wznutzer

Haben wir die User umbenannt. Es war auch tatsächlich nie ein Problem, bis jetzt. Evtl. kommt es ja auch auf die Größe an. Ich habe jeden Kollegen/Kollegin mindestens 1x mit Handschlag begrüßt und kann mit dem Namen sofort die Abteilung nennen. Deswegen ist irgendwas, dass ich mit dem Namen in Verbindung bringen kann, ein Vorteil. Aber zurück zum Problem. Da das Zurücksetzen einer W11-Installation das Anmeldeproblem behebt, gehe ich vom einem Fehler im OS aus. Insofern ist ein Anmeldename ohne Umlaute ein guter Weg, ohne sich Sorgen machen zu müssen, dass sonst noch etwas nicht in Ordnung ist. Vielen Dank für die guten Kommentare

Den Kollegen und Kolleginnen gefällt das . Wie man heißt vergisst man meist nicht. Aber ich gebe zu, bei drei Vornamen und einem Doppelnachnamen wird es dann schon etwas arg.

Die User verwenden das SQL-Management Studio, aber auch eigen entwickelte Software die per ODBC (SQL Native Client) zugreift hat das Problem. Selbst ein kleines Testprogramm mit der MFC (CDatabase) oder C# funktioniert nicht. Es ist kein Kerberos-Problem. Wenn der SPN da ist, funktioniert es. Es ist aber auch kein spezielles SQL Problem, weil der Zugriff auf \\domain.local auch zu einer Meldung mit falschen Anmeldedaten führt. Es ist evtl. mein Problem, dass ich mich noch nicht getraut habe NTLM komplett abzuschalten . Nur User mit Umlaut im Anmeldenamen sind betroffen. Windows 10 nicht, Windows 11 22H2 mit allen Updates auch nicht. Sobald dann der gleiche PC auf W11 23H2 angehoben wird, tritt der Fehler auf. Windows 11 23H2 mit dem März 2024 ISO installiert hat den Fehler auch nicht. Windows 11 23H2 mit dem November 2023 ISO installiert und dann bis zum Patchday 03/2024 aktualisiert führt zum gleichen Problem. Das Problem kann in einer Testumgebung (hat noch nie das Produktivnetz gesehen) nachvollzogen werden. kleine Bitte Falls jemand einen W11 23H2 PC (oder VM) hat, der vor März 2024 installiert wurde und vielleicht auch von 22H2 angehoben wurde, wäre prima da einfach mal \\[FQDN der lokalen Domäne] im Explorer eingeben (User mit Umlaut). Normalerweise sollte da ja dann Netlogon und SysVol (und evtl. ein Freigabeordner vom dc auf dem man gerade gelandet ist) angezeigt werden. Vielen Dank für die Kommentare, ich werde berichten...

Ja, ich dachte mich betrifft das nicht und ich konnte auch keinen übermäßigen Speicherverbrauch feststellen. Der OOB-Patch sollte doch im aktuellen April-Patch mit drin sein oder? Den installiere ich sowieso heute Nacht, ich werde dann berichten. Ich kapiere nicht warum. Der User meldet sich lokal an, nutzt Netzwerkfreigaben, RDP, Fileserver und der SQL-Server meint dann, dass das Passwort falsch ist? *weitergrübelnd*

Vielen Dank für eure Mühe. Der SQL-Server hat noch kein MSA und läuft tatsächlich noch mit einen "normalen" Domänenaccount. Der fehlende SPN ist nicht aufgefallen, weil einfach NTLM gemacht wurde. Aber nun schlägt NTLM fehl, weil lt. Log der Benutzername oder das Kennwort falsch ist. Mit W11 23H2 scheint es nichts zu tun zu haben, eher Zufall. Der gleiche Account kann sich an verschiedenen PCs mit W11 23H2 problemlos mit dem SQL auch per NTLM verbinden. nltest /sc_query:domäne ==> alles in Ordnung \\domäne.local ==> Sysvol usw. wird nicht angezeigt, Anmeldedialog erscheint \\irgendeinDC ==> Sysvol wird angezeigt, alles prima Ich forsche mal weiter...

