NorbertFe

Funktioniert die im Garten anders? :)

Die Vermutung ist falsch. Du hast oben in deinem Screenshot ja drin stehen, dass interne (authentifiziert) und externe (anonym) Absender an diesen Verteiler senden dürfen. Ich würde mal schauen, ob die Mails überhaupt bis zur Queue kommen (keine Ahnung, ob man das in O365 überhaupt sehen kann), und würde dort mal einen externen Kontakt reinpacken, von dessen Domain du Admin bist, denn dann würde man ggf. sehen ob es überhaupt Zustellversuche gibt, oder ob der Kram innerhalb von O365 hängen bleibt. Bye Norbert

Nette Sache :) Funktioniert auf jeden Fall und spart das Warten auf die GPMC. Habs jetzt zweimal getestet 1. Neues GPO ohne Verlinkung (check) 2. Bestehendes GPO mit Vorhandener Verlinkung (check)

Hatte der Kram auch noch was gutes. ;) du konntest powershell üben und ich hab seit Jahren mal wieder adm und admx gebastelt. ;) werd mich doch wieder als gpo MVP bewerben. Dann kann ich die ganzen Artikel bei ms ergänzen ;)

Korrekt!

Du suchst Delegation. Dazu gibts ca. 1000 How Tos. :) Bevor man aber alles an eine Gruppe delegiert, sollte man überlegen, ob es nicht sinnvoller ist, die Aufgaben einzeln zu delegieren. Also jeden deiner Stichpunkte einzeln anstatt alles an eine Gruppe. https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/plan/security-best-practices/implementing-least-privilege-administrative-models http://blog.dikmenoglu.de/2008/05/delegierte-berechtigungen-im-ad-verstehen/ http://blog.dikmenoglu.de/2008/06/objektdelegierungen-einrichten/ Domänenadmins haben auf Clients und "Nicht-DCs" nichts zu suchen. Das kannst du dann gleich mit beheben und ihnen die Anmeldung verweigern. Edit sagt: Dokumentation jeder einzelnen Berechtigungsvergabe nicht vergessen.

Ach soweit runter hab ich gar nicht gescrollt :p :)

Anbei noch die admx/adml (bitte .txt entfernen, da die Uploads hier keine zips zulassen) :) PrintNightmare.admx.txt PrintNightmare.adml.txt

Alternativ gibt man das Template einfach im Request mit: certreq -attrib "CertificateTemplate:Webserver-ExtendedValidation" -submit bspw. ;)

Danke für die Schubs in die richtige Richtung. Ist natürlich hilfreich, wenn man am 6.7. was veröffentlicht und dann die Veröffentlichung zurückdatiert. :/

Wenn ich dieses Gepfriemel mit dem Registry Kram sehe, frag ich mich, ob bei MS das Wissen von GPP/GPO usw. inzwischen verloren gegangen ist. "Früher"™ hätten sie entweder gleich ein adm/admx mitgeliefert oder zumindest bereitgestellt. :/ ; ADM Template Creation/Modifying Date: 07.07.2021 09:42:56 ; ADM Template Author: NorbertFe ; ADM Template created by gpaddit ; MCSEBoard.de Class Machine CATEGORY "Drucker" POLICY "CVE-2021-34527 'PrintNightmare'" #IF VERSION >= 4 SUPPORTED !!CVE-2021-34527 #ENDIF EXPLAIN !!Descr_CVE-2021-34527 KEYNAME "Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" PART "Restrict Driver Installation to Administrators" Checkbox VALUENAME "RestrictDriverInstallationToAdministrators" VALUEON NUMERIC 1 VALUEOFF NUMERIC 0 END PART END POLICY ;CVE-2021-34527 'PrintNightmare' END CATEGORY ;Drucker [STRINGS] CVE-2021-34527="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527" Descr_CVE-2021-34527="https://support.microsoft.com/de-de/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7\n\nSecurity updates released on and after July 6, 2021 contain protections for a remote code execution exploit in the Windows Print Spooler service known as 'PrintNightmare', documented in CVE-2021-34527. After installing these and later Windows updates, non-administrators are only allowed to install signed print drivers to a print server. By default, administrators can install both signed and unsigned printer drivers to a print server. Signed drivers are trusted by the installed root certificates in the system's Trusted Root Certification Authorities.\n\nWe recommend that you urgently install the July 2021 Out-of-band updates on all supported Windows client and server operating systems, starting with devices that currently host the print spooler service. In addition, optionally configure the RestrictDriverInstallationToAdministrators registry value to prevent non-administrators from installing printer drivers on a print server.\n\nNote: After installing the July 2021 Out-of-band update, all users are either administrators or non-administrators, delegates will no longer be honored.\n\nPrior to installing the July 6, 2021, and newer Windows Updates containing protections for CVE-2021-34527, the printer operators' security group could install both signed and unsigned printer drivers on a printer server. After installing such updates, delegated admin groups like printer operators can only install signed printer drivers. Administrator credentials will be required to install unsigned printer drivers on a printer server going forward.\n\n\nWhy clients are allowed to install printer drivers from CVE-2021-34527 patched printer servers\nIn a scenario where a client is connecting to a Print server to download print drivers (Shared network Printer scenario), the changes we made as part of our fix do not come into play on the client.\n\nFor an unsigned driver, the user will see a warning and a request to elevate if the user is not admin.\n\nFor a signed driver, the driver will install successfully irrespective of admin or not.\n\nThis means a signed driver will be successfully installed on the client machine without honoring RestrictDriverInstallationToAdministrators registry key.\n\nExplanation\n\nThis behavior is by design. The attack vector and protections in CVE-2021-34527 reside in the code path that installs a printer driver to a Server. The workflow used to install a printer driver from a trusted print server on a client computer uses a different path. In summary, protections in CVE-2021-34527 including the RestrictDriverInstallationToAdministrators registry key do not impact this scenario." Ich stell mich grad an: Wo genau is der Download für dieses OOB Update zu finden? Per WSUS kommts noch nicht und importieren kann man es auch noch nicht. Auf der obigen Seite gibts auch keinen Downloadlink und bei weiterführenden Seiten sind nur die alten Downloads verlinkt. :/ Hílfe :)

