Sichere Netlogon Kanalverbindungen?
Hallo,
was, wer, wie?
https://support.microsoft.com/de-de/help/4557222/how-to-manage-the-chang ...
gibt´s davon auch ne Kurzfassung? Was will Microsoft, was soll ich da tun? Hat das schon wer geschnallt und damit zu tun?
LG,
H.K.
was, wer, wie?
https://support.microsoft.com/de-de/help/4557222/how-to-manage-the-chang ...
gibt´s davon auch ne Kurzfassung? Was will Microsoft, was soll ich da tun? Hat das schon wer geschnallt und damit zu tun?
LG,
H.K.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 607304
Url: https://administrator.de/contentid/607304
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
7 Kommentare
Neuester Kommentar
Den Patch auf allen deinen DCs installieren ist das erste was du machen muss.
Damit ist das gröbste mal gemacht.
Danach gibts die im Artikel beschriebenen neuen Eventlogs. Da schaust du dann ob es bei dir noch geräte gibt die den alten unsicheren ### sprechen. Die musst du dann entweder upgraden oder bis nächstes Jahr rausschmeissen, weil MS dann einen Patch rausbringt der das alte ###protokoll abschaltet für alles was du nicht in der Ausnahmeliste benennst
Steht aber alles im Artikel
Damit ist das gröbste mal gemacht.
Danach gibts die im Artikel beschriebenen neuen Eventlogs. Da schaust du dann ob es bei dir noch geräte gibt die den alten unsicheren ### sprechen. Die musst du dann entweder upgraden oder bis nächstes Jahr rausschmeissen, weil MS dann einen Patch rausbringt der das alte ###protokoll abschaltet für alles was du nicht in der Ausnahmeliste benennst
Steht aber alles im Artikel
MS hat bald ausgewollt, wenn es so weiter geht. Liebäugle damit einen Debian-Server hin zu stellen.
Du schaffst es nicht mal einen MS Artikel zu verstehen. Wie gedenkst du dich durch die vielen KBs, Anleitungen und Configs für ein Linux durchzulesen?Hmmmm, MS will, MS will. MS hat nichts zu wollen. Unser System, unsere Hardware, unsere Daten. Die sind übrigens für die Öffentlichkeit bestimmt und daher ohnehin nicht großartig zu sichern. MS hat bald ausgewollt, wenn es so weiter geht. Liebäugle damit einen Debian-Server hin zu stellen.
Dann ließ mal weiter, das Problem dürfte auch Samba betreffen.
Du schaffst es nicht mal einen MS Artikel zu verstehen. Wie gedenkst du dich durch die vielen KBs, Anleitungen und Configs für ein Linux durchzulesen?
Breitseiten-SeaStorm
Schöne gute Nacht!
Eigentlcih sollte man MS mal loben. Ich hab den Artikel übrigens beim ersten Durchlesen schon verstanden, und genaugenommen muß ich Microsoft hier mal ausdrücklich loben. Da die Übersetzung nicht sonderlich gut ist, wäre es besser, den englischen Originaltext zu lesen.
Den 2018 hat Microsoft ein ähnliches Update herausgebraucht, damals gings um sicherere RDP Anmeldungen.
Nur war die Umsetzung so bescheiden, daß Millionen von Benutzern aus Azure RDP Zugängen ausgesperrt wurden, da das Serverupate (Verweigerung von Logins von Clients die kein NLA können) einen Monat vor dem Clientupdate herauskam. Genaugenommen ging es nur darum, was Windows macht, wenn die dazugehörige GPO nicht definiert ist... und die Interpretation, was zu tun ist wenn eine GPO nicht definiert ist zu ändern war schon immer kundenfeindliche, da oft nur schlecht oder garnicht dokumentiert.
Nun ja, mit dem Netlogon machen sie das besser
- in einer ersten Welle kommen die Updates
- in einer zweiten Welle kommt der Erwzingungsmodus.
Bei Lichte betrachtet werden aber nur ganz alte Zöpfe abgeschnitten, denn wer braucht noch NTLM? Und wer braucht noch Windows 7 / 2008R2? Dienste, die auf solchen Betriebsystemen laufen werden den DC nicht mehr kontaktieren können, damit sich z.B. ein Dienst mit einem AD Konto "Anmelden als Dienst" anwenden kann.
In erster Linie werden ein Haufen SAP Kunden mit SNC (Windows SSO Integration) weinen, weil die dann ihr SAP-Geraffel auf moderne Server upgraden müssen.
Den 2018 hat Microsoft ein ähnliches Update herausgebraucht, damals gings um sicherere RDP Anmeldungen.
Nur war die Umsetzung so bescheiden, daß Millionen von Benutzern aus Azure RDP Zugängen ausgesperrt wurden, da das Serverupate (Verweigerung von Logins von Clients die kein NLA können) einen Monat vor dem Clientupdate herauskam. Genaugenommen ging es nur darum, was Windows macht, wenn die dazugehörige GPO nicht definiert ist... und die Interpretation, was zu tun ist wenn eine GPO nicht definiert ist zu ändern war schon immer kundenfeindliche, da oft nur schlecht oder garnicht dokumentiert.
