StefanWe

Hallo,

wir betreiben einen ADFS 2016 welcher für uns die Device Registration übernimmt. Dies funktioniert soweit auch. Also die Geräte sind in Azure registriert und da wo wir testweise Hello for Business verwenden, funktioniert dies einwandfrei.

Ich sehe aber im Eventlog vom Device Registration Server die folgende Fehlermeldung mit Error Code 144

No certificate could be found on the Device Registration Service object that can be used as the issuing certificate.

Ein Get-AdfsDeviceRegistration ergibt folgendes

PS C:\> Get-AdfsDeviceRegistration


DrsObjectDN                          : CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=hen,DC=de
DevicesPerUser                       : 0
MaximumInactiveDays                  : 0
DeviceObjectLocation                 : CN=RegisteredDevices,DC=hen,DC=de
IsAdfsServiceAuthorizationReady      : True
IsDirectoryConfigured                : True
IsDeviceAuthenticationReady          : True
IssuanceAuthorizationRules           :
IssuanceTransformRules               : @RuleName = "Pass through all claims but group SIDs"
                                       c:[Type !~ "^(?i).+(group|primarygroup)+sid$"]
                                        => issue(claim = c);

                                       @RuleName = "Issue Permit Device Registration claim"
                                        => issue(Type = "http://schemas.microsoft.com/authorization/claims/PermitDeviceRegistration", Value = "true");

                                       @RuleName = "Issue Custom Quota to Administrators"
                                       [Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "^(?i)S-1-5-21-\d{1,10}-\d{1,10}-\d{1,10}-512$"]
                                        => issue(Type = "http://schemas.microsoft.com/authorization/claims/deviceregistrationquota", Value = "2147483647");

                                       @RuleName = "Issue Account Store Claim"
                                       c:[Type == "http://schemas.microsoft.com/ws/2014/01/identity/claims/accountstore"]
                                       => issue(Type = "http://schemas.microsoft.com/authorization/claims/accountStore", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);

                                       @RuleName = "Issue Inside Corp Network Claim"
                                       c:[Type == "http://schemas.microsoft.com/ws/2014/01/identity/claims/insidecorporatenetwork"]
                                       => issue(Type = "http://schemas.microsoft.com/authorization/claims/insidecorporatenetwork", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);

                                       @RuleName = "MFA for Domain Joined Machines"
                                       c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "515$"]
                                       => issue(Type = "http://schemas.microsoft.com/ws/2012/01/accounttype", Value = "DJ");

                                       @RuleName = "Object identifier"
                                       c1:[Type == "http://schemas.microsoft.com/ws/2012/01/accounttype", Value == "DJ", Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"] &&
                                        c2:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"] => issue(store = "Active Directory", types =
                                       ("http://schemas.microsoft.com/identity/claims/objectidentifier"), query = ";objectguid;{0}", param = c2.Value);

                                       @RuleName = "On-Prem Object GUID"
                                        c1:[Type == "http://schemas.microsoft.com/ws/2012/01/accounttype", Value =~ "DJ", Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"] && c2:[Type ==
                                       "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"] => issue(store = "Active Directory", types =
                                       ("http://schemas.microsoft.com/identity/claims/onpremobjectguid"), query = ";objectguid;{0}", param = c2.Value);

                                       @RuleName = "Primary SID"
                                       c1:[Type == "http://schemas.microsoft.com/ws/2012/01/accounttype", Value =~ "DJ", Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"]&& c2:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid",
                                       Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"] => issue(claim = c2);


AllowedAuthenticationClassReferences : {ngcmfa, wiaormultiauthn}
AdditionalAuthenticationRules        :
AccessControlPolicyName              : Permit everyone and require MFA, allow automatic device registration
AccessControlPolicyParameters        :
ResultantPolicy                      : RequireFreshAuthentication:False
                                       IssuanceAuthorizationRules:
                                       {
                                         Permit users
                                           with 'http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid' claim regex matches '-515$' in the request;

                                         Permit users
                                           and when authentication includes MFA
                                         except
                                           with 'http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid' claim regex matches '-515$' in the request;

                                         Permit users
                                           with 'http://schemas.microsoft.com/claims/authnmethodsreferences' claim equals to 'http://schemas.microsoft.com/claims/wiaormultiauthn' in the request
                                       }



PS C:\>

Im Internet finde ich dazu eigentlich gar nichts. 

