Jump to content

SandyB

Members
  • Content Count

    74
  • Joined

  • Last visited

Posts posted by SandyB


  1. vor 4 Stunden schrieb casi4712:

    @ sandyB, danke das war mir bekannt, dass man PS Befehle innerhalb der cmd ausführen kann, was ich auch nutze. Aber kann ich diesen Wert dann auch jeweils zur Laufzeit abspeichern,um Ihn als Verzeichnisnamen zu nutzen? Das geht doch dann wohl wieder nicht?

    Du kannst den Filenamen in eine temporäre Datei oder einen temporären Regkey speichern und anschließend wieder auslesen. Der Weg über eine Environmentvariable geht vermutlich auch. Ich bin allerdings kein Freund der PS und erst recht nicht von Batches, Daher kann ich nur eine Idee liefern.


  2. Zitat

    Ich möchte auf einem Remoterechner den Namen auslesen und diesen zur weiteren Verwendung in eine Variable abspeichern.

    Man kann in einer batch Datei Powershellbefehle ausführen:

    powershell -Command "& {(Get-WmiObject -ComputerName 192.168.178.55 -Class Win32_Bios).PSComputername}"

    Vielleicht hilft das weiter. 


  3. vor 11 Stunden schrieb daabm:

    Man möge mich als pedantisch bezeichnen, aber wo ist bei Kerberos der Zuammenhang zwischen Computer und User?

    Meine Meinung bisher war, dass ohne Mitglied in der Domäne zu sein,

    - bekommt der Client keine Policies (u.a. .\System\Kerberos)  

    - fehlen dem Client die notwendigen SPNs für Kerberos 

    - gibt es keine mutual authentication 

    -> No Kerberos on non-domain clients.

    Wiegesagt, ich akzeptiere gerne, dass meine Überlegungen falsch waren. 

     


  4. Alles klar!

    Mittlerweile habe ich auch die Onlinestellen wieder gefunden:

    https://enterprise.verizon.com/resources/reports/DBIR_2018_Report.pdf

    https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report-emea.pdf

     

    Ich finde Statistiken interessant, weil sie manche Meinungen unterstützen, andere widerlegen. (z.B. das BSI)

    Ich leite für mich aus diesen beiden Verizon-Statistiken her, dass die Bedeutung super-sicherer User-Passwörter überschätzt wird. Klar sollen User-Passwörter vernünftig-sicher sein, aber ob es jetzt 8 oder 16 Zeichen, 6 oder 24 Monate maximales Alter etc. sind, spielt bei den aktuellen Angriffsvektoren unterm Strich kaum eine Rolle für die Gesamtsicherheit.

    Das ist meine Interpretation :-)

     

     

     


  5. Die relative Anzahl an Attacken auf schwache Passwörter war 2018  lt. verizon sehr gering (<0.4%).

    Welche Auswirkungen auf diese Häufigkeit eine verändertes Wechselintervall oder unterschiedliche Passwortlängen haben, kann m.E. niemand sagen. Vermutlich liegen wir da im Promille-Bereich.

     

    Eine Empfehlung zu entfernen, die fast keinen Effekt hat, ist sinnvoll.

     

    2020-02-04 15_44_35-Window.png

    • Like 1

  6. Die Dämme scheinen gehalten zu haben. 

    Dank ziemlich aufwändiger Protectionkonzepte konnte der Angriff rechtzeitig unterbrochen werden und die Kill-Chain lässt sich mit den vorliegenden Monitoring-Daten relativ gut zurückverfolgen.

     

    Trotzdem Danke für den seelischen Beistand gestern abend :-)

     

      


  7. Gibt es für dieses Scenario kein standardisiertes Vorgehen von Microsoft?

     

    @daabm: Plattmachen ist keine Alternative,

     

    @v-rtc: Soweit ich bis jetzt weiß, wurden Golden Tickets entdeckt und so flog die Attacke auf. Nein, ich bin weder Dienstleister, noch AD-Experte, eher das "Mädchen für Alles", das sich auf morgen schonmal vorbereiten will. 


  8.  

    Hi,

    Gibt es eine Beschreibung oder einen Prozess wie man verfahren soll, um aus einer kompromittierte Domäne einen erfolgreichen Angreifer rauszuwerfen.

    Beispielsweise habe ich schon gefunden: 

    - Neue Passwörter für die Adminaccounts 

    - Reset krbtg-Account

    - Trusts resetten

    - SID-History löschen

    - disable "rc4_hmac_md5" and below ciphers for Kerberostickets

    - Wo im Directory könnte ein Angreifer mit Adminrechten noch Backdoors eingebaut haben, Da gibt  es sicher noch viele weitere Möglichkeiten.

     

    Die genaue Größe und Struktur der Domäne kenne ich selbst noch nicht. Aber sie ist jedenfalls international verzweigt und läuft auf Windows 2012R2 DCs.

     


  9. Freut mich! Schau dir mal diese Seite zu WinRM an.

    https://attack.mitre.org/techniques/T1028/

    Hier findest du eine Menge guter Links zu WinRM (Attacks, Mitigations).

     

    Bisher noch nicht zur Sprache gekommen ist Detection/ Monitoring. Da kein Schutz perfekt ist, kommt diesem Kapitel ebenfalls ein wichtige Rolle zu. (siehe auch die wieterführenden Links auf der Seite)

    Vielleicht beschreibst du mal ganz grob dein Netzwerk: Größe, wo ihr mit der Sicherheit hinwollt, etc

     

     


  10. Am 25.1.2020 um 11:52 schrieb Dukel:

    Wenn man 1000 Clients hat bräuchte jeder Admin 1000 Client-Admin-User.

    Mir würde sich der Magen drehen, wenn ein und derselbe Account auf 1000 Clients für administrative Aufgaben genutzt wird. Womöglich noch mit RDP und unrestricted Credentials.

    PAM ist für dieses Szenario m.E. ungeeignet bzw. überdimensioniert.


  11. 1. winrm over https ist sehr empfehlenswert

    https://support.microsoft.com/en-us/help/2019527/how-to-configure-winrm-for-https

     

    2. für jeden Client einen eigenen Admin-Account verwenden, um lateral movement vorzubeugen

    https://www.lastline.com/blog/lateral-movement-what-it-is-and-how-to-block-it/

     

    3. Powershell selbst solltest du unbedingt absichern

    https://devblogs.microsoft.com/powershell/powershell-constrained-language-mode/

    https://www.tenforums.com/tutorials/111654-enable-disable-windows-powershell-2-0-windows-10-a.html

    - es gibt etliche weitere, sehr zu empfehlende Möglichkeiten, bitte selbst googeln.

     

    • Like 1
×
×
  • Create New...