phatair

Danke euch. Das der ping auch andere Technik nutzt, war mir im Detail nicht klar. Ich dachte der geht tatsächlich nur über den dns. Wins und netbios ist bei uns deaktiviert. Das interessante ist ja, wird der dns Eintrag von service Account über den dhcp vorgenommen (dns Einträge immer dynamisch aktualisieren), wird der bestehende dns Eintrag aktualisiert und der Client steht nur einmal im dns mit der jeweiligen IP (LAN oder WLAN). Stellt man am dhcp es so ein (dns Eintrag nur noch Aufforderung von dhcp clients dynamisch aktualisieren) und der Client trägt sich selber ein, dann steht der Client zweimal im dns (einmal mit LAN und einmal mit der WLAN IP). In diesem Fall gibt ein nslookup auch beide Einträge zurück und da frage ich mich eben, ob die korrekte Namensauflösung nur zu 50% funktioniert oder wie entschieden wird welcher dns Eintrag der aktuelle/ korrekte ist. Wir haben genau deswegen ein Termin mit unserem Consultant. Dachte mir nur, vielleicht hat hier ja schon vorab eine Idee, weil das vielleicht ein bekannte Thema ist. LG

Hallo zusammen, Ich hoffe es ist ok, wenn ich mich hier mal einklinke. Wir haben tatsächlich auch ein paar file shares auf die über einen dns alias zugegriffen wird. Auch wir haben weder einen spn angepasst noch netdom bzw die regkeys eingetragen. Es handelt sich hier um server 2019. Fragen: - Kann man prüfen warum bei uns die Zugriff trotzdem sauber funktionieren? Sehe ich ob es ein ntlm fallback gibt? - registriert man den spn mit dem setspn? - führt man den Befehl auf dem betroffenen Server oder dem dc aus? Danke euch und mal wieder das Grundwissen aufgefrischt😇

Ja, da hat ms sich mal wieder was geleistet. In deren Screenshot war tatsächlich powerpoint.exe gestanden und das bsi hat das 1:1 so in deren Warnung übernommen. Bis jetzt haben wir auch keine Probleme festgestellt und verteilen die regkeys jetzt an alle. Soweit ich das richtig verstehe, verhindern die keys doch, das aus der engine vom ie11 subprozesse gestartet werden (z.b. dann word, excel, usw). Es hieß ja, dass es Probleme mit office geben könnte. Das verstehe ich dann nicht, da die regkeys ja für den ie gelten. Oder verdrehe ich da was?

Du meinst, dass der dhcp der Firewall die dns Einträge im Windows dns vornimmt und man dort den Service Account hinterlegt? Wir setzen fortigate ein und da ist mir aktuell nichts bekannt. Aber guter Hinweis, wir werden bei fortinet mal ein Ticket dazu eröffnen. Kann jemand bestätigen, dass es normal ist das mehrere dns Einträge von demselben Client erstellt werden, wenn der Client selber die dns Einträge vornimmt? Ich frage mich nur, wie dann die Namensauflösung funktioniert. Das Verhalten ist aktuell wie folgt. Client ist mit LAN und später mit WLAN verbunden. Im dns steht der Client dann zweimal drin, einmal mit der LAN IP und dann nochmal mit der wlan IP. Nun ist der Client wieder mit LAN verbunden. Ich habe von 3 clients einen ping auf den Namen ausgeführt, wurden alle korrekt aufgelöst. Gibt es eine Logik die prüft welcher von den beiden dns Einträgen aktuell/ erreichbar ist? Kann ich mir eigentlich nicht vorstellen. Aber war es dann nur Zufall, dass alle 3 Tests richtig aufgelöst haben? Ich hätte erwartet, dass per Zufall zwischen den beiden dns Einträgen gewählt wird und man löst der dns auf die aktuelle IP auf und mal nicht.

