Security – Ronny Böttcher

Zeitbasierte Gruppenzugehörigkeit

1. März 202328. Februar 2023Ronny BöttcherLeave a Comment

Im Rahmen des sog. „Privileged Access Management“ gibt es ab Windows Server 2016 die Möglichkeit auch zeitbasierte Gruppenzugehörigkeit (engl.: „Timebased groupmembership“) zu verwenden. Standardmäßig ist dieses Feature deaktiviert und muss nachträglich aktiviert werden. Der Admin-Account, welcher verwendet wird, hat bei mir für diese Aktion folgende Gruppenmitgliedschaften: Einrichtung Mit folgendem Befehl kann herausgefunden werden, welche Abhängigkeit […]

Weiter lesen ...

Microsoft Defender Application Guard (MDAG)

6. Januar 202313. Januar 2023Ronny Böttcher3 Kommentare

Info vorab:Früher wurde der „Microsoft Defender Application Guard“ (MDAG) unter dem Namen „Windows Defender Application Guard“ (WDAG) angeboten. D.h. in älteren Windows-Versionen (insbesondere Windows 10) ist er unter dem alten Namen zu finden. Mit dem „Microsoft Defender Application Guard“ (kurz: „MDAG“) lassen sich Applikationen in besonders geschützten Umgebungen ausführen (sog. „Sandboxen“). Bekannt wurde dieses Feature […]

Weiter lesen ...

AD-Security: Verwendung von LAPS

1. Juni 20229. September 2022Ronny BöttcherLeave a Comment

Jeder Windows Client und Server hat automatisch bei der Installation einen lokalen Administrator. Häufig werden für diese Accounts die Kennwörter nie geändert oder sogar vergessen. Das stellt natürlich ein Sicherheitsrisiko dar. Microsoft hat hierfür die sog. „LAPS – Local Administrator Password Solution“ entwickelt, welche in regelmäßigen Abständen das Kennwort des lokalen Administrators ändern und zentral […]

Weiter lesen ...

Migration von VMs mit vTPM

9. März 20227. Mai 2022Ronny BöttcherLeave a Comment

Es steht mal wieder ein Wechsel der Labor-Umgebung an… das „alte“ Labor 3 (ab 2020) wird durch Labor 4 (ab 2022) ersetzt. Da ich mittlerweile sehr viele VMs mit virtuellem TPM aktiviert habe, stand ich erstmal vor einem Problem, denn die migrierten VMs (zum Glück erstmal nur drei zum Testen 😉) wollten nicht starten. Dank […]

Weiter lesen ...

Verarbeitungsreihenfolge der GPOs

2. März 202222. April 2022Ronny Böttcher1 Kommentar

Wenn man neue GPOs anlegt und sich dann wundert, warum diese auf dem Zielsystem nicht greifen, kann das an der Verarbeitungsreihenfolge liegen bzw. dass die neue GPO von einer anderen GPO „ausgehebelt“ wird. Die Verarbeitung findet in folgender Reihenfolge statt: Local Group Policy Site Group Policy Domain Group Policy Organizational Unit Group Policy Parent OU […]

Weiter lesen ...

01. Februar – Der „Ändere dein Passwort“-Tag

1. Februar 20221. Februar 2022Ronny BöttcherLeave a Comment

Same procedure as last year … same procedure as every year! Nun, gemeint ist hierbei nicht Silvester bzw. Neujahr – beides wäre auch ein Monat zu spät 😉Nein, gemeint ist damit die Erinnerung, dass man heute (am besten direkt jetzt gleich) seine Kennwörter bei allen wichtigen Diensten ändert. Der 1. Februar ist quasi der internationale […]

Weiter lesen ...

Domain Netzwerk wird auf Domain Controller nicht erkannt

19. Januar 202211. Januar 2022Ronny Böttcher1 Kommentar

Häufig passiert es gerade in virtuellen Testumgebungen, dass beim Starten des (einzigen) Domain Controllers das Firewall-Profil auf „Private“ anstelle „Domain“ steht. Hintergrund ist, dass der Dienst „NLA“ (= „Network Location Awareness“) gestartet ist, bevor Active Directory oder DNS gestartet ist. Manchmal hilft es, wenn das Startverhalten des Dienstes von „Automatic“ auf „Automatic (Delayed)“ gestellt wird. […]

Weiter lesen ...

Microsoft hackt sich in Windows 11 [onmsft]

14. Januar 202211. Januar 2022Ronny BöttcherLeave a Comment

Ich habe kürzlich einen interessanten Artikel im Internet zum Thema „Sicherheit auf Windows (11) Systemen“, den ich hier gerne teilen möchte. Kleiner Teaser: Einloggen am Windows-Client klappt mit einem Haribo-Gummibär! 😁 Link zum Original-Beitrag: Watch as Microsoft Tries to Hack Windows 11 (onmsft.com) – hier die deutsche Übersetzung und das Video: Eine der größten Kontroversen […]

Weiter lesen ...

Active Directory prüfen & aufräumen

8. Dezember 202117. Dezember 2021Ronny BöttcherLeave a Comment

Wie überall schadet es auch einem Active Directory nicht, wenn man es hin & wieder mal prüft und nicht mehr benötigte Dinge (bspw. alte Computer-Accounts oder Benutzeraccounts von ehem. Mitarbeitern) aufräumt. Man kann dies manuell tun, was unter Umständen recht aufwändig ist oder per einfacher PowerShell-Befehle. 1. Accounts, … Optional kann man die jeweiligen Ergebnisse […]

Weiter lesen ...

Einfache Namen für GPOs

1. Dezember 202122. April 2022Ronny Böttcher1 Kommentar

Wenn es um „einfache Namen“ für Dinge in der IT geht, kann man sicherlich tagelang darüber diskutieren – in diesem Artikel will ich ein Beispiel für die Benennung von GPOs vorstellen, welches ich seit einigen Jahren verwende, denn das ist für mich die Definition von „einfach“. Variante 1: „Sprechende“ Namen In diesem Beispiel wurde die […]

Weiter lesen ...