wznutzer

Guten Tag zusammen, vor kurzem ist mir aufgefallen, dass Firefox beim Besuch von Webseiten (auch seriöse) eine Firewall-Regel für eingehende Verbindungen anlegen will. Standardmäßig macht das die Installation für den Bereich"privat". Wenn man nun aber im Profil "öffentlich" oder "Domäne" surft, will Firefox je nach Webseite das auch für dieses Profil anlegen. Ich bin mir sicher, dass es keine Malware/Plugin oder ähnliches ist, weil sich das Verhalten auch auf frischen AWS-VMs nachvollziehen lässt. Im konkreten Fall ging es um die Webseite von MediaMarkt. Die Abfrage kommt auch schon bevor man den Cookie-Banner bestätigt hat. Ich glaube es liegt an WebRTC, jedenfalls kann man mit about:webrtc ein Protokoll aktivieren und anzeigen und da werden dann Verbindungen protokolliert. 1) Hat das auch schon mal jemand beobachtet? Ich bin mir nicht sicher, ob sich dadurch eine Aufgabenstellung für Unternehmensnetzwerke ergibt, standardmäßig haben die User gar keine Berechtigung solche Regeln anzulegen. Alternativ könnte man das auch pauschal deaktivieren. Im Firefox z. B. mit media.peerconnection.enabled=false 2) Ich weiß gar nicht, ob ich will, dass solche Verbindungen zustande kommen. Mithilfe von STUN- oder TURN-Server geht das ja auch an den Firewalls vorbei. Grüße und einen schönen Tag

Falls Deine Umgebung nicht so riesig ist, spiele das doch einfach in einer Kopie, z. B. in einem VLAN durch. Du kannst auch das Blech in eine VM packen. Nur aufpassen, dass die Kopien nicht versehentlich in das Originalnetz sprechen. Ich habe nicht nur ein Lab das ähnlich ist, sondern exakt identisch, weil ich hin und wieder das Original kopiere bzw. vom Backup wiederherstelle. Führt nebenbei zu Routine im Wiederherstellungsprozess, prüft Deine Backups und lässt Dich Tag X entspannter entgegensehen.

Das ist, finde ich, eine schöne Zusammenfassung wie so ein Prozess ablaufen kann .

Bei den eigenen Leuten ist das so und jetzt steht die große Welt mit BYOD vor der Tür. Leider ist das so .

Leider noch eine bekannte Schwachstelle. Zur Klarstellung: Du meintest damit die Authentifizierung der zugreifenden Geräte?

Ja, gut zusammengefasst . Darum geht es mir. Deswegen bekommen die BYOD-Leute einen Bereich der sich von den anderen unterscheidet. Der Gedanke was da an Trennung notwendig ist, musste reifen und die Diskussion hat dazu beigetragen. Der Begriff BYOD ist mir nur nicht eingefallen, weil es so gesehen gar nicht um intern/extern geht. Interne BYOD-Leute würde ich auch so sehen.

Ich glaube, wir ticken hier einfach anders. Für mich spielt es eine Rolle wie wahrscheinlich es ist, dass Zugangsdaten abgegriffen werden können. Im einen Fall wird bereits auf den zugreifenden Geräten versucht das Abgreifen von Zugangsdaten zu verhindern. Im zweiten Fall gibt es diese Hürde nicht und ich rechne mit einem höheren Risiko von kompromittierten Zugangsdaten.

Windows-Forms-Anwendung (*.exe, *.dll). Grundsätzlich würde das gehen, z. B. VPN mit MFA und dann die Anwendung auf MS SQL und ein paar Verzeichnisse. Habe ich schon getestet. Die Performance ist allerdings schlecht und die Anwedung kommt nicht mit Verbindungsabbrüchen zurecht (z. B. Mobilfunk im Zug). Der RDS HTML5 Client kommt ziemlich gut mit Verbindungsabbrüchen zurecht. Ich mache das so: separater RDS im eigenen Netzwerksegment RDS mit Applocker, kein Internet, Verhaltensüberwachung usw. RDS darf nur mit DB und AD sprechen AD mal mit Purple Knight oder Forest Druid, PingCastle checken (win-win sozusagen) HTML5-Client hinter Azure App-Proxy. Das streichelt etwas die Paranoia, weil die MFA des RDS-Gateway "nur" eine Nachricht zur Bestätigung ist und nicht wie der MS-Login mit einer individuellen Zahl . Grüße an alle