Ansonsten funktioniert auch alles auf dem ADFS, 

Ist jemand schon mal über den Fehler gestolpert, bzw. hat Ideen, wo man zwecks Fehlersuche starten kann?

Hallo,

wir haben ein über 20 Jahre gewachsenes Active Directory und File Services. Mittlerweile sind dort eine Menge an Gruppen entstanden, die vermutlich zum Teil gar nicht mehr genutzt werden. 

Kennt ihr ein Tool, welches Fileserver durchsucht und die Verzeichnisse auflistet, auf der die Gruppe berechtigt ist? Ich finde leider immer nur Tools die einen Report erzeugen, welche Gruppen auf welchen Verzeichnissen berechtigt sind, aber in diesem Fall soll der Suche ja über die Gruppe laufen.

vor 29 Minuten schrieb v-rtc:

https://docs.microsoft.com/de-de/windows/security/threat-protection/auditing/event-4771
 

hilft das?

Im Grunde ist das genau das was wir haben. Allerdings sind die Zertifikate aktuell auf den DC's und die betroffenen Anwender geben ihr Kennwort richtig ein. Sonst würden sie ja auch nirgends drauf zugreifen können.

Hallo,

wir analysieren seit einiger Zeit unsere Security Logs der Domänencontroller und sehen immer wieder viele Events vom Typ 4771 Statios 0x18 "kerberos pre authentication failed". Gerade aktuell haben wir ein Benutzer, welcher einen mobilen Laptop nutzt. Er hat letzte Woche sein Kennwort geändert und danach das Gerät auch neugestartet.

Hier haben wir ca. pro Stunde 600 solcher Events. Sein Konto wird aber nicht gesperrt und auch ansonsten ist er überhaupt nicht eingeschränkt. Einzig, wir sehen die Fehler Events.

Ab und zu haben wir dieses Verhalten eben auch bei anderen Accounts. Nun ist die Frage, woher kommende diese Meldungen? Und vor allem, warum? 

Eigentlich die Smartcards selbst. Gemalto immernoch ok. Die kenn ich ja ;)

sonst noch Alternativen? Ggf. Welche Manager?

Hallo,

bin am überlegen, für die Admin Accounts Smartcards zu beschaffen. Aus der Vergangenheit kenn ich hier ganz gut Safenet Authentication Manager. 
ist allerdings etwas oversized. 
 

Hintergrund ist die Abschaffung der Kennwörter für diese Accounts. Welche Cards bzw. Verwaltung kennt ihr und könnt ihr empfehlen?

Hallo,

wir haben zig Surface pro 5 und 7 als i5 und 8 gb RAM Edition angeschafft. Seit längerem klagen die Anwender massiv über Performance Probleme und der Akku würde keine 4 Stunden halten. derzeit es Win 1909 deployed und als AV Schutz Trend Micro Apex One. 
 

Gerade MS Teams macht den Geräten zu Schaffen. Ein vergleichbarer Dell 5400 mit i5 und 8gb RAM kommt deutlich performanter rüber. 
 

kennt ihr das Problem? Liegt es einfach an der Bauweise vom Gerät? Wie ist eure Erfahrung mit den Geräte ?

Hallo,

wir hatten vor ca. 2 Jahren den Versuch unternommen, Windows Hello (nicht Hello for Business) auf unseren Geräten zu aktivieren. Das hat soweit auch funktioniert. Nun haben wir schon seit längerer Zeit festgestellt, dass beim Wechsel des Kennwortes es immer wieder zu Problemen kommt. Daher haben wir in der GPO Windows Hello deaktiviert. Es kann also bei neuen Geräten nicht mehr aktiviert werden.

