cj_berlin

Moin, wenn es wirklich knapp wird: mit den Netzern und der Architektur reden uns einen zweiten Scope für diese Themen etablieren? Und - hilft dir jetzt nicht beim konkreten Problem, aber das Beispiel zeigt gut auf, wo ihr Defizite habt: Dokumentation und Lifecycle. Das sollte man als Lessons Learned entsprechend verwerten 🙂 Wenn es nicht akademisch ist, sondern aus dem Alltag kommt, lässt sich so etwas viel besser verargumentieren...

Moin, Inaktiv bedeutet, dass es derzeit kein Lease zu dieser Reservierung gibt, daher kann eine aktive Reservierung durchaus wieder inaktiv werden.

Diese Sprachzensur-Vorrichtung treibt immer wieder lustige Blüten

Nur, dass Du, wenn Du es nicht bewusst und geregelt betreibst, die Angriffsfläche Deiner Umgebung noch einmal erweiterst. Denk daran, eine mit Weiter-Weiter-Finish installierte Enterprise CA ist sofort a. zur Ausstellung von Kerberos- (Smartcard-)Zertifikaten befähigt und b. so konfiguriert, dass der Beantragende die Namen selber festlegen kann. Wenn Du nicht vorhast, Smartcard-Authentifizierung auch wirklich zu nutzen, trage die CA daher am besten gleich nach der Installation aus dem NTAuth-Container aus. Ansonsten google mal nach capolicy.inf und installiere die CA erst mal "blank" und veröffentliche nur die Vorlagen, die Du wirklich brauchst, berechtigt nur für die User/Computer, die sie jeweils wirklich benötigen. Wie bereits gesagt wurde, die DCs haben sich vermutlich welche gezogen. Schmeiß sie einfach runter. Wenn eine Einrichtung LDAPS nutzen wollte, wüßtest Du es. Alles, was Domain Member ist, braucht kein LDAPS (siehe auch https://it-pro-berlin.de/2024/06/ldap-deaktivieren-ein-reality-check/).

Das ist halt nicht gottgegeben, sondern Snover-/Payette-gegeben. Wenn ich sage, ich gebe eine Collection zurück, von einem bestimmten Typ, ist es keine überzogene Erwartung, dass PowerShell sie nicht in ihren internen Array-Typ wandelt und dann mit anderen ähnlichen Ergebnissen zusammenrührt. Ja, wir wissen, dass das so ist, aber wir wissen ja auch, dass PowerShell viele Quirks hat, die nur mit "ist halt so" zu erklären sind.

Willkommen in der Welt der Defender Im Defender for Identity sollte es machbar sein, aber der "normale" Defender for Endpoint hat dieses Feature natürlich nicht, denn es ist nicht sein Anliegen... Wenn Du MDI nicht gebucht hast, musst Du es wohl basteln. Ein PowerAutomate-Job könnte das z.B. periodisch prüfen und eine Mail versenden.

Oder vielleicht sogar ohne JSON, ist ja dann dennoch nur ein Objekt pro Zielsitzung.

Nein, eher Dafür wird man dann schon mal als "der der es halt nicht besser kann" angesehen. aussm Ausgangspost. Ich wette, der TO hat's richtig verstanden, auch aus dem weiteren Text meiner Antwort

Ja, das sind Serialisierungsartefakte. Du könntest sowas machen: [PSCustomObject]@{ ComputerName = $env:COMPUTERNAME Result = $test } | ConvertTo-Json dort wo Du $test zurückgibst.

Ich weiß nicht, wer diese Position vertritt, abgesehen von Leuten, die Alternativprodukte verkaufen wollen. Die Windows Firewall ist ein probates Mittel. Das einzige, was am Konzept einer Host-Firewall (und nicht an der konkreten Implementierung in Windows) auszusetzen wäre, ist, dass eine potentielle Angreiferin dadurch evtl. Dinge über die Umgebung erfährt, die sie sich sonst erarbeiten müsste. Aber die Alternative ist eine Distributed Firewall auf Switch-Ebene, die virtuelle und physische Netze gleichermaßen beherrscht. Im virtuellen Bereich kenne ich das (ist aber alles andere als trivial), in der Physik wird die Luft sehr schnell sehr dünn. Rein aus Interesse: wer hat denn sowas gesagt?

Moin, SQL cacht Ergebnisse aller Leseabfragen, denn es könnte ja sein, dass man sie gleich nochmal benötigt. Es gibt vier PerfMon-Indikatoren, die Aufschluss darüber ermöglichen, was da abgeht: MSSQL$<Instanz>:Puffer-Manager: „Lebenserwartung der Seite“ und „Puffercache-Trefferquote“ --> besagen eigentlich das gleiche, nur aus unterschiedlichen Blickwinkeln. Wenn die Lebenserwartung hoch und die Trefferquote nah bei 100% liegt, wird der Cache zumindest genutzt MSSQL$<Instanz>:Memory Manager: „Zielserverspeicher“ und „Serverspeicher gesamt“ --> im Idealfall sind beide gleich und unterhalb des für die Instanz konfigurierten Höchstspeichers. Ich habe dazu vor 9 Jahren mal was für den IT-Administrator geschrieben.

