Kategorie: Active Directory

  • NLA, Terminalserver, Kennwort ändern

    Bei einem Kunden kam es zu dem Problem, dass sich User von einem Mac per RDP auf einen Jump Host aufgeschaltet haben und von dort per RDP weiter auf den eigentlichen Terminalserver verbunden haben. Hier gab es das Problem, dass der User sein Kennwort nicht mittels „STRG“ + „ALT“ + „ENDE“ ändern konnte. Durch die…

  • dSHeuristics, KB5008383 (CVE-2021-42291) – Die heilige Handgranate von Antiochia?

    Hier ein kleines Script, um das dSHeuristics Attribut auf den Enforcement-Mode für „Additional AuthZ verifications for LDAP Add operations“ und „Temporary removal of Implicit Owner for LDAP Modify operations“ zu setzen (KB5008383 / CVE-2021-42291). Der Hintergrund: Was ist zu tun? Unterm Strich muss lediglich das dSHeuristics Attribut auf 29 Bits erweitert werden und dabei muss…

  • Modern Auth in Exchange Server 2019 CU 2023 H1

    Soeben hat Microsoft das Exchange Server 2019 CU 2023 H1 veröffentlicht. Die – wie ich finde – beste Neuerung ist der Support von Modern Auth in reinen On-Premises Umgebungen (mit kleinen Abstrichen). Dazu später (hoffentlich) mehr! With the 2023 H1 CU and the required Outlook version (please see documentation), we have added Modern auth support…

  • AppLocker im DATEV Umfeld

    Kurz und schmerzlos: Hier gibt es ein Powershell Script, welches Applocker im DATEV Umfeld relativ restriktiv inkl. einer Reihe an AppLocker Bypass Mitigations vorbereitet. Vorweg evtl. ein wenig zum Lesen vom Hersteller zum Thema AppLocker: AppLocker (Windows) | Microsoft Learn Ansonsten findet sich hier das PowerShell Script samt dem Gruppenrichtlinien Export sowie der vorbereiteten AppLocker…

  • AppLocker Event Log vergrößern

    Wer AppLocker im Audit Mode oder später auch enforced betreibt, stellt schnell fest, dass sich der AppLocker Event Log rasant füllt bzw. überschreibt. Daher hier die Möglichkeiten die Größe des Event Logs per Script oder Gruppenrichtlinie zu vergrößern. Option 1a) Per PowerShell Script, welches auf den Clients als Aufgabe, StartUp Script oder zentral per bspw.…

  • GETPATHS.CMD und AppLocker am WTS

    Das „GETPATHS.CMD“ Script wird bei jeder Anmeldung am Terminalserver neu im %TEMP% Verzeichnis generiert und mit aktiviertem AppLocker direkt an der Ausführung gehindert. Wo kommt das Script „GETPATHS.CMD“ her und was macht es? Während des Anmeldevorgangs am WTS wird die Batchdatei „USERLOGON.CMD“ aus „%WinDir%\System32“ aufgerufen („HKEY_LOCAL_MACHINE\ Software \Microsoft \Windows NT \CurrentVersion \Winlogon \Appsetup“ (Set up…