Austausch unter IT-Professionals - Erfahrungen, Tipps, Fachsimpelei
- Ersteller Zensai
- Erstellt am
Ranayna
Admiral
- Registriert
- Mai 2019
- Beiträge
- 7.816
Privat duerfte das keine Rolle spielen.
Denn um das auszunutzen muss man ein bekannter User auf dem Zielsystem sein.
Was das so kritisch im Unternehmensnetz macht ist, das quasi jeder User das ist.
Dazu kommt, das der Print Spooler in Standardeinstellungen auf allen Windows Rechner, auch Servern, laeuft. Und das, aufgrund der Funktionsweise des Spoolers, jeder User die Rechte hat die verwundbare Funktion aufzurufen.
Der Domaincontroller ist halt die zentrale Einheit in den meisten Windows Netzwerken. Kann man da SYSTEM Rechte erlangen und die Domain uebernehmen, dann hat man automatisch die Kontrolle ueber alle Rechner die der Domain gejoint sind.
Es gibt inzwischen wohl ein Powershell Script das ein paar Rechte im Print Spooler Verzeichnis anpasst, so das der Spooler fuer lokales Drucken aktiv bleiben kann. Das hilft dann zumindest den Clients, aber da ist die Luecke nicht so kritisch.
Auf den Allermeisten Servern kann der Print Spooler deaktiviert werden. Jetzt aber das dumme, was auch meine Kollegen gestern sehr geargert hat: Selbst wenn man einen deizierten Printserver hat, der nicht der Domaincontroller ist, kann es auswirkungen haben den Spooler auf dem DC zu deaktivieren. Das automatische finden und zuweisen von Druckern funktioniert dann naemlich wohl nicht mehr richtig.
Insgesamt ist die Luecke meiner Meinung nach, nicht so kritisch wie die Exchange Luecke vor ein paar Monaten, denn niemand sollte SMB (worueber der Spooler angesprochen wird) nach aussen freigeben. Hoffe ich.
Der Angriff von Innen ist aber durchaus auch realistich. Ein falsch angeklickter Email Link kann da potentiell schon reichen.
Denn um das auszunutzen muss man ein bekannter User auf dem Zielsystem sein.
Was das so kritisch im Unternehmensnetz macht ist, das quasi jeder User das ist.
Dazu kommt, das der Print Spooler in Standardeinstellungen auf allen Windows Rechner, auch Servern, laeuft. Und das, aufgrund der Funktionsweise des Spoolers, jeder User die Rechte hat die verwundbare Funktion aufzurufen.
Der Domaincontroller ist halt die zentrale Einheit in den meisten Windows Netzwerken. Kann man da SYSTEM Rechte erlangen und die Domain uebernehmen, dann hat man automatisch die Kontrolle ueber alle Rechner die der Domain gejoint sind.
Es gibt inzwischen wohl ein Powershell Script das ein paar Rechte im Print Spooler Verzeichnis anpasst, so das der Spooler fuer lokales Drucken aktiv bleiben kann. Das hilft dann zumindest den Clients, aber da ist die Luecke nicht so kritisch.
Auf den Allermeisten Servern kann der Print Spooler deaktiviert werden. Jetzt aber das dumme, was auch meine Kollegen gestern sehr geargert hat: Selbst wenn man einen deizierten Printserver hat, der nicht der Domaincontroller ist, kann es auswirkungen haben den Spooler auf dem DC zu deaktivieren. Das automatische finden und zuweisen von Druckern funktioniert dann naemlich wohl nicht mehr richtig.
Insgesamt ist die Luecke meiner Meinung nach, nicht so kritisch wie die Exchange Luecke vor ein paar Monaten, denn niemand sollte SMB (worueber der Spooler angesprochen wird) nach aussen freigeben. Hoffe ich.
Der Angriff von Innen ist aber durchaus auch realistich. Ein falsch angeklickter Email Link kann da potentiell schon reichen.
crashbandicot
Captain
- Registriert
- Dez. 2013
- Beiträge
- 3.108
Das Deaktivieren des Spooler-Dienstes auf einem DC hat definitiv keine negativen Auswirkungen auf das Finden, Zuweisen und Einbinden von Netzwerkdruckern. Einzig das Printer Pruning funktioniert dann nicht mehr, aber das nutzen wir sowieso nicht (der Spooler-Dienst auf den Domain Controllern ist bei uns immer deaktiviert, eine der vielen Härtungsmaßnahmen).Ranayna schrieb:
Habe gestern dank PrintNightmare einen 13 Stunden Arbeitstag gehabt und alle von uns betreuten Umgebungen (20+) abgehärtet. Clients, Citrix sowie Druckserver wurden via ACL Workaround abgehärtet und auf allen anderen Systemen wurde der Spooler-Dienst gestoppt und deaktiviert.
