LK28

Hallo,

ich habe momentan ein Problem, dass ich einen alten Windows Server 2012 R2 noch habe und den nicht los werde dank Software, welche nicht geupdatet werden kann/will.

Der Kunde möchte trotzdem die Sicherheit erhöhen.

Da alle anderen Server, inkl. DCs auf 2019 basieren, habe ich mir das Security and Compliance Toolkit heruntergeladen.

Laut https://learn.microsoft.com/de-de/windows/security/operating-system-security/device-management/windows-security-configuration-framework/security-compliance-toolkit-10 

sollen dort auch noch Informationen zu Windows Server 2012 drin stehen.

Lade ich mir das Programm herunter, finde ich allerdings nirgends etwas zu 2012 R2.

Bin ich blind, zu doof oder wurde 2012 R2 (aus bekannten Gründen) herausgenommen?

Worum es mir geht: Ich würde gerne die Security Einstellungen von 2012 R2 zu 2019 vergleichen, die MS hier vorgibt.

NTLM, Signing etc., die typischen Sicherheitseinstellungen die MS vorgibt

Danke euch, falls ihr eine Idee habt.

vor 1 Minute schrieb Scharping-FVB:

Wie funktioniert das mit der nicht-händischen Eingabe?
Wenn ich nach "PAM" google, kommen nur allgemeine Aussagen. PAM ist demnach ein Konzept, kein Programm, das Kennwörter automatisch in Eingabefelder einsetzt.
Oder gibt es da eine Lösung, die so ähnlich funktioniert, wie das AutoType von KeePass?

Sinn ist, dass die Software dir das Passwortmanagement abnimmt. Das heißt, die Software setzt dir für die privilegierten Konten z.B. 25 Zeichen starke lange Passwörter, hoch komplex.

Für Domain Admins, Service Accounts usw.

Innerhalb der Software sagst du, verbinde mich auf den Domaincontroller mit dem Account "admin1", sofern admin1 von der Software verwaltet wird.

Meldest du dich nun an, musst du weder Benutzername noch Passwort eingeben, die Software verbindet dich und übernimmt das für dich. 

Du kennst das Passwort von admin1 nicht, eventuell verbietet dir der Kunde/der Chef sogar, dass du die Berechtigung hast, das Passwort einzusehen, solltest du das wollen.

Sobald du dich wieder abmeldest, ändert die Software das Passwort automatisch.

Schau dir mal Lösungen von CyberArk an, Delinea Secret Server, Fudo PAM an.

Auch wir Admins haben Grenzen, wie viele Passwörter wir uns händisch merken können, bei mehreren Admin Accounts, mehreren Kunden, teils Kritis, teils keine bis wenige Sicherheitsmechanismen etc.

Ich als Admin/Dienstleister möchte meine Admin Passwörter beim Kunden doch am besten gar nicht mehr wissen, schon gar nicht die Passwörter händisch auf Aufforderung ändern, sondern das Passwortmanagement durch PAM regeln lassen. Was auch den netten Vorteil mit sich bringt, dass man das unbekannte Passwort nicht mal mehr kopieren und einfügen muss. JIT und JEA noch oben drauf.

Also ein Plus für PAM für privilegierte Konten.

Moin zusammen,

auf einem der DCs erschein zuerst folgende Meldung:

Wir haben das Passwort für KRBTGT geändert.

Nun erscheint folgende Meldung:

Zu der zweiten Meldung finde ich nur einen Artikel von Microsoft zu Server 2008, dass die Meldung normal sei.

Könnt ihr das bestätigen oder woher kommt die zweite Meldung?

Danke

vor 4 Minuten schrieb Damian:

Moin

 

Also wie üblich: Jeder erzählt seine Meinung zum Thema und am Ende hat man als Zuschauer wieder Lebenszeit verplempert.

 

BTW: Wer waren denn dieses Mal die "entsprechenden Gäste"?

 

VG

Damian

Harald Lesch, Matthias Maurer, ein Raumfahrt Unternehmer und noch eine Frau die auch in dem Bereich unterwegs ist.

Es ging hauptsächlich darum, dass Leute wie Elon Musk und andere immer mehr Satelliten ins All hochschießen und es dort oben keine Regulierung gibt. Quasi der wilde Westen.