Aber alle Bestandsgeräte, die es einmalig aktiviert haben, können es weiterhin nutzen. 

Kennt ihr eine Möglichkeit, Windows Hello (PIN + Biometrie) restlos zu deaktivieren?

Hallo,

wir wollen einen Gesamtüberblick unserer Umgebung haben und möchten gerne alle sicherheitsrelevanten eventlog ids einsammeln und prüfen. 
anfangen würden wir mit den Domänen Controllern und adfs. 
 

gibt es da von Microsoft eine Best Practise Liste? Ist euch etwas bekannt? Ggf. irgendwo ein Blog Eintrag?

Es scheint der folgende Regkey zu helfen. 

HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\AutoDiscover

Create a DWORD named ExcludeExplicitO365Endpoint

Set value to 1

Restart Outlook

Die Frage ist nur, verbauen wir uns damit etwas wenn wir später mal auf exchange online migrieren.

Hallo,

wir betreiben einen Exchange 2016 DAG Cluster mit CU 18. Authentifizierung am Exchange (Outlook Anywhere) steht auf Kerberos, bzw. Negotiate.

In Vorbereitung auf die neue Office 2019 Version haben wir einige Benutzer schon umgestellt. Diese erhalten manchmal, aber einige auch immer beim Start von Outlook 2019 eine Kennwortabfrage, so wie man sie von Basic Authentication kennt.

Bei Outlook 2016 war alles gut. Wir haben schon im Windows Anmeldespeicher alle alten gespeicherten Kennwörter entfernt, dennoch kommt immer mal wieder diese Meldung. Woran liegt das? Bzw. wie bekommen wir das abgestellt? 

Hallo,

ich versuche gerade etwas Grundlagenwissen aufzubauen im Bereich oauth und Azure b2c.  Wir möchten gern ein b2c aufbauen und dort verschiedene Applikationen anbinden. Das b2c soll als zentrale Authentifizierungsstelle dienen. 
 

die Anwendungen sind Web Apps oder Rest Webservices.  Ich kann im b2c Applikationen registrieren und die Authentifizierung funktioniert. 
aber wie steuere ich nun, welcher Benutzer welche Anwendung/Webservice bzw. Endpunkt nutzen darf. 
 

vor einer Stunde schrieb MurdocX:

Ich hab so das letzte Jahr gearbeitet. Schön ist was anderes. Stellt euch schon mal auf Unmut ein. 
 

Wenn man mich nochmal zu dem Konzept fragt, würde ich wohl RemoteApp für Outlook etc. auf dem Admin-Client bevorzugen. 

Aber damit würdest du dann ja auch auf dem Admin PC surfen und das ist ja nicht gewollt.

vor 12 Stunden schrieb daabm:

Um die Antwort von Nils eine Stufe weiter zu treiben und preiswerter zu machen: Der "Admin-Client" ist das OS des Blechs, vor dem man sitzt. Auf dem aktiviert man Hyper-V, und in der ersten VM läuft dann der "Daily Business-Rechner" mit allen Anwendungen. In einer idealen Welt kommt der aus seiner VM nicht raus und der Admin-Client bleibt sauber. Taucht sinngemäß so auch in den ESAE-Empfehlungen von MSFT auf.

Habs mir schon gedacht. Werden wir dann wohl so umsetzen. Danke.

Hallo,

es macht ja nur Sinn, seine tägliche Arbeit als Administrator mit einem normalen Benutzer durchzuführen und nicht mit seinem Admin Benutzer.

Nun möchte man manchmal Dateien auf oder von einem Server kopieren und nutzt dafür die Dateifreigabe. Manchmal gern auch die Adminfreigabe wie c$.

