werniman
Goto Top

GPO zu ExtensionID finden ?

Hallo,
bei uns ist es so, dass sich der Chef und ich die IT-Aufgaben teilen. Kürzlich war es mal wieder soweit...ein Verschlüsselungstrojaner hat zugeschlagen (zum 3.Mal in 1,5 Jahren und zum 1.Mal in meiner Amtszeit). Nun, die meisten Sachen konnte ich wiederherstellen, aber Cheffe hat schmerzlich gelernt, dass eine Capacity Edition bei der Backupsoftware im Firmenumfeld eher nachteilig sind. Sprich:Es wurde nur 1x pro Woche ein Vollbackup und dazwischen nur inkrementelle Backups gemacht, alles maximal 2 Wochen aufgehoben. Wir konnten zwar die meisten Sachen wiederherstellen, aber er war damals so "genial", vom Domänencontroller nur 2 Ordner zu sichern, die als Netzlaufwerk auf die Clients gemappt werden. Es kam wie es kommen musste: der Trojaner hatte sich natürlich auch am DC vergriffen und ich bin noch immer dabei, die letzten Probleme wieder zu beheben.

Eins davon ist, dass seit dem "Crash" die Gruppenrichtlinien nicht mehr vollständig umgesetzt werden. Momentan betrifft das Gottseidank "nur" ein paar Netzlaufwerke und die freigegebenen Drucker, nervig ist es trotzdem.
Momentaner Stand ist der, dass die GPOs nicht umgesetzt werden, wenn sie Einstellungen im Bereich Benutzerkonfiguration/Einstellungen enthalten. Das ist insbesondere dahingehend blöd,weil dort neben den Netzlaufwerken auch Druckereinstellungen getätigt werden...und von beiden Sachen haben wir mehr als genug. Alle Einstellungen in diesen Bereichen werden einfach ignoriert. Von den in diesem Abschnitt vorhandenen Optionen nutzen wir in erster Linie die Verteilung von Netzwerkfreigaben als Netzlaufwerk und die Verteilung von Druckern.


Wenn ich GPOs anlege und mit gpupdate /force auf den Clients aktualisiere, kriege ich die Meldungen "Fehler beim Anwenden der Scripts-Einstellungen" bzw "Fehler beim Anwenden der Group-Policy Printers-Einstellungen". Ein Blick in die Ereignisanzeige verrät mir, welche Ordner da vermisst werden, doch unter \\DC\SYSVOL\Domänenname\Policies sind sie nicht vorhanden (und auch sonst nirgends auf dem Rechner). Natürlich hab ich schon ein wenig gegoogelt,wonach das Problem wohl am einfachsten zu beheben wäre, indem man die "alte" GPO einfach löscht und neu anlegt. Würde ich auch gerne machen, aber wir haben dutzende GPOs,die sich mit Netzlaufwerken bzw Druckern befassen. Sprich: ich möchte optimalerweise nur das neu erstellen,was auch defekt ist.
Wie finde ich am Einfachsten raus, welche GPO zu der in der Ereignisanzeige angegebenen ExtensionID gehört ?

Ach ja...BS des DC ist Win Server 2012 R2.

Content-ID: 393984

Url: https://administrator.de/contentid/393984

Ausgedruckt am: 08.11.2024 um 13:11 Uhr

emeriks
emeriks 27.11.2018 um 15:33:32 Uhr
Goto Top
Hi
Zitat von @Werniman:
Wenn ich GPOs anlege .......
doch unter \\DC\SYSVOL\Domänenname\Policies sind sie nicht vorhanden
Das suggeriert mir, dass die GPO MMC mit einem anderen DC arbeitet, als Du, wenn Du in den SYSVOL-Ordner schaust. Und diese beiden DC haben ein Replikationsproblem untereinander.

Überprüfe mal die DCs. Lass auf jeden mal DCDIAG laufen.

E.
Pjordorf
Pjordorf 27.11.2018 um 15:48:50 Uhr
Goto Top
Hallo,

Zitat von @Werniman:
(zum 3.Mal in 1,5 Jahren und zum 1.Mal in meiner Amtszeit).
Hat schon der erste nicht für ein umdenken gereicht?

dass eine Capacity Edition
Was ist denn das?

der Trojaner hatte sich natürlich auch am DC vergriffen
Durfte der das denn?

Ein Blick in die Ereignisanzeige verrät mir, welche Ordner da vermisst werden, doch unter \\DC\SYSVOL\Domänenname\Policies sind sie nicht vorhanden
Und wie sollen diese nicht vorhandenen GPOs dann angewendet werden und Fehler auslösen?
Gibt es mehr als einen DC bei euch?

Wie finde ich am Einfachsten raus, welche GPO zu der in der Ereignisanzeige angegebenen ExtensionID gehört ?
https://social.technet.microsoft.com/Forums/en-US/c3ece6cf-289e-40f4-962 ...

Gruß,
Peter
Werniman
Werniman 28.11.2018 um 10:23:12 Uhr
Goto Top
Zitat von @Pjordorf:

Hallo,

Zitat von @Werniman:
(zum 3.Mal in 1,5 Jahren und zum 1.Mal in meiner Amtszeit).
Hat schon der erste nicht für ein umdenken gereicht?

Offenbar nicht. Ich bin jetzt seit Mai in dieser Firma hier und wenn ich mir anschaue, was dokumentiert wurde, dann ist das ein Trauerspiel. Die existiert nämlich fast nicht. Mein Chef, der die IT hier vor meiner Zeit betreut hat, hat eine recht merkwürdige Einstellung dazu. Jedes Stück Papier, das jemals in Zusammenhang mit der IT-Anlage stand, wurde aufgehoben, dafür wurde (fast) nichts dokumentiert, was am System gemacht wurde, was vorgefallen ist usw. Das fängt schon bei recht einfachen Infos an (etwa auf welchem Fileserver/SQL-Server welches Programm seine Daten ablegt). Erschwerend kommt hinzu, dass die Kompetenzen weiterhin geteilt sind,d.h. manche Aufgaben behält sich der Chef selbst weiter alleine vor. Das reicht von Zugängen zu bestimmten Programmen bzw hin zu einem simplen Neustart der virtuellen Server auf dem VM-Server. Im Normalbetrieb ist das kein SO großes Problem, aber zur Zeit bekommen wir die Quittung dafür,weil er zur Zeit schwer erkrankt im Krankenhaus liegt und nix machen kann. Wenn also ein Problem auftritt, dass in seinem Zuständigkeitsbereich liegt, haben wir ein echtes Problem.


dass eine Capacity Edition
Was ist denn das?

Als Backupsoftware kommt bei uns "Veritas Backup Exec 15" zum Einsatz. Die Capacity-Edition ist eine Art abgespeckte Version, die nur 1TB Plattenplatz verwalten kann. Sprich: sämtliche Server werden bei uns auf nur 1TB Backupplatz gesichert. Da müssen dann entweder Abstriche im Umfang der Backups, der Backuphäufigkeit oder der der Aufbewahrungsdauer gemacht werden. Nach dem aktuellen Zwischenfall hat sich Cheffe nun endlich durchgerungen, nach seinem Krankenhausaufenthalt (Herzinfarkt vor 2 Wochen..) da was zu verändern.



der Trojaner hatte sich natürlich auch am DC vergriffen
Durfte der das denn?

Die User arbeiten bei uns auf Terminalservern. Dabei haben die User üblicherweise ihre eigenen Benutzerkonten,aber einige Programme haben auch eigene Domänenkonten. So zum Beispiel das von der Personalabteilung benutzte Verwaltungsprogramm. Über die Ereignisanzeige konnte man im Nachhinein sehen, dass eine Art Brute Force-Angriff stattgefunden hat, d.h. da waren einige Loginversuche mit Usernamen vermerkt, die es in dieser Art und Weise bei uns nicht gibt: Admin00, Administrador (ja..das kleine d stand da wirklich so!) und einige Vornamen ala "Sharon","Shelley" usw als Username. Erfolg hatten sie dann offenbar beim Account, den das erwähnte Personalabteilungsprogramm benutzt, zumindest wurde der Trojaner im Taskmanager unter diesem Account als laufend angezeigt. Von dort aus hat sich der Trojaner dann durch die mit seinen Benutzerrechten verfügbaren Netzwerkfreigaben "gewühlt" und alles verschlüsselt, was erreichbar war. Dazu gehörten auch einige Ordner auf dem DC, welche erreichbar waren (z.B. der Sysvol-Ordner).

Ein Blick in die Ereignisanzeige verrät mir, welche Ordner da vermisst werden, doch unter \\DC\SYSVOL\Domänenname\Policies sind sie nicht vorhanden
Und wie sollen diese nicht vorhandenen GPOs dann angewendet werden und Fehler auslösen?
Gibt es mehr als einen DC bei euch?

