daabm

https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html

Wir haben ne Master-GPO, die für 46 Security Privileges lokale Gruppen definiert. Die können dann komfortabel über GPP Local Users and Groups verwaltet werden. Und da wiederum kann man mit WMI-Filtern ebenso komfortabel SID-basiert Gruppen/User auslesen, falls erforderlich. In den eigentlichen Security Privileges stehen nur die zwangsweise erforderlichen Einträge (manchmal muß SERVICE drinstehen, manchmal Administrators) sowie diese jeweiligen lokalen Gruppen.

Funktioniert prima

vor 5 Stunden schrieb ineedhelp:

Ein Paar Änderungen habe ich vorgenommen.

Kein Thema - wir haben so ein selbstgeschriebenes Remote Management Tool, das die Ausführung einzeiliger (!) ShellExecs erlaubt - und der Return muß in StdOut abgeliefert werden. Die Breite ist beschränkt auf ne Standard-Konsole (80 Zeichen, danach wird abgeschnitten). Das schränkte die Formatierungsmöglichkeiten ziemlich ein

Und wir haben zwar AppLocker mit Ausnahmen, aber wir haben keine zusätzlichen Regeln, die diese Ausnahmen zulassen, daher kann ich nicht wirklich helfen. Vielleicht hilft https://learn.microsoft.com/en-us/windows/security/application-security/application-control/windows-defender-application-control/applocker/test-an-applocker-policy-by-using-test-applockerpolicy

vor 5 Stunden schrieb Nobbyaushb:

der Vollautomat

Der frisch zweifach entkalkte Vollautomat bitte

vor 22 Stunden schrieb Scharping-FVB:

Das bedeutet ja, dass ich das Kennwort wöchentlich ändern sollte.

Für High Privilege Accounts solltest Du es nach jeder Verwendung ändern. Das Kleingeld für entsprechende Tool-Unterstützung geben aber die wenigsten aus, und manuell ist auf Dauer nicht durchsetzbar.

vor einer Stunde schrieb NilsK:

im Verkauf des Threads

Da kriegt jm2c ne ganz neue Bedeutung

Wenn Du das $userobject erstellst, hast Du ein Objekt. Das fügst Du Deinem Array hinzu. Dann änderst Du Eigenschaften davon - im Array ist aber immer noch das eigentliche Objekt. Und wenn Du das erneut hinzufügst, ist es jetzt halt zweimal drin. Du mußt schon bei jedem neuen User eine neue Instanz erstellen...

Insofern: @testperson hat's schon richtig beschrieben.

Nachtrag: Das gleiche "Problem" hat man auch, wenn man Kopien von Objekten erstellen möchte.

$MyObject = [PSCustomObject]@{
    Name = "Test"
}
$MyCopy = $MyObject
$MyCopy.Name = "Geändert"

$MyObject.Name

$MyCopy2 = $MyObject.PSObject.Copy()
$MyCopy2.Name = "Geändert"

$MyObject.Name

Viele glauben, daß $MyObject.Name immer noch "Test" wäre. Ist es aber nicht, denn $MyObject ist identisch mit $MyCopy. In der Variablen steckt das gleiche Objekt. Du mußt ein neues Objekt erstellen, entweder wie in meinem Beispiel durch Kopieren oder wie bei Dir durch ::new()

MACVLAN comes to mind... Gib den Docker-Containern eine eigene IP.

Ojeh... BMC Atrium Device Discovery Manager Ich schmeiß die Wolke wieder weg, die schmeckt so fad... 🍺

Mimimi... Ein Leerzeichen ist genauso ein vollwertiges Zeichen wie \ oder /, Die meisten "Strings" in AD sind Unicode. Daß es fast 25 Jahre später immer noch Drittanbieter-Software (und natürlich custom Admin Skripts/Workflows) gibt, die damit nicht klarkommt, ist viel nerviger

Ja, das ist auch falsch dokumentiert - zumindest war das mal so. Die Doku behauptet, wenn der Pfad ein Verzeichnis wäre, gilt die Regel für alles in diesem Verzeichnis. Tut sie aber nicht.

