Marco31

Ja, "Sicher" war ja in der heutigen Zeit eh schon falsch ausgedrückt... Ein möglicher Angriffsvektor ins interne Netz wäre dann z.B. entsprechender Code per Email als Dateianhang oder kompromittierte Websites, die Geräte im internen Netz nach der Schwachstelle scannen und dann über diese Code ausführen?

Da bleibt bis zum patchen der betroffenen Anwendungen wohl nur die Hoffnung, dass Applocker und blocken von ausführbaren Dateianhängen den Worstcase verhindern... 

Eine Frage dazu; wenn ich mal die Anwender im lokalen Netzwerk als potenzielle Angreifer ausklammere, bin ich vor der Schwachstelle sicher wenn meine Applikationen nicht aus dem Internet erreichbar sind?

Da habt ihr wohl recht, da war ich "leicht" auf dem Holzweg... Danke für den Schubs in die richtige Richtung

vor 18 Stunden schrieb cj_berlin:

"Verwenden von AppLocker- und Softwareeinschränkungsrichtlinien in derselben Domäne
AppLocker wird auf Systemen unterstützt, die Windows 7 und höher ausgeführt werden. Richtlinien für Softwareeinschränkung (Software Restriction Policies, SRP) werden auf Systemen unterstützt, die Windows Vista oder früher ausgeführt werden. Sie können weiterhin SRP für die Anwendungssteuerung auf Ihren Computern vor Windows 7 verwenden, aber AppLocker für Computer verwenden, auf denen Windows Server 2008 R2 Windows 7 und höher ausgeführt wird. Es wird empfohlen, AppLocker- und SRP-Regeln in separaten GPOs zu erstellen und das Gruppenrichtlinienobjekt mit SRP-Richtlinien auf Systeme zu adressieren, die Windows Vista oder früher ausgeführt werden. Wenn sowohl SRP- als auch AppLocker-Richtlinien auf Computer angewendet werden, auf denen Windows Server 2008 R2 Windows 7 und höher ausgeführt wird, werden die SRP-Richtlinien ignoriert."

Ok, der Absatz erklärt es. Hatte ich so nicht am Schirm, danke für die Info! Ist zwar so gesehen b***d wenn Applocker erstmal nur im Audit Mode läuft, aber ist halt so. 

Danke an alle für die Hilfe.

Ok, ich glaub wir reden tatsächlich aneinander vorbei. Ich versuch's noch mal besser zu erklären. Wir haben größtenteils noch Windows10 Pro-Maschinen, haben aber (unter anderem auch wegen zukünftigem Einsatz von Applocker) auch schon einige Maschinen mit Windows10 Enterprise lizensiert. Die SRP haben wir schon lange im Einsatz, hat auch immer bestens funktioniert. Soweit so gut. Wenn ich aber jetzt eine Applocker-GPO im Audit-Mode (zum erstellen der notwendigen Freigabe-Regeln) zusätzlich aktiviere, beachten meine Enterprise-Maschinen nur noch die Applocker-Regeln im Audit Mode (nix wird geblockt) und die SRP-Regeln werden völlig ignoriert; es kann also (von nötigen Admin-Rechten abgesehen) beliebige Software ausgeführt werden. 

Ich bin eigentlich der Meinung dass die Koexistenz mal funktioniert hat und das ganze so eher neu ist, aber so 100%ig sicher bin ich mir da auch nicht.

Ist halt die Frage ob das so gewollt ist oder ob's ein Bug ist.

Gerade eben schrieb NorbertFe:

Was genau passiert denn während deiner Tests mit diesen PCs? 

Arbeiten, surfen, Mails empfangen, was halt so auf Büro-PC's passiert. 

vor 8 Minuten schrieb NorbertFe:

Warum nicht?

Bzw: vielleicht war meine Antwort missverständlich. Teste auf PCs, auf die die SRP nicht wirken. ;)

Ok, hatte ich tatsächlich etwas falsch verstanden. Aber die Frage ist doch, wie schütze ich die PC's, auf denen ich Applocker teste, wenn die SRP-Richtlinien dann deaktiviert sind? Das kann so nicht im Sinne des Erfinders sein...

Dazu müsste ich eine Testmaschine aufbauen auf der sämtliche Anwendungen installiert sind und müsste auch noch testen, ob diese einwandfrei funktionieren... Wir haben hier Anwendungen von denen ich nicht die geringste Ahnung habe weil sie durch ein Rechenzentrum gehostet werden, da habe ich nicht mal Zugriff drauf. Also nein, das ist definitiv keine Lösung!

Und der Audit-Modus von Applocker ist ja gerade dazu da, im Echtbetrieb zu sehen welche Anwendungen geblockt würden (bzw. noch freigegeben werden müssten) wäre Applocker im Nicht-Audit-Mode. 