Noch ein kleines Update Werden die DNS Einträge vom Service Account, der im DHCP hinterlegt ist, eingetragen, werden die DNS Einträge aktualisiert. So zum Beispiel wenn ein Notebook von LAN zu WLAN wechselt. Werden die DNS Einträge direkt vom Computer Objekt geschrieben, wird der bestehende DNS Eintrag nicht aktualisiert, sondern man hat 2 Einträge im DNS. Der DNS Eintrga von einem Notebook hat dann eben einmal die LAN und einmal die WLAN IP im DNS hinterlegt. Ich würde jetzt vermuten, dass es dann ja Zufall ist ob bei der Namensauflösung die WLAN oder LAN IP genommen wird. Oder gibt es da eine Logik? Das ist mir jetzt nur beim testen aufgefallen. Ändert aber nichts daran, dass ich für den VPN das Computer Objekt in der ACL benötige. Hat da niemand eine Idee, wie man das automatisieren kann, dass automatisch noch das Computer Objekt in der ACL vom DNS Eintrag steht? Ich wäre für Hilfe sehr dankbar :)

Hallo zusammen, es gibt aktuell eine Zero Day Sicherheitslücke und für bestimmte Office Anwendungen noch kein Patch. Es muss manuell ein RegKey eingetragen werden. "Nebenwirkungen" sind noch keine bekannt. Wir testen gerade Quelle: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884 Visio.exe https://aka.ms/Storm-0978 https://www.borncity.com/blog/2023/07/13/office-und-windows-html-rce-schwachstelle-cve-2023-36884-erlaubt-systembernahme/#comment-152256

Hallo zusammen, wir haben folgende Konfig bei uns - 2 DHCP Server im Failover Betrieb - DNS Einstellung im DHCP Scope sieht wie folgt aus - Service Account im DHCP hinterlegt für die DNS Registrierung Bis vor kurzem hatten wir bei den DNS Einstellungen noch "DNS Einträge immer dynamisch aktualisieren" aktiviert und alle Einträge wurden durch den Service Account erstellt und dieser war auch in der ACL eingetragen. Nun hatten wir folgendes Problem. Unsere VPN Clients erhalten die IP nicht vom internen DHCP, sondern von der Firewall. Damit haben diese Clients sich immer versucht selber in den DNS Einzutragen und konnten den bestehenden Eintrag nicht ändern, da dort ja der Service Account hinterlegt war. Hat man den DNS Eintrag gelöscht, konnte der Client sich aus dem VPN im DNS eintragen, aber wenn der Client dann wieder im internen LAN war hatten wir wieder das Problem, da dann das Computer Objekt in der ACL vom DNS Eintrag stand und der Service Account diesen nicht ändern konnte. Deshalb haben wir die Einstellung auf oben geändert, damit die Windows Clients immer ihre DNS Einträge selber vornehmen und damit die Änderung vom VPN und LAN funktioniert. So richtig sauber läuft das aber nicht, da doch immer mal wieder ein Client vom DHCP Service Account eingetragen wird. Ich habe dann diesen MS Beitrag dazu gefunden. https://social.technet.microsoft.com/wiki/contents/articles/51810.windows-server-integration-between-dns-and-dhcp.aspx Hier geht es genau um unsere Problematik Genau diese Idee hatte ich auch, es müsste einfach für jeden DNS Eintrag automatisch das Computer Objekt zusätzlich in die ACL eingetragen werden. Dann hätte ich den Service Account und das Computer Objekt in der ACL und der DNS Eintrag könnte aus dem VPN und aus dem LAN vom Client geändert werden. Es wird dort auch ein Script erwähnt, aber das ist leider nicht mehr verfügbar. Hat von euch jemand eine Idee wie ich das realisieren könnte? Ein Script wäre zwar ganz nett oder setzt man da die Berechtigung direkt im Schema/DNS, damit neu erstelle Einträge gleich das Computer Objekt in die ACL eingetragen bekommen? Vielen Dank und Grüße

Vielen Dank. Die Info habe ich tatsächlich immer gründlich ignoriert Danke für eure Hilfe.

Hi Evgenij, ich hatte mich auf die grün markierte Antwort in dem Thread bezogen Du hast Recht, dass auch das im nächsten Beitrag erwähnt wird. Ich hatte bei uns geprüft ob die audit.csv in der DDP vorhanden ist. Das war sie nicht und ich habe habe sie erstellten lassen, in dem ich eben eine Änderung gemacht habe und diese dann wieder auf default zurückgesetzt habe. Nun gibt es die audit.csv. Sorry - diese Info hatte ich komplett vergessen. Es ist nun aktuell so - In einer dedizierten GPO wird das advanced Audit Policies gesetzt. - Auf dem entsprechenden Server sehe ich die GPO Einstellungen im gpedit.msc und im rsop.msc nicht - Im gpresult -h "html file" und mit auditpol /get /category:* sehe ich die Einstellungen Es wird ja auch das Security EventLog gefüllt, ich hätte einfach erwartet das ich diese Einstellung im gpedit.msc sehe, oder zumindest im rsop.msc. Aber anscheinend macht MS da was es will. Einige GPO Einstellungen werden in der gpedit.msc angezeigt (z.B. in den Sicherheitsoptionen mit dem geänderten Icon) und andere nicht. VG

