zahni

Es könnte etwas mit einer weiteren Härtung. Die Installation von Druckertreibern über diesen Weg ist seit die Bug ein Sicherheitsrisiko. Wir verbinden Drucker generell mit dem Logon-Script (und löschen sie vorher).

Ich denke an den Spooler CVE https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527 Due solltest Generell auf allen Servern den Spooler deaktivieren (außer dem PrintServer). Am Client sollte es die GPO geben, dass nur lokale Verbindungen erlaubt sind. Dann gibt es noch eine GPO, die definiert, von welchem Server Treiber installiert werden dürften. Steht im Link bzw. bei Google. Ich habe jetzt keine Zeit zum Raussuchen,

Falls Ihr die Software irgendwie nutzt: https://www.borncity.com/blog/2025/02/06/cyberangriff-auf-gfos-mbh-zeitwirtschaft-zugriffskontrolle/

Was mit noch einfällt: Unterstützt Windows XP embedded WebDAV? Vielleicht ist da ja eine Alternative.

Der Prozessor hat AVX2. Ist das eine VM? Ist AVX im Bios-Setup aktiviert (falls man es dort abschalten kann)? Bei der CPU sollte ein BIOS-Update mit einem aktuellen Microcode eingespielt werden: https://www.heise.de/select/ct/2024/20/2423208431489855752

Was willst Du denn für Lizenzen installieren?

Ja es lag RequireMutualAuthentication=0 Damit wird NTLM verwendet.

Eine Dumme Frage: Wenn wir im EA-Vertrag jährlich unseren Betrag zahlen, inkl. der E5-Lizenzen, sollte das doch abgedeckt sein?

Aktuell passt alles. Es steht auch wieder "Nego" in den Verbindungsdaten und lt. Kollegen klappt es auch, wenn man am Client NTLM filtert.

Sie waren "nicht erfolgreich". Wir haben 2FA. Und die Konten wurden alle als "lockout" geloggt.

Wenn ich das wüsste. Warten wir mal auf die Ergebnisse vom Test.

Hi, wir kämpfen gerade damit, Exchange Kerberos beizubringen. Unser DL hat da wohl was vergessen. Exchange liegt hinter einem Netscaler. Die initiale Anmeldung scheint nun zu klappen und man bekommt auch ein Kerberos-Ticket zu der URL vom internen Exchange. Im Verbindungsstatus der Mailboxen steht aber "Autologon*". Müsste da nicht "Nego*" stehen? Kollege soll nun mal probieren, auf einem Test-PC NTLM zu blockieren. Mal sehen... Danke im Voraus, -Zahni

Bei uns gab es auch nicht erfolgreiche "fasthttp" Versuche,

Keine Ahnung. Leider kann ich Security-Events nicht wirklich lesen, da für unser SIEM ein sehr ausführliches Logging konfiguriert wurde. Eins nach dem Anderen. Eigentlich hat mein Kollege heute damit angefangen und ich muss was Anderes machen. Natürlich war ich sein Opfer... Edit: Wahrscheinlich liegt es daran. Jetzt muss mein Kollege herausfinden, warum das bei uns auf 0 steht. Da gab es bestimmt einen Grund für... https://woshub.com/cant-access-domain-sysvol-netlogon-folders/

Hi, Aufruf BAT bzw. CMD beim User, Die Ausführung vom Script sieht man, bzw. eben nicht. Es wird synchron ausgeführt. Ich überlege geradem ob das was mit RequireMutualAuthentication zu tun hat.

Hi, unsere IT-Sicherheit meint, wir müssen unsere AD härten. Dabei sollen wir auch Network security: Restrict NTLM: Incoming NTLM traffic Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers aktivieren. Klingt komisch, ist aber so. Neben anderen Dingen, die so nicht funktionieren: Habt Ihr eine Idee, warum so keine Anmeldeskripte mehr ausgeführt werden, die auf der Netlogon liegen? Danke im Voraus. -Zahni

Ich habe gerade nochmal einen Blick in der Header getan. Der interne Server heißt eva... der externe Server britney... Die Fake-Mail hatte als Absender die Gleichstellungsbeauftragte... Es kam aber eine höfliche Antwort auf meine Mail. So, Feierabend.

Falls jemand das CA Web Enrollment benutzt: Das verwendet tatsächlich NTLM, und zwar so, dass sich gute Penetrationstester darüber freuen. Vom Uwe Gradenegger gibt es eine Lösung für Kerberos unter einem Domain-Konto. https://www.gradenegger.eu/en/configure-the-certification-authorities-web-registration-cawe-for-use-with-a-domain-account/

Das macht halt der DL. Eine Mail kam vom oeh-wu.at, mit validem SPF und DKIM. Sind halt Studenten. Oder von std.kyrenia.edu.tr . Auch mit DKIM und DMARC. Der Rest bleibt das Geheimnis von Fortinet.

Hier ist mal wieder die "Nigeria-Connection" aktiv. Gibt es wirklich noch Leute, die darauf reinfallen? Und einer meiner ehemaligen Chefs (vor über 25 Jahren), nervt per Mail mit seinen geistigen Ergüssen. Der ist heute von Beruf "Selbstdenker".

Beantworte bitte meine Frage.

Ja, aber nicht damit.

Der RDS ist also eine virtuelle Maschine? Wie sieht die Hardware aus (Prozessor, RAM, NUMA-Nodes) und die Konfiguration der VMs (VCPU. RAM)?

Es gibt schon von HPE Controller, die deren SSD vollständig unterstützen. Dafür gibt es Kompatibilitätslisten, an die man sich halten muss. Diese Datenträger haben dann oft auch eine angepasste Firmware. In unseren HPE ESXI-Servern haben wir 2 SSD im RAID 1 und über Jahre keinen Ausfall gehabt. Bei den SSD unserer AFF400 ist bisher auch noch keine SSD ausgefallen.

Das könnte auch eine Abfrage vom BIOS oder UEFI sein. Einfach mal in die Settings vom Computer-BIOS oder UEFI schauen.