wznutzer

Ja, das ist berücksichtigt. Danke für die weiteren Tipps. Weil die Absicht des Erfahrungsaustausches nicht die Betrachtung des kompletten Netzwerks ist. Hast Du einen Link mit erklärenden Infos wie @testperson? Das was ich beabsichtigt habe, ist ein Erfahrungsaustausch über die Prüfung eines Systems unabhängig der Schutzmaßnahmen. Ich könnte auch sagen, mein Kumpel bringt mir seinen PC, um mal zu schauen, ob dieser clean ist. Welche Wege gibt es? Dann würde ich auch nicht nach den Schutzmaßnahmen fragen. Es geht ja darum festzustellen, ob Malware den Schutz überwunden hat. Genau das passiert jeden Tag, auch in den größten Firmen.

Welche Nachschärfungen bei Applocker meinst Du konkret? Vor welchem Angriffsszenario schützen mich die Nachschärfungen? Eine komplette Strategie kann meist nicht im einem Forum besprochen werden, aber ganz konkrete Fälle schon. Hier ging es mir darum, wenn aus irgendeinem Grund die Strategie drumherum versagt hat, was dann zu tun ist. Auch nicht im konkreten Fall, dass alle Ampeln auf rot stehen, sondern die Fälle in denen es auch nur um den Ausschluss von Malware bei der Fehleranalyse geht. Die dann greifenden Maßnahmen können gut oder schlecht sein, aber es sollte ein Vorgehen geben.

User dürfen nur Programme ausführen die in Pfaden liegen in denen sie keine Schreibrechte haben. Für einen Spezialfall (E-Post) gibt es eine Signatur-Regel. Ansonsten ist https://www.gruppenrichtlinien.de/artikel/applocker-oder-software-restriction-policies-loecher-im-sicherheitszaun beachtet. Das gibt es, aber ich weiß halt nicht wie gut der ist. Lt. Marketing natürlich der Beste. Kannte ich bisher nicht. Ich fürche dafür sind wie hier zu klein um das als separaten Service zu haben, aber anschauen muss ich mir das trotzdem mal. SentinelOne soll das ja wie eine Art Virenscanner machen. Kenne das aber auch nur vom Hörensagen.

Hallo zusammen, ich würde mich über einen Erfahrungsaustausch freuen, was getan werden kann, wenn ein PC/VM als Verdachtsfall für Malwarebefall gilt. Selbstverständlich versucht man das alles zu verhindern, aber wenn halt trotzdem mal was passiert. Wenn es auch nur halbwegs eindeutig ist, wird natürlich neu installiert oder ein frisches Image verwendet. Ich meine folgende uneindeutige Fälle: Der Virenscanner blockiert eine URL. Der Anwender hat halt doch auf einen Link in einer Spam-Mail geklickt, die durchgerutscht ist. Irgendein seltsames Verhalten, bei dessen Analyse man Malware ausschließen will. Also Fälle in denen man eher vermutet, dass nichts ist, das aber trotzdem noch absichern will. Ich mache bisher folgendes: Analyse mit Autoruns, ProcessExplorer von Sysinternals Scann mit Thor Lite von Nextron, wobei da die Ergebnisse mit Vorsicht zu bewerten sind und auch oft eher verwirren als helfen. Scan mit Desinfect, das in den letzten Versionen leider immer unbrauchbarer geworden ist. Scan mit Eset Rescue-CD (bei VMs funktioniert das gut, beim Blech eher nicht). ADWCleaner von Malwarebytes Auf den RDSH, auf denen die User stark eingeschränkt sind und auch Applocker aktiv ist, lösche ich das Profil. Bei den RDSH mache ich das sogar immer mal wieder, auch wenn es keinen Anhaltspunkt gibt (dann natürlich ohne Profile zu löschen). Über ein paar Tipps würde ich mich freuen.

Ich habe das so gemacht: https://learn.microsoft.com/de-de/azure/active-directory/authentication/howto-mfa-nps-extension-rdg Wenn Du die Anleitung abarbeitest kommst Du an einen Punkt an dem Du ein Powershellscript ausführen musst. Bei mir hat das erst funktioniert nachdem ich im Script den Namen des Netzwerkdienstes auf deutsch übersetzt habe, falls Du auch ein OS mit deutscher Sprache nutzt.

Mit dem HTML5 meinte ich den RDP-Client im Browser: https://learn.microsoft.com/de-de/windows-server/remote/remote-desktop-services/clients/remote-desktop-web-client-admin https://woshub.com/rds-html5-web-client/ Ich meinte das: Die RFC fordert, dass die Identität nicht mehr durch den CN festgestellt wird, sondern durch einen oder mehrere DNS-Einträge im SAN. https://tools.ietf.org/html/rfc2818 Ich mache das 1x im Jahr manuell. Zu den Rollen, ich habe das so: 1x VM: Broker, Lizenz, NPS (nicht das was mit dem RDG installiert wird, sondern separat wegen Azure-MFA), RDWeb (nur intern) Xx VM: Session Host (da ist nichts anderes drauf) 1x VM: RDG (Veröffentlichung über Reverse-Proxy mit Azure MFA) Infrastruktur, Worker und Veröffentlichung ist so getrennt. Schöner wäre alles zu trennen, aber für meine Umgebung bin ich so zufrieden, auch wenn es so nicht perfekt ist. Würde ich RDWeb oder den Zugriff über den HTML5-Client veröffentlichen, würde ich das mit auf den RDG packen. Veröffentlichen würde ich nur mit MFA oder VPN ebenfalls nur mit MFA. Zur Frage, ob Du den RDG brauchst, wenn Du den NGinx als Reverse-Proxy hast. Wenn Du den RDP-Client mstsc oder die UWP-App verwenden willst, geht das meines Wissens nicht ohne. Außer halt den Port direkt freigeben, aber das macht man eigentlich nicht mehr.

Hallo, was willst Du veröffentlichen? Sollen die User direkt per RDP-Client von extern arbeiten oder über RD Web Access oder über den HTML5-Client. RD Web Access macht ja auch "nur" eine RDP-Verbindung, also nicht im Browser. Zertifikate kaufst Du bei einem der öffentlichen Aussteller, wenn Du eigene ausstellst, achtest Du darauf, dass der Verbindungsname auch im SAN drinsteht, sonst gehen die Webseiten in allen gängigen Browsern nicht. Grüße

Ich bin mir nicht sicher, ob ich das verstanden habe => Domänenerkennung im Public Profile. 1. Das Notebook wird verbunden und aktiviert das Public Profile, weil es "irgendwo" ist. 2. User wählt sich im VPN ein und kann alles machen was er so darf 3. Bei mir steht das Firewal-Profil aber noch immer auf Public. Schaltet das nach der VPN-Verbindung bei Dir tatsächlich auf Domäne um? Dann wären meine Bemühungen im Public Profile außer Kraft. Das würde man ja nicht wollen. Wo ist hier mein Denkfehler?

Manche Geräte sind kaum außer Haus, während ich andere nur 1x im Jahr sehe. Es handelt sich um Vertriebler und Supporter mit recht viel individuellen Einrichtungen. Wenn ich das regelmäßig lösche muss ich an der nächsten Weihnachtsfeier alleine im Eck mit dem Gesicht zur Wand sitzen . Daran hatte ich bisher nicht gedacht. Im Prinzip alles zu, das nicht für Internet (80, 443) und das VPN verwendet wird . Edit: Auch an das AD / Virenscanner / Voip-Client denken. Muss ich vielleicht später noch eine Frage stellen. Das habe ich tatsächlich so fein aufgegliedert, dass ich mit einiger Sicherheit sagen kann, dass das was erlaubt ist, auch notwendig ist. Vielen Dank für die Anregungen. Man kann dann aber doch sagen, dass es schon so etwas wie damals Blaster oder Sasser braucht um einen Windows PC zu kompromitieren, wenn der User nicht *mithilft*.

Hallo, immer wieder denke ich über die Sicherheit mobiler Arbeitsplätze nach. Sorgen macht mir immer wieder die Tatsache, dass diese Notebooks in irgendwelche Netze eingebucht werden, die ich gar nicht kenne und nicht weiß was darin so alles steckt. Notebooks sind natürlich immer aktuell User haben keine Adminrechte Bitlocker (um z. B. die Sache mit utilman zu verhindern) Verbindung in das Netzwerk per VPN mit MFA. Windows Firewall ist aktiv Notebooks bieten keine Dienste aktiv an lokaler Admin hat ein kompliziertes Passwort Virenscanner Im Defender Portal registriert (so bekommen wir auch Sachen mit, wenn keine VPN-Verbindung besteht) RDP (leider notwendig) ist nur im Domänenprofil (Firewall) aktiv. Somit sollte doch eigentlich die Windows-Firewall allem standhalten. Am liebsten wäre mir natürlich es gäbe das nicht, aber das ist unrealistisch. Mich würde interessieren, ob ihr darüberhinaus noch speziellere Einstellungen an der Windows-Firewall oder sonstiges vornimmt? Out of the box gibt es doch einige aktive Regeln die eingehenden Traffic erlauben, alle deaktivieren? Die Erkennung welches Firewall-Profil genommen werden soll, scheint gut zu funktionieren, nur die Abfrage, ob der Computer im Netzwerk gefunden werden soll, ist da etwas hinderlich. Über ein paar Anregungen würde ich mich freuen.