Hallo zusammen, danke euch. Ich hatte das nicht in einem offiziellen MS Dokument gelesen, diese Behauptung hatte jemand im MS Forum aufgestellt https://learn.microsoft.com/en-us/answers/questions/123130/advance-audit-policy-no-longer-applying-after-runn Mir ist klar, dass ich mit gpedit.msc die lokalen Richtlinien sehe und diese von den Domain Policies überschrieben werden. Ich dachte nur, dass ich die Advanced Audit Policy "Überschreibungen" in der gpedit.msc sehe (wie z.B. in den Sicherheitsoptionen ja zu sehen ist, das Icon ändert sich). Ich hätte aber zumindest erwartet, dass es im rsop.msc zu sehen ist. Aber auch dort sehe ich die Änderungen nicht. Laut dem oben verlinkten Artikel verstehe ich das auch so, oder stehe ich komplett auf dem Schlauch? Gruß

Hallo zusammen, ich habe folgendes Problem. Ich habe eine neue GPO erstellt in der ich die Advance Audit Policy konfiguriert z.b. für File Zugriff aktiviert habe. Ebenso habe ich folgende Einstellung in den Sicherheitsoptionen aktiviert -> Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen (Windows Vista oder höher), um Kategorieeinstellungen der Überwachungsrichtlinie außer Kraft zu setzen Wenn ich diese GPO nun auf den betroffenen Server aktiviere und mir dort per gpedit.msc die GPO Einstellungen anzeigen lasse, stehen weiterhin alle Advance Audit Policys auf nicht konfiguriert. Prüfe ich die Einstellung per auditpol /get /category:*, sehe ich das sie aber korrekt eingestellt sind. Ich habe nun gelesen, dass man die Advance Audit Policy nur in der Default Domain Policy aktivieren soll, damit es eben in der lokalen gpmc sichtbar ist. Das kann ich mir aber nicht vorstellen und hatte das auch getestet, war trotzdem nicht sichtbar. Kennt jemand das Problem und weiß wie ich es lösen kann?

Na sauber, dann hab ich ja mal schön mit Unwissenheit geglänzt Danke.

Danke - das war einfach :) Dann ist es bei uns tatsächlich über Kerberos abgesichert Dann muss ich hier mal noch etwas Suchen, damit ich das verstehe. Scheint dann ja doch "out of the Box" zu funktionieren, da ich nicht wüsste das hier bei uns etwas in der Richtung konfiguriert wurde. Dann erklärt es aber das Verhalten. Danke!

Hi Evgenij, die Frage ist vielleicht etwas peinlich, aber wie kann ich das prüfen? Bei uns ist RDP nur mit "Network Level Authentication" aktiviert, aber das hat ja erstmal nix mit Kerberos zu tun. Das was ich jetzt gefunden habe, scheint es ja nicht "out of the box" mit Kerberos abgesichert zu sein, daher würde ich jetzt bei uns mal sagen - das ist nicht der Fall.

Es wird nicht gesagt das der Name nicht stimmt, sondern das dem Zertifikat nicht vertraut wird, da die Root CA nicht in den trusted root certificates vorkommt (was ja auch korrekt ist), wenn ich mich per IP verbinde, sehe ich , dass es vom Server selber für sich ausgestellt ist. Auch der Zertifizierungspfad stimmt nicht und ist self signed. Ich könnte jetzt natürlich die Zertifikate für das RDP aktivieren und dann so prüfen ob das richtige Zertifikat gezogen wird. Aber das erklärt dann trotzdem noch nicht warum ich keine Meldung beim self signed Zertifikat per DNS Namen erhalte :( Aber wenn per IP dann das richtige Zertifikat (das von unserer PKI) gezogen wird, müsste es beim DNS Namen ja auch verwendet werden, oder?

Hi Evgenij, danke für den Tip. Das heißt also wenn der RegKey AuthenticationLevelOverride mit dem Wert 0 besteht, kommt die Meldung nicht, richtig? Aber der Key AuthenticationLevelOverride ist nicht vorhanden, somit sollte die Meldung doch erscheinen. Vor allem erscheint Sie auch, wenn ich per IP die RDP Verbindung aufrufe. Nur per DNS Name wird die Warnung nicht angezeigt. Nun kann man natürlich sagen, ist doch gut - aber ich würde gerne wissen warum Sie nicht angezeigt wird :) Wir wollen dann die Zertifikate für die RDP Verbindung verteilen und so könnte ich gar nicht sehen ob jetzt das korrekte Zertifikat genommen wird, da die Meldung ja so oder so nicht erscheint.