Seltsamerweise wird beim Zugriff per NTLM folgendes am SQL-Server protokolliert: Gleicher Account an verschiedenen anderen Rechnern funktioniert?

Guten Tag, irgendeine Info scheint an mir vorbeigegangen zu sein. W2K22 mit 2 SQL-Server Instanzen Nur eine Domäne, Windows-Authentifizierung Windows 10 und Windows 11 vor 23H2 können sich problemlos mit beiden Instanzen verbinden. Windows 11 23H2 meldet: Es liegt am fehlenden SPN und für das gibt es ja auch auch den "Microsoft® Kerberos Configuration Manager for SQL Server®". Ich kapiere aber nicht warum? Hat sich mit Windows 11 23H2 irgendwas verändert das Kerberos erzwingt? Ahnungslose Grüße

Aber ich gehe schwer davon aus, dass der Hinweis in der nachfolgenden Umfrage 10 Punkte zu vergeben nie gefehlt hat.

Öffentliches Zertifikat habe ich und Autodiscover funktioniert, aber halt "Cloud-Only". Vielen Dank, den DKIM-Agenten muss ich mir mal anschauen. Microsoft-Call hatte ich auch schon, der allerdings ohne konkrete Aussage geschlossen wurde.

Das muss ich mir mal anschauen und komme dann evtl. nochmals mit einer gezielten Frage zurück. Damit ich nicht in die falsche Richtung suche. Derzeit habe ich keine Hybrid-Umgebung. Ursprünglich war der lokale Exchange nur zur Verwaltung der AD-Attribute gedacht, weil er dann aber eh schon da war, dann halt noch ein lokales Relay. Ein Hybrid-Connector setzt dann auch eine komplette Hybrid-Umgebung voraus? Den Hybrid-Assistenten habe ich an der Stelle abgebrochen, als ich die Lizenz hatte.

Guten Abend, mir fehlt leider ein Ansatz mein Problem zu lösen. Im Prinzip verwende ich nur Exchange-Online. Für ein paar Dinge wie Scanner, ERP-Software verwende ich einen lokalen Exchange um Mails anzunehmen und an ExO zu senden. Der lokale ExO sendet direkt an den MX der Domain. Dafür ist in ExO in Relay eingerichtet, das Emails von einer bestimmten IP-Adresse annimmt. Das funktioniert prinzipiell. Hin und wieder kommt es vor, dass (warum auch immer) fast alle Emails die so gesendet werden, von Kunden, aber auch intern, als SPAM erkannt werden. Microsoft meint immer, das wäre ein Markenidentitätsdiebstahl. Ich kann überhaupt keinen Grund erkennen, warum das so ist. Es gibt nur eine Auffälligkeit, wenn man das so nennen kann, dass die Emails die über das Relay gesendet werden, erst in einem zweiten Schritt mit DKIM signiert werden. Lt. Header werden die Emails von lokalen Exchange ohne DKIM-Signatur gesendet und ExO fügt dann wohl die DKIM-Signatur ein. Die Analyse vom Security-Center (Office365) sagt mit bei solchen Emails DKIM:none. Hat hier irgendwer eine Idee warum das so ist? Grüße und einen schönen Abend

Das hier finde ich interessant. Network-Logons, also ein simpler Zugriff auf eine Freigabe, scheint in Ordnung, da muss man sich keine Sorgen machen. Konnte ich bestätigen, aber ich bin da überhaupt kein Experte. https://www.ired.team/offensive-security/credential-access-and-credential-dumping/network-vs-interactive-logons

