6
    Registriert seit
    Jul 2013
    Beiträge
    69

    Re: 2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

    @phre4k
    ja, der Server als Domäne funktioniert einwandfrei, an diesem liegt es wohl nicht. alle anderen Clients haben diese Problematik schließlich nicht.
    Wie bereits erwähnt, habe ich die Abschaltung des Lan-Controllers durch den PC deaktiviert. Stand jetzt ist, dass es seitdem keinerlei Probleme mehr mit der Netzwerkverbindung zum Server gab.

    weswegen sollte ich die Fritz.box aus der DNS-Config rausnehmen?? die Fritzbox funktioniert Tadellos?! Aber ja ich habe dies bereits getestet, gab jedoch keine Besserung. Durch weiteres googeln kam ich auf ein Forenbeitrag in einem anderem Forum, indem jemand ein ähnliches Problem hatte, aber ich mit Sicherheit sagen kann das sein Problem eher daran lag das er als Serversoftware Windows 7 für ein 20 Client-Cetzwerk verwendete
    Aber dadurch hab ich mir gedacht ich probier es mal mit dem Ausschalten der Energiesparmaßnahmen.

    EDIT:
    Bin nun durch weiteres googeln auf eine andere Möglichkeit gestoßen die sich auf Gruppenrichtlinien bezieht:

    Folgendes Szenario ist gegeben:

    Windows 8 oder Windows 10 PC
    PC ist in einer Windows Domäne (Active Directory) eingebunden
    PC erhält seine Netzlaufwerke über eine Gruppenrichtlinie zugewiesen
    Sofern der PC in regelmässigen Abständen immer wieder für kurze Zeit seine Netzlaufwerke verliert kann es daher kommen, dass in der Gruppenrichtlinie für die Windows Domäne beim Netzlaufwerk als Aktion Ersetzen statt Aktualisieren eingestellt ist. Prüfen Sie daher in der Gruppenrichtlinienverwaltung daher folgendes:

    Öffnen Sie den Gruppenrichtlinienverwaltungs-Editor

    Gehen Sie auf “Benutzerkonfiguration->Einstellungen->Windows-Einstellungen->Laufwerkzuordnung”

    Prüfen Sie ob beim betreffenden Netzlaufwerk unter Aktion Aktualisieren steht. Wenn nicht bitte auf Aktualisieren umstellen

    Dieses Problem tritt erst ab Windows 8 und höher auf. Bei diesen Betriebssystem werden die Gruppenrichtlinien in regelmässigen Zeitabständen auch bei einer angemeldeten Benutzersitzung aktualisiert. Dies führt dann zu einer kurzen Trennung der Netzlaufwerke wenn nicht Aktualisieren eingetragen ist. Bei Windows 7 erfolgte eine Abfrage der Guppenrichtlinien nur einmalig bei der Benutzeranmeldung.
    was meint ihr dazu?
    Für diesen Beitrag bedankt sich phre4k
    Geändert von venom2k6 (17.04.18 um 11:12 Uhr)

  9. #9
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.293
    ngb:news Artikel
    16

    Re: 2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

    Ja das was dort steht stimmt so, tritt aber eben nur auf wenn zum einen netzlaufwerke per policy und nicht z.b. Durch loginscripte verbunden werden und zum anderen nur wenn ein regelmäßiges überschreiben der policy aktiviert wurde.
    Letzteres ist natürlich sehr sinnvoll.

    Aber ich dachte dein Problem ist eh gelöst?

    Zum dns und fritzbox..
    Der 2. Dns wird nur verwendet wenn der erste nicht bzw zu langsam antwortet. Wenn hier die fritzbox drin ist, funktioniert dann zwar vermutlich der Ping auf Google.de aber Domain Funktionen und so manche Anwendung im Netzwerk nicht.
    Das dann gerade der dns am Domain Controller defekt ist merkst du dann eher verspätet und suchst vielleicht auch an der falschen Stelle ...
    Für diesen Beitrag bedanken sich venom2k6, phre4k
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  10. #10
    Mitglied

    (Threadstarter)

    Avatar von venom2k6
    Registriert seit
    Jul 2013
    Beiträge
    69

    Re: 2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

    Zitat Zitat von drfuture Beitrag anzeigen
    Ja das was dort steht stimmt so, tritt aber eben nur auf wenn zum einen netzlaufwerke per policy...
    Korrekt. Die Laufwerke werden über eine Gruppenrichtlinie verbunden, eine Änderung von erstellen auf aktuallisieren brachte jedoch auch keinen Erfolg.

