theonlybrand

Hi, Microsoft recommends to set the following item

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network security\LAN Manager authentication level
to the following value: Send NTLMv2 response only. Refuse LM & NTLM

Moin Nils,

SAML ist möglich, ich frage mich nur, ob darüber auch ein native Client angesprochen werden kann, oder ob dann nur noch die Webapplikation von extern erreichbar ist.

Die Applikation stellt sowohl ein Webportal, als auch einen nativen Client zur Verfügung. Kann der native Client auch über den Application Proxy angesteuert werden? Ich meine gelesen zu haben, dass das mit ADAL möglich ist

Ich möchte eine interne Anwendung über den Azure Application Proxy für externe Zugriffe ermöglichen. Diese Zugriffe erfolgen über einen Gastaccount im AD. Den Application Proxy möchte ich ja nutzen, um die lokale Anwendung per MFA anzusteuern, sowohl von den eigenen Mitarbeitern, als auch von Kunden (Gastkonto im AAD)

Hallo zusammen,

ich habe letzte Woche die Anforderung bekommen "Alle User müssen ab sofort MFA nutzen", Microsoft will das ab 1. August 2019 für alle CSP verpflichtend (Und ja ich wurde 2. August erst darauf angesprochen).

Nun habe ich natürlich nicht direkt die Baseline Policy "End User Protection" aktiviert, da intern noch ein paar Anwendungen mit Legacyprotokollen (IMAP, SMTP) arbeiten und diese dann nicht mehr funktionieren.

Jetzt habe ich mir überlegt, ob es nicht möglich wäre die MFA gegen einen ADFS Server (oder ist doch ein Cluster besser?) zu schicken, um die Anmeldung der internen Anwendungen zukünftig per SAML zu realisieren.

Zudem müssen auch Kunden auf die interne Anwendung zugreifen, das wäre doch dann über einen Azure B2B User und einem Application Proxy möglich, oder?

Macht das Sinn was ich mir hier überlegt habe?

Gerne weitere Fragen stellen falls was unklar ist.

Ich bin um eine zweite (und auch dritte, vierte und fünfte) Meinung dankbar.

LG theonlybrand

Beruflich: Devolutions Password Vault

Privat: Bitwarden selfhosted

Für die TISAX Zertifizierung ist ein Logging von sicherheitsrelevanten Administratortätigkeiten ein MUSS-Kriterium. Ist das nicht umgesetzt ergibt das eine Hauptabweichung und das Audit ist nicht bestanden.

Kann dir Bitwarden Enterprise nur empfehlen. Nutze ich privat in einer selbst gehosteten Umgebung im Family Lizenzmodell. Kann aber auch auf Enterprise heraufgestuft werden.

Für die ersten 5 User kostet es nichts

Ich kann Freshservice von Freshworks Inc. empfehlen. Hat gleich ein integriertes Shop-System dabei

Wenn du 3 SSIDs hast, hast du später auch 3 getrennte Netze, ist das eine deiner Anforderungen?
Jeder AP muss die gleiche SSID senden und sendet dann in der BSSID seine individuelle MAC-Adresse

SSID kann die gleiche sein, die MAC-Adresse des AP muss in die BSSID, dann sollte das funzen

Moin liebes Board,

eine Kollegin von mir schreibt gerade ihre Masterarbeit und führt in diesem Rahmen eine Umfrage zur Arbeitgeberattraktivität in der IT durch. Für die Umfrage benötigt sie 1000 Teilnehmer, was ein ziemlicher Batzen ist wenn man nicht in der IT arbeitet und sich auf diversen Foren beteiligt.

Ich wäre euch sehr verbunden wenn ihr teilnehmen könnt, die Umfrage ist selbstverständlich komplett anonym.

Link: http://ssi2.hs-neu-ulm.de/WS2018/GR3/login.html

Danke im Vorraus

LG theonlybrand

Jep. War ein Berechtigungsproblem. Ich hatte mich mit dem falschen Benutzerkonto angemeldet

kann geschlossen werden

Hat geklappt. Vielen Dank! Wo ist denn dieser Button wo man das Thema als gelöst markieren kann hin verschwunden?