Da kamen dann Fragen auf: Wer reguliert denn, ob und wann Jemand seine eigenen Satelliten abschießen kann, wenn es dort oben immer voller wird? Was passiert, wenn es immer mehr Satelliten geben wird, diese einfach durch ihre eigenen Nationen abgeschossen werden können und immer näher an die ISS rankommen etc.

Wenn da auch nur ein 10cm großes Trümmerteil mit tausenden km/h durchs All fliegt und die ISS trifft, sei das richtig kritisch.

Das "Rennen" der verschiedenen Mächte wie USA, China, Russland, Indien etc.

Dazu der technische Fortschritt usw.

Und was den Mond angeht: Da überlegen wohl ernsthaft Menschen, auf dem Mond zukünftig eine gewisse Art von Bergbau zu machen, um mögliche Ressourcen abzubauen, zukünftig feste Forschungsstationen dort zu installieren usw.

Unendlich viele Satelliten kann es eben auch nicht geben.

Da ihr gerade vom Mond sprecht.. bei Markus Lanz wurde gestern von entsprechenden Gästen von zukünftigen Rechenzentren im All und auf dem Mond philosophiert

Immer wieder lustig, diese krassen Kontraste zu sehen - zwischen "Alles in die Cloud", "Rechenzentren im All um zukünftig Energie zu sparen" und "Cloud ist böse" oder "Datenschutz über Allem"

vor 39 Minuten schrieb gaijin:

 

Bitte erhelle mich; was ist in Deinen Augen denn hier eine moderne Cloudlösung?

Ich lerne ja immer gerne dazu.

Der Kollege den du zitierst wird insgeheim von Satya Nadella bezahlt und stellt die Frage in quasi jedem Thread ;)

Also nicht ernst nehmen

HP hat mir nochmal geschrieben, es liegt doch nicht am Gerät, sondern am Router.

Der Router soll das Fax wohl als Risiko erkennen und deshalb müsse man am Gerät erst manuell bestätigen.

Fax geht doch über die Telefonleitung? Der Kunde hat ein Internet Modem, dahinter eine Sophos XG.

Wo müsste ich hier ansetzen?

Danke euch für die Teilnahme hier!

vor 8 Stunden schrieb XP-Fan:

 

Kannst du das mal etwas genauer definieren?

 

Das Fax wird angenommen und in den Speicher geschrieben, zum Ausdruck verlangt das Gerät eine Bestätigung oder wie?

 

Das Gerät piept, zeigt am Display sowas in der Art an wie "Incoming Fax. Wollen Sie akzeptieren oder nicht?" Und wenn ich akzeptiere, kommt der Ausdruck. Der Kunde hat auch schon länger gewartet, aber der Ausdruck passiert nicht automatisch.

Was die Telefonanlage angeht, bin ich noch im Gespräch.

Komisch ist eben, dass der HP Techniker am Telefon sagt "Das Gerät kann das nicht, die Funktion ist quasi nutzlos"

Andere Hoffnung ist, dass das Gerät das Fax denn automatisch per Email weiterleitet, ohne dass man erst akzeptieren muss

vor 8 Minuten schrieb cj_berlin:

Moin,

 

auf wieviele Rufzeichen ist die Fax-Annahme eingestellt? Ich hatte mit einem anderen HP-Modell die Problematik, das  4 Rufzeichen dazu geführt hatten, dass er nie angenommen hat, bei drei die Auto-Annahme aber funktionierte. Wenn es eine separate Faxleitung ist, spricht ja nichts dagegen, das auf 1 zu stellen.

Hatte ich auch von 2-5 soweit ausprobiert, soweit ich mich erinnere. Teste ich aber wenn möglich nochmal.

HP Digitales Fax (Email und Netzwerkordner) kann das Gerät. Ich werde das mal vorschlagen, in der Hoffnung dass er das Fax dann automatisch weiterleitet ohne dass man manuell bestätigen muss

Danke dir, du Glücklicher 

Falls Jemand anderes eine Alternative zu einem herkömmlichen Gerät kennt, gerne für den Healthcare Sektor, gerne raus damit :)

Gruß

vor 1 Minute schrieb NorbertFe:

Bei uns nimmt das Multifunktionsdruck-/Scan-/Fax-Gerät die Faxe entgegen und schickt sie per Mail irgendwohin. Keine Ahnung, ob man auch automatisch ausdrucken könnte.

