Emmermacher 15 Geschrieben 6. Dezember 2022 Melden Teilen Geschrieben 6. Dezember 2022 Hallo. Testweise habe ich in einer OU die GPO vom BSI im Test ("Normale Sicherheit"). Nachdem ein Netzlaufwerk nicht mehr gemappt wurde, habe ich mit die Logs mal angeschaut. Hier tauchen Events GrouPolicy mit den Events 1006 und 1129 auf. Ein gpupdate /force gibt Fehler bei der LDAP-Bindung aus. Client ist W10 22H2, Server sind W2k16. Den Server kann ich anpingen, und ein Zugriff auf NETLOGON und SYSVOL funktionieren. Die Einstellungen sind aktuell nicht auf die DC verteilt worden, da es sich noch um einen Test handelt. Ich würde mal vermuten, dass es irgendwo im Bereich Verschlüsselung liegen könnte. Hat jemand mit den Richtlinien des BSI ähnliche Erfahrungen gemacht? Wenn ja, wie löst man das Problem? Vielen Dank im Voraus für Eure Antworten. Habt einen schönen Nikolaus. Viele Grüße Dirk Emmermacher Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 6. Dezember 2022 Melden Teilen Geschrieben 6. Dezember 2022 vor 46 Minuten schrieb Emmermacher: Ein gpupdate /force Ist in den allermeisten Fällen überflüssig. Was passiert denn ohne /force? und ohne genaue Fehlermeldung wird’s schwer. „Irgendwas mit LDAP“ hilft nicht. Zitieren Link zu diesem Kommentar
Emmermacher 15 Geschrieben 6. Dezember 2022 Autor Melden Teilen Geschrieben 6. Dezember 2022 Hallo Norbert. Danke für Deine Antwort. Hier die komplette Meldung: Die Computerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Probleme sind aufgetreten: Bei der Verarbeitung der Gruppenrichtlinie ist aufgrund fehlender Netzwerkkonnektivität mit einem Domänencontroller ein Fehler aufgetreten. Dies kann eine vorübergehende Bedingung sein. Es wird eine Erfolgsmeldung generiert, wenn die Verbindung des Computers mit dem Domänencontroller wiederhergestellt wurde und wenn die Gruppenrichtlinie erfolgreich verarbeitet wurde. Falls für mehrere Stunden keine Erfolgsmeldung angezeigt wird, wenden Sie sich an den Administrator. Die Benutzerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Probleme sind aufgetreten: Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details". Lesen Sie zur Fehlerdiagnose das Ereignisprotokoll, oder führen Sie den Befehl "GPRESULT /H GPReport.html" aus, um auf Informationen über Gruppenrichtlinienergebnisse zuzugreifen. Im Systemlog gibt es dazu noch das Event 1006 mit der Meldung "Ungültige Anmeldeinformationen" Code 49. Das wäre aus meiner Sicht logisch, wenn keine Verbindung zustande kommt. LG Dirk Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 6. Dezember 2022 Melden Teilen Geschrieben 6. Dezember 2022 (bearbeitet) Was sagt denn "nltest /dsgetdc:" ? Edit: Die Fehlermeldung zu User-GPOs kannst vorläufig ignorieren, das ist ein Folgefehler der Fehlermeldung bei den Computer-GPOs. Kein Secure Channel... bearbeitet 6. Dezember 2022 von daabm Zitieren Link zu diesem Kommentar
Emmermacher 15 Geschrieben 7. Dezember 2022 Autor Melden Teilen Geschrieben 7. Dezember 2022 Guten Morgen @daabm. Da kommen nltest /dsgetdc: Domänencontroller: \\DC Adresse: \\xxx.xxx.xxx.xxx Domänen-GUID: <GUID> Domänenname: my.domain Gesamtstrukturname: my.domain DC-Standortname: Default-First-Site-Name Unserer Standortname: Default-First-Site-Name Kennzeichen: GC DS LDAP KDC TIMESERV BESCHREIBBAR DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS DS_8 DS_9 DS_10 KEYLIST Der Befehl wurde ausgeführt. Das sieht erst mal in Ordnung aus. Könnte es sein, das wir die GPOs vom BSI auch noch auf den DCs ausrollen müssen. Das habe ich bislang noch nicht getan, da wir erst mal die Auswirkungen auf einigen Clients testen wollten. Das wäre für mich zwar logisch, aber das BSI hat dazu nichts veröffentlicht. Nachtrag: Die Policies