Marco31

Hallo Forengemeinde, ich habe mal eine Frage an alle die Applocker einsetzen. Habt ihr auch die DLL-Regeln aktiviert oder habt ihr das nicht aktiviert? Wie sieht's mit der Performance bei aktivierten DLL-Regeln aus?

Kurze Rückmeldung. Das Problem hat sich gelöst. Nachdem Get-winevent nicht alle benötigten Infos geliefert hatte, habe ich noch mal das Script mit wevtutil neu erstellt. Ich hatte das ganze zwar schon mit "Microsoft-Windows-Applocker/EXE and DLL" versucht (ohne Ergebnis), aber erstaunlicherweise hat es bei diesem Anlauf funktioniert. Kann da nur nen Tippfehler oder einen Fehler beim kopieren vermuten. Hier jetzt der funktionierende Code, falls jemand mal ein ähnliches Problem hat Clear-Host # ======================== # Collection Data Section # ======================== Function EventID-To-HTML($ComputerName = $env:COMPUTERNAME) { $EventResult = wevtutil qe "Microsoft-Windows-AppLocker/EXE and DLL" /rd:true /c:1 /f:text /q:"*[System[(EventID=8003)]]" return $EventResult } # ====================== # Sending Email Section # ====================== $strFrom = "applocker@domain.de" $strTo = "username@domain.de" $strSubject = "*** Event Listener - Applocker 8003 ***" $strSMTPServer = "mailserver.domain.local" $objEmailMessage = New-Object system.net.mail.mailmessage $objEmailMessage.From = ($strFrom) $objEmailMessage.To.Add($strTo) $objEmailMessage.Subject = $strSubject $objEmailMessage.IsBodyHTML = $true $objEmailMessage.Body = EventID-To-HTML $objSMTP = New-Object Net.Mail.SmtpClient($strSMTPServer) $objSMTP.Send($objEmailMessage)

Doch, das Log existiert. Ich habe jetzt mal einen Ansatz mit Powershell. Der Befehl get-winevent -logname "Microsoft-Windows-AppLocker/EXE and DLL" | Where-Object{$_.id -eq 8003} | ft message bringt mir schon mal die gewünschten Daten. Wie bekomme ich jetzt diese Ausgabe in den Text-Teil meiner Email?

Ich muss gestehen dass ich nicht so unbedingt der Coder bin Habe da also wenig Erfahrung. Ich habe jetzt auch mal einen Versuch mit Powershell gemacht mit dem Befehl Get-EventLog -LogName '"Microsoft-Windows-AppLocker/EXE and DLL"' | Where-Object {$_.EventID -eq 8003} | Select-Object -Property Source, EventID, InstanceId, Message Hier moniert er aber dass das Eventlog nicht vorhanden sei. (Ich habe das ganze mit und ohne Anführungszeichen und wie angegeben versucht). Ich vermute hier einfach mal dass die hier die Leerzeichen im Eventlog-Namen das Problem sind... Anführungszeichen haben aber bisher nicht geholfen.

Hallo Forum, wir haben derzeit Software Restriction Policies im Einsatz. Wir werden unserer Clients nach und nach auf Windows 10 Enterprise upgraden, daher bin ich am testen zur Einführung von Applocker. Ein Problem ist aber jetzt folgendes: ich hatte für SRP eine Aufgabe per GPO verteilt, die beim loggen des Events 865 eine Mail verschickt. Funktioniert perfekt. Mail wird beim Event 8003 versendet, leider bekomme ich das Script nicht so hin, dass es mir z.B. für das Applocker-Event 8003 den Event-Text in die Mail schreibt. Kann mir dabei jemand helfen? Das Script sieht folgendermaßen aus (abgeleitet von https://community.spiceworks.com/how_to/128255-event-log-notification-e-mail-automatic-gpo) Clear-Host # ======================== # Collection Data Section # ======================== Function EventID-To-HTML($ComputerName = $env:COMPUTERNAME) { $EventResult = wevtutil qe Applocker /rd:true /c:1 /f:text /q:"*[Applocker[(EventID=8003)]]" return $EventResult } # ====================== # Sending Email Section # ====================== $strFrom = "applocker@domain.de" $strTo = "user@domain.de" $strSubject = "*** Event Listener - Applocker 8003 ***" $strSMTPServer = "mailserver" $objEmailMessage = New-Object system.net.mail.mailmessage $objEmailMessage.From = ($strFrom) $objEmailMessage.To.Add($strTo) $objEmailMessage.Subject = $strSubject $objEmailMessage.IsBodyHTML = $true $objEmailMessage.Body = EventID-To-HTML $objSMTP = New-Object Net.Mail.SmtpClient($strSMTPServer) $objSMTP.Send($objEmailMessage)