Zum Glück setzen wir kein Kaseya ein...
Ranayna
Admiral
- Registriert
- Mai 2019
- Beiträge
- 7.816
Ok, ich bin kein Windowsadmin, und auch kein Drucker admin (mehr 
) bei uns in der Firma.
Ich habe nur am Rande mitbekommen, das nach dem deaktivieren des Spoolers auf dem DC, obwohl wir einen dedizierten Printserver haben, unsere Canon Software wohl nicht mehr richtig funktioniert hat.
) bei uns in der Firma.Ich habe nur am Rande mitbekommen, das nach dem deaktivieren des Spoolers auf dem DC, obwohl wir einen dedizierten Printserver haben, unsere Canon Software wohl nicht mehr richtig funktioniert hat.
crashbandicot
Captain
- Registriert
- Dez. 2013
- Beiträge
- 3.108
Für nicht native Software lege ich meine Hand nicht ins Feuer.Ranayna schrieb:
Aber grundsätzlich sei dir versichert, dass das Stoppen des Spooler-Dienstes auf einem DC keine negativen Auswirkungen hat, wenn man reine Windows Mittel für das Bereitstellen von zentralen Print Services nutzt.Dies habe ich mir von unseren Print Admins versichern lassen und da ich die Umsetzung auf den DCs durchgeführt habe, und wir bislang noch keine negativen Auswirkungen festgestellt haben, halte ich es für nahezu ausgeschlossen.
Ranayna
Admiral
- Registriert
- Mai 2019
- Beiträge
- 7.816
Ich glaube dir ja 
Allerdings ist es in meinem Fall mehr als 10 Jahre her das ich mal einen Printserver adminstriert habe, was Microsoft da seit dem gemacht hat habe ich so mal garnicht im Blick.
In der aktuellen Situation die seit ein paar Monaten herrscht bin ich sowas von froh keinen Service zu betreuen der direkten Kontakt mit der Aussenwelt hat...
Seit dem bekannt werden der Exchange und Solarwinds Luecken vergeht doch kaum eine Woche ohne groessere Security vorkommnisse.
Ich moechte garnicht wissen wie viele Firmen infiltriert wurden, ohne das die Hacker gross auf sich aufmerksam machen...
Allerdings ist es in meinem Fall mehr als 10 Jahre her das ich mal einen Printserver adminstriert habe, was Microsoft da seit dem gemacht hat habe ich so mal garnicht im Blick.
In der aktuellen Situation die seit ein paar Monaten herrscht bin ich sowas von froh keinen Service zu betreuen der direkten Kontakt mit der Aussenwelt hat...
Seit dem bekannt werden der Exchange und Solarwinds Luecken vergeht doch kaum eine Woche ohne groessere Security vorkommnisse.
Ich moechte garnicht wissen wie viele Firmen infiltriert wurden, ohne das die Hacker gross auf sich aufmerksam machen...
Ja, das ist langsam echt eine Pest. Selbst unter Linux hat es um letzten Jahr zwei bis drei Situationen gegeben wo man patchen musste. Das macht echt keinen Spaß vor allem die Sudo Lücke war ja richtig kritisch, da jeder Nutzer root werden konnte..
Da bin ich dann auch noch um 23 Uhr dran gesessen und bei nem Kunden ein Problem gefixed das aus einem hotfix entstanden ist. Sonst wäre der Cluster mit paar hundert Knoten gestanden... macht echt keinen Spaß sowas
Da bin ich dann auch noch um 23 Uhr dran gesessen und bei nem Kunden ein Problem gefixed das aus einem hotfix entstanden ist. Sonst wäre der Cluster mit paar hundert Knoten gestanden... macht echt keinen Spaß sowas
nosti
Lieutenant
- Registriert
- März 2010
- Beiträge
- 752
Das zeigt meiner Meinung nach nur das auf, was viele nicht wahr haben wollen:
Jede Software hat Fehler!
