Win10: UNC Hardening und Sicherheit
Mahlzeit,
bin hier immer noch am vorbereiten von W10 Clients für die Domain - heute mal ein neuen Problem:
Manchmal(!?) werden keine GPOs gezogen, da Zugriff auf \\domain.local\sysvol nicht erlaubt ist
Dann stolperte ich über diesen Artikel:
https://blogs.technet.microsoft.com/leesteve/2017/08/09/demystifying-the ...
Und sowohl die Reg als auch der GPO Ansatz funktionieren - schonmal schön.
Die Frage: Da ich das Artikel nur überflog, und die Lösung Quick & Dirty reingehackt habe um weiterzumachen - hat die Einstellung von:
"RequireMutualAuthentication=0, RequireIntegrity=0, RequirePrivacy=0" für \\domain.local\sysvol und \\domain.local\netlogon irgendwelche schwerwiegenden Security Nachteile?
bin hier immer noch am vorbereiten von W10 Clients für die Domain - heute mal ein neuen Problem:
Manchmal(!?) werden keine GPOs gezogen, da Zugriff auf \\domain.local\sysvol nicht erlaubt ist
Dann stolperte ich über diesen Artikel:
https://blogs.technet.microsoft.com/leesteve/2017/08/09/demystifying-the ...
Und sowohl die Reg als auch der GPO Ansatz funktionieren - schonmal schön.
Die Frage: Da ich das Artikel nur überflog, und die Lösung Quick & Dirty reingehackt habe um weiterzumachen - hat die Einstellung von:
"RequireMutualAuthentication=0, RequireIntegrity=0, RequirePrivacy=0" für \\domain.local\sysvol und \\domain.local\netlogon irgendwelche schwerwiegenden Security Nachteile?
Please also mark the comments that contributed to the solution of the article
Content-ID: 375758
Url: https://administrator.de/contentid/375758
Printed on: October 16, 2024 at 02:10 o'clock
11 Comments
Latest comment
Hi.
Was diese Einstellung nun mit deinem Problem zu tun haben soll, ist nicht erkennbar. Ja, sie hat schwerwiegende Nachteile und sollte auf gar keinen Fall verwendet werden, wenn dir die Sicherheit lieb und wert ist.
Was diese Einstellung nun mit deinem Problem zu tun haben soll, ist nicht erkennbar. Ja, sie hat schwerwiegende Nachteile und sollte auf gar keinen Fall verwendet werden, wenn dir die Sicherheit lieb und wert ist.
Zugriff auf \\domain.local\sysvol nicht erlaubt ist
Beschreibe mal genauer, wie sich das feststellen lässt und was da steht.
Wie war denn diese Einstellung, bevor Du sie geändert hast?
RequirePrivacy=0 sollte man nur setzen, wenn alle Beteiligten SMBv3 sprechen können, was für Win7 ja nicht zutrifft.
Zu Empfehlen, ist wie folgt zu härten:
Hardened UNC Paths:
\\*\NETLOGON RequireMutualAuthentication=1, RequireIntegrity=1
\\*\SYSVOL RequireMutualAuthentication=1, RequireIntegrity=1
das Thema ist wohl noch aktuell / ungefixt?
Wir setzen es so seit mehreren Jahren ein und haben mit Win10 keine Zugriffsprobleme (seit Jahren haben wir nur Win10).Wenn es bei Dir bei der Hälfte der Workstations nict geht, ist irgendetwas faul und ich schätze mal, es hat damit nur bedingt etwas zu tun. Kannst Du mit Sicherheit sagen, dass es ohne den Schutz überall funktioniert, oder hast Du nur einzelne Stichproben genommen?
Hallo zusammen,
wirklich schön, 2023 und das Problem ist wieder da.
Betroffen bei uns sind die neuen Dell Precision Tower.
Von 6000 Rechnern sind 20 Betroffen (Nur das neue Dell Modell)
-> Warum zur Hölle...
Erst das setzen von "RequireMutualAuthentication=0," auf Sysvol ist ein zugriff auf Sysvol möglich.
Vorher musste man 15 Min warten.
Ich werde nun aber weiter Forschen ob da was bei Kerberos quer liegt oder wie man das Problem noch lösen kann, ohne eine Sicherheitslücke zu kreieren.
wirklich schön, 2023 und das Problem ist wieder da.
Betroffen bei uns sind die neuen Dell Precision Tower.
Von 6000 Rechnern sind 20 Betroffen (Nur das neue Dell Modell)
-> Warum zur Hölle...
Erst das setzen von "RequireMutualAuthentication=0," auf Sysvol ist ein zugriff auf Sysvol möglich.
Vorher musste man 15 Min warten.
Ich werde nun aber weiter Forschen ob da was bei Kerberos quer liegt oder wie man das Problem noch lösen kann, ohne eine Sicherheitslücke zu kreieren.