wznutzer

Guten Tag, evtl. habe ich den Begriff falsch gewählt. Während es üblich ist ganze Netzwerke voneinander zu treffen (VLANs), lese ich kaum etwas darüber die Windows-Firewall zu nutzen. Macht Ihr das auch? Ich mache das ziemlich extensiv mit RDP, WinRM, sogar die VeeamDienste schränke ich auf die nötigen Endpunkte ein. Ist das über das Ziel hinaus? Ich meine, man versucht sich ja so vor jemandem zu schützen der ohnehin schon im Netzwerk ist, andererseits gibt es ja die Sache mit lateral movement. Der kürzlich veröffentlichte Fall, bei dem über die Veeam-Dienste ein Konto angelegt worden war, wäre ja dadurch verhindert worden. Oder ist das in großen Netzwerken einfach nicht zu handeln? Grüße und einen schönen Tag

Zufällig habe ich das sogar gemacht. Die Stufe 3 aus der DDP raus und 5 in eine eigene GPO. Die spezielle GPO für DCs die ich hatte, ist dann auch überflüssig. Allerdings verstehe ich die Aussage nicht komplett. Warum oberhalb und warum meinst du Settings zu Accounts und Kerberos kommen in die DDP oder gerade nicht? Ich habe tatsächlich mal angefangen alles in eigene GPOs zu packen mit eindeutiger Benennung. Aber, wie gesagt, das war Zufall, das hätte ich auch ohne Bedenken in die DDP gemacht, Stufe 3 war ja auch drin. 1) Warum sollte man nichts in die DDP packen? Organisatorisch verstehe ich das, wenn man einen Fehler sucht und GPOs in Verdacht hat, ist es ja b***d in einer Richtlinie, die man deaktivieren will, ganz viele Sachen zu haben. Gibt es auch technische Gründe? 2) Gibt es ein Limit oder "best practice", dass man nicht mehr als X GPOs haben sollte? 3) Was für Settings zu Accounts und Kerberos meinst Du? Danke und Grüße Scheint tatsächlich kein Problem zu sein :-).

Guten Morgen, NTLMv1 sollte man idealerweise deaktiviert haben. Nun ist es so, dass es wahrscheinlich hier und da (wie bei mir) noch Überbleibsel aus vergangenen Zeiten gibt, in denen man die Clients per GPO auf 3 gesetzt hat. Bei allen Windows-Systemen die Support haben ist das der Defaultwert. Könnte ich nicht einfach in der "Default Domain Policy" das auf 5 setzen und die alte Client-GPO löschen? Bei den DCs sollte das sowieso gemacht werden und bei den Clients schadet es nicht. Irre ich mich? Danke und Grüße https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/network-security-lan-manager-authentication-level

Der User in der Firewall der verwendet wird um die Passwörter zu checken (LDAP Bind wie ich gelernt habe) und mit dem auch die Gruppen ausgelesen werden (z. B. darf VPN). Vermutlich wurde doch mal ein Recht vergeben und leider vergessen / nicht dokumentiert. Verstehe ich das richtig? Nicht zu müssen heißt aber zu können. Aber dann geht das Passwort beim LDAP Bind unverschlüsselt über die Leitung und das will man nicht. Richtig?

In meinen Fall ist der User nicht Mitglied, geht aber trotzdem. Das meinte ich damit.

Nein, die Erkenntnis hatte ich schon vor längerer Zeit. Deswegen ist das Computerkonto des RD-Gateway auch da drin. Jetzt muss ich aber noch rausfinden, warum die Abfrage der Gruppenmitgliedschaften geht, obwohl ich mich an keine spezielle Rechtevergabe erinnern kann. Danke für den Hinweis mit LDAP Bind. Das die Mitglieschaft der Authentifizierten User in der Prä-Windows 2000 Gruppe ein größeres Sicherheitsproblem ist, war mir tatsächlich nicht bewusst, war eher „braucht man nicht mehr“.

Ich kann z. B. schon jetzt aus Deiner Antwort „ableiten“, dass es eher schlecht ist, die Authenifizierten User in der Prä-Windows 2000 Gruppe zu haben . So hatte ich das auch mit dem Passwort im Sinn. Wie findet die Firewall heraus, ob das Passwort stimmt oder nicht?