Ob es ein Firmware, Hypervisor, ein OS oder eine Anwendungssoftware ist, ist dabei vollkommen Wurst.
Und genau für sowas gibt es ja Softwareupdates, man muss sie eben nur einspielen....und da bekommst du in Produktionskritischen Systemen eher in Verlegenheit....IT kann auch nicht einfach 24/7 laufen und alles ist fein. Leider verstehen das die Leute oft nicht.
Grüße
Jede Software hat Fehler!
Ob es ein Firmware, Hypervisor, ein OS oder eine Anwendungssoftware ist, ist dabei vollkommen Wurst.
Und genau für sowas gibt es ja Softwareupdates, man muss sie eben nur einspielen....und da bekommst du in Produktionskritischen Systemen eher in Verlegenheit....IT kann auch nicht einfach 24/7 laufen und alles ist fein. Leider verstehen das die Leute oft nicht.
Grüße
Es gibt auch Kunden mit einem alten SBS, die beherzigen sowas eher selten 
. IT ist eben ein teurer Posten bei dem der Mehrwert fast nie gesehen wird sofern alles irgendwie läuft und das teilweise bei Firmen die so gut wie papierlos arbeiten.
. IT ist eben ein teurer Posten bei dem der Mehrwert fast nie gesehen wird sofern alles irgendwie läuft und das teilweise bei Firmen die so gut wie papierlos arbeiten.Ja, vor allem weil das ja oft komplexe Systeme sind und da durchaus mal was nachdem Update nicht mehr tut. Oder man muss einiges neu bauen. Ich sag nur Lustre. Wenn da plötzlich nen Bug gefunden wird der Sicherheitskritisch ist, ist das System erstmal dicht, bis das neu gebaut ist und da ist man dann schnell mal nen Tag beschäftigt.nosti schrieb:
Und da kommt das nächste Problem. Die Leute kaufen/wollen keinen 24/7/365 Support bezahlen, wenn dann aber sowas passiert, dann ist keiner begeistert wenn das System mal nen Tag oder so steht.
Aber was macht man nicht alles damit die Kunden zufrieden sind.
nosti
Lieutenant
- Registriert
- März 2010
- Beiträge
- 752
@holdes
Unternehmen mit einem SBS kenne ich auch noch....hab da schon paarmal den Hinweis platziert, das Ding endlich zu ersetzen, zumal da alles drüber gemacht wird (wie das mit dem SBS früher nunmal so war)
Es kann ja gute Gründe geben bestimmte alte Betriebssysteme einzusetzen. Ich kenne ein Unternehmen, welches bis vor ein paar Jahren noch Win 2000 eingesetzt hat....einfach aus dem Grund, weil das gesamte Leitsystem nur für Win 2000 lizensiert war. Unter entsprechenden Sicherheitsmaßnahmen ist das ja auch irgendwie noch möglich. Allerdings darf man dann eben nicht den Komfort und die tollen Funktionen aktueller Betriebssysteme erwarten.
@Skysnake
meistens ist es doch so, dass die Leute, ihrer Meinung nach einen Haufen Geld für Technik ausgegeben haben und dann ganz verwundert sind wenn nochmal 15-20% vom Invest jährlich fällig werden.
Es gibt übrigens ein schönes Buch über dieses ganze Dilemma. Wen es interessiert schaut euch mal "eine Million oder ein Jahr an". Da ist ein schönes Beispiel drin um ein IT-Problem mit einen greifbareren Sachverhalt abzubilden. Bei Interesse schicke ich das mal als "Leseprobe" hier rein
Grüße
Unternehmen mit einem SBS kenne ich auch noch....hab da schon paarmal den Hinweis platziert, das Ding endlich zu ersetzen, zumal da alles drüber gemacht wird (wie das mit dem SBS früher nunmal so war)
Es kann ja gute Gründe geben bestimmte alte Betriebssysteme einzusetzen. Ich kenne ein Unternehmen, welches bis vor ein paar Jahren noch Win 2000 eingesetzt hat....einfach aus dem Grund, weil das gesamte Leitsystem nur für Win 2000 lizensiert war. Unter entsprechenden Sicherheitsmaßnahmen ist das ja auch irgendwie noch möglich. Allerdings darf man dann eben nicht den Komfort und die tollen Funktionen aktueller Betriebssysteme erwarten.
