testperson

Im Moment gibt es da für mich wichtigere "Baustellen". Ich würde dich aber glatt im Hinterkopf behalten. ;)

vor 18 Minuten schrieb NorbertFe:

Im Worst Case mal das auditing anschalten und schauen, woran es scheitert ;)

Da muss jetzt aber erstmal noch ne Menge - zumindest vermutlich für 30 Tage - Wasser den Rhein runter fließen bis der Worst Case mich "motiviert". Es gibt im Moment genug andere Schauplätze..

Fürs Erste habe ich Vollzugriff erteilt, Install-ADServiceAccount und Vollzugriff entfernt. ;)

vor 3 Minuten schrieb NorbertFe:

Super ;) wer hat eigentlich neben seiner sonstigen Arbeit Zeit, die ganzen CVE usw. zu lesen und ggf. Gegenmaßnahmen umzusetzen? ;)

In Teilen vielleicht bspw.: Qualys VMDR - Vulnerability Management Tool | Qualys? Zumindest zum Filtern, was für die eigene Umgebung relevant ist?

Ich habe es zumindest gerade auf einem Windows Server 2019 ausgeführt (mit Vollzugriff für den ausführenden User auf das sMSA Objekt).

vor 8 Minuten schrieb NorbertFe:

(wobei es das eigentlich aufgrund der Sicherheitszone eigentlich nicht sollte.

Die beiden CVEs (CVE-2024-21412 (Microsoft Windows Internet Shortcut Files Security Feature Bypass Vulnerability) / CVE-2024-21351 (Microsoft Windows SmartScreen Security Feature Bypass Vulnerability)) behandeln AFAIK das für SmartScreen.

vor 3 Minuten schrieb NorbertFe:

Und ein 2019er RDS Lizenzserver verteilt afaik auch keine 2022er CALs.

Das definitiv.

vor 4 Minuten schrieb NorbertFe:

Ist doch auch so, oder wie muss ich das verstehen?

Ich war nach deinem Einwand leicht verunsichert und habe es mir eben angesehen. Da der Lizenzierungsserver am 10.10.23 installiert wurde, war es auch gerade erst knapp über die Grace Period von 120 Tagen. ;)

(Ich hätte allerdings auch gesagt, dass das schon seit 2012 oder 2016 bzw. fast schon immer so ist (seit dem ich intensiver mit Terminalservern zu tun habe).)

Hi,

grobe Spekulation meinerseits: Der User öffnet die HTML Seite im Browser und soll nach 0 Sekunden einen Refresh auf "file://<IP>/  mcqef/yPXpC.txt" machen. Dann ist dort vermutlich ein präparierter Samba/Filer für einen entsprechenden Exploit (etwas aktuelles à la CVE-2020-0796 / WannaCry) und dann geht es weiter. Vielleicht spielt da dann auch CVE-2024-21412 und CVE-2024-21351 noch rein.

In einer Sandbox die Textdatei mal laden. :)

Gruß

Jan

Ich hätte _vor_ deinem Einwand hoch und heilig geschworen, dass es schon immer so war, dass der RDLic >= neuestem RDSH OS sein muss.

vor 1 Minute schrieb WilhelmR:

1 HyperV mit 4 VM. Auf dem Terminalserver habe ich schon deinstalliert und installiert.

Was davon ist denn tatsächlich "Terminalserver-relevant"?

Ist auf dem Terminalserver nur die Remote Desktop Session Host Rolle installiert und es gibt weitere Server mit den Rollen Remote Desktop Web Access, Remote Desktop Gateway und/oder Remote Desktop Session Broker?

