carnivore

Kann man Innen- und Außenangriffe überhaupt noch unterscheiden? Es gibt eine Statistik, dass etwa jeder 10.-te Chinese direkt beim oder zumindest für den chinesischen Geheimdienst arbeitet. In meiner Company arbeiten gut 5000 Chinesen....da kann man mal rechnen. Amerikaner, Engländer, Russen oder Franzosen .... "men in the middle" kommen noch dazu Viele Firmen kümmern sich übrigens sehr intensiv um das Thema Security und investieren regelmäßig hohe Summen in Personal und Technik. Leider sind die konzeptionellen Security-Löcher in den gängigen Betriebssytemen kaum zu schließen. Sicher ist es ethisch nicht ganz in Ordnung, wenn unser Geheimdienst hier versucht Gleiches mit Gleichem zu begegnen, aber irgendwie auch nicht ganz falsch.

? einmal das abgelaufene Kennwort eingeben, dann ein Neues + Bestätigung

Hallo Daniel, Danke für deine Erklärungen, das Securty Problem sehe ich darin, dass ein Angreifer sich mit einem Passwort bei einem Account, dessen PW abgelaufen ist, anmelden und das PW ändern kann. Besser kann ich es leider nicht erklären. Wenn das Problem mit Boardmitteln nicht zu behben ist, dann OK! Danke für deine ausführliche Antwort carnivore

Warum setzt man ein Passwortalter? Damit ein abgegriffener Hash eines Accounts nicht innerhalb der Gültigkeitsdauer des PWs entschlüsselt werden kann, so zumndest mein Verständnis. Windows ist noch dazu so "liebenswert" jedem einfachen authenticated User forestweit sensible Accountdaten (pwdlast, lastlogontimestamp, groupmembership, admingroup etc.) aller Accounts per einfacher ldap-Query zu präsentieren, so dass ein Angreifer sich ganz bequem die passenden Accounts raussuchen kann. (oder gibts da einen gangbaren Weg dies zu verhindern?) Daher fände ich es schon sinnvoll, möglichst wenige Accounts mit pwdlastset > minpwdage im AD zu haben. Konkret:ist es ist unsere Corporate Security Policy für Accounts, die ein maximales PWDAge einfordert. Und die unterscheidet nicht zwischen benutzten und unbenutzten Accounts, was wiegesagt m.E. absolut sinnvoll ist.

Hallo, So ähnlich machen wir das jetzt auch. Ich hole mir alle enabled-Accounts per Powershell raus, vergleiche diese mit den PW-Richtlinien und versuche bei Abweichung irgendwie automatisiert die Account-Verantwortlichen zu erreichen. Ich bin nicht so tief im Windows2008-ActiveDirectory drinnen und hoffe daher auf ein existierendes Microsofthilfsmittel per Policy etc., das Problem über einen Prozess eleganter ösen zu können. Es hilft m.E. alleine relativ wenig, wenn nur diejenigen privilleged User aufgefordert werden, ihr PW zu ändern, die sich mindestens alle 30 Tage interaktiv neu anmelden. Inaktive User > 30 Tage hart zu disablen ist nicht praktikabel. Wunschkonzert: Meldet sich ein AccountOwner am AD an, bekommt er per Policy nicht nur für seinen aktuellen Account eine Passwordänderungsaufforderung bei bzw. schon vor dem PW-Ablauf, sondern auch für seine Childaccounts. Idealerweise könnte ich im Account den Accountowner bzw. eine Ownergruppe direkt eintragen. Wenn es andere Ansätze gibt, gerne! Es muss nur irgendwie automatisiert werden können. carnivore

Hallo, Ich bin in einer relativ großen Windows 2008R2 Umgebung unterwegs, in der Sicherheit recht groß geschrieben wird. Momentan kümmere ich mich um unsere priviligierten Accounts, für die z.B. ein Passwortänderungintervall per granularer Policy von 30 Tagen gilt. von diesen privilgierten Accounts existieren allerdings eine ganze Menge und einige davon werden auch mal 60 oder mehr Tage nicht benutzt, sind aber enabled. Daher altern diese PWs über die 30 Tage hinaus. Gibt es einen Prozess/ Werkzeug , das z.B. einen zugeordneten Accountowner darüber informiert, dass bei einem seiner ChildAccounts das PW ablaufen wird? Merci carnivore