Guten Morgen, es gibt kein Problem, aber verstehen würde ich es trotzdem gerne. Wenn man z. B. die User eines VPN der Firewall gegen das AD authentifizieren will, macht man z. B. im Fall einer Sophos einen Domainjoin in das AD und hinterlegt in der Sophos einen User in dessen Kontext Abfragen (Gruppenmitgliedschaften, Kennwort korrekt usw.) an das AD gestellt werden. Dieser User benötigt aber keinerlei besondere Rechte. Gruppenmitgliedschaften auslesen gehört zu den Standardberechtigungen, die man ja auch einschränken kann. Aber wie funktioniert das mit den Passwörter? Klar kann jeder User versuchen sich irgendwo mit einem fremden Account anzumelden und Passwörter erraten, aber wie macht das z. B. regulär eine Firewall? Auch mit einem Loginversuch, wo? Die Firewall braucht kein Passwort aus dem AD auslesen, es reicht ja die Info richtig oder falsch? Wenn man weiß wie das funktioniert, könnte man da evtl. ableiten, dass irgendwas besser verboten gehört, was bisher erlaubt ist? Danke und Grüße

Neuentwicklung: Der Fix wird lt. Support nicht in den Updates vom Oktober enthalten sein, sondern separat am 15. Oktober veröffentlicht werden. Insofern hat sich der Case dann doch gelohnt.

Für alle die das gleiche Problem haben. Und das hat man ja, wenn man nicht auf "RPC over HTTP" verzichten kann, was z. B. der Azure Anwendungsproxy nutzt. Ich habe einen Case bei Microsoft um herauszufinden, wann das Problem gefixt wird. Das weiß der Support auch nicht, aber ich soll einfach regelmäßig den Gateway-Dienst neu starten oder einfach die Updates seit Juli (insgesamt ca. 250 CVEs) deinstallieren und darauf achten, dass die Sicherheit trotzdem gewährleistet ist. Clown-Support.

Ja, scheint so. Die Informationen von MS sind komplett durcheinander. Im deutschen KB-Artikel steht das Problem unter "Verbesserungen" und im englischen unter "known issues". Gleichzeitig steht im KB-Artikel vom Juli (seit da gibt es das Problem) dass es mit dem September-Patch behoben ist. Prima Informationsfluss .

Hallo und guten Tag, seit dem Patchday 07/2024 gibt es ein von Microsoft bestätigtes Problem mit dem RDP-Gateway. Wenn RPC over HTTP verwendet wird crasht der Dienst sporadisch mehrfach am Tag. Lt. den Releasenotes von Microsoft sollte das Problem mit dem September-Patch behoben sein, ist es aber nicht. Hat da evtl. jemand nähere Informationen oder kann bestätigen, dass das Problem noch vorhanden ist? https://support.microsoft.com/en-us/topic/september-10-2024-kb5042881-os-build-20348-2700-5b548143-9613-4e5a-9454-8ed9be8b2bd2 (Improvements) Was ist der schnellste Weg an Informationen von Microsoft zu kommen? Eine Anfrage über https://support.serviceshub.microsoft.com/supportforbusiness? Vielen Dank

Wie seht Ihr die Vertrauenswürdigkeit? Bei OPSI oder ähnlichen Systemen sorge ich selber dafür. Aber bei WinGet, Chocolatey usw. habe ich ja vor der Installation nicht die Chance Herkunft, Signatur, Hash oder ähnliches zu prüfen. Man vertraut einfach dem Repository. Während beim MS, Apple oder Google noch jemand die Hand drauf hat, ist das bei den genannten nicht so. Oder ist das ein Hängen an alten Zöpfen?

Damit hat es nichts zu tun. Einzig die Option (bzw. ich kenne keine andere) media.peerconnection.enabled auf false zu setzen, hält Firefox davon ab. Naja, ein richtiges Problem scheint es nicht zu sein, aber wenigstens etwas gelernt.

Das werde ich versuchen und berichten...

Guten Tag zusammen, vor kurzem ist mir aufgefallen, dass Firefox beim Besuch von Webseiten (auch seriöse) eine Firewall-Regel für eingehende Verbindungen anlegen will. Standardmäßig macht das die Installation für den Bereich"privat". Wenn man nun aber im Profil "öffentlich" oder "Domäne" surft, will Firefox je nach Webseite das auch für dieses Profil anlegen. Ich bin mir sicher, dass es keine Malware/Plugin oder ähnliches ist, weil sich das Verhalten auch auf frischen AWS-VMs nachvollziehen lässt. Im konkreten Fall ging es um die Webseite von MediaMarkt. Die Abfrage kommt auch schon bevor man den Cookie-Banner bestätigt hat. Ich glaube es liegt an WebRTC, jedenfalls kann man mit about:webrtc ein Protokoll aktivieren und anzeigen und da werden dann Verbindungen protokolliert. 1) Hat das auch schon mal jemand beobachtet? Ich bin mir nicht sicher, ob sich dadurch eine Aufgabenstellung für Unternehmensnetzwerke ergibt, standardmäßig haben die User gar keine Berechtigung solche Regeln anzulegen. Alternativ könnte man das auch pauschal deaktivieren. Im Firefox z. B. mit media.peerconnection.enabled=false 2) Ich weiß gar nicht, ob ich will, dass solche Verbindungen zustande kommen. Mithilfe von STUN- oder TURN-Server geht das ja auch an den Firewalls vorbei. Grüße und einen schönen Tag