Ich sehe das nur als technisches Problem. Externe Vertriebler, Marketingleute arbeiten täglich mehrere Stunden im ERP. Die Aufgabe ist nun: Stelle einen Bereich für das ERP zur Verfügung in dem möglichst nichts passieren kann, auch wenn die Zugangsdaten in die Hände einer Ransomware-Group fallen. Die externen Vertriebler sind anständige Leute und machen nichts böses, die sind nur vielleicht mal unachtsam. Warum der Unterschied zu eigenen Leuten? Eigene Leute arbeiten auf zugenagelten und überwachten Geräten. Die Externen arbeiten auf irgendwas, weil die das wollen und sonst nicht für uns arbeiten. Und wir alle wissen, dass die Geschwister "Ich habe doch nur..." und "Ich wollte nur kurz..." der Anfang vom Übel sein können. Vielen Dank nochmals für die Tipps und die rege Teilnahme

Kleines Missverständnis, alles gut . Ja, genau Ich denke über so Sachen nach, dass z. B. über die ERP-Anwendung ein FileDialog geöffnet werden kann und darin dann ein fast vollwertiger Explorer zur Verfügung steht, was irgendwie dann auch Zugriff auf die Umgebung ist. Ich weiß ja nicht, was die bösen Buben alles können, aber einige von denen können wohl viel.

Ob mir das hilft muss ich noch überlegen. Die ERP-Software hat keine Webschnittstelle (Windows-Forms-Anwendung). Die Webschnittstelle wäre der HTML5-Client der auf einem RDS-Gateway installiert werden kann, aber auch der macht ja dann "nur" RDP in "mein" Netz. Der HTML5-Client wäre in diesem Fall nur ein Gimmick. Sicherheitstechnisch bringt mir das nur was, wenn ich den Zugang hinter einen Azure-App-Proxy packe. Dann gibt es einen regulären Microsoft-Login mit ein einzutippenden Zahl, während die RDS-MFA "nur" eine Pushnachricht ist.

evtl. Denkfehler meinerseits? Ich dachte so an: "Hilfe, ich komme nicht mehr an meine Daten!" Und dann gibt es Support um wieder an die Daten zu kommen. Aber Du hast Recht. Dell würde ja auch nur dafür sorgen, dass die Kiste bei einem Hardwaredefekt wieder läuft und den Rest muss ich selber machen. Muss ich mir nochmals überlegen.

Guten Tag, ich hoffe ich habe das richtige Forum erwischt. Man sagt ja, dass die Frage nicht "ob" sondern "wann" lautet, bis es einem mit Ransomware erwischt. Diese Sache mit einem Immutable Storage würde mir sehr gut gefallen. Mit Veeam ist das auch schick nutzbar. Es gibt von Veeam auch prima Anleitungen wie das ohne viel Geld mit einem Linux-Blech umgesetzt werden kann. Die haben das sogar in einem Installationsscript zusammengefasst. Funktioniert prima, alles gut. Da es mich aber vor dem schlimmsten aller Unfälle bewahren soll, wäre eine Lösung mit Support schön. Qnap mit Veeam soll lt. den Veeam-Foren eher schlecht als recht funktionieren. Ich finde leider keinen Anbieter (On-prem) bei dem es nicht schnell sechsstellig (Dell ECS) wird. Scheint eine Enterprise-Sache zu sein. Mein derzeitiges Immutable-Backup ist old school mit LTO7 und wechselnden HDDs im Tresor. Ist auch OK, aber halt nicht automatisch. Hat jemand zufällig eine Lösung in Betrieb die so 50 TB umfasst und < 20.000€ kostet? Grüße und noch einen schönen Tag.

