cj_berlin

vor einer Stunde schrieb mwiederkehr:

Newsgroups waren freier beim Zugriff: man konnte vom Reader auf der Shell

 

hold my beer

vor 3 Stunden schrieb MurdocX:

 is back!

Von höchster Stelle abgesegnet:

Und hier ist die (IMO) bisher beste Aufarbeitung der ganzen Misere: https://www.theverge.com/2022/10/28/23428132/elon-musk-twitter-acquisition-problems-speech-moderation

vor 14 Stunden schrieb mwiederkehr:

Wenn Freiheit den Leuten wichtiger wäre als Einfachheit, würde ich diesen Beitrag in einer Newsgroup und keinem Webforum schreiben.

Der "Freiheit"-Teil erschließt sich mir nicht. Was macht ein Webforum, dessen Betreibern und Moderatoren ich vertraue (z.B. dieses) weniger "freiheitlich" als einen Newsgroup-Server, dessen Betreibern und Moderatoren ich vertraue? Und würde dieses Forum davon profitieren, wenn man die Beiträge auch über NNTP lesen und schreiben könnte? Das wurde mit dem Technet-Forum ja jahrzehntelang versucht, und ich kann nicht bestätigen, dass es dort mehr Spaß gemacht hat, als der Community Gateway noch funktionierte...

Moin,

gibt es handfeste Argumente? Ich halte von einer Menge Menschen nichts, denen Unternehmen gehöre, deren Produkte ich nutze. Aber ist bereits irgendetwas vorgefallen?

Ihr lacht, aber mit Druckern hatten wir das Thema mal.

Moin,

beide Knackpunkte wurden schon genannt:

1. Bei Neuinstallationen hat das noch nie funktioniert.

2. Beim Zugriff auf virtuelle Windows Workstation - Instanzen brauchst Du SA oder VDA, in beiden Fällen ist das betroffene Windows Enterprise oder Education.

Der Kollege macht es viel zu komplex, um alle Eventualitätan abzufangen, und baut dafür eine Abhängigkeit von der Sprache ein  

Hier mal ein einfacherer Ansatz - vorerst ohne Zeiten, aber das geht genauso gut:

$result = Invoke-Expression "robocopy /mir <source> <target>"
if ($result[-13] -match "\-+") {
    $folders = $result[-10] -split "\s+"
    $files = $result[-9] -split "\s+"
    $bytes = $result[-8] -split "\s{2,}" | Foreach-Object { if ($_ -match "[a-zA-Z]") { "$($_ -replace "\s")B" } else { $_ }}
}

Die Dezimalzahlen werden nämlich auch in einer deutschen Shell im Computer-Format ausgegeben, zumindest bei mir ist es so.

vor 27 Minuten schrieb Sunny61:

Es geht auch auf die harte Tour, dauert evtl. etwas länger. Auf die Schnelle konnte ich keine andere Beschreibung finden: https://www.dtonias.com/forced-removal-domain-controller/

Die Beschreibung ist aber ganz ordentlich  

Ich würde niemals in einen an sich gesunden AD-Forest ein Backup, geschweige denn Snapshot, eines DC zurückspielen. Entfernen und neu hinzufügen, dauert genauso lange und bringt ein gesichertes Ergebnis, wenn man sauber arbeitet.

Moin,

füge irgendein harmloses Feature hinzu, boote und entferne es wieder. Hat hier schon 1000x bei diesem Phänomen geholfen. Der Fairness halber muss ich aber zugeben, dass der Erfolg nicht ganz 100%-ig war.

Moin,

das von mir bisher beobachtete Verhalten in dieser Situation ist so, dass die Lizenz zwischen den Versionen wandert, und zwar jeweils zur Version des letzten Logins. Damit entspricht die Anzahl ausgecheckter Lizenzen zwar immer noch nicht der Anzahl Menschen, aber immerhin der Anzahl ihrer Accounts.

vor 5 Stunden schrieb Squire:

manche Vorgänge am Client erfordern eine Verbindung zum PDC

Welche? Ich habe Umgebungen, wo Clients noch nie einen schreibbaren DC gesehen haben, vom PDCe ganz zu schweigen.