@Skysnake
meistens ist es doch so, dass die Leute, ihrer Meinung nach einen Haufen Geld für Technik ausgegeben haben und dann ganz verwundert sind wenn nochmal 15-20% vom Invest jährlich fällig werden.
Es gibt übrigens ein schönes Buch über dieses ganze Dilemma. Wen es interessiert schaut euch mal "eine Million oder ein Jahr an". Da ist ein schönes Beispiel drin um ein IT-Problem mit einen greifbareren Sachverhalt abzubilden. Bei Interesse schicke ich das mal als "Leseprobe" hier rein
Grüße
Naja, man muss faire sagen, das unsere Kunden dann zumindest mehrere Vollzeitadmins haben die sich um Dinge kümmern, aber wenn sowas passiert, muss man dann doch oft noch was tun.
Der spezielle Kunde hatte z.b. nen eigenen Hotfix gebaut. Das war schon für uns auch ne Hilfe da es uns im Zweifel einige Stunden gespart hätte wenn CentOS zu lange gebraucht hätte. Aber er ist am Ende dann halt bei nem anderen Problem hängen geblieben.
Naja, anderen Kunden haben wir schnell die Systeme abgedichtet bevor sie dazu gekommen sind. Am Ende wäre es ja für uns viel mehr Arbeit wenn ein System kompromittiert worden wäre.
Der spezielle Kunde hatte z.b. nen eigenen Hotfix gebaut. Das war schon für uns auch ne Hilfe da es uns im Zweifel einige Stunden gespart hätte wenn CentOS zu lange gebraucht hätte. Aber er ist am Ende dann halt bei nem anderen Problem hängen geblieben.
Naja, anderen Kunden haben wir schnell die Systeme abgedichtet bevor sie dazu gekommen sind. Am Ende wäre es ja für uns viel mehr Arbeit wenn ein System kompromittiert worden wäre.
nosti
Lieutenant
- Registriert
- März 2010
- Beiträge
- 752
Moin,
natürlich darf man nicht verallgemeinern. Es gibt jedoch nicht nur Kunden die entsprechende Vollzeitstellen besetzt haben. Manchmal fragt man sich dann wie die so lange überleben konnten. Mein bester Kumpel ist selbst in so einer Bude...ab und an klingelt mal das Telefon, da der besagt SBS nicht mehr tut....
Andererseits schlägt man sich auch oft mit Kollegen herum, die es eigentlich besser wissen müssten. Wir haben selbst gut 20 Entwickler und bei manchen frage ich mich wirklich, was da los ist. Die Umgebungen sehen zum Teil katastrophal aus, Updates werden bewusst deaktiviert (Linux wie Windows), Verbindungen über unverschlüsselte Verbindungen zugelassen, Passwörter im Klartext in Config-Dateien hinterlegt....
Ihr Auto bringen die Jungs auch regelmäßig in die Werkstatt zur Durchsicht, aber bei einem IT-Gerät sieht keiner die Notwendigkeit eines "Services".
Wenn ich dann mit der Security-Keule ankomme, bekomme ich nur ein Augenrollen als Reaktion. Die sollen schließlich entwickeln und das muss funktionieren. IT-Security wird viel zu oft als Projekt-Blocker wahrgenommen. Dabei sollte man sich eher mal die Frage stellen was das Unternehmen noch leisten kann, wenn plötzlich alle Daten verschlüsselt sind, oder der komplette Kundenbestand im Internet zum Kauf angeboten wird. Von dem Imageschaden redet da noch keiner.
Grüße
natürlich darf man nicht verallgemeinern. Es gibt jedoch nicht nur Kunden die entsprechende Vollzeitstellen besetzt haben. Manchmal fragt man sich dann wie die so lange überleben konnten. Mein bester Kumpel ist selbst in so einer Bude...ab und an klingelt mal das Telefon, da der besagt SBS nicht mehr tut....
Andererseits schlägt man sich auch oft mit Kollegen herum, die es eigentlich besser wissen müssten. Wir haben selbst gut 20 Entwickler und bei manchen frage ich mich wirklich, was da los ist. Die Umgebungen sehen zum Teil katastrophal aus, Updates werden bewusst deaktiviert (Linux wie Windows), Verbindungen über unverschlüsselte Verbindungen zugelassen, Passwörter im Klartext in Config-Dateien hinterlegt....
