blub
-
Gesamte Inhalte
7.598 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von blub
-
-
für Auswertungen benutze ich immer den CanonicalName. Der ist wesentlich angenehmer zu lesen oder in Excel zu verarbeiten, als der unhandliche DN
$User = [ADSI]"LDAP://$DN" $User.psbase.RefreshCache("canonicalName") $CanonicalName = $User.Properties.Item("canonicalName") "CanonicalName: $CanonicalName"blub
-
ein bischen googlen nach "share smb powershell security":
-
Willst du keinen Board-Newsletter mehr bekommen? Willst du Feedback zum Board-Newsletter geben? Oder ist dir einfach nur langweilig? :confused:
-
1
-
-
Aktuell ist die Vererbung auf der Ordnerstruktur nicht konsequent aktiv.
Wenn du konsequente Vererbung haben willst, dann modifiziere die $ACL mit der Methode "SetAccessRuleProtection"
$Path="C:\Demo" $ACL = Get-Acl $DirectoryPath $ACL.SetAccessRuleProtection($True, $True)
(ich habs jetzt nur sehr schnell mal getestet!)
bischen in der MSDN stöbern
Viele Wege führen nach Rom!
blub
-
ich kanns mangels Testumgebung mit 2 DCs nicht nachbauen:
merkwürdig finde ich, dass laut Ausgabe von dsgetdc beide DCs das "PDC"-Flag gesetzt haben.
Kennzeichen: PDC GC DS...
-
Man sollte bedenken, dass im Page File gleichzeitig nützliche, wie auch gefährliche Daten enthalten sind.
Study on Pagefile.sys in Windows System
http://iosrjournals.org/iosr-jce/papers/Vol16-issue2/Version-5/C016251116.pdf
Shutdown: Clear virtual memory pagefile
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/shutdown-clear-virtual-memory-pagefile
Vulnerability Important information that is kept in real memory may be written periodically to the paging file to help Windows handle multitasking functions. An attacker who has physical access to a server that has been shut down could view the contents of the paging file.
Ich bin kein SQL- bzw. Clusterspezialist. Auf "normalen Servern/ Clients" genügt ein 300-400 MB großes Page File, das beim Shutdown gelöscht wird, allemal. Es kann aber sein, dass für DB/ Cluster-Server andere Config-Standards gelten.
Wie schon gesagt, gibt es zu diesem Thema sehr viele unterschiedliche Meinungen!
blub
-
Hallo,
Google mal nach
"incident handling process"
Die Dokumente von SANS und NIST haben immer eine hohe Qualität.
Du wirst aber immer dieselbe grundlegende Empfehlung finden: Be prepared! (das heißt u.a.: aktuelle backups / ggf. desaster recovery process)
Deine Beschreibung ist zu rudimentär, um dir eine konkrete Empfehlung geben zu können, außer einem einzigen Rat: "Auf keinen Fall zahlen!"
Ein einfaches Tool als Lösung gibt es sicher nicht. Selbst die aktuellsten Virenscanner sind für moderne Malware löchrig.
blub
-
Anaconda, sprichst du vom Read-Only Attribut, oder von einem RechteSet (ACLs)?
Probiers mal damit:
$Exclusions = @() $Exclusions += "Unterordner AB" $Exclusions += "Unterordner XY" $RootPath = "G:\Folders" #Set the ReadOnly-Attribut Get-ChildItem -Path $RootPath -Exclude $Exclusions -Recursive| Set-ItemProperty -Name IsReadOnly -Value $False #or set ACLs $DemoFolder = "G:\demo" #die Rechte dieses Folders werden dann gesetzt $DemoRights = get-acl $DemoFolder Get-ChildItem -Path $Path -Exclude $Exclusions -recursive | Set-Acl $DemoRights
eventuell willst du bei Get-childitem noch den "-file" oder "-directory" setzen, wenn du nur Files oder nur Ordner verändern willst.
Vorher sorgfältig im Kleinen testen, dann sollte das auch ohne Consultant abgehen
Und bei einem großen Fileserver lass nicht alle Verzeichnisse mit einem einzigen Scriptaufruf ändern, sondern "schneide den Elefanten in Scheiben".
blub
-
Kerberos funktinioniert zumindest teilweise nicht, daher springt er runter auf NTLM.
mach mal bitte enmal "gpupdate"
bekommst du bei der Abarbeitung Fehler?
- Benutzerrichtlinie
- Computerrichtlinie
-
Das TGT wird nicht ungültig, wenn das PW geändert wird. Das ist ja das Problem beim "golden ticket": das ist ewig gültig, auch wenn das Passwort des betroffenen Accounts geändert wird, aber keine weiteren Schritte unternommen werden.
@rakli: RDP lässt sich auf 100 Arten konfigurieren, da ist es m.E. schwer den Grund für die Sperrung nur theoretisch herauszufinden. Vielleicht hilft ein Blick ins Eventlog der beteiligten Rechner weiter.
-
Der Supportfall oder der (eventuelle) Lizenzverstoß sind eher die kleineren Probleme bei dem oben beschriebenen Vorhaben.
Wenn es Standards gibt (ISO27000ff, BSI-Grundschutz, etc) und man befolgt diese Regelwerk bewusst oder unbewusst nicht, hat man bei Rechtsstreitigkeiten vor Gericht schlechte Karten.
https://www.sicherheitstest.bsi.de/empfehlungen
Wenn aufgrund mangelnder Implementierung Daten gestohlen werden, Mitarbeiter ihren Job verlieren oder Systeme missbraucht werden, dann kann es teuer werden. Eine 27001 Zertifizierung oder zumindest der Nachweis die wichtigsten Empfehlungen umgesetzt zu haben, kann weiteren Schaden bei Rechtstreitigkeiten minimieren.
