Jump to content

Weingeist

Members
  • Gesamte Inhalte

    1.566
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von Weingeist

  1. Och das können doch durchaus auch mehr als eine handvoll User sein. Würde das eher an der Häufigkeit der Änderungen im AD festmachen (Exchange, ERP das die Kontakte nutzt etc.), wie Fehlertolerant der Rest der Umgebung gestaltet wird etc. Bei Passwort/Kerberos Rotierungen empfiehlt sich ja eh ein neues Backup. Stirbt ein physischer Server, ist bei vielen kleineren/mittleren Umgebungen eh meist soviel down, das nicht ohne Unterbruch weitergearbeitet werden kann/soll Backup/Restore Maschinen haben vorzugsweise eine eigene Rechtsstruktur, hilft also nicht für den Restore Die ganzen potentiellen Replikationsprobleme fallen weg Eine Wiederherstellung bei nur einem DC ist sehr fehlterolarant gegenüber den gängisten Fehlern punkto Sicherung/Wiederherstellung oder auch wenn Windows-Updates in die Hose gegangen sind. Eine DC VM ist ca. 25GB gross. Auf moderner Hardware ist die innerhalb 30 sek bis 5 min wiederhergestellt. Jede Prüfung der Replikation und allfällige Behebung von Problemen dauert länger als die Wiederherstellung. Lizenzkosten, Wartungskosten, Unterhaltskosten sind insgesamt tiefer Update-Handling bei der aktuellen Qualität der MS Updates ist einfacher (DC runterfahren, Cold-Snapshot/Kopie, hochfahren, Updates einspielen, Neustart). Das runterfahren, ziehen des Snapshots, hochfahren dauert weniger lang als irgend ein Update einzuspielen. Der effektive Ursprungszustand ist ebenso schnell wiederhergestellt, im Gegensatz zu Updates deinstallieren, was mal geht und mal nicht. Rollbacks wird es niemals geben). Aus sicherheitstechnischer Sicht ist eine Replikation immer eine potentielle Vergrösserung der Angrifssmöglichkeiten, auch wenn ich persönlich das eher schlecht abschätzen kann sondern nur schon entsprechendes über DHCP, DNS, WINS etc. gelesen habe und etwas schockiert über die teilweise Einfacheit war. Für mich vereinfacht es das Handling massivst, habe weniger Ärger (je älter ich werde, desto weniger Ärger-Tolerant bin ich) und ich muss weniger Stunden verrechnen. Aber eben, das ist nur meine Meinung und natürlich Immer in Bezug auf Grösse/Änderungen/Abhängigkeiten von AD
  2. Ich kann keinen Grund der dagegen spricht erkennen... Wir sprechen hier von Minuten, nicht Tagen wo ein DC runtergefahren ist und wieder hochgefahren wird. Auch eine Stunde ist bestimmt noch kein Problem, gibt ja kaum viele Änderungen im kleinen Umfeld. Da waren die Updateeinspielungen unter 2012 manchmal schon länger.
  3. Gegenfrage: WAS genau spricht denn dagegen ausser das es 5 minuten mehr Arbeit gibt aber vielleicht Ärger verhindern kann weil irgendwo Probleme auftreten? Ich versteh das immer noch nicht sorry. Der Zusatzaufwand steht in keinem Verhältnis zum potentiellen Ärger. In Kleinumgebungen ist es nunmal so, dass die Wahrscheinlichkeit hoch ist, dass es irgendwelche Abhängigkeiten gibt. Wenn etwas nicht klappt, kann ich die Maschine wieder einschalten, das ganze analysieren und den neuen DC in einem Wartungsfenster runterstufen. Ich lief da schonmal mächtig rein mit tausenden von Dokumenten die auf nem DC was verknüpft hatten statt per DFS. DAS gibt eine enorme unnötige Unruhe in den Betrieb und Stunden unterbruch. Das Wiedereinschalten des DC's wäre in 2min erledigt. Klar das war ein Designfehler meines Vorgängers bzw. eines Dienstleister, aber wo kann man sowas schon 100%ig ausschliessen. *schulterzuck*
  4. Das kommt ganz darauf an wie man es konfiguriert. Standardmässig geht das, wenn man das abgewöhnt, nicht. Was nun sinnvoller ist bzw. ob es ein effektiver Sicherheitsgewinn ist, wenn man dies verhindert, da scheiden sich die Geister äh Sicherheitsspezis.