    Heute habe ich auch mal den Switch neugestartet, was leider auch nicht half...

    Zitat Zitat von drfuture Beitrag anzeigen
    Aber ich dachte dein Problem ist eh gelöst?
    jap dachte ich auch, leider auch nur sporadisch. Am späten Abend rief mich meine Chefin an und sagte das das Problem wieder da sei. Jedoch war es nach den bereits durchgeführten dingen mal mehr als 4 std Ruhe...

    nachdem ich heute nochmal alles neustartete...

    Switch, Server, Clients... habe ich an einend er betroffenen Rechner mal dauerhaft den server pingen lassen. dieser schaffte nichtmal 1500 pings ehe die Verbindung abbrach

    Zitat Zitat von drfuture Beitrag anzeigen
    Zum dns und fritzbox..
    Der 2. Dns wird nur verwendet wenn der erste nicht bzw zu langsam antwortet. Wenn hier die fritzbox drin ist, funktioniert dann zwar vermutlich der Ping auf Google.de aber Domain Funktionen und so manche Anwendung im Netzwerk nicht.
    Das dann gerade der dns am Domain Controller defekt ist merkst du dann eher verspätet und suchst vielleicht auch an der falschen Stelle ...
    also soll ich mal überall den 2nd DNS komplett rausnehmen?

  11. #11
    Mitglied Avatar von phre4k
    Registriert seit
    Mar 2015
    Beiträge
    5.272
    ngb:news Artikel
    4

    Re: 2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

    Zitat Zitat von venom2k6 Beitrag anzeigen
    also soll ich mal überall den 2nd DNS komplett rausnehmen?
    Ja, mach mal.

    Was sagt denn der eventvwr aufm Server zur gewissen Uhrzeit, die du dir hast mitteilen lassen?
    *mit Linux wäre das natürlich nicht passiert™
    Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say. – Edward Snowden
    tilde.fun – dein kostenloser Linux-Account in der Cloud | Inoffizielle ngb-Telegram-Gruppe
    GCM/S/TW d s+:- a-----? C++$ UL+++$ P-- L+++ E---- W++++ !N ?K w- M-- !P[A-Z] Y++ PGP R* tv-- b++>++++ DI++\:\( G+ e+>++++ h*

  12. #12
    Mitglied

    (Threadstarter)

    Avatar von venom2k6
    Registriert seit
    Jul 2013
    Beiträge
    69

    Re: 2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

    Das Problem ist gelöst.

    Das Hauptproblem war die Avast-Firewall der Clients, diese ist normalerweise aus weil die Firewall am Server über eine Richtlinie gesteuert wird.

    Ich habe jetzt die letzten Tage es mehrfach ausprobiert nachdem bzw. während die Netzverbindung abbrach die Firewall ausgeschaltet und dann war die Verbindung sofort wieder da.

    Testweise durchlaufen lassen. keinerlei Netzabbrüche. Nach Rücksprache mit der Firma die uns den Server aufgesetzt hat. Haben sie nochmal in der Dokumentation überprüft, dort stand Avast-Firewall aus, da es sonst zu Störungen/Konflikten kommen kann. Die Avast-Firewall hat sich wohl nach einem Core Update wieder aktiviert
    Für diesen Beitrag bedankt sich phre4k

  13. #13
    LAN-Party Nerd

    Veteran

    Avatar von Localhorst
    Registriert seit
    Nov 2014
    Beiträge
    603
    ngb:news Artikel
    49

    Re: 2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

    Gratulation, so ne Firewall, AV Lösungen uvm. sind oft der Grund für solche Verbindungsabbrüche. Ich arbeite mit Panda, da ist es auch leider oft so
    Was, Signatur? Och nee ... Da weiß ich jetzt nicht was ich schreiben soll ...

