gelöst Sichere Netlogon Kanalverbindungen?

Mitglied: holliknolli

holliknolli (Level 1) - Jetzt verbinden

24.09.2020 um 21:38 Uhr, 677 Aufrufe, 7 Kommentare, 4 Danke

Hallo,

was, wer, wie?

https://support.microsoft.com/de-de/help/4557222/how-to-manage-the-chang ...

gibt´s davon auch ne Kurzfassung? Was will Microsoft, was soll ich da tun? Hat das schon wer geschnallt und damit zu tun?

LG,
H.K.
Mitglied: certifiedit.net
24.09.2020 um 21:41 Uhr
Hallo,

MS will, dass du dein Netz sicherst, wie - naja, dafür musst du das durchlesen, was für dich in Frage kommt.

Grüße
Bitte warten ..
Mitglied: holliknolli
24.09.2020 um 21:50 Uhr
Zitat von certifiedit.net:

Hallo,

MS will, dass du dein Netz sicherst, wie - naja, dafür musst du das durchlesen, was für dich in Frage kommt.

Grüße

Hmmmm, MS will, MS will. MS hat nichts zu wollen. Unser System, unsere Hardware, unsere Daten. Die sind übrigens für die Öffentlichkeit bestimmt und daher ohnehin nicht großartig zu sichern. MS hat bald ausgewollt, wenn es so weiter geht. Liebäugle damit einen Debian-Server hin zu stellen.

LG,
Bitte warten ..
Mitglied: SeaStorm
LÖSUNG 24.09.2020, aktualisiert um 22:43 Uhr
Den Patch auf allen deinen DCs installieren ist das erste was du machen muss.
Damit ist das gröbste mal gemacht.

Danach gibts die im Artikel beschriebenen neuen Eventlogs. Da schaust du dann ob es bei dir noch geräte gibt die den alten unsicheren Scheiss sprechen. Die musst du dann entweder upgraden oder bis nächstes Jahr rausschmeissen, weil MS dann einen Patch rausbringt der das alte scheissprotokoll abschaltet für alles was du nicht in der Ausnahmeliste benennst

Steht aber alles im Artikel

MS hat bald ausgewollt, wenn es so weiter geht. Liebäugle damit einen Debian-Server hin zu stellen.
Du schaffst es nicht mal einen MS Artikel zu verstehen. Wie gedenkst du dich durch die vielen KBs, Anleitungen und Configs für ein Linux durchzulesen?
Bitte warten ..
Mitglied: certifiedit.net
25.09.2020 um 01:12 Uhr
Hmmmm, MS will, MS will. MS hat nichts zu wollen. Unser System, unsere Hardware, unsere Daten. Die sind übrigens für die Öffentlichkeit bestimmt und daher ohnehin nicht großartig zu sichern. MS hat bald ausgewollt, wenn es so weiter geht. Liebäugle damit einen Debian-Server hin zu stellen.

Dann ließ mal weiter, das Problem dürfte auch Samba betreffen.

Du schaffst es nicht mal einen MS Artikel zu verstehen. Wie gedenkst du dich durch die vielen KBs, Anleitungen und Configs für ein Linux durchzulesen?

Breitseiten-SeaStorm

Schöne gute Nacht!
Bitte warten ..
Mitglied: GrueneSosseMitSpeck
25.09.2020 um 06:58 Uhr
Eigentlcih sollte man MS mal loben. Ich hab den Artikel übrigens beim ersten Durchlesen schon verstanden, und genaugenommen muß ich Microsoft hier mal ausdrücklich loben. Da die Übersetzung nicht sonderlich gut ist, wäre es besser, den englischen Originaltext zu lesen.

Den 2018 hat Microsoft ein ähnliches Update herausgebraucht, damals gings um sicherere RDP Anmeldungen.
Nur war die Umsetzung so bescheiden, daß Millionen von Benutzern aus Azure RDP Zugängen ausgesperrt wurden, da das Serverupate (Verweigerung von Logins von Clients die kein NLA können) einen Monat vor dem Clientupdate herauskam. Genaugenommen ging es nur darum, was Windows macht, wenn die dazugehörige GPO nicht definiert ist... und die Interpretation, was zu tun ist wenn eine GPO nicht definiert ist zu ändern war schon immer kundenfeindliche, da oft nur schlecht oder garnicht dokumentiert.

Nun ja, mit dem Netlogon machen sie das besser
- in einer ersten Welle kommen die Updates
- in einer zweiten Welle kommt der Erwzingungsmodus.
Bei Lichte betrachtet werden aber nur ganz alte Zöpfe abgeschnitten, denn wer braucht noch NTLM? Und wer braucht noch Windows 7 / 2008R2? Dienste, die auf solchen Betriebsystemen laufen werden den DC nicht mehr kontaktieren können, damit sich z.B. ein Dienst mit einem AD Konto "Anmelden als Dienst" anwenden kann.

In erster Linie werden ein Haufen SAP Kunden mit SNC (Windows SSO Integration) weinen, weil die dann ihr SAP-Geraffel auf moderne Server upgraden müssen.
Bitte warten ..
Mitglied: maretz
25.09.2020 um 07:20 Uhr
Du bist etwas zu früh dran - ich vermute du willst grad mal wieder den Freitagstroll spielen?

Ganz davon ab das es NICHT euer System ist sondern ihr nur eine Nutzungslizenz habt (aber ok, detailfragen...) steht es dir frei jederzeit ein OS deiner Wahl zu installieren. Dann stell halt nen Debian-Server hin - da es da ja auch keinerlei Updates gibt (komisch, die Debians die ich betreibe haben öfters welche - scheint irgendwie ja nicht die dümmste Idee zu sein Programme auch zu pflegen....). Du bist nicht an MS gebunden...