  5. Die Empfehlung ist vor allem aufgrund der Performance. Virenscanner generieren sehr viel Last. Prozessor als auch IO's bei meistens effektiv wenig Nutzen im Schadensfall da moderne Schadware die einigermassen Up to Date ist, den Kram einfach "übergeht". Die Filewalker der Scanner waren auch schon selbst das Ziel, sprich wird die Datei vom Scanner geöffnet, wird die Schadsoftware aktiviert. Ist daher immer so eine Sache. MS macht da eine Mischrechnungs-Empfehlung welche eben das alles etwas berücksichtigt. Daher sind auch zusätzliche Virenprogramme oft eher hinderlich. Weil sie so tief ins System eingreifen und volle Rechte haben, sind sie eben auch ein beliebtes Einfallstor. Hilft ja nichts, wenn der Virenscanner die Kisten vollständig oder sehr stark auslasten und man nicht mehr arbeiten kann.
  6. Die ganzen GPO's welche den Updatedienst deaktivieren/steuern sollen sind nur beschränkt tauglich wenn man wirklich auf auf die Steuerbarkeit angewiesen ist. Das Verhalten wurde innerhalb der verschiedenen W10 Builds mehrfach geändert, die Auswertung bzw. Einstellungen ignoriert etc. damit es den Admins zu viel wird mit den ganzen Änderungen und die Updates Ihren Weg an den Admins vorbei auf die Kisten finden. Sei es via anderen PC's, Online via MS an (fast) allen Verhinderungs-Einstellungen vorbei. Daher ist es auch viel einfacher überall die identischen Builds einzusetzen, dann reagieren wenigstens alle gleich. Bezüglich dem Task: Ja dann werden Systemrechte benötigt, das geht noch. Lästiger wirds mit dem Zeugs das TI-Rights benötigt. Allgemein ist es bei solchen Tweaks zu empfehlen, das ganze per Script und Gegenscript zu lösen und sauber zu dokumentieren oder eben per GPO setzen (mit Doku der Ursprungswerte). Auch schaue ich immer, dass die ursprüngliche Rechte erhalten bleiben, also lieber dem eigenen Script die entsprechenden Rechte verschaffen als die benötigten Zugriffs-Rechte der Hives an sich zu überschreiben.
  7. Ich glaube nicht, dass er durch eine reguläre GPO deaktivierbar ist. Habe damals nichts dergleichen gefunden. MS will das ja auch gar nicht regulär verhinderbar machen sondern nur mit erhöhtem Aufwand. Daher per Reg-Tweak welcher per GPO bzw. GPP erreicht werden kann. Die genau benötigten Rechte weiss ich grad nimmer auswendig. Entweder Admin, System oder Trusted Installer. Soweit ich mich erinnere warens reine Admin-Rechte. Allerdings nicht per GUI sondern wirklich per Registry. Aber eben, der zugehörige Task/Aufgabe muss auch deaktiviert werden, sonst ist das Teil schnell wieder online. ;) Der Task ist: \Microsoft\Windows\WaasMedic\PerformRemediation (nur zu sehen mit Admin-Rechten, sonst ist er unsichtbar)
  8. Danke für die Info. Windows 10 hast ein LTSC oder IoT im Einsatz damit keine grossen Upgrades gefahren werden? Habe ja auch gezwungenermassen unfreiwillig ein paar solcher Krücken im Einsatz. Einen Scanserver übrigens auch mehrfach, allerdings aus anderem Grund (NTLM). Ich persönlich würde den Rechner nicht ins Hauptnetz nehmen. Aber wurde ja schon hinlänglich breit geschlagen. Habe dafür einen allfälligen Lösungsatz. Da Du mit VmWare arbeitest, könntest Du das ganze entkoppeln - VM1 hat die Verbindung zum Scanner aber nicht ins Netzwerk - VM2 hat die Verbindung ins Netzwerk aber nicht zum Scanner Für die Scans verwendest Du eine Platte die für beide VM's mit einem Physical Shared Controller angebunden ist. Wichtig hierbei ist, dass die Indexdienste auf der Platte auf beiden Seiten deaktiviert werden, da es ansonsten Theater gibt weil beide VM's gemeinsam schreiben könnten und NTFS ja kein Cluster-Filesystem ist. Schon gar nicht wenn sie voneinander nichts wissen. Ist zwar für ein solches Laufwerk nicht schlimm, aber dennoch nervig. Optimalerweise haben auch nur Benutzer von VM1 Schreibzugriff und die Ordner werden z.Bsps. in der Nacht per Script geleert. Müssen die beiden VM's "kommunzieren" bzw. beide schreiben, kann man das z.bsp. mittels einem Lock-File/Kommunikations-File und Scripts die per Aufgabe gestartet