Hi,

gibt es irgendwo eine Übersicht für die möglichst minimalen Rechte, die der User auf den MSA delegiert haben muss, um diesen installieren zu können? Laut (Managed Service Accounts: Understanding, Implementing, Best Practices, and Troubleshooting | Microsoft Learn)

Zitat

Note:  Besides being a local administrator on the computer, the account installing the MSA needs to have permissions to modify the MSA in AD. If a domain admin this "just works"; otherwise, you would need to delegate modify permissions to the service account's AD object. 

soll es "Modify" sein. Mit den Rechten "Read" / "Write" funktioniert es jedenfalls nicht. Sobald ich "Full Access" delegiere gehts. ;) Hat jemand zufällig einen Link oder eine Übersicht zu den minimalen Rechten?

Vielen Dank und Gruß

Jan

Hi,

wie groß ist denn die Farm? Evtl. ist es schneller kurz und schmerzlos die RDS Bereitstellung neu zu machen.

BTW.:

Am 24.2.2024 um 14:11 schrieb NorbertFe:

Ja, die cals müssen natürlich zur verwendeten Version des Servers passen.

Ich habe hier einen Windows Server 2022 RDLic mit ausschließlich Windows Server 2022 RDS User CALs und der stellt seit Oktober 2023 sowohl 2019er wie auch 2022 CALs aus.

Gruß

Jan

Hi,

da du scheinbar nur diesen einen DC hast, nimm die zweite IP vom DC weg und installiere einen weiteren, neuen DC mit dieser IP.

Gruß

Jan

vor 46 Minuten schrieb HeizungAuf5:

So machen wir das bisher. Erzeugt aber meistens Wartezeit, da die Datenbank ja zuerst auf dem Produktiven Server exportiert werden muss um sie dann auf dem anderen Server zu importieren. Heißt ich muss dem produktiven Server erstmal dabei "zuschauen" wie er die Datenbank exportiert.

Das lässt sich doch planen und mit ein wenig Scripting drum rum wars das: Schedule a database backup operation using SSMS - SQL Server | Microsoft Learn

Btw.: Hatte hier mal "Quick'n'Dirty" ein Script für VSS Snapshot erstellen, mounten und aufräumen zusammengegooglet: https://www.mcseboard.de/topic/212470-script-gesperrte-dateien-generell-speziell-robocopy/?do=findComment&comment=1350537

Hi,

was ist denn

vor 17 Minuten schrieb HeizungAuf5:

die Datenbank ohne vorherigen Export - am besten geplant - zu kopieren

für dich?

Ist es keine Option die Datenbank SQL Management Studio geplant zu sichern und auf der anderen Seite zu restoren? Das sollte vermutlich auch per "sqlcmd" gehen.

Wenn es wirklich ein stumpfes Kopieren der Datenbankdateien werden soll und du dabei die Datenbankdienste nicht beenden kannst/willst, bleibt vermutlich nur einen VSS Snapshot zu erstellen und daraus dann die DB zu kopieren.

Gruß

Jan

Hi,

vor 13 Minuten schrieb Toffel0815:

Muss ich nun für jede Domain/Mitarbeiter ein Benutzer im AD erstellen?

wenn du das so abbilden möchtest, benötigst du für jede E-Mail-Adresse einen Benutzer. Allerdings hattest du bei Strato unterm Strich doch auch einen Benutzer pro E-Mail-Adresse?

vor 12 Minuten schrieb Toffel0815:

Erstmal kann ich nur eine Domain für 1 Benutzer hinterlegen im Exchange/AD.

Nein, du kannst einem Benutzer mehrere verschiedene E-Mail-Adressen - auch mit unterschiedlichen Domains - hinzufügen.

Es kommt halt drauf an, was die User wollen. Denkbar ist auch

• Der User bekommt einen einzigen Account mit allen E-Mail-Adressen
• Der User bekommt einen Account mit E-Mail-Adresse 1 und es gibt eine Verteilergruppe mit E-Mail-Adresse 2, in der User 1 Mitglied ist
• Der User bekommt einen Account mit E-Mail-Adresse 1 und es gibt eine shared Mailbox mit E-Mail-Adresse 2, worauf Account 1 entsprechende Rechte bekommt
• Der User bekommt zwei Accounts und dann je einen pro E-Mail-Adresse

Gruß

Jan

Hi,

bei ISL Online in der self Hosted Variante ist Single Sign On inkludiert: ISL Online — Introduction

(SSOn habe ich aber nie selber eingesetzt.)