Zum Punkt "eure Daten" sollte man dann nur überlegen das es ggf. nicht mehr lange eure Daten sind wenn Leute wie du - welche sich aufregen wenn der Hersteller sagt wie man die Systeme absichern kann - darüber die Verwaltung haben... Auch da ist: Du MUSST das von MS ja nich umsetzen, lass halt alle System auf dem Stand "genau heute" (oder "genau von vor 1 jahr"), spiele keine Patches mehr ein und alles ist gut. Wenn dann dir das nächste Script-Kiddy im vorbeigehen die Dinger platt macht und *eure* Daten im Netz stehen - naja, lass es halt als dezentrales Backup laufen und tue so als wäre das gewollt... DAS ist übrigens mit Debian (und jedem anderem Linux), MacOS,... auch nichts anderes...

Und grad bei Systemen die "für die Öffentlichkeit" bestimmt sind würde jeder NORMALE Admin die Kisten so gut dichtnageln wie es auch nur irgendwie geht - was aber lesen erfordert, is ja nich so deins, gibts halt nich in kurz alles... Denn oft findet man durch solches "Lesen" raus das es noch ganz andere Angriffsmöglichkeiten gibt als das was einem zuerst ins Auge gefallen is...

Naja - es is aber immer wieder erstaunlich: Die Menschliche Evolution hat mehrere 1000 Jahre benötigt um das Lesen zu schaffen - leider scheint es bei einem mit der Erfindung des Internets nur noch für Katzenbilder zu reichen...
Bitte warten ..
Mitglied: altmetaller
25.09.2020 um 11:10 Uhr
Hallo,

Zitat von holliknolli:

Hmmmm, MS will, MS will. MS hat nichts zu wollen.

Lies die Lizenzbedingungen. Da steht genau drin, wer was entscheidet.

Wenn Dir etwas nicht passt, darfst Du gerne ein anderes OS nutzen.

Gruß,
Jörg
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Hyper-V Server vs Datacenter?
holliknolliQuestionWindows Server26 Comments

Hallo, hat jemand Erfahrung mit dem - kostenlosen - Hyper-V-Server? Ich meine, warum teure Lizenzen für Datacenter zahlen, wenn ...

Exchange Server
Zustellbestätigung deaktivieren
defiant01QuestionExchange Server12 Comments

Hallo, ich stehe vor der Aufgabe bei einem Postfach die Zustellbestätigung für eingehende Mails zu deaktivieren. Der User geht ...

LAN, WAN, Wireless
Spanning Tree Probleme
solved predator66QuestionLAN, WAN, Wireless12 Comments

Hallo, wir haben hier eigenartige Spanningtree Probleme, die wir zur Zeit nicht gelöst bekommen: New Root Port MAC ist ...

Peripherals
Kaufberatung 32" Monitor mit WQHD Auflösung
solved GrueneSosseMitSpeckQuestionPeripherals10 Comments

Ich wollt mir einen 32" Monitor als 16:9 zulegen, 2560x1440 Pixel (WQHD). muß kein Ultrawide mit 21:9 und curved ...

Notebook & Accessories
Business Support HP, Dell, Lenovo etc
fuzzyLogicQuestionNotebook & Accessories10 Comments

Moin, ich arbeite derzeit fast ausschließlich mit HP und frage mich wie es auf Support Baustelle bei anderen Herstellern ...

Security
Unbefugtes Öffnen zählt nicht als Einbruch
certifiedit.netTickerSecurity9 Comments

Moin, wenn wir das auf die IT übertragen dürfte kaum ein Einbruch etc unter Einbruch zu definieren sein, immerhin ...

Ähnliche Inhalte
Windows Server
Schreibrechte im Netlogon
uridium69FrageWindows Server5 Kommentare

Hallo zusammen Ich sehe gerade das auf dem Netlogon \\domäne\netlogon jeder schreiben und löschen kann, sollte das nicht auf ...

Windows Server

Berechtigung für Netlogon ändern

redhorseFrageWindows Server4 Kommentare

Hallo, durch die Delegierung von Berechtigungen für die Administration des ActiveDirectorys haben wir bewirkt, dass keine administratoren für das ...

Batch & Shell

Domainübergreifendes netlogon script ausführen

gelöst Lukas4580FrageBatch & Shell8 Kommentare

Hallo zusammen, hoffentlich kann mir hier jemand Helfen. Ich suche eine Möglichkeit wie ich Domainübergreifend ein Login Script ausführen ...

Windows Netzwerk

Server 2016 NETLOGON Fehler

gelöst Philbo69FrageWindows Netzwerk7 Kommentare

Hallo zusammen, ich habe ein Problem mit einem Windows Server 2016 Std. Seit einigen Wochen ist das Netzwerk sehr ...

Windows Server

Replizierung Netlogon funktioniert nicht

gelöst miichiii9FrageWindows Server24 Kommentare

Guten Abend Ich habe einen Domain Controller hier die Daten: SRV-DC03 Windows Server 2012 Std. Nun habe ich einen ...

Windows Server

Windows Server 2016 Standard und Windows Server 2012R2 -Netlogon repliziert sich nicht

gelöst Michath74FrageWindows Server8 Kommentare

Wir haben einen Windows Server 2012R2 Standard und nun einen neuen, Windows Server 2016 Standard. Den 2016er habe ich ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT