carnivore

Danke dir!

Hallo zusammen,

Wir stehen noch relativ am Anfang von AAD RMS

https://docs.microsoft.com/en-us/information-protection/rms-client/client-admin-guide-file-types

Weder in der supported, noch in der excluded Liste kommt das für uns wichtige mp4 vor. Gibt es möglicherweise einen Workaround bzw. funktioniert sogar mp4, bzw. kennt jemand einen Dritthersteller, um auch mp4-Files irgendwie mit RMS schützen zu können.

Systeme: Windows 10/ Ubuntu 16.04 / AD/ AAD 

Danke

carnivore

für Windows Clients (7 und 10) finde ich dieses Repository sehr hilfreich.

https://github.com/GoSecure/malboxes

Nach vergleichbarem für Server müsste man suchen.

carnivore

Bei dem einen Rechner geht's leider nicht mehr.

Mit

explorer .  

in der DosBox geht's übrigens andersrum.

Hallo,

Ich benutze seit Urzeiten den "Trick" in windows, dass ich in der Adressleiste des Windows-Explorers "cmd" eingebe, um so auch in der commandline schnell zu demselben Pfad wie der Windowsexplorer zu gelangen.

Von jetzt auf gleich funktioniert das in meiner Window10 - Arbeitsmaschine leider nicht mehr. Die cmd landet immer in C:\Windows\system32. Weiß jemand, wie ich das Verhalten wieder herstellen kann. Es ist nicht extrem wichtig, aber dennoch ein Feature, das ich relativ häufig nutze.

Merci

Carnivore

Stellt sich halt die Frage ob man in einem physisch sicheren Rechenzentrum in einem separaten und nicht geroutetem Netzwerk überhaupt Verschlüsselung braucht. iSCSI kann auch noch CHAP, oder man setzt Radius oder IPSec ein wenn man denn unbedingt möchte.

Das müssen die Security Policies bzw. die individuellen Gegebenheiten des Kunden beantworten. In meiner Company gilt beispielsweise die einfache Policy, dass jedweder Datenverkehr bestmöglich verschlüsselt sein muss. Kann CHAP oder  RADIUS Datenverkehr verschlüsseln? 

Ich würde den Aspekt bei einer Entscheidung pro/ contra SMB3 als Dienstleister auch eines mittelständischen Kunden jedenfalls nicht einfach zur Seite schieben. Was immer dann auch am Ende machbar und sinnvoll ist. 

Allgemein werden die Vorteile von SMB 3.x oft über-, dafür die Voraussetzungen unterschätzt. In mittelständischen Umgebungen spricht m.E. nur selten etwas für SMB 3.x.

 

Nach meinem, mal wieder nur theoretischem Verständnis, haben iSCSI und FC kaum Security Features dabei. Hingegen ist SMB 3 state of the art in Bezug of Encryption and Signing.

Wie denn, wenn man fragen darf.

Genau kann ich es dir nicht sagen, aber es sind IDS/ IPS (Intrusion Detection/ Protection Systeme), die bei gewissen Patterns aktiv werden.

Googel einfach danach, da gibt's genügend Anbieter.

@Nils, du kennst dich mit Sicherheit 100-mal besser mit Windows aus als ich. Die gängigen Industriestandards der IT legen trotzdem einen lockout nach einer bestimmten Anzahl von Fehlversuchen nahe.

Standards bewusst zu unterschreiten, kann gefährlich werden. Da geht's dann um Haftung. (hier kenne ich mich jetzt vielleicht besser aus :-) )

Moin,

 

ich verstehe die Bedenken, aber auf dem Weg werdet ihr nicht weit kommen. Die Ansicht lokaler Konten lässt sich nicht sperren. Höchstens die Remote-Abfrage, aber gerade in deinem Szenario bringt das auch nicht viel.

 

Der wesentlich bessere Weg ist, die kritischen Konten, die du ansprichst, ordentlich abzusichern und ggf. Angriffsversuche (fehlgeschlagene Logins) zu überwachen. Zudem solltet ihr die Mitgliedschaft in lokalen Administratorgruppen nicht für Useraccounts vorsehen, sondern nur für Gruppen - eine oder zwei reichen normalerweise aus. Das ist nicht nur weniger leicht auszuforschen (eine AD-Gruppe beispielsweise lässt sich per Berechtigungen vor neugierigen Blicken schützen), sondern auch leichter zu verwalten.