werden, erschlagen (oder einem eigens programmierten Dienst). Ist ziemlich primitiv und je nach Aufgabe auch etwas aufwendiger wenn zeitnahe Nutzerinterkation gefordert ist, funktioniert aber. Im Endeffekt macht VmWare für ihr VMFS auch nichts anderes, wenn auch technisch ausgefeilter ;) Klappt aber auch nur, wenn die Software nicht noch irgendwleche User-Verwaltung bewerkstelligen muss damit nicht jeder ide Scans sieht. Auch wenn das auch über definierte Zielordner auf dem Scanner gelöst werden kann. Nope das reicht schon länger nicht mehr aus. Man muss den Medical Service deaktivieren, die Übermittlungsoptimierung, den regulären Update Service und die Aufgabe wo mir jetzt der Name grad spontan nicht einfällt aber einfach zu finden ist, welche den Status des Medical Services überwacht. Ansonsten klappt das nicht zuverlässig. Ich sperre zusätzlich die Kommunikation per Windows-Firewall. Am besten per Script ein und ausschalten. In der Nacht läuft jeweils das Auschalt-Script, sollte man vergessen das gaze wieder zu deaktivieren nach einer Update-Runde. Der Medical Service überwacht z.Bsp. auch ob wirklich svchost.exe hinterlegt ist, man kann das also auch nicht ohne weiteres verbiegen. Mittlerweile ändere ich die svchost.exe für die Update-Dienste auf einen eigenen Hardlink damit ich zuverlässig die Kommunikation der Update-Dienste per Firewall unterbinden/erlauben kann, damit bei Industrie-Steuerungen zuverlässig ein selber bestimmtes Update-Fenster erzwungen werden kann, gleichzeitig bei einer Fernwartung aber z.Bsp. keine Updates über die Rechner der Servicetechniker gezogen werden. Bei IoT wäre das wohl einfacher, aber bis das in der Industrie durch ist.... die nehmen lieber Pro..... Ansonsten: Ich wüsste nicht wie man als Kleinfirma einen grossen Hersteller dazu überreden kann, LTSC oder IoT zu verwenden. Machen die wenigsten. Da heisst es dann, kaufen sie doch die Maschine irgendwo anders. Machen wir nicht solange die grossen das nicht haben wollen. Manchmal hilft der Gang zur GL und Erklärung der Sachlage dann klappts vielleicht, aber meist auch dann nicht. So nach dem Motto, wir ändern nichts das funktioniert, wir prüfen das in Zukunft. Solange also kein gorsser Kunde das Messer ansetzt, ist denen alles egal ;)
  9. Das hilft heute nicht mehr zuverlässig. ;) Dieser Umstand kostete in einer meiner Umgebungen schon ein paar flotte tausender. Du musst auch die dazugehörigen Überprüfungsaufgaben/Services deaktivieren sonst ist der ganz schnell wieder aktiv wens den Kontrollmechanismen grad in den Kram passt. Meist stört aber weniger das Update selbst, sondern der Installationszeitpunkt. Ansonsten: Mich würde interessieren welches Sicherheitsupdate (Jahr/Monat) bei welcher Windows 10 Version Ärger macht und welche Software die Updates nicht mag. Oft hiflt es LTSC/IoT zu verwenden. Da wird bei den Updates eigentlich ziemlich stark darauf geachtet, das die API's, Module, Syntax etc. identisch bleiben. Sprich läufts da einmal drauf, ist die Chance sehr gross, dass es auch mit Updates weiterläuft.
  10. wieso eigentlich nicht grad auf das neueste LTSC Build? 2021 läuft fast seit Tag 1 sehr stabil.
  11. Vielleicht könntest in ein altes Image die Konfig einpflegen? Das Industriezeugs ist zwar gerne recht zickig aber oft doch ziemlich primitiv aufgebaut. Da die Maschinen welche W7 haben mittlerweile aus der Garantie etc. rausgeflogen sein dürften, könntest du auch probieren, die Software auf W10 LTSC umzuziehen. Dann hättest wieder ~7-10 Jahre Ruhe. Stolpersteine sind aber gerne mal die doofen HDMI-Kopierschutzfunktionen. Da Vista/W7 den direkten Hardwarezugriff gegenüber XP nochmals stark eingeschränkt hatte, stehen die Chancen gar nicht mal so schlecht, dass es funktioniert. Je nach dem zusammen mit den Programmkompatibilitäts-Tools (Recht zeitaufwendig wenn man da manuell eingreifen muss aber in der Regel bekommt man alles zum laufen). Oder vollständige Netztrennung. Ich weiss, teilweise super mühsam ist mit den hochintegrierten Systemen.