Windows erlaubt die Anmeldung an einem entfernten System nur mit einem Benutzer. Daher kommt es häufig vor, dass man eine "aktive" Anmeldung am Server mit seinem normalen Benutzer hat und sich dann nicht mit seinem Admin Benutzer auf die c$ Freigabe zugreifen kann. Hier hilft nur abmelden vom Client und neuanmelden, was ziemlich nervt.

Kennt jemand eine alternative Lösung ?

vor einer Stunde schrieb mwiederkehr:

Will man die Daten schützen, braucht man  einen (einfachen) Web Service dazwischen, welcher die Daten einträgt. Dafür reicht dann im Anmeldescript ein Aufruf von Invoke-WebRequest mit https://srv/log?hostname=x&username=y&action=logon.

Ist vielleicht etwas Off topic dazu, aber womit würdest du solch einen einfaches Webservice erstellen?

Danke, über die Customization Page bin ich auch schon gestoßen. Schön ist das mit dem Description Text nicht. 

Habt ihr die Anforderung noch nie bekommen ? Woher soll der Anwender auch wissen, was als Komplexität gilt, wenn es ihm nicht angezeigt wird?

Guten Morgen,

hat jemand auf der change Password Seite beim ADFS Server einen Text hinterlegt, wie die Kennwortkomplexität aussieht ? Wenn ja, wie habt ihr das am besten gelöst ?

soweit ich weiß unterstützt chrome/chromium die file:// Pfade nicht mehr. 

Siehe:

https://support.google.com/gsa/answer/2664790?hl=en

vor 9 Stunden schrieb daabm:

Siehe Hinweis von @Sunny61, das würde ich als erstes umsetzen. Und "Lokale Anmeldung" an Clients läßt sich in den Eventlogs von Domain Controllern NICHT überwachen, das muß clientseitig passieren. Einfachstes Beispiel für "warum geht das nicht": Cached Credentials.

Ok danke. Ich habs befürchtet.

vor einer Stunde schrieb NorbertFe:

Wäre es nicht einfacher zu _definieren_, wo sich diese sensiblen Konten überhaupt anmelden _dürfen_?

Der Ansatz ist nachvollziehbar. Allerdings wissen wir nicht genau, auf welchen Systemen der Account zugreift, bzw. Zugreifen muss. 
 

wie nennt man das, historisch gewachsen. 
 

ps Eventid 4624 beinhaltet leider nicht die Workstation. 

Hallo,

wir möchten gerne für sensible Konten protokollieren, auf welchen Workstations / Servern diese sich anmelden. Dafür haben wir auf den Domänencontrollern die Advanced Audit Policy aktiviert, das erfolgreiche und fehlgeschlagene Logon Events protokolliert werden. Leider taucht hier aber nicht der Workstation Name auf.

Wisst ihr, wie ich den Workstationnamen ebenfalls mit rausbekomme? Theoretisch müsste der Domänencontroller ja sehen, von welchem Client das Kerberos Token angefragt wird.

vor 17 Minuten schrieb Dukel:

Oder die Chance nutzen und gleich ein Monitoring einführen.

Haben PRTG. Wollen aber vom Client aus dezentral prüfen und alarmieren. Unser PRtg ist mit 9000 Sensoren jetzt schon recht groß. 

Hallo,

wir haben hunderte von Maschinen PCs, teils noch Windows XP embedded. Leider gehen uns dort immer mal wieder die Festplatten kaputt. Daher würden wir gerne regelmäßig die Smart Daten einsammeln. 
 

habt ihr eine Idee wie am besten? Am liebsten wäre mir ja ein kleines Tool je System was nicht viel Last verursacht und einmal täglich den Status Irgendwohin zentral meldet. 

vor 4 Minuten schrieb zahni:

con2prt macht nichts Anderes als eine API aufzurufen. Wenn ich mich recht erinnere, geht das auch mit rundll32 printui.dll,PrintUIEntry

Ist sogar dokumentiert:  https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/rundll32-printui

Nur eben nicht alle Drucker löschen.