holliknolli
Goto Top

Sichere Netlogon Kanalverbindungen?

Hallo,

was, wer, wie?

https://support.microsoft.com/de-de/help/4557222/how-to-manage-the-chang ...

gibt´s davon auch ne Kurzfassung? Was will Microsoft, was soll ich da tun? Hat das schon wer geschnallt und damit zu tun?

LG,
H.K.

Content-ID: 607304

Url: https://administrator.de/forum/sichere-netlogon-kanalverbindungen-607304.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

certifiedit.net
certifiedit.net 24.09.2020 um 21:41:25 Uhr
Goto Top
Hallo,

MS will, dass du dein Netz sicherst, wie - naja, dafür musst du das durchlesen, was für dich in Frage kommt.

Grüße
holliknolli
holliknolli 24.09.2020 um 21:50:32 Uhr
Goto Top
Zitat von @certifiedit.net:

Hallo,

MS will, dass du dein Netz sicherst, wie - naja, dafür musst du das durchlesen, was für dich in Frage kommt.

Grüße

Hmmmm, MS will, MS will. MS hat nichts zu wollen. Unser System, unsere Hardware, unsere Daten. Die sind übrigens für die Öffentlichkeit bestimmt und daher ohnehin nicht großartig zu sichern. MS hat bald ausgewollt, wenn es so weiter geht. Liebäugle damit einen Debian-Server hin zu stellen.

LG,
SeaStorm
Lösung SeaStorm 24.09.2020 aktualisiert um 22:43:53 Uhr
Goto Top
Den Patch auf allen deinen DCs installieren ist das erste was du machen muss.
Damit ist das gröbste mal gemacht.

Danach gibts die im Artikel beschriebenen neuen Eventlogs. Da schaust du dann ob es bei dir noch geräte gibt die den alten unsicheren ### sprechen. Die musst du dann entweder upgraden oder bis nächstes Jahr rausschmeissen, weil MS dann einen Patch rausbringt der das alte ###protokoll abschaltet für alles was du nicht in der Ausnahmeliste benennst

Steht aber alles im Artikel

MS hat bald ausgewollt, wenn es so weiter geht. Liebäugle damit einen Debian-Server hin zu stellen.
Du schaffst es nicht mal einen MS Artikel zu verstehen. Wie gedenkst du dich durch die vielen KBs, Anleitungen und Configs für ein Linux durchzulesen?
certifiedit.net
certifiedit.net 25.09.2020 um 01:12:55 Uhr
Goto Top
Hmmmm, MS will, MS will. MS hat nichts zu wollen. Unser System, unsere Hardware, unsere Daten. Die sind übrigens für die Öffentlichkeit bestimmt und daher ohnehin nicht großartig zu sichern. MS hat bald ausgewollt, wenn es so weiter geht. Liebäugle damit einen Debian-Server hin zu stellen.

Dann ließ mal weiter, das Problem dürfte auch Samba betreffen.

Du schaffst es nicht mal einen MS Artikel zu verstehen. Wie gedenkst du dich durch die vielen KBs, Anleitungen und Configs für ein Linux durchzulesen?

Breitseiten-SeaStorm face-smile

Schöne gute Nacht!
GrueneSosseMitSpeck
GrueneSosseMitSpeck 25.09.2020 um 06:58:51 Uhr
Goto Top
Eigentlcih sollte man MS mal loben. Ich hab den Artikel übrigens beim ersten Durchlesen schon verstanden, und genaugenommen muß ich Microsoft hier mal ausdrücklich loben. Da die Übersetzung nicht sonderlich gut ist, wäre es besser, den englischen Originaltext zu lesen.

Den 2018 hat Microsoft ein ähnliches Update herausgebraucht, damals gings um sicherere RDP Anmeldungen.
Nur war die Umsetzung so bescheiden, daß Millionen von Benutzern aus Azure RDP Zugängen ausgesperrt wurden, da das Serverupate (Verweigerung von Logins von Clients die kein NLA können) einen Monat vor dem Clientupdate herauskam. Genaugenommen ging es nur darum, was Windows macht, wenn die dazugehörige GPO nicht definiert ist... und die Interpretation, was zu tun ist wenn eine GPO nicht definiert ist zu ändern war schon immer kundenfeindliche, da oft nur schlecht oder garnicht dokumentiert.

Nun ja, mit dem Netlogon machen sie das besser
- in einer ersten Welle kommen die Updates
- in einer zweiten Welle kommt der Erwzingungsmodus.
Bei Lichte betrachtet werden aber nur ganz alte Zöpfe abgeschnitten, denn wer braucht noch NTLM? Und wer braucht noch Windows 7 / 2008R2? Dienste, die auf solchen Betriebsystemen laufen werden den DC nicht mehr kontaktieren können, damit sich z.B. ein Dienst mit einem AD Konto "Anmelden als Dienst" anwenden kann.

In erster Linie werden ein Haufen SAP Kunden mit SNC (Windows SSO Integration) weinen, weil die dann ihr SAP-Geraffel auf moderne Server upgraden müssen.
maretz
maretz 25.09.2020 um 07:20:10 Uhr
Goto Top
Du bist etwas zu früh dran - ich vermute du willst grad mal wieder den Freitagstroll spielen?

Ganz davon ab das es NICHT euer System ist sondern ihr nur eine Nutzungslizenz habt (aber ok, detailfragen...) steht es dir frei jederzeit ein OS deiner Wahl zu installieren. Dann stell halt nen Debian-Server hin - da es da ja auch keinerlei Updates gibt (komisch, die Debians die ich betreibe haben öfters welche - scheint irgendwie ja nicht die dümmste Idee zu sein Programme auch zu pflegen....). Du bist nicht an MS gebunden...

Zum Punkt "eure Daten" sollte man dann nur überlegen das es ggf. nicht mehr lange eure Daten sind wenn Leute wie du - welche sich aufregen wenn der Hersteller sagt wie man die Systeme absichern kann - darüber die Verwaltung haben... Auch da ist: Du MUSST das von MS ja nich umsetzen, lass halt alle System auf dem Stand "genau heute" (oder "genau von vor 1 jahr"), spiele keine Patches mehr ein und alles ist gut. Wenn dann dir das nächste Script-Kiddy im vorbeigehen die Dinger platt macht und *eure* Daten im Netz stehen - naja, lass es halt als dezentrales Backup laufen und tue so als wäre das gewollt... DAS ist übrigens mit Debian (und jedem anderem Linux), MacOS,... auch nichts anderes...

Und grad bei Systemen die "für die Öffentlichkeit" bestimmt sind würde jeder NORMALE Admin die Kisten so gut dichtnageln wie es auch nur irgendwie geht - was aber lesen erfordert, is ja nich so deins, gibts halt nich in kurz alles... Denn oft findet man durch solches "Lesen" raus das es noch ganz andere Angriffsmöglichkeiten gibt als das was einem zuerst ins Auge gefallen is...

Naja - es is aber immer wieder erstaunlich: Die Menschliche Evolution hat mehrere 1000 Jahre benötigt um das Lesen zu schaffen - leider scheint es bei einem mit der Erfindung des Internets nur noch für Katzenbilder zu reichen...
117471
117471 25.09.2020 um 11:10:07 Uhr
Goto Top
Hallo,

Zitat von @holliknolli:

Hmmmm, MS will, MS will. MS hat nichts zu wollen.

Lies die Lizenzbedingungen. Da steht genau drin, wer was entscheidet.

Wenn Dir etwas nicht passt, darfst Du gerne ein anderes OS nutzen.

Gruß,
Jörg