vom BSI habe ich deaktiviert und danach die Ordner Machine und User unter %windir%\system32\GroupPolicy habe ich mal gelöscht. Nach Neustart sind die Einstellungen immer noch vorhanden. Die Ordner sind zwar neu erstellt worden, aber die .pol Datei unter Machine wird nicht erstellt, da die alten Einstellungen immer noch aktiv sind. In der Registry gibt es Schlüssel "Muicache". Hier stehen wohl Einstellungen drin. Kann man die Einträge dort einfach löschen? LG Dirk Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 7. Dezember 2022 Melden Teilen Geschrieben 7. Dezember 2022 Magst Du mal einen Link posten, in dem man die Einstellungen vom BIS sieht, welche du meinst? Und ja, wenn Du die Registry Einstellungen sicherheitshalber vorher per Export sicherst, kannst du natürlich löschen. Zitieren Link zu diesem Kommentar
Emmermacher 15 Geschrieben 7. Dezember 2022 Autor Melden Teilen Geschrieben 7. Dezember 2022 Hallo Sunny. Hier eine Exceldatei: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/SiSyPHus/Workpackage11_Einstellungen_Haertungsempfehlung_V1_1.xlsx?__blob=publicationFile&v=3 Das hier ist der Link zu den Richtlinien: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/SiSyPHus/Workpackage12_GPOs_V1_1.zip?__blob=publicationFile&v=2 Da ich keine weitere Doku dazu gefunden habe, musste ich die Richtlinien erst mal importieren, bevor zu sehen war, was diese enthalten. LG Dirk Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 7. Dezember 2022 Melden Teilen Geschrieben 7. Dezember 2022 Hm - habt Ihr ein Problem mit Kerberos oder SMBv1? Das ist per Forum jetzt schwer zu lösen... Das BSI aktiviert jedenfalls das UNC Hardening für Sysvol und Netlogon, und natürlich aktivieren sie auch Signing/Sealing. Zitieren Link zu diesem Kommentar
Emmermacher 15 Geschrieben 8. Dezember 2022 Autor Melden Teilen Geschrieben 8. Dezember 2022 vor 12 Stunden schrieb daabm: Hm - habt Ihr ein Problem mit Kerberos oder SMBv1? Das ist per Forum jetzt schwer zu lösen... Das BSI aktiviert jedenfalls das UNC Hardening für Sysvol und Netlogon, und natürlich aktivieren sie auch Signing/Sealing. Moin Martin. SMB v1 ist bei uns abgeschaltet. Bleibt also noch Kerberos. Das war auch schon meine Vermutung. Ich schätze mal, das ohne GPOs dann nur die schwachen Verschlüsselungen aktiv sind. Daraus folgt dann für mich, das ich erst einmal alle Mechanismen aktiviere, um nicht noch die anderen Systeme auszusperren. Gestern habe ich den Muicache in der Registry gelöscht. Die Einstellungen haben sich aber nicht geändert. Ein Neustart hat auch nicht geholfen. Vielleicht muss man die .pol Dateien auch zusammen mit dem Cache löschen und dann neu starten. Da habe ich heute leider keine Zeit mehr. LG Dirk Zitieren Link zu diesem Kommentar
Emmermacher 15 Geschrieben 9. Dezember 2022 Autor Melden Teilen Geschrieben 9. Dezember 2022 Ein bisschen weiter bin hier gekommen. Laut dem ,was ich gelesen habe, sind bei Kerberos DCE und RC4 bei Windows 10 nicht mehr aktiv. Theoretisch sollte da diese Einstellungen kein Problem darstellen. Das zweite, was ich gefunden, sind veränderte Firewalleinstellungen. Diese standen auf Gast/Öffenlich. Warum das so war, konnte ich bislang nicht herausfinden. Ein gpupdate gibt immer noch ein Problem mit LDAP zurück. Da geht es dann nächste Woche weiter. Euch allen wünsche ich einen schönen 3. Advent. LG Dirk 1 Zitieren Link zu diesem Kommentar
