Jump to content

falkebo

Members
 Profil anzeigen  Aktivitäten des Benutzers anzeigen

  • Gesamte Inhalte

    114

  • Registriert seit

  • Letzter Besuch

Beste Lösungen

  1. falkebo
    falkebo's post in Wie kommt PrintNightmare ins System wurde als beste Lösung markiert.   
    Hallo @Thomas Maggnussen.
    Ich weiß nicht, ob ich deine Frage richtig verstanden habe, versuche Sie jedoch zu beantworten.

    Die Schwachstellen im Windows Print Spooler, welche unter CVE-2021-34527 und CVE-2021-36958 geführt werden, sind ganz grundsätzlich erstmal sogenannte RCEs (Remote-Code-Execution) Schwachstellen.
    Hierbei wird es einem Angreifer ermöglicht, Schwachstellen in einem Programm über das Netzwerk auszunutzen.
     
    Im Rahmen von Print Nightmare, können Angreifer (sofern Sie sich im internen Netzwerk befinden), präparierten Code an beliebige Print Spooler schicken und sich anschließend z.B. eine SYSTEM Shell erzeugen lassen.
    Gegen DCs oder ähnlich privilegierte Server gerichtet, hat dieser Angriff verheerende Folgen.
     
    Die möglichen Eintrittspunkte für solch einen Angriff reichen von "Ich stöpsele mich am Netzwerk an", bis zu "Ich bringe meinen Exploit via E-Mail, Drive-By, etc. ins Netzwerk und lasse mir eine Reverse-Shell aufbauen". 
  2. falkebo
    falkebo's post in Cisco Port Security wurde als beste Lösung markiert.   
    Moin @speer.
    Wenn du MACs manuell whitelisten möchtest, dann geht das mit dem Befehl:
    switchport port-security mac-address XXX

    Was ist dein genaues Ziel?
  3. falkebo
    falkebo's post in DFS Share mounten Trusted Forest Domain wurde als beste Lösung markiert.   
    Servus @jets187.
    Wie sehen die Freigabeberechtigungen für den Namespaceserver aus?
    Gerne ansonsten auch mal mit DFSDiag ein paar Tests von Forest A durchführen und hier rein schicken.
  4. falkebo
    falkebo's post in Virtuellen Switch auf verschachtelte VM Maschine wurde als beste Lösung markiert.   
    Servus @Alex_78.
    Nein das geht nicht. Nested Virtualization ist sowieso nicht für den produktiven Betrieb gedacht.
    Aber davon ab. Du musst, um eine VM in Hyper-V ans Netzwerk anzubinden (egal ob physikalisch oder Virtuell), einen Hyper-V Switch erstellen.

    In deinem Szenario müsstest du auf dem physikalischen Server einen externen Hyper-V Switch (verbunden mit der richtigen physikalischen NIC) erstellen, diesen deiner VM zuweisen und in der VM das gleiche erneut durchführen. Das schleift die NIC im Prinzip durch.
  5. falkebo
    falkebo's post in NTLM komplett deaktivieren wurde als beste Lösung markiert.   
    Wie alle bereits erwähnt haben läuft der Domain Join über Kerberos ab und nicht NTLM (wäre heutzutage auch ein Unding).
    Davon ab solltest du vorher jedoch erstmal NTLM Protokollierung aktivieren und auswerten ob es noch irgendwelche Systeme oder Komponenten gibt (z.B. Webproxys, 3. Software, etc.) die NTLM verwenden. Wenn da alles clean ist kannst (und solltest) du es abschalten.
×
×
  • Neu erstellen...