Hallo zusammen, irgendwie stehe ich gerade auf dem Schlauch und hoffe mir kann jemand helfen :) Wir haben zwar eine eigene interne PKI und hier auch schon ein Template für die RDP Zertifikate erstellt, aber aktuell haben wir für die RDP Zugriffe noch keine Zertifikate verteilt/konfiguriert. Es ist also nur das self signed Zertifikat auf den jeweiligen Server vorhanden. Nun würde ich erwarten, dass bei einem RDP Zugriff auf einen Server die bekannte Zertifikatsmeldung erscheint. Das tut es aber nicht. Ich kann mich einfach verbinden. Verbinde ich mich über die IP, kommt die Meldung und es wird das self signed Zertifikat erwähnt. Nun habe ich die Info gefunden, dass (falls man bei der Zertifikatsmeldung "nicht noch mal Fragen" angehakt hat) der Hash Wert vom Zertifikat dann im RegKey HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Servers gespeichert wird. Das habe ich geprüft, dort steht aber nichts drin. Mich wundert nun, warum aktuell die Meldung bei uns nicht erscheint, wenn wir per DNS Name uns auf die Server per RDP schalten. Hat jemand eine Idee woran das liegen kann? Kann man das irgendwo deaktivieren oder verstehe ich hier irgendwas falsch? ich habe auch schon das RemoteDesktop self signed Zertifikat auf einem Server gelöscht und neu erstellen lassen. Zugriff geht weiterhin ohne Zertifikatsmeldung. Vielen Dank. Grüße

Den Beitrag hatte ich doch glatt übersehen. Danke! Bezüglich der MS Sicherheits-Bulletins - das habe ich auch gelesen. Aber das scheint nur für Enterprise Kunden zu sein, da nur M365 E Lizenzen davon profitieren. Wir haben aber M365 Business Lizenzen und sind somit raus. Finde ich eine Frechheit, aber was soll man machen. Wir schauen uns halt immer verstärkt nach MS Alternativen um.

Danke euch. Ich werde das mal beobachten. Wir lassen jetzt die granulare Berechtigung. Wir monitoren die Server alle und die DCs langweiligen sich sehr. Mal schauen ob sich das ändert, wenn ja weiß ich ja wo ich hin fassen muss.

Danke Evgenij, war auch mein Bauchgefühl, aber war etwas verunsichert weil es so merkwürdig konfiguriert war. Dann habe ich jetzt noch ein bisschen was am Freitag zu tun :) Schönes WE. Jetzt habe ich doch noch eine Frage. Wenn ich die Audit Einträge so granular mache und für jede Klasse eigene Berechtigungen erstelle, komme ich auf 10 Einträge. Dann informiert mich aber Microsoft, dsas dies zu Problemen führen kann und zeigt mir diese Warnung an. Die Einträge setzen wir auf die oberste Domänenebene. Gehe ich richtig in der Annahme, dass hier 10 Einträge kein Problem sind? Ich wüsste nicht wie ich die zusammenfassen soll.

Hallo zusammen, ich bin gerade dabei das AD Audit zu überarbeiten, da wir ein Tool einführen mit dem wir die Überwachung verbessern. Nun ist es so, dass ein ehemaliger Kollege die SACL der Objekte so konfiguriert hatte, dass dort alle Klassen aktiviert sind. Das ist laut unserem Tool unnötig, da wir gezielte Klassen überwachen wollen und es gibt genaue Vorgaben welche man aktivieren soll. Ist es von Nachteil, wenn im Audit alle Klassen wie "Benutzer-Objekt erstellen", "Computer-Objekt erstellen", "msExchOmaDataSoruce-Objekt erstellen", usw. aktiviert ist? Macht das z.B. Performance Probleme oder ähnliches oder kann man sagen, macht Sinn, da man dann wenigstens alle Infos hat und abfragen könnte? Ich hätte jetzt gesagt, ich passe Sie an und wir protokollieren nur das mit, was wir auch benötigen. Danke euch. Gruß, Steffen

Das habe ich mich auch schon gefragt, aber noch nichts passendes gefunden. Ich schaue meistens bei Heise, Born und bei MS im Message Center Danke - dann werde ich mal schauen ob ich es komplett verstehe und dann aktivieren :)

