wznutzer

Ja, aber wäre der Ablauf anders als bei der Übernahme vom W2K12R2? Zertifizierungsstelle sichern inkl. privatem Schlüssel und Zertifizierungsstellenzertifikat Registry-Key sichern: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration hier beschrieben: https://learn.microsoft.com/de-de/troubleshoot/windows-server/identity/move-certification-authority-to-another-server Zertifizierungsstelle deinstallieren Dann Zertifizierungsstelle wieder installieren (jetzt auf dem gleichen Server, bei der Migration auf einem neuen) Zertifikatedienst beenden Registry-Key importieren (hat sich der Name geändert CaServerName vorher anpassen) Nun mit der Assistent das Backup wiederherstellen Server neu starten Müsste ich irgendwas anders machen? Danke

Hallo, für einen ausschließlich intern von Domänen-Clients genutzten IIS wollte ich ein Zertifikat ausstellen. Das klappt soweit auch, nur hat das Zertifikat der Standardvorlage (Webserver) eine Schlüssellänge von nur 1024. Das mögen nun die Browser nicht. Die Zertifizierungsstelle wurde immer wieder migriert. Wenn ich nun das Template dupliziere um Anpassungen vorzunehmen hängt sich die ganze MMC auf, sobald ich beim duplizierten Template das Register Kryptografie anwähle. Auch nach einer Wartezeit von über einer Stunde ändert sich nicht. In den Eventlogs wird nichts protokolliert. Auffällig ist noch, dass der Dienst Zertifikatverteilung (CertPropSvc) sich nicht beenden / neu starten lässt. In meiner Testumgebung geht das. Kenn das jemand von euch? Danke

Nutzt Du die Standardrichtlinien oder Strikt? Ablehnen müsstest Du ja explizit eingestellt haben, bei einigen Optionen geht das gar nicht. Falls Du eigene hast (wie ich) sind diese stark unterschiedlich zu den Standardregeln (Konfigurationsanalyse)? Ich habe jeden Tag 100-150 in Quarantäne und gebe so 1-3 frei. Ich habe schon einiges damit rumgespielt. Mit den Standardregeln sind z. B. fast alle Mails mit der OneNote-Links-Masche zum Nutzer durch. Oder auch die Bank-Phishing-Mails gehen auf einer Stufe <4 (maximal aggressiv) immer mal wieder durch. Mit Stufe 4 ist das dicht. Jetzt geht bei mir nichts mehr durch was nicht gewollt ist, aber so 1-3 am Tag landen halt in der Quarantäne und sollten nicht. Die User bekommen einen Quarantänebericht und fordern die Freigabe an.

Funktioniert das zuverlässig? Ich nutze das ähnlich, aber es gibt das Problem, dass Emails die von der Exchange-Online-Protection in die Quarantäne sortiert werden, nach Freigabe nicht in das Journalpostfach zugestellt werden. Der Microsoft-Support hat das bestätigt, aber ist wohl by Design und das Journalpostfach wird als Featurecomplete angesehen und es ist mit keiner Änderung zu rechnen. Im Archiv fehlen somit alle Emails die mal in der Quarantäne waren und von da aus freigegeben wurden.

Da war ich aber schön falsch abgebogen . Danke!

Hi, so ein bisserl b***d muss ich jetzt doch noch fragen. Wenn ich das über eine Gruppenrichtlinie oder auch lokale Richtlinie konfiguriere sehe ich die Konfiguration nicht im Registry-Key: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters Bei der Abfrage mit w32tm /query /status wird aber die korrekte Zeitquelle angezeigt. Wenn ich die Zeitquelle direkt mit w32tm (z. B. w32tm /config /manualpeerlist: “meine Zeitquelle”) konfiguriere sehe ich das in der Registry. Funktionieren tut es immer, nur für mein Verständnis. Warum sehe ich das in der Registry nicht? Ich dachte mal ich hätte das mit den GPOs und dem Tattooing verstanden . Danke und Grüße