  12. Ich vermute stark dafür ist der dienst "TrkWks" zuständig. Überwachung verteilter Verknüpfungen. Die Beschreibung passt jedenfalls: "Hält Verknüpfungen für NTFS-Dateien auf einem Computer oder zwischen Computern in einem Netzwerk aufrecht." Ob man das per GPO steuern kann, weiss ich nicht. Bei mir ist der Dienst jeweils deaktiviert.
  13. Also wenn der alte Server nur noch Fileserver ist, dann laufen doch auch all die Freigaben dieser Programme noch oder? ;) Allenfalls heisst dann der Filer halt noch DC1 obwohl er es nicht ist. Das wäre die Variante wo nix auf die Füsse fällt. Auch wenn ich diesen Server dennoch neu installieren würde weil es eben mal ein DC war. Alias-Namen für Freigaben ist immer mit einem Risiko für Ärger verbunden. Nicht alles kann damit umgehen. Nichtmal Windows selbst so richtig. Sind doch ein paar Stolpersteine die man eigentlich nicht wirklich will. Wenn Du gewillt bist die Arbeit zu machen, dann gleich komplett. Also File-Datenzugriff unabhängig zum Servernamen machen. --> DFS Da will man dann vielleicht auch, dass es auf die Schnautze fällt. Um zu erkennen, was noch auf den Servernamen zugreift. Vielleicht aber auch nicht. Je nach Menge der betroffenen Dokumente. Komplette Neuinstallation einer Anwendung selber ist wohl selten bis nie notwendig. Dürfte alles verhälnissmässig einfach änderbar sein. Wenn sie tatsächlich in der Exe hardcoded ist, auch kein Problem. Ist ja fix geändert durch den Hersteller. Exe tauschen fertig. ist in der Regel liegt das Problem aber eher daran, dass viele Software die Pfade in den Dokumenten selbst speichert. Je nach Anzahl wird das enorm lästig.
  14. Wieso widerspricht sich das? Es muss doch insgesamt einen effektiven Sicherheitsgewinn geben, wenn man eine solche Komplexität im Namen der Sicherheit einführt wo diese nicht beim einrichten selbst bleibt. Ohne effektiven Sicherheitsgewinn für die produktive Umgebung hat eine solche Massnahme doch keinen wirklichen Wert *schulterzuck* Auch wenn ich mich wiederhole: Sobald die ganze produktive Umgebung an den ars*** geht oder Daten abgegriffen wurden, weil sich jemand Domain-Admin-Rights gesichert hat im Netz wo die Daten liegen, wo man arbeitet, ist das Kind doch eh schon in den Brunnen gefallen und man muss das Backup anzapfen welches vorzugweise wirklich komplett separat vom Rest aufgebaut ist. Was hilft ein Auffangnetz auf dem Grund des Brunnens wenn man oben absäuft? Ich verstehs echt nicht. Für mich sieht es aktuell so aus: Viel Komplexität wenn man es durchzieht (inkl. Backup), viel Bla Bla und somit viel gutes Gefühl für wenig effektiven Gewinn. Daher wäre schön wenn jemand der etwas davon versteht, das propagiert, das eben auch für alle verständlich erklärt. Weil ich verstehe das nicht obwohl ich nicht wenig Lektüre zu diesem Thema gelesen habe. Ich sehe den Nutzen anderswo. Aber nicht wirklich bei der Sicherheit der produktiven Umgebung. [Spoiler] Kommt mir grad in etwa so vor wie vor ~15-20 Jahren als die Cluster bei vielen Admins in kleinen und mittleren Umgebungen Hochkonjunktur bekamen weil es die grossen propagiert haben. Die wenigsten - teilweise auch heute noch - sind sich so richtig den Konsequenzen und Voraussetzungen bewusst damit es auch ein Gewinn ist und nicht das Gegenteil. Die wenigsten brauchten diesen Gewinnn sondern wären bei der Investion in schnelles Recovery, Ersatzsystem etc. deutlich besser aufgehoben. Beim Thema Sicherheit ist es schwierig die Grundlagen umgesetzt zu haben, weil es eben keinen sinnvollen Leitfaden seitens des Herstellers gibt, die vernünftigen Einstellungen nicht "ab Werk" gesetzt sind und jede Firma/Dienstleister das Rad quasi neu erfinden muss. Wie immer, meine Meinung, kann man teilen, muss man nicht. ;) [/Spoiler]