Falls Deine Umgebung nicht so riesig ist, spiele das doch einfach in einer Kopie, z. B. in einem VLAN durch. Du kannst auch das Blech in eine VM packen. Nur aufpassen, dass die Kopien nicht versehentlich in das Originalnetz sprechen. Ich habe nicht nur ein Lab das ähnlich ist, sondern exakt identisch, weil ich hin und wieder das Original kopiere bzw. vom Backup wiederherstelle. Führt nebenbei zu Routine im Wiederherstellungsprozess, prüft Deine Backups und lässt Dich Tag X entspannter entgegensehen.

Das ist, finde ich, eine schöne Zusammenfassung wie so ein Prozess ablaufen kann .

Bei den eigenen Leuten ist das so und jetzt steht die große Welt mit BYOD vor der Tür. Leider ist das so .

Leider noch eine bekannte Schwachstelle. Zur Klarstellung: Du meintest damit die Authentifizierung der zugreifenden Geräte?

Ja, gut zusammengefasst . Darum geht es mir. Deswegen bekommen die BYOD-Leute einen Bereich der sich von den anderen unterscheidet. Der Gedanke was da an Trennung notwendig ist, musste reifen und die Diskussion hat dazu beigetragen. Der Begriff BYOD ist mir nur nicht eingefallen, weil es so gesehen gar nicht um intern/extern geht. Interne BYOD-Leute würde ich auch so sehen.

Ich glaube, wir ticken hier einfach anders. Für mich spielt es eine Rolle wie wahrscheinlich es ist, dass Zugangsdaten abgegriffen werden können. Im einen Fall wird bereits auf den zugreifenden Geräten versucht das Abgreifen von Zugangsdaten zu verhindern. Im zweiten Fall gibt es diese Hürde nicht und ich rechne mit einem höheren Risiko von kompromittierten Zugangsdaten.

Windows-Forms-Anwendung (*.exe, *.dll). Grundsätzlich würde das gehen, z. B. VPN mit MFA und dann die Anwendung auf MS SQL und ein paar Verzeichnisse. Habe ich schon getestet. Die Performance ist allerdings schlecht und die Anwedung kommt nicht mit Verbindungsabbrüchen zurecht (z. B. Mobilfunk im Zug). Der RDS HTML5 Client kommt ziemlich gut mit Verbindungsabbrüchen zurecht. Ich mache das so: separater RDS im eigenen Netzwerksegment RDS mit Applocker, kein Internet, Verhaltensüberwachung usw. RDS darf nur mit DB und AD sprechen AD mal mit Purple Knight oder Forest Druid, PingCastle checken (win-win sozusagen) HTML5-Client hinter Azure App-Proxy. Das streichelt etwas die Paranoia, weil die MFA des RDS-Gateway "nur" eine Nachricht zur Bestätigung ist und nicht wie der MS-Login mit einer individuellen Zahl . Grüße an alle

Ich sehe das nur als technisches Problem. Externe Vertriebler, Marketingleute arbeiten täglich mehrere Stunden im ERP. Die Aufgabe ist nun: Stelle einen Bereich für das ERP zur Verfügung in dem möglichst nichts passieren kann, auch wenn die Zugangsdaten in die Hände einer Ransomware-Group fallen. Die externen Vertriebler sind anständige Leute und machen nichts böses, die sind nur vielleicht mal unachtsam. Warum der Unterschied zu eigenen Leuten? Eigene Leute arbeiten auf zugenagelten und überwachten Geräten. Die Externen arbeiten auf irgendwas, weil die das wollen und sonst nicht für uns arbeiten. Und wir alle wissen, dass die Geschwister "Ich habe doch nur..." und "Ich wollte nur kurz..." der Anfang vom Übel sein können. Vielen Dank nochmals für die Tipps und die rege Teilnahme

Kleines Missverständnis, alles gut . Ja, genau Ich denke über so Sachen nach, dass z. B. über die ERP-Anwendung ein FileDialog geöffnet werden kann und darin dann ein fast vollwertiger Explorer zur Verfügung steht, was irgendwie dann auch Zugriff auf die Umgebung ist. Ich weiß ja nicht, was die bösen Buben alles können, aber einige von denen können wohl viel.