Das schon, aber Du hast dann einige Features nicht zur Verfügung, die man vielleicht nutzen möchte Wenn man die nicht braucht, kann man es verwenden.

hilft also auch nix

Bei physischen Clients gehe ich mit. Server und vor allem VMs haben durchaus noch optische Laufwerke. Eine VM von USB booten zu lassen ist keine schöne Übung, vor allem wenn die VMs über mehrere Plattformen verstreut sind. Da ist ein ISO-File schon schön

Moin, wie ist der problematische (und gerne auch der unproblematische) Client mit Windows 11 betankt worden?

Moin, nochmal Firewall: was genau ist hier erlaubt? Alles, TCP+UDP, nur TCP, nur 3389/tcp? Was ist aus diesem Subnetz zu Domain Controllern hin erlaubt? Sind irgendwelche abenteuerlichen Konstrukte mit RODCs im Spiel?

Moin, mstsc /remoteGuard /prompt /v:meinserver.domain.de sollte eignetlich funktionieren. Oder einen Remote Desktop manager nutzen, der das unterstützt

Wenn man alles nur mit der GUI macht, stimmt es sogar

Die Schlüssellänge kannst Du auch ohne Neuinstallation ändern. Musst halt die CA-Zertifikate neu ausstellen, aber dann hast Du sogar fortlaufende Historie.

Es kommt darauf an, wie Dein Plan aussieht. Du müsstest ja, um die Außerbetriebsetzung abzuschließen, auch das Vertrauen zum Root entfernen. An dieser Stelle ist es dann egal, ob die Zertifikate zurückgezogen wurden oder nicht. Wenn Du möchtest, dass der Zertifikatsstatus überhaupt geprüft wird, musst Du das Vertrauen in das Root-Zertifikat aufrecht erhalten, solange ein von der PKI signiertes Zertifikat noch im Umlauf ist. In jedem Fall wird es Fehlermeldungen geben. Wie von @Dukel angemerkt, zuerst alle Zertifikate tauschen, DANN die PKI abbauen, nach welchem Schema auch immer.

das ist halt nicht ohne weiteres möglich, wenn es um User geht... schade, dass ein so fortgeschrittener VPN-Client wie NCP scheinbar auch nichts dazu tut :-(

Moin, wenn Du die URL noch hast --> Wayback Machine vielleicht?

Das würde ich auch so sehen.

...und wenn dem so ist, hast Du einen konkreten Anlass, da irgendwelche Schrauben noch weiter anziehen zu müssen? Weil, wenn der *einzige* Effekt der von Dir ursprünglich eingebrachten Einschränkung sein wird, dass *Du* mehr Arbeit hast, hat niemand was gewonnen...

Moin, das mit den Steinen klingt in Theorie gut. In der Praxis ist die Frage allerdings immer, stört der Stein einen potentiellen Angreifer mehr oder weniger als einen legitimen User - oder sogar den Steineleger selbst, also Dich. Denn etwas, was den User behindert, den Angreifer aber nur kurz schmunzeln lässt, bringt keine Punkte und senkt die Akzeptanz des Gesamtkonzepts. Denkt man Deine Idee zu Ende, so müsste die Konfiguration für lokale Administratoren enger gezurrt sein als für Normalbenutzer, denn jemand, der lokale Adminrechte hat, kann mit demselben Werkzeug mehr Schaden anrichten. Er kann auch beispielsweise die Konfiguration, die Du für lokale User gemacht hast, aufheben. Das wäre auch kein Problem, wenn beispielsweise jegliche legitime Administration im SYSTEM-Kontext durch einen Agenten durchgeführt wird. Da braucht es im Zweifel gar keine lokalen Admins auf einer Maschine. Hier ein 2 Jahre alter Beitrag: https://happycamper84.medium.com/powershell-without-powershell-e50c5c99c79f und davon gibt es tonnenweise. Alle kommen zu demselben Schluss: wenn die Rechte fehlen, nützt das Tool nichts - andersherum stimmt das aber nicht. WDAC und AppLocker arbeiten am besten zusammen, indem man mit WDAC eine statische Whitelist pflegt ("alles, was bekannt und für irgendwas gut ist") und darüber mit AppLocker eine dynamische Blacklist legt (zum Beispiel, unterschiedlich für User und Administratoren - oder für die Lizenz-Compliance). AppLocker hat das grundsätzliche Problem, dass es von AppIdSvc abhängt, weswegen ich damit niemand Whitelisting machen würde. Blacklisting geht aber, ist halt nicht so wirkungsvoll. AUSSERDEM: Ich weiß nicht, wie euer Helpdesk agiert, aber als ich regelmäßig mit 1st Level zu tun hatte, war "machen Sie die Kommandozeile auf und führen Sie folgendes aus" der häufigste Spruch am Telefon, gleich nach "ist erledigt, Ihr Passwort ist erst mal wieder das Startkennwort, Sie müssen es nach der Anmeldung gleich ändern".