MurdocX

Wird auf einem Server nicht benötigt. Wozu auch? Das Model wird nicht für Server geeignet sein, deshalb installiert er den Treiber nicht automatisch. Händisch wird’s aber gehen. Das ist deine Beste Option.

Veränderungen sind b***d, denn man hat’s ja schon immer anderst gemacht. Viel erreichen kannst du mit dem AppLocker und der Tier-Trennung. Wobei bei Letzterem schon viel mit verschieben Admin-Accounts auf Dom, Server und Clients getan ist. Der Weg ist der Richtige

Learning by Doing. Ganz klassisch. Entweder das, oder die „new technology’s“ wie YouTube oder online Tutorials. Alternativ schnapp Dir einfache Skripte, lerne diese zu verstehen und verändere sie bisschen. Das klappt ganz gut.

Muss es auch nicht. Meiner Meinung nach ist der „Admin“ breit gefächert. Da braucht es einfach einen der nur im Bereich Sicherheit arbeitet. Für kleine und mittelständische Firmen ist es schwer, denn das Bewusstsein auf geschäftlicher Ebene für Sicherheit im Allgemeinen fehlt oder wird unterbewertet. Gibs zu, Du würdest dich doch nie wieder mit kleinere Umgebungen abgeben wollen

Wenn das noch neber einem Ameisenbau macht, könnte es ein leckeres Festmal werden Wobei er sich das Graben beim offensichtlichen auch ersparen könnte. Ich versuche das auch zusätzlich über Tiers noch zu erschweren. Das AD-Konzept ist halt nun mal älter als 20 Jahre.

Das war symbolisch für die Dame auf dem Schachbrett. In einem Fall hat er sich den Hash eines Domänen-Admins auf einem Client geschnappt und konnte sich dann damit am DC anmelden. Einmalige Anmeldung an einem Client reicht um sich das Bein zu stellen. Der Klassiker. Deshalb der deutliche Hinweis der Kollegen hier, zur Erklärung.

Schau mal hier: https://social.technet.microsoft.com/wiki/contents/articles/34981.active-directory-best-practices-for-internal-domain-and-network-names.aspx

Hab ich jetzt nicht rausgelesen. Macht das ganze nicht besser. Den Rest kann er noch umsetzen. Ein Pentester hat bei einem Freund den Domänen-Admin mehrmals in 1,5 Tagen fallen gelassen. Windows-Sicherheit ist ein Prozess, keine einmalige Einstellung. :)

5. Einen neuen Domänen-Admin anlegen und den Alten deaktivieren. Unique sollte das Passwort auch sein.

Sind die Domänen-Admins noch Mitglied in den Administratoren? lusrmgr.msc ist die Konsole zum nachsehen.

Ich tippe auch hier drauf. Schau mal bitte nochmal genauer in das ISCSI Menü, ob mehrere LUNs gefunden und vielleicht „Auto-Konfiguriert“ wurden.

Bitte schreib jetzt nicht „um Altlasten zu bereinigen“ Oder möchtest du das aus „best practices“ Gründen tun?

Ich hab in letzter Zeit nichts mehr integrieren müssen, jedoch auch davor bisher keine Probleme gehabt. Kleinere hab ich immer aus der Welt bekommen.

Das kann umgangen werden, indem im geschäftlichen Umfeld die privaten Bereiche vermieden werden. Im Geschäftsbereich verwende ich z.B. nur 10.X oder 172.X., jedoch niemals 192.168.X. Diese Probleme sind bekannt. Deshalb kosten gute IT´ler Geld, denn durch gute Planung und Erfahrung kann viel Geld gespart werden.

Wenn du die DNS-Einträge der Clients löschst, werden sie wieder erstellt. Lösch mal den DNS-Eintrag zu der ID und warte ob beide wieder angelegt werden.

Wusstest du, dass die Benutzer nicht identisch sind, obwohl sie den gleichen SamAcccountName haben? Das liegt an der SID. Was und wo hast du da was entfernt? Welche Dateien? Könntest du das alles bisschen mehr konkretisieren, sonst wird es schwer zu verstehen was du gemacht hast?

Bisher hab ich eine Events. NTLM-frei wäre schon eine schöne Sache für die Zukunft...

Ich durfte in letzter Zeit einige Autos testen und was mir aufgefallen ist, dass es richtig unangenehm ist Touch zu bedienen. Tasten sind doch das Wahre. Gerne eAuto und privat gehts dann auf Tour mit einer Simson KR51/2

Das hast du richtig verstanden. Wenn die Deaktivierung bei der Fritzbox klappt, sollten die Einträge der öffentlichen IP, nach einem Neustart, nicht mehr vorhanden sein. Falls doch, musst die Konfiguration nochmal überprüfen.

... um die gesamte Domäne zu übernehmen.

Ist der Fehler denn überhaupt relevant, wenn du den KIOSK-Modus nur an einem System einrichtest und der Weg über das Menü funktioniert? Könntest du uns noch erläutern warum du den Weg über die XML eingeschlagen hast?

Deswegen gibt einen Code-Tag im Editor um das zu vermeiden Generieren ist ein Synonym für erstellen. WIE erstellst du den XML-Code?

Wie generierst du denn die XML?

In dem Fall würde ich einmal McAfee entfernen und die Settings-App zurücksetzen. Für letzteres gibt es genügend Anleitungen im Netz. Alternativ einfach gleich auf Windows 2004 gehen.

1. Sicherheitsmaßnahme -> Keine identischen lokalen Passwörter! Passendes Produkt -> LAPS Msxfaq | LAPS - Local Admin Password Solution https://www.msxfaq.de/windows/endpointsecurity/laps.htm it-pirate | Microsoft Local Administrator Password Solution https://de.it-pirate.eu/microsoft-local-administrator-password-solution-laps/ Alles hat Vor- und Nachteile. Die sollte man vorher lesen und verstehen. Das Produkt ist kostenlos.