Nun ja, mit dem Netlogon machen sie das besser
- in einer ersten Welle kommen die Updates
- in einer zweiten Welle kommt der Erwzingungsmodus.
Bei Lichte betrachtet werden aber nur ganz alte Zöpfe abgeschnitten, denn wer braucht noch NTLM? Und wer braucht noch Windows 7 / 2008R2? Dienste, die auf solchen Betriebsystemen laufen werden den DC nicht mehr kontaktieren können, damit sich z.B. ein Dienst mit einem AD Konto "Anmelden als Dienst" anwenden kann.
In erster Linie werden ein Haufen SAP Kunden mit SNC (Windows SSO Integration) weinen, weil die dann ihr SAP-Geraffel auf moderne Server upgraden müssen.
Du bist etwas zu früh dran - ich vermute du willst grad mal wieder den Freitagstroll spielen?
Ganz davon ab das es NICHT euer System ist sondern ihr nur eine Nutzungslizenz habt (aber ok, detailfragen...) steht es dir frei jederzeit ein OS deiner Wahl zu installieren. Dann stell halt nen Debian-Server hin - da es da ja auch keinerlei Updates gibt (komisch, die Debians die ich betreibe haben öfters welche - scheint irgendwie ja nicht die dümmste Idee zu sein Programme auch zu pflegen....). Du bist nicht an MS gebunden...
Zum Punkt "eure Daten" sollte man dann nur überlegen das es ggf. nicht mehr lange eure Daten sind wenn Leute wie du - welche sich aufregen wenn der Hersteller sagt wie man die Systeme absichern kann - darüber die Verwaltung haben... Auch da ist: Du MUSST das von MS ja nich umsetzen, lass halt alle System auf dem Stand "genau heute" (oder "genau von vor 1 jahr"), spiele keine Patches mehr ein und alles ist gut. Wenn dann dir das nächste Script-Kiddy im vorbeigehen die Dinger platt macht und *eure* Daten im Netz stehen - naja, lass es halt als dezentrales Backup laufen und tue so als wäre das gewollt... DAS ist übrigens mit Debian (und jedem anderem Linux), MacOS,... auch nichts anderes...
Und grad bei Systemen die "für die Öffentlichkeit" bestimmt sind würde jeder NORMALE Admin die Kisten so gut dichtnageln wie es auch nur irgendwie geht - was aber lesen erfordert, is ja nich so deins, gibts halt nich in kurz alles... Denn oft findet man durch solches "Lesen" raus das es noch ganz andere Angriffsmöglichkeiten gibt als das was einem zuerst ins Auge gefallen is...
Naja - es is aber immer wieder erstaunlich: Die Menschliche Evolution hat mehrere 1000 Jahre benötigt um das Lesen zu schaffen - leider scheint es bei einem mit der Erfindung des Internets nur noch für Katzenbilder zu reichen...
Ganz davon ab das es NICHT euer System ist sondern ihr nur eine Nutzungslizenz habt (aber ok, detailfragen...) steht es dir frei jederzeit ein OS deiner Wahl zu installieren. Dann stell halt nen Debian-Server hin - da es da ja auch keinerlei Updates gibt (komisch, die Debians die ich betreibe haben öfters welche - scheint irgendwie ja nicht die dümmste Idee zu sein Programme auch zu pflegen....). Du bist nicht an MS gebunden...
Zum Punkt "eure Daten" sollte man dann nur überlegen das es ggf. nicht mehr lange eure Daten sind wenn Leute wie du - welche sich aufregen wenn der Hersteller sagt wie man die Systeme absichern kann - darüber die Verwaltung haben... Auch da ist: Du MUSST das von MS ja nich umsetzen, lass halt alle System auf dem Stand "genau heute" (oder "genau von vor 1 jahr"), spiele keine Patches mehr ein und alles ist gut. Wenn dann dir das nächste Script-Kiddy im vorbeigehen die Dinger platt macht und *eure* Daten im Netz stehen - naja, lass es halt als dezentrales Backup laufen und tue so als wäre das gewollt... DAS ist übrigens mit Debian (und jedem anderem Linux), MacOS,... auch nichts anderes...
Und grad bei Systemen die "für die Öffentlichkeit" bestimmt sind würde jeder NORMALE Admin die Kisten so gut dichtnageln wie es auch nur irgendwie geht - was aber lesen erfordert, is ja nich so deins, gibts halt nich in kurz alles... Denn oft findet man durch solches "Lesen" raus das es noch ganz andere Angriffsmöglichkeiten gibt als das was einem zuerst ins Auge gefallen is...
Naja - es is aber immer wieder erstaunlich: Die Menschliche Evolution hat mehrere 1000 Jahre benötigt um das Lesen zu schaffen - leider scheint es bei einem mit der Erfindung des Internets nur noch für Katzenbilder zu reichen...
Hallo,
Lies die Lizenzbedingungen. Da steht genau drin, wer was entscheidet.
Wenn Dir etwas nicht passt, darfst Du gerne ein anderes OS nutzen.
Gruß,
Jörg
Lies die Lizenzbedingungen. Da steht genau drin, wer was entscheidet.
Wenn Dir etwas nicht passt, darfst Du gerne ein anderes OS nutzen.
Gruß,
Jörg