wznutzer

Ich weiß es ist eine Weile her, ich würde aber gerne nochmals darauf zurückkommen. Vorneweg, die Authentifizierung über EntraID funktioniert. Ist zwar etwas unschön, weil man den VPN-Nutzern die komplette "Office 365 App" in Conditional Access erlauben muss, aber um das wieder einigermaßen schön zu haben, kann man das dann wieder auf z. B. Entra ID joined devices einschränken. Die ganz normale LDAP-Anbindung funktioniert auch, also nicht AD-Mitglied, sondern simple Anfrage. Allerdings lassen sich per LDAP keine Gruppen importieren. Mir fallen nur zwei Wege ein, die Rechte auf bestimmte User zu beschränken. Den Base DN der LDAP-Anfrage auf eine OU setzen nach der nur noch User kommen die VPN dürfen. Das ist unpraktisch, weil ich die OUs ungern danach organisieren will, wer VPN darf und wer nicht. Die User einfach vom lokalen Netzwerk aus einmal im User Portal der Sophos anmelden lassen, dann sehe ich den User in der Sophos und kann den einer Gruppe auf der Sophos zuordnen und diese Gruppe darf dann halt VPN. Übersehe ich hier was oder ist es halt einfach so? Grüße und ein schönes Wochenende

Das ist mir klar. Das gilt aber auch bei allem anderen, was irgendwelche Alerts auslösen kann. Mir ging es eher um das Grundsätzliche, also, ob man das oft sieht, man eher machen sollte oder doch eher nicht.

Hallo zusammen, bisher habe ich auf das Scannen von TLS-Verbindungen verzichtet. Die Reputation vom Ziel wurde geprüft, aber halt nicht der Inhalt. Ich/wir haben sogar aktiv die Nutzer geschult, wenn es einen Anlass gibt, das Zertifikat anzuschauen, ob ich wirklich da bin wo ich hin will. Das klappt natürlich nicht bei allen Anwendern. Künftig sähe man da immer das Zertifikat, das die Firewall ausliefert. Gehört es zu den Sicherheits-Best-Practices TLS-Verbindungen aufzubrechen, um den Inhalt der Verbindung prüfen zu können? Ich weiß nicht so recht, ob ich das gut finden soll. Danke und Grüße

OK, vielen Dank. Es ist mir jedes Mal eine Freude, solche Sachen hier fundiert erklärt zu bekommen. Damit war natürlich mein Kopf gemeint, nicht dass wir uns falsch verstehen. LDAP mit Simple Bind werde ich auf jeden Fall testen. Zusätzlich soll die Sophos XGS auch gegen EntraID authentifizieren können. Da ich da schon jede Menge Conditial Access Regeln habe, würde mir es gefallen, wenn ich den VPN-Login darüber machen könnte und so evtl. sogar nur EntraID-Joined Geräte zulassen könnte. Und alle Externen haben wegen O365 sowieso schon einen eingerichteten Authenticator.

An diese Variante habe ich noch gar nicht gedacht. Ich hatte immer AD-Mitglied im Kopf. Aber so langsam wird es hell im Kopf . Beim Simple-Bind per TLS wird dann keine Signatur erzwungen, weil der Zweck (Man-in-the-middle zu verhindern) durch TLS erfüllt ist. Beim Channel-Binding fehlt mir gerade die Idee, warum auf das Token verzichtet würde. Danke für Deine Mühe.

Guten Abend, ich habe das noch nicht getestet, derzeit baue ich das Konstrukt noch im Kopf zusammen. Diese Info habe ich von hier (ganz unten): https://docs.sophos.com/nsg/sophos-firewall/22.0/help/en-us/webhelp/onlinehelp/AdministratorHelp/Authentication/Servers/AD/index.html#supported-windows-servers Ich habe das auf "require" bzw. "erforderlich" stehen.