Mal abgesehen von dem schönen Geschenk :cool: : Für 900 Leute eine passende ganztägige Schulung zu entwerfen, die Poweruser, Hausmeister und Führungsetagen gleichermaßen zufrieden stellt, dürfte nicht einfach sein. Mit einer solchen unspezifischen Herangehensweise sind schnell 100k€ nutzlos zum Fenster rausgeworfen. Carnivore

das bezog sich auf die Aussage weiter oben, dass "ein Forest sehr sinnvoll" sei. Administrationstechnisch ja, sicherheitstechnisch zumindest nicht pauschal

Hallo, Man sollte bedenken, dass sich in einem Forest jeder Domainadmin relativ leicht zum Enterpriseadmin aufschwingen und damit überall hingreifen kann. Man muss seinen Domainkollegen des einheitlichen Forests also vertrauen, denn In manchen Umgebungen nimmt die Rolle Domainadmin auch schonmal ein externer Kollegen war. Das ist so mein Argument gegen einen Forest mit zu vielen Domänen. Vorteile bietet ein Forest natürlich auch viele Carnivore

Hallo, Ich bin selbst in der Systemtechnik (Spezialgebiete: ActiveDirectory / Exchange) in der Großindustrie tätig. In meinem Forest tummeln sich weltweit fast eine knappe Millionen UserAccounts, verteilt auf mehrere 100 DCs. Viele Neueinstellungen sind nicht geplant. Wenn ich mir unsere Unternehmenstrategie ansehe, so auch dargestellt vom Vorstand, liegt ein enormer Bedarf jetzt und in Zukunft in der Softwareentwicklung, Hier sollen Kapazitäten aufgebaut werden. So ist das nicht nur in unserer Company. Umgekehrt dazu scheint das Angebot am Arbeitsmarkt zu sein, d.h. relativ viele Bewerbungen von Administratoren etc./ wenige von Entwicklern oder Programmierern. Viellecht ist das ein Hinweis für eure Karriereplanung. Gruß Carnivore

Hallo, Selbst große IndustrieKonzerne investieren heute viel, viel Geld, um Zugriffe von WindowsAdmins auf sensible Daten einzuschränken, weniger weil sie ihren DomänenAdmins nicht vertrauen, sondern weil es unter Windows leider zahlreiche Möglichkeiten gibt, um solche Accounts auszuspähen. Gegen einige Angriffsszenarien kann sich der legitime Admin durch umsichtiges Verhalten und zusätzliche Investitionen (min. 15-stellige komplexe PWs, immer Kerberosverbindungen benutzen, niemals mit einer DomAdminkennung an Userclients anmelden, 2-Faktor Authentisierung etc.) schützen, gegen manche auch gar nicht. Sensible Daten auf einer Festplatte im Tresor werden dort sicher nicht lange bleiben, dann fliegen die ungeschützt auf lokalen Clients, Notebooks, Memorysticks etc. frei durch die Gegend. Vielleicht ist es eine Möglichkeit die Daten bei einem Cloudanbieter außerhalb deiner Windowswelt verschlüsselt zu speichern. Zuerst würde ich deine Chefs befragen, wo sie denn das meiste Gefahrenpotential sehen und wovor sie sich konkret schützen wollen. Dann kann man sich Maßnahmen überlegen und Kosten veranschlagen. Ich geh mal davon aus, dass sie dir persönlich einigermaßen vertrauen. Gruß carnivore

Function GetGroupNode{ Param([Parameter(ValueFromPipeline = $true)] $myString) $myString = $myString.Split("=") $Var1 = $(($myString[1].split(";"))[0]) $Var2= $myString[2].Replace("}","") $Var1,$Var2 }#End Function GetGroupNode $Path = "c:\temp\myInputFile.txt" Get-Content -Path $Path | Foreach{ $Output = $_ | GetGroupNode } "$($Output[0]) $($Output[1])" So in etwa würde ichs umsetzen:

Hi, so funktioniert es: Function GetGroupNode{ Param([Parameter(ValueFromPipeline = $true)] $myString) $myString = $myString.Split("=") $Var1 = $(($myString[1].split(";"))[0]) $Var2= $myString[2].Replace("}","") $Var1,$Var2 } $Input = "{OwnerGroup=T400S891;OwnerNode=S400G257}" $Output = $Input | GetGroupNode $Output[0] $Output[1] #Ausgabe T400S891 S400G257

prinzipiell schon. Aber wenn das Skript an irgendeiner Stelle/ Befehl steckenbleibt, nutzt eine Ausstiegsbedingung innerhalb dieses Skripts wenig