Guten Tag, in meinem AD ist die Uhrzeit falsch. Also nicht unterschiedliche Zeiten im AD, sondern das AD komplett. Nach der Migration des DC mit der Rolle PDC-Emulator wurde einfach nicht darauf geachtet, diesen nach extern zu synchronisieren: w32tm /query /status Sprungindikator: 0(keine Warnung) Stratum: 1 (Primärreferenz - synchron. über Funkuhr) Präzision: -23 (119.209ns pro Tick) Stammverzögerung: 0.0000000s Stammabweichung: 10.0000000s Referenz-ID: 0x4C4F434C (Quellname: "LOCL") Letzte erfolgr. Synchronisierungszeit: 10.09.2023 15:52:08 Quelle: Free-running System Clock Abrufintervall: 6 (64s) Die Zeit ist ungefähr 3 Minuten voraus. D. h. wenn ich jetzt das korrekt konfiguriere habe ich im Netzwerk beim Generieren von Timestamps evtl. 2x die gleiche Zeit. Ich meine irgendwo mal gelesen zu haben (weiß aber nicht mehr wo) dass das kein Problem ist, weil Windows nicht einfach die Zeit umstellt, sondern bis zum Erreichen der korrekten Zeit die Zeit etwas schneller oder langsamer laufen lässt (im AD). Liege ich hier richtig oder falsch? Danke und Grüße

Ich bin grundsätzlich für neu machen. Allerdings schaue ich mir das immer selber an und verlasse mich nicht auf die Aussage von Kollegen. Gerade solche Meldungen wie AV ist ausgefallen, man solle diese oder jenes tun, waren bei mir schon harmlose Browser-Benachrichtigungen und keine Erweiterungen oder sonstiges Software die ausgeführt wurde (wenn es bei der Benachrichtigung geblieben ist und die "Ratschläge" nicht befolgt wurden). Man fängt sich das ja nicht einfach so ein. Da hat der User schon was dafür gemacht. Ist es aber tatsächlich ein Stück Software das ausgeführt wurde ==> neu.

Vielen Dank für eure Beiträge. Generell hoffe ich, dass ich das gar nie brauche, wie wahrscheinlich alle die das machen. Ich sehe, dass das Fullbackup (-allCritical) gerade mal 6 GB mehr braucht. Da stelle ich dann doch lieber auf Fullbackup um. Es lohnt sich doch immer mal wieder Gewohntes in Frage zu stellen und mal nachzufragen . Danke und schönen Tag

Guten Morgen, neben Veeam mache ich ein Backup eines DC (GC, alle FSMO-Rollen) per Windows-Backup (wbadmin) und zwar "nur" den Systemstate. Ich habe den Restore schon probiert und war der Meinung alles ist gut. Nun habe ich zufällig hier (https://www.msxfaq.de/windows/dc_backuprestore.htm) gelesen, dass man in neueren Versionen >2008 das Backup mit der Option Bare metal recovery machen sollte. Es heißt "Eine Sicherung des "System State" alleine ist nicht ausreichend!" Das widerspricht meiner Erfahrung. Aber ich lerne gerne dazu. Sollte das AD grundsätzlich per "Bare metal recovery" gesichert werden oder reicht wie bisher angenommen der Systemstate? Für einen Tipp, Link oder Erfahrungsbericht wie das bei euch üblich ist, würde ich mich freuen.