Hallo und guten Abend, schon ziemlich lange habe ich LDAP-Signing und -Channel Binding aktiviert bzw. auf "erforderlich" sitzen. Nun gibt es eine neue Firewall und ich würde gerne von der VPN-User Authentifizierung mit separaten Usern, gerne gegen das AD authentifizieren. Leider aber kann Sophos auch mit SFOS 22 das nur, wenn kein LDAP-Signing erzwungen wird. Nun überlege ich, was das kleinere Übel ist, wieder lokale (lokale User der Sophos) VPN-Authentifizierung oder die LDAP-Einstellungen rückgängig machen. Wie macht Ihr das so? Hat jemand von euch eine Sophos und authentifiziert VPN-User gegen Entra ID? Falls ja, wie sieht der Login-Prozess mit OTP aus? Sorry für das Fragen, ich kann das natürlich auch testen, aber evtl. mag mir ein Sophos-Nutzer gerne antworten. Grüße und einen schönen Abend

Hoppla, gerade habe ich das mal mit zwei frischen VMs (Windows 11 + Windows Server 2022) getestet. Keine GPOs, neu von der ISO installiert und auch da wird weder ein lokaler Kyocera noch Brother per EasyPrint gemappt. Gibt es evtl. ein generelles Problem? Jetzt habe ich mich selbst verars***t. Auf Windows Server ist ohne RDS-Rolle gar kein EasyPrint aktiv.

Hallo und guten Tag, von 3 neuen Außenstellen aus, kann nicht auf die lokalen Drucker per RDP-Verbindung gedruckt werden. Es soll EasyPrint verwendet werden. GPO ist aktiv, dass EasyPrint zuerst verwendet werden soll. Druckermappring ist im RDP-File aktiv Drucker verschiedener Fabrikate (Kyocera, HP, Sharp, Brother) Event 1111 (Treiber nicht gefunden) wird für alle zu mappenden Drucker geloggt. Dass mal hier und da ein exotischer Drucker nicht geht, kenne ich oder dass z. B. die virtuellen Drucker (OneNote, PDF-XChange usw.) nicht gehen auch. Meines Wissens nach, kann man das Druckermapping per Policies nur am Host blockieren, am Client geht das "nur" über die RDP-Einstellung, ist das richtig? Oder können Policies aktiv sein, die das Druckermapping clientseitig verhindern, auch wenn das in der RDP-Datei aktiviert wurde? Vielen Dank und Grüße

Guten Tag, ich würde gerne ein paar Meinungen einsammeln, wie man ein Storage auf die Leistungsfähigkeit für einen SQL-Server testen kann. Klar, ich weiß, es kommt darauf an und den tatsächlichen Workload zu simulieren ist kaum möglich. Dennoch würde mich ein Test den man als grobe Orientierung nutzen kann interessieren. Beispiel mit Diskspd (beim ersten Mal noch -c30G für die Größe): Random read/write diskspd -b4K -r -o1 -t1 -d120 -Sh -L c:\temp\diskspd.dat diskspd -b4K -r -o1 -t1 -d120 -Sh -w100 -L c:\temp\diskspd.dat sequential read/write diskspd -b1M -s -o1 -t1 -d120 -Sh -L c:\temp\diskspd.dat diskspd -b1M -s -o1 -t1 -d120 -Sh -w100 -L c:\temp\diskspd.dat Wie seht Ihr das? Danke und Grüße

Ja, das habe ich gesetzt und die GPO sollte auch wirken. Aber lt. Userberichten kommt "die komische Meldung unten rechts" noch immer. Nun, dann werde ich mir die noch existente "komische Meldung" mal zeigen lassen, nicht dass das etwas anderes ist und es sich für die Kollegen nur gleich "anfühlt". Ich verstehe das so, dass Ihr da auch nichts anderes kennt, als diese GPO. Evtl. sollte der Programmierer nochmals drüberschauen . Mir schlägt der Assistent eine Sparkasse aus Niedersachsen vor, obwohl ich im Schwabenländle sitze. Die Sparkasse wurde auf diesem PC ganz sicher noch nie angewählt.

