wznutzer

Aber ich gehe schwer davon aus, dass der Hinweis in der nachfolgenden Umfrage 10 Punkte zu vergeben nie gefehlt hat.

Öffentliches Zertifikat habe ich und Autodiscover funktioniert, aber halt "Cloud-Only". Vielen Dank, den DKIM-Agenten muss ich mir mal anschauen. Microsoft-Call hatte ich auch schon, der allerdings ohne konkrete Aussage geschlossen wurde.

Das muss ich mir mal anschauen und komme dann evtl. nochmals mit einer gezielten Frage zurück. Damit ich nicht in die falsche Richtung suche. Derzeit habe ich keine Hybrid-Umgebung. Ursprünglich war der lokale Exchange nur zur Verwaltung der AD-Attribute gedacht, weil er dann aber eh schon da war, dann halt noch ein lokales Relay. Ein Hybrid-Connector setzt dann auch eine komplette Hybrid-Umgebung voraus? Den Hybrid-Assistenten habe ich an der Stelle abgebrochen, als ich die Lizenz hatte.

Guten Abend, mir fehlt leider ein Ansatz mein Problem zu lösen. Im Prinzip verwende ich nur Exchange-Online. Für ein paar Dinge wie Scanner, ERP-Software verwende ich einen lokalen Exchange um Mails anzunehmen und an ExO zu senden. Der lokale ExO sendet direkt an den MX der Domain. Dafür ist in ExO in Relay eingerichtet, das Emails von einer bestimmten IP-Adresse annimmt. Das funktioniert prinzipiell. Hin und wieder kommt es vor, dass (warum auch immer) fast alle Emails die so gesendet werden, von Kunden, aber auch intern, als SPAM erkannt werden. Microsoft meint immer, das wäre ein Markenidentitätsdiebstahl. Ich kann überhaupt keinen Grund erkennen, warum das so ist. Es gibt nur eine Auffälligkeit, wenn man das so nennen kann, dass die Emails die über das Relay gesendet werden, erst in einem zweiten Schritt mit DKIM signiert werden. Lt. Header werden die Emails von lokalen Exchange ohne DKIM-Signatur gesendet und ExO fügt dann wohl die DKIM-Signatur ein. Die Analyse vom Security-Center (Office365) sagt mit bei solchen Emails DKIM:none. Hat hier irgendwer eine Idee warum das so ist? Grüße und einen schönen Abend

Das hier finde ich interessant. Network-Logons, also ein simpler Zugriff auf eine Freigabe, scheint in Ordnung, da muss man sich keine Sorgen machen. Konnte ich bestätigen, aber ich bin da überhaupt kein Experte. https://www.ired.team/offensive-security/credential-access-and-credential-dumping/network-vs-interactive-logons

Vielen Dank. Ich bin mir noch nicht sicher, ob ich das richtig verstanden habe. Ich muss das mal in Ruhe durchdenken und evtl. dann nochmals mit einer Frage zurückkommen. Das hier verstehe ich nicht (aus dem Link) Der Server-Admin kann auf den Server auch remote zugreifen. Damit landet sein Passwort-Hash aber im Hauptspeicher des verwendeten Clients – und das will ich nicht. Also werden auf Clients die Server-Admins in CORP-LogonLocallyDeny aufgenommen – das geht per Zielgruppenadressierung auf Win32_OperatingSystem.ProductType=1. Landet der Hash des Server-Admin, wenn er sich remote von einem Client anmeldet tatsächlich im Hauptspeicher des Clients? Ist der Hash nicht im RAM des Servers? Und wenn ich dem Server-Admin das Recht entziehe sich auf dem Client anzumelden, kann er sich doch noch immer vom Client auf dem Server anmelden. [Client] ->> [Server] = Hash im RAM des Servers [Server] ->> [Client] = Hash im RAM des Clients Bin ich da irgendwo gedanklich falsch abgebogen?

