Windows Server 2012 R2

Radiusauthentifizierung WLAN funktioniert nach Windows Update KB4034681 für Server 2012 R2 nicht mehr

Zuletzt aktualisiert: 11. August 2017 | Veröffentlicht: 11. August 2017 | Geschrieben von Köck Bernhard | Zugriffe: 1740

Nach dem Einspielen von Windows Update KB4034681 funktioniert auf einem Windows Server 2012 R2 die Radiusauthentifizierung (WLAN, Computerzertifikate) nicht mehr.

Workaround:

On the server, set the following DWORD registry key's value to = 0: SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13\DisableEndEntityClientCertCheck

Quelle: https://support.microsoft.com/en-us/help/4034681/windows-8-1-windows-server-2012-r2-update-kb4034681

PSScriptPolicyTest wird von Applocker blockiert

Zuletzt aktualisiert: 08. Juni 2017 | Veröffentlicht: 08. Juni 2017 | Geschrieben von Köck Bernhard | Zugriffe: 3347

Applocker protokolliert in der Ereignissanzeige folgende Einträge unter der EventID 8007:

Das passiert bei mir immer dann, wenn ein Login Script abgearbeitet wird und von Applocker auch erlaubt wird.

Mattias Benninge hat auf Deployment Research über dieses Problem bereits ausführlich berichtet.

Da diese beiden Dateien nach der Ausführung sofort gelöscht werden, ist es nicht ganz einfach, diese Dateien einzufangen und mittels ihres Hash Wertes auf die Whitelist bei Applocker zu stellen. Man kann die beiden Dateien auch ignorieren, wenn der Hash-Wert mit den unten angegeben Werten passt, da ich mir aber immer ein Mail schicken lasse, wenn Applocker eine Ausführung blockt, dann wird bei jedem Login Script, auch wenn es erfolgreich ausgeführt wurde, ein Mail verschickt. Deswegen habe ich die beiden Dateien der Whitelist hinzugefügt.

Ich stelle die beiden Dateien hier zur Verfügung.

Der Hash-Wert beider Dateien ist der gleiche: 6B86B273FF34FCE19D6B804EFF5A3F5747ADA4EAA22F1D49C01E52DDB7875B4B

Powershell um den Hash-Wert nach dem Download zu überprüfen:

C:\PS>Get-AppLockerFileInformation -Path "Pfad_zur_Datei"

Sicherheits-Ereigniseinträge von einem Domänen Conroller weiterleiten

Zuletzt aktualisiert: 07. Juni 2017 | Veröffentlicht: 07. Juni 2017 | Geschrieben von Köck Bernhard | Zugriffe: 2328

Bewertung: 5 / 5

Damit Sicherheitseinträge in der Ereignisanzeige eines Domänen Controllers an einen anderen Server (Collector) wietergeleitet werden können, sind am Domänen Controller einige Einstellungen notwendig:

Aktivieren der Überwachungsprotokollierung am DC
Computer, der als "Collector" fungiert zur Gruppe der "Ereignisprotokollleser" am DC hinzufügen (Im Beispiel FS01)
Powershell:

Add-ADGroupMember –identity ‘Ereignisprotokollleser’ –member FS01$
GPO "Default Domain Controllers Policy" bearbeiten um dem "Netzwerkdienst" die nötigen Rechte zum Lesen der Ereignisprotokolle zu geben.
Wert: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)

alternativ über:

wevtutil set-log security /ca:’O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)’

wevtutil get-log security

Nach Abschluss der Arbeiten wird nun der "Collector-Server" eingerichtet.