  15. Ehrlich gesagt begreife ich das immer noch nicht. Wo liegt genau der Sicherheitsgewinn welcher zur tieferen Angreifbarkeit führen soll? Aktuell interpretiere ich das so - besseres Logging: weniger Einträge, weniger Log-Rotating etc. führt zur klar besseren Auswertmöglichkeiten für Admin-Konten - kürzere Token-Laufzeit, krbtgt-Kennwörter, JIT Berechtigungen, aber könnte man alles auch im "normalen" AD machen (je nach Grösse, praktikabel oder auch nicht) - Grössere Attack-Surface durch mehr Schnittstellen/Kommunikation etc. (klar ist gesichert, aber ist nunmal zusätzlich) - Massive Komplexitäterhöhung (Backup, Recovery, mehr Hardware, mehr Updates etc.): Macht insbesondere kleinere Umgebungen unzuverlässiger als zuverlässiger - Domain Admins sind leer: Geht nicht die Empfehlung dahin, dass man diesen nicht beschneiden sollte und auch entsprechende Notfall-Accounts hat die unabhängig vom Bastion sind? Einem Angreifer ist im Endeffekt doch egal wer ihm die Zugriffsberechtigung "verschafft" um der Produktiv-Umgebung zu schaden. Sehe den Unterschied nicht, wenn man möglichst alle Empfehlungen die für Bastion-Accounts gelten auch für die Produktive umsetzbar wären (weiss nicht ob das möglich ist). Eigentlich wäre es meiner Meinung nach fast wichtiger, die Produktiv-Daten in eine Art Bastion zu schieben und der Zugriff darauf besser gesichert/JIT sein, auf anzahl dokumente beschränkt etc. Vielleicht mag das ja mal jemand erklären. Aktuell sehe ich die Vorteile nicht in der Erhöhung der Sicherheit für das aktuelle Geschehen. Eher zur Erhöhung der passiven Sicherheit weil gewisse Prozesse automatisiert und mit Richtlinien ausgestattet werden und so die Fehlerquote senken oder Admins effektiver "beschnitten" oder mit Rechten ausgestattet werden können. Das wiederum hat eher in grösseren Umgebungen Vorteile. Was genau übersehe ich?
  16. Das verstehe ich ja grad nicht. Wieso sollen die Admin-Accounts im separaten Admin-Forrest bzw. Bastion-Forrest nicht aus dem produktiven Netz heraus komprimirtiert werden können wenn man sich auch mit Ihnen authentifizieren kann? Die Abläufe sind ja im Grunde identisch nur die Authentifizierungstelle ändert sich. Also was macht sie gegenüber anderen Accounts weniger angreifbar? Und wenn sie komprimitiert sind, haben sie die notwendigen Berechtigungen für das produktive Netz. Klar ist es einfach(er) bei anderen. Wenn man die entsprechenden Lizenzen hat. Aber auch wieder mehr "fremde Software". Welche mittel stehen den als VM nicht zu Verfügung? vTPM gibts ja mittlerweile auch. Nested VM's ebenso, also Credential Guard auch möglich. Und viel mehr kann eine physische ja eigentlich auch nicht bieten. Von der Exklusivität der Hardware mal abgesehen. Aber klar, ich bin bei Dir. Immer frisch ist immer frisch. Obs gegen die automatisierten Angriffe wirklich hilft? *schulterzuck* Darum meine ich ja die grundlegenden Dinge die "ab Werk" eben falsch bzw. unsicher sind. Ein spezieller Dienstleister - der eben auch entsprechend kostet - sollte doch gerade nur für das individuellen Dinge notwendig sein und nicht für den 0815 Teil der eigentlich immer gemacht werden sollte. Ich stelle die These auf, dass 90% aller Firmen sich keinen solchen spezialiserten Dienstleister ins Haus holen. Nichtmal bei den grösseren KMUS mit 50 Leuten und mehr. Maximal deren üblicher Dienstleister selber und die meisten vermutlich auch nicht regelmässig. A weil sie nichtmal auf die Idee kommen B weil sie davon ausgehen ihr aktueller Profi macht es schon richtig C weil es vermutlich definitiv zu teuer wird für einen KMU D weil sie nicht beurteilen können ob der nun etwas davon versteht oder nur so tut - ich meine das ist ja schon für einen Fachman nicht unbedingt trivial zu erkennen Das von einem typsichen KMU von 5-20 Nasen zu erwarten... Ich weiss nicht. Tue ich mir etwas schwer. Selbst von solchen die eben solche Kleinkunden betreuen. Selbst wenn grosse Häuser solche Kunden betreuen wird es schwierig. Weil sie es eben nicht für notwenig erachten, ist ja ne kleine Bude. Wenn dem nicht so wäre, hätten die ganzen Schadware-Verteiler nicht soviel Erfolg. Weder in der öffentlichen Hand noch bei Privatunternehmen. Das ein solcher Leitfaden auch entsprechend gepflegt, aktualisiert und eben +- vollständig in Bezug auf das Grundlegende sein sollte, versteht sich von selbst. Mir kommts halt in der IT immer so vor, dass aus dem was aktuell grad Top aktuell ist, eine Black-Box drumherum konstruiert wird. Ich will gar nicht wissen wie viel Leerläufe so produziert werden. So ähnlich wie bei ISO-Zertifizierung wo auch bei jedem das Rad neu erfunden wird obwohl 90% der Dokumente mit minimalen Aufwand übernommen und leicht angepasst werden könnten. Aber finde mal einen Berater der das so macht, das ist ein sehr sehr sehr kleiner Teil.