Also sorry, aber dedizierte Testmaschinen sind für diesen Fall die falsche Herangehensweise.

Da sehe ich aber nicht was für Applocker freigegeben werden muss, bzw. was Applocker blocken würde wenn... Macht keinen Sinn. Dafür gibt's ja den entsprechenden Modus in Applocker

Hallo Leute,

wir haben für das Application Whitelisting momentan SRP im Einsatz. Jetzt bin ich auch am testen und konfigurieren von Applocker (im Audit Modus), musste aber folgendes bemerken: Sobald eine Applocker-GPO aktiv ist, werden die SRP-Regeln ignoriert und nix wird geblockt. Sobald ich die Applocker-GPO deaktiviere, funktionieren die SRP wieder... War das schon immer so? Ist das so gewollt? 

Ist halt b***d für den Testzeitraum...?!

Ach ja, BS ist Windows 10 21H1

Am 20.8.2021 um 19:13 schrieb NorbertFe:

Also das is mit wpp und wsus am Ende aber auch kaum wirklicher Aufwand, wenn man mal vom „wissen dass eine neue Version verfügbar ist“ absieht. ;) aber jeder wie er mag. Hab auch Kunden die sich dafür entschieden haben.

Ja, aber das waren nur drei Beispiele; je mehr Programme upgedatet werden müssen je größer der Aufwand. Habe selbst Jahre mit WSUS und WPP gearbeitet. Ja, funktioniert gut, aber DC ist dann doch ne Erleichterung. Was einem die wert ist muss jeder selbst entscheiden.

Kleine Rückmeldung. Habe mich vor ca drei Monaten dann für Desktop Central entschieden. Bin bisher sehr zufrieden damit, gerade das automatische patchen von Browsern, Adobe Reader etc. Ist sehr praktisch und spart Arbeit. Die Server werden (noch) mit WSUS upgedatet.

Werde ich testen, schon mal vielen Dank:-)

Hallo Leute, 

ich habe ein kleines Problem mit einer VM, die ich mit Veeam wiederhergestellt habe. Es kommt jetzt nach jedem Neustart die Meldung dass der Server unerwartet herunter gefahren wurde. Dem ist aber nicht so. Ist da irgendein Registry Key falsch gesetzt? Ist eine Windows Server 2019 VM.

Ok, so dachte ich mir das. Danke für die Hilfe dazu!

Ja, aber hier fängt das Problem ja an; sobald ich das Update im WPP aus dem Katalog importiere, lädt er das komplette Update herunter. Ich müsste also entweder genau selektieren, welche Updates meine Geräte möglicherweise brauchen, oder ich importiere alles und lade auch alles herunter.

Ich kann ja im WPP leider nur komplette Updates aus den Katalogen runterladen, und nicht nur Metadaten. 

Also berichtige mich wenn ich falsch liege, aber die Maschinen können nur Updates anfordern, die auch im WSUS sind. Und wenn ich im WPP keine Updates aus einem Katalog in den WSUS importiere (und damit auch herunterlade), hat der WSUS keinerlei Kenntnis der Updates und die Maschinen können diese auch nicht anfordern. Also müsste ich die Updates erst alle aus dem Katalog importieren, damit die PC's überhaupt "Bedarf anmelden" können... Oder liege ich hier komplett daneben? 

Ok. Also wenn ich nicht genau weiß, welche Maschine was braucht, gebe ich alle mutmaßlich benötigten Updates frei und lade auch alle herunter. Nicht so schön, aber dafür gratis

Am 2.4.2021 um 22:45 schrieb Sunny61:

NorbertFe hat dazu mal ein HowTo geschrieben, evtl. hilft es dir: https://www.wsus.de/veroeffentlichen-von-hardwareupdates-mit-hilfe-von-wsus-package-publisher/

Hmm, habe mir das mal angeschaut und testweise den Agent installiert. Habe aber noch nicht herausgefunden, wie da überhaupt auf relevante Updates gefiltert werden soll... Muss ich wissen welche Maschinen welche Updates brauchen und dann selektiv freigeben? Gebe ich alle frei (die dann blöderweise ja auch alle runtergeladen werden) und warte welche Maschine welches Update zieht?

Da sind noch ne Menge Fragezeichen für mich. Vielleicht liest Norbert ja mit und kann mich aufklären

Erst mal vielen Dank für die Hinweise  

@ testperson: Die Probleme von Desktop Central mit der Software-Verteilung und den Exit-Codes werde ich mal mit der zu verteilenden SW testen, danke für den Hinweis. Zum Preis für die Lizenz kommt noch ein Language Pack für knapp 300 $ dazu, wenn man das ganze auf Deutsch haben möchte... Und ja, 25 Devices sind kostenlos, aber es fehlen dann Funktionen und ich hätte zwei Clients die ich dann "zu Fuß" administrieren muss. Auch b***d.

