Microsoft
Detecting Emotet using Windows Event Logs
Emotet is a trojan malware that steals sensitive information. Many companies are concerned that their users will get infected by this malware and might leak sensitive information.
A customer I’m currently helping with their Security Operations Center (SOC) asked me, how they can detect Emotet in their environment.
Here’s what I came up with – maybe it helps you detecting Emotet or similar malware in your environment, too! (more…)
EventList – the Baseline Event Analyzer
When it comes to securing Windows Systems, it doesn’t matter if you harden a Domain Controller, a server system or a client – one thing they all have in common:
There are baselines provided by Microsoft, which security settings should be applied for each system.
Amongst others, there are some audit recommendations included.
I often work with customers who just started building their Security Operations Center (SOC). Many customers are confused by the variety of Windows Events: which events should be monitored? Which events will be generated when a specific baseline is applied?
Writing down each event and monitoring recommendations would be a huge effort. That’s why I automated it and created EventList – I hope, it helps you, too! (more…)
Securing your infrastructure with Just Enough Administration
I was giving a talk about Just Enough Administration (JEA) at PSConfEU 2018 in Hannover and I also wanted to share my thoughts with you writing this blog post.
My PSConfEU presentation and demo code can be found on GitHub. The recording on the session will be released soon on the official PSConfEU YouTube channel (I will update this link, once the recording of my session is released). (more…)
Stop using Lan Manager and NTLMv1!
When performing Security checks in customer environments I often find out that LAN Manager or NTLMv1 is still allowed. Most customers don’t know that this setting leaves the environment highly vulnerable to attacks targeting their authentication methods.
Why you should not use LAN Manager and NTLMv1 anymore you will read in this article. (more…)
Einfache Administration durch WMI-Filter
Wenn man Gruppenrichtlinien zuweist, kann man diese bestimmten Organisationseinheiten (OUs) oder Sites zuweisen.
Doch manche Gruppenrichtlinien sollen nur für ein bestimmtes Betriebssystem angewandt werden. Client-Versionen unterscheiden sich manchmal und es müssen unterschiedliche Einstellungen konfiguriert werden.
Wie kann man diese Herausforderung lösen, ohne OUs für jeden Systemtyp anzulegen?
Erfahren Sie in diesem Artikel, wie Sie sich die Administration mit WMI-Filtern vereinfachen. (more…)
Netzwerk-Basisordner per GPO? Auch offline schnell genug!
Werden mehrere Netzlaufwerke per Group Policy verbunden, funktioniert alles gut, solange der Laptop im Netzwerk mit dem Fileserver verbunden ist.
Doch sobald der Laptop keine Netzwerk-Verbindung herstellen kann, wird das Hochfahren zu einer Qual:
Der Laptop wartet, ob nicht doch eine Netzwerkverbindung aufgebaut werden kann und verzögert so die Zeit, bis sich der Benutzer anmelden kann.
Sofern nichts anderes konfiguriert wurde, beträgt die Standardeinstellung für die Wartezeit für die Richtlinienverarbeitung beim Systemstart 30 Sekunden – viel zu lange, wenn der Benutzer gerade beim Kunden ist und sein System startet. Verfügt der Benutzer ein servergespeichertes Benutzerprofil, verlängert sich die Wartezeit um weitere 30 Sekunden (sofern die Standardeinstellung nicht verändert wurde).
Die Standardwerte sollten NICHT verändert werden, um dieses Problem zu lösen, da die Änderung der Werte Einfluss auf andere Gruppenrichtlinien haben kann. Beispielsweise wird durch das Heruntersetzen der Wartezeit für die Richtlinienverarbeitung beim Systemstart die Verteilung von Software über Gruppenrichtlinien unmöglich.
Wie man den Basisordner performant per Gruppenrichtlinie einbindet, erfahren Sie in diesem Artikel. (more…)
Exchange: Deaktivierte User aus der Global Address List (GAL) ausblenden
Verlässt ein Benutzer das Unternehmen, so wird oft das Exchange-Mailkonto gelöscht und der Benutzeraccount gesperrt.
Dadurch kann der ehemalige Benutzer zwar nicht mehr auf Firmendaten zugreifen, in der Global Address List (GAL) wird er dennoch für interne Mitarbeiter angezeigt. Er kann weiterhin im Adressbuch ausgewählt werden und ist im Teamkalender sichtbar.
Das liegt daran, dass der Account noch vorhanden ist und das Attribut msExchHideFromAddressLists keinen Wert enthält.
Wird das Attribut auf TRUE gesetzt, wird der Benutzer weder in der Global Address List noch in Kalendergruppen angezeigt.
Um die Arbeit mit deaktivierten Usern zu vereinfachen, eignen sich die hier beschriebenen PowerShell CMDlets. (more…)