Het grote kleine-SysOps-vragen topic deel 1

MantaMaartuh schreef op zaterdag 19 juni 2021 @ 09:28:
[...]


Ik kwam wel wat tegen wat zonder public folders niet goed geregeld kreeg: centrale contact personen voor een afdeling. Die krijg ik met geen mogelijkheid in het adresboek van de afdelinggebruikers. Daar kun je je wel op voorbereiden qua vragen misschien. (Was on prem 2016)

Mooi, dat gebruiken we gelukkig niet. Contactpersonen staan in ons ERP pakket

Een korte technische vraag, maar wel iets van inleiding.

Huidig onprem Ex2013. Aangezien die er in 2023 uit moet aan het onderzoeken of 365 een optie is. Veel is duidelijk, zoals prijs en wat je krijgt. Backups maken moet ik zelf doen, prima.
Aangezien ik <50 users heb is een cutover migratie de weg om te volgen, op een vrijdagavond de migratie aanslingeren en op zaterdag afmaken. Daarna bij iedereen de Outlook profielen vervangen. Tot zover is het duidelijk.

De wens is dan om onsite geen Exchange meer te hebben, alles over naar 365 en beheer van mailgroepen en gebruikers kan ik in de admin portal. Weinig verschil met nu, of ik nu ECP/EAC in moet of 365 admin portal.

Maar dan, dan heb ik gebruikers onprem in AD en gebruikers in 365. Bij de migratie worden zover ik kan zien de accounts gemaakt en kan ik daar wachtwoorden aan knopen. Maar mooier is het natuurlijk als het allemaal hetzelfde is. SSO tegen de lokale AD aan en dan 365 mailbox kunnen openen.

Is er iemand die mij op weg kan helpen zodat ik mij daarin kan verdiepen? Moet ik dan AD connect gebruiken? Of doet niemand dit en krijgt de gebruiker 2 wachtwoorden en mag het uitzoeken?

Migratie traject lijkt mij duidelijk, desnoods kan ik export/import van PST's doen als het allemaal lastig is. Maar de onprem AD pieter@contoso.local koppelen aan 365 pietje@contoso.onmicrosoft.com (of pietje@contoso.com, wat het uiteindelijke mail adres zal zijn) is mij nog een beetje vaag.

@Drardollan
Dit is niet nodig als je een moderne outlook hebt > Daarna bij iedereen de Outlook profielen vervangen. Tot zover is duidelijk.<
Als je het goed migreert past outlook zich wel aan naar de juiste server.

Voor de korte klap om het goed te doen:
-Zorg dat UPN in je ad goed staat, en de inlog hetzelfde is als de email adressen.
-Op een andere server AD Connect idd installeren (DC of iets anders in het domein).
-Vervolgens gebruikers syncen en licenties koppelen
-Hybrid oplossing opbouwen met exchange met de juiste wizard van 365. Dan word alles voor ingericht
-Mailverkeer tussen 365/exchange testen, firewalls eventueel aanpassen indien antispam er tussen zit.
-testmailbox migratie doen, kijken als alles nog steeds werkt
-inplannen daarna mailboxen migreren via exchange. Dit kun je idd het beste buiten werktijd doen. Als die klaar is hoeft de gebruiker geen nieuw outlook profiel, en kan die gewoon doorwerken en misschien 1x even het wachtwoord in te voeren.

Hooguit een dagje werk (voor mij )

Renegade666 schreef op donderdag 22 juli 2021 @ 11:52:
@Drardollan
Dit is niet nodig als je een moderne outlook hebt > Daarna bij iedereen de Outlook profielen vervangen. Tot zover is duidelijk.<
Als je het goed migreert past outlook zich wel aan naar de juiste server.

Voor de korte klap om het goed te doen:
-Zorg dat UPN in je ad goed staat, en de inlog hetzelfde is als de email adressen.
-Op een andere server AD Connect idd installeren (DC of iets anders in het domein).
-Vervolgens gebruikers syncen en licenties koppelen
-Hybrid oplossing opbouwen met exchange met de juiste wizard van 365. Dan word alles voor ingericht
-Mailverkeer tussen 365/exchange testen, firewalls eventueel aanpassen indien antispam er tussen zit.
-testmailbox migratie doen, kijken als alles nog steeds werkt
-inplannen daarna mailboxen migreren via exchange. Dit kun je idd het beste buiten werktijd doen. Als die klaar is hoeft de gebruiker geen nieuw outlook profiel, en kan die gewoon doorwerken en misschien 1x even het wachtwoord in te voeren.

Hooguit een dagje werk (voor mij )

Voor mij 6 maanden (overdreven). Geen enkele ervaring mee, ik zit te twijfelen of ik niet eerst eens wat test rommel opbouw thuis. 3 VM's en een paar 30 dagen licenties zou voldoende moeten zijn.

UPN staat hier op pietje@contoso.local en kan niets anders kiezen.

