UNC-Hardening aktiv bei Euch? (MS15-011)

[zahni 521]

Also der Leerzeichen beim A? Endlich schreibt mal Einer was er eigentlich meint  Ich war auf das Leerzeichen hinter dem Komma fixiert.

[testperson 1.534]

vor 12 Minuten schrieb zahni:

Ich war auf das Leerzeichen hinter dem Komma fixiert.

Ich auch. Und ich bin jetzt noch verwirrter wie üblich..

 

Kann mir jemand den Gefallen tun, und das hier einmal in einem Codeblock formatiert richtig aufschreiben? :)

[zahni 521]

Der Blog wurde übrigens gerade aktualisiert, falls Ihr noch nicht völlig verwirrt seit:

 

 

PS: Ach, der ist ja vom Martin...

bearbeitet 26. Juli 2023 von zahni

[NilsK 2.785]

Moin,

 

welches A?

 

Completely lost, Nils

PS. eigentlich finde ich es schön, dass solche Fehler auch anderen passieren ... 

[BroBias 5]

So ein Fehler ist mir vor vielen Jahren genau einmal passiert.

Glaubt es oder nicht: Seither kopiere ich -immer- über editor-umweg, außer es kommt schon ausm plain editor  
Der zusätzliche Aufwand hat sich für mich jedenfalls schon mehrfach gelohnt ;)

[NorbertFe 1.805]

Wer kennt sie nicht die trailing/leading spaces beim Kopieren. Schönes Beispiel übrigens auch bis inklusive Windows 2016 wurde der Zertifikatsfingerprint IMMER mit einem versteckten Zeichen kopiert. Das hat man aber auch im Editor nicht gesehen, sondern erst in der cmd. ;)

[zahni 521]

Ich wundere mich auch ständig: Man versucht etwas mit der Maus zu markieren Windows markiert irgendwas davor oder danach mit. Standardvorgehen: Den Kram in Notepad oder Ultraedit einfügen. Dann fliegt auf jeden Fall irgendwelcher HTML-Müll & Co auf jeden Fall raus.

[schlingo 35]

vor 21 Minuten schrieb zahni:

Dann fliegt auf jeden Fall irgendwelcher HTML-Müll & Co auf jeden Fall raus.

Hallo :)

 

müsste es das mit Strg-Umschalt-V nicht auch? Hilft natürlich nicht bei leading und trailing blanks.

 

Gruß Ingo

[daabm 1.185]

Hätte in dem Fall nicht geholfen - Strg-Shift-V ist keine Kombination, die gpme.msc versteht. Und ein Line Break fällt da auch nicht darunter, der bleibt dabei erhalten.

Resumée für mich: Shit happens, never expected that "attack chain" 😂 Der Pentest-Dienstleister hat deswegen übrigens seine Berichte umgebaut, das steht jetzt in formatierungsfreien Code Blocks.

 

@BroBias Copy/Paste über NPP+ ist mein tägliches Brot - in dem Fall hab ich schlicht überhaupt nicht damit gerechnet... "Betriebsblind", die Brille war zu dunkel 😎

[testperson 1.534]

Set-GPRegistryValue -Name "C_UNC-Path-Hardening_MS15-011" `
    -Key "HKLM\Software\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths" `
    -ValueName "\\*\NETLOGON" `
    -Type String `
    -Value "RequireMutualAuthentication=1, RequireIntegrity=1"

Set-GPRegistryValue -Name "C_UNC-Path-Hardening_MS15-011" `
    -Key "HKLM\Software\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths" `
    -ValueName "\\*\SYSVOL" `
    -Type String `
    -Value "RequireMutualAuthentication=1, RequireIntegrity=1"

 

Wer ist denn diese gpmc.msc? 

[cj_berlin 1.137]

vor 1 Minute schrieb testperson:

Wer ist denn diese gpmc.msc? 

Das Subsystem. das die DLLs bereitstellt, welche die von Dir verwendeten Cmdlets nutzen.

[testperson 1.534]

vor 2 Minuten schrieb cj_berlin:

Das Subsystem. das die DLLs bereitstellt, welche die von Dir verwendeten Cmdlets nutzen.

Buuuh.. ;)

[daabm 1.185]

So ungefähr Es gibt gpedit.msc ("Gruppenrichtlinienobjekt-Editor", lokale Policy), gpmc.msc ("Gruppenrichtlinienverwaltung" - das Schweizer Messer des busy Admin) und gpme.msc ("Gruppenrichtlinenverwaltungs-Editor" - ich kann nix für die Namen) . Letzteres ist die Version von gpedit.msc, die domänenbasierte Gruppenrichtlinien bearbeitet.

 

 

Das, was die Cmdlets nutzen, ist im "GroupPolicy" Modul. Bei allem außer "x-Gp[Pref]RegistryValue" wird dabei auf das COM-Interface von GPMC zurückgegriffen: IGPMGPO und dessen ganze Klassen und Methoden. COM ist Mist, ist nur bedingt remotingfähig.

 

Edit: Noch ein "k" gefunden...

bearbeitet 27. Juli 2023 von daabm