Jump to content

SandyB

Members
  • Content Count

    74
  • Joined

  • Last visited

Community Reputation

5 Neutral

About SandyB

  • Rank
    Junior Member

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Danke ecuh! Klist purge wirft die Tickets raus, das funktioniert! Die groupmemberships 'WHOAMI /all' bleiben erhalten. Werden diese mit einem neuen KerberosTicket aktualisiert? Ich habe leider keine moeglichkeit selbst zu testen.
  2. Wenn man unter Windows10 den angemeldeten AD-User in eine neue Gruppe steckt, muss sich der user erst ab- und wieder anmelden, damit die neue Groupmembership wirksam wird. Gibt es einen "renew" Befehll, um diesen Aktualisierungsprozess auch ohne logon/logoff zu starten? Danke Sandy
  3. Du kannst den Filenamen in eine temporäre Datei oder einen temporären Regkey speichern und anschließend wieder auslesen. Der Weg über eine Environmentvariable geht vermutlich auch. Ich bin allerdings kein Freund der PS und erst recht nicht von Batches, Daher kann ich nur eine Idee liefern.
  4. Man kann in einer batch Datei Powershellbefehle ausführen: powershell -Command "& {(Get-WmiObject -ComputerName 192.168.178.55 -Class Win32_Bios).PSComputername}" Vielleicht hilft das weiter.
  5. Meine Meinung bisher war, dass ohne Mitglied in der Domäne zu sein, - bekommt der Client keine Policies (u.a. .\System\Kerberos) - fehlen dem Client die notwendigen SPNs für Kerberos - gibt es keine mutual authentication -> No Kerberos on non-domain clients. Wiegesagt, ich akzeptiere gerne, dass meine Überlegungen falsch waren.
  6. Ich war felsenfest überzeugt, dass für eine Kerberos Authentication sowohl ein Computer- als auch ein Userkonto vorhanden sein müssen. So kann man sich irren. Danke!
  7. Ich bin bis jetzt davon ausgegangen, dass eine Domain Membership Voraussetzung für den Austausch von Kerberostickets ist. Ich werde versuchen, mich besser einzulesen.
  8. Dass eine Domänenaufnahme mit Kerberos und nicht mit NTLM abgesichert wird. Es würde mir eine Reihe von Problemen lösen, wenn dem so ist.
  9. Jetzt bringt ihr mein Windows Bild vollkommen zum Einsturz
  10. Alles klar! Mittlerweile habe ich auch die Onlinestellen wieder gefunden: https://enterprise.verizon.com/resources/reports/DBIR_2018_Report.pdf https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report-emea.pdf Ich finde Statistiken interessant, weil sie manche Meinungen unterstützen, andere widerlegen. (z.B. das BSI) Ich leite für mich aus diesen beiden Verizon-Statistiken her, dass die Bedeutung super-sicherer User-Passwörter überschätzt wird. Klar sollen User-Passwörter vernünftig-sicher sein, aber ob es jetzt 8 oder 16 Zeichen, 6 oder 24 Monate maximales Alter etc. sind, spielt bei den aktuellen Angriffsvektoren unterm Strich kaum eine Rolle für die Gesamtsicherheit. Das ist meine Interpretation
  11. das Gesamtpaper ist leider zu groß zum Hochladen. Aber auch dann wärst du vermutlich nicht zufrieden,
  12. Die relative Anzahl an Attacken auf schwache Passwörter war 2018 lt. verizon sehr gering (<0.4%). Welche Auswirkungen auf diese Häufigkeit eine verändertes Wechselintervall oder unterschiedliche Passwortlängen haben, kann m.E. niemand sagen. Vermutlich liegen wir da im Promille-Bereich. Eine Empfehlung zu entfernen, die fast keinen Effekt hat, ist sinnvoll.
  13. Hi, Kann man in einer AD-Domäne NTLM komplett disablen? "Deny all" in https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-ntlm-authentication-in-this-domain Dann kann doch kein neuer Rechner mehr in die Domain joinen, oder habe ich einen Denkfehler?
  14. Ehrlich gesagt nein. Nicht weil ich nicht wollte, sondern weil ich selbst nur wenige Details mitbekommen habe.
×
×
  • Create New...