m4rtin1
Goto Top

Kein SMB Zugriff nach Übernahme von BSI SiSyPHuS Win10: GPO zur Härtung von Windows 10 mit Bordmitteln

Hallo,

ich habe etwas voreilig die oben genannte GPO übernommen für einen Laptop, jetzt wird einfach der SMB Zugriff komplett auf eine Serverfreigabe (Windows Server 2016) komplett geblock obwohl man einen Ping absetzen kann und es von anderen Geräten funktioniert.

Ich hab schon versucht smb1 / 2 zu erlauben obwohl das eigenlicht nicht die Ursache sein kann, da Windows Server ja wohl mindestens mit smb2 arbeiten sollte.

Gibt es eine Möglichkeit die GPO auf Windows Standard zurückzusetzen?

RD /S /Q "%WinDir%\System32\GroupPolicyUsers" && RD /S /Q "%WinDir%\System32\GroupPolicy"   

mit anschließendem gpupdate /force hat leider nicht funktioniert.

Content-ID: 3679218973

Url: https://administrator.de/forum/kein-smb-zugriff-nach-uebernahme-von-bsi-sisyphus-win10-gpo-zur-haertung-von-windows-10-mit-bordmitteln-3679218973.html

Ausgedruckt am: 23.12.2024 um 19:12 Uhr

SlainteMhath
SlainteMhath 17.08.2022 um 12:45:32 Uhr
Goto Top
Moin,

du musst alle Einstellungen die in der GPO getroffen werden wieder mit einer "Gegen-GPO" rückgängig machen. Schau dir dazu an was in der GPO gemacht wird.

Oder setz den Laptop neu auf face-smile

lg,
Slainte
Vision2015
Vision2015 17.08.2022 um 12:59:26 Uhr
Goto Top
Moin...

Zitat von @M4rtin1:

Hallo,

ich habe etwas voreilig die oben genannte GPO übernommen für einen Laptop, jetzt wird einfach der SMB Zugriff komplett auf eine Serverfreigabe (Windows Server 2016) komplett geblock obwohl man einen Ping absetzen kann und es von anderen Geräten funktioniert.
jo... einfach mal vom BSI die GPO´s übernommen, egal ob das zu deinem System passt, oder nicht... wenn das BSI das schreibt,wird es wohl richtig sein!
richtig wäre gewesen, du setzt dich mit dem, was du da tust, mal auseinander, und prüfst, ob das alles so auch für dein Netzwerk passt, und welche GPO´s dort überhaubt verändert werden!
aber du bist nicht der einzige, der darauf reingefallen ist.... andere haben da mehr schaden angerichtet! face-smile

Ich hab schon versucht smb1 / 2 zu erlauben obwohl das eigenlicht nicht die Ursache sein kann, da Windows Server ja wohl mindestens mit smb2 arbeiten sollte.
aha... also "solten" tut es nicht, sondern nur was du eingerichtet hast!
was für eine SMB version hat der Server?
Get-SmbConnection | Select-Object -Property *

Gibt es eine Möglichkeit die GPO auf Windows Standard zurückzusetzen?
ja... schau doch erstmal nach..
gpedit.msc

RD /S /Q "%WinDir%\System32\GroupPolicyUsers" && RD /S /Q "%WinDir%\System32\GroupPolicy"   

mit anschließendem gpupdate /force hat leider nicht funktioniert.

oder neues Setup!
oder, ein restore von deiner Notebook datensicherung, die du vorher angelegt hast.,,!

Frank
DerWoWusste
DerWoWusste 17.08.2022 um 13:09:13 Uhr
Goto Top
du musst alle Einstellungen die in der GPO getroffen werden wieder mit einer "Gegen-GPO" rückgängig machen.
Um Gottes Willen, nein. 99% der modernen GPOs verlangen das nicht. Ganz wenige Ausnahmen. Registry-Tattooing mal durchlesen: https://sdmsoftware.com/wp-content/uploads/2020/02/Understanding-Group-P ...
Any registry values placed under one of these 4 keys will be removed
when the policy no longer applies. These 4 keys are:
HKEY_LOCAL_MACHINE\Software\Policies
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_CURRENT_USER\Software\Policies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
nEmEsIs
nEmEsIs 17.08.2022 um 13:40:26 Uhr
Goto Top
Hi

Hast du mal neu gestartet ?
Kommst du noch auf das Sysvol deines Domain Controllers ?

Mit freundlichen Grüßen Nemesis
M4rtin1
M4rtin1 17.08.2022 um 14:54:31 Uhr
Goto Top
Bei
Get-SmbConnection | Select-Object -Property *
gibt es keine Rückmeldung in Powershell.

Neustart habe ich durchgeführt. Der Laptop wurde aus der Domäne entfernt, da der DC demnächst eingestampft wird.
M4rtin1
Lösung M4rtin1 17.08.2022 um 15:40:36 Uhr
Goto Top
Habe das Problem vorerst gelöst, indem ich den Laptop wieder in die Domäne aufgenommen habe.