Das teste ich mal, ob das Gerät das kann. Danke dir

vor 4 Minuten schrieb NilsK:

Moin,

 

soll es denn weiterhin ein klassisches "Gerät" sein?

 

Gruß, Nils

PS. "Fax" ist keine Abkürzung, man schreibt das daher nicht in Großbuchstaben.  Das nur am Rande, weil der Ästhet in mir rebelliert.

Die Fax Kommunikation besteht zu Apotheken. Medikamente, Rezepte usw. Also nicht ganz unsensibel.. Es gibt ja auch die Lösungen, dass man die Fax Dokumente online bekommt/verschickt. Bin mir nicht sicher, wie es da rechtlich aussieht, müsste ich mal herausfinden.

Welche Alternative hättest du denn im Angebot?

Hallo zusammen,

wir haben neulich einen HP Laserjet Pro 3102fdw für einen Kunden gekauft, weil den sein altes FAX Gerät den Geist aufgegeben hat.

Drucken, Faxen usw. funktioniert auch. Was allerdings nicht funktioniert ist, dass das Gerät die FAXe automatisch annimmt.

Es muss also Jemand immer physisch vor dem Gerät stehen und akzeptieren drücken, damit das FAX rauskommt. Das ist inakzeptabel.

Nachfrage beim HP Support: Das Gerät hat zwar in der Weboberfläche die Einstellung "Auto. Annehmen", funktioniert aber nicht. "Er hat das schon oft mit den Vorgesetzten besprochen"...

Hat Jemand von euch zufällig das selbe Gerät, oder ist noch auf FAX angewiesen und kann mir ein Gerät (Hersteller egal) nennen, was diese Funktion beherrscht?

Vielen Dank

vor 28 Minuten schrieb q617:

Warum keine moderne Cloud-Lösung?

Stellst du diese Frage nun in jedem Thread? 

Am 25.7.2023 um 11:13 schrieb NilsK:

Moin,

 

okay, das ist ja schon mal ein wichtiger Punkt. Ihr könntet also (so verstehe ich das) im AD gezielt auf einer OU (oder so) einer Mitarbeitergruppe das Recht geben, Computerkonten hinzuzufügen. Diese OU könnte das Standardziel für neue Computerkonten sein. Dann betreffen euch die Hinweise in dem KB-Artikel nicht.

 

Ansonsten weist der KB-Artikel ja auch Wege auf, wie es mit dem Pre-Staging gehen kann. Da ich selbst kein AD betreibe und momentan auch keine passende Testumgebung habe, fehlen mir dort die konkreten Umsetzungserfahrungen. Aber für mich klingt es, als sollten sich die nötigen Gruppen und Policies recht einfach nutzen lassen.

 

Gruß, Nils

 

Moin,

wie ich aus vergangenen Threads herausgelesen habe, würdest du nicht uneingeschränkt LAPS empfehlen. Quasi nur dann, wenn man auch das Organisatorische durchzieht und nicht aus Bequemlichkeit die "LAPS Passwörter" an die User vergibt und dann ändert.

Trotzdem mal ein Gedankenspiel mit deinem Tipp der Delegation an eine Mitarbeitergruppe in Zusammenhang mit LAPS, wenn ich darf:

Wenn ich einer Mitarbeitergruppe (normale AD Konten) das Recht vergebe, die Computerkonten hinzuzufügen, sind sie Creater-Owner und sollten nach wie vor das Recht besitzen, das lokale Admin Passwort aus LAPS lesen zu können. Auch wenn ich diesen Konten in der LAPS Konfiguration nicht explizit das Recht dazu gegeben habe,

Also sollte man verhindern, dass die Konten (die Mitarbeitergruppe) sich an Clients (und Servern) anmelden dürfen?

vor 50 Minuten schrieb NorbertFe:

 

Sehr gut. Und wenn dir dann noch langweilig ist, setzt du auch noch MTA-STS und DANE um (natürlich in einem eigenen ellenlangen Thread).