    Ehemaliger News Redakteur hier im NGB. Abwesenheit hat ihren Preis ;-)

  14. #14
    Mitglied Avatar von phre4k
    Registriert seit
    Mar 2015
    Beiträge
    5.272
    ngb:news Artikel
    4

    Re: 2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

    Warum nutzt man sowas? Windows kommt bereits mit Virenscanner und Firewall aus der Box.
    *mit Linux wäre das natürlich nicht passiert™
    Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say. – Edward Snowden
    tilde.fun – dein kostenloser Linux-Account in der Cloud | Inoffizielle ngb-Telegram-Gruppe
    GCM/S/TW d s+:- a-----? C++$ UL+++$ P-- L+++ E---- W++++ !N ?K w- M-- !P[A-Z] Y++ PGP R* tv-- b++>++++ DI++\:\( G+ e+>++++ h*

  15. #15
    LAN-Party Nerd

    Veteran

    Avatar von Localhorst
    Registriert seit
    Nov 2014
    Beiträge
    603
    ngb:news Artikel
    49

    Re: 2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

    Naja, da man Microsoft Produkten out of the Box nicht so wirklich traut?
    Was, Signatur? Och nee ... Da weiß ich jetzt nicht was ich schreiben soll ...

    Ehemaliger News Redakteur hier im NGB. Abwesenheit hat ihren Preis ;-)

  16. #16
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.293
    ngb:news Artikel
    16

    Re: 2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

    Und wodurch hat sich dann Avast sein vertrauen verdient? Und erst recht Panda....
    Avast hat in der Tat einen nicht so schlechten Ruf / und das zum Teil meiner Meinung nach auch zurecht. Nur sollte man nicht einfach "alles" Installieren nach dem Motto *Augen zu und Durch*

    z.B. stellst sich auch die Frage was man sich von der FW auf dem Client verspricht. Ebenso wie so manch anderes Feature.
    Will heißen gerade in der Firma aber auch im Privaten ist nicht *viel hilft viel* immer gut - sondern gerade bei Sicherheit ist eher immer die Frage *Was brauche ich* / *Was ist mein Ziel* und dann *Wie kann ich es erreichen*
    Für diesen Beitrag bedanken sich phre4k, venom2k6
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  17. #17
    Mitglied

    (Threadstarter)

    Avatar von venom2k6
    Registriert seit
    Jul 2013
    Beiträge
    69

    Re: 2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

    @phre4k
    die Firewall wurde seitens AV mitgebracht,
    wie gesagt halte ich auch nicht wirklich was von den out-of-the-Box Lösungen von Microsoft selbst

    wir haben uns jetzt mit unseren Dienstleister auseinander gesetzt, die Überprüfen nun nochmal die Firewallregeln, die eigentlich den Server als vertrauenswürdig einstufen sollten, laut Konfiguration.

    Andernfalls wird eine Hardware Firewall angeschafft.
    nach diversen googln, gibt es dies Firewall Problem mit der Avast-Firewall wohl öfter im Bezug auf Netzwerkabbrüche.

    Ich möchte mich hiermit nochmal bei allen für Ihre Hilfestellungen und Tipps bedanken und ich bin froh das diese Odysee nun ein Ende hat

  18. #18
    LAN-Party Nerd

    Veteran

    Avatar von Localhorst
    Registriert seit
    Nov 2014
    Beiträge
    603
    ngb:news Artikel
    49

    Re: 2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

    @drfuture: Panda hat sich bei mir durch die EDR Technologie vertrauen erwirkt.

    Bevor jetzt jeder aufschnappt: Ja, dort ist eine permanente Verbindung mit der Panda Cloud gegeben und jegliche Daten werden in die Cloud gesendet und ausgewertet, zumindest als Hash Form.

    Beim Panda Adaptive Defense 360 ist es tatsächlich so, dass der Panda Dienst permanent JEDEN Prozess auf der Windows Maschine überwacht. Sollten jegliche Änderungen eines bekannten Prozesses passieren, wird bereits Alarm geschlagen. Unbekannte Software wird nichtmal ausgeführt. Ich hatte auch am Anfang Kopfschmerzen, eine permanente Datenverbindung mit der Pandacloud zu haben, jedoch ist das momentan einer der wenigen Wege sich vor Cryptotrojaner zu sichern. Eben weil kein unbekannter Prozess ausgeführt wird.
    Was, Signatur? Och nee ... Da weiß ich jetzt nicht was ich schreiben soll ...