Ihr Auto bringen die Jungs auch regelmäßig in die Werkstatt zur Durchsicht, aber bei einem IT-Gerät sieht keiner die Notwendigkeit eines "Services".
Wenn ich dann mit der Security-Keule ankomme, bekomme ich nur ein Augenrollen als Reaktion. Die sollen schließlich entwickeln und das muss funktionieren. IT-Security wird viel zu oft als Projekt-Blocker wahrgenommen. Dabei sollte man sich eher mal die Frage stellen was das Unternehmen noch leisten kann, wenn plötzlich alle Daten verschlüsselt sind, oder der komplette Kundenbestand im Internet zum Kauf angeboten wird. Von dem Imageschaden redet da noch keiner.
Grüße
Ranayna
Admiral
- Registriert
- Mai 2019
- Beiträge
- 7.816
Solche Entwickler sind ein eigenes Voelkchen
Aber so kommen dann hinrisse Systemanforderungen raus:
Alles schon gesehen, und meistens mehrere dieser Punkte...
Aber so kommen dann hinrisse Systemanforderungen raus:
- Die Anwendung braucht Admin Rechte
- Die Anwendung braucht Domain-Admin Rechte!
- Virenscanner abschalten
- UAC abschalten
- Firewall abschalten
- Updates nur nach Genemigung
- Shares mit Everyone Full Controll auf NTFS Ebene
Alles schon gesehen, und meistens mehrere dieser Punkte...
- Registriert
- Juni 2015
- Beiträge
- 1.257
Ihr erzählt da was,
wenn wir "moderne" Software reinbekommen die dann nicht als Service laufen kann sondern einen angemeldeten Benutzer benötigt wird mir mittlerweile schlecht.
Und das von einem riesigen DAX Konzern...
wenn wir "moderne" Software reinbekommen die dann nicht als Service laufen kann sondern einen angemeldeten Benutzer benötigt wird mir mittlerweile schlecht.
Und das von einem riesigen DAX Konzern...
W
Wochenende
Gast
Ha ha. Autologin als Domain-Admin, Passwort = Benutzername, max. 4 Zeichen. Marktführer in D.Ranayna schrieb:
nosti
Lieutenant
- Registriert
- März 2010
- Beiträge
- 752
@evilhunter
So einen Kram muss ich leider auch noch nebenbei mit Betreuen. Irgendwelche Custom Scripts die einen angemeldet User benötigen....äußerst Professionell
Das Ganze noch in Kombination mit einer Pervasive-DB.....wie ich diese Software "liebe"
So einen Kram muss ich leider auch noch nebenbei mit Betreuen. Irgendwelche Custom Scripts die einen angemeldet User benötigen....äußerst Professionell
Das Ganze noch in Kombination mit einer Pervasive-DB.....wie ich diese Software "liebe"
Ja sowas ist ganz toll. Gerade ältere Kollegen sind manchmal schwer davon zu überzeugen, das Security ein Designziel ersten Grades ist. Ist das nicht erfüllt braucht man gar nicht weiter machen...
Da kommen dann teils so Sachen wie: ja das ist ja in einem abgeriegelten Netz mit nur beschränkten Nutzern und auf die eigentlichen Systeme kommen eh nur admin drauf.
Klar zu einem großen Teil passt es ja, weil eben wirklich nur admin auf die Systeme teils kommen, aber es gibt Verbindungen zwischen den Systemen und die sollten dann doch lieber verschlüsselt sein auch wenn einer erstmal physischen Zugriff aufs Netz brüchte. Aber wie leicht ist nen RasPi in eine Netz gehängt...
Da kommen dann teils so Sachen wie: ja das ist ja in einem abgeriegelten Netz mit nur beschränkten Nutzern und auf die eigentlichen Systeme kommen eh nur admin drauf.
Klar zu einem großen Teil passt es ja, weil eben wirklich nur admin auf die Systeme teils kommen, aber es gibt Verbindungen zwischen den Systemen und die sollten dann doch lieber verschlüsselt sein auch wenn einer erstmal physischen Zugriff aufs Netz brüchte. Aber wie leicht ist nen RasPi in eine Netz gehängt...