Das hat meine Fragen dann schon beantwortet

Hallo Forengemeinde, ich bin gerade dabei den Chromium Edge für die Verteilung in unserem Netzwerk zu testen. Funktioniert bis jetzt auch alles wie vorgesehen. Hätte da aber noch eine Frage zur Konfiguration der GPO's; konfiguriert ihr die auf Computerebene oder Benutzerebene?

Gerade mal bei mir nachgeschaut, hier liegt die System State Sicherung bei 11GB.

Was sagt der Hersteller? Email an Support wäre sicher ne Möglichkeit

So, auch wenn's keine Antworten gab will ich doch mal den Stand der Dinge posten. Ich hatte einen Call bei HPE aufgemacht, der zuständige Techniker hatte sich auch wirklich Mühe gegeben, alle möglichen Tests und Traces mit Wireshark gemacht. Letztendlich scheint das ganze mit dem NLA-Dienst zusammen zu hängen, wenn man nach NLA und Unidentified Network googelt hat man massig Treffer wie ich mittlerweile weiß, viele in Verbindung mit STP. Warum es bei einem (alten) Switch funktioniert und bei den neuen HPE1950 (Hersteller Comware) nicht erklärt das natürlich nicht direkt. Ist wohl so ein bisschen wie Roulette mit Switches/STP und NLA... Letztendlich hilft nur die Ports manuell auf Edge Port zu setzen.

Hallo Forum, ich habe vor kurzem zwei neue HP1950 Office Connect 48G Switches bekommen. Wir haben ein recht kleines Netzwerk, ich wollte aber trotzdem (um unfreiwillige Loops zu verhindern) STP aktivieren. Dabei habe ich aber folgendes Problem: Wenn ich STP aktiviere, finden meine Clients as Domänennetzwerk nicht mehr - die Netzwerkerkennung der Clients braucht ewig, am Ende wird nur "Nicht identifiziertes Netzwerk" erkannt. Stelle ich die entsprechenden Ports auf "Edge Port" funktioniert es. Jetzt wundert mich aber ehrlich gesagt dass es erst funktioniert nachdem ich die Ports manuell auf Edge umgestellt habe - bei den bisherigen HP-Switches hat das der Switch automatisch erkannt. Das Verhalten zeigen beide HPE1950, die Firmware ist aktuell. Hat jemand Erfahrung mit diesen Switches bzw. schon mal ähnliche Problem gehabt?

Du willst auf jeden Fall 2 DC. Und die sind nur DC. Grund: wenn einer Probleme macht, raus aus dem AD damit, neuen installieren und zum DC raufstufen. Und das geht nur dann So einfach, wenn er halt nur DC war...

Ich bin mit HPE seit Jahren zufrieden, sowohl Hardware als auch Support. Haben ML350 und DL380 und ne MSA2052

Wir haben bisher nur 1903 im Einsatz.

Also mir ist da was aufgefallen; bei deinem Screenshot auf der ersten Seite von den GPO's hast du wesentlich mehr Einstellungen als bei mir vorhanden sind - entweder bei dir ist da was falsch oder bei mir. Wobei ich meine von ner 1903er Maschine kopiert hatte...