    Ehemaliger News Redakteur hier im NGB. Abwesenheit hat ihren Preis ;-)

  19. #19
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.293
    ngb:news Artikel
    16

    Re: 2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

    Die FW von Microsoft ist so unvertrauenswüdig das mind. die hälfte der Endpoint-Security-Lösungen nur eine andere Gui für die eingebaute Firewall anbieten und im Hintergrund dann die MS-Firewall konfigurieren ...

    Edit:
    Das unbekannte Prozesse nicht ausgeführt werden geht mit MS auch out-of-Box jedenfalls mit Win10 Enterprise - Technologien gegen Crypto haben andere Hersteller ebenso und wenn eine Endpoint-Security nicht jeden Prozess überwacht währe das etwas komisch

    Cloud ist in dem Umfeld auch meiner Meinung nach gar kein Nachteil - bzw. sogar nötig - dir Frage ist ja nur wie und wo kommuniziert wird.

    Wir setzen auch nicht auf die MS eingebaute Lösung - bzw. nicht nur... aber das auch nur da diese einige Funktionen nicht / nicht so unterstützt wie gewollt.

    Zu Crypto gibt es im übrigen sehr geniale neue Policys in Win10
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  20. #20
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    2.994
    ngb:news Artikel
    6

    Re: 2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

    @Localhorst: Cryptotrojaner: Backups. Damit schützt man sich. Backups, auf die der Client nicht schreiben darf. Im Ernstfall ist halt mal nen Tag Arbeit am Arsch, aber das ist verschmerzbar. Daten in die Cloud senden: Im Ernstfall steht bald die Staatsanwaltschaft im Haus (wegen DSGVO).
    Für diesen Beitrag bedankt sich phre4k
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

  21. #21
    LAN-Party Nerd

    Veteran

    Avatar von Localhorst
    Registriert seit
    Nov 2014
    Beiträge
    603
    ngb:news Artikel
    49

    Re: 2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

    @Metal_Warrior: Ich glaube aufgrund dessen das nur Prozesse gesendet werden, diese als Hash sollte das bzgl dsvgo kein Problem darstellen.
    Was, Signatur? Och nee ... Da weiß ich jetzt nicht was ich schreiben soll ...

    Ehemaliger News Redakteur hier im NGB. Abwesenheit hat ihren Preis ;-)

  22. #22
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    2.994
    ngb:news Artikel
    6

    Re: 2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

    Zitat Zitat von drfuture Beitrag anzeigen
    Zu Crypto gibt es im übrigen sehr geniale neue Policys in Win10
    AFAIK konnte man in Windows schon immer einrichten, dass ausführbare Dateien nur von bestimmten Orten aus gestartet werden dürfen. Ein Cryptotrojaner sollte es ziemlich schwer haben, wenn nur Dateien aus den beiden Programmverzeichnissen gestartet werden dürfen...
    Zitat Zitat von Localhorst Beitrag anzeigen
    @Metal_Warrior: Ich glaube aufgrund dessen das nur Prozesse gesendet werden, diese als Hash sollte das bzgl dsvgo kein Problem darstellen.
    Sicher, dass es nur Hashes sind? Die Cloud-Implementierungen, die ich so kenne (Kaspersky zum Beispiel), schicken verdächtige Dateien komplett in die Cloud, zur genaueren Überprüfung. So sind der NSA vor einiger Zeit auch ein paar Tools abhanden gekommen, wenn ich mich recht erinnere (weil deren Contractor die hatte und Kaspersky sie als potentiell gefährlich eingestuft und direkt ans Labor geschickt hat).
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

  23. #23
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.293
    ngb:news Artikel
    16

    Re: 2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

    die meisten Crypto-nervlinge nutzen erstmal ja keine Anwendung sondern vorhandene Scriptsprachen. Hier gibt es Policys die den Scriptsprachen (VBA, VBS, zum teil Powershell - aber das sollte man eh auf anderem Weg zusätzlich konfigurieren) das Starten von Child-Prozessen, Kontakte ins Internet und ähnliches vergbieten können und damit das Nachladen von Code z.B. aus Makros unterbunden wird.

