Jump to content

xrated2

Members
  • Content Count

    199
  • Joined

  • Last visited

Everything posted by xrated2

  1. Ok das ist neu, gar nicht gewusst. Aber leider nur einen einzelnen. Macht nicht viel Sinn da einen DNS vom anderen Subnet einzutragen, ist das VPN Down geht nichts mehr. Oder man macht einen DNS Server auf das NAS mit forward, aber das ist auch nicht viel besser. Aber wahrscheinlich eh egal weil der Repeater das ignoriert. Was für ein gefummel....
  2. Mache ich bei allen Policies so, steht ja auch nichts geheimes drin.
  3. Wer installiert heute für 12 User noch Exchange? Also da würde ich mich auch deutlich beschränken, kannst du den Umfang nicht selbst festlegen?
  4. Ja mich nervt das SOHO Geraffel ja selber aber wenns die Leute so haben und nicht ändern wollen...
  5. Also letztens konnte ich über lokale GPO nichts einstellen im Defender, jetzt gehts auf einmal. Aber das man den Manipulationsschutz via GPO nicht an oder ausschalten kann ist auch so eine Sache. Neue Clients haben den default an aber ältere Clients mit Cloud Protection da ist es aus.
  6. Hallo folgendes, 2 Standorte (Zuhause/Firma) über VPN verbunden. In der Firma steht ein AD Server. Damit AD auch Zuhause erreichbar ist muss der Client über entsprechende DNS Settings verfügen. Zuhause gibts nur Router+NAS. Weil man auf der Fritzbox im DHCP Server keine DNS Server einstellen kann, habe ich den DHCP Server auf das NAS gezogen. Das funktioniert prinzipiell nur leider gibts einen Devolo Repeater der alle DHCP Optionen ignoriert und sich selbst als DNS Server ausgibt und einfach so alle Anfragen ans GW weiterleitet. Der Support meint das ist normal! Habt ihr noch eine andere Idee ausser auf dem Client die DNS settings manuell einzustellen? In der Fritzbox unter Internet die DNS Server einzustellen bringt ja auch nichts
  7. Via lokaler Gruppenrichtlinie kann ich nichts mehr einstellen wenn Manipulationsschutz aktiviert ist
  8. Hallo wie geht ihr eigentlich mit dem neuen Feature um? Wenn das an ist kann man ja gar nichts mehr über GPO verwalten, geschweige denn das Feature deaktivieren. Man kann ohne Intune auch zentral keine zusätzlichen Einstellungen wie PUA, Geschützte Ordner etc. verteilen weil die Default aus sind oder angepasst werden müssen. https://techcommunity.microsoft.com/t5/Microsoft-Defender-ATP/Tamper-protection-in-Microsoft-Defender-ATP/ba-p/389571
  9. So, also AlwaysOn geht bei Win Pro ja nicht aber dafür ist es leider möglich das sich der User im LAN mit dem VPN verbindet was ja wieder seltsame Effekte haben kann. Gibts da keinen Mechanismus um VPN im LAN zu unterbinden?
  10. Hallo ich hatte mehrere PC umbenannt und bei einem gibt es ein Problem. Die Umbenennung erfolgte mit meinem Adminprofil und im AD in der Computer OU und in meinen Profil sehe ich auch den richtigen Namen. Nur wenn sich der User an dem PC anmeldet sieht er noch den alten Namen. Der PC bringt mit diesem Userprofil auch die Meldung das er keinen Kontakt zum DC herstellen könne, deswegen funktionieren auch keine neuen Policies. Die Namensauflösung zum DC funktioniert aber. Das einzig auffällige im AD was ich sehe das exakt um 00:00 die DFSR Replikation abbricht aber nach 3sek steht im Log das die Verbindung wieder da ist. Was ich nicht kontrolliert habe wann der PC neugestartet wurde, könnte sein das der PC erst 1 Tag später (an einem anderen Standort) rebootet wurde. Könnte das ein Problem sein und wie lässt sich das ganze beheben? Nochmal umbenennen?
  11. https://oli.new-lan.de/2016/04/fiese-gpo-mit-wsus-windows-10-aktivierung-schlaegt-fehl/
