carnivore

Danke für die Links. Die Events werden bereits von unserer SIEM-Lösung eingesammelt. Jetzt müssen wir zusammen mit unseren Admins noch einen passenden Algorithmus und Prozess finden, um dann die Lockout-Sperre nach x-Fehlversuchen herauszunehmen, aber trotzdem Attacken zuverlässig zu erkennen. Carnivore

Eine ernsthafte Antwort erwartet ihr zwei ... nicht, oder? Carnivore

Schade! Trotzdem Danke Carnivore

Hallo, Ich habe die Anforderung auf dem Tisch, dass zumindest für bestimmte User ein Alert (z.b. email) getriggert wird, wenn zu oft ein falsches Passwort für einen Account eingegeben wird. (z.b. 10-mal hintereinander oder 20-mal in 24h etc.). Es geht nicht darum, den Account über die PasswortGPO zu sperren, sondern um ein zusätzliches Monitoring. Gibt Windows AD unter 2012R2 mit vielen DCs so etwas native her? Mir ist nämlich nichts bekannt, was aber nichts bedeutet. Danke Carnivore

ich könnte mangels tieferer Kenntinisse nur mit "vielleicht" oder "eventuell" antworten. Dann lasse ich es besser. War auch nur eine Idee!

Danke, vielleicht finde ich bei uns noch einen begabten Praktikanten, der den Pseudocode portieren kann.

TPM 1.2 arbeitet maximal mit SHA1. SHA1 ist schon lange nicht mehr empfohlen und seit Anfang 2016 auch nicht mehr von microsoft, soweit ich weiss,unterstuetzt. Der Fehler kann selbstverstaendlich auch eine andere Ursache haben.

Welche TPM Version hast du?. Win10 ist nur für TPM 2.0 spezifiziert

Wie gesagt, mir geht's um den Algorithmus, nicht um eine gekapselte Funktion

Hallo, Ich benoetige fuer eine Praesentation als Demo eine Function in PS, die den SHA Hash aus einem String berechnet. Also nicht das cmdlet Get-Hash, sondern die mathematische Umsetzung. Sha1 waere schon gut, Sha2-256 oder Sha2-512 optimal. Von Sha3 oder HMAC-SHAx traeume ich :-) Merci Carnivore

danke für den Artikel! Again what learnt! btw: der Minasi Link ist tot. Mit GPOs habe ich nicht so wahnsinnig viel praktische Erfahrung. Ich habe eine eigene GPO mit den Settings erstellt und die ausschließlich auf Domain Ebene an oberster Stelle verlinkt. Dann ziehen jedenfalls die Kerberos Einstellungen. Aber ich habe nur wiegesagt eine klitzekleine Testumgebung ohne Anspruch auf Einhaltung von best practices. Ich bin nur für spezifische Settings zuständig. Regelkonform (hoffentlich) umsetzen werden es die Admins. Merci carnivore

Ich habe jetzt auch noch etwas rum probiert. Zumindest das TGT des Users wird nur beeinflusst, wenn die GPO auf die Member verlinkt ist. Ist die GPO nur auf die DCs verlinkt, hat das überahupt keinen Effekt auf die User TGTs. Session Tickets werde ich mir morgen ansehen. Mein Fehler oben war wohl, dass ich die Priosierung auf Domainebene bei meinen Policies vergessen hatte. Deine Anmerkung hat mich aber weiter gebracht! Merci carnivore

Hallo, Sorry, wenn ich jetzt ggf. eine Anfängerfrage stelle. Ich will in meiner (Test-) Umgebung (DC 2012R2/ Clients Win10) einige Werte in der Kerberos Policy (GPO) ändern. Beispielsweise die Ticket Life Time für "User Tickets" oder "Service Tickets" runterdrehen. Ich mache das in der Default Domain Policy, in der auch "max. Passwordage" "min. Password Length" etc. definiert sind. Die Passwordrichtlinien werden vom Client angezogen, auch nach Veränderung. Die Kerberos Policy bleibt beim User hingegen wirkungslos bzw. wird nicht angezogen. Im gpresult wird die Kerberos Policy nicht mal angezeigt, DC und Client habe ich gebootet. Haben die Kerberos Policies keine Wirkung auf Clients/ User? Oder habe ich einen grundlegenden Verständnisfehler was die GPO-Verarbeitung (Default Domain Policy?) anbelangt? Ich habe nur immer am Rande mit GPOs in der Praxis zu tun. Wie verändert man dann domänenweit z.B. die Laufzeit der TGTs und Servicetickets. Merci Carnivore

danke, das war es! Bei Rechner 1 und 2 "source" eingetragen und auf der Wireshark-Maschine "Destination". Dann funktioniert der Trace Vielen Dank! Carnivore