Bringt doch nix, dem nachzuhängen, ändern wird sich daran nix mehr. Leben geht auch ohne weiter. ;)

und damit auch nicht möglich. Was spricht jetzt dagegen?

Wie?

Da man sowas ja "immer" ordnungsgemäß dokumentiert und dokumentiert übergeben bekommt, hat man immer Freude. :)

Hersteller anschreiben. ;) supportcase eröffnen.

Inzwischen scheinen doppelte Verhinderungen ja normal zu sein. damit der eine nicht aus Versehen was kaputt macht ;) hab ich neulich schon bei smbv1 gesehen: deinstallation ist gut, aber du blockst ja nicht smbv1 das ist schlecht.

Häh? Sehr viel „ich weiß nicht“ ;) testet man sowas nicht vorher und stellt dann nicht einfach mal sein komplettes Konstrukt um?

Und was wurde zwischen „gestern ging’s noch“ und „keine Mails mehr nach extern“ geändert? :)

Oha, da les ich lieber nicht noch mehr dort… ;)

Würde mich auch mal interessieren. Gibts hier evtl. noch mehr Datev Leute? @testperson Hilfe

Dafür gibts ja den Workaround mit NTFS ACLs. siehe oben. ;) OK, war dort ganz unten verlinkt, deswegen hier direkt: https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available/

Wobei ja die Probleme bei privat PCs meist nicht derart sind, dass da Probleme mit Windows oder Hardware usw. bestehen, sondern die funktionieren einfach anders als es oft der Nutzer erwartet. Dieser will aber auf keinen Fall was an seinem Verhalten ändern. Dazu hab ich weder Lust noch Zeit. Ausnahme sind Familie, aber auch da nur sehr vorsichtig. ;)

Solltest du dir abgewöhnen. Hat auch nichts mit "nicht helfen" oder so zu tun. Aber man kann im privaten Umfeld keine beruflichen Maßstäbe anlegen. Dann wäre spätestens an der Stelle bei mir Ende. Wenn es eine "vertretbare" Lösung gibt, und die nicht akzeptiert wird, das hat dann nichts mehr mit vernünftigem Verhalten zu tun. Wie wärs denn mit Ruhezustand statt reboot? Damit fahre ich seit Jahren problemfrei (weitgehend). Bye Norbert

Ich empfehle „Bekannten“ nichts mehr, aus genau diesen Gründen. Man wird für zuständig wahrgenommen bzw. Fühlt sich dafür selbst zuständig. Wenn er Probleme mit diesem Gerät hat, soll er sich an den Hersteller wenden, oder einen Dienstleister beauftragen. Ich bin kein Freund von solchen „Freundschaftsdiensten“, bei denen man durch eine Empfehlung für immer verantwortlich für die eigene Entscheidung gemacht wird. ;)