    Das wird bei Kaspersky bei Teilnahme am KSN (Kaspersky Security Network) was die Cloud-Komponente der Enterprise-Lösung ist übertragen:
    - Datum der Software-Installation und -Aktivierung
    - Informationen über die auf dem Computer installierte Software, einschließlich Kernel-Objekte, Treiber, Dienste, Microsoft Internet Explorer-Erweiterungen, Drucksystemerweiterung, Windows Explorer-Erweiterungen, heruntergeladene Objekte, Active Setup-Elemente, Systemsteuerungs-Applets, Einträge in der HOSTS-Datei und Systemregistrierung, Versionen von Browsern und Mail-Clients
    - Informationen zur Hardware des Computers, einschließlich Prüfsumme für die Seriennummer der Festplatte
    - Daten über die Software-Tools, die zur Problembehebung bei Software, welche auf dem Computer des Benutzers installiert ist, oder zum Ändern der Software-Funktionalität verwendet werden; Rückgabecodes, die nach der Installation der einzelnen Software-Komponenten empfangen werden
    - Informationen zum Status des Virenschutzes auf dem Computer einschließlich der Versionen und Releasedaten und Uhrzeiten der verwendeten Antiviren-Datenbank, Statistik über Updates und Verbindungen mit Kaspersky Lab-Services, Positionskennung und die Kennung der Softwarekomponente, die das Scanning durchführt;
    - Informationen über die vom Benutzer heruntergeladenen Dateien einschließlich der URL- und IP-Adressen der Downloads und der heruntergeladenen Seiten, ID des Download-Protokolls und Nummer des Verbindungsports, der Status der als bedrohlich oder als nicht bedrohlich eingestuften URLs, Dateiattribute, -größe und Prüfsummen (MD5, SHA2-256, SHA1); Informationen über den Prozess, der die Datei heruntergeladen hat (Prüfsummen (MD5, SHA2-256, SHA1), Erstellung/Builddatum und -Uhrzeit, Status der automatischen Wiedergabe, Attribute, Namen der Packprogramme, Informationen zu Signaturen, Kennzeichen der ausführbaren Datei, Formatkennzeichen und Entropie), Dateiname und Dateipfad, digitale Signatur der Datei und Zeitstempel deren Erstellung, die URL, unter der die Erkennung stattgefunden hat, die Skript-Nummer auf der Seite, die verdächtig oder schädlich erscheint, Informationen über generierte HTTP-Anforderungen und die entsprechenden Antworten.
    - Informationen über laufende Anwendungen und deren Module, einschließlich Informationen über auf dem System laufende Prozesse (Prozess-ID (PID), Prozessname, Informationen über das Benutzerkonto, von dem aus der Prozess gestartet wurde, Anwendung und Befehl, mit dem der Prozess gestartet wurde, Kennzeichen eines vertrauenswürdigen Programms oder Prozesses, vollständiger Pfad der Prozessdateien, und Befehlszeile für den Start, Beschreibung des Produktes, zu dem der Prozess gehört (einschließlich Name des Produktes und Informationen über den Herausgeber), sowie verwendete digitale Zertifikate und Informationen, die zur Überprüfung ihrer Authentizität erforderlich sind, oder Informationen über das Fehlen einer digitalen Signatur der Datei) und Informationen über die in die Prozesse geladenen Module, einschließlich deren Namen, Größen, Typen, Erstellungsdaten, Attribute, Prüfsummen (MD5, SHA2-256, SHA1), Dateipfade, Informationen über den PE-Datei-Header und Namen von Packprogrammen (sofern die Datei gepackt ist)