Moin liebes Board,

ich bin aktuell dabei die Wartungsarbeiten für WSUS zu automatisieren, sprich Reindizierung der WID sowie das Leeren der Synchronisierungsansicht. Bisher habe ich dazu nur Lösungsansätze über PowerShell gefunden, was beim Ausführen der Serverbereinigung in der WSUS Konsole ja unabdinglich ist.

Frage: Mit welchem Argument muss ich in der Aufgabenplanung das SQL-Skript starten? Bisher bleiben alle meine Versuche erfolglos.

LG theonlybrand

Ok trotzdem danke :)

Ist eine Java 7 Runtime. An der Keytool-Version wurde nichts geändert, und mit IBM hab ich auch nix am Hut

Sowohl Keystore Explorer als auf das Cmdlet keytool fallen beim Öffnen auf die Nase. Beides mal bekomme ich die Fehlermeldung, dass das Format nicht valide ist. Es kommt noch nicht einmal zur Passwortabfrage

Moin zusammen!
Kurz vorneweg noch meine Meinung zum neuen Forum, da das mein erster Beitrag seit dem Relaunch ist. Das Design ist sehr gelungen, allerdings habe ich das Gefühl, dass sie Suchfunktion noch nicht zu 100% korrekt arbeitet. Bekomme immer 0 Treffer angezeigt, bei einer Standardsuche. Ansonten gefällt mir das neue Board ausgesprochen gut! Solid 10/10

Nun aber zu meinem Problem:

Ich habe hier den default Java Keystore "cacerts". Diesen habe ich versucht mer cmd zu öffnen und mir seinen Inhalt anzeigen zu lassen.

Allerdings bekomme ich die Meldung "Keytool-Fehler: java.io.IOException: Invalid keystore format"

Nun kann ich zwar Englisch und kann mir auch etwas darunter vorstellen, ich vermute dass die Datei an sich korrupt ist, die Frage ist nur: Wie behebe ich diesen Fehler? Habe bereits einige Zertifikate in diesen Keystore importiert und wollte nun schauen welche das sind.

Vielleicht hatte jemand von euch auch schonmal das selbe Problem und kann mir weiterhelfen :)

LG theonlybrand

Wenn das Zertifikat aus deiner PKI kommt muss die Zertifikatskette korrekt sein. Es genügt nicht das Zertifikat der Zwischenzertifizierungsstelle einzufügen, du musst die gesamte Zertifikatskette in den Computerspeicher importieren. Und die Zertifikate müssen in den richtigen Schlüsselspeichern liegen

Natürlich brauchen auch die Clients die Zertifkatskette, in welcher auch der WSUS eingetragen ist

Kann man dir eigentlich mal ein Bier ausgeben? Was du mir bisher geholfen hast ist kaum in Worte zu fassen

Moin und einen schönen Montag euch liebes Board,

kurze Verständnisfrage: Kann ich mit meiner Enterprise CA aus dem AD ein Zertifikat für einen virtuellen Host ausstellen der sich nicht in der Domäne befindet?

Problem ist bei mir, dass in meinem Testsystem (2 virtuelle Hosts, einer in der Domäne, einer nicht) nur der der Domäne zugehörige Host eine sichere Verbindung aufbauen kann.

Der Rechner aus der Workgroup kann keinen TLS-Handshake ausführen und läuft in einen Timeout.

Beide Rechner haben einen Tomcat 8 am laufen.

Hat jemand so ein ähnliches Problem schonmal gehabt? Oder ist das ein Denkfehler wenn ich Zertifikate von meiner Enterprise CA an Workgroup Hosts ausstellen möchte?

Vielen Dank

euer dualer Student :)

Du kannst die Produktklassifizierung in der WSUS-Konsole ändern. Danach kannst du die Updates ablehnen und dann ne Serverbereinigung in der WSUS-Konsole durchführen. Die löscht abgelehnte Updates vom Server. 

Das Licht ist aus, zumindest bei mir im HO ;) Kaffee steht neben mir, der Tag kann beginnen :)