cj_berlin

Moin, das hat nichts mit PowerShell zu tun. Du brauchst die seSecurityPrivilege, und das ist im normalen Token ausgeblendet, selbst wenn es im Admin-Token enthalten wäre. Du kannst mal schauen, was passiert, wenn Du dem Service-User in der Group Policy (oder LGPO) das Recht explizit gibst ("manage auditing and security log", meine ich). Vielleicht reicht es ja schon. Falls nicht, musst Du mit sc privs den Icinga Agent-Dienst anweisen, dieses Recht beim Starten anzufordern. Davon völlig abgesehen: Deinen Least Privilege-Ansatz in allen Ehren, aber Monitoring mit einem normalen Benutzerkonto ist sehr ungewöhnlich.

Terminal wäre ein Beispiel.

Das ist nur PowerShell Core und nur lokal.

...aber bist Du auch lokaler Admin auf der Zielmaschine? Kannst Du mal den obigen Invoke-Copmmand, aber mit dem folgenden Scriptblock laufen lassen: $currentPrincipal = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()) $currentPrincipal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) Wenn $false zurückkommt, weißt Du auch schon bescheid

Was man natürlich, zumindest im Android-Bereich, auch machen kann, ist SD-Karte nutzen und die Speicherung von Fotos darauf umbiegen. Karte raus aus dem Telefon, rein in den Rechner, Robocopy - schneller wird's mit Sicherheit nicht und robuster auch nicht. Für Apple gab es so ein Third Party-Tool, das für Musik und Fotos kostenlos ware und auf Treibern aus iTunes basierte, keine Ahnung ob das noch benötigt, unterstützt und angeboten wird.

Kenne ich auch so. Das ist so ähnlich "wirkungsvoll" wie bei den Firmen, die die Kommandozeile deaktivieren, denn winget funktioniert mit dieser Einschränkung weiterhin

Moin, es geht ja nicht darum, die Einstellung zu verwalten, sondern darum, die Verwaltung dieser Einstellung zu delegieren Im AD wäre das einfach, aber in Exchange RBAC müsste man recht tief reingehen, sofern man der jeweiligen Gruppe nicht generell die Berechtigungsverwaltung, sondern nur Send-As erlauben möchte.

Moin, wenn es wirklich knapp wird: mit den Netzern und der Architektur reden uns einen zweiten Scope für diese Themen etablieren? Und - hilft dir jetzt nicht beim konkreten Problem, aber das Beispiel zeigt gut auf, wo ihr Defizite habt: Dokumentation und Lifecycle. Das sollte man als Lessons Learned entsprechend verwerten 🙂 Wenn es nicht akademisch ist, sondern aus dem Alltag kommt, lässt sich so etwas viel besser verargumentieren...

Moin, Inaktiv bedeutet, dass es derzeit kein Lease zu dieser Reservierung gibt, daher kann eine aktive Reservierung durchaus wieder inaktiv werden.

Diese Sprachzensur-Vorrichtung treibt immer wieder lustige Blüten

Nur, dass Du, wenn Du es nicht bewusst und geregelt betreibst, die Angriffsfläche Deiner Umgebung noch einmal erweiterst. Denk daran, eine mit Weiter-Weiter-Finish installierte Enterprise CA ist sofort a. zur Ausstellung von Kerberos- (Smartcard-)Zertifikaten befähigt und b. so konfiguriert, dass der Beantragende die Namen selber festlegen kann. Wenn Du nicht vorhast, Smartcard-Authentifizierung auch wirklich zu nutzen, trage die CA daher am besten gleich nach der Installation aus dem NTAuth-Container aus. Ansonsten google mal nach capolicy.inf und installiere die CA erst mal "blank" und veröffentliche nur die Vorlagen, die Du wirklich brauchst, berechtigt nur für die User/Computer, die sie jeweils wirklich benötigen. Wie bereits gesagt wurde, die DCs haben sich vermutlich welche gezogen. Schmeiß sie einfach runter. Wenn eine Einrichtung LDAPS nutzen wollte, wüßtest Du es. Alles, was Domain Member ist, braucht kein LDAPS (siehe auch https://it-pro-berlin.de/2024/06/ldap-deaktivieren-ein-reality-check/).