Hallo zusammen, Ich habe mir unter Windows10 im HyperV drei virtuelle Windows10 Maschinen installiert. Die 3 virtuellen Rechner hängen im gleichen Netzwerk wie der Host, können miteinander wunderbar kommunizieren, ins Internet gehen (connection type: external network)...alles gut. Mein Ziel ist es, die Netzwerkkommunikation zwischen zwei Rechnern vom dritten Rechner mittels Wireshark aus aufzuzeichnen. Im Wireshark ist der Promiscous-Mode aktiviert, Filter (Display/ Capture) sind keine gesetzt, trotzdem kann ich am 3.-ten virtuellen Rechner (ebenso am Host) keine Pakete zwischen den beiden anderen Rechnern auffangen. Im Wireshark habe ich den P-Mode unter Preferences und Capture->Options aktiviert. Kann ich in einem HyperV-Netz prinzipiell keinen Promiscous-Mode verwenden, oder habe ich eine Einstellung vergessen? Ich nutze das HyperV-Feature von Win10 noch recht frisch, hatte bisher immer VMWare. Vielen Dank Carnivore

Danke, genau dieses Logging hat mir gefehlt. Das Log zeigt sogar genau den verwendeten Cipher an! Mehr und viel einfacher als ich erwartet hatte! Gruß Carnivore

Hallo, Ich versuche seit einiger Zeit das RDP-Protokoll bzw. die Umsetzung bei Microsoft etwas besser zu verstehen Kann ich irgendwie, egal ob z.B. in einem Eventlog am RDP-Client/ RDP-Server oder im Netzwerktrace, auslesen, welches Protokoll (TLS 1.0, TLS 1.1 oder TLS 1.2) ggf. sogar welcher Cipher bei einer RDP-Verbindung verwendet wird? Ich habe SSL, TLS 1.0 und TLS1.1 in der Registry disabled, nur würde ich den Erfolg auch gerne monitoren. Aus den Eventlogs bzw. mit Wireshark kann ich leider nichts rauslesen, da der Traffic über TPKT verschlüsselt ist. Laut. der Microsoft RDP Specifikation [MS-RDPBCGR] gibt es die "Client Security Exchange PDU" mit dieser Information im Protokoll. Ich weiß leider nicht, wie ich da ran komme, da diese im TPKT-Protokoll verschlüsselt ist. Mein Versuchsaufbau sind zwei virtuelle Win10 Maschinen + Wireshark. Letztlich muss ich aber irgendwie herausfinden, wenn RDP-Verbindungen zu weltweit verteilten Maschinen nicht auf dem geforderten Level verschlüsselt sind. Danke für mögliche Ideen Carnivore

Danke! Ich will Send NTLMv2 response only\refuse LM & NTLM überall durchsetzen Ich habe eben auch diesen Artikel gefunden, der deine Aussage bestätigt. https://technet.microsoft.com/en-us/library/dd378987(v=ws.10).aspx Dass "Security changes" ausschließlich in der "Default Domain Policy" gesetzt werden sollen, verwundert mich jetzt. Aber egal! Merci carnivore

Hallo, Ich möchte eine wichtige SecurityOption per GPO domänenweit hoch setzen. (LanManager Authentication Level) Genügt es dieses Setting nur in einer GPO auf oberster Domänenebene zu setzen, oder muss/ sollte man es ebenso in einer GPO auf der OU "Domain Controllers" zu setzen. Oder nur auf "Domain Controllers"? Merci carnivore

Hallo, Ich stecke momentan in der Prüfungsvorbereitung beim Thema DAC und Claims fest. Speziell beim Thema "What is the "Claims Valid" SID?" fehlt mir der Durchblick bzw. Informationen Mir ist soweit klar, dass diese SID "S-1-5-21-0-0-0-497" ab Server 2012 das Spoofing von Claiminformationen im Kerberos PAC-Feld verhindert. Viel mehr Infos finde ich leider nicht. z.B. https://msdn.microsoft.com/en-us/library/cc980032.aspx Wäre nett, wenn mir da jemand mit einem Link über die Funktionsweise, etc von "Claims Valid" weiterhelfen kann carnivore

ja... aber ich wollte eigentlich nicht wissen, wem das zu umständlich ist, sondern ob zufällig jemand die korrekte Pfadsyntax für Subdirectories bei dieser Art von Policies kennt.

gerne auch mit "unrestricted". Wie ist dann die Pfadangabe? *.bat darf nur in einem bestimmten Ast erlaubt sein,

Hallo, Ich versuche auf meinem Windows7-client die SRP-Regel einzufügen, dass C:\temp\ und darunter keine *.bat Dateien mehr ausgeführt werden dürfen. Pfadregel: "c:\temp\*.bat" Das funktioniert auch, aber im Gegensatz zu etlichen Artikeln kann in ich den Unterverzeichnissen von c:\temp nach wie vor *.bat starten. z.B. https://technet.microsoft.com/en-us/library/cc507878.aspx Die Pfadregel "c:\temp\*\*.bat blockiert die Ausführung in der nächsten Ebene, aber nicht tiefer. Habt jemand einen Kniff? Merci Carnivore

Falls es jmd. interessiert Cipher /C liefert den Thumbprint

Hallo, ein Kollege von mir kann eine EFS-verschlüsselte Datei auf einem Domainclient (win7) nicht mehr öffnen. Auch der DRA funktioniert nicht. Am DRA wurde allerdings in seiner Domäne wohl gelegentlich geschraubt. Kann man der verschlüsselten Datei entlocken, mit welchem User-Zertifikat sie verschlüsselt wurde oder ob überhaupt ein DRA-Key in ihr enthalten ist? Merci carnivore