Was bei DFS-N sein kann, ist, dass es im "Consistency Mode" konfiguriert ist (Default-Einstellung). Du brauchst den "Scalability Mode".

vor 3 Stunden schrieb LK28:

Macht das Ganze Thema Bastion-Forest auch dann Sinn, wenn man das MS PAM nicht einsetzt, keinen PAM-Trust einsetzt und somit keine Shadow Principals hat? 

Man hätte in dem Falle also "nur" den einseitigen normalen Trust

Klar.

vor 10 Minuten schrieb LK28:

Wollte nur sicherstellen, dass ich korrekt liege, dass für die Shadow Principals das MS PAM und der PAM Trust benötigt wird, und ein "normaler" Trust nicht ausreicht. :)

Bin mir nicht sicher, ob das Microsoft PAM überhaupt benutzt wird, oder auf andere Hersteller gesetzt wird.

Du musst im AD das PAM-Feature aktivieren und dann auch am Trust. MIM braucht man dafür aber nicht.

vor 46 Minuten schrieb LK28:

Hierzu mal eine Frage: Die Shadow Principals sind aber nur möglich, wenn man das Microsoft PAM nutzt + den PAM Trust?

Es ist aber auch aus sicherheitstechnischer Sicht möglich/sinnvoll, einen einseitigen Trust (Prod Forest vertraut dem Admin Forest) einzurichten, sodass die Admins aus dem Admin Forest die Prod Umgebung verwalten können?

Ich vermag hier keinen Widerspruch zu erkennen  

Moin,

die DNS Records muss der DHCP-Server aktualisieren und nicht der Rechner selbst. Wenn DHCP und DNS beide auf Windows laufen, lassen sie sich miteinander integrieren.

Was dabei auch hilft, sind kurze Lease-Zeiten - aber natürlich nicht so kurz, dass der DHCP-Traffic das ganze Netz flutet  

vor einer Stunde schrieb Weingeist:

Zu 1: Warum genau ist das eigentlich sicherer? So ganz begriffen habe ich persönlich das nicht. Wenn der DC der produktiven Umgebung komprimittiert ist, ist es doch der Rest so oder so auch. Was übersehe ich?

 

Zu 2: Warum eine Non-Peristente VM und bei der physischen setzt man auf Persistent? Vorzüge non-Persistent sehe ich im immer jungfräulichen OS, aber das Patch-Management für die Non-Persistent Admin-VM's ist ja verhältnissmässig aufwendig.

Es geht ja darum, DASS die DCs im produktiven Forest nicht kompromittiert werden. Und ein wichtiger Schritt dahin ist, Admin-Accounts nicht kompromittieren zu lassen. Und Admins, die sich nur per Shadow Principal aus dem Bastion-Forest authentifizieren, können im Prod-Forest gar nicht kompromittiert werden.

Patch-Management einer nicht-persistenten VDI ist nur bei Microsoft RDS ein Problem, andere Systeme beherrschen dies nativ. Und nicht-persistent deshalb, weil man bei VDI (zu der man sich aus der unsicheren Zone verbindet) nicht alle Mittel einsetzen kann, um das Hinterlassen von Credentials zu verhindern, die einem bei einem physischen Rechner, an dem man sich direkt interaktiv anmeldet, zur Verfügung stehen.

Bei einer physischen PAW setzt man nicht bewusst auf persistent, aber eine nicht-persistente physische PAW zu kreieren, die auch beispielsweise offline hochfahren kann, ist halt viel schwieriger. Das konnte man früher recht charmant mit XenClient abbilden, aber den hat Citrix ja nun eingestampft. Thin Clients mit Write Filter könnte man hier durchaus in Betracht ziehen, wenn man ein passendes OS findet. Meistens laufen die Dinger aber nicht ohne die ganzen Spezial-Softwaretitel des Herstellers, die dann wieder Löcher aufreißen.

vor 1 Stunde schrieb Weingeist:

Was ich mich schon öfter gefragt habe, gibts eigentlich keine sinnvolle Windows Security bzw. Aufbau-Wiki die man  abarbeiten kann und mehr oder weniger das beinhaltet was man tun sollte und warum und wie?

ASAI-I-Kurs von NTSystems. Die Jungs kann man auch für Umsetzung buchen.

vor 2 Stunden schrieb daabm:

 

Das heißt für mich eigentlich, daß "Domain Admins zum Owner machen" nicht wirklich die Lösung ist, oder? Weil joinen können muß ich ja trotzdem noch, also die alten Bedingungen (Schreibzugriff) sind hoffentlich noch in Kraft?