    - Informationen über alle potentiell schädlichen Objekte und Aktionen, einschließlich Name des gefundenen Objektes und vollständiger Pfad des Objektes auf dem Computer, Prüfsummen (MD5, SHA2-256, SHA1) der verarbeiteten Prozesse, Datum und Uhrzeit des Fundes, Namen und Größe der heruntergeladenen Dateien und die entsprechenden Pfade, Code der Pfadvorlage, Name des Packprogramms (sofern die Datei gepackt ist), Code des Dateityps, ID des Dateiformats, Liste der Aktivitäten schädlicher Anwendungen und der damit verbundenen Entscheidungen der Software und des Benutzers, IDs für die Antiviren-Datenbanken, welche die Software für eine Entscheidung verwendet hat, Name der gefundenen Bedrohung gemäß der Kaspersky-Lab-Klassifizierung, Gefahrenstufe und Erkennungsstatus, Grund, aus welchem eine Datei in den analysierten Kontext aufgenommen wurde, und Seriennummer der Datei im Kontext, Prüfsummen (MD5, SHA2-256, SHA1), Name und Attribute der ausführbaren Datei für die Anwendung, welche die infizierte Nachricht weitergeleitet hat, anonymisierte IP-Adresse (IPv4 und IPv6) des Hosts des blockierten Objektes, Entropie der Datei, Status der automatischen Wiedergabe, Zeitpunkt, zu dem die Datei erstmals im System gefunden wurde, Anzahl der Dateiausführungen, seitdem zum letzten Mal eine Statistik gesendet wurde, Informationen über den Namen, Prüfsummen (MD5, SHA2-256, SHA1) und Größe des Mail-Clients, mit dem das schädliche Objekt empfangen wurde, ID des Eintrags in den Antiviren-Datenbanken, die zur Entscheidung verwendet wurden, Aufgaben-ID der Software, welche die Untersuchung ausgeführt hat, Kennzeichen für die Reputationsüberprüfung oder für die Überprüfung der Dateisignatur, Ergebnis der Dateiverarbeitung, Prüfsumme (MD5) des Objektmusters und Größe des Musters (in Bytes)
    - Informationen über untersuchte Objekte, einschließlich zugewiesener Sicherheitsgruppe, zu der eine und/oder aus der eine Datei dieser Kategorie zugeordnet wurde, ID der Kategorie, Informationen über die Quelle der Kategorien und die Version der Datenbank für die Kategorie, Kennzeichen für das vertrauenswürdige Zertifikat der Datei, Name des Dateilieferanten, Dateiversion, Name und Version des Software-Produktes, zu dem die Datei gehört
    - Informationen über die erkannten Schwachstellen einschließlich der Anfälligkeitenkennung in der Datenbank der Anfälligkeiten, die Gefahrenklasse der Schwachstellen und den Erkennungsstatus;
    - Informationen über die Emulation der ausführbaren Datei einschließlich Dateigröße und Prüfsummen (MD5, SHA2-256, SHA1), der Version der Emulationskomponente, Emulationsumfang, eine Reihe von Eigenschaften logischer Blöcke und Funktionen innerhalb logischer Blöcke, die im Zuge der Emulation erhalten wurden, Daten aus den PE-Headern ausführbarer Dateien;
    - Informationen über Netzwerkangriffe, einschließlich der IP-Adressen des angreifenden Computers (IPv4 und IPv6), Nummer des Ports auf dem Benutzer-Computer, gegen den sich der Netzwerkangriff richtet, Kennzeichen des Protokolls des IP-Pakets, das den Angriff enthält, Ziel des Angriffs (Name der Organisation, Website), Kennzeichen für die Reaktion auf den Angriff, Schweregrad des Angriffs, Vertrauensstufe;
    - Informationen über Angriffe mit gefälschten Netzwerkressourcen, einschließlich der DNS- und IP-Adressen (IPv4 und IPv6) der besuchten Websites, Anzahl der IP-Adresszuweisungen für den Domänennamen;
    - Informationen über das Rollback von Schadsoftware-Aktivitäten, einschließlich Daten über die Datei, für welche das Rollback durchgeführt wurde (Dateiname, vollständiger Dateipfad, Größe und Prüfsummen (MD5, SHA2-256, SHA1) der Datei), Daten über erfolgreiche und erfolglose Aktionen zum Löschen, Umbenennen und Kopieren von Dateien und zur Wiederherstellung von Werten in der Registrierung (Namen der Registrierungsschlüssel und entsprechende Werte), Informationen über von Schadsoftware veränderte Systemdateien (vor und nach dem Rollback), Name der gefundenen Bedrohung gemäß der Kaspersky-Lab-Klassifizierung, IDs für die Antiviren-Datenbanken und ID des Eintrags in den Antiviren-Datenbanken, welche die Software für eine Entscheidung verwendet hat