Guten Abend, ich verbiete lokalen User oder auch bestimmten Domänenuser den Login über das Netzwerk. Das funktioniert an sich auch, will aber sicher sein, dass ich keinen Denkfehler habe. DenyNetworkLogonRight - In der GptTmpl.inf heißt es SeDenyNetworkLogonRight, warum auch immer. Gast-Nutzer Klar, sind standardmäßig deaktiviert, aber da die GPO diese Einstellung nicht kumulativ setzt, sondern anstelle der Standardpolicy, hätte ich gerne die Gäste wieder drin. Standardmäßig steht da der User Gast drin, der ebenso standardmäßig deaktiviert ist. Diesen User Gast kann ich nicht in die GPO aufnehmen, weil dieser eine lokale SID hat (S-1-5-21-irgendwas-501). Weil ich auch Clients habe, an denen sich lokale Konten anmelden müssen, gibt es eine GPO für Gäste + andere Konten, aber ohne pauschal alle lokalen Konten. Um alle Gastkonten abzudecken füge ich folgendes hinzu: BuiltIn-Gäste (S-1-5-32-546), Domänengäste (S-1-5-21-domäne-514), Domänen-Gast (S-1-5-21-domäne-501). Der Domänen-Gast ist ebenfalls deaktiviert. Ist das korrekt, vergesse ich was? Vielen Dank und Grüße

Hallo, hast Du berücksichtigt, dass Regeln die verweigern immer gewinnen und Ausnahmen auf Pfade mit einem \* enden müssen? Um herauszufinden wer was gestartet hat, nutze ich procmon (Sysinternals). Da kannst Du die Spalte User einblenden und einen Filter anlegen. Grüße

Vielen Dank für den Input und das Angebot die Dienstleister per PN zu nennen.

Guten Tag, nur zur Vorsorge und hoffentlich niemals benötigt, dokumentiere ich, was bei einem IT-Sicherheitsvorfall (Ransomware usw.) getan werden muss. Während ich mir darüber im Klaren bin, was getan werden muss, um z. B. einmal alles neu zu machen, fallen mir zwei Punkte schwer. Analyse, also was das Einfallstor war. Idealerweise beauftragt man einen Dienstleister, aber was sollte der können? Bei AnyDesk wurde offiziell Crowdstrike genannt. Nimmt man einen Dienstleister der z. B. auch Pentesting anbietet? Ist die Nennung solcher Dienstleister hier überhaupt gewollt? Ich habe nun schon von mehreren Firmen die wir kennen gehört, dass diese bei solch einem Vorfall (Ransomware) auch die komplette Hardware ausgetauscht haben. Einen handfesten Grund der sich aus einer Analyse ergeben hat, konnte mir niemand nennen. Eher so: War sowieso mal wieder fällig. Hat der Dienstleister empfohlen. Sicher ist sicher, wer weiß. Gerade die Hardware zu tauschen wäre mir ohne konkreten Grund jetzt nicht eingefallen. Evtl. kann jemand aus Erfahrung berichten, danke.

Ui, dann fällt das für mich schon mal raus, weil es auch in Netzen funktionieren muss die ich nicht kontrolliere und in denen nur Port 80 und 443 geöffnet sind. Ich werde doch mal mit Splashtop rumwerkeln und hier berichten.

Ja, ich will auch von AnyDesk weg. Nicht weil diese einen Sicherheitsvorfall hatten, sondern wegen dem Umgang damit.

Guten Tag, die Kategorie passt nicht so ganz, aber ich wusste auch keine Bessere. Nachdem ich AnyDesk nicht mehr nutzen will, schaue ich nach Alternativen. Neben TeamViewer gibt es noch Splashtop, schaut ganz gut aus und funktioniert gut. Kannte ich bisher nicht, obwohl die wohl ein recht großer Player in diesem Geschäft sind. Hat Ihr Erfahrungen mit Splashtop oder was nutzt Ihr so? Danke und einen schönen Abend.

Vielen Dank für den Input. So sind die nächsten Regenwochenenden auch ausgebucht .

Evtl. zu früh gefreut oder auch nicht (https://learn.microsoft.com/en-us/entra/identity/app-proxy/application-proxy-faq) Can only IIS-based applications be published? What about web applications running on non-Windows web servers? Does the connector have to be installed on a server with IIS installed? No, there's no IIS requirement for applications that are published. You can publish web applications running on servers other than Windows Server. However, you might not be able to use preauthentication with a non-Windows Server, depending on if the web server supports Negotiate (Kerberos authentication). IIS isn't required on the server where the connector is installed. Das macht allerdings keinen Sinn, weil auch ausdrücklich andere Authentifizierungsarten als Windows-Authentifizierung unterstützt werden. https://techcommunity.microsoft.com/t5/microsoft-entra-blog/azure-ad-application-proxy-support-for-saml-based-apps-is-ga/ba-p/566356 Ich werde das einfach ausprobieren, danke.

