Jump to content

Patchday November


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Mahlzeit. Wen hat's da denn sonst noch so erwischt? Bei uns hat's unternehmensweit Kerberos zerlegt, bis wir die SupportedEncryptionTypes für alle Computer/User/Service-Accounts auf 28 gesetzt haben (RC4/AES128/AES256)... Und alle Dokus im Netz (dirteam.com und MS KB) passen nicht zu unserem Fehlerbild.

 

Und wir üben grad, wie man das Attribut aktualisiert für etwa 4 Millionen Accounts... (In mehreren Domains, aber trotzdem - #grütze Microsoft).

 

Link zu diesem Kommentar

Oh ja, NTLM-Blocking ist ein echtes Abenteuer. HyperV-Cluster nicht mehr verwaltbar, Authentifizierung an Services nicht mehr möglich, das Identity Management (das mit Service Account und Keytab arbeitet) geht auf die Bretter. Ein Heidenspaß...

Unsere Kunden haben btw. nichts davon mitbekommen - die laufen alle noch mit NTLM-Fallback.

 

Link zu diesem Kommentar

Wir hatten ein ähnliches Thema im Januar. Zum Glück hatten wir uns mit diesem Thema im Vorfeld beschäftigt. Deshalb immer die Microsoft KBs und Windows EventLogs genau lesen.

 

Ihr müsst folgendes tun:

- per GPO alle alte unsichere Kerberos Typen sperren.

- alle Service, User Accounts Kerberos Support aktivieren (PowerShell hilft)

und im Attribut msDS-SupportedEncryptionTypes muss 24 sein

- Das Kennwort des KRBTGT Accounts neu setzten 

 

siehe https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/decrypting-the-selection-of-supported-kerberos-encryption-types/ba-p/1628797

Link zu diesem Kommentar
vor 19 Minuten schrieb daabm:

HyperV-Cluster nicht mehr verwaltbar,

Dazu hatte ich ja neulich einen Thread aufgemacht, aber das war noch vor den November Updates. Ich hatte übrigens heute einen anderen "netten" Fehler mit CVE-2021-42287. Das hatten wir vor Monaten auf 2 gesetzt und gefühlt seit Oktober (das war ja angekündigt) liefen die GPOs auf den DCs nicht mehr alle. Aufgefallen ist das, weil per GPO auf dem PDC Emulator der falsche Zeitserver (auf Domain Root auf NT5DS) ankam, anstatt der entsprechende NTP Server. Policy auf nicht konfiguriert gesetzt Fehler weg Zeit wieder in Ordnung. :/ Nervt aktuell richtig, wenn ich auch an das aktuelle Problem mit DirectAccess denke.

 

Bye

Norbert

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...