Velius
-
Gesamte Inhalte
5.644 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von Velius
-
-
Hi Blub
Du meinst die Kontosperrdauer? Die liegt bei 75 Minuten. Klar, ein Restrisiko bleibt, aber zuerst müsste der Angreiffer auch alle Benutzernamen kennen.
Das DSRM Problem ist auch klar, aber eben, bei physischem Zugriff sieht's eh meist bitter aus.
Allerdings ist mir kein Weg bekannt, Passwort Informationen aus der NTDS.DIT auszulesen. Schrotten kann man sie zwar, aber sonst nicht viel.
100% Sicherheit gibt's nicht, man kann aber versuchen eine gute Balance zu finden. In den meisten Fällen reicht es, wenn man den Wert oder den Gewinn durch den damit verbunden Aufwand für den Angreiffer dermasen drosselt, dass es sich schlussendlich nicht mehr lohnt.
Gruss
Velius
-
Nur bringt es nichts, wenn ein Angreifer das Password für DSRM kennt. Es sei denn, das DSRM- und das Administrator Passwort ist identisch.
.
Mein ich ja: Die wahrscheinlichkeit damit Schaden anzurichten ist verschwindend gering. Ausserdem ist der physische Zugriff auf einen Controller immernoch das grösser Risiko, wenn auch klein, denn ich habe noch nicht gehört, dass einer lokal die NTDS.DIT gehackt hat.... :D
@Data1701
Wir haben eine Person mit einem Taskpad und einer Delegation....(sie braucht es aber nicht oft).
Ausserdem haben wir mindestens 7 Zeichen mit komplexer Kennwortvoraussetzung, und nach 3 x falsch ist Feierabend. Das alle 90 Tage.....
Ach ja, die Kennwortchronik steht übrigens auf 5.
Also alles in allem kann man sagen, dass sich die Probleme mit Passwörtern in Grenzen halten.
-
Auf DCs gibt es AFAIK keine SAM. Ich wüßte nicht, das L0phtcrack da weiterhelfen könnte.
Ich rede auch nicht von einem DC, sondern von Notebooks bespielsweise....
Sobald du dich einmal an der Domäne angemdeldet hast, wird dein Passwort als Hashwert lokal zwischengespeichert. Anderfalls wäre das lokale Anmelden ohne Domäne nicht möglich. Das Setting kann man aber auch mit GPO gänzlich unterbinden.
Jeder DC hat eine SAM, andernfalls könntest du nicht in den Verzeichnisdienst Wiederherstellungs Modus wechseln. Nur im normalbetrieb ist diese nicht geladen.
Ich sehe da nicht so'n Problem mit den Password Policies. Im schlimmsten Fall kann man auch das Recht Accounts zu entsperren delegieren. Es gibt auch 3rd Party Tools wie von Quest welche das erleichtern.
Gruss
Velius
P.S.: Kennwortrichtlinien sind standartmäsig aktiviert. Es fragt sich nur welche, und ob diese verwässert wurden....
-
Hi
Was hast denn du für'n Problem? Ich habe jetzt zwei Powervault 725N mit W2K3SP1 installiert, war nur etwas tricky da ja kein Disketten/CD-Laufwerk vorhanden war :rolleyes: ;) .
Aber wenn du's geschaft hast kannst du eigentlich getrost auf das DELL Zeugs verzichten. Alle anderen Services wie MS Services for Unix oder das Netware Zeugs kann man laden oder sind im OS Bestandteil....
Gruss
Velius
-
Sehr interessant eure Diskussion :D
Aber ich frage mich ernsthaft, wie ein Brutforce Angriff über das Netz auf AD funktionieren soll, wenn man eine Account lock-out policy aktiviert hat. Nach drei Versuchen ist da nomalerweise Sense.
:suspect: :wink2: Anders sieht es da aber bei beispielsweis L0ftcrack aus. Da wird ja die lokale SAM/Registry nach Hash-Werten abgeklappert....
Nun ja, möchte da aber keineswegs Öl in's Feuer giesen.... :D
Gruss
Velius
-
@firefox80
Ich weiss nicht, ob es dich interessiert hat, mich allerdings schon.
Zum Rest:
Mein Ton war etwas agressiv und deplaziert. Ich entschuldige mich dafür in aller Form.
Gruss
Velius
P.S.: Hier findest du was zu
F-Secure ;) -
Ich rede vom Schlagwort.....
Kann gut sein, dass es nur zwei Scanner mit dieser Technologie gibt, aber wieso willst du denn das nur per PN mitteilen??
Um es auf den Punkt zu bringen: Du hast nicht geschnallt, dass diese Board da ist, um auch Erfahrungen mitzuteilen und ein wenig auf technische Details einzugehen. Es macht keinen Sinn deine Meinung zu einem Scanner abzugeben, diese aber nicht öffenltlich begründen zu wollen. Vielleicht ist ja das wirklich eine "Hammer"-Technologie, und kann auch mich vom Produkt überzeugen.