Guten Morgen, herzlichen Dank für den regen Austausch. Die kaufmännische Seite hat da Verträge, aber ein Vertrag ist für meine Bedenken nur dazu da um einen Schuldigen zu finden. Er verhindert ja nichts. Nein. Das wäre mein Traum . Nochmals Danke für die ausführliche Antwort. Vom Rest habe ich tatsächlich schon einiges umgesetzt (Tier-Konzept, MFA, Clients teilweise separiert usw.). Um zwei Dinge werde ich mich unabhängig davon kümmern. Evtl. mag mich jemand noch in die richtige Richtung schubsen. AD-Objekte per LDAP auslesen verhindern: Hätte mir da jemand einen Link über weitere Informationen? Druckspooler: Ist das (Printnightmare mal außen vor) ein generelles Sicherheitsproblem? Meine Eingangs erwähnte Variante, ein komplettes AD neu aufzubauen habe ich nach dieser Diskussion verworfen. Das halte ich dann doch für übertrieben. Ich werde wohl einen separaten RDS in einem eigenen VLAN dafür richten und den möglichst so zunageln, dass dieser zwar alles nötige nutzen kann, aber auch nicht mehr. Weiterer Aufwand ist dann wohl besser in Dinge investiert, die generell nicht nur für den Fall "extern" was bringen. Kennt hier jemand das Tool Purple Knight oder Forest Druid? Empfehlenswert für die AD-Sicherheit? Es wird in einem Blog erwähnt: https://www.semperis.com/de/category/ad-security-101/ Die Lizenzen sind safe. Die Leute machen unsere Arbeit. Das wollte ich jetzt nicht hören . Vielen Dank nochmals an alle.

Vielen dank für den regen Austausch. Ich glaube, ich habe einen etwas anderen Bedarf. Bei mir geht es um Vertrieb und Marketing. Die arbeiten dauerhaft, geben Leads ein, erstellen Angebote, Aufträge, aber sind halt externe Agenturen / Fachhändler. Wenn ich das richtig verstehe, gibt es bei den vorgeschlagenen Vorgehensweisen keinen Schutz vor Böswilligkeit, es gibt einen Vertrauensvorschuss. Bisher lassen wir grundsätzlich keine Dritten ins Netz. Klappt ganz gut, außer Veeam besteht bei manchen Case auf eine Webex-Sitzung. Selbst das machen wir dann nur im Ansichtsmodus und hinterher wird die VM zurückgesetzt. Die Idee war möglichst eine Konfiguration zu haben, die im schlimmsten Fall kompromittiert ist und sich nicht auf den Rest auswirkt. Also es soll selbst dann sicher sein, wenn jemand absichtlich versucht etwas anzustellen. Das scheint eher unüblich zu sein. Auch die Dienstleister sagen, bei allen anderen gibt es einen Zugang wie für jeden regulären Mitarbeiter (VPN, RDP auf RDS fertig). Darf ich die Diskussion nochmals in eine Richtung lenken. Ich tendiere noch immer dazu den RDS in einem VLAN zu separieren. Um den SQL-Port mache ich mir weniger sorgen, aber ich brauche halt auch Ports zum AD: TCP 135 Microsoft RPC TCP/UDP 49152 – 65535 RPC Dynamic Ports TCP 88 Kerberos TCP 389 LDAP UDP 53 DNS TCP 445 SMB Gibt es da etwas besonderes zu beachten (aktuelle Systeme, komplexe und lange Passwörter)? Danke und ein schönes Restwochenende

Es benötigt einen Client, eine ganz normale Windows-Forms Anwendung. Deswegen der RDS. Für das was getan werden muss, ist jedoch ein Browser ausreichend. Ich dachte, ich mache das über den HTML5-Client, gebe aber nicht den kompletten Desktop frei, sondern nur die Anwendung (Remote-App). Im Prinzip will ich mich vor dem Szenario schützen, dass im schlimmsten Fall der Anwender böswillig handelt oder seine Zugangsdaten unvorsichtig weitergibt. Auch dann soll möglichst nichts passieren können. Aber vielleicht übertreibe ich auch.

Tatsächlich nur ERP (Vertrieb, Marketing) keine Dienstleister die irgendwas an der Infrastruktur mitarbeiten müssen.

D. h. die Überlegung, dass ein evtl. kompromittierter RDS "nur" mit einem RODC und nicht mit den anderen RWDC kommunizieren darf ist praktisch wertlos? Würde der RODC kompromittiert, ist es dann nicht egal ob dieser physikalisch oder virtuell an einem "unsicheren Ort" steht?

Eine weitere Erkenntnis: Es betrifft tatsächlich nur HDDs, also Magnetfestplatten. Wir machen das jetzt organisatorisch. Die User behalten das jetzt einfach im Blick und entsperren die HDD erneut.

