wznutzer

Guten Tag, beim Konzept der Tiers versucht man grob gesagt zu verhindern, dass die Credentials von höher privilegierten User wie Tier1 nicht in Tier 2 landen. Also ein Account, der Tier1 zugeordnet ist, darf sich nicht an einem Tier2 PC anmelden. Wie sind da Network-Logons zu beurteilen? Also ich kopiere etwas mit einem Tier1 Account auf die SMB-Freigabe eines Tier2 PCs oder auf ein NAS in Tier2. Ich meine irgendwo mal gehört zu haben, dass das unbedenklich ist. Aber ist das so? Danke

Hallo, es heißt, dass man geschützt sein sollte, wenn man Microsoft Defender for Office 365 nutzt. Habe ich zwar, aber wenn eine präparierte Office-Datei von irgendwoher anders geöffnet wird und nicht per Dateianhang ankommt, sollte man wahrscheinlich trotzdem die Keys per GPO setzen.

https://learn.microsoft.com/de-de/troubleshoot/windows-client/networking/saving-restoring-existing-windows-shares

Danke, das handhabe ich genau so. Ich versuche das noch etwas zu verbessern in dem ich auf RDS-Hosts oder auch hin und wieder bei einen der anderen Server noch sozusagen anlasslose Kontrollen vornehme. Aber ich habe nun gelernt, dass ich da wohl ziemlich alleine mit dastehe . Teilweise mache ich das auch, mit Veeam. Darf ich fragen, welches Backup Du nutzt?

Da rennst Du bei mir offene Türen ein. Aber wann ist die Schwelle erreicht es neu zu machen? Schon wenn der AV eine URL bei einer Internetrecherche meldet oder die Phishing-Mail angeschaut wurde? Die 3-4 Stunden sind auch nicht zu viel, aber wenn jemand schreibt, dass das auch in 20 Minuten geht, wundere ich mich schon. So lange geht die Installation schon von einem Stick. Wahrscheinlich ist das so. Aber trotzdem versuchen wir doch ständig irgendwas besser zu machen und dazu zu lernen. Andere Meinungen zu kennen, finde ich schon sehr hilfreich. Der Mensch davor bleibt.

Ich würde etwas als "clean" bezeichnen, wenn keine andere Software drauf läuft als diejenige die vorgesehen ist. Dem stimme ich zu und handle auch so. Aber wann ist etwas mutmaßlich kompromittiert? Klar wenn das Monitoring dubiose Verbindungen protokolliert, auf eine Rechnung.pdf.exe geklickt wurde, all diese Sachen, keine Frage, das Teil wird neu gemacht. Aber wenn der User bei einer Internetrecherche irgendwo draufgeklickt hat und der AV meldet einen Zugriff auf eine URL, irgendwas im Browsercache oder er hat den Link in der Email angewählt eine blöde Internetseite geöffnet, die Logindaten abgreifen will und wieder zugemacht. Ist so etwas schon ein "Sicherheitsfall"? Dass ich überhaupt etwas merke, muss mir der Nutzer ja berichten oder irgendein Monitoring muss anschlagen. Aber wenn der User 1 Tag bevor etwas erkannt werden kann schon draufklickt? Dann würde ich das gerne bei "regelmäßigen Wartungsarbeiten" feststellen. Und genau um diese möglichen Prüfungen geht es mir. Ich habe das wahrscheinlich falsch formuliert. Oft heißt es ja, dass ein Netz manchmal schon Wochen/Monate kompromittiert ist, bevor man das merkt. Was hätte man in den Wochen/Monate machen müssen um zu bemerken, dass etwas nicht stimmt? Hätte man das mit etwas Übung, Autoruns, ProcessExplorer, Thor, Offline-Scan bemerken können?

Das ist mal konsequent. Evtl. hat da auch die Überlegung mitgespielt, dass man es nicht mit Wald und Wiesen Malware zu tun hat. Darf ich etwas OT werden? Meinst Du Puppet, Ansible und Co? Oder den Weg alles einzeln zu recherchieren (Powershell, Registrykeys usw.). Bis alle Schrauben dran sind, komme ich immer auf 3-4 Stunden.

Danke für Deine Mühe, aber Du versuchst eine Frage zu beantworten die ich nicht gestellt habe. Evtl. reden wir auch aneinander vorbei. Der letzte Punkt gehört zu den regelmäßig stattfindenden Wartungsarbeiten. Die Frage war, wie stelle ich fest, ob ein System clean ist? Nicht, wie stelle ich sicher, dass mein System clean bleibt? Auch wichtig, aber halt eine andere Baustelle, auch wenn es dazugehört. Inzwischen habe ich eine Meinung eines Dienstleisters, wie das in sehr großen Umgebungen die auditiert, zertifiziert und was es noch alles gibt sind, gemacht wird. Da wird diese Frage erst gar nicht gestellt. Da gilt: Ein System ist per Definition clean, wenn die installierten Monitoring-Maßnahmen nichts melden. Ist die Mail durchgerutscht und der User hat draufgeklickt, der AV hat die Url geblockt, gibt es keine weiteren Maßnahmen. Der Grund für diese Sichtweise ist aber nicht, weil man das zu 100% so sicher sagen kann, sondern aufgrund der schieren Größe (mehrere 1000 Clients) gar nicht anders zu handeln ist. Mir ist schon klar, dass es keine Maßnahme gibt, die zu 100% sagen kann, dass ein System clean ist. Aber zwischen "ich mache nichts" und "100%" gibt es ja noch etwas dazwischen. Interessant wäre zu wissen, ob bei allen Fällen die bekannt werden, solche regelmäßigen Maßnahmen nicht in einigen Fällen dazu geführt hätten, dass eine Kompromitierung frühzeitig entdeckt worden wäre.

Ja, das ist berücksichtigt. Danke für die weiteren Tipps. Weil die Absicht des Erfahrungsaustausches nicht die Betrachtung des kompletten Netzwerks ist. Hast Du einen Link mit erklärenden Infos wie @testperson? Das was ich beabsichtigt habe, ist ein Erfahrungsaustausch über die Prüfung eines Systems unabhängig der Schutzmaßnahmen. Ich könnte auch sagen, mein Kumpel bringt mir seinen PC, um mal zu schauen, ob dieser clean ist. Welche Wege gibt es? Dann würde ich auch nicht nach den Schutzmaßnahmen fragen. Es geht ja darum festzustellen, ob Malware den Schutz überwunden hat. Genau das passiert jeden Tag, auch in den größten Firmen.

Welche Nachschärfungen bei Applocker meinst Du konkret? Vor welchem Angriffsszenario schützen mich die Nachschärfungen? Eine komplette Strategie kann meist nicht im einem Forum besprochen werden, aber ganz konkrete Fälle schon. Hier ging es mir darum, wenn aus irgendeinem Grund die Strategie drumherum versagt hat, was dann zu tun ist. Auch nicht im konkreten Fall, dass alle Ampeln auf rot stehen, sondern die Fälle in denen es auch nur um den Ausschluss von Malware bei der Fehleranalyse geht. Die dann greifenden Maßnahmen können gut oder schlecht sein, aber es sollte ein Vorgehen geben.

User dürfen nur Programme ausführen die in Pfaden liegen in denen sie keine Schreibrechte haben. Für einen Spezialfall (E-Post) gibt es eine Signatur-Regel. Ansonsten ist https://www.gruppenrichtlinien.de/artikel/applocker-oder-software-restriction-policies-loecher-im-sicherheitszaun beachtet. Das gibt es, aber ich weiß halt nicht wie gut der ist. Lt. Marketing natürlich der Beste. Kannte ich bisher nicht. Ich fürche dafür sind wie hier zu klein um das als separaten Service zu haben, aber anschauen muss ich mir das trotzdem mal. SentinelOne soll das ja wie eine Art Virenscanner machen. Kenne das aber auch nur vom Hörensagen.

Hallo zusammen, ich würde mich über einen Erfahrungsaustausch freuen, was getan werden kann, wenn ein PC/VM als Verdachtsfall für Malwarebefall gilt. Selbstverständlich versucht man das alles zu verhindern, aber wenn halt trotzdem mal was passiert. Wenn es auch nur halbwegs eindeutig ist, wird natürlich neu installiert oder ein frisches Image verwendet. Ich meine folgende uneindeutige Fälle: Der Virenscanner blockiert eine URL. Der Anwender hat halt doch auf einen Link in einer Spam-Mail geklickt, die durchgerutscht ist. Irgendein seltsames Verhalten, bei dessen Analyse man Malware ausschließen will. Also Fälle in denen man eher vermutet, dass nichts ist, das aber trotzdem noch absichern will. Ich mache bisher folgendes: Analyse mit Autoruns, ProcessExplorer von Sysinternals Scann mit Thor Lite von Nextron, wobei da die Ergebnisse mit Vorsicht zu bewerten sind und auch oft eher verwirren als helfen. Scan mit Desinfect, das in den letzten Versionen leider immer unbrauchbarer geworden ist. Scan mit Eset Rescue-CD (bei VMs funktioniert das gut, beim Blech eher nicht). ADWCleaner von Malwarebytes Auf den RDSH, auf denen die User stark eingeschränkt sind und auch Applocker aktiv ist, lösche ich das Profil. Bei den RDSH mache ich das sogar immer mal wieder, auch wenn es keinen Anhaltspunkt gibt (dann natürlich ohne Profile zu löschen). Über ein paar Tipps würde ich mich freuen.

Ich habe das so gemacht: https://learn.microsoft.com/de-de/azure/active-directory/authentication/howto-mfa-nps-extension-rdg Wenn Du die Anleitung abarbeitest kommst Du an einen Punkt an dem Du ein Powershellscript ausführen musst. Bei mir hat das erst funktioniert nachdem ich im Script den Namen des Netzwerkdienstes auf deutsch übersetzt habe, falls Du auch ein OS mit deutscher Sprache nutzt.

Mit dem HTML5 meinte ich den RDP-Client im Browser: https://learn.microsoft.com/de-de/windows-server/remote/remote-desktop-services/clients/remote-desktop-web-client-admin https://woshub.com/rds-html5-web-client/ Ich meinte das: Die RFC fordert, dass die Identität nicht mehr durch den CN festgestellt wird, sondern durch einen oder mehrere DNS-Einträge im SAN. https://tools.ietf.org/html/rfc2818 Ich mache das 1x im Jahr manuell. Zu den Rollen, ich habe das so: 1x VM: Broker, Lizenz, NPS (nicht das was mit dem RDG installiert wird, sondern separat wegen Azure-MFA), RDWeb (nur intern) Xx VM: Session Host (da ist nichts anderes drauf) 1x VM: RDG (Veröffentlichung über Reverse-Proxy mit Azure MFA) Infrastruktur, Worker und Veröffentlichung ist so getrennt. Schöner wäre alles zu trennen, aber für meine Umgebung bin ich so zufrieden, auch wenn es so nicht perfekt ist. Würde ich RDWeb oder den Zugriff über den HTML5-Client veröffentlichen, würde ich das mit auf den RDG packen. Veröffentlichen würde ich nur mit MFA oder VPN ebenfalls nur mit MFA. Zur Frage, ob Du den RDG brauchst, wenn Du den NGinx als Reverse-Proxy hast. Wenn Du den RDP-Client mstsc oder die UWP-App verwenden willst, geht das meines Wissens nicht ohne. Außer halt den Port direkt freigeben, aber das macht man eigentlich nicht mehr.

Hallo, was willst Du veröffentlichen? Sollen die User direkt per RDP-Client von extern arbeiten oder über RD Web Access oder über den HTML5-Client. RD Web Access macht ja auch "nur" eine RDP-Verbindung, also nicht im Browser. Zertifikate kaufst Du bei einem der öffentlichen Aussteller, wenn Du eigene ausstellst, achtest Du darauf, dass der Verbindungsname auch im SAN drinsteht, sonst gehen die Webseiten in allen gängigen Browsern nicht. Grüße

Ich bin mir nicht sicher, ob ich das verstanden habe => Domänenerkennung im Public Profile. 1. Das Notebook wird verbunden und aktiviert das Public Profile, weil es "irgendwo" ist. 2. User wählt sich im VPN ein und kann alles machen was er so darf 3. Bei mir steht das Firewal-Profil aber noch immer auf Public. Schaltet das nach der VPN-Verbindung bei Dir tatsächlich auf Domäne um? Dann wären meine Bemühungen im Public Profile außer Kraft. Das würde man ja nicht wollen. Wo ist hier mein Denkfehler?

Manche Geräte sind kaum außer Haus, während ich andere nur 1x im Jahr sehe. Es handelt sich um Vertriebler und Supporter mit recht viel individuellen Einrichtungen. Wenn ich das regelmäßig lösche muss ich an der nächsten Weihnachtsfeier alleine im Eck mit dem Gesicht zur Wand sitzen . Daran hatte ich bisher nicht gedacht. Im Prinzip alles zu, das nicht für Internet (80, 443) und das VPN verwendet wird . Edit: Auch an das AD / Virenscanner / Voip-Client denken. Muss ich vielleicht später noch eine Frage stellen. Das habe ich tatsächlich so fein aufgegliedert, dass ich mit einiger Sicherheit sagen kann, dass das was erlaubt ist, auch notwendig ist. Vielen Dank für die Anregungen. Man kann dann aber doch sagen, dass es schon so etwas wie damals Blaster oder Sasser braucht um einen Windows PC zu kompromitieren, wenn der User nicht *mithilft*.

Hallo, immer wieder denke ich über die Sicherheit mobiler Arbeitsplätze nach. Sorgen macht mir immer wieder die Tatsache, dass diese Notebooks in irgendwelche Netze eingebucht werden, die ich gar nicht kenne und nicht weiß was darin so alles steckt. Notebooks sind natürlich immer aktuell User haben keine Adminrechte Bitlocker (um z. B. die Sache mit utilman zu verhindern) Verbindung in das Netzwerk per VPN mit MFA. Windows Firewall ist aktiv Notebooks bieten keine Dienste aktiv an lokaler Admin hat ein kompliziertes Passwort Virenscanner Im Defender Portal registriert (so bekommen wir auch Sachen mit, wenn keine VPN-Verbindung besteht) RDP (leider notwendig) ist nur im Domänenprofil (Firewall) aktiv. Somit sollte doch eigentlich die Windows-Firewall allem standhalten. Am liebsten wäre mir natürlich es gäbe das nicht, aber das ist unrealistisch. Mich würde interessieren, ob ihr darüberhinaus noch speziellere Einstellungen an der Windows-Firewall oder sonstiges vornimmt? Out of the box gibt es doch einige aktive Regeln die eingehenden Traffic erlauben, alle deaktivieren? Die Erkennung welches Firewall-Profil genommen werden soll, scheint gut zu funktionieren, nur die Abfrage, ob der Computer im Netzwerk gefunden werden soll, ist da etwas hinderlich. Über ein paar Anregungen würde ich mich freuen.

Hallo, falls jemand gerade neue Hardware plant. Aktuell gibt es ein Problem mit Windows Server 2022. Manche Plattformen sind nicht mit 1 CPU funktionsfähig, z. B. Lenovo SR665 V3. Mit 2 CPUs soll es gehen. Man müsste mit dem ISO aus 11/22 installieren und nicht patchen. Man merkt es gleich, BSOD beim Booten in pci.sys 😬. Patch ist für Herbst/Ende des Jahres angekündigt. Grüße

Prima Idee. Z. B. sowas https://www.lenovo.com/de/de/p/desktops/thinkcentre/thinkcentre-neo-series/thinkcentre-neo-50q-gen-4-thin-client-(intel)/len102c0030#tech_specs

Alles klar, danke für die Mühe.

Danke. Es steht nichts an. Ich wollte nur die Möglichkeiten ausloten wie ich Kontakt zu guten Dienstleister bekommen könnte.

Nur aus Interesse am Lernen. Hast Du die Wiederherstellung lt. dem Veeam KB wiederholt?

Guten Tag, ich hoffe das Thema ist hier richtig. Wenn ich mal einen speziellen Workshop/Training oder eine Beratung / zweite Meinung zu einem Thema als Dienstleistung buchen will, was wird hier gerne gesehen? Thema hier eintragen und um eine PN bitten, wer daran interesse hat? Danke und Grüße Edit: Gerade gesehen, nur Tipps und Links posten .

Doch habe ich wahrgenommen. Ich versuche immer dran zu denken. Was ich nicht so gerne mag, ist das Mischen von Rollen wenn eine den IIS benötigt. Da ich die Webregistrierung nicht installiert hätte, war das in meiner Überlegung OK. Ich habe das schon verstanden. So Dinge werden halt getrennt, das ist die richtige Vorgehensweise. Es gibt auch kein Argument, dass das Mischen rechtfertigt und trotzdem die Qualität hoch hält. Wenn man mischt, hat man das einfach schlechter gemacht, als das gehen würde. Ganz so schlimm ist es nicht. Ich habe natürlich mehrere DCs. Die derzeit installierte CA lief einfach mit. Der damalige Installateur hat das einfach mal so auf Vorrat installiert. Vor 2-3 Jahren hat MS dann mal bei einem Update darauf hingewiesen, dass LDAPs zu aktivieren sei. Da war die dann schon da und die DCs hatten Zertifikate. Sonst hatte die CA nichts zu tun, außer die erwähnten EFS Zertifikate, die vermutlich durch "rumspielen" der User automatisch ausgestellt worden sind, weil das nicht unterbunden war. Vielen Dank für den Input, ich lerne gerne.