daabm

Jupp - oder auch keins, vermutlich gehen auch mehrere. Ironischerweise war es ausgerechnet der Ergebnisreport eines Pentest, der uns diesen Zeilenumbruch eingebrockt hat: Die Textverarbeitung trennt am Leerzeichen wegen Zeilenumbruch -> CR/LF 🤔 Und dann Copy/Copy/Copy/Error...

Sodele - Update: Manchmal glaubt man kaum, was alles passieren kann... Blogpost ist aktualisiert, "Rolle rückwärts" - man muß zu seinen Fehlern stehen 🙈 Die Anforderung, das zu implementieren, kam per Jira-Ticket zu uns. Da war aus unbekannten Gründen ein Zeilenumbruch - vermutlich kopiert aus einem PDF, und Textverarbeitung macht sowas ja gerne wegen Line Wrapping. Den Wert habe ich einfach kopiert. Nach dem Einfügen sah alles in Ordnung aus: Nur beim Durchfahren mit dem Cursor kann man noch feststellen, daß nach dem Leerzeichen erst mal keine Bewegung erfolgt -> unsichtbares Zeichen. Aber warum sollte man das tun? Und im GPResult muß man auch gezielt hinschauen - das sind 2 Leerzeichen: So gesehen: Unsere Schuld, nicht gründlich gearbeitet... Allerdings natürlich trotzdem ein kleines Problem der ganzen Security/Compliance Scanner, die das nicht erkennen.

Qualys hat auch eine falsche Regex (matcht mit und ohne Leerzeichen), und in den Remediation Hinweise steht's falsch drin.

Und ich hab's mal bei Heise als Redaktionstip gemeldet...

Alles lösbar, wenn die Anforderung klar formuliert wird. Wir haben uns erst mal für den Würgaround entschieden, weil zu viel Automation dran hängt...

Dann bin ich mal gespannt, was bei unserem nächsten Scan rauskommt Ich glaube nicht, daß das bei unserer Security auch schon angekommen ist - ich hab mal nix gesagt... Und wir hatten ein Security Audit, wo das definitiv auf der Checkliste stand, aber da wird halt auch nur geschaut ob konfiguriert - ich wüßte auch nicht, wie man das "einfach und schnell" testen kann.

Jepp. Nicht mal die Security Audits der einschlägigen Firmen haben das auf dem Schirm...

"Store network credentials"...

Sers. Mal wieder über einen Quirk gestolpert - schaut besser noch mal genau hin, wenn Ihr denkt, daß UNC-Hardening aktiv wäre. Windows 10 macht's von Haus aus, sofern man es nicht per GPO "kaputtkonfiguriert"... https://evilgpo.blogspot.com/2023/07/unc-hardening-ms15-014-you-think-you.html TL;DR: Das Leerzeichen hier muß raus - "RequireMutualAuthentication=1, RequireIntegrity=1"

Ja und ja 🍺

Wir drucken nicht über Windows-Server - puh, Glück gehabt, endlich auch mal was richtig gemacht

Ist möglicherweise auch kein file:// Protkoll-Link, sondern direkt ein UNC-Pfad. Leider hast Du den Screenshot im ersten Post komplett anonymisiert Und ob die GPO überhaupt ankommt und wirkt, weiß auch noch niemand.

Das sieht komplett wirr aus - entweder ist RPC offen oder zu, daß die Hälfte geht und die andere Hälfte nicht ist ungewöhnlich... Glaskugel hat dafür keine Antwort Die IPs, zu denen das jeweils auflöst, ist der jeweilige PDCe? Nur der kann Trusts erstellen...

Warum Stubzone statt conditional Forwarder? Den Portchecker für genau solche Fälle habe ich vor einiger Zeit schon geschrieben: https://github.com/daabm/PowerShell/blob/master/Scripts/Test-TcpPorts.ps1 Aufruf mit -Computername <Name der Zieldomäne> -IncludeEPM Liefert Dir eine wunderbare Liste aller für Domänen relevanten Ports (die sind als Default im Skript hinterlegt) inkl. der dynamischen RPC-Ports. Vermutlich LSASS Remote Storage nicht erreichbar, weil ne Infrastruktur Firewall dazwischen hängt, aber das wäre jetzt Glaskugel

Klingt irgendwie logisch: Wenn man das Logging abschaltet, wird nichts protokolliert

So aus der Glaskugel: IE-Zonenzuordnung? Die werden wir wohl nicht mehr los...

Das ist die richtige Stelle. Muß auf allen DCs aktiv sein.

Wir waren dem BSI auch dankbar... Donnerstag morgens den Fix dafür gebaut, Freitag morgen grad nochmal. Und nein, das ist bei uns keine "2 Klicks und fertig" Aktion :-(

Wäre die Frage, wie genau das gemacht wurde AFAIR kann dsa.msc das, aber auch dafür würde ich nicht unterschreiben. Beim De-Promoten auf jeden Fall, das stimmt. Und wie @Nobbyaushb schon richtig schreibt: Besser nachprüfen.

Wenns von allen anderen funktioniert hat: NTLM-Fallback? (Dann hast Du irgendein Problem mit Kerberos...)

Wenn NLA ein Domänennetzwerk erkennt, wird aufgrund des Netzwerk-Change ein gpupdate getriggert. Da spricht also nichts dagegen, wenn die Laptops sich einigermaßen regelmäßig einwählen.

Ping ist kein valider Test - Du mußt schon nslookup/Resolve-DnsName verwenden. Ping nutzt alles was möglich ist, um den Hostnamen zu erreichen inkl. Wins, Netbios-Broadcasts, LLMNR und was weiß ich noch alles.

Hol Dir einfach alle und filtere danach. Mit LDAP-Filter wird das aufwändig, weil Du einen bitwise OR brauchst. Und > oder < kennt LDAP m.W. gar nicht. Wobei ich mich da korrigieren lasse.

Kann die Firewall das nicht? Sonst gäbe es vielleicht noch die Möglichkeit, die DHCP-Leases aus der FW ins DNS zu importieren.

Hier hat's gerade mal für 5° Abkühlung gereicht ab 22:30 Uhr - also von 27° auf 22° runter. Und "Gewitter" war es auch nicht - eher sanftes Rumpeln und Grollen mit leichtem Regen 😒 Ich spar mir die nächste Temperaturkurve, es ist immer noch oder schon wieder zu warm.