Hallo, falls jemand gerade neue Hardware plant. Aktuell gibt es ein Problem mit Windows Server 2022. Manche Plattformen sind nicht mit 1 CPU funktionsfähig, z. B. Lenovo SR665 V3. Mit 2 CPUs soll es gehen. Man müsste mit dem ISO aus 11/22 installieren und nicht patchen. Man merkt es gleich, BSOD beim Booten in pci.sys 😬. Patch ist für Herbst/Ende des Jahres angekündigt. Grüße

Prima Idee. Z. B. sowas https://www.lenovo.com/de/de/p/desktops/thinkcentre/thinkcentre-neo-series/thinkcentre-neo-50q-gen-4-thin-client-(intel)/len102c0030#tech_specs

Alles klar, danke für die Mühe.

Danke. Es steht nichts an. Ich wollte nur die Möglichkeiten ausloten wie ich Kontakt zu guten Dienstleister bekommen könnte.

Nur aus Interesse am Lernen. Hast Du die Wiederherstellung lt. dem Veeam KB wiederholt?

Guten Tag, ich hoffe das Thema ist hier richtig. Wenn ich mal einen speziellen Workshop/Training oder eine Beratung / zweite Meinung zu einem Thema als Dienstleistung buchen will, was wird hier gerne gesehen? Thema hier eintragen und um eine PN bitten, wer daran interesse hat? Danke und Grüße Edit: Gerade gesehen, nur Tipps und Links posten .

Doch habe ich wahrgenommen. Ich versuche immer dran zu denken. Was ich nicht so gerne mag, ist das Mischen von Rollen wenn eine den IIS benötigt. Da ich die Webregistrierung nicht installiert hätte, war das in meiner Überlegung OK. Ich habe das schon verstanden. So Dinge werden halt getrennt, das ist die richtige Vorgehensweise. Es gibt auch kein Argument, dass das Mischen rechtfertigt und trotzdem die Qualität hoch hält. Wenn man mischt, hat man das einfach schlechter gemacht, als das gehen würde. Ganz so schlimm ist es nicht. Ich habe natürlich mehrere DCs. Die derzeit installierte CA lief einfach mit. Der damalige Installateur hat das einfach mal so auf Vorrat installiert. Vor 2-3 Jahren hat MS dann mal bei einem Update darauf hingewiesen, dass LDAPs zu aktivieren sei. Da war die dann schon da und die DCs hatten Zertifikate. Sonst hatte die CA nichts zu tun, außer die erwähnten EFS Zertifikate, die vermutlich durch "rumspielen" der User automatisch ausgestellt worden sind, weil das nicht unterbunden war. Vielen Dank für den Input, ich lerne gerne.

OK, „best practice“ und geringe Lizenzkosten passt nicht zusammen. Dann bleibt nichts anderes als abzuwägen, mit was man gut zurecht kommt, wenn die VM, warum auch immer, mal neu gemacht werden muss. Ich verstehe was Ihr meint. Wenn eine Rolle Ärger macht und diese neu gemacht werden muss und deswegen ein noch einwandfrei funktionierender Dienst auch eingeschränkt wird, ist das schlecht. Vielen Dank für euren Input.

OK, verstanden. Ich gehe davon aus, dass ihr Lizenzkosten nicht als valides Argument gelten lässt. Wenn ich nun möglichst alles nach "best practices" haben will und trotzdem die Kosten im Blick haben muss, muss ich ja irgendwann anfangen, dass eine VM mehrere Rollen übernimmt. Je größer das Netzwerk, desto mehr wird man wohl trennen. Aber was kann ich denn guten Gewissens zusammenlegen? Bisher trenne ich nach Infrastruktur und Workern und nichts kurzfristiges mit etwas das ich langfristig brauche. Nur mal so als Beispiel. Eine CA und das Bereitstellen des DFS hätte ich jetzt auch zusammengepackt, ihr nicht?

@cj_berlin Und a propos - bitte installiere keine CA auf einem DC und installiere auch nicht das Web Enrollment! (Das Zitat habe ich aus einem anderen Thread kopiert.) Warum sollte man das nicht tun (CA auf DC)? Gibt es einen Grund, dass es dann eine Funktionseinschränkung gibt oder geht die Überlegung eher in die Richtung, dass ein DC nur ein DC sein sollte? In Bücher, Schulungsvideos wird das immer erwähnt, allerdings ohne Begründung.