Du kaufst ja auch keinen Ferari nur weil ich dir sage dass das ein gutes Auto ist, oder? Na, jetzt begriffen??
-
Hat jemand Erfahrung mit dem Produkt F-Secure Antivirus Small Business?
Ist dieses zu empfehlen?
.
Steht doch da oder? Mir ist bewusst, was da anschliessend noch geschrieben wurde. Das was von dir kam war dann nichts anderes als was im man im Board schon mehrfach und in jedem Datenlatt oder Broschüre über so ziemlich jedes Antivirenprodukt lesen kann. Doublescan Technologie. Wow, Klasse.....
Und was bedeutet das genau? Wo ist da der Erfahrungsbericht? Und abgesehen davon hat jeder Scanner so eine Technologie, und üblicherweise wird das "Marketing" genannt. Deswegen auch meine Aufregung, aber whatever... :o :rolleyes:
-
Ich aber nicht. Wenn jeder nur was drauf los laber, was im gerade passt....
So geht jegliche Gesprächskultur verloren!! Aber ich geb dir noch ein überspitztes Beispiel:
Einmal bei uns zu Besuch ein Consultant, der gerade ein Produkt implemetieren möchte. Plötzlich kommt das Thema Antivirus dazu noch in's Spiel. Unsere Antwort: "Wir haben ein Produkt". Seine Antwort: "Ah, bestens, wir kennen uns mit ***** aus".
Eigentlich müsste man nach unserer Anwort schon denken, das alles gesagt ist, aber so geht's etwa 2-3 mal weiter. Wie auch immer, er hat Gründe dafür, und wir haben Gründe dafür.
Was ich damit sdagen will:
a) Wenn das immer wieder so läuft, fühlt man sich mit der Zeit ziemlich veräppelt
b) ...man bekommt den Eindruck nicht ernst genommen zu werden.
c) ist es zeimlich nervig!
Vielleicht verstehst du ja jetzt, was ich meine. ;)
Gruss
Velius
P.S.: Wie gesagt, man deine Aussage mindestens 10 X mal im Board wiederfinden....
-
@saschap
Also mal ganz ehrlich!
Das ist doch völlig daneben so auf diese Frage zu Antworten! Ich könnte es verstehen, wenn es eine Frage a la "welcher ist der Beste..." war, der TO stellt aber eine Frage zu einem bestimmten Produkt...
Irgendwie unglaublich sowas
:mad:@firefox80
Benutze mal die Boardsuche. Zu F-Secure kann ich nichts sagen, aber Antiviren-Threads gibts genug im Board. Ich persöhnlich finde es erstaunlich, dass alles in dieser Richtung nicht einfach geclosed wird. Wenn dir aber die Threads nicht genug Informationen bieten, dann versuch's doch einfach bei deinem Händler oder dem Hersteller direkt. Die meisten haben Testversionen im Gepäck...
Gruss
Velius
-
@mcse_killler76
Nichts gegen deine Certs, aber muss deine Signatur 2 Kilometer lang sein? :suspect:
http://www.mcseboard.de/rules.php?u=11713#nr15
Gruss
Velius
-
Hey Jungs
Möchte nicht die Stimmun trüben ;) , aber nicht das AD oder ein Controller prüft den Status des DHCP, sondern ein W2K/W2K3 DHCP prüft seinen Status gegen das AD, folglich ist es dem Linux DHCP und dem AD egal, ob da was autorisiert wurde....
*EDIT*
-> Link zu MS ist tot..... ;)
Kann man aber hier nachlesen:
A DHCP server running Windows Server 2003 uses the following process to determine whether Active Directory is available. If found, the server ensures that it is authorized by adhering to the following procedure, depending on whether it is a member server or a stand-alone server:The process of authorizing DHCP servers is useful only for DHCP servers running Windows 2000 or Windows Server 2003Gruss
Velius
-
:d :d :d
Hui, Smilies ganz am Anfang geht ned.... :(
Na dann hier .... :D :D :D
Hups, und jetzt noch doppelpost..... :shock:
Ach was soll's, ist ja WE! :cool:
-
:d :d :d
-
....oder 'ne gratis Liebesnacht, aä sorry, meinte natürlich einen Gutschein dafür..
-
Jau, der ist gut *ROFL*
Ist ja etwa gleich gut wie ein Deo oder eine Frische-Atem-Sprüh-Dingens/Kaugummi Kombo....
....Party on!!
-
@*cat*
Stop it please, ....sonst werden hier alle noch Frauenversteher.... :schreck: :D
@tneub
Genau das ist der Trick, 'ne Frau sagt dir selten in's Gesicht worüber sie sich freuen würde, jedenfalls eher getarnt und subtil. Bischen Kopfarbeit ist da schon nötig.... :D
-
Na um die Treiber geht's erstmal auch nicht, sondern nur um das Tamplate welches Ghost verwenden wird beim Clonen. Unter der virtuellen Ghost Partition läuft ja ein DOS, welches auch seine NIC Treiber braucht....