Die Industrie setzt solche Standards auch nicht aus Langeweile um.
-
Grund: HP onbaord Soundkarte spinnt, HP Support sagt man soll auf die Microsoft eigenen Soundtreiber wechseln. (wird nochmal probiert)
seltsame Begründung für einen Rollback.
Gibt es lt. HP Support Win10 fähige Treiber oder nicht?
-
Also werde ich dann 16:30 das gpupdate ausführen, aber warum 17:30 nochmal ?
Der betroffene Client war jetzt noch an und ich hab "gpupdate" mal ausgeführt
weil gpupdate sich einmal mit dem Kerberosticket des User für die Userpolicies und eimal mit dem Kerberosticket des Computers für die Computerpolicies mit dem DC verbindet. Das solltst du einmal vor Ablauf der 10h und einmal danach machen.
Wobei das "Danach" hast du ja jetzt schon gemacht. Offenbar ist "danach" weder Client noch User am AD ordnungsgemäß angemeldet.
Der Test mit gpupdate wäre jetzt nur meine Vorgehensweise, um die Richtung des Problems rauszufinden. Das eigentliche Troubleshooting ist auf einem solchen System, konfiguriert abseits von allen Empfehlungen, Glückssache. Ein Neuaufsetzen des Servers oder ein Restore vom Backup ist vielleicht schneller und günstiger.
blub
-
10h kann auf die Laufzeit des Kerberostickets, bzw. Probleme das Ticket automatisch zu erneuern, hindeuten.
Es wurde hier ja schon oft diskutiert, dass auf einem DC nichts anderes laufen soll, als der DC.
u.a. ist Troubleshooting dann extrem schwierig.
Führe doch mal um 16:30 und 17:30 jeweils ein "gpupdate" als Administrator auf einem Client aus. Läuft es in beiden Zeiten fehlerfrei druch? (die Ausgabe ansich interessiert nicht)
-
Wenn dir (und deinem AG) viel an einer GUI liegt, dann kauf dir Powershell Studio
https://www.sapien.com/software/powershell_studio
Damit klickst du eine grafische Oberfläche (Fenster, Menü, Buttons) ganz einfach zusammen und hängst an die grafischen Objekte deine eigenen PS-Skripte. Am Ende kannst du dann eine *.exe aus dem PS-Code compilieren.
Ich habe noch die Version von 2014, aber die ist auch schon sehr gut.
blub
-
Gibt es denn eigentlich ein Tool, mit dem man die Vorlagen vergleichen kann? Wo man verschiedene Vorlagen sozusagen "übereinander legen" kann, um die Änderungen zu sehen?
Kennst du diese Tapete?
Group Policy Settings Reference for Windows and Windows Server
<https://www.microsoft.com/en-us/download/confirmation.aspx?id=25250>
see sheet: Administrative Templates -> Column H
Ansonsten kannst du die ADMX-Dateien mit jedem Filecompare Tool vergleichen.
-
Es kommt manchmal eine Meldung, dass die Datei noch im Zugriff sei, oder es kommt einfach gar keine.
Die genaue Fehlermeldung wäre schon sehr hilfreich!
Trotzdem würde ich nach dieser vagen Beschreibung eher auf ein Problem am Filer selbst (z.B. Virenscanner, andere 3-rd party Tools) oder auf ein Netzwerkproblem tippen. Tokensize bzw. Gruppenstruktur wohl nicht.
Hast du nur einen Fileserver? Ist das ein "einfacher " Microsoftserver?
Sporadische Fehler sind oft schwierig zu lösen!
-
-
in der Größenordnung ist's technisch wirklich egal, wie du deine Gruppen organisierst.
Wie äußern sich denn die Zugriffsprobleme?
Access denied, Not found ?
-
Wieviele User/ wieviele Gruppen/ wieviele Domänen im Forest hast du?
-
Nur wenn der User bzw. eine seiner Gruppen auf Share-Ebene "Vollzugriff" hat, kann dieser Besitzer eines Ordners bzw. einer Datei werden.
Ich glaube, Besitzer wird der User nur druch Erstellen eines Objekts. Ob Kopieren ausreicht, müsste ich jetzt auch ausprobieren.
-
schau bitte am PolicyObject direkt nach!
GPO -> GPOName -> Rechte Maustaste -> Properties -> Security.
Haben dort entweder "Domain Computers" oder "Authenticated Users" das Read-Recht ?
Alles andere ist uninteressant. (außer das RSOP Asbach ist - https://technet.microsoft.com/en-us/library/cc772175(v=ws.11).aspx
-
Entweder "Domain Computers" oder "Authenticated Users" müssen Read-Rechte auf das betreffende GPO-Object haben. Kontrollier das mal und zieh es ggf. gerade.
-
Ja, wenn man kein Win8/10 parat hat schon, ich habe in der Firma zwar OEM Lizenzen liegen, werde diese aber in absehbarer Zeit nicht einsetzen
Google wäre eine noch weniger anstrengende Option gewesen, wenn du Flash gar nicht willst.
http://lmgtfy.com/?q=edge+flash+disable
Wenn sich danach niemand beschwert, hast du sicher ein potentielle, unnötige Sicherheitslücke geschlossen.
Wobei wir Flash aktiviert lassen, aber peinlich genau darauf schauen, dass Flash-Patches besonders schnell verteilt werden. Keine Wochen oder gar Monate, sondern wenige Tage!
Remote Registry lässt sich nicht starten
in Windows 10 Forum
Geschrieben
ist Port 139 offen?
https://technet.microsoft.com/en-us/library/cc772831(v=ws.10).aspx