Vielen Dank. Ich bin mir noch nicht sicher, ob ich das richtig verstanden habe. Ich muss das mal in Ruhe durchdenken und evtl. dann nochmals mit einer Frage zurückkommen. Das hier verstehe ich nicht (aus dem Link) Der Server-Admin kann auf den Server auch remote zugreifen. Damit landet sein Passwort-Hash aber im Hauptspeicher des verwendeten Clients – und das will ich nicht. Also werden auf Clients die Server-Admins in CORP-LogonLocallyDeny aufgenommen – das geht per Zielgruppenadressierung auf Win32_OperatingSystem.ProductType=1. Landet der Hash des Server-Admin, wenn er sich remote von einem Client anmeldet tatsächlich im Hauptspeicher des Clients? Ist der Hash nicht im RAM des Servers? Und wenn ich dem Server-Admin das Recht entziehe sich auf dem Client anzumelden, kann er sich doch noch immer vom Client auf dem Server anmelden. [Client] ->> [Server] = Hash im RAM des Servers [Server] ->> [Client] = Hash im RAM des Clients Bin ich da irgendwo gedanklich falsch abgebogen?

Guten Abend, ich verbiete lokalen User oder auch bestimmten Domänenuser den Login über das Netzwerk. Das funktioniert an sich auch, will aber sicher sein, dass ich keinen Denkfehler habe. DenyNetworkLogonRight - In der GptTmpl.inf heißt es SeDenyNetworkLogonRight, warum auch immer. Gast-Nutzer Klar, sind standardmäßig deaktiviert, aber da die GPO diese Einstellung nicht kumulativ setzt, sondern anstelle der Standardpolicy, hätte ich gerne die Gäste wieder drin. Standardmäßig steht da der User Gast drin, der ebenso standardmäßig deaktiviert ist. Diesen User Gast kann ich nicht in die GPO aufnehmen, weil dieser eine lokale SID hat (S-1-5-21-irgendwas-501). Weil ich auch Clients habe, an denen sich lokale Konten anmelden müssen, gibt es eine GPO für Gäste + andere Konten, aber ohne pauschal alle lokalen Konten. Um alle Gastkonten abzudecken füge ich folgendes hinzu: BuiltIn-Gäste (S-1-5-32-546), Domänengäste (S-1-5-21-domäne-514), Domänen-Gast (S-1-5-21-domäne-501). Der Domänen-Gast ist ebenfalls deaktiviert. Ist das korrekt, vergesse ich was? Vielen Dank und Grüße

Hallo, hast Du berücksichtigt, dass Regeln die verweigern immer gewinnen und Ausnahmen auf Pfade mit einem \* enden müssen? Um herauszufinden wer was gestartet hat, nutze ich procmon (Sysinternals). Da kannst Du die Spalte User einblenden und einen Filter anlegen. Grüße

Vielen Dank für den Input und das Angebot die Dienstleister per PN zu nennen.

Guten Tag, nur zur Vorsorge und hoffentlich niemals benötigt, dokumentiere ich, was bei einem IT-Sicherheitsvorfall (Ransomware usw.) getan werden muss. Während ich mir darüber im Klaren bin, was getan werden muss, um z. B. einmal alles neu zu machen, fallen mir zwei Punkte schwer. Analyse, also was das Einfallstor war. Idealerweise beauftragt man einen Dienstleister, aber was sollte der können? Bei AnyDesk wurde offiziell Crowdstrike genannt. Nimmt man einen Dienstleister der z. B. auch Pentesting anbietet? Ist die Nennung solcher Dienstleister hier überhaupt gewollt? Ich habe nun schon von mehreren Firmen die wir kennen gehört, dass diese bei solch einem Vorfall (Ransomware) auch die komplette Hardware ausgetauscht haben. Einen handfesten Grund der sich aus einer Analyse ergeben hat, konnte mir niemand nennen. Eher so: War sowieso mal wieder fällig. Hat der Dienstleister empfohlen. Sicher ist sicher, wer weiß. Gerade die Hardware zu tauschen wäre mir ohne konkreten Grund jetzt nicht eingefallen. Evtl. kann jemand aus Erfahrung berichten, danke.

Ui, dann fällt das für mich schon mal raus, weil es auch in Netzen funktionieren muss die ich nicht kontrolliere und in denen nur Port 80 und 443 geöffnet sind. Ich werde doch mal mit Splashtop rumwerkeln und hier berichten.