P.S.: Jetzt wo ich mir so überlege...
Es kann gut sein, dass der Client nicht wusste, welche Karte er nehmen soll. Deswegen wohl auch das Warning. Denn unter DOS werden beide aktiv sein(!). Ich habe nie mit 2 Karten gearbeitet.....
-
Also, obwohl ich von Datev schon einiges gelesen.....hab ich immernoch kein Plan von
:nene: :D Es scheint so, dass NetOP mit Datev gebundelt wird:
http://**Edit** weil so'n Web - Müll Dingens....
1 Was leistet Fernbetreuung?Fernbetreuung ermöglicht im Problemfall die Bedienung Ihres PC durch einen Programmspezialisten der DATEV.
Über eine ISDN-Verbindung wird der Bildschirminhalt Ihres PC zur DATEV übertragen. Der DATEV-Mitarbeiter hat so Ihr Problem direkt vor Augen und kann in den Lösungsprozess eingreifen, indem er unter Nutzung von Maus und Tastatur Ihren PC fernbedient. Falls erforderlich, können auch Dateien auf Ihren PC übertragen bzw. defekte Dateien zwecks Korrektur zur DATEV geholt werden.
Fernbetreuung ist ein Fremdprogramm (Originalbezeichnung: NetOp), das vom Hersteller an zusätzliche Anforderungen von DATEV angepasst wurde. Unter anderem ist in der DATEV-Version eine geschlossene Benutzergruppe implementiert. Das heißt, die Verbindung kann nur zwischen Kanzlei (bzw. Mandant) und DATEV aufgebaut werden. Die Kommunikation mit frei erhältlichen Händlerversionen von NetOp ist ausgeschlossen.
http://www.netop.com/netop-13.htm
Von daher könnte man meinen, alles i.O, aber bist du sicher, dass das alles auf einen Windows Terminal Server gehört.... :suspect:
Gruss
Velius
-
OK, schön der Reihe nach....*puh*
Ich hab jetzt gerade Ghost nicht vor mir, und auch keinen Testrechner, aber wo genau bricht den Ghost ab?
Deiner Schilderung zufolge vermute ich ein Problem mit der Netzwerkkarte. Was für eine Steckt drin?
Ausserdem, wenn du in der Console auf das Computer Objekt doppelklickst (oder Rechtsklick und Eigenschaften) wirst du sinngemäs einen Reiter Netzwerk oder so finden. Überprüfe dort, ob die richtige Karte konfiguriert ist. Ghost übernimmt das bei W2K/WXP automatisch, ausser die Karte ist ganz exotisch. Man kann diese Einstellung auch manuell vornehmen, sollte aber nicht geändert werden wenn Ghost die richtige Karte erkennt.
Mit WOL hat das leider nicht viel zu tun, da die Funktion Karten unabhängig ist. Treiber werden für WOL nicht benötigt, die Karte muss nur WOL unterstützen.
Gruss
Velius
-
Nein! Soweit ich weiss muss der Treiber WPA unterstützen, auch unter XP. Wenn das nicht der Fall ist bringt auch der WLAN Wizard im XP nichts.
-
Ich seh ausserdem das ihr bei dem Server 4GB RAM einsetzt. Dabei sollte man auf folgendes achten: How to use the /userva switch in the Boot.ini file to tune /3GB configurations
A description of the 4 GB RAM Tuning feature and the Physical Address Extension switch
-
Hi
Mir ist das hier sofort ins Auge gefallen....
Ereignisquelle: NetOp Host for NT Service
Was macht den NetOP auf einem Terminal Server?
Also nur als Ratschlag, denn ich kenne den Grund dafür nicht, aber Grundsätzlöich würde ich von Remote Software wie NetOP abraten, wenn die bereits built-in Remote Desktop Software arbeitet.
Ist in etwa zu vergleichen wie zwei Firewalls/Virenscanner auf einem Rechner. Das Zeug greift tief in's System und führt in den meisten Fällen zu instabilität wenn man es simultan benutzt.
Gruss
Velius
P.S.: Das Tool hier von MS kann auch nicht schaden. Es gibt offene Handles auf der Ntuser.dat (Teil der Registry) frei.
-
Was hast denn du für Karten?
:suspect: :wink2: 
:mad:
Lohnt sich IPSec-Implementierung in geswitchtem LAN?
in Windows Forum — LAN & WAN
Geschrieben
Da wird's etwas schwammig, denn damit hab' ich mich (noch) nicht wirklich befasst aber wie macht man denn eine DOS mit einer SID??
Ich denke dass man in 5-15 Jahre so ziemlich alles knacken kann, was jetzt so rumläuft...
Allerdings war ich doch etwa verwundert, als das letzte mal ein Revisor da war. Die richtig Fetten schwachstellen konnte er auf die Schnelle auch nur mit einem Domain Admin, bzw. Root Passwort finden. Und die meisten lücken waren schlicht auf schlampige Admin Arbeit zurück zu führen.
Na ja, auf eine 100% sichere IT....
Velius