zahni

Vor meinem Bürofenster gibt es eine Ecke, wo man nicht parken darf. Hier könnte man den ganzen Tag kassieren. Besonders lustig ist es mit Warnblinkern. Denn wer zur Warnung blinkt darf... ,-)

Da kann ich Dir nicht weiterhelfen. Ob und wie Kerberos mit Samba funktioniert: keine Ahnung. Es kann hier aber sein, dass durch unterschiedliche Windows-Versionen am Client und Server unterschiedliche Encryption Types konfiguriert sind. Ob überhaupt Kerberos benutzt wird, muss Du selber herausfinden. https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/network-security-configure-encryption-types-allowed-for-kerberos

Neuere Tableau-Versionen sollen KI-Funktionen bekommen haben...

Entweder ist am Client Kerberos mit AES256 nicht erlaubt oder am DC deaktiviert?

Sicher, aber sonst ist der Blog vom Kollegen Born schon recht gut. Ich hatte gestern auch etwas gebraucht, bis ich da durchgesehen habe. Und Google ist nicht ganz unschuldig. Offenbar ist es offenbar 1. zu einfach so ein Workspace-Konto einzurichten (keine Identitätsprüfung?) und 2. schickt man gebouncte Mails nicht an den ganzen Verteiler.

Ja. Ich kenne Google Workspace nicht. Für mich sieht es aber so aus, dass man dort Verteiler mit einer Mailadresse belegen kann, Dann schickt "jemand" die eigentliche SPAM an diesen Verteiler (das war wohl eine ICloud-Adresse). Google hat hatte nicht Besseres tun und schicket dann alle (automatischen) Antworten wieder an den Verteiler. Bei dem ganzen Müll im Header (mehrfache ARC-Seals und DKIM) würde ich auch durcheinanderkommen.

Hi, kann es sein, dass jemand über Google Workspace eine Verteilerliste anlegt und damit SPAM-Mails verschickt? Ich habe heute 9 Autoresponder von Überall bekommen, inkl. irgendwelchen Ticket-Systemen? die 1. Mail war die hier: Danach bekam ich 8 oder 9 Autoresponder. Die Mails kommen von Google, diese Domain bh.ipetecnologia.net hat Google im SPF. In den Headern steht sowas: X-Google-Group-Id: 407248796611 List-Post: <https://groups.google.com/a/bh.ipetecnologia.net/group/sg/post>, <mailto:sg@bh.ipetecnologia.net> List-Help: <https://support.google.com/a/bh.ipetecnologia.net/bin/topic.py?topic=25838>, <mailto:sg+help@bh.ipetecnologia.net> List-Archive: <https://groups.google.com/a/bh.ipetecnologia.net/group/sg/> List-Subscribe: <https://groups.google.com/a/bh.ipetecnologia.net/group/supporty/subscribe>, <mailto:supporty+subscribe@bh.ipetecnologia.net> List-Unsubscribe: <mailto:googlegroups-manage+407248796611+unsubscribe@googlegroups.com>, <https://groups.google.com/a/bh.ipetecnologia.net/group/sg/subscribe>

Der hat sich vor allen Dingen für Microsoft gelohnt.

Was willst Du erreichen? Lizenztechnisch ist das u.U. nicht erlaubt.

Was soll damit erreicht werden? Geht es um einen transparenten Proxy? Da würde ich einen echten Proxy mit Kerberos-Auth bevorzugen. Der kann dann über LDAP Gruppenzugehörigkeiten abfragen.

Es könnte etwas mit einer weiteren Härtung. Die Installation von Druckertreibern über diesen Weg ist seit die Bug ein Sicherheitsrisiko. Wir verbinden Drucker generell mit dem Logon-Script (und löschen sie vorher).

Ich denke an den Spooler CVE https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527 Due solltest Generell auf allen Servern den Spooler deaktivieren (außer dem PrintServer). Am Client sollte es die GPO geben, dass nur lokale Verbindungen erlaubt sind. Dann gibt es noch eine GPO, die definiert, von welchem Server Treiber installiert werden dürften. Steht im Link bzw. bei Google. Ich habe jetzt keine Zeit zum Raussuchen,

Falls Ihr die Software irgendwie nutzt: https://www.borncity.com/blog/2025/02/06/cyberangriff-auf-gfos-mbh-zeitwirtschaft-zugriffskontrolle/

Was mit noch einfällt: Unterstützt Windows XP embedded WebDAV? Vielleicht ist da ja eine Alternative.

Der Prozessor hat AVX2. Ist das eine VM? Ist AVX im Bios-Setup aktiviert (falls man es dort abschalten kann)? Bei der CPU sollte ein BIOS-Update mit einem aktuellen Microcode eingespielt werden: https://www.heise.de/select/ct/2024/20/2423208431489855752

Was willst Du denn für Lizenzen installieren?

Ja es lag RequireMutualAuthentication=0 Damit wird NTLM verwendet.

Eine Dumme Frage: Wenn wir im EA-Vertrag jährlich unseren Betrag zahlen, inkl. der E5-Lizenzen, sollte das doch abgedeckt sein?

Aktuell passt alles. Es steht auch wieder "Nego" in den Verbindungsdaten und lt. Kollegen klappt es auch, wenn man am Client NTLM filtert.

Sie waren "nicht erfolgreich". Wir haben 2FA. Und die Konten wurden alle als "lockout" geloggt.

Wenn ich das wüsste. Warten wir mal auf die Ergebnisse vom Test.

Hi, wir kämpfen gerade damit, Exchange Kerberos beizubringen. Unser DL hat da wohl was vergessen. Exchange liegt hinter einem Netscaler. Die initiale Anmeldung scheint nun zu klappen und man bekommt auch ein Kerberos-Ticket zu der URL vom internen Exchange. Im Verbindungsstatus der Mailboxen steht aber "Autologon*". Müsste da nicht "Nego*" stehen? Kollege soll nun mal probieren, auf einem Test-PC NTLM zu blockieren. Mal sehen... Danke im Voraus, -Zahni

Bei uns gab es auch nicht erfolgreiche "fasthttp" Versuche,

Keine Ahnung. Leider kann ich Security-Events nicht wirklich lesen, da für unser SIEM ein sehr ausführliches Logging konfiguriert wurde. Eins nach dem Anderen. Eigentlich hat mein Kollege heute damit angefangen und ich muss was Anderes machen. Natürlich war ich sein Opfer... Edit: Wahrscheinlich liegt es daran. Jetzt muss mein Kollege herausfinden, warum das bei uns auf 0 steht. Da gab es bestimmt einen Grund für... https://woshub.com/cant-access-domain-sysvol-netlogon-folders/

Hi, Aufruf BAT bzw. CMD beim User, Die Ausführung vom Script sieht man, bzw. eben nicht. Es wird synchron ausgeführt. Ich überlege geradem ob das was mit RequireMutualAuthentication zu tun hat.