Emmermacher 15 Geschrieben 14. Dezember 2022 Autor Melden Teilen Geschrieben 14. Dezember 2022 (bearbeitet) Moin. Mit diesen Einstellungen habe ich jetzt eine Lösung gefunden, die in unserem Net funktioniert: [SNIP] Microsoft-Netzwerk (Client)Ausblenden Richtlinie Einstellung Ausschlaggebendes Gruppenrichtlinienobjekt Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) Deaktiviert C_BSI Microsoft-Netzwerk (Server)Ausblenden Richtlinie Einstellung Ausschlaggebendes Gruppenrichtlinienobjekt Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) Deaktiviert C_BSI NetzwerksicherheitAusblenden C_BSI Netzwerksicherheit: LAN Manager-Authentifizierungsebene LM- und NTLM-Antworten senden (NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt) C_BSI AndereAusblenden C_BSI Netzwerksicherheit: Für Kerberos zulässige Verschlüsselungstypen konfigurieren RC4 ist im BSI-Standard nicht aktiv Aktiviert C_BSI DES_CBC_CRC Deaktiviert DES_CBC_MD5 Deaktiviert RC4_HMAC_MD5 Aktiviert AES128_HMAC_SHA1 Aktiviert AES256_HMAC_SHA1 Aktiviert Künftige Verschlüsselungstypen Aktiviert Die Einstellungen habe ich komplett entfernt. In der Vorlage vom BSI ist auch 128-Bit_verschlüüselung aktiv NetzwerksicherheitAusblenden Richtlinie Einstellung Ausschlaggebendes Gruppenrichtlinienobjekt Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients) Aktiviert C_BSI NTLMv2-Sitzungssicherheit erfordern Aktiviert 128-Bit-Verschlüsselung erfordern Deaktiviert Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server) Aktiviert C_BSI NTLMv2-Sitzungssicherheit erfordern Aktiviert 128-Bit-Verschlüsselung erfordern Deaktiviert Die orange markierten Bereiche funktionierten nur auf meinem Testrechner. bearbeitet 14. Dezember 2022 von Emmermacher Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 14. Dezember 2022 Melden Teilen Geschrieben 14. Dezember 2022 Ja, wenn man die Sicherheit mehr oder weniger komplett abschaltet geht alles. ;) Oder hab ich die Ergebnisse jetzt irgendwie missinterpretiert? Zitieren Link zu diesem Kommentar
Emmermacher 15 Geschrieben 14. Dezember 2022 Autor Melden Teilen Geschrieben 14. Dezember 2022 @NorbertFe Nein, hast Du nicht. Die Einstellungen laufen nur bei ein paar Rechnern im Testbetrieb, beim "Rest" noch gar nicht. Den Stress wollte ich gleich mit allen Rechnern haben. Die Policies gleich komplett einzusetzen, haben wir uns (zu recht) nicht getraut. Hier muss ich noch eine Lösung finden, wie das ohne Probleme läuft. Von uns kann auch niemand einschätzen, ob die GPOs des BSI zu einem anderen Verhalten der genutzten Anwendungen führt. Viele der Hersteller haben davon leider keine Ahnung. So war die Idee, in den einzelnen Abteilungen mit Testusern zu arbeiten, um das Verhalten zu erkunden. Mit der Fehlermeldung der LDAP-Bindung hat es nicht gereicht, die registry.pol unter Machine zu löschen. Bis das wieder lief, habe ich meinen Rechner mehrmals aus dem AD genommen. Da ich in dem Bereich der GPOs selten arbeite, fehlt mir da auch ein wenig die nötige Erfahrung, um so was zeitnah ohne Fehler umzusetzen. Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 14. Dezember 2022 Melden Teilen Geschrieben 14. Dezember 2022 vor 25 Minuten schrieb Emmermacher: Den Stress wollte ich gleich mit allen Rechnern haben. Die Policies gleich komplett einzusetzen, haben wir uns (zu recht) nicht getraut. Hier muss ich noch eine Lösung finden, wie das ohne Probleme läuft. Es gab doch im November ein OOB Update, welches das Thema mit dem RC4 Kerberos anging. Habt ihr das installiert? Musste manuell installiert oder im WSUS importiert werden. Hab noch nicht geschaut, ob das in den Dezemberupdates inkludiert ist. Bye Norbert Zitieren Link zu diesem Kommentar
Emmermacher 15 Geschrieben 14. Dezember 2022 Autor Melden Teilen Geschrieben 14. Dezember 2022 @NorbertFe Danke für die Info, Norbert. Das hatte ich noch gelesen. Das Update werden wir dann mal installieren. Heute aber nicht mehr, gleich ist Feierabend. Einen schönen Feierabend wünsche ich Dir. LG Dirk Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.