Hallo zusammen, ich weiß das dieser KB schon älter ist, aber aktuell prüfen wir die Logs um zu prüfen ob wir hier Probleme haben/bekommen. Das erzwingen des Enforcement modes wurde auf Januar 2024 verschoben. Im KB Beitrag sind die EventIDs aufgeführt, die man prüfen soll. Nun ist es so, dass bei uns auf jedem der DCs beim Neustart folgende EventIDs geschrieben werden. Diese sind auch in den aufgelisteten EventIDs vorhanden Quelle: ActiveDirectory_DomainService Event-ID 3054 Die Info von MS dazu lautet "Mode Change Events – temporary removal of Implicit Owner rights" "Events that occur when bit 29 of the dSHeuristics attribute is changed, which changes the mode of the temporary removal of Implicit Owner rights portion of the update." Quelle: ActiveDirectory_DomainService Event-ID 3051 Die Info von MS dazu lautet "Mode Change Events – Additional AuthZ verification for LDAP Add operations" "Events that occur when bit 28 of the dSHeuristics attribute is changed, which changes the mode of the Additional AuthZ verifications for the LDAP Add operations portion of the update." Ich würde das jetzt aber so verstehen, dass dies nur Info sind zum einen über die neuen Berechtigungen informieren und dass man den enforcement mode aktivieren sollte um die bestmögliche Sicherheit zu erhalten. Die wirklich kritischen EventIDs wären die, die unter "Audit mode events" -> "Events that occur in Audit mode to log potential security concerns with an LDAP Add or Modify operation." gelistet werden (also 3047 - 3049 + 3056 und 3044 - 3046). Wie handhabt ihr das? Habt ihr den enforcement mode manuell aktiviert oder wartet ihr bis MS das aktiviert? Das manuelle aktivieren scheint ja nicht so einfach zu sein wie z.b. bei KB5020805, wo man einfach nur ein RegKey setzen muss. Hier muss ich ja wohl Attribute im AD anpassen. Oder verstehe ich das komplett falsch? Vielen Dank. Gruß, Steffen

Danke an alle. Vielleicht hatte ich mich mit der Aussage "In deinem verlinkten Artikel wird die Dokumentation und die Tests genannt, aber das würde ich bei unseren minimalen Berechtigungen vernachlässigen." etwas schlecht ausgedrückt. Ich wollte damit keinesfalls sagen, dass es für mich sinnlos ist, sondern bei einer Berechtigung auf 1 OU (wie in unseren aktuellen Fällen) ich es persönlich nicht so gravierend finde. Sinn macht es natürlich schon, auch diese Berechtigungen zu dokumentieren, da gebe ich euch vollkommen Recht. Grundsätzlich bin ich für die Tipps und die Hilfe hier immer sehr dankbar. Alles können wir nicht 1:1 umsetzen, aber es hilft sehr Prozesse zu optimieren. Ich werde mir die Tools anschauen und eure Ratschläge zu Herzen nehmen. Gerade der Punkt "code reuse" ist auch sinnvoll, wenn man die Berechtigungen nicht so oft macht. Dann hat man einfach etwas vorgefertigtes, spart Zeit und reduziert Fehler. Ich habe die Einwände also verstanden. Das nächste Mal versuche ich meine Nachfrage gezielter zu stellen, dann vermeiden wir hoffentlich die OT Diskussion Danke auch für die Info Links und das Tool Liza.

Hi Norbert, hast du einen schlechten Tag gehabt oder warum reagierst du so negativ und sarkastisch? Nein, es ist mir nicht egal und ich frage nicht nach, um zu hören, dass ich die gui nutzen soll. Verstehe überhaupt nicht wie du darauf kommst. Dann würde ich es einfach machen und nicht nach dem Grund fragen. Ich brauche doch nicht das ok von jemanden. Ich habe erklärt, dass meine Berechtigungen minimal sind und es könnte ja sein, dass eure Meinung zu der Berechtigung vor allem auf große Änderungen in komplexen Umgebungen beruht. Aber gut. Lassen wir das Thema einfach. Ich habe manchmal echt das Gefühl, wenn man hier etwas nachfragt, dass sich einige Personen hier immer angegriffen fühlen und man Sie und ihre Antwort in Frage stellt. Das habe ich in keiner Weise getan und wollte einfach nur wissen warum eine Aussage so drastisch formuliert wurde (NIE die gui verwenden). Habe es soweit verstanden. Danke. Gruß, Steffen