@mwiederkehr: Habe mal auf der Homepage von PDQ Deploy geschaut, also preislich ist das eher noch teurer... Ohne das Inventory-Tool fehlt wenn ich das richtig lese ne ganze Menge Komfort, und wenn man Deploy und Inventory kauft ist man bei 2000 $.

Zum Thema BIOS und Treiber; wir haben tatsächlich Dell und HP im Einsatz, habe mir auch schon mal den Dell Katalog angeschaut im WPP... Blöderweise habe ich da noch nicht herausgefunden, wie ich nur die Treiber freigebe die auch von den Maschinen benötigt werden.... Gebe ich da alle frei und warte was angefordert wird?

Ja, und der Betriebswirtschaftliche Teil ist tatsächlich das was ich nur schwer einschätzen kann. Letzens musste ne Software auf allen Maschinen manuell aktualisiert werden, da ist man halt recht lange dran und muss zum Teil die Aktualisierung nach Feierabend der anderen Kollegen machen. Passiert nicht so oft, ist aber auch nicht das gelbe vom Ei 

Einer der größten Vorteile von Desktop Central und Co. finde ich halt die Kataloge von Software, in denen man direkt auch wichtige oder kritische Updates hingewiesen wird. Nicht immer bekommt man gleich mit wenn was dringend aktualisiert werden muss.

Mal schauen. Schwierige Entscheidung 

Hallo Forengemeinde,

ich stehe hier vor einem Problem was ich zwar letztendlich selbst lösen/entscheiden muss, aber ich möchte zumindest mal ein paar Meinungen anhören.

Wir haben ein Netzwerk mit derzeit 27 Clients (alles Windows 10), geringfügige Steigerung in den nächsten Jahren möglich aber eher unwahrscheinlich. Derzeit patche ich die MS-Produkte mit WSUS, auf allen PC's vorhandene Anwendungen wie Chrome, Firefox, Keepass etc. werden mit dem WPP installiert/gepatcht. Funktioniert auch soweit.

Leider stößt das ganze bei einigen Programmen an seine Grenzen (Visual C++, Clients für Anwendungen, etc) wo dann teilweise auch mal Turnschuh (bzw. Remotedesktop) Administration gefordert ist. Auch würde ich gerne BIOS-Updates und Treiber aktuell halten.

Außerdem hat so eine Patchmanagement Software den Vorteil, dass man aktuelle Patches auch für nicht-MS-Produkte angeboten bekommt, wo man sonst immer schauen muss ob es ne aktuellere Version gibt...

Ich habe mir daher mal Desktop Central von Manageengine angeschaut, da wir von denen auch den OPManager haben mit dem ich recht zufrieden bin. Leider schreckt mich da doch der Preis "etwas" ab, würde da bei knapp 1.300 €/Jahr für die Enterprise Version liegen. Professional wäre so um die 200 € günstiger, da fehlt aber dann Bios & Treiber Update.

Daher mal meine Umfrage an euch; lohnt sich sowas in der Größenordnung überhaupt? Kennt ihr Kunden in der Größe die sowas einsetzen oder verwaltet ihr Netzwerke in der Größe die sowas einsetzen?

Ja, da hast du wohl recht. Problem ist halt dass ein Großteil meiner Arbeit eher nicht mit administrativen Konten erfolgt, da läuft halt viel mit Office, Outlook, DMS etc außerhalb des Arbeitsbereiches "Administration". Das wäre so in der Konstellation schon ne ziemliche Arbeitsbremse... Aber ok, muss ich mal schauen.

Also ich bin hier der einzige Admin, das Netzwerk ist doch recht überschaubar (30 Clients, 2 VMWare Hosts, physischer Backup-Server und DC), Firewall, Proxy und co. liegen im Rechenzentrum.

Geht also eher um einen (meinen) User

Hallo Forengemeinde,

bisher mache ich meine Administrativen Tätigkeiten und meine "normalen" Nicht-IT-Arbeiten an einem Rechner. Als normaler Benutzer, administrative Tätigkeiten dann per RDP oder ""ausführen als". Da das ganze ja Sicherheitstechnisch kein Idealzustand ist, hatte ich mir überlegt für meine Administrativen Tätigkeiten auf meinem Rechner eine VM aufzusetzen mittels HyperV.

Wäre das sinnvoll oder was spricht sicherheitstechnisch dagegen?

Ein hp proliant Micro Server wäre nichts für dich?