Zeitbasierte Gruppenzugehörigkeit

Im Rahmen des sog. „Privileged Access Management“ gibt es ab Windows Server 2016 die Möglichkeit auch zeitbasierte Gruppenzugehörigkeit (engl.: „Timebased groupmembership“) zu verwenden. Standardmäßig ist dieses Feature deaktiviert und muss nachträglich aktiviert werden. Der Admin-Account, welcher verwendet wird, hat bei mir für diese Aktion folgende Gruppenmitgliedschaften: Einrichtung Mit folgendem Befehl kann herausgefunden werden, welche Abhängigkeit […]

Weiter lesen ...

Microsoft Defender Application Guard (MDAG)

Info vorab:Früher wurde der „Microsoft Defender Application Guard“ (MDAG) unter dem Namen „Windows Defender Application Guard“ (WDAG) angeboten. D.h. in älteren Windows-Versionen (insbesondere Windows 10) ist er unter dem alten Namen zu finden. Mit dem „Microsoft Defender Application Guard“ (kurz: „MDAG“) lassen sich Applikationen in besonders geschützten Umgebungen ausführen (sog. „Sandboxen“). Bekannt wurde dieses Feature […]

Weiter lesen ...

AD-Security: Verwendung von LAPS

Jeder Windows Client und Server hat automatisch bei der Installation einen lokalen Administrator. Häufig werden für diese Accounts die Kennwörter nie geändert oder sogar vergessen. Das stellt natürlich ein Sicherheitsrisiko dar. Microsoft hat hierfür die sog. „LAPS – Local Administrator Password Solution“ entwickelt, welche in regelmäßigen Abständen das Kennwort des lokalen Administrators ändern und zentral […]

Weiter lesen ...

Verarbeitungsreihenfolge der GPOs

Wenn man neue GPOs anlegt und sich dann wundert, warum diese auf dem Zielsystem nicht greifen, kann das an der Verarbeitungsreihenfolge liegen bzw. dass die neue GPO von einer anderen GPO „ausgehebelt“ wird. Die Verarbeitung findet in folgender Reihenfolge statt: Local Group Policy Site Group Policy Domain Group Policy Organizational Unit Group Policy Parent OU […]

Weiter lesen ...

01. Februar – Der „Ändere dein Passwort“-Tag

Same procedure as last year … same procedure as every year! Nun, gemeint ist hierbei nicht Silvester bzw. Neujahr – beides wäre auch ein Monat zu spät 😉Nein, gemeint ist damit die Erinnerung, dass man heute (am besten direkt jetzt gleich) seine Kennwörter bei allen wichtigen Diensten ändert. Der 1. Februar ist quasi der internationale […]

Weiter lesen ...

Domain Netzwerk wird auf Domain Controller nicht erkannt

Häufig passiert es gerade in virtuellen Testumgebungen, dass beim Starten des (einzigen) Domain Controllers das Firewall-Profil auf „Private“ anstelle „Domain“ steht. Hintergrund ist, dass der Dienst „NLA“ (= „Network Location Awareness“) gestartet ist, bevor Active Directory oder DNS gestartet ist. Manchmal hilft es, wenn das Startverhalten des Dienstes von „Automatic“ auf „Automatic (Delayed)“ gestellt wird. […]

Weiter lesen ...

Microsoft hackt sich in Windows 11 [onmsft]

Ich habe kürzlich einen interessanten Artikel im Internet zum Thema „Sicherheit auf Windows (11) Systemen“, den ich hier gerne teilen möchte. Kleiner Teaser: Einloggen am Windows-Client klappt mit einem Haribo-Gummibär! 😁 Link zum Original-Beitrag: Watch as Microsoft Tries to Hack Windows 11 (onmsft.com) – hier die deutsche Übersetzung und das Video: Eine der größten Kontroversen […]

Weiter lesen ...

Active Directory prüfen & aufräumen

Wie überall schadet es auch einem Active Directory nicht, wenn man es hin & wieder mal prüft und nicht mehr benötigte Dinge (bspw. alte Computer-Accounts oder Benutzeraccounts von ehem. Mitarbeitern) aufräumt. Man kann dies manuell tun, was unter Umständen recht aufwändig ist oder per einfacher PowerShell-Befehle. 1. Accounts, … Optional kann man die jeweiligen Ergebnisse […]

Weiter lesen ...