daabm

Google hilft: "Metadata Cleanup"... Muß vorher gemacht werden, weil sonst manche "alten" Objekte übrig bleiben.

LOL - die Diskussion hatte ich gerade im Büro. Ein 8 stelliges Passwort mit Groß/Klein/Zahl/Sonderzeichen knackt man per Brute Force in 5 Sekunden... Das hilft für eine erste Einschätzung: https://www.grc.com/haystack.htm (Wobei ich vermute, daß die gängigen Rainbow Tables sowieso alle Passwörter bis 12 Stellen enthalten, wenn der Hash verloren geht, ist eh Schicht im Schacht.) Admin-Kennwörter: Mindestens 20 Stellen, dafür nur einmal im Jahr ändern (oder noch besser 24 Stellen und gar nicht ändern...). Ändern bringt eh nichts: https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903/ Welche Anwendung mit (g)MSAs klar kommt, mußt individuell ermitteln. Die meisten können es leider noch nicht.

Doch - der "Schaden" lag ja noch im 5 stelligen Bereich, bei einem Unternehmen dieser Größe also relativ niedrig. Und sie haben sehr schnell agiert. Und konsequent.

Hast Du in der Quelle Symlinks "/xj"...

Wenn Du mal ausfällst und das ein Dritter supporten muß: Viel Spaß damit

Lokale User sind was anderes als lokale Gruppen, ja. Das Kennwort steht im Fast-Klartext in einem XML, das PowerSploit direkt ausliest und präsentiert...

Nein, Du denkst richtig. Ich versteh's grad auch nicht so ganz, eigentlich sieht das alles "in Ordnung" aus. Aktivier mal das gpsvc.log - da könnte was Aufschlußreiches drinstehen.

Mein Sperrmüll liegt in der Garage. Und auf dem Dachboden. Und im Keller.

Ich werf noch ne weitere Kaufoption in den Raum: Redemption. Bestes Skripting-AddOn für Outlook Geld kostet es so oder so.

Ich bin dafür Je weniger Zugangswege es gibt, um so einfacher sind sie zu überwachen und abzusichern. Und RDP direkt im Internet war noch nie eine gute Idee. Außer Du erzwingst auch da ein Clientzertifikat. Aber bei der letzten Lücke hätte m.W. nicht mal das geholfen.

Nicht unterstützte Cipher Suite? Win10 kann da ein paar mehr als Win7...

Mal ein paar Gedanken dazu: 1. Warum im Netlogon? Dafür macht man besser einen eigenen (DFS-) Share 2. Wenn es unter Win7 im Systemkontext geht, sollte das auch unter Win10 funktionieren 3. AppLocker ist für SYSTEM irrelevant 4. Unterstützt dieses Setup kein Logfile? 5. Setups rufe ich lieber per CMD auf. Da kann man mit >>logfile 2>&1 so einfach den Output protokollieren. Ist in Powershell nicht ganz so trivial, vor allem wenn eine Exception kommt... 6. Ruf dein Startskript doch mal per psexec -s auf - was passiert dann? Final: Logging ist alles. Ohne Logging ist alles nichts.

Ich versuch mal Deine Fragen zu interpretieren - ganz verstehen tu ich es nicht In GPP kannst Du in einem einzigen Element mehrere Mitglieder einer Gruppe hinzufügen. Du kannst aber auch mehrere Elemente verwenden und jeweils ein Mitglied hinzufügen. Wenn Du ersteres machst und es geht bei einem Mitglied etwas schief, werden alle weiteren nicht mehr bearbeitet. Machst Du zweiteres, werden die weiteren Elemente trotzdem ausgeführt. NICHT die Builtin Admins zu verwenden, hat den Vorteil, daß man sich Spezereien mit UAC erspart. Und es geht mir auch nicht nur um die lokalen Admins, sondern auch um interaktive Anmeldung (und RDP) sowie Service-Logon.

Ich glaub KRITIS haben wir auch - aber halt mal private und berufliche Kommunikation auseinander, wenn Du den Job 30 Jahre machst. Die Grenze ist SEHR fließend.

Ich bin bei Jan: Nein, ich esse meine Suppe nicht. Ich verstehe das Problem nicht, mir ist unklar was erreicht werden soll und warum...

"Beste Grüße ssd" ist gut Ich kann das alles nicht nachvollziehen. Ich arbeite hier gerade auf einem Pro3, der Akku reicht i.d.R. locker für 7 bis 9 Stunden. Ist halt alles immer relativ, wenn Ihr viele Hintergrunddienste habt. Vor allem selber geschriebene... xd

# Hallo Welt ausgeben Write-Host "Hallo Welt" SCNR BTT: Ist value[14] und loc[0} sicher? Ich finde es immer kritisch, in Arrays über die Indizes zu arbeiten.

@Squire heißt Du Rorbert? SCNR

Hab ich das nicht heute im Technet auch schon gesehen?!?

Sieht aus, als wenn es zu kompliziert wäre - vielleicht hilft es, wenn Du bei der ursprünglichen Anforderung anfängst und nicht erst da, wo etwas nicht mehr umsetzbar ist?

Dann ringe dich durch. Den Rest hast Du ja schon als ergebnisfrei ausprobiert....

...und ich verstehe schion die Frage nicht

Lösche einfach die zugehörigen Reg-Werte. Ohne DC-Verbindung werden GPOs nie angewendet.

https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html Mehr kann ich dazu nicht beitragen. Warum das nicht alle so machen, weiß ich nicht. Restricted Groups sind Grütze.

Ich korrigiere diesen grünen Frosch mal: Loopback gilt nicht "pro GPO oder für GPOs", sondern "für den Computer"... Mööp