cj_berlin

vor 1 Minute schrieb Nobbyaushb:

Eine Lösung dafür hat Evgenij gepostet, ich würde das so nicht umsetzen wollen - wenn du mal irgendwo im realen Betrieb bist kann einem sowas schnell auf die Füße fallen - meine Meinung

Diese Lösungsansätze *sind* aus dem realen Betrieb. Nur weil ich nie Inhouse-Admin war (abgesehen von 7 Monaten in 1999-2000) heißt nicht, dass ich den "realen Betrieb" nicht kenne.

Und ordentliche kurze Label an Netzlaufwerken sind elementare Arbeitsplatz-Ergonomie. UNC-Pfade, die nur teilweise sichtbar sind, gerade auch wenn man DFS verwendet, würde ich auch nicht in meiner täglichen Arbeitsumgebung haben wollen. 

Da oben steht doch die Lösung für Dein vorhaben.

Was mich vor allem angesichts der Person des Urhebers wundert, ist, dass die Tests und die Misere am Ende mit ADWS und nicht mit LDAP erfolgten  @daabm  Du kannst das Ergebnis doch bestimmt auch mit dem DirectorySearcher reproduzieren - erhöhen sich da die Limits vielleicht?

Moin,

es gibt zwei Möglichkeiten: ganz einfach und recht einfach.

1. Wenn Du nur ein individuelles gemapptes Laufwerk brauchst, aber nicht diese Homedrive-Funktionalität, mappst Du das Laufwerk einfach per Group Policy Preference, da gibt es das Feld "Label", das funktioniert sofort.
2. Du kannst probieren, das Homedrive per GPP zu mappen und dann beim Logon im Skript SET HOMEDRIVE=H: und SET HOMESHARE=\\UNC\Pfad\zur\Share zu setzen, manchmal reicht's schon
3. Muss es aus Gründen zwingend ein "echtes" Homedrive sein, dann schreibst Du beim Logon das gewünschte Label nach HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##<FILESERVER>##<SHARE>#<ORDNER> in  den Wert _LabelFromReg (am besten im Explorer manuell umlabeln und dann einfach exportieren)
4. Alternativ kannst Du eine Desktop.ini in den Home-Ordner packen, da muss man aber ein wenig fummeln, bis das gelingt.

Das macht man dann optimalerweise dann, wenn *der* Anruf kommt, so in der Nacht von Samstag auf Sonntag  

Die Auswirkungen sind in beiden Fällen identisch: Der Kunde taucht eher früher als später in der Ransomware-Statistik auf. Und die Feststellung, dass wir als Berater nichts weiter tun können als darauf hinzuweisen, entbindet uns nicht von der Pflicht, dies dennoch ständig zu tun. Steter Tropfen und so weiter. Den Leuten, die nicht hören, ist eh nicht zu helfen - sie müssen fühlen und werden es auch.

Und weil es so schön ins Thema passt, gerade ganz neu: https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/protecting-tier-0-the-modern-way/ba-p/4052851 Gefühlt der erste Artikel von Microsoft über Authentication Policies.

vor 5 Stunden schrieb NilsK:

ich finde es wichtig, hier noch mal darauf hinzuweisen, dass es zwar durchaus Umgebungen mit "Tier 0", dedizierten DCs usw. gibt,

Tier 0 hat nichts mit formal eingeführtem und technisch erzwungenem Tiering zu tun. Jede Umgebung hat Tier 0-Objekte, und das Ausführen der Apothekenverwaltung auf einem DC macht nicht den DC zu Tier 2, sondern die Apothekenverwaltung zu Tier 0. Mit allen Konsequenzen. Auch in "der Cloud".

Moin,

irgendwo in der Signalkette zwischen Angreifer und Tier 0 muss XDR - nicht ein einfacher filesystembasierter Virenscanner! - vorhanden sein, das steht fest.

Wenn also die Firewall so konfiguriert ist, dass ausschließlich Maschinen mit aktiviertem und entsprechend konfiguriertem XDR ("entsprechend" = "in der Lage, auch einen Angriff auf AD zu erkennen") zu Tier 0-Systemen Kontakt aufnehmen können (und damit meine ich *jeglichen* Kontakt), kann man auf Tier 0-Systemen schweren Herzens darauf verzichten.

Ist es nicht der Fall, und es ist tatsächlich möglich, von ungemanagten/ungeschützten Endgeräten ins Tier 0 zu kommunizieren, muss im Tier 0 selbst XDR-Schutz aktiv sein.

Am 16.2.2024 um 09:50 schrieb MiLLHouSe:

 

Hat jemand eine Idee, was das bitte sein soll? 

Moin,

zwei Fragen:

1. hast Du anhand der Event Log-Einträge verifiziert, von welchem Host die fehlgeschlagenen Anmeldeversuche kommen? Vielleicht haben sich da zwei Phänomene überschnitten, die nicht im Zusammenhang stehen...

2. Ist bei euch in der Default Domain Policy die Kennwort-Historie aktiviert? In diesem Fall würde die Sperrung ja bedeuten, dass nicht nur nicht das aktuelle, sondern auch nicht das letzte Kennwort verwendet wird.

So isses. Und als Merkprinzip dabei, wer es nicht täglich macht (gilt 99%, Ausnahmen bestätigen die Regel):

Zitat

Niemand verarbeitet AD-Daten so schnell und effizient wie ein Domain Controller 

vor 16 Minuten schrieb Nobbyaushb:

OT/ Warum baut man eine Windows-Domäne ohne DNS auf den DC oder zumindest einem Server?
Geht das eigentlich supportet?