 

Ich werf dann aber noch mal dies in den Raum:

 

[DOS-Angriff für jedermann: AD-Konten sperren | faq-o-matic.net]

http://www.faq-o-matic.net/2013/08/07/dos-angriff-fr-jedermann-ad-konten-sperren/

 

Gruß, Nils

Wenn es nicht geht, muss man es akzeptieren.

Es ist nicht so, dass unsere Konten vollkommen ungeschützt sind.

Gegen eine einfache "DOS-Attacke für jedermann", wie du sie in deinem Artikel beschreibst, haben wir Schutz-Mechanismen. Die werden nicht gegen alle denkbaren DOS-Varianten helfen, aber gegen die "Einfachen".

Danke für den Link. Das müssen wir uns auf jeden Fall ansehen!

zum Warum: Es gibt leider nicht nur nette Kollegen auf der Welt. In der lokalen Administratorengruppe sieht ein weniger netter Kollege auch als User sofort, auf welche Accounts oder Gruppen es sich lohnt loszugehen. Diese Accounts (Helpdesk, Installationsaccounts, etc) haben Zugriff nicht nur auf einen, sondern auf viele Clients. 

User dürfen bei uns auf ihren Clients keine Shares anlegen oder Berechtigungen vergeben. Daher ist die Information aus der Userverwaltung vollkommen uninteressant für loyale User, aber ein interessanter Hint für weniger loyale Nutzer.

Hallo,

Wo kann man die Berechtigungen für die lokale Userkontenverwaltung setzen. Offenbar haben Administratoren change-rechte, normale User nur lesen-rechte. Ich möchte erreichen, dass normale User die lokalen Accountverwaltung gar nicht erreichen können, weder per lokaler GUI, per Code, noch remote. Brauchen und sollen sie nicht.

Merci

carnivore

Danke für die Antworten. Federation Trusts habe ich angesehen, aber das ist mehr für Webapplikationen gedacht.

Die RootCAs auf beiden Seiten sind "heilige Kühe". Wenn möglich, sollen die nicht angefasst werden. Ich werde 3 und 4 genauer betrachten. "Cross Certification Trust" wird als Template beim 2012er Server angeboten, also scheint der Weg noch "aktuell".

Nochmals danke, carnivore 

Ich möchte zwei PKIs miteinander verknüpfen, um einen Merge vorzubereiten. Dazu gibt es u.a. den "Cross Certification Trust", der zu meiner Situation passt.

https://msdn.microsoft.com/de-de/library/cc779826(v=ws.10).aspx

Seit 2003 finde ich von MS aber keine Artikel mehr über dieses Thema. Ist "Cross Certification Trust" denn noch Stand der Technik, oder gibts inzwischen modernere Methoden?

Merci

carnivore

Hallo,

Habt ihr einen Prozess, wie man mit einer solchen Bedrohung in einer enterprise Umgebung umgeht?

https://www.heise.de/newsticker/meldung/AtomBombing-Sicherheitsforscher-missbrauchen-Windows-Mechanismus-fuer-Code-Injection-3379196.html

Danke

carnivore

Und wenn du "auf" einem Windows-Server einen Virtualisierer einsetzen willst, dann kann das nur ein Typ-2-Virtualisierer sein. Von VMware kommt dann nur noch Workstation in Betracht. 

 

Ok, meine Ausgangsfrage war zugegeben Blödsinn. Mangelnde Praxis - Sorry!

Wie es mit virtualisierten Servern und Credential Guard aussieht, ist spannend. Das wäre für einige Server ein Updateargument! Dazu wird es hoffentlich bald Veröffentlichungen geben.

Einen erholsamen Feiertag wünsce ich euch!

carnivore

- Doch, Credential Guard halte ich auch auf unseren Servern, sowohl auf Host- wie auf Gastsystemen für sinnvoll. (siehe z.b. den von dir zitierten Artikel).

- Hab ich irgendwo VMWare Workstation geschrieben?

Hallo,

Ich beginne mich mit dem Server 2016 auseinander zu setzen. Dieses Betriebssystem beinhaltet bzw. setzt die Microsoft eigene Virtualisierungstechnologie HyperV ein, sobald  Credential oder Device Guard aktiviert wird.

Frage: kann/ darf man auf einem solchen, geschützten, System noch weitere Virtualisierer wie z.B. VMware parallel einsetzen? Credential Guard ist ganz sicher ein sinnvolles Feature, nur VMWare ist bei uns der Standardvirtualisierer.

Merci

carnivore

Ich habe wohl zu ausgefallene Wünsche

Aber danke trotzdem!

carnivore

Hallo,

vielleicht klappts diesmal mit einer Frage :-)

Ich will das Hibernate auf Clients aus diversen Gründen einschränken.

Die User legen andererseits großen Wert auf ihr Hibernate, weil sie dann am nächsten Tag bzw. nach dem "Ausschalten" genau dort weiterarbeiten können, wo sie aufgehört haben. Beim echten Reboot müssen dagegen mehr oder weniger wieder alle Programme und Dokumente neu geöffnet und die zuletzt bearbeiteten Stellen aufgesucht werden.

Der eigentliche Geschwindigkeitsvorteil beim Hibernate-Start gegenüber einem Standardboot spielt nicht die große Rolle.

Frage: gibt es eine Möglichkeit (Windows10) den aktuellen Zustand geöffneter Dokumente/ Programme einzufrieren und beim nächsten VollStart wieder aufzurufen, sowie eben der Hibernate. Dennoch soll das OS tatsächlich durchgebootet werden.

Merci

carnivore

Hallo Nils,

Ich habe mir deine Präsentation gestern nacht angesehen :-)

Wenn du die Nachfrage erlaubst: Würde gegen deine Angriffsszenarien unter Windows 10 der CredentialGuard bzw. DeviceGuard helfen? Unsere Windows10s laufen unter der Enterprise Version/ Lizenz. Das sind aber bisher nur sehr sehr wenige Pre-Piloten, werden aber mehr werden.

Dnake

Wahrscheinlich würde es eine interessante Diskussion geben, wenn ich euch spezifischere Details geben dürfte. Nur, das kann ich leider nicht in einem Public Forum.

Aber Danke für die bisherigen Antworten!

Es soll nicht sein dürfen, dass Credentials in anderen Standorten gespeichert werden. Jeder Standort Admin kommt ja an die Hashes, wenn er lokalen Zugriff auf die DC-Datenbank hat.

@lefg: Der Wert eines Hashes/ Passworts ist nahezu gleichwertig

Die Anforderung ist, dass Passwörter von Accounts aus europäischen Sites nicht in Domaindatenbanken asiatischer Domain DCs liegen.

Aber das wird offenbar in unserer Struktur so nicht möglich sein.

Danke Euch

carnivore

Die Anforderung ist generell Wege zu suchen, die Security stetig zu erhöhen.

Platt gesprochen: Es muss organisatorisch nicht sein, dass DC-Admins in China Passwörter kritischer Konten in Buxtehude auslesen oder bestenfalls auch nicht setzen können. Deswegen suche ich nach einem technischen Weg, dies zu unterbinden.

Hallo,

Ich habe gegoogelt, aber leider keine Aussage gefunden.

Muss jeder vollwertige DC die kompletten Informationen (vor allem Credentials) aller User- und Maschinenkonten in seiner Domäne besitzen?

Hintergrund, wir haben Domain User in Sites in Europa, Amerika und Asien sitzen. Nicht 100-te, sondern 10.000-nde. Kann man die Verfügbarkeit von Credentials auf normalen DCs einschränken?

Ich habe die Read-OnlyDCs auch betrachtet. Aber die sind, soweit ich verstanden habe, eher für kleine, weniger sicherere Hub-Sites gedacht. RODCs haben wir auch.

Ich bräuchte  eine Zwischenebene zwischen vollwertigem DC und RODC.

Die DCs/ RODCs laufen durchgängig auf 2012R2.

Merci

carnivore