zahni

Lies mal diese Seite und den Hinweis zu Windows 2025. https://learn.microsoft.com/de-de/windows-server/identity/ad-ds/manage/delegated-managed-service-accounts/credential-guard-protected-machine-accounts

Wenn ich das korrekt verstehe, ist die Funktion von validen Zertifikaten und Credential Guard abhängig.. Und Credential Guard braucht bestimmte Hardware- oder Hypervisor-Funktionen: https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/additional-mitigations

Firewalls habt Ihr nicht dazwischen? Man übersieht gern mal, dass Kerberos Port 88 UDP benötigt.

Ich diskutiere nicht mehr mit dem DL. Jeder ist dort für was Anderes zuständig, aber nie für das aktuelle Problem.

Es ist schwierig. Wir migrieren in ein neues AD (nicht meine Idee) und wechseln dabei den Anmeldnamen. Es gibt einen Trust mit SID-History via Quest-Software. Das Problem: Die Herrschaften auf der anderen Seite verwenden nicht "HomeShare" zum Mappen vom UserHome, sondern den Inhalt von SamAccoountName, CN, oder ähnlich. Das passt dann aber nicht zu den Namen der User-Ordner, die wir aber noch nicht ändern können. Verstanden? Ich auch nicht. Der DL raubt mir den letzten Nerv. Aktuelle Idee: Den alten Usernamen in ein Extensionattribut schreiben (durch Quest).

Das habe ich mich auch gefragt... :-D: "Name" und "CN" ist also immer identisch,

Hi, da ich in den offiziellen Dokus von MS das irgendwie nicht finde: Kann mir jemand sagen, wozu das Attribut "name" beim Benutzer gut ist? Das ist offenbar vom Inhalt her identisch mit dem "cn" und wird in der GUI immer identisch mit geändert. Da wir gerade in einem Projekt sind, bei dem der Quest-AD-Migrator benutzt wird, bei dem der CN und der SamAccountName geändert werden soll, zeigt es sich aber, dass dieses Attribut scheinbar keine Funktion hat. Es muss also mit CN nicht identisch sein. Wir würden den Inhalt eventuell temporär für etwas Anderes nutzen. Kann man das Attribut überhaupt unabhängig vom CN ändern? In einem Attributeditor lassen sich CN und NAME jedenfalls nicht ändern. Per LDP kommt Error 0x20B1 Das Attribut konnte nicht geändert werden, da es dem System gehört.

Wireshark mitlaufen lassen. Danach solltest Du einen Blick auf den I/O-Graph werfen. Viele TCP-Fehler können das erklären. Ursache? Bei DSL kann es an der Leitung bzw. dem DSLAM liegen. Ich hatte hier auch ewig ähnliche Probleme. Auch durch lange Tickets bei der Telekom wurde dann endlich "auf Verdacht" eine neue Software für "meinen" Port bzw. DSLAM installiert, womit das Problem endlich gelöst wurde. Die Telekom scheint hier Softwareupdate nur bei Bedarf zu installieren und nicht generell. Daher kann jeder Anschluss, trotz identischem DSLAM-Hersteller. mit unterschiedlichen Softwareversionen ausgestattet sein. -Zahni

Soll das ein Test sein, oder warum will man eine VM hier per WDS deployen? Ich würde dort ein Cloning der VM mit Sysprep usw. bevorzugen.

Sowas gibt es doch mit Bluetooth und App, z,.B. lt Google hier: https://www.obd-2.de/shop/fahrzeugmarke/bmw/

Rein technisch kann in einem VLAN jede IP-Adresse erreicht werden, Der IP-Stack macht einen ARP-Request und bekommt die MAC, fertig. Hier kommt es auf die Konfiguration des IP-Stacks an. Ich erinnere mich, dass der IP-Stack von Windows dafür einen Parameter hat und das sich das Verhalten bei neueren Windows-Versionen geändert hat. Mir fehlt leider gerade die Zeit mich damit zu beschäftigen. Ich kann mich an einen "Vorfall" zu Hause erinnern, bei dem ich jede IP-Adresse in meinem privaten LAN erreichen konnte... Falls das Thema sicherheitsrelevant ist: Nicht machen.

Neben dem Virenschutz solltest Ihr mindestens eine geeignete Applocker-Policy ausrollen. Die ist u.U. wirkungsvoller als ein Virenscanner. Nur ganz kurz: finales Ziel muss sein, dass ein User nur von dort Programme starten darf, wo keine Schreibberechtigung hat. Viren speichern sich meist erst in irgendeinem Ordner des Users und werden dann gestartet. Das Speichern kannst Du mit dem Applocker nicht verhindern, aber die Ausführung. Euer Virenscanner wird dann ein paar Tage später den Virus hoffentlich kennen und entsorgen. Zur Abwehr aktueller Bedrohungen sind Virenscanner meist nutzlos ("Schlangenöl"), da kein verantwortungsvoller Hacker Dir einen Virus sendet, der von einem Virenscanner erkannt wird. Falls Deine Windows-Edition keinen Applocker hat: Mit den SRP erreicht man das Gleiche. -Zahni

Hi, hat zufällig jemand Erfahrung damit? Problem: Unser neue DL nutzt Credential Guard und wir ein paar Java-Anwendungen, die Kerberos-SSO geben einen Tomcat/Websphere machen sollen. Das SSO ist mittels JAAS/krb5loginmodule implementiert. Wie ich leider erst jetzt herausgefunden habe (Google ist nicht immer hilfreich), unterstützt krb5loginmodule die native Windows SSPI-API nicht. Da ist geht nur, wenn man auf die vergleichsweise neue Java-GSS-Implementierung schwenkt. Hier braucht man dann auch kein "AllowTGTSessionKey". Credential Guard verhindert aber die Nutzung von des TGT Session Keys. Nun entwickeln wir nicht alle Anwendungen selber... Kennt sich jemand mit Credential Guard aus? Kann man da irgendwelche Ausnahmen definieren? Wen es interessiert: Die Java-Doku. Dort sind beide Variantenbeschrieben: https://docs.oracle.com/javase/8/docs/technotes/guides/security/jgss/single-signon.html Hier ein relevanter Bug: https://bugs.openjdk.org/browse/JDK-8054026 und die finale Lösung: https://bugs.openjdk.org/browse/JDK-8214079 Die native SSPI-Bridge gibt es im Java also seit 2019. Dank an Euch im Voraus. -Zahni

Ohne das getestet zu haben. https://znil.net/index.php/Batch_RDP_Verbindung_starten_mit_Benutzername_und_Passwort Das könnte man mit einem Powershell-Dialog zur Abfrage von User/Password kapseln...

Wenn ich diese Matrix vom Mainboard richtig lese, werden DUAL Rank x4 RDIMMS nur bis 32 GB unterstützt. Es hängt aber auch von der verwendeten CPU ab. https://www.supermicro.com/support/resources/memory/X11_memory_config_guide.pdf