Hallo, Gibt es einen Trick Powershellskripte so aufzurufen, dass nach einer bestimmten Anzahl von Sekunden nn das Skript in jedem Fall vom OS beendet wird, Für cscript gab es den Schalter //T:nn, powershell /? gibt leider nichts ähnliches her. Powershellskripte über cscript starten zu müssen, finde ich etwas unelegant Merci carnivore

ja, ich meine die dedizierten FWs zwischen Standorten

Hallo, Ich möchte gerne vorab prüfen, ob die notwendigen Firewallports für DCs zwischen zwei Rechnern geöffnet sind, um danach einen der beiden Rechner zum DC promoten zu können. Dazu suche ich ein Tool, Befehle etc. um entsprechende ServicePakete von dem NochNichtDC zum bereits existierenden DC zu senden. LDAP (389), GC (3268) oder DNS (53) sind kein Problem, da kann ich entsprechende Pakete zusammenbauen. Ich suche aber noch eine Möglichkeit festzustellen, ob Kerberos (88), RPC (135), Netbios (139) oder SMB (445) offen sind. Simple Portscanner ala Portquery, die nur testen, ob der Port offen oder zu ist, reichen nicht. Ich brauche etwas, was z.B. ein richtiges Kerberos-Paket etc. abfeuert Vielleicht kennt jemand ein solches Tool, oder hat ein Skript etc. vielen Dank carnivore

Hallo, Kennt jemand eine Möglichkeit von einem Client DNS-Abfragen zum DNS-Server zu schicken. Die Abfragen sollen aber gezielt TCP oder UDP benutzen. In PS kann ich die .Net-Klasse verwenden, [system.Net.Dns]::GetHostAddresses("Server01") nur kann man hier nicht beeinflussen, ob UDP oder TCP benutzt. und System.Net.Sockets.Udpclient bzw. Tcpclient arbeiten nicht serviceorientiert.:-( Sinn und Zweck ist die Connectivity des Clients über Firewalls hinweg zum DNS-Server zu monitoren. Idealerweise ohne zusätzliche Tools. Merci carnivore ######## sorry, habs im Moment selbst gefunden nslookup vc/ novc Falls jemand den direkten Weg über eine .Net - Klasse kennt, wäre ich trotzdem dankbar Gruß Carnivore

Hallo, Danke, den MBSA werde ich nochmal genauer ansehen Mittlerweile habe ich auch die Seite mit der "Liste" wiedergefunden. War wohl etwas unklar ausgedrückt, was ich wollte. http://technet.microsoft.com/de-de/security/bulletin Merci carnivore

Ein Forest mit mehr als 100 weltweiten, teils sehr "individuell" administrierten Domänen und mehreren 1000 DCs auf die ich per Script lesend komme. Ein zentraler WSUS wäre schön, gibts aber nunmal nicht

Prinzipiell sicher richtig! Nur leider ist meine Umgebung für den WSUS nicht geeignet. Die ist einfach zu groß und gleichzeitig zu uneinheitlich aufgebaut. Irgendwo muss doch hinterlegt sein, welche Hotfixe bsp. eine W2k8-R2 Maschine aktuell benötigt. Merci carnivore

Hallo jose, Leider habe ich nicht auf allen Domains im Forest das Recht Software oder Agenten zu installieren. Daher muss ich den Patchstand remote mit lesenden Rechten auslesen, was mit PS kein Problem ist. Mir fehlt nur eine Liste, gegen die ich das Ergebnis abgleichen kann. Merci carniore

Hallo, Früher gabs mal eine MS-Website, auf der ich ein paar Angaben zu meiner Maschine machen konnte (etwa. OS-version, Sprache, Rolle) machen konnte und anschließend kam eine Liste aller notwendigen Hotfix-Nummern zurück, die auf diesem System installiert sein sollten. Ich kann diese Seite leider nicht mehr finden. Letztlich will ich mit Powershell und anhand dieser Liste feststellen, ob alle benötigten Hotfixe insbesondere auf Domaincontrollern tatsächlich installiert wurden. Merci Carnivore

Ich habe vor kurzem bei einem sehr großen Systemhaus begonnen. Da wurde mir im ersten Vorstellungsgespräch erklärt, dass eine "erweiterte Sicherheitsüberprüfung (Ü2)" http://de.wikipedia.org/wiki/Sicherheits%C3%BCberpr%C3%BCfungsgesetz Einstellungsvoraussetzung ist.

Hallo, Gibts für Server 2012 wieder so etwas wie das "Active Directory Resource Kit"? Gefunden habe ich zumindest nichts, oder hat es MS mal wieder umbenannt? Mir gehts weniger um Tools, als die Dokumentation. Merci carnivore