Mit dem kostenlosen Windows-Feature „Windows Eventlog Forwarding“ kann man schnell und zentral wichtige Eventlogs sammeln und sich so für forensische Analysen vorbereiten. Hier seht ihr, wie ich das in meiner Demo-Umgebung implementiere.
WeiterlesenAutor: sysadm
Hardening, Isolation und Detection & Response
Angriffe häufen sich und werden immer professioneller. Mit einer klassischen Sicherheitsstrategie alleine kommen wir nicht mehr weit. Daher müssen wir umdenken und uns neu ausrichten. In diesem Beitrag möchte ich mein Modell vorstellen. Es ist einfacher als das Mitre Att&ck Framework, kann aber auch mit diesem kombiniert werden.
WeiterlesenAD-Hacking über Exchange Server
Exchange Server haben extrem hohe Rechte im Active Directory. Daher sind sie auch ein beliebtes Ziel bei Angreifern und diese fanden bisher über 650! Schwachstellen. Aber wie kann ein Exchange Server für die Übernahme eines AD genutzt werden? Hier gibt es ein simples Beispiel…
WeiterlesenExchange Split Permission
Exchange Server sind im Standard so hoch berechtigt, dass jeder, der sie kontrolliert, problemlos das Active Directory übernehmen kann. Diese Berechtigungen sollte man aufsplitten und damit die IT-Sicherheit ordentlich verbessern.
WeiterlesenInstallation und Tuning von sysmon
In diesem Beitrag zeige ich euch, wie ich sysmon in meiner kleinen Infrastruktur fälchendeckend ausrolle und konfiguriere. Und da ich bereits einen Event-Collector im Einsatz habe, zeige ich auch, wie ich die Events an diesen Server weiterleite.
Weiterlesenparse-ActiveSyncDebugLog
Man kann die Kommunikation zwischen einem ActiveSync-Device und einem Exchange Server protokollieren lassen. Leider sind die Logdaten nur schwer interpretierbar. Hier hilft meine neue PowerShell-Funktion.
WeiterlesenPowershell-Script „Certificate Request Tool“
Hier stelle ich mein PowerShell-Script „Certificate-Request-Tool“ vor. Der Name lässt es vermuten: Damit kann man bequem Zertifikate von einer Windows PKI anfragen. Ausgestattet mit einer grafischen Oberfläche und einer openssl-Schnittstelle bleiben keine Wünsche offen.
WeiterlesenADCS Online Responder Fehler 0x80092013
Nach meiner PKI-Migration gab es ein Problem mit der Netzwerk-Authentifizierung meiner WLAN-Clients. Die Fehlersuche zeigt eine spannende Abhängigkeitskette. Hier erfahrt ihr mehr über den Fehler 0.80092013…
WeiterlesenMigration eines DHCP-Services
Eine DHCP-Migration ist eigentlich keine gro0e Sache. Aber wie funktioniert sie störungsfrei mitten im Betrieb? Hier zeige ich euch meine Vorgehensweise.
WeiterlesenSerie „Migration zu Windows Server 2019“ – Abschluss
Es ist geschafft. Meine Migration auf Windows Server 2019 ist abgeschlossen. In diesem Beitrag zeige ich nur noch die Bereinigungen.
WeiterlesenSerie „Migration auf Windows Server 2019“ – Migration einer RDS-Infrastruktur (WS-RDS2)
Heute migriere ich meinen RDS-Server WS-RDS2 auf Windows Server 20169. Weil es viele spezielle Anpassungen gibt, wage ich eine Inplace-Aktualisierung. Ohne TroubleShooting gibt es da keinen Erfolg…
WeiterlesenSerie „Migration auf Windows Server 2019“ – Migration eines WSUS-Servers (WS-WSUS)
Meine Windows Server 2019 Migrationen sind fast abgeschlossen. Die vorletzte Maschine ist mein WSUS. Der wird heute durch eine Neuinstallation auf das aktuelle Server-Betriebssystem gehoben. Dabei lege ich viel Wert auf Automation beim Update-Prozess…
WeiterlesenSerie „Migration auf Windows Server 2019“ – Migration der PKI
Heute zeige ich, wie ich meine Windows-PKI auf Windows Server 2019 migriere und sie an meine aktuellen Bedürfnisse anpasse. Dabei wird nicht nur eine einfache CA bereitgestellt, sondern auch ein CEP-CES und ein Online Responder…
WeiterlesenSerie „Migration auf Windows Server 2019“ – Migration des dritten Domain Controllers (WS-DC3)
Heute ist der letzte DC an der Reihe. Dieser steht alleine in meiner Außenstelle. Daherr muss ich bei der Aktualisierung von Windows Server 2016 auf Windows Server 2019 entsprechend aufpassen. Die Migration wahr recht einfach. Nur mein Microsoft ATA machte Probleme…
WeiterlesenSerie „Anatomie eines Hacks“ – Step 3d Variante 3: „Privilege Escalation mit Unquoted Service Paths“
In meinem LAB zeige ich eine Möglichkeit, wie Angreifer aus einer Benutzer-Sitzung in den System-Kontext aufsteigen können. Dabei nutze ich eine Kombination von System-Schwachstelle und administrativer Schlamperei aus: ich suche nach Unquoted Service Paths. Der Angriff ist durchaus bekannt. Aber hier gibt es noch einmal einige Hintergrundinformationen und ein Video!
WeiterlesenSerie „Anatomie eines Hacks“ – Step 3d Variante 2: „Privilege Escalation mit Scheduled Tasks“
Die Rechteausweitung (Privilege Escalation) ist durchaus ein fester Bestandteil in Attacken, denn meist werden die Angreifer nur von Benutzern mit Standard-Berechtigungen „eingeladen“. Hier zeige ich eine Möglichkeit, wie eine schlecht abgesicherte, geplante Aufgabe ausgenutzt werden kann.
WeiterlesenGegenmaßnahme zum Angriff „DNS-Wildcard“
In diesem Beitrag stelle ich eine proaktive Gegenmaßnahme zu dem Angriff mit der DNS-Wildcard vor – natürlich mit einem PowerShell-Script!
WeiterlesenSerie „Anatomie eines Hacks“ – Step 3e Variante 4: „Lateral Movement mit einer DNS-Wildcard“
Dieses Video gehört zur Serie „Anatomie eines Hacks“. In meinem LAB gelingt es mir, einen Schadcode im Sicherheitskontext eines Standardbenutzers zu starten. Mein nächster Schritt ist die Modifikation des AD-integrierten DNS – mit einer DNS-Wildcard!
Weiterlesenerstelle-HTMLReport (PowerShell-Funktion)
Hier veröffentliche ich eine meiner PowerShell-Funktionen, die mir in unzähligen Scripten extrem hilfreich war. Mit ihr färbe ich Tabellen in meinen HTML-Mails. Das erleichtert das Lesen ungemein!
WeiterlesenSerie „Migration auf Windows Server 2019“ – Migration des zweiten Domain Controllers (WS-DC2)
Heute ist der zweite DC an der Reihe. Dieser hat eine weniger zentrale Rolle und sollte sich daher stressfreier von Windows Server 2016 auf Windows Server 2019 erneuern lassen. Auch er führt nur ADDS, DNS und einen DHCP-Failover aus. Aber es gab wieder jede Menge Gelegenheiten zum Validieren der TroubleShooting-Skills…
Weiterlesen