Ich hatte den Anwendungsproxy so interpretiert, dass dieser sich "nur" für die Veröffentlichung der Azure WebApps eignet und nicht um ganze eigenständige Webserver zu veröffentlichen. Liegt vielleicht auch daran, dass man inzwischen einfach alles App nennt . Aber danke, anschauen werde ich mir das nochmals genau.

Guten Morgen, ich würde gerne einen Webserver hinter einer Authentifizierung veröffentlichen. Der Webserver wird evtl. ein Bookstack, Wiki.JS oder irgendwas ähnliches sein. Ziel ist, dass ich mich nicht auf die Authentifizierung der eingesetzten Software verlassen will, sondern nur Authentifizierte Zugriffe an den Webserver weitergereicht werden sollen (Reverse-Proxy). Ähnlich wie man das vor vielen Jahren mit einem Microsoft TMG für Exchange machen konnte. Idealerweise mit SSO, aber das soll hier nicht Thema sein. Der Webserver wird bei Azure laufen. Die Authentifizierung soll gegen das Azure-AD (Entra ID) gemacht werden. Mir ist es noch nicht gelunden im Azure-Universum das richtige Produkt zu finden. Application Gateway wäre was, aber das kann so wie es scheint keine User-Authentifizierung. Hat jemand einen Tipp für mich, welches Produkt bei Azure einem Reverse-Proxy mit User-Authentifizierung gleicht? Die meisten Produkte dieser Art können direkt per SAML oder OpenID angebunden werden. Aber ich hätte gerne, dass überhaupt keine unauthentifizierten Zugriffe auf dem Webserver landen. Schönen Tag

Guten Morgen, Es gibt ja einige Services um die Berichte auszuwerten. https://us.dmarcian.com/xml-to-human-converter/ https://mxtoolbox.com/Public/Tools/DmarcReportAnalyzer.aspx https://dmarc.postmarkapp.com/ https://easydmarc.com/tools/dmarc-aggregated-reports Allerdings macht mir da die DSGVO ein wenig Kopfzerbrechen. Mit https://mailhardener.com gäbe es ein Anbieter im DSGVO-Gebiet, habe ich aber noch nicht probiert. Wie macht Ihr das so? Danke und einen schönen Tag.

Wie bereits mehrfach erwähnt, ist das keine gute Idee. Nachfolgend die Erklärung warum: https://www.hasslinger.com/index.php/de/blog/das-missverstaendniss-mit-besitz-uebernehmen-und-den-ntfs-sowie-freigaberechten Evtl. möchtest Du auch noch das AGDLP-Prinzip anwenden, wenn es Dir was bringt. Ich habe z. B. da das "DL" weggelassen, weil keinen Nutzen. https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/

Gute Liste. Ich habe mich z. B. gegen das ständige Wechseln der Passwörter entschieden und wo möglich gMSA-Konten verwendet (ich hoffe korrekt konfiguriert ). Dafür lange, komplexe Passwörter per Richtlinie und Account-Lockout. Gerade das Auswerten von Logs hat mich auch schon beschäftigt, also das Erkennen wenn etwas passiert ist. Security Onion finde ich gut, werde ich wahrscheinlich demnächst produktiv einsetzen. Dauerhaft darf es aber nicht zu oft Alarm geben, wenn nichts ist. Wenn man Veeam einsetzt, kann man z. B. mit Sure-Backup die Backups automatisiert offline scannen, wenn der Scanner per Kommandozeile gesteuert werden kann. Wer mag kann den Scanner von Nextron probieren, macht mir aber zu viele Fehlalarme. Jetzt sind wir zwar etwas von "Security für Admin-Accounts weg", aber trotzdem interessant.

Ein Adminrechner bzw. Jumphost, Credential Guard ist aktiv. Das ist auch tatsächlich ein Schwachpunkt, der evtl. die anderen Maßnahmen einstürzen lassen kann. Überlegungen Über eine ausgehende RDP-Verbindung (Sicherheitslücke) kann auf dem Adminrechner Code ausgeführt werden. Möglich, aber das Risiko einer Sicherheitslücke die alle Maßnahmen außer Kraft setzt, kann es immer geben. Der Adminrechner nimmt kaum Verbindungen über das Netzwerk an oder nur von bestimmten Endpunkten aus ==> Windows-Firewall. Muss der Adminrechner in der Domäne sein? Ich habe mich für ja entschieden, weil wenn der Adminrechner von der Domäne aus "übernommen" wird, ist es sowieso schon vorbei. Ich will ja den Adminrechner nicht vor der Domäne beschützen. Kann jemand unberechtigter physischen Zugriff auf den Adminrechner haben, wenn nein, würde auch Bitlocker nichts bringen. Applocker, hoffentlich so konfiguriert, dass die meisten Schwachstellen geschlossen sind. Wie noch könnte Code ausgeführt werden? PsExec (Sysinternals) nutzt Pipes über Port 139, 445. Braucht aber Credentials vom Rechner. Auch hier gilt, der lokale Admin geht nicht, aber natürlich der reguläre Adminuser (der natürlich keine Adminrechte hat). Also dürfen diese Credentials auf keinem anderen Gerät landen. Derzeit ist das organisatorisch. Die werden einfach nirgendwo anders eingegeben.

Ich kann Dir nicht sagen was alles richtig ist, da gibt es hier viel bessere Experten als mich. Ich kann nur erzählen was ich gemacht habe, mit knapp 100 MA. Aufteilung der Server in Tier 0 - 2. Zusätzlich habe ich innerhalb eines Tiers noch teilweise nach Funktionen getrennt. Aus dieser Aufteilung ergeben sich dann die einzelnen Identitäten. Domänenadmin wird ausschließlich zur Verwaltung der Domäne verwendet und darf sich auch sonst nirgendwo einloggen. Per GPO wird dieser automatisch von allen Workstations und Server entfernt. Natürlich auch nicht um einen Client in die Domäne aufzunehmen, entfernen, umzubenennen. Der Domänenadmin und auch alle anderen Identitäten die besondere Berechtigungen haben ist es per GPO verboten sich per Netzwerk zu verbinden. Das gilt natürlich nur für die Geräte, VMs denen die Identität nicht zugewiesen wurde. Den lokalen Adminaccounts ist es auch verboten sich per Netzwerk zu verbinden. RDP, WinRM usw. ist per Windows-Firewall auf bestimmte Endpunkte beschränkt. Schwachpunkt ist der Adminrechner, aber auf diesem gibt es kein Internet und auch keine Emails. Telefon, Alarm, Feuer, Zugangssysteme usw. alles in separaten VLANs Backup (geprüft und Wiederherstellung geübt) mehrfach online und offline. Doku für den schlimmsten aller Notfälle. Das Hantieren mit den unterschiedlichen Logins finde ich gar nicht schlimm. Es hilft aber ungemein, wenn man die Passwörter auswendig kennt. Sonst steht Du irgendwann im Keller und kannst nichts machen, weil dein bevorzugter Passwortsafe da nicht läuft. Grüße und schönes Wochenende

Das habe ich tatsächlich gemacht. Bei mir scheint alles OK. Auch der Selektor2 bei DKIM funktioniert, der ja bei der Einrichtung manchmal erst nach dem Rotieren der Keys funktioniert. Ab und zu nutze ich mail-tester.com, der sagt mir zwar ab und zu, dass die IP von der Emails gesendet werden auf irgendeiner Blacklist steht, aber da das eine Microsoft-IP ist, kann ich da auch nichts machen. Ich bekomme gar kein NDR. Sein Spamfilter fischt die Email einfach weg. Also er nimmt Sie aus meiner Sicht an, stellt die Mail aber nicht zu. Ich muss mal schauen, ob ich jemand ans Telefon bekomme, der da nicht nur "Stille-Post-Antworten" weitergibt. Vielen Dank an euch.

Vielen Dank für die Bemerkungen. Alles klar, ich werde empfehlen das zu lassen und den Rest ordentlich zu machen. Aber auch der Hostname lässt sich im Microsoft-Universum, meine ich, so nicht prüfen. Die Email wird z. B. von einer IP: X.X.X.X und dem Hostnamen EURXX-DBX-obe.outbound.protection.outlook.com gesendet. Die rDNS sagt dann aber die IP: X.X.X.X gehört zu mail-dbXeurXXonXXXX.outbound.protection.outlook.com. Darauf habe ich ja keinen Einfluss. Grüße und einen schönen Abend

Guten Tag, ein Kunde lehnt Mails von mir ab. Sein Spamfilter prüft per Reverse-DNS, ob die IP zur Domäne passt. Interessanterweise macht er das, obwohl SPF, DKIM, DMARC korrekt konfiguriert ist. Er will halt auch einen gültigen Reverse-DNS. Ich kann aber bei Exchange-Online gar keinen rDNS setzen. Lt. meinen Tests ändert sich das ja ständig. Wenn SPF, DKIM, DMARC alles simmt, ist es doch Unsinn eine Email wegen fehlendem rDNS abzulehnen, oder? Grüße