Guten Tag zusammen, beim Beenden von Edge erscheint in letzter Zeit immer öfter eine Meldung rechts unten in der Systray, ob Edge whatsapp.com, youtube.com oder facebook.com anheften soll. Das passiert auch, wenn man gar keine Webseite offen hatte, sondern z. B. Edge nur als PDF-Viewer genutzt hat. Es passiert auch auf komplett frisch installierten Geräten. Wahrscheinlich hat es mit dem Assistenten zu tun, den man in den Einstellungen unter "Weitere Tools" -> "Assistend für das Anheften an die Taskleiste starten" aufrufen kann. Wenn man ein neues Profil anlegt und nicht gleich auf "Fertigstellen" klickt, kommt man auch an der Stelle vorbei. Der Assistent wird wohl beim Beenden getriggert. Weiß zufällig jemand, ob sich diese Werbung von Edge abstellen lässt? Das sieht ja so aus, als ob die IT der Firma Werbung für Youtube, Facebook und dessen Nutzung machen will. Seit W11 25H2 scheint das vermehrt aufzutreten. Mehr als das habe ich leider nicht finden können: https://www.microsoft.com/en-us/edge/features/pin-to-taskbar?form=MT0160 Das hier habe ich gemacht, aber es erscheint trotzdem: https://learn.microsoft.com/en-us/deployedge/microsoft-edge-browser-policies/pinningwizardallowed Danke und schönes Restwochenende

Ja, Gerät war erst im Haus, dann alles komplett eingerichtet/installiert (mit lokalem User). Dann ging das Gerät zum User, der hat sich dann mit der Entra ID angemeldet (meist mit Hilfe) und das Gerät war registriert. Das mit den Hashes gefällt mir, muss ich mir anschauen, vielen Dank.

Es wird "Microsoft Entra joined" angezeigt. Das sollte nicht hybrid joined sein. Es sind alles Geräte im Firmenbesitz. BYOD ist für geschäftliches nicht erlaubt, aber wie es halt so ist, wenn man es nur sagt, hält sich halt nicht jeder dran und auf einmal ist der Kinderzimmer-PC mit dem Firmenaccount registriert, weil der Kumpel gesagt hat, man darf Office auf 5 Geräten nutzen. Jedenfall bis ich das deaktiviert hatte. Danke, das sieht gut aus :-).

Guten Morgen, ich nutze bereits Conditional Access. Aber ich finde keine Möglichkeit, wie ich den Login nur von bekannten Geräten aus erlauben kann. Am liebsten wäre mir ein Workflow in der Art: User registriert Gerät, aber Admin muss es genehmigen. Ich kenne nur die Variante, dass der User eben registrieren kann oder nicht. Darf der User nicht, muss es ein Admin mit einem Service-Account machen. Das nun registrierte Gerät, darf über Conditional Access bestimmte Dinge tun oder halt auch nicht. Für diesen Punkt, fehlt mir der Ansatz. Kann mir jemand helfen den Knoten im Kopf zu lösen? Vielen Dank

Das habe ich mal in einer VM installiert und ein Client angebunden. Hat funktioniert, aber ich habe keinen Einstieg gefunden die Logik der Konfiguration zu verstehen. Wenn ich da ein gutes Tutorial fände, würde ich mir das nochmals anschauen. Bei Graylog scheint mir das brauchbar: https://woshub.com/central-windows-event-logs-collector-graylog/ https://woshub.com/graylog-centralized-log-collection-analysis/

Hallo und guten Tag, mit zunehmendem Wachstum hätte ich gerne ein anderes Monitoring. Das Windows Eventlog Forwarding ist ganz nett und man kann sich so natürlich auch hier und da mal eine Mail schicken lassen, aber schön und übersichtlich ist es nicht. Mich würde interessieren was Ihr da so verwendet. Derzeit überlege ich ob ich das Event Forwarding lasse und dann die zentralen Logs irgendwie besser auswerte, z. B. mit Graylog, habe das aber noch nicht probiert. Gespannt auf Eure Meinungen.