  12. Die Community oder AS Variante von OpenVPN? Ich hatte das auch schon mal hier geschrieben: https://forums.openvpn.net/viewtopic.php?t=28293 Es funktionierten nicht nur verschiedene OU nicht sondern auch keine gesicherte LDAP Verbindung. Wegen dem MS VPN und EAP-PEAP-MsChapV2 vs. EAP-MsChapV2 scheint ersteres sicherer zu sein. Das ist bei MS so schlecht ersichtlich das ich vorher meinte das EAP-PEAP ohne MsChapV2 wäre. Und mit "Smartcard oder anderes Zertifikat" ist EAP-TLS gemeint, dass läuft mit Clientzertifikat aber ohne User/Pass. Wenn man als Client nur das Zertifikat hat, finde ich nicht grade sicher. Aber bei den anderen Typen mit User/Pass habe ich es nicht geschafft eine Verbindung herzustellen ohne das CA Zertifikat am Client zu haben. Bei add-vpnconnection kann man noch eine xml config für PEAP mitgeben, siehe: https://pcloadletter.co.uk/2013/12/31/powershell-for-eap-peap-secured-vpn-on-windows-8-1/ Schade das man bei NAP relativ wenig abfragen kann bei der Netzwerkrichtlinie z.B. Hersteller vom VPN Client wäre schön.
  13. Mir ist eigentlich nur bekannt das man für VPN kein PPTP / MsChap (nthash) mehr verwenden sollte. SSTP soll ziemlich sicher sein und wird auch selten geblockt wie z.b. bei L2TP. Bei WIFI soll auch PEAP/EAP mit MsCHAPv2 kritisch sein wenn man es abhören kann. Vor allem würde mich auch interessieren, bei EAP/PEAP soll es nur auf das Serverzertifikat ankommen und der Client braucht kein eigenes. Heisst das jetzt das die Verbindung nur klappt wenn der Client das Serverzertifikat vor der Verbindung schon hat oder ist das nur wie beim aufrufen einer Webseite das der Client weiß das das Zertifikat gültig ist? Also beim MS VPN Client kann man zwar keine Verbindung aufbauen wenn der Client das Zertifikat nicht hat aber vielleicht gibt es auch andere VPN Clients mit SSTP z.b. Softether die die Verbindung ohne Zertifikat zulassen? Momentan läuft OpenVPN, das hat in Sachen Usability auch einige Nachteile. Aber wäre das sicherer mit Userzertifikaten und Abfrage von User/Pass aus Linux passwd? Ich habe auch mal versucht OpenVPN mit LDAP zu AD verbinden aber hatte es nicht geschafft User aus mehreren OUs abzufragen, nur aus einer einzelnen.
  14. Hallo ich mache mal der Übersichthalber einen neuen Thread auf. Bei MS VPN hat man die Wahl für mehrere Methoden unter Sicherheit. Die normalen wie PAP, CHAP, MS-CHAP v2 (ohne EAP) lasse ich jetzt mal weg. Laut NAP sind die alle weniger Sicher. Bei EAP zwischen Geschütztes EAP (PEAP) und Gesichertes Kennwort (EAP-MSCHAP v2). Sollte das erste nicht ohne Passwort und nur mit Zertifikat sein? Da kommt trotzdem eine Abfrage User/Pass, ist das so Beabsichtigt? Was von beiden ist jetzt besser? Bei der Einrichtung der VPN Verbindung über add-vpnconnection und AuthenticationMethod EAP stellt der nämlich default EAP-MSCHAP v2 ein. Bei EAP (PEAP) ist mir aufgefallen das an einem PC der nicht im AD gejoined ist die Meldung kommt das die Identität des Servers nicht überprüft werden kann (mit Fingerprint) obwohl ich das Zertifikat der CA und das Zertifikat der Domäne unter Vertrauenswürdige Stammzertifizierungsstellen bei den Computerzertifikaten abgespeichert habe. Wie das bei PCs im AD ist, bzw. ob da auch die Meldung kommt, habe ich noch nicht probiert. Im NAP habe ich eingestellt bei : Anforderungsrichtlinie - Authentifizierungsmethode: EAP - EAP-Methode: EAP-PEAP sowie EAP-MSCHAP v2 Netzwerkrichtlinie - Authentifizierungstyp: EAP - Zulässige EAP-Typen: 1. MS Geschütztes EAP (PEAP) mit Subkategorie Gesichertes Kennwort (EAP-MSCHAP v2) 2. Gesichertes Kennwort (EAP-MSCHAP v2)
