Jump to content

xrated2

Members
  • Content Count

    193
  • Joined

  • Last visited

Community Reputation

13 Neutral

About xrated2

  • Rank
    Newbie

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Via lokaler Gruppenrichtlinie kann ich nichts mehr einstellen wenn Manipulationsschutz aktiviert ist
  2. Hallo wie geht ihr eigentlich mit dem neuen Feature um? Wenn das an ist kann man ja gar nichts mehr über GPO verwalten, geschweige denn das Feature deaktivieren. Man kann ohne Intune auch zentral keine zusätzlichen Einstellungen wie PUA, Geschützte Ordner etc. verteilen weil die Default aus sind oder angepasst werden müssen. https://techcommunity.microsoft.com/t5/Microsoft-Defender-ATP/Tamper-protection-in-Microsoft-Defender-ATP/ba-p/389571
  3. So, also AlwaysOn geht bei Win Pro ja nicht aber dafür ist es leider möglich das sich der User im LAN mit dem VPN verbindet was ja wieder seltsame Effekte haben kann. Gibts da keinen Mechanismus um VPN im LAN zu unterbinden?
  4. Hallo ich hatte mehrere PC umbenannt und bei einem gibt es ein Problem. Die Umbenennung erfolgte mit meinem Adminprofil und im AD in der Computer OU und in meinen Profil sehe ich auch den richtigen Namen. Nur wenn sich der User an dem PC anmeldet sieht er noch den alten Namen. Der PC bringt mit diesem Userprofil auch die Meldung das er keinen Kontakt zum DC herstellen könne, deswegen funktionieren auch keine neuen Policies. Die Namensauflösung zum DC funktioniert aber. Das einzig auffällige im AD was ich sehe das exakt um 00:00 die DFSR Replikation abbricht aber nach 3sek steht im Log das die Verbindung wieder da ist. Was ich nicht kontrolliert habe wann der PC neugestartet wurde, könnte sein das der PC erst 1 Tag später (an einem anderen Standort) rebootet wurde. Könnte das ein Problem sein und wie lässt sich das ganze beheben? Nochmal umbenennen?
  5. https://oli.new-lan.de/2016/04/fiese-gpo-mit-wsus-windows-10-aktivierung-schlaegt-fehl/
  6. Die Community oder AS Variante von OpenVPN? Ich hatte das auch schon mal hier geschrieben: https://forums.openvpn.net/viewtopic.php?t=28293 Es funktionierten nicht nur verschiedene OU nicht sondern auch keine gesicherte LDAP Verbindung. Wegen dem MS VPN und EAP-PEAP-MsChapV2 vs. EAP-MsChapV2 scheint ersteres sicherer zu sein. Das ist bei MS so schlecht ersichtlich das ich vorher meinte das EAP-PEAP ohne MsChapV2 wäre. Und mit "Smartcard oder anderes Zertifikat" ist EAP-TLS gemeint, dass läuft mit Clientzertifikat aber ohne User/Pass. Wenn man als Client nur das Zertifikat hat, finde ich nicht grade sicher. Aber bei den anderen Typen mit User/Pass habe ich es nicht geschafft eine Verbindung herzustellen ohne das CA Zertifikat am Client zu haben. Bei add-vpnconnection kann man noch eine xml config für PEAP mitgeben, siehe: https://pcloadletter.co.uk/2013/12/31/powershell-for-eap-peap-secured-vpn-on-windows-8-1/ Schade das man bei NAP relativ wenig abfragen kann bei der Netzwerkrichtlinie z.B. Hersteller vom VPN Client wäre schön.
  7. Mir ist eigentlich nur bekannt das man für VPN kein PPTP / MsChap (nthash) mehr verwenden sollte. SSTP soll ziemlich sicher sein und wird auch selten geblockt wie z.b. bei L2TP. Bei WIFI soll auch PEAP/EAP mit MsCHAPv2 kritisch sein wenn man es abhören kann. Vor allem würde mich auch interessieren, bei EAP/PEAP soll es nur auf das Serverzertifikat ankommen und der Client braucht kein eigenes. Heisst das jetzt das die Verbindung nur klappt wenn der Client das Serverzertifikat vor der Verbindung schon hat oder ist das nur wie beim aufrufen einer Webseite das der Client weiß das das Zertifikat gültig ist? Also beim MS VPN Client kann man zwar keine Verbindung aufbauen wenn der Client das Zertifikat nicht hat aber vielleicht gibt es auch andere VPN Clients mit SSTP z.b. Softether die die Verbindung ohne Zertifikat zulassen? Momentan läuft OpenVPN, das hat in Sachen Usability auch einige Nachteile. Aber wäre das sicherer mit Userzertifikaten und Abfrage von User/Pass aus Linux passwd? Ich habe auch mal versucht OpenVPN mit LDAP zu AD verbinden aber hatte es nicht geschafft User aus mehreren OUs abzufragen, nur aus einer einzelnen.
