Windows Server 2012 R2

Bewertung: 0 / 5

Stern inaktivStern inaktivStern inaktivStern inaktivStern inaktiv

Applocker protokolliert in der Ereignissanzeige folgende Einträge unter der EventID 8007:

Script 02

Script 03

Das passiert bei mir immer dann, wenn ein Login Script abgearbeitet wird und von Applocker auch erlaubt wird.

Mattias Benninge hat auf Deployment Research über dieses Problem bereits ausführlich berichtet.

Da diese beiden Dateien nach der Ausführung sofort gelöscht werden, ist es nicht ganz einfach, diese Dateien einzufangen und  mittels ihres Hash Wertes auf die Whitelist bei Applocker zu stellen. Man kann die beiden Dateien auch ignorieren, wenn der Hash-Wert mit den unten angegeben Werten passt, da ich mir aber immer ein Mail schicken lasse, wenn Applocker eine Ausführung blockt, dann wird bei jedem Login Script, auch wenn es erfolgreich ausgeführt wurde, ein Mail verschickt. Deswegen habe ich die beiden Dateien der Whitelist hinzugefügt.

Ich stelle die beiden Dateien hier zur Verfügung.

Der Hash-Wert beider Dateien ist der gleiche: 6B86B273FF34FCE19D6B804EFF5A3F5747ADA4EAA22F1D49C01E52DDB7875B4B

Powershell um den Hash-Wert nach dem Download zu überprüfen:

C:\PS>Get-AppLockerFileInformation -Path "Pfad_zur_Datei"

Script 01

 

 

 

Bewertung: 5 / 5

Stern aktivStern aktivStern aktivStern aktivStern aktiv

Folgende Vorarbeiten sollten vor der Einrichtung des Collectordienstes erledigt sein:
Aktivieren der Sicherheitsüberwachung an einem DC (wenn gewünscht)

Sicherheitseinträge von einem DC weiterleiten

Am Collector Server:

Der einfachste Weg um ein sogenanntes Abonnement (Subscription) zu erstellen ist über die GUI der Ereignisanzeige

Ereignisanzeige Abonnement 01

Ereignisanzeige Abonnement 02

Weiterlesen: Event Collector (Sammlungsinitiiert) einrichten

Bewertung: 0 / 5

Stern inaktivStern inaktivStern inaktivStern inaktivStern inaktiv

Folgende Schritte habe ich unternommen, um einen OpenVPN Client als Service zu betreiben und eine automatisiche VPN Einwahl zu erreichen.

 

Am Server 2012 R2 :

Installation OpenVPN Client.

Registrierungseintrag erstellen:

OPVPN 11

Dienst aut automatiischen Start stellen:

OPVPN 12

Damit die Einwahl automatisch erfolgen kann, muss der Benutzername und das Kennwort noch hinterlegt werden.

Im Programmverzeichnis wird im Ordner config eine Datei mit dem Namen pass.txt erstellt

OPVPN 01

Inhalt der Datei ist der entsprechende Benutzername und das Kennwort

OPVPN 02

Bearbeiten der conf Datei:

OPVPN 04

In der Zeile auth-user-pass wird der Eintrag pass.txt hinzugefügt.

OPVPN 03

Quelle:

http://www.martinlehmann.de/wp/client/windows-openvpn-client-als-dienst-laufen-lassen/

https://openvpn.net/index.php/open-source/documentation/install.html?start=1

 

 

Bewertung: 5 / 5

Stern aktivStern aktivStern aktivStern aktivStern aktiv

Damit Sicherheitseinträge in der Ereignisanzeige eines Domänen Controllers an einen anderen Server (Collector) wietergeleitet werden können, sind am Domänen Controller einige Einstellungen notwendig:

  1. Aktivieren der Überwachungsprotokollierung am DC
  2. Computer, der als "Collector" fungiert zur Gruppe der "Ereignisprotokollleser" am DC hinzufügen (Im Beispiel FS01)
    Powershell:
    Add-ADGroupMember identity ‘Ereignisprotokollleser’ member FS01$
    User Account audit 02
    User Account audit 03
  3. GPO "Default Domain Controllers Policy" bearbeiten um dem "Netzwerkdienst" die nötigen Rechte zum Lesen der Ereignisprotokolle zu geben.
    Wert: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)
    User Account audit 04
    alternativ über:
    wevtutil set-log security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)
    wevtutil get-log security
    User Account audit 05
    Nach Abschluss der Arbeiten wird nun der "Collector-Server" eingerichtet.

Bewertung: 0 / 5

Stern inaktivStern inaktivStern inaktivStern inaktivStern inaktiv

In einer Umgebung musste ich nach einer Migration einer CA die Webregistrierung neu installieren. Dabei trat folgender Fehler auf:

Certification Authority Web Enrollment: Konfiguration fehlgeschlagen
Active Directory Certificate Services-Setup ist fehlgeschlagen mit dem folgenden Fehler: Der Parameter ist falsch. 0x80070057 (WIN32: 87)

 

LÖSUNG:

Den Wert des Schlüssels Setupstatus unter HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration ändern. Hier steht bei mir  der Wert 6003 drin. Dieser Wert 6003 zeigt an, dass die CA Webregistrierung bereits installiert ist. Der Wert für die Aktivierung lautet 6001 (not installed).

In HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration den Wert Setupstatus von 6003 in 6001 ändern:

Webregistrierung Fehler

Altaro

Silver 164

Bücher

jarz Windows 10 klein
 

Copyright © winxperts4all.com. All Rights Reserved.