Du wirst gezwungen in den ellenlangen Threads mehrmals zu antworten?

vor 1 Stunde schrieb PCS07:

Ich habe jetzt den Fileserver mal in einer Benutzer GPO angegeben (file://Name-Fileserver/Freigabe/) mit und ohnen abschließenden "/" und die Meldung gibt es immer noch.

 

 

Daran scheint es nicht zu liegen :-(

 

Hi,

die Sicherheitswarnung kommt, sobald du eine Office Datei öffnest?

Das Problem hatten wir auch und haben es mit der GPO gelöst.

Du schreibst allerdings, du hast es mit einer Benutzer-GPO probiert? Wo hast du die GPO denn verknüpft? Ich hab die GPO bei uns an die Clients verknüpft, ist allerdings auch Exchange Online.

Bei mir ist meine GPO unter Computereinstellungen\Richtlinien/Admin. Vorlagen\Windows Komponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite

Hier habe ich \\Servername (ohne FQDN bei mir) eingetragen. Zone 2 (intranet)

Hi,

werden die Rechte auf eine Unter-OU delegiert? Erbt diese Unter-OU eventuell Rechte von einer übergeordneten OU, die zu Konflikten führen? zB delete Child Objekte?

Falls du diese Accounts auch für "Computer zur Domäne hinzufügen" nutzt, Vorsicht mit LAPS (falls ihr das einsetzt oder einsetzen wollt).

soweit ich weiß, können die Creater-Owner von Computerobjekten immer noch das LAPS (lokaler Admin) PW auslesen

Hi,

https://learn.microsoft.com/de-de/microsoftteams/troubleshoot/authentication/teams-defaults-to-domain-joined-account

Vielleicht hilft dir das hier?

Am 31.5.2023 um 11:44 schrieb Weingeist:

 

Ist Dir grad etwas gutes bekannt? Sollte +- einfach in der Konfig, Updates etc. sein und über vernünftige Logs verfügen. Primär geht es aber nicht darum nichts zu bezahlen, sondern tendenziell wenig laufende Kosten zu verursachen.

OpnSense oder pfSense schlage ich vor. OpnSense hat soweit ich mich erinnere mehr Features. Ansonsten ist es Geschmackssache, welches UI man schöner findet.

Zum Beispiel perfekt auf einem Protectli Hardware Board

Hallo,

weiß Jemand von Euch, wo man bei Windows 11 diese Einstellungen in der Registry findet?

Danke

vor 1 Stunde schrieb Admin666:

Naja mann muss fairerweise sagen MS warnt davor das es nicht komplett ist und nur ne Prewiev.

Aber bin auch sehr positiv überrascht. Allgemein versucht MS wohl gerade den Markt an sich zu reißen in fast allen Bereichen.

Bundeskartellamt - Microsoft

Mich würde mal interessieren, wie ihr das handhabt mit den regelmäßigen Passwort Wechseln der Service Accounts? Gerade in Bezug auf Kerberoasting.

Oder vertraut ihr euren langen komplexen Passwörtern so sehr, dass ihr sie nicht ändert?

Darauf aufbauend die Frage: Regelmäßige Passwortwechsel überhaupt möglich, wenn mit dem Service Account wichtige Applikations Dienste betrieben werden?

Ich persönlich finde das Thema PAM (Privileged Access Management) in dem Bezug ganz spannend, unter anderem wegen der Frage der Service Accounts. 

Was eine Komplexität und Länge von 10 Zeichen angeht, und dann zu sagen, dass die Bordmittel nicht ausreichen, ist ein Widerspruch in Sachen Sicherheit.

Danke erstmal bis hierhin. 

Ich werde mal bei VF nachfragen, welche Cable Fritzbox möglich ist und tausche diese gegen die Connect-Box. 

Was den Bridge-Mode angeht.. hieß das bei Fritzbox nicht Exposed Host?

Hi,

was genau meinst du mit Transfer-Netz?

Die Connext-Box kann zumindest kein Bridge-Mode, sofern wäre VPN schonmal vom Tisch?

Danke