Guten Tag, beim Konzept der Tiers versucht man grob gesagt zu verhindern, dass die Credentials von höher privilegierten User wie Tier1 nicht in Tier 2 landen. Also ein Account, der Tier1 zugeordnet ist, darf sich nicht an einem Tier2 PC anmelden. Wie sind da Network-Logons zu beurteilen? Also ich kopiere etwas mit einem Tier1 Account auf die SMB-Freigabe eines Tier2 PCs oder auf ein NAS in Tier2. Ich meine irgendwo mal gehört zu haben, dass das unbedenklich ist. Aber ist das so? Danke

Hallo, es heißt, dass man geschützt sein sollte, wenn man Microsoft Defender for Office 365 nutzt. Habe ich zwar, aber wenn eine präparierte Office-Datei von irgendwoher anders geöffnet wird und nicht per Dateianhang ankommt, sollte man wahrscheinlich trotzdem die Keys per GPO setzen.

https://learn.microsoft.com/de-de/troubleshoot/windows-client/networking/saving-restoring-existing-windows-shares

Danke, das handhabe ich genau so. Ich versuche das noch etwas zu verbessern in dem ich auf RDS-Hosts oder auch hin und wieder bei einen der anderen Server noch sozusagen anlasslose Kontrollen vornehme. Aber ich habe nun gelernt, dass ich da wohl ziemlich alleine mit dastehe . Teilweise mache ich das auch, mit Veeam. Darf ich fragen, welches Backup Du nutzt?

Da rennst Du bei mir offene Türen ein. Aber wann ist die Schwelle erreicht es neu zu machen? Schon wenn der AV eine URL bei einer Internetrecherche meldet oder die Phishing-Mail angeschaut wurde? Die 3-4 Stunden sind auch nicht zu viel, aber wenn jemand schreibt, dass das auch in 20 Minuten geht, wundere ich mich schon. So lange geht die Installation schon von einem Stick. Wahrscheinlich ist das so. Aber trotzdem versuchen wir doch ständig irgendwas besser zu machen und dazu zu lernen. Andere Meinungen zu kennen, finde ich schon sehr hilfreich. Der Mensch davor bleibt.

Ich würde etwas als "clean" bezeichnen, wenn keine andere Software drauf läuft als diejenige die vorgesehen ist. Dem stimme ich zu und handle auch so. Aber wann ist etwas mutmaßlich kompromittiert? Klar wenn das Monitoring dubiose Verbindungen protokolliert, auf eine Rechnung.pdf.exe geklickt wurde, all diese Sachen, keine Frage, das Teil wird neu gemacht. Aber wenn der User bei einer Internetrecherche irgendwo draufgeklickt hat und der AV meldet einen Zugriff auf eine URL, irgendwas im Browsercache oder er hat den Link in der Email angewählt eine blöde Internetseite geöffnet, die Logindaten abgreifen will und wieder zugemacht. Ist so etwas schon ein "Sicherheitsfall"? Dass ich überhaupt etwas merke, muss mir der Nutzer ja berichten oder irgendein Monitoring muss anschlagen. Aber wenn der User 1 Tag bevor etwas erkannt werden kann schon draufklickt? Dann würde ich das gerne bei "regelmäßigen Wartungsarbeiten" feststellen. Und genau um diese möglichen Prüfungen geht es mir. Ich habe das wahrscheinlich falsch formuliert. Oft heißt es ja, dass ein Netz manchmal schon Wochen/Monate kompromittiert ist, bevor man das merkt. Was hätte man in den Wochen/Monate machen müssen um zu bemerken, dass etwas nicht stimmt? Hätte man das mit etwas Übung, Autoruns, ProcessExplorer, Thor, Offline-Scan bemerken können?

Das ist mal konsequent. Evtl. hat da auch die Überlegung mitgespielt, dass man es nicht mit Wald und Wiesen Malware zu tun hat. Darf ich etwas OT werden? Meinst Du Puppet, Ansible und Co? Oder den Weg alles einzeln zu recherchieren (Powershell, Registrykeys usw.). Bis alle Schrauben dran sind, komme ich immer auf 3-4 Stunden.

Danke für Deine Mühe, aber Du versuchst eine Frage zu beantworten die ich nicht gestellt habe. Evtl. reden wir auch aneinander vorbei. Der letzte Punkt gehört zu den regelmäßig stattfindenden Wartungsarbeiten. Die Frage war, wie stelle ich fest, ob ein System clean ist? Nicht, wie stelle ich sicher, dass mein System clean bleibt? Auch wichtig, aber halt eine andere Baustelle, auch wenn es dazugehört. Inzwischen habe ich eine Meinung eines Dienstleisters, wie das in sehr großen Umgebungen die auditiert, zertifiziert und was es noch alles gibt sind, gemacht wird. Da wird diese Frage erst gar nicht gestellt. Da gilt: Ein System ist per Definition clean, wenn die installierten Monitoring-Maßnahmen nichts melden. Ist die Mail durchgerutscht und der User hat draufgeklickt, der AV hat die Url geblockt, gibt es keine weiteren Maßnahmen. Der Grund für diese Sichtweise ist aber nicht, weil man das zu 100% so sicher sagen kann, sondern aufgrund der schieren Größe (mehrere 1000 Clients) gar nicht anders zu handeln ist. Mir ist schon klar, dass es keine Maßnahme gibt, die zu 100% sagen kann, dass ein System clean ist. Aber zwischen "ich mache nichts" und "100%" gibt es ja noch etwas dazwischen. Interessant wäre zu wissen, ob bei allen Fällen die bekannt werden, solche regelmäßigen Maßnahmen nicht in einigen Fällen dazu geführt hätten, dass eine Kompromitierung frühzeitig entdeckt worden wäre.

Ja, das ist berücksichtigt. Danke für die weiteren Tipps. Weil die Absicht des Erfahrungsaustausches nicht die Betrachtung des kompletten Netzwerks ist. Hast Du einen Link mit erklärenden Infos wie @testperson? Das was ich beabsichtigt habe, ist ein Erfahrungsaustausch über die Prüfung eines Systems unabhängig der Schutzmaßnahmen. Ich könnte auch sagen, mein Kumpel bringt mir seinen PC, um mal zu schauen, ob dieser clean ist. Welche Wege gibt es? Dann würde ich auch nicht nach den Schutzmaßnahmen fragen. Es geht ja darum festzustellen, ob Malware den Schutz überwunden hat. Genau das passiert jeden Tag, auch in den größten Firmen.

Welche Nachschärfungen bei Applocker meinst Du konkret? Vor welchem Angriffsszenario schützen mich die Nachschärfungen? Eine komplette Strategie kann meist nicht im einem Forum besprochen werden, aber ganz konkrete Fälle schon. Hier ging es mir darum, wenn aus irgendeinem Grund die Strategie drumherum versagt hat, was dann zu tun ist. Auch nicht im konkreten Fall, dass alle Ampeln auf rot stehen, sondern die Fälle in denen es auch nur um den Ausschluss von Malware bei der Fehleranalyse geht. Die dann greifenden Maßnahmen können gut oder schlecht sein, aber es sollte ein Vorgehen geben.

User dürfen nur Programme ausführen die in Pfaden liegen in denen sie keine Schreibrechte haben. Für einen Spezialfall (E-Post) gibt es eine Signatur-Regel. Ansonsten ist https://www.gruppenrichtlinien.de/artikel/applocker-oder-software-restriction-policies-loecher-im-sicherheitszaun beachtet. Das gibt es, aber ich weiß halt nicht wie gut der ist. Lt. Marketing natürlich der Beste. Kannte ich bisher nicht. Ich fürche dafür sind wie hier zu klein um das als separaten Service zu haben, aber anschauen muss ich mir das trotzdem mal. SentinelOne soll das ja wie eine Art Virenscanner machen. Kenne das aber auch nur vom Hörensagen.

Hallo zusammen, ich würde mich über einen Erfahrungsaustausch freuen, was getan werden kann, wenn ein PC/VM als Verdachtsfall für Malwarebefall gilt. Selbstverständlich versucht man das alles zu verhindern, aber wenn halt trotzdem mal was passiert. Wenn es auch nur halbwegs eindeutig ist, wird natürlich neu installiert oder ein frisches Image verwendet. Ich meine folgende uneindeutige Fälle: Der Virenscanner blockiert eine URL. Der Anwender hat halt doch auf einen Link in einer Spam-Mail geklickt, die durchgerutscht ist. Irgendein seltsames Verhalten, bei dessen Analyse man Malware ausschließen will. Also Fälle in denen man eher vermutet, dass nichts ist, das aber trotzdem noch absichern will. Ich mache bisher folgendes: Analyse mit Autoruns, ProcessExplorer von Sysinternals Scann mit Thor Lite von Nextron, wobei da die Ergebnisse mit Vorsicht zu bewerten sind und auch oft eher verwirren als helfen. Scan mit Desinfect, das in den letzten Versionen leider immer unbrauchbarer geworden ist. Scan mit Eset Rescue-CD (bei VMs funktioniert das gut, beim Blech eher nicht). ADWCleaner von Malwarebytes Auf den RDSH, auf denen die User stark eingeschränkt sind und auch Applocker aktiv ist, lösche ich das Profil. Bei den RDSH mache ich das sogar immer mal wieder, auch wenn es keinen Anhaltspunkt gibt (dann natürlich ohne Profile zu löschen). Über ein paar Tipps würde ich mich freuen.

Ich habe das so gemacht: https://learn.microsoft.com/de-de/azure/active-directory/authentication/howto-mfa-nps-extension-rdg Wenn Du die Anleitung abarbeitest kommst Du an einen Punkt an dem Du ein Powershellscript ausführen musst. Bei mir hat das erst funktioniert nachdem ich im Script den Namen des Netzwerkdienstes auf deutsch übersetzt habe, falls Du auch ein OS mit deutscher Sprache nutzt.

Mit dem HTML5 meinte ich den RDP-Client im Browser: https://learn.microsoft.com/de-de/windows-server/remote/remote-desktop-services/clients/remote-desktop-web-client-admin https://woshub.com/rds-html5-web-client/ Ich meinte das: Die RFC fordert, dass die Identität nicht mehr durch den CN festgestellt wird, sondern durch einen oder mehrere DNS-Einträge im SAN. https://tools.ietf.org/html/rfc2818 Ich mache das 1x im Jahr manuell. Zu den Rollen, ich habe das so: 1x VM: Broker, Lizenz, NPS (nicht das was mit dem RDG installiert wird, sondern separat wegen Azure-MFA), RDWeb (nur intern) Xx VM: Session Host (da ist nichts anderes drauf) 1x VM: RDG (Veröffentlichung über Reverse-Proxy mit Azure MFA) Infrastruktur, Worker und Veröffentlichung ist so getrennt. Schöner wäre alles zu trennen, aber für meine Umgebung bin ich so zufrieden, auch wenn es so nicht perfekt ist. Würde ich RDWeb oder den Zugriff über den HTML5-Client veröffentlichen, würde ich das mit auf den RDG packen. Veröffentlichen würde ich nur mit MFA oder VPN ebenfalls nur mit MFA. Zur Frage, ob Du den RDG brauchst, wenn Du den NGinx als Reverse-Proxy hast. Wenn Du den RDP-Client mstsc oder die UWP-App verwenden willst, geht das meines Wissens nicht ohne. Außer halt den Port direkt freigeben, aber das macht man eigentlich nicht mehr.

Hallo, was willst Du veröffentlichen? Sollen die User direkt per RDP-Client von extern arbeiten oder über RD Web Access oder über den HTML5-Client. RD Web Access macht ja auch "nur" eine RDP-Verbindung, also nicht im Browser. Zertifikate kaufst Du bei einem der öffentlichen Aussteller, wenn Du eigene ausstellst, achtest Du darauf, dass der Verbindungsname auch im SAN drinsteht, sonst gehen die Webseiten in allen gängigen Browsern nicht. Grüße