Ja, ich will auch von AnyDesk weg. Nicht weil diese einen Sicherheitsvorfall hatten, sondern wegen dem Umgang damit.

Guten Tag, die Kategorie passt nicht so ganz, aber ich wusste auch keine Bessere. Nachdem ich AnyDesk nicht mehr nutzen will, schaue ich nach Alternativen. Neben TeamViewer gibt es noch Splashtop, schaut ganz gut aus und funktioniert gut. Kannte ich bisher nicht, obwohl die wohl ein recht großer Player in diesem Geschäft sind. Hat Ihr Erfahrungen mit Splashtop oder was nutzt Ihr so? Danke und einen schönen Abend.

Vielen Dank für den Input. So sind die nächsten Regenwochenenden auch ausgebucht .

Evtl. zu früh gefreut oder auch nicht (https://learn.microsoft.com/en-us/entra/identity/app-proxy/application-proxy-faq) Can only IIS-based applications be published? What about web applications running on non-Windows web servers? Does the connector have to be installed on a server with IIS installed? No, there's no IIS requirement for applications that are published. You can publish web applications running on servers other than Windows Server. However, you might not be able to use preauthentication with a non-Windows Server, depending on if the web server supports Negotiate (Kerberos authentication). IIS isn't required on the server where the connector is installed. Das macht allerdings keinen Sinn, weil auch ausdrücklich andere Authentifizierungsarten als Windows-Authentifizierung unterstützt werden. https://techcommunity.microsoft.com/t5/microsoft-entra-blog/azure-ad-application-proxy-support-for-saml-based-apps-is-ga/ba-p/566356 Ich werde das einfach ausprobieren, danke.

Ich hatte den Anwendungsproxy so interpretiert, dass dieser sich "nur" für die Veröffentlichung der Azure WebApps eignet und nicht um ganze eigenständige Webserver zu veröffentlichen. Liegt vielleicht auch daran, dass man inzwischen einfach alles App nennt . Aber danke, anschauen werde ich mir das nochmals genau.

Guten Morgen, ich würde gerne einen Webserver hinter einer Authentifizierung veröffentlichen. Der Webserver wird evtl. ein Bookstack, Wiki.JS oder irgendwas ähnliches sein. Ziel ist, dass ich mich nicht auf die Authentifizierung der eingesetzten Software verlassen will, sondern nur Authentifizierte Zugriffe an den Webserver weitergereicht werden sollen (Reverse-Proxy). Ähnlich wie man das vor vielen Jahren mit einem Microsoft TMG für Exchange machen konnte. Idealerweise mit SSO, aber das soll hier nicht Thema sein. Der Webserver wird bei Azure laufen. Die Authentifizierung soll gegen das Azure-AD (Entra ID) gemacht werden. Mir ist es noch nicht gelunden im Azure-Universum das richtige Produkt zu finden. Application Gateway wäre was, aber das kann so wie es scheint keine User-Authentifizierung. Hat jemand einen Tipp für mich, welches Produkt bei Azure einem Reverse-Proxy mit User-Authentifizierung gleicht? Die meisten Produkte dieser Art können direkt per SAML oder OpenID angebunden werden. Aber ich hätte gerne, dass überhaupt keine unauthentifizierten Zugriffe auf dem Webserver landen. Schönen Tag

Guten Morgen, Es gibt ja einige Services um die Berichte auszuwerten. https://us.dmarcian.com/xml-to-human-converter/ https://mxtoolbox.com/Public/Tools/DmarcReportAnalyzer.aspx https://dmarc.postmarkapp.com/ https://easydmarc.com/tools/dmarc-aggregated-reports Allerdings macht mir da die DSGVO ein wenig Kopfzerbrechen. Mit https://mailhardener.com gäbe es ein Anbieter im DSGVO-Gebiet, habe ich aber noch nicht probiert. Wie macht Ihr das so? Danke und einen schönen Tag.