Habe ich irgendwie einen Knoten im Kopf, ob das reicht. Applocker, hoffentlich korrekt konfiguriert keine Ordner auf C:\ anlegen keine cmd.exe kein Internet eigenes VLAN und nur zulassen was für das AD, Virenscanner, den Remote-Zugriff und die ERP-Software nötig ist. Zugriff nur auf die ERP-Anwendung (Remote-App) Ich überlege, ob ich in das VLAN einen schreibgeschützten DC packen kann. Dann darf der RDS nur mit dem RODC kommunizieren. Bringt ein schreibgeschützter DC im separaten "extern VLAN" in solch einem Szenario einen Sicherheitsvorteil?

Wenn man der VM kurz das Netz nimmt, dann kann die Aufgabe gespeichert werden und funktioniert dann auch, seltsam.

Ich muss mir das nochmals überlegen, ob ich da nicht ein wenig übertreibe. Die vorgeschlagenen Lösungen basieren ja darauf, dass die externen User im Prinzip wie interne behandelt werden. Evtl. mit zeitlicher Beschränkung oder auch nicht. Aber sie sind im Netz und können dann das tun was eben User tun können die im internen Netz sind. Ich unterstelle den externen weniger Achtsamkeit als den direkt angestellten Kollegen und will die gar nicht im Netz haben. Vielleicht liege ich da aber falsch. Sinn war war zu erfahren, wie das sonst so gehandhabt wird. Vielen Dank dafür.

Hallo zusammen, schon ein paar mal ist mir aufgefallen, dass beim Anlegen eines Tasks sich das MMC der Aufgabenplanung komplett aufhängt, wenn ich den Task ohne Anmeldung (unabhängig von der Benutzeranmeldung ausführen) ausführen will. Die Aufgabe kann dann nicht gespeichert werden, es hängt direkt nach der Eingabe des Passwortes. Ich hatte das hin und wieder schon unter 2012R2 und jetzt auch wieder unter W2K22. Bisher hat geholfen den Dienst der Aufgabenplanung neu zu starten (psexec -i -s) oder auch manchmal den ganzen Server. Nun aber hilft das alles nichts. Nach Eingabe des Passwortes hängt sich alles auf. Im Eventlog ist nichts zu erkennen. Tritt bei lokalen und/oder Domänenaccounts auf Kennt jemand von euch dieses Problem? Danke und Grüße

Das ist dann eher das Szenario, dass ein Dienstleister bei einem ganz bestimmten Problem (z. B. Hersteller von ERP-Software usw.) hilft, richtig? Bei mir sind es eher Vertriebler, Marketing, die im ERP-System dauerhaft mitarbeiten sollen. Aber danke für den Tipp, ich habe schon davon gehört, aber nicht gedacht, dass das breit verwendet wird.

Hallo und guten Tag, mich würde interessieren wie die Zugriffe von externen Dienstleister / Freelancer bei euch geregelt sind. Ich hatte das bisher nicht. Aber nun sollen auch externe Dienstleister Zugriff auf unsere ERP-Lösung erhalten. Die Leute sind nicht am Standort. Möglicheit 1 So handhaben wie alle anderen Kollegen im Außendienst auch, also VPN oder RDS-Gateway mit MFA und Zugriff auf einen RD-Sessionhost. ==> Gefällt mir irgendwie gar nicht, weil es halt "externe" sind und die Kollegen das z. B. nur mit per Azure verwalteten Geräten machen. Die "externen" wollen aber ihre eigenen Geräte nutzen. Möglichkeit 2 Ich bastel mir ein separates VLAN in das sich die Externen einwählen können, die haben dann ein eigenes AD, einen eigenen RD-Sessionhost und es gibt "nur" die Tür SQL-Server für das ERP in das Produktivnetz. ==> Gefällt mir von der Trennung her gut, aber es ist halt auch Aufwand. Möglichkeit 3 Eine andere Lösung die ich derzeit noch nicht kenne? Es geht um 4 Leute. Der RD-Sessionhost wäre in allen Fällen "nur" per HTML5-Client für den RD-Gateway erreichbar. Applocker usw. ist sowieso auf den RD-Sessionhost aktiv. Grüße und noch einen schönen Tag.