  8. Hallo ich mache mal der Übersichthalber einen neuen Thread auf. Bei MS VPN hat man die Wahl für mehrere Methoden unter Sicherheit. Die normalen wie PAP, CHAP, MS-CHAP v2 (ohne EAP) lasse ich jetzt mal weg. Laut NAP sind die alle weniger Sicher. Bei EAP zwischen Geschütztes EAP (PEAP) und Gesichertes Kennwort (EAP-MSCHAP v2). Sollte das erste nicht ohne Passwort und nur mit Zertifikat sein? Da kommt trotzdem eine Abfrage User/Pass, ist das so Beabsichtigt? Was von beiden ist jetzt besser? Bei der Einrichtung der VPN Verbindung über add-vpnconnection und AuthenticationMethod EAP stellt der nämlich default EAP-MSCHAP v2 ein. Bei EAP (PEAP) ist mir aufgefallen das an einem PC der nicht im AD gejoined ist die Meldung kommt das die Identität des Servers nicht überprüft werden kann (mit Fingerprint) obwohl ich das Zertifikat der CA und das Zertifikat der Domäne unter Vertrauenswürdige Stammzertifizierungsstellen bei den Computerzertifikaten abgespeichert habe. Wie das bei PCs im AD ist, bzw. ob da auch die Meldung kommt, habe ich noch nicht probiert. Im NAP habe ich eingestellt bei : Anforderungsrichtlinie - Authentifizierungsmethode: EAP - EAP-Methode: EAP-PEAP sowie EAP-MSCHAP v2 Netzwerkrichtlinie - Authentifizierungstyp: EAP - Zulässige EAP-Typen: 1. MS Geschütztes EAP (PEAP) mit Subkategorie Gesichertes Kennwort (EAP-MSCHAP v2) 2. Gesichertes Kennwort (EAP-MSCHAP v2)
  9. Ich habe noch etwas festgestellt bzgl dem Fall wenn die VPN Clients ein eigenes Subnet bekommen sollen was es nur auf dem VPN Server gibt. Hier im Beispiel LAN Netzwerk 192.168.3.0 und VPN Netzwerk 192.168.201.0. Wenn man im Routing&RAS den Relay Agent konfiguriert und auf einen anderen DHCP Server verweist, dann werden von dort die DHCP Optionen bezogen. Auch wenn man für VPN ein anderes Subnet als das LAN Netzwerk benutzt. Man muss im externen DHCP Server natürlich auch den entsprechenden VPN Range anlegen. Ich habe Static unter Routing&RAS in der Adresszuweisung konfiguriert und dort ein eigenes Subnet für VPN. Unter DHCP Relay Agent steht als Interface dort nur Intern, externe Anfragen auf dem LAN Interface gibt es dabei nicht. Wenn man unter Adresszuweisung von Static auf DHCP umstellt, ist ein anderes Subnet für VPN wohl leider gar nicht möglich, wenn Routing&RAS nicht dieses Subnet auf einem Interface hat und weil man auch nicht einstellen kann auf welchem Interface VPN laufen soll. Damit hat sich dann auch die Verwendung von Add-VpnConnectionTriggerDnsConfiguration und Add-VpnConnectionRoute erübrigt da man dies in den DHCP Optionen festlegen kann. Die Route zum LAN Netzwerk 192.168.3.0 ist noch etwas besonders, da man nicht weiß welche IP der Client im VPN Netz zugewiesen bekommt, welche als Gateway dient. Es gibt zwar die Option "IP verwenden, die Clients zugewiesen ist", allerdings ist die Maske nur für den Host d.h. 255.255.255.255 und damit funktioniert die Route nicht. Wenn man da einfach irgendeine IP aus einem anderen Netz eingibt z.B. 1.1.1.1 dann trägt hier der Client die richtige IP, also seine eigene ein. Ob das letztendlich Windows 10 oder der Server macht, habe ich nicht überprüft. Also z.b. aus der eingetragenen Route: 192.168.3.0 255.255.255.0 1.1.1.1 wird dann unter Windows 10 folgendes eingetragen: 192.168.3.0 255.255.255.0 192.168.201.101
  10. https://www.heise.de/security/meldung/Lojax-Der-Spion-der-aus-dem-BIOS-kam-4175535.html
  11. Und wieso wird die nicht einfach gelöscht und wiederverwendet? Bei größeren Firmen scheinen die Kosten wohl keine Rolle zu spielen.
  12. Na die Einstellung bezieht sich ja nur auf identifizierte Netzwerke, sobald es auf Privat steht könnte der User das doch wieder ändern sofern nicht die Systemsteuerung gesperrt ist. Und mir ist auch aufgefallen das diese Meldung sogar nach einem Reboot von Windows Server kam, dass kann doch nicht so geplant sein von MS? Da stand nämlich der Netzwerkadapter von 2019 Essentials auf Public ohne Abfrage. Bei 2019 Std. kam eine Meldung das ein neues Netzwerk da wäre. Hatte alle Server eine zeitlang heruntergefahren gehabt.
  13. Eine SSD shreddern ist aber nicht grade ökologisch
  14. bis vor kurzem ging bei mir noch Send detect now und Report now, jetzt kommt nur noch "error" beim Client habe ich in der Firewall das freigeschalten: https://docs.microsoft.com/de-de/windows/win32/wua_sdk/using-wua-from-a-remote-computer?redirectedfrom=MSDN geht das seit 1903 auch nicht mehr?
×
×
  • Create New...