Evtl. stehe ich etwas auf dem Schlauch. Zusammenfassend kann man sagen: Wenn man nicht migriert sind halt evtl. die verschlüsselten Daten der EFS-Zertifikate verloren. Wobei sich niemand daran erinnern kann, das absichtlich verwendet zu haben. Will man dieses Risiko ausschließen, muss man halt migrieren. Die ausgestellten Zertifikate für die DCs sind kein Problem, werden neu erzeugt, wenn eine AD-integrierte Zertifizierungsstelle installiert wird. Für die DCs sollte man eine Kerberos-Vorlage verwenden: https://learn.microsoft.com/de-de/windows/security/identity-protection/hello-for-business/hello-cert-trust-validate-pki Bereits ausgestellte Zertifikate werden so ersetzt. Die in meinem Ausgangspost beschriebene Reihenfolge ist falsch. Man muss zuerst die alte Zertifizierungsstelle deinstallieren *bevor* man die neue installiert. Das gilt für die AD integrierte CA. Macht man das andersrum ist die neue CA nicht mehr funktionsfähig. Es ist kein Problem mal kurzzeitig keine CA zu haben. Die Zertifikate sind ausgestellt und dem Root-Zertifikat wird weiterhin vertraut. Danke für die Tipps.

Danke. Ich bin selber darunter. Naja, die Haare sind schon grau, evtl. unbeabsichtigt. Die Zertifikate für die Domaincontroller werden bei einer Neuinstallation einfach neu ausgestellt, also wenn ich die Zertifizierungsstelle neu installiere? Aber wahrscheinlich denke ich hier zu kompliziert und in die falsche Richtung. In der Zwischenzeit hätte ich das ja wahrscheinlich schon migriert und die Fragen stellen sich dann gar nicht.

Mein Fehler, falsch ausgedrückt. Es gibt keine Zertifikate deren Ausstellung ich selbst angetriggert habe. Es gibt ein paar Basis EFS Zertifikate und die der Domaincontroller. Warum die Basis EFS Zertifikate ausgestellt sind, weiß ich nicht. Ich weiß aber sicher, dass EFS nicht verwendet wird. Bedeutet das, dass ich besser doch eine Migration machen sollte(https://learn.microsoft.com/de-de/troubleshoot/windows-server/identity/move-certification-authority-to-another-server), weil ich sonst die Domäne schrotte?

Guten Morgen, ich plane die Migration für eine meiner AD-Domänen. Nun hat sich mir eine, für euch wahrscheinlich, blöde Frage gestellt. Die installierte Zertifizierungsstelle hat keine ausgestellten Zertifikate (die wenigen Zertifikate sind gekauft). Nun kam die Idee, dass es dann auch nichts zu migrieren gibt und ich mir diese Schritte sparen kann. Würde folgendes funktionieren? Neuer DC installieren (von W2K12R2 nach W2K22), hochstufen, FSMO-Rollen übertragen Zertifizierungsstelle einfach neu auf einem der W2K22 installieren (AD-integriert) oder ganz weglassen (wurde ja nicht gebraucht) Zertifizierungsstelle auf dem alten W2K12R2 deinstallieren und diese herunterstufen. Ich hätte ja kurzzeitig zwei integrierte Zertifizierungsstellen, das macht mir etwas sorgen, andererseits können ja auch keine Zertifikate ungültig werden, gibt ja keine. Könnt Ihr mir helfen den Knoten im Kopf zu lösen?

Guten Abend, wenn man Applocker verwendet, sollte man den Zugriff auf c:\ sperren, weil der Schutz sonst umgangen werden kann (Leerzeichen in Pfade). Die meisten hier werden das ohnehin wissen. Aber wie stelle ich das am besten an? Mit älteren OS-Versionen wurden Sicherheitsrichtlinien ausgeliefert, da war dann auch eine rootsec.inf dabei. Die konnte man importieren und per GPO verteilen. Oder halt manuell zusammenklicken oder auch als lokale Richtlinie. Das ist soweit klar. Passt diese alte Richtlinie, wie z. B. hier beschrieben: https://www.gruppenrichtlinien.de/artikel/rootsecinf-keine-ordner-auf-c-erstellen. noch auf einen W2K22? Ein W2K22 zeigt frisch nach der Installation folgendes: Ich würde jetzt die rot umrahmten Einträge entfernen, "Jeder" gibt es auf einem W2K22 nicht mehr standardmäßig auf c:\. Aber wird jetzt in der Richtlinie die Vererbung aktiviert oder nicht? Ich würde meinen ja, bin mir aber nicht sicher. Das Vererben würde ja nur neue Ordner auf c:\ treffen. Richtig? Natürlich nicht die Rechte aller Unterordner neu setzen, das ist klar. Aber das wäre per GPO, soweit ich weiß, nicht machbar. Diesen Fehler könnte man nur beim manuellen zusammenklicken machen. Grüße und einen schönen Abend