Preislich bei 39,90 € pro User im Monat.

Gruß

Jan

Hi

vor 8 Stunden schrieb MurdocX:

Joah... Ohne Wissen der Eigentümer: US-Justizministerium entfernt russische Malware von Routern - Golem.de

das größte Problem hier waren halt nicht geänderte Standardpasswörter: Office of Public Affairs | Justice Department Conducts Court-Authorized Disruption of Botnet Controlled by the Russian Federation’s Main Intelligence Directorate of the General Staff (GRU) | United States Department of Justice

Zitat

Non-GRU cybercriminals installed the Moobot malware on Ubiquiti Edge OS routers that still used publicly known default administrator passwords.

Gruß

Jan

Okay, bei der Auswahl bleibt dann in der Tat nur ein Reverse Proxy davor.

Hi,

mit einem Reverse Proxy vor dem Server 2019 ist das bspw. machbar.

Welche Cipher Suites möchtest du denn erlauben?

Gruß

Jan

Okay, ich bin erstmal überrascht. Auf dem RDSH habe ich rechts neben dem Infobereich direkt "Copilot in Windows". Auf Servern ohne RDSH Rolle ist das AppX Paket zwar da und installiert aber kein Copilot Icon.

Bin gerade per Inplace OS Upgrade über Windows Update auf die neueste Build 26063 hoch und tadaa: Copilot im Windows Server.

Der erste Testserver war jetzt ein RDSH, wo ich Copilot ja durchaus sehe. Ich ahne aber schon, was mich gleich erwartet, wenn der erste Domain Controller das Upgrade hinter sich hat.

MeshCentral fand ich bis auf die nicht so intuitive Management Oberfläche echt gut. Leider ist es fraglich, wie es da weiter geht: Starting work at Microsoft (meshcentral2.blogspot.com) (Der letzte Blogbeitrag von Oktober 23 ließt sich allerdings wieder anders.)

Das Code Signing scheint hier auch besser bedacht zu sein bzw. wird per default der Agent selfsigned signiert.

MeshCentral ist ansonsten im Tactical RMM integriert und wird wohl von denen geforked(?) gemaintained. Allerdings ein komplettes RMM nur für Fernwartung.. Puh.. ;)

Das hatte ich in der Doku für die TCP Ports auch so gelesen. Allerdings bleibt dann 21116 udp (Installation :: Dokumentation für RustDesk):

Zitat

Bitte beachten Sie, dass 21116 sowohl für TCP als auch für UDP aktiviert sein muss.

 

Wobei das in englisch wieder anders klingt, wie ich gerade lese..

Please note that 21116 should be enabled both for TCP and UDP.

Das hat mich jedenfalls abgehalten überhaupt zu testen.

Hi,

bei Rust Desk gefällt mir persönlich nicht, dass die Ports 21114-21119 tcp und der Port 21116 udp benötigt werden. Beim selber Hosten kommt dann noch dazu, dass man AFAIK auch selber fürs Code Signing zuständig ist. MeshCentral hatte mir bspw. ganz gut gefallen, wird aber wohl auch nicht mehr wirklich weiter gewartet. (Wobei es sich jetzt im Blog wieder anders ließt..)

Bei meinem alten AG hatten wir ISL online in der selbst gehosteten Version. Das gab es damals noch als Kaufvariante.

Gruß

Jan

Hi,

ich kenne/nutze PC Visit und ISL online. Ansonsten bietet Intune jetzt als Add-On Remote Help an.

Ggfs. noch die in Win 10/11 integrierte Remotehilfe.

Gruß

Jan