MurdocX

Am 28.4.2023 um 09:31 schrieb phatair:

Wie handhabt ihr das?

Einlesen, aktiviert und fertig. Auswirkungen, die es zu spüren gab im Cluster-Bereich, wurden schon gepatcht.

Am 27.4.2023 um 09:20 schrieb Thomas Maggnussen:

Nach meinem Verständnis befindet er sich mit VPN direkt bei uns im Netz. Auch wenn bei denen im Netzwerk ein Client von irgendwas befallen, wird kann der sich doch über das Netz und damit auch in unser Netz einschleppen oder sogar, wenn mitarbeiter vom Homeoffice aus arbeiten. Gab ja genug Schwachstellen die auf RDP usw. los gegangen sind.

Am 27.4.2023 um 13:02 schrieb NorbertFe:

Gibt schließlich auch VPN Lösungen die nur bestimmte Ziele und Protokolle zulassen, je nachdem was man braucht.

Sehe ich auch so. 

Am 27.4.2023 um 14:23 schrieb Thomas Maggnussen:

Lässt sich schon so machen dass ich sage von dem vpn user nur Zugriff auf Server und nur RDP Port aber genau der RDP port war doch immer wieder so anfällig?

Macht Ihr keine regelmäßigen und zeitnahen Windows Updates

Ich persönlich würde mich für VPN aussprechen. Hier gibt es bessere Möglichkeiten die Telemetrie abzugreifen, Kommunikationsports selbst festzulegen und zu analysieren, falls man es denn auch tut ;) Das Risiko eines Dienstleisters auf dem Server hast du so oder so.

Die Zeiten das man mit einer externen Firewall geschützt ist, sind rum. Interne Maßnahmen sind alternativlos, außer man möchte es strategisch nutzen, um Geld von der GF für eine Erneuerung der Serverlandschaft zu bekommen  

Das "Warum" würde mich auch interessieren. Habe bei Server 2022 das selbe Verhalten festgestellt, ohne WSUS.

Servs,

hatte meinen ersten Fall vor ca. 4 Wochen. Ein User sollte sich per RDP auf seinem migrierten Windows 11 PC verbinden. Klappte nicht. Die lokale Anmeldung war wiederum kein Thema. RDP auf andere Windows 10 Computer war einwandfrei möglich. Das Entfernen eines Ö´s im samAccountName, brachte auch RDP auf einem Windows 11 zum laufen...

Interessant wäre zu wissen, ob der Zugriff scheitert oder nur der Server/die Freigabe verbogen ist. Das wird ein allgemeiner FileServer für alle sein, oder?

Das kenne ich so nicht und kann das für unsere Flotte nicht bestätigen.

Sind das VMs? Falls ja. laufen diese mit den Energieeinstellungen auf Höchstleistung? Fall nein, mal ausprobieren. 

Das Thema ist gelöst, super! Dann mache ich den Thread mal zu, bevor das Thema hier noch weiter abdriftet.  

Hallo,

hier findest du alle: https://learn.microsoft.com/de-de/certifications/

AFAIK sollte es möglich sein die Datei zu signieren und sie damit im Defender mittels einer Konfiguration als Vertrauenswürdig zu deklarieren. Dazu würde ein Self-Signed-Zertifikat reichen, welches du via GPO auf die Computer verteilen kannst.

Ressourcen:

- SignTool.exe (Signaturtool) - .NET Framework | Microsoft Learn

- https://learn.microsoft.com/de-de/microsoft-365/security/defender-endpoint/defender-endpoint-antivirus-exclusions?view=o365-worldwide#defender-for-endpoint-indicators

Ein bisschen Buggy ist’s noch. Bei uns kamen die externen Anrufe nicht an. :/ 
 

Nutzt doch eh keiner für Calls  

vor 4 Stunden schrieb NorbertFe:

Hmmm... naja. Dann braucht man keine Windows CA, wenn mans eh von Hand reinfummelt. ;)

2 Finger-Suchsystem wäre doch auch noch eine Option 

vor 4 Stunden schrieb cj_berlin:

Huch?

Da ist aber einer seeeeehr überrascht ... 

vor 4 Stunden schrieb NilsK:

Was für Sicherheitsgründe hast du im Blick?

Es gibt bekannte Angriffstechniken die eine Misskonfiguration der CA ausnutzen um sich schnell DA oder DC-Sync Rechte zu verleihen. Hier passiert/passierte einiges. Was ich schon gesehen habe ist die Computervorlage mit Auto-Register, Auto-Approval auf authentifizierte Benutzer. 

Und weil‘s gerade passt: Vermeide automatische Zertifikatsregistrierungen.  Warum? Aus Sicherheitsgründen. 

vor 8 Minuten schrieb Admin666:

Unsere DNS Einstellungen zeigen auf einen DNS und DC Server

Als DNS-Server sind in 99,9% der Fälle nur die DCs einzutragen und keine anderen DNS-Server. Hier wird der Hund begraben sein.

Am 15.2.2023 um 14:44 schrieb mroth:

AppLocker kommt leider nicht infrage, da wir "nur" Windows 10 Pro im Einsatz haben.

Dann hättest du also ein neues Tool zur Verfügung.  

vor 12 Stunden schrieb wznutzer:

Kerberos-Proxy ohne Nachteile öffnen

Hallo,

wenn wir hier über einen reinen KdcProxy reden, würde ich es nicht tun. Ob nun verschlüsselt oder nicht. Du öffnest dich für Kerberos-Angriffe. Ohne hier tiefer zu gehen, würde ich es nicht empfehlen. 
 

Einfach gesagt gibt es Gründe einen DC nicht ins Internet zu hängen. Wäre aber schön, dann würde vieles ohne VPN funktionieren 😀

vor 21 Stunden schrieb wznutzer:

Bei mir ist das halt GData mit deren Cloud-Erkennung. Ich weiß, kann man drüber streiten, ob das sinnvoll ist oder nicht .

Das muss jeder für sich entscheiden. Es kommt wie immer auf die Anwendungszenarien an

Am 23.2.2023 um 12:39 schrieb Sunny61:

Ausnahmen gibt es immer, aber es gibt weitaus mehr Server die NICHT ins Internet können müssen. Bei uns sind es sehr sehr wenig Dienste, die ins Netz können. Standard ist kein Internet.

M.M.n ist es auch nicht verkehrt. Surface-Reduction lohnt sich immer. Manchmal ist der Status "kompliziert"  

Du hast eigentlich alle Teile schon beinander die du benötigst. Die Ausgabe über FT kannst du dir sparen, denn das wandelt es nur in eine Ansicht um. Du möchtest aber mit den Objekten weiterarbeiten. Eine Auswahl triffst du mit:

Select-Object CsCaption,OsName,OsBuildNumber

danach noch die Daten in das gewünschte Format Konvertieren:

ConvertTo-Csv -Delimiter ";" -NoTypeInformation

$computername gibts nicht. Nimm stattdessen:

$env:Computername

Als letzten Schritt musst du nur die Ausgabe in eine Datei dran hängen. Das solltest du hin bekommen  

vor 18 Stunden schrieb daabm:

Ich mach mal einen auf Spielverderber

Den gibt es in jeder Gruppe  

vor 18 Stunden schrieb daabm:

GPO, Startskript, zentrale Speicherung

Riecht förmlich danach 👃

Hallo Gerald,

willkommen an Board.

Prinzipiell können diese Werte auch mit der Powershell oder WMIC abgefragt werden. Wir unterstützen Dich gerne in der Lösungsfindung oder bei Problemen. An welcher Stelle können wir Dich genau unterstützen, ohne Dir das Script zu schreiben?

vor 2 Stunden schrieb mwiederkehr:

Arbeitsplatzdrucker gehören ohnehin abgeschafft. Die Kosten pro Seite sind hoch und je näher der Drucker, desto mehr wird gedruckt. Habe bei einigen Kunden erlebt, dass die Mitarbeiter nach Einführung von Stockwerkdruckern plötzlich entdeckt haben, dass man E-Mails auch am Bildschirm lesen kann.

Ja das sind tolle Erfindungen diese Stockwerksdrucker. Die sollten durch die Arbeitgeber gefördert werden. Durch die Bewegung kommt gleich mal Sauerstoff ins Hirn  

@Cryer

Waren ein paar passable Lösungsvorschläge für Dich dabei?

Dann hatte ich also den richtigen Tipp.  

Am 23.1.2023 um 23:27 schrieb MurdocX:

AD über Gruppenrichtlinien:

Computer Configuration > Policies > Administrative Templates > Windows Components > Bitlocker Drive Encryption > Removable Data Drives > "Deny write access to removable drives not protected by Bitlocker"

Siehe:

Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind (admx.help)

vor 49 Minuten schrieb dormi98:

Es sollte tatsächlich so sein, dass USB Datenträger wenn der Wert auf "Nicht konfiguriert" gestellt ist, nicht verschlüsselt werden müssen.

Nein, dann hast du die GPO-Technik nicht verstanden. Das bedeutet nur, dass keine Einstellung von der GPO gesetzt wird. Was nicht heißt das schon etwas gesetzt wurde. Um das Gegenteil der Richtlinie zu erreichen, hättest du diese auf "Deaktiviert" setzen müssen. 

vor 11 Minuten schrieb Sunny61:

Gegenfrage: Weshalb kommen/müssen die Server überhaupt ins Internet? Es spricht nichts dagegen auf dem Gateway den Servern den Zugriff ins Internet abzudrehen.

Außer du hast einen ATP auf den Servern, SmartScreen aktiv oder sonstige Cloud-Funktionalitäten.

Mit dem WMI-Filter könnte man auch noch arbeiten  

Ihr lacht. Ich muss so Konstrukte gerade migrieren…   Das Warum ist heute immer noch nicht geläufig.

Zum anderen Thema ist schon genug gesagt 

Hallo,

evtl könnte Dir das hier weiterhelfen: https://learn.microsoft.com/en-us/answers/questions/623771/user-cant-able-to-change-password-form-owa-exchang

vor 9 Stunden schrieb RalphT:

Wenn aber z.B. in der AD eingestellt wird, dass der Nutzer bei der nächsten Anmeldung sein Passwort ändern muss, dann erscheint das Fenster mit dem Passwort.

Das ist normal, weil der Benutzer sein Passwort ändern muss und dieser Dialog die Möglichkeit nicht bietet. Demnach wird die Anmeldung abgelehnt. Soweit, so normal. Einmal am PC anmelden, Passwort ändern und fertig.