    - Informationen über die geladenen Software-Module, einschließlich Name, Größe und Prüfsummen (MD5, SHA2-256, SHA1) der Moduldatei, ihr vollständiger Dateipfad und Vorlagencode des Dateipfads, Parameter der digitalen Signatur der Moduldatei, Zeitstempel der Signaturerstellung, Name des Subjekts und der Organisation, welche die Moduldatei signiert hat, ID des Prozesses, in dessen Verlauf das Modul geladen wurde, Name des Verkäufers des Moduls, Indexnummer des Moduls in der Lade-Warteschlange;
    - Informationen zur Ermittlung von Datei- und URL-Reputationen, einschließlich der Prüfsummen der untersuchten Datei (MD5, SHA2-256, SHA1) und des während der Emulation der Datei erhaltenen Musters (MD5), Größe des Musters, Emulationstiefe, Version der Emulationskomponente, Typ der erkannten Bedrohung und deren Name gemäß der Klassifizierung von Kaspersky Lab, ID für die Antiviren-Datenbanken, URL-Adresse, unter der die Reputation angefragt wird, sowie Referrer der URL-Adresse, ID des Verbindungsprotokolls und Nummer des verwendeten Ports;
    - Serviceinformationen über die Softwareoperation einschließlich der Compilerversion, Merker für die potentielle Bösartigkeit des untersuchten Objektes, Version der gesendeten Statistik, Informationen über die Verfügbarkeit und Gültigkeit dieser Statistik, Kennzeichen des Modus zum Generieren der gesendeten Statistik, Kennzeichen, das angibt, ob die Software im interaktiven Modus ausgeführt wird;
    - Wird ein potentiell schädliches Objekt erkannt, werden Informationen über die Daten im Prozessspeicher, Elemente der Objekthierarchie des Systems (ObjectManager), Daten im UEFI-BIOS-Speicher sowie Namen von Registrierschlüsseln und deren Werte zur Verfügung gestellt;
    - Informationen über Ereignisse in den Systemprotokollen, einschließlich Zeitstempel des Ereignisses, Name des Protokolls, in dem das Ereignis gefunden wurde, Typ und Kategorie des Ereignisses, Name der Ereignisquelle und Ereignisbeschreibung
    - Informationen über Netzwerkverbindungen, einschließlich Version und Prüfsummen (MD5, SHA2-256, SHA1) der Datei, von welcher der Prozess gestartet wurde, der den Port geöffnet hat; Pfad der Prozessdatei und entsprechende digitale Signatur, lokale und Remote-IP-Adressen, Nummern der lokalen und Remote-Ports, Verbindungsstatus, Zeitstempel für das Öffnen des Ports
    Dateien die in Quarantäne landen können manuell übertragen werden -klar kann man hier auch eine Aufgabe machen die das automatisch macht.
    vermutlich schädliche Dateien werden aber nicht zwingend einfach so übertragen. Ja die Story mit dem "Agenten" gab es - aber welche Version dort Installiert war wurde meines Wissens nicht erwähnt oder ob der Client nun mal so konfiguriert wurde.
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  24. #24
    Mitglied Avatar von phre4k
    Registriert seit
    Mar 2015
    Beiträge
    5.272
    ngb:news Artikel
    4

    Re: 2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

    Zitat Zitat von Localhorst Beitrag anzeigen
    Ich hatte auch am Anfang Kopfschmerzen, eine permanente Datenverbindung mit der Pandacloud zu haben, jedoch ist das momentan einer der wenigen Wege sich vor Cryptotrojaner zu sichern. Eben weil kein unbekannter Prozess ausgeführt wird.
    Eine sehr trügerische Sicherheit. Da wären doch Whitelists viel besser – da müsste man sich aber mit dem System auskennen.

    https://msdn.microsoft.com/de-de/lib...(v=ws.11).aspx
    https://www.heise.de/ct/artikel/Rest...s-3690890.html
    *mit Linux wäre das natürlich nicht passiert™
    Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say. – Edward Snowden
    tilde.fun – dein kostenloser Linux-Account in der Cloud | Inoffizielle ngb-Telegram-Gruppe
    GCM/S/TW d s+:- a-----? C++$ UL+++$ P-- L+++ E---- W++++ !N ?K w- M-- !P[A-Z] Y++ PGP R* tv-- b++>++++ DI++\:\( G+ e+>++++ h*

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •