daabm

Admin-Commandline, "gpresult /h report.html", dann anschauen und interpretieren.

Ich bin voll bei den beiden Norberts Makros gehören deaktiviert (nur signierte zulassen), und Applocker sollte dringend aktiviert sein. Notfalls SRP - die c't stellt da was halbwegs brauchbares bereit...

@Samoth Wenn Du das nicht selber ausprobierst, sondern nur Durchlauferhitzer für einen Dritten vor Ort bist, bin ich raus - das wird zu langwierig...

@mba Der ist gut

Da fehlen immer noch Infos, aber soll recht sein, wenn der TO der Meinung ist

Ja kannst Du.

@zahni Die Nachfrage ist zwar generell gerechtfertigt, hat aber mit dem Problem hier definitiv nichts zu tun. @Sunny61 Er hat wohl am Anfang mit einer Kopie gearbeitet, später dann die "Original-GPO" noch mal verlinkt. So steht es auch im GPResult, das ist zweimal die gleiche GPO. Bei unterbrochener Vererbung sollte die allerdings nur einmal auftauchen - und aus der angewendeten Verlinkung sollten die Settings angewendet werden. Ich glaube, daß a) der gpresult Unfug erzählt b) wir irgendwas noch nicht wissen, was aber entscheidend wäre

Schau mal bei uns vorbei, da siehst Du das

SQL kann es.

Google hilft: "Metadata Cleanup"... Muß vorher gemacht werden, weil sonst manche "alten" Objekte übrig bleiben.

LOL - die Diskussion hatte ich gerade im Büro. Ein 8 stelliges Passwort mit Groß/Klein/Zahl/Sonderzeichen knackt man per Brute Force in 5 Sekunden... Das hilft für eine erste Einschätzung: https://www.grc.com/haystack.htm (Wobei ich vermute, daß die gängigen Rainbow Tables sowieso alle Passwörter bis 12 Stellen enthalten, wenn der Hash verloren geht, ist eh Schicht im Schacht.) Admin-Kennwörter: Mindestens 20 Stellen, dafür nur einmal im Jahr ändern (oder noch besser 24 Stellen und gar nicht ändern...). Ändern bringt eh nichts: https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903/ Welche Anwendung mit (g)MSAs klar kommt, mußt individuell ermitteln. Die meisten können es leider noch nicht.

Doch - der "Schaden" lag ja noch im 5 stelligen Bereich, bei einem Unternehmen dieser Größe also relativ niedrig. Und sie haben sehr schnell agiert. Und konsequent.

Hast Du in der Quelle Symlinks "/xj"...

Wenn Du mal ausfällst und das ein Dritter supporten muß: Viel Spaß damit

Lokale User sind was anderes als lokale Gruppen, ja. Das Kennwort steht im Fast-Klartext in einem XML, das PowerSploit direkt ausliest und präsentiert...

Nein, Du denkst richtig. Ich versteh's grad auch nicht so ganz, eigentlich sieht das alles "in Ordnung" aus. Aktivier mal das gpsvc.log - da könnte was Aufschlußreiches drinstehen.

Mein Sperrmüll liegt in der Garage. Und auf dem Dachboden. Und im Keller.

Ich werf noch ne weitere Kaufoption in den Raum: Redemption. Bestes Skripting-AddOn für Outlook Geld kostet es so oder so.

Ich bin dafür Je weniger Zugangswege es gibt, um so einfacher sind sie zu überwachen und abzusichern. Und RDP direkt im Internet war noch nie eine gute Idee. Außer Du erzwingst auch da ein Clientzertifikat. Aber bei der letzten Lücke hätte m.W. nicht mal das geholfen.

Nicht unterstützte Cipher Suite? Win10 kann da ein paar mehr als Win7...

Mal ein paar Gedanken dazu: 1. Warum im Netlogon? Dafür macht man besser einen eigenen (DFS-) Share 2. Wenn es unter Win7 im Systemkontext geht, sollte das auch unter Win10 funktionieren 3. AppLocker ist für SYSTEM irrelevant 4. Unterstützt dieses Setup kein Logfile? 5. Setups rufe ich lieber per CMD auf. Da kann man mit >>logfile 2>&1 so einfach den Output protokollieren. Ist in Powershell nicht ganz so trivial, vor allem wenn eine Exception kommt... 6. Ruf dein Startskript doch mal per psexec -s auf - was passiert dann? Final: Logging ist alles. Ohne Logging ist alles nichts.

Ich versuch mal Deine Fragen zu interpretieren - ganz verstehen tu ich es nicht In GPP kannst Du in einem einzigen Element mehrere Mitglieder einer Gruppe hinzufügen. Du kannst aber auch mehrere Elemente verwenden und jeweils ein Mitglied hinzufügen. Wenn Du ersteres machst und es geht bei einem Mitglied etwas schief, werden alle weiteren nicht mehr bearbeitet. Machst Du zweiteres, werden die weiteren Elemente trotzdem ausgeführt. NICHT die Builtin Admins zu verwenden, hat den Vorteil, daß man sich Spezereien mit UAC erspart. Und es geht mir auch nicht nur um die lokalen Admins, sondern auch um interaktive Anmeldung (und RDP) sowie Service-Logon.

Ich glaub KRITIS haben wir auch - aber halt mal private und berufliche Kommunikation auseinander, wenn Du den Job 30 Jahre machst. Die Grenze ist SEHR fließend.

Ich bin bei Jan: Nein, ich esse meine Suppe nicht. Ich verstehe das Problem nicht, mir ist unklar was erreicht werden soll und warum...

"Beste Grüße ssd" ist gut Ich kann das alles nicht nachvollziehen. Ich arbeite hier gerade auf einem Pro3, der Akku reicht i.d.R. locker für 7 bis 9 Stunden. Ist halt alles immer relativ, wenn Ihr viele Hintergrunddienste habt. Vor allem selber geschriebene... xd