Das ist halt nicht gottgegeben, sondern Snover-/Payette-gegeben. Wenn ich sage, ich gebe eine Collection zurück, von einem bestimmten Typ, ist es keine überzogene Erwartung, dass PowerShell sie nicht in ihren internen Array-Typ wandelt und dann mit anderen ähnlichen Ergebnissen zusammenrührt. Ja, wir wissen, dass das so ist, aber wir wissen ja auch, dass PowerShell viele Quirks hat, die nur mit "ist halt so" zu erklären sind.

Willkommen in der Welt der Defender Im Defender for Identity sollte es machbar sein, aber der "normale" Defender for Endpoint hat dieses Feature natürlich nicht, denn es ist nicht sein Anliegen... Wenn Du MDI nicht gebucht hast, musst Du es wohl basteln. Ein PowerAutomate-Job könnte das z.B. periodisch prüfen und eine Mail versenden.

Oder vielleicht sogar ohne JSON, ist ja dann dennoch nur ein Objekt pro Zielsitzung.

Nein, eher Dafür wird man dann schon mal als "der der es halt nicht besser kann" angesehen. aussm Ausgangspost. Ich wette, der TO hat's richtig verstanden, auch aus dem weiteren Text meiner Antwort

Ja, das sind Serialisierungsartefakte. Du könntest sowas machen: [PSCustomObject]@{ ComputerName = $env:COMPUTERNAME Result = $test } | ConvertTo-Json dort wo Du $test zurückgibst.

Ich weiß nicht, wer diese Position vertritt, abgesehen von Leuten, die Alternativprodukte verkaufen wollen. Die Windows Firewall ist ein probates Mittel. Das einzige, was am Konzept einer Host-Firewall (und nicht an der konkreten Implementierung in Windows) auszusetzen wäre, ist, dass eine potentielle Angreiferin dadurch evtl. Dinge über die Umgebung erfährt, die sie sich sonst erarbeiten müsste. Aber die Alternative ist eine Distributed Firewall auf Switch-Ebene, die virtuelle und physische Netze gleichermaßen beherrscht. Im virtuellen Bereich kenne ich das (ist aber alles andere als trivial), in der Physik wird die Luft sehr schnell sehr dünn. Rein aus Interesse: wer hat denn sowas gesagt?

Moin, SQL cacht Ergebnisse aller Leseabfragen, denn es könnte ja sein, dass man sie gleich nochmal benötigt. Es gibt vier PerfMon-Indikatoren, die Aufschluss darüber ermöglichen, was da abgeht: MSSQL$<Instanz>:Puffer-Manager: „Lebenserwartung der Seite“ und „Puffercache-Trefferquote“ --> besagen eigentlich das gleiche, nur aus unterschiedlichen Blickwinkeln. Wenn die Lebenserwartung hoch und die Trefferquote nah bei 100% liegt, wird der Cache zumindest genutzt MSSQL$<Instanz>:Memory Manager: „Zielserverspeicher“ und „Serverspeicher gesamt“ --> im Idealfall sind beide gleich und unterhalb des für die Instanz konfigurierten Höchstspeichers. Ich habe dazu vor 9 Jahren mal was für den IT-Administrator geschrieben.

Das schon, aber Du hast dann einige Features nicht zur Verfügung, die man vielleicht nutzen möchte Wenn man die nicht braucht, kann man es verwenden.

hilft also auch nix

Bei physischen Clients gehe ich mit. Server und vor allem VMs haben durchaus noch optische Laufwerke. Eine VM von USB booten zu lassen ist keine schöne Übung, vor allem wenn die VMs über mehrere Plattformen verstreut sind. Da ist ein ISO-File schon schön

Moin, wie ist der problematische (und gerne auch der unproblematische) Client mit Windows 11 betankt worden?

Moin, nochmal Firewall: was genau ist hier erlaubt? Alles, TCP+UDP, nur TCP, nur 3389/tcp? Was ist aus diesem Subnetz zu Domain Controllern hin erlaubt? Sind irgendwelche abenteuerlichen Konstrukte mit RODCs im Spiel?

Moin, mstsc /remoteGuard /prompt /v:meinserver.domain.de sollte eignetlich funktionieren. Oder einen Remote Desktop manager nutzen, der das unterstützt

Wenn man alles nur mit der GUI macht, stimmt es sogar