Hier! OKI ML3391

Bist du dir denn sicher dass die gpo Einstellungen auf den Clients überhaupt abgewendet werden? Das liest sich für mich nicht so... Bei mir werden Updates um 12:00 installiert und nicht neu gestartet. Und das seit Jahren ohne Probleme...

Ich glaube das Kammergericht ist eher das negativ Beispiel schlechthin. Da sollen ja nicht mal funktionierende Backups vorhanden gewesen sein.

Gerade hier liegt ein Problem - man erkennt nicht mehr am Absender bzw am Betreff ob die Mail seriös ist. Sonst könnte man ja "seriöse" Absender in eine Whitelist einpflegen. Grundsätzlich muss man mittlerweile ja grundsätzlich jeder Email mit Links und/oder Dateianhängen misstrauen.

Hallo Forum, ich habe mich die letzten Tage mit dem Einrichten des Attachment Blocking bei externen Mails auf unserem Exchange 2016 (mit Trendmicro SMEX14) beschäftigt. Die üblichen Verdächtigen habe ich gesperrt - ausführbare Dateien, PDF mit Javascript, Office-Dokumente mit Makro. Da bisher alle .doc, docx, xls, xlsx etc. durchgegangen sind, möchte ich das natürlich im Hinblick auf die Sicherheit optimieren. Die Empfehlung lautet ja auch, die "alten" Office-Formate zu blocken, .doc, .xls etc. Das habe ich auch umgesetzt. Jetzt ist aber die letzte Frage die ich mir stelle: Kann ich die Formate .docx und .xlsx freigeben? Welche Gefahren können hier lauern und wie wird das in eurer Umgebung gehandhabt?

Da scheinst du wohl recht zu haben. Mal schauen was sich noch so findet. Aber auf jeden Fall schon mal vielen Dank für deine Mühe!!!

Ok, der alte Fehler ist weg, zwei neue tauchen auf Jetzt kommt "The reason of the failure was: Die Benennung "" wurde nicht als Name eines Cmdlet, einer Funktion, einer Skriptdatei oder eines ausführbaren Programms erkannt. Überprüfen Sie die Schreibweise des Namens, oder ob der Pfad korrekt ist (sofern enthalten), und wiederholen Sie den Vorgang.." Und das Script scheint in eine Endlosschleife zu laufen (...was ziemlich b***d war, da meine SharePoint Site Collection auf schreibgeschützt war und sich weder über GUI noch PowerShell wieder aktvieren ließ - konnte ich aber beheben, andere Geschichte.)

Leider war auch das nicht erfolgreich. Ich habe aber eines herausgefunden: in der spbrtoc.xml wird die StartTime im Format MM/dd/yyyy HH:MM:SS (01/29/2020 15:34:00) gespeichert. Ändere ich in der XML die Starttime in dd/MM/yyyy HH:MM:SS (29/01/2020 15:34:00), dann löscht das Script wie gewünscht die Backups. Es dürfte also daran liegen, dass das Script aus der spbrtoc.xml ein Datum im US Format erhält, das ganze aber als deutsches Format verarbeiten möchte. Oder unterliege ich da jetzt einem Denkfehler? Leider reichen meine PS-Kenntnisse nicht mal annähernd für die Änderung des Scripts :-(

@MurdocX: Habe die von dir im letzten Teil vorgeschlagene Änderung durchgeführt, bringt jetzt folgenden Fehler: The reason of the failure was: Ausnahme beim Aufrufen von "Parse" mit 1 Argument(en): "Die Zeichenfolge wurde nicht als gültiges DateTime erkannt.". Keine Angst, ich sichere NICHT auf den gleichen Server. Ich habe nur das Script in der Originalform ohne Namen/Pfadanpassungen gepostet

Sorry, das mit dem Code formatieren zu spät gelesen.... Wurde geändert! Die Frage ist da nur wo... Wenn ich $today = (Get-Date -Format yyyy-MM-dd) auf dd-MM-yyyy umstellen kommt der gleiche Fehler.