Wir sind im Grunde 2 Firmen unter einem Dach. Firma 1 ist das Mutterunternehmen, während Firma 2 das Tochterunternehmen ist. Beide Unternehmensbereiche haben jeweils eine eigene Domäne und einen eigenen DC. Die Netze selbst sind allerdings physisch nicht getrennt,d.h. ich kann mich problemlos in die jeweils andere Domäne einloggen.
Werniman
Werniman 28.11.2018 aktualisiert um 10:57:43 Uhr
Goto Top
An dieser Stelle erstmal ein Danke für eure Antworten.
Ich habe inzwischen mit Hilfe der im Link genannten Methode nach der GUID gesucht. Interessanterweise werden beide GUID nicht gefunden. Es existiert also scheinbar keine GPO mehr zu dieser GUID. Bleibt die Frage,wieso die Clients versuchen,auf eine nicht existente GPO zuzugreifen und warum sie das tun.

Dcdiag besagt übrigens folgendes:
Starting test: FrsEvent Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.

Die besagten Fehlerereignisse sind -wie schon geschrieben die beiden nicht gefundenen Gruppenrichtlinien zu angegebenen GUID. Ist noch irgendwo anderweitig gespeichert, welche GPOs der Clients beim Login abarbeiten soll ? Quasi so eine Art "Todo"-Liste ?
emeriks
emeriks 28.11.2018 um 10:59:34 Uhr
Goto Top
Zitat von @Werniman:
Ich habe inzwischen mit Hilfe der im Link genannten Methode nach der GUID gesucht. Interessanterweise werden beide GUID nicht gefunden. Es existiert also scheinbar keine GPO mehr zu dieser GUID. Bleibt die Frage,wieso die Clients versuchen,auf eine nicht existente GPO zuzugreifen und warum sie das tun.
Weil die GPO im AD noch verlinkt ist.
Eine GPO bestejt aus zwei Teilen: Einem AD-Objekt und einem Verzeichnis im SYSVOL. Das AD-Objekt wird über das AD repliziert. Das Verzeichnis über DFS-R (bzw. NTFRS bei älteren Versionen/Installationen).
Gehe mal in die GPO-MMC. Da sollten einige GPO sein, bei welchen er Dir die Eigenschaften nicht mehr anzeigen kann.
Pjordorf
Pjordorf 28.11.2018 um 12:39:14 Uhr
Goto Top
Hallo,

Zitat von @Werniman:
Die Capacity-Edition ist eine Art abgespeckte Version, die nur 1TB Plattenplatz verwalten kann.
So etwas gibt es tatsächlich? Und kostet nur schlappe ca. 2500 EUR. Da ist ja ein Windows Backup mächtiger.

sämtliche Server
Du hast also wie vermutet mehrere.

aber einige Programme haben auch eigene Domänenkonten.
Aua

Über die Ereignisanzeige konnte man im Nachhinein sehen, dass eine Art Brute Force-Angriff stattgefunden hat, d.h. da waren einige Loginversuche mit Usernamen vermerkt, die es in dieser Art und Weise bei uns nicht gibt: Admin00, Administrador (ja..das kleine d stand da wirklich so!) und einige Vornamen ala "Sharon","Shelley" usw als Username.
Und da Shelly - Sharon eindeutig nicht wirklich Deutsche Namen sind, kann man jetzt Vermuten das eure TS im Internet zur Verfügung stehen (Kein VPN davor?) und jemand aus einen Englisch sprechenden Raum oder gar aus Spanischen oder so wegen dem Administrador (Ja, diese Schreibweise ist je nach Landessprache vollkommen OK, sich versucht hat per Wörterbuch zugang zu verschaffen. Und er hatte erfolg weil das Passwort zu leicht, bekannt oder sonstwas war.Ist denn das Passwort bei diesen Benutzer (wohinter die Verwaltungssoftware der Personalverwaltung steckt) geändert (zwingend!)? Ihr ladet ja jeden ein sich zu versuchen.

Dazu gehörten auch einige Ordner auf dem DC, welche erreichbar waren (z.B. der Sysvol-Ordner). Natürlich hat ein Domänenbenutzer auch Zugriff auf einige Daten bzw. Ordner in einer Domäne - wie soll das denn sonst auch funktionieren.

Die Netze selbst sind allerdings physisch nicht getrennt,d.h. ich kann mich problemlos in die jeweils andere Domäne einloggen.
Keine VLAN, kein anderes IP Netz? Hauptsächlich Preiswert oder?

Alles vom Netzt trennen und ein Gerät nach dem anderen säubern bzw. neuaufsetzeb und erst danach wieder alles zusammenstöpseln in der Hoffnung das der Trojaner ausgehungert wurde.

Gruß,
Peter