/OT

Klar, der Artikel dazu ist so alt wie AD.

vor 2 Stunden schrieb lotsch17:

DerPfad ist aus einer KI

Für Dich, von der letzten BSides Berlin: 

Das macht die Frage nach dem "Warum, eigentlich?" umso spannender. Was können die User denn in diesem Menü so schlimmes ausrichten, dass Du es ihnen verweigern möchtest? Beim echten Kontextmenü würden mir vielleicht noch 1,5 Erklärungen einfallen, aber hier?..

Und wenn der Screenshot von dem betroffenen Server stammt, dann hat Deine Policy möglicherweise wirklich nicht gegriffen.

vor 5 Minuten schrieb lotsch17:

Mit einer GPO habe ich es bereits probiert , wurde nicht umgesetzt.

Was ja nicht bedeuten muss, dass es per GPO grundsätzlich nicht funktioniert.

• Wurde die GPO angewandt (Registry-Wert im richtigen Pfad, siehe oben)
• Falls Du es per Computer gesetzt hast: Wurde der TS danach rebootet? Und hast Du es auch per User probiert?

Vom Funktionieren oder Nicht-funktionieren dieser Einstellung jedoch einmal abgesehen: Was möchtest Du damit erreichen? Nicht-Administratoren können damit nichts kaputtmachen, zumindest nicht für andere User, und bei manchen Programmen ist es eine wertvolle Arbeitserleichterung, denn das Kontextmenü enthält die Liste der zuletzt geöffneten Dateien aus der jeweiligen Anwendung...

Noch ein Schuss ins Blaue - wenn eine App wegfliegt, gibt es dennoch oft einen WER-Bericht im Event Log oder eine Dr. Watson-Meldung. Diese kann den ersten Anhaltspunkt liefern.

vor 1 Stunde schrieb daabm:

Im Zweifel hilft regedit - HKLM\System\CurrentControlSet\Services. Da kann sich kein Service wehren, wenn Du Dinge änderst

Doch, indem er beispielsweise darauf besteht, die Settings im hartkodierten alten Pfad zu suchen

vor 1 Stunde schrieb Nobbyaushb:

Was ich daran nicht verstehe - wenn das ein Cluster ist, können das keine verschiedenen Windows-Server sein, jedenfalls wäre mir das neu

Und wenn der Hersteller dem Dienst auf einem neueren OS einen anderen Namen verpasst, wird das auch einen Grund haben - also als Erstes den fragen...

my2cents...

Ich kann mich noch an Norskale/Citrix WEM erinnern. Irgendwann war die Umbenennung offiziell vollzogen, nur: Wenn Du von einer Version, die noch Norskale hieß, upgedated hast, hieß alles weiterhin Norskale. Hast Du neu installiert, hieß es dann Citrix. Blöderweise gab es ein paar Use Cases, wo man eine Executable aus dem Arsenal von WEM aufrufen musste, mit dem absoluten Pfad und Namen  

vor 21 Stunden schrieb MurdocX:

Spannend finde ich das Thema der Kommunikation untereinander. Ist Kommunikation untereinander ist dann NTLM oder Kerberos?

Soweit ich es aus der Präsentation verstanden habe, weder noch. Es wird beim Aufbau des Clusters ein Secret ausgetauscht, und das dient als Basis für die Authentifizierung der Kommunikation der Knoten untereinander, so ähnlich wie die zertifikatsbasierte Authentifizierung in Hyper-V für Replikation und Live Migraiton.

Vom Gateway war bisher nicht die Rede  Das ist eine vollkommen andere Geschichete. Was Du suchst ist https://learn.microsoft.com/en-us/troubleshoot/windows-server/remote/remote-desktop-listener-certificate-configurations

Du musst das entsprechende Zertifikat auch an RDP binden. Da findet keine automatische Auswahl statt.

vor einer Stunde schrieb SPLA:

Der SQL Server 2022 Core Lizenzierung benötigt seit der 2022er Version eine aktive Software-Assurance (SA), um ihn in einer virtuellen Maschine betreiben zu dürfen.

...und damit wäre auch das Thema Mobilität bereits abgedeckt.

vor 2 Stunden schrieb mwiederkehr:

Ich habe schon länger keine rechnung.zip.exe gesehen, die sofort alle erreichbaren Dateien zu verschlüsseln beginnt.

Ich könnte Dir ein paar Adressen aus jüngster Vergangenheit nennen, die genau diese Rechnung gesehen haben, aber dann müsste ich mir einen anderen Job suchen, vor allem in einer anderen Branche.

Aber erst, wenn das Personal, welches den Betrieb von gemanagten Systemen beherrscht, in Rente ist...

vor 54 Minuten schrieb magicpeter:

 

Was kommuniziert ihr das an die Mitarbeiter / Geschäftsführung?

Warum muss man an die Geschäfstführung noch irgendwas außer Umstellungstermin kommunizieren? Eine solche Maßnahme muss von der Geschäftsführung ausgehen, auch wenn die IT, intern wie extern, die GF natürlich vorher entsprechend berät, damit sie von sich aus auf den Gedanken kommt, dass man so etwas unbedingt braucht...

vor 3 Stunden schrieb NorbertFe:

Mach doch einfach $irgendwas mit Cloud. ;) damit geht alles! Immer! 😂

Außer es geht irgendwas nicht. Dann ist es "shared responsibility".