Und damit wir da jetzt weiterkommen:

powershell "$Results=[Collections.Arraylist]::new();$ApplockerPolicies=Get-AppLockerPolicy -Effective;Foreach($ApplockerPolicy in $AppLockerPolicies){Foreach($RuleCollection in $ApplockerPolicy.RuleCollections){Foreach($Rule in $RuleCollection){Try{$UserOrGroup=$Rule.UserOrGroupSid.Translate([System.Security.Principal.NTAccount]).Value}Catch{$UserOrGroup=$Rule.UserOrGroupSid.Value};Switch($Rule.GetType().Name){'FileHashRule'{$RuleValue=$Rule.HashConditions;break};'FilePublisherRule'{$RuleValue=$Rule.PublisherConditions;break};'FilePathRule'{$RuleValue=$Rule.PathConditions;break};Default{$RuleValue='*** Unknown rule type ***'}};$Result = [PSCustomObject]@{Name=$Rule.Name;Description=$Rule.Description;RuleType=$RuleCollection.RuleCollectionType;Account=$UserOrGroup;Type=$Rule.GetType().Name;Action=$Rule.Action;Value=$RuleValue -join ','};[Void]$Results.Add($Result)}}};$Results"

Sammelt alle aktiven Applocker-Regeln (allerdings ohne evtl. vorhandene Ausnahmen - dann wäre der Output etwas unübersichtlich geworden).

Am 5.3.2024 um 09:33 schrieb ineedhelp:

Lässt sich feststellen, warum diese Anwendungen gestartet wurde bzw. von welchem Programm diese Anwendungen gestartet wurden?

Nur wenn Du Auditing auf "Process Creation" aktivierst. Viel Spaß beim Auswerten

Wo ich mir diesen OP grad noch mal durchlese - das scheitert ja schon daran, daß es keine Authentifizierung für Remotezugriffe in einem Netzwerk-Range gibt. Entweder das System ist in der Domäne und ich hab einen entsprechend berechtigten User, es ist in einer Workgroup und ich hantiere mit dezentralen ("verteilten") Credentials oder ich habe einen Agent darauf laufen... Alles diffus, ich pflück mir jetzt mal eine ☁️

Deine Beschreibung hakt schon bei "OU auswählen" - dsa.msc, ADAC, sonstige Oberfläche? Den Screenshot deiner Fehlermeldung kann ich nicht zuordnen.

Hat @cj_berlin doch oben schon alles geschrieben... In der gleichen OU muß der CN eindeutig sein. Und die Fehlermeldung war schon klar. Unklar ist, was genau Du machst, um den Benutzer anzulegen.

Hab die Woche schon zweimal den Vollautomat entkalkt... Beide Male nicht rechtzeitig dazu gekommen, Step 2 einzuleiten (Wasserbehälter spülen und mit Wasser füllen) -> Abbruch -> "Dringend entkalken". Heute endlich geschafft mit einer Fake-Entkalkung nur mit Wasser. Zum Glück können die Dinger noch nicht feststellen, ob wirklich Entkalker im Wasser ist

Ohne genaue Kenntnis Deiner aktiven Regeln kann das niemand seriös beantworten

Die meisten machen sowas mit Tools, die das fertig mitbringen Remote-Inventory ist ja keine neue Aufgabe.

Bei der Nachvollziehbarkeit verlassen wir uns auf Splunk Die Eventlogs unserer DCs laufen - trotz 4 GB - nach ca. 3-5 Stunden über, weil alle möglichen Services Auditing von diesem und jenem haben wollen.

Am 2.3.2024 um 20:52 schrieb MurdocX:

(vll kein gpupdate durchgeführt).

/force vergessen... SCNR

"Archivieren" heißt hier - wie bei Jan - Verschieben in eine OU "out of scope of Management".

So ist das hier auch - wir haben Hunderte von Terminal Servern (Citrix, nicht RDS, aber das Grundproblem ist das gleiche). Die werden alle wechselnd jede 2. Nacht gebootet.

Wir deaktivieren und archivieren. Gelöscht wird nicht. Zu viele Rückfragen wegen verwaister SIDs in irgendwelchen ACLs... Wo Norbert das her hat, würde mich aber auch interessieren - wir sind KRITIS, ich hab davon noch nichts gehört.

Freitag vorbei, Licht aus

Bin bei @cj_berlin

# for hex 0x80090311 / decimal -2146893039 :
  SEC_E_NO_AUTHENTICATING_AUTHORITY                             winerror.h     
# No authority could be contacted for authentication.
 

Da klappt was mit DNS nicht. Oder die NW-Verbindung von dem Client hat ein Problem.

@Nobbyaushb smells like spam...