  15. Ich habe noch etwas festgestellt bzgl dem Fall wenn die VPN Clients ein eigenes Subnet bekommen sollen was es nur auf dem VPN Server gibt. Hier im Beispiel LAN Netzwerk 192.168.3.0 und VPN Netzwerk 192.168.201.0. Wenn man im Routing&RAS den Relay Agent konfiguriert und auf einen anderen DHCP Server verweist, dann werden von dort die DHCP Optionen bezogen. Auch wenn man für VPN ein anderes Subnet als das LAN Netzwerk benutzt. Man muss im externen DHCP Server natürlich auch den entsprechenden VPN Range anlegen. Ich habe Static unter Routing&RAS in der Adresszuweisung konfiguriert und dort ein eigenes Subnet für VPN. Unter DHCP Relay Agent steht als Interface dort nur Intern, externe Anfragen auf dem LAN Interface gibt es dabei nicht. Wenn man unter Adresszuweisung von Static auf DHCP umstellt, ist ein anderes Subnet für VPN wohl leider gar nicht möglich, wenn Routing&RAS nicht dieses Subnet auf einem Interface hat und weil man auch nicht einstellen kann auf welchem Interface VPN laufen soll. Damit hat sich dann auch die Verwendung von Add-VpnConnectionTriggerDnsConfiguration und Add-VpnConnectionRoute erübrigt da man dies in den DHCP Optionen festlegen kann. Die Route zum LAN Netzwerk 192.168.3.0 ist noch etwas besonders, da man nicht weiß welche IP der Client im VPN Netz zugewiesen bekommt, welche als Gateway dient. Es gibt zwar die Option "IP verwenden, die Clients zugewiesen ist", allerdings ist die Maske nur für den Host d.h. 255.255.255.255 und damit funktioniert die Route nicht. Wenn man da einfach irgendeine IP aus einem anderen Netz eingibt z.B. 1.1.1.1 dann trägt hier der Client die richtige IP, also seine eigene ein. Ob das letztendlich Windows 10 oder der Server macht, habe ich nicht überprüft. Also z.b. aus der eingetragenen Route: 192.168.3.0 255.255.255.0 1.1.1.1 wird dann unter Windows 10 folgendes eingetragen: 192.168.3.0 255.255.255.0 192.168.201.101
  16. https://www.heise.de/security/meldung/Lojax-Der-Spion-der-aus-dem-BIOS-kam-4175535.html
  17. Und wieso wird die nicht einfach gelöscht und wiederverwendet? Bei größeren Firmen scheinen die Kosten wohl keine Rolle zu spielen.
  18. Na die Einstellung bezieht sich ja nur auf identifizierte Netzwerke, sobald es auf Privat steht könnte der User das doch wieder ändern sofern nicht die Systemsteuerung gesperrt ist. Und mir ist auch aufgefallen das diese Meldung sogar nach einem Reboot von Windows Server kam, dass kann doch nicht so geplant sein von MS? Da stand nämlich der Netzwerkadapter von 2019 Essentials auf Public ohne Abfrage. Bei 2019 Std. kam eine Meldung das ein neues Netzwerk da wäre. Hatte alle Server eine zeitlang heruntergefahren gehabt.
  19. Eine SSD shreddern ist aber nicht grade ökologisch
  20. bis vor kurzem ging bei mir noch Send detect now und Report now, jetzt kommt nur noch "error" beim Client habe ich in der Firewall das freigeschalten: https://docs.microsoft.com/de-de/windows/win32/wua_sdk/using-wua-from-a-remote-computer?redirectedfrom=MSDN geht das seit 1903 auch nicht mehr?
  21. Hatte das Thema auch, es werden sämtliche Accounts mitgezielt inkl. Administrator etc. Was nicht gezählt wird sind deaktivierte User. Es gibt keine Möglichkeit User bei den Lizenzen rauszunehmen so wie bei den Vorgängerversionen. https://social.technet.microsoft.com/Forums/en-US/f844451a-5bd2-4cbe-a031-86fe514ffabc/server-2019-essentials-user-licensing-limitation?forum=ws16essentials Was sich MS in letzter Zeit alles rausnimmt ist bodenlos.
  22. Nachträglich umstellen kanns der User aber auch unabhängig von der Einstellung oder?
  23. Genau da hatte ich es ja eingestellt aber der User hats trotzdem umgestellt.
  24. Ja genau das! "Benachrichtigung anzeigen" meint das andere Bild oder?
×
×
  • Create New...