Sind sie. Mein Szenario wäre, dass ich an das Join-Account komme, weil es in der Software-Verteilung im Klartext hiterlegt ist.

Moin,

Quest GPOAdmin ist das beste wo gibt. AGPM aus dem MDOP funktioniert auch, da musst Du aber MDOP haben.

Naja, im CVE steht auch Complexity=High. Sowas einfaches wie log4j kriegt man nicht jeden Tag geschenkt.

Ich denke, es geht darum, dass jemand z.B. einen SCCM (seit der Ignite; Intune) Site-Server umzieht und das alte Computer-Objekt liegen lässt. Dieses ist Admin auf der SQL-Datenbank und meistens auch auf dem SQL Server, sowie auf sämtlichen anderen SCCM-Servern. Joine ich als Attacker eine Maschine, wo ich lokaler Admin bin, unter diesem Namen, dann kann ich an die SQL-Datenbank, und dort sind Kennwörter von Accounts, die Admin sind auf allen Clients und ggfls. auch Servern, usw. usw. usw....

vor 6 Minuten schrieb Thomas Maggnussen:

Bis jetzt hatte ich eigentlich nur Schäden eben wegen Patches. 

Weil Du die Schäden, die ohne Patches möglicherweise aufgetreten wären, nicht siehst. Diese Argumentation kennt man aus der Diskussion übers Impfen, und in den seltensten Fällen kommt man da auf den grünen Zweig  

vor 9 Minuten schrieb Thomas Maggnussen:

Sicherung läuft seit je her 3x. Auf der NAS auf eine Linux Kiste per Script mit Backup Konto des Linux Servers das nicht auf dem Windows Server gespeichert ist. Am Wochenende per zeitgestäuerten VPN auf die NAS bei der GL zuhause und JA alle zwei Tage stöpseln wir USB Festplatten ab und an und schaffen die außer Haus ;-). Geht natürlich noch in relativ kleinen Umgebungen. 

Viel wichtiger wäre jedoch: Wie oft macht ihr eine Restore-Übung? Also von der letzten Stufe, wenn die beiden vorherigen gefallen sind?

Moin,

DNS für den Domänennamen ist nicht site aware, sondern wird immer alle DCs für die Domäne zurückgeben. Der Auffindung eines DC für die Anmeldung oder GC-Lookup tut es aber keinen Abbruch, da der DC Locator Prozess sehr wohl site aware ist. Die Sites müssen dafür aber natürlich die physische Topologie abbilden.

Welches wirkliche Problem versucht Du denn zu lösen?

Moin,

entweder ein eigenes Try/Catch für jeden Aufruf (das würde man vermutlich ohnehin in einer Schleife machen, dann wäre es nur ein Try/Catch - in der Schleife halt), oder Add-ADPrincipalGroupMembership mit mehreren Gruppen verwenden, oder aber ein Trap - dann aber aufpassen, in welchem Scope die Aufrufe sind - Trap springt immer hinter das Ende des Script Blocks, in den der Fehler aufgetreten ist (hier wäre die Schleife evtl. ungünstig).

vor 2 Stunden schrieb Thomas Maggnussen:

 

Also damit ein Infekt so umgreifen kann, da müsste doch schon ein Domänen-Admin den Virus auslösen oder?

Ich sage es mal so:

1. Es gibt noch sehr viele Domain-Admins mit Email-Postfach und/oder Internet-Berechtigung
2. Wenn in der Umgebung beispielsweise ein 2012er DC mit aktiviertem Print Spooler vorhanden ist, der seit 3 Jahren nicht gepatcht wurde, agiert jeder authentifizierter Angreifer (=User, der auf ein Dokument mit Makro clickt) eine halbe Sekunde später mit der Identität eines Domain Controllers, was im Zweifel noch etwas höher ist als Domain Admin. 

Oh, und noch etwas: "Ransomware" hat nur ein "e", nämlich am Ende.

Moin,

mit 22H2 würde ja das Smart App Control eingeführt, quasi dynamisches WDAC mit GUI. Und obwohl Smart App Control nur bei Neuinstallationen aktiviert werden kann, werden in den Docs nur WDAC und AppLocker als Code Control-Technologien erwähnt.

Vielleicht wurde SRP auch tatsächlich abgeschafft... Ich frag mal.