  17. Was ich mich schon öfter gefragt habe, gibts eigentlich keine sinnvolle Windows Security bzw. Aufbau-Wiki die man abarbeiten kann und mehr oder weniger das beinhaltet was man tun sollte und warum und wie? Man kann ja schon immer auf die spezialiserten Dienstleister in diese Bereich verweisen, aber A weiss man nicht wie gut die sind, B gehen die guten zu den grösseren Firmen oder sie sind schlicht zu teuer für KMU's und C auch wenn sie gut sind, kann denen gewisse Ding durch die Lappen gehen. Zu 1: Warum genau ist das eigentlich sicherer? So ganz begriffen habe ich persönlich das nicht. Wenn der DC der produktiven Umgebung komprimittiert ist, ist es doch der Rest so oder so auch. Was übersehe ich? Zu 2: Warum eine Non-Peristente VM und bei der physischen setzt man auf Persistent? Vorzüge non-Persistent sehe ich im immer jungfräulichen OS, aber das Patch-Management für die Non-Persistent Admin-VM's ist ja verhältnissmässig aufwendig.
  18. Kurze Rückmeldung, die Authentifizierung gegen ein lokales Konto auf dem Zwischen-Server funktioniert übrigens genauso gut. Insofern im eigentlichen Netz keine NTLM-Ausnahme notwendig. Hätte ich auch früher drauf kommen können. Hätte mir einiges an Arbeit erspart. Jemand eine Ahnung wie man dem UserManager Dienst die NTLM-Abfragen austreibt? Füllt unnötigerweise die Logs
  19. Nope dient hier eigentlich nicht so viel, weil ja eben nicht die Verschlüsselung/Signierung das Problem ist, sondern wie Du sagst die Authenifizierung. Könnte man aber sicher so lösen, dass er sich nur gegen den Raspi authentifiziert. Aber eben, muss ich sowas machen, nehme ich dann doch lieber eine Windows VM wie meine bisherigen Work-Arounds. Dirty aber funktional. Wenn jemand noch Verbesserungsvorschläge für die Logs hat, gerne her damit. Zumindest diese Prob sollte ja theoretisch verbreiteter sein =)
  20. @zahni Lexmark unterstützt direkt Kerberos. So nach der verlinkten Beschreibung sollten recht viele Drucker Kerberos direkt können. Scheinbare hinkt von den Herstellern grösserer Drucker nur Canon hinterher. *hmpf* Management-Lösung wäre meistens wohl etwas oversized für eine Handvoll Mitarbeiter die wirklich scannen dürfen/sollen. Würde aber ebenso einen Herstellerwechsel erfordern. :( Danke an alle für die Inputs!
  21. Schon, aber sind ja sehr teure Geräte die grossen Multifunktionsdrucker. Die schmeisst man nicht einfach so raus. Einigermassen mühsam ist es auch, wenn man wieder die Eigenheiten eines neuen Herstellers aneignen muss. Insbesondere punkto Automatisation. Meine Umgebungen sind immer recht ähnlich aufgebaut damit es möglichst wenig Leerläufe gibt und dennoch das meiste an Sicherheitsempfehlungen auch im kleinen umsetzen kann ohne das die Stunden masslos überborden. SMB-Relay mit nem RASPI. Gibts so ein Relay +- transparent? Also ohne Speicher auf dem Raspi? Habe eine 'fertige' Lösung vor einiger Zeit gesucht, aber leider nicht gefunden. Selber auf die Beine stellen ist mir zu mühsam/Pflegeintensiv. Theoretisch wäre das mit Linux ja gut möglich, aber mir fehlt mir schlicht das KnowHow. Da gefällt mir dann eine Windows-Lösungen besser. Ist ja dann ähnlich wie meine Work-Arounds.
  22. Dein Anliegen hat eigentlich wenig mit dem Grundanliegen im Thread zu tun ;) Was am besten einzustellen ist? Remote-Zugriff sperren Einen guten Leitfaden kenne ich leider auch nicht. Das hängt damit zusammen, dass es ziemlich viele verschiedene Möglichkeiten mit allerlei Ausprägungen und Schwerpunkten gibt und MS kein perfektes, günstiges, einfach zu konfigurierendes und sicheres Komplettpaket für jede Unternehmensgrösse anbietet. Sprich es tummeln sich viele verschiedene Firmen im Teich. Schwierig also DEN Leitfaden zu nennen inbesondere weil sich dieser Bereich technisch recht schnell dreht. Sicherheitstechnisch auf alle Fälle so oder so nicht ganz trivial. Das einfachste, in der Summe günstigste, technisch einfachste und daher tedenziell auch das sicherste für eine Kleinumgebung ist auf eine Remote-Lösung wie z.Bsp. Teamviewer zu setzen die einigermassen weit verbreitet ist. Zumindest wenn es nur wenig Arbeitsplätze sind. Auch wenn die Verbreitung tendenziell auch eine Gefahr darstellt. Teamviewer ist heute zwar viel zu überladen für meinen Geschmack, ist aber doch sehr straight in der Einrichtung, Multiscreen funktioniert und es nutzt die vorhandene Bandbreite ziemlich gut. Sobald das nicht mehr ausreicht, sollte man genau definieren was man eigentlich genau möchte. (Im Grunde eh kein Schaden)
  23. Salut zusammen, Mal wieder ein Sicherheitsthema das seit längerem für mal mehr mal weniger Ärger sorgt. Vermutlich nicht nur bei mir. =) Folgende Ausgangslage: Aktueller Drucker, aktueller Firmwarestand Filer mit Freigabe, (auch via DFS), alle üblichen SMB-Hardening-Features aktiv (signing, servernamhardening, nocompression, encryption usw.) Drucker kann mit Zertifikaten umgehen unterstützt 802.1x unterstützt SSL/TLS für Web-Kommunikation inkl. Deaktivierung alter Protokolle unterstützt Verschlüsselung/Signierung für die Verbindungen für SMB (alle Härtungseinstellungen am Filer sind unterstützt) Im Grunde alles was man heute so erwartet, ausser eben Kerberos-Authentifizierung. Gibt auch Hersteller die Kerberos können aber halt nicht alle. Nun soll dieses Teil weiterhein auf eine SMB Freigabe Dokumente ablegen können wo die User dann die Files abholen können. Szenario 1: Zugriff vom Drucker auf die Freigabe via \\DomäneFQDN\DFS-Root\FreigabeName Fehlermeldung 4002 nur auf dem DC dann in etwa so: Calling Process ID: 4 Calling Process LUID: 0x37 Calling Process User Identity: Computer Account Name des DC Calling Process Domain identity: DomainFQDN Mechanism-OID: 1.3.6.1.4.1.311.2.2.10 NTLM Authentication request to this server ist blocked Wie man unschwer erkennen kann, erhält man keinerlei Angaben von wem die ursprüngliche Anfrage kam. Nichtmal das "Relay" also den Filer, erkennt man. Mit Firewall-Logging (BFE) kann man schauen was zur gleichen Zeit reinkam, aber ist natürlich wenig praktikabel wenn eine gewisse Menge Traffice läuft. Eine Ausnahme für das Gerät ist so - wenig verwunderlich - auch nicht möglich. Szenario 2: Zugriff vom Drucker auf die Freigabe direkt auf dem Server, ohne DFS (Tschüss DFS-Komfort) Übliche Fehlermeldung auf dem DC die gut auswertbar ist. Ausnahme für den Filer kann erteilt werden. Auf dem Filer habe ich das gleiche Problem wie vorher auf dem DC. Der Verursacher erscheint nicht im Log wenn die Verbindung signiert/verschlüsselt ist. Folglich keine granulierte Ausnahme sondern nur die Schleuse möglich. Es müsste der komplette NTLM Verkehr auf den Filer zugelassen werden. Nicht so sinnvoll für einen allgemein zugänglichen Server. Den Filer selbst kann man dafür auf dem DC als Ausnahme definieren. Szenario 