Ich weiß nicht, ob das üblich ist, was ich da mache, aber die verwendeten Zugangsdaten sind speziell nur für diesen Server. Ich habe quasi ein Tier-Modell, das aber auch noch auf Funktionen aufgeteilt ist. Beispiel: Tier 0 userad.admin (Verwaltung Domäne) userex.admin (Verwaltung Exchange) Tier 1 userdb01.admin (Verwaltung Datenbankserver 01) userdb02.admin (Verwaltung Datenbankserver 02) usw... Ergänzung: Mir geht es tatsächlich nur darum, meine PAW nicht zu gefährden. Z. B. für eine Verbindung zu einem Server der gar nicht zu meinem lokalen Netzwerk gehört. Also im Prinzip will ich das verhindern was man "lateral movement" nennt.

Hallo, ich weiß, es ist schon eine Weile her. Ich würde das Thema nochmals gerne aufgreifen, weil ich da irgendwie noch keine Klarheit im Kopf habe. Ich denke darüber nach, ob es in Ordnung ist von einer PAW aus direkt RDP-Verbindungen zu Servern herzustellen (ausgehend), die nicht zu 100% unter meiner Kontrolle sind. Betrachtet unter der Voraussetzung, dass keinerlei lokale Ressourcen in die Verbindung mitgenommen werden (auch keine Zwischenablage). Bisher habe ich da eine Wegwerf-VM in einem VLAN dazwischen, also PAW --> Wegwerf-VM --> Ziel. Das erscheint mir immer mehr übertrieben, weil ich die Kette ja beliebig lange bauen könnte, aber am Ende ja immer meine PAW steht. Über ein paar Meinungen würde ich mich freuen. Danke

Das passt. Bei der Installation sind die Rechte nötig, dann nicht mehr. Wenn unbedingt nötig kann man die Rechte ja wieder vergeben. Dann noch die User in die Gruppe "Procted User". Vielleicht gibt es noch mehr, aber so ist das wieder ein Schritt hin zu einem kleineren Risiko.

Die Ablaufverfolgung der Tabelle mit den User-Connections in der RDCms-DB war abgeschaltet. Vermutlich ein selbst verursachter Fehler, weil die DB mal repariert werden musste (Schattenkopie konnte nicht mehr erstellt werden). Der Zusammenhang war nur nicht gleich erkennbar.

Hallo und guten Tag, mir ist aufgefallen, dass die Verbindungen zu der RDS-Farm nicht mehr im Servermanager angezeigt werden. Das ist wohl schon eine Weile so und ein Zusammenhang mit einer Änderung ist mir nicht bekannt. Im Eventlog gibt es folgenden Fehler, der damit zusammenhängen könnte: Alles in der Farm ist komplett funktionsfähig, nur sehe ich halt die Verbindungen nicht. Ich kann mich zu der genutzten WID (Windows Internal Database) verbinden. Sonst gibt es nichts auffälliges in den Logs. Der Fehler erscheint, sobald ein Sessionhost einer Sammlung zugeordnet wird. dbcc checkdb auf der DB RDCms sagt keine Fehler Danke und Grüße

Ich weiß nicht, ob der Restricted Admin Mode passend ist. Ich habe z. B. eine PAW. Die Rechner auf die ich mich verbinde folgen einem Tier-Modell, d. h. je nach Sicherheitsstufe und Funktion gibt es unterschiedliche User zur Verwaltung. Mit dem Restricted Admin Mode würde ich nun meinem regulären User mit dem ich mich auf der PAW anmelde überall Adminrechte geben, weil das auf SSO basiert. Ist das wirklich gut? Den Verwaltungsuser für die RDS-Bereitstellung in die Gruppe Protected Users zu schieben macht scheinbar keine Probleme. b***d, dass das bisher an mir durch ist. Ist das Standard für RDS Bereitstellungen?

Denkfehler meinerseits. Die User sind tatsächlich auch bei mir über AD-Gruppen. Dann mache ich da tatsächlich kaum etwas an der Konfig.

Danke, der Inhalt vom Link scheint genau das Richtige zu sein. Schaue ich mir genauer an. Vielen Dank