3: E-Mail-Versand. So prickelnd finde ich das nicht, mit grossen Scan-Files den E-Mail Server zuzumüllen. Dafür extra einen internen Mailserver aufziehen und pflegen ist definitiv zu viel Aufwand für so eine eigentlich triviale Anforderung. Bis jetzt habe ich zwei Workarounds die ich im produktiven Test/Einsatz habe: Der erste ist ein separater Filer der nur mit dem Drucker und den Infrastrukturservern (DC, CA, WSUS) sowie diesen Druckern kommunzieren darf. Dann synchronisiere ich dem Hauptordner mit dem Filer auf den die User Zugriff haben. DFSR und Robocopy habe ich seit längerem im produktiven Test. Funktioniert soweit beides aber halt mit den üblichen Nachteilen. Und schön ist es nicht wirklich. Eine Festplatte die ich in mehrere VM's einfüge (physical shared) und die VM's nur in ihren jeweiligen Netzen kommunzieren können. Die Kommunikationseinschränkungen können sowohl physische (Netzwerkkarten) als auch logisch mit Firewalls durgesetzt werden. Also nur die Drucker dürfen mit Server A kommunzieren. Der Server selbst in Richtung Infrastruktur-Server und Drucker. Server B ganz normal. *1) Soweit OK (nicht gut), aber die zusätzliche Maschine muss bei beiden Würg-around-Varianten, gepflegt, gesichert und insbesondere bei der zweiten Variante 1A dokumentiert werden. Dafür kann man sich auch gleich überlegen ob die Authentifzierung überhaupt gegen AD erfolgen soll oder ob es nicht auch ein lokales Dienstkonto tun würde. DFS fällt logischerweise flach. Eine NTLM-Anfrage in die eigentliche Domäne muss nicht getätigt werden und somit auch keine Ausnahme erfolgen. Die Frage Entweder stehe ich auf dem Schlauch oder das geht tatsächlich nicht besser? Löst man das besser ganz anders? Davon abgesehen, habe nur ich das Gefühl, dass die NTLM-Logs sowie Ausnahme-Regeln etwas halbgar umgesetzt wurde wenn die Ausgangslage nicht "Keinerlei Sicherheit" ist? Bis die Hersteller durchgängig ihre Software und Gerät angepasst haben, dürfte es wohl noch eine ganze Weile dauern, eine Lösung wäre daher schön. Interessant finde ich, dass auch nach fast einem Jahr wo das nun im Netz breitgetreten wird, mein Druckerlieferant meint, ich wäre der einzige der das überhaupt anfragt. Er beliefert auch diverse Gross-Firmen und SMB sei fast immer eingerichtet für den Scanner. Wird in grösseren Betrieben einfach noch grosszügiger mit Ausnahmen hantiert? Ist die NTLM-Problematik in den IT-Abteilungen wirklich noch nicht angekommten oder ist das ganze doch nicht so problematisch wie einem das die ganzen Internetartikel vermitteln wenn alles über signierte Clients läuft? Grüsse und vielen Dank für Inputs! Zusatzinfo zu 1) Das funktioniert mit NTFS, solange auf einer Seite nur gelesen wird. Knackpunkt ist die Indexierung, die muss am besten auf beiden Seiten deaktiviert werden. Man kann mit aktivieren/deaktivieren der Disc arbeiten (bei manuellen oder zeit/triggergesteuerten Aufgaben) oder mit Lockfiles welches die andere Seite vor einem Schreibvorgang prüft. Funktioniert 1A, ist aber halt aufwendig in der Einrichtung und nicht jeder versteht so ein Konstrukt. Dafür kann man auch eine quasi-physische Netztrennung - zumindest auf Netzwerkebene - erreichen und hat dennoch den Komfort eines Datenaustausches. Klar ist ein Würg-Around. Weder schön noch besonders Wartungsfreundlich. Aber immerhin kann man gewissen Anforderungen einigermassen Rechnung tragen ohne gleich alles freizugeben.
  24. Jo, das hilft einem enorm zu verstehen was, es überhaupt macht wenn sich einer die Mühe nimmt. Je nach Quelle muss man dann nicht alles selber durchanalysieren.. =)
×
×
  • Neu erstellen...