Voor de rest duidelijk, Outlook is goed Toevallig ervaring met de iPhone (Apple) mail? Die gaat vast niet
vanzelf?
Hybrid setup lijkt niet nodig, alles gewoon in 1 dag doen. Mailboxen zijn hier maximaal 2GB, dus moet snel kunnen toch haha

[ Voor 3% gewijzigd door Drardollan op 22-07-2021 11:58 ]

@Drardollan

Hybrid zou ik juist wel doen, iets meer werk qua opbouw, maar makkelijker overgang > lees minder gefrustreerde gebruikers ) . En als je iets vergeet, dan is het niet gelijk paniek.

Appel/Android is wisselend. Bij mij deden iphones vaak moeilijk en androids niet. Maar bij collega's net andersom...

UPN moet je even toevoegen als het .local adressen zijn, anders gaat het NIET werken met AD connect.
Maar is een kleine aanpassing, en dan alle gebruikers aanpassen in bulk

Renegade666 schreef op donderdag 22 juli 2021 @ 12:19:
@Drardollan

Hybrid zou ik juist wel doen, iets meer werk qua opbouw, maar makkelijker overgang > lees minder gefrustreerde gebruikers ) . En als je iets vergeet, dan is het niet gelijk paniek.

Neem ik mee in de overweging!

Appel/Android is wisselend. Bij mij deden iphones vaak moeilijk en androids niet. Maar bij collega's net andersom...

Spannende tijd

UPN moet je even toevoegen als het .local adressen zijn, anders gaat het NIET werken met AD connect.
Maar is een kleine aanpassing, en dan alle gebruikers aanpassen in bulk

OK, daar moet ik dus even induiken van te voren. Bedankt voor de heads-up.

@Drardollan
Gp, als je meer vragen hebt, geef maar een gil

Renegade666 schreef op donderdag 22 juli 2021 @ 13:05:
@Drardollan
Gp, als je meer vragen hebt, geef maar een gil

Eerst vakantie, daarna FortiGate NSE4 en daarna ga ik een serieuze test opbouwen. Maar omdat er nu weinig te doen is vandaag en morgen ben ik maar een beetje aan het rondkijken en inlezen gegaan

Thanks!

Tip, gelijk van het begin strak opbouwen. gezien je bedrijf kritische zooi heb, ook multifactor authenticatie invoeren

Of inloggen met je Smartphone

[ Voor 12% gewijzigd door Duinkonijn op 22-07-2021 13:39 ]

Zojuist belde iemand van Dell, sprak Engels via een 06 nummer met vragen over mijn storage en backup, of we tevreden waren van de snelheid en de hoeveelheid. Ik vertrouwde het niet dus ik heb niet teveel informatie gegeven maar is dit normaal ? Gezien ransomware vind ik dit nogal gevoelige info, maar de persoon kende wel mijn achternaam.

[ Voor 12% gewijzigd door marcop82 op 22-07-2021 15:34 ]

marcop82 schreef op donderdag 22 juli 2021 @ 15:34:
Zojuist belde iemand van Dell, sprak Engels via een 06 nummer met vragen over mijn storage en backup, of we tevreden waren van de snelheid en de hoeveelheid. Ik vertrouwde het niet dus ik heb niet teveel informatie gegeven maar is dit normaal ? Gezien ransomware vind ik dit nogal gevoelige info, maar de persoon kende wel mijn achternaam.

06 nummer al gegoogled? Ik zal dat soort gesprekken idd niet telefonisch doen met een onbekende maar met het bedrijf waar de spullen vandaan komen of een official van het merk persoonlijk/Teams of wat dan nog.

Gister een server HPE ML30 G10 besteld met 4LFF slots. Bij de bestelling van de schijven erbij niet goed opgelet en 3 sff ssds besteld..

Heb ze voor nu maar even los geschroefd en er los ingestoken wat wel werkt maar voor lange termijn geen goede optie. HP lijkt geen echte oplossing te kunnen bieden, sff drive bay zou niet in het chassis passen.

Heb geprobeerd om een geschikte tray te vinden voor de 2.5 inch sata ssd maar kon eigenlijk alleen iets van $50,- vinden in US. Iemand hier eerder tegenaan gelopen en een betere oplossing kunnen vinden?

stuffer schreef op donderdag 22 juli 2021 @ 16:11:
[...]


06 nummer al gegoogled? Ik zal dat soort gesprekken idd niet telefonisch doen met een onbekende maar met het bedrijf waar de spullen vandaan komen of een official van het merk persoonlijk/Teams of wat dan nog.

Ja het nummer gaf geen resultaten, behalve dat het van KPN zijn nummer range is. We hebben ook hardware van Dell dus bizar is het niet dat ze bellen maar ik snapte het nut van het gesprek niet en het Engelstalig gesprek via een 06 nummer.

@Drardollan Als ik je een stukje gemak mag adviseren:
M365 E3 licentie afnemen - Zeer compleet voor een MKB-er.

Daar zit oa in:
- Azure AD P1 (hallo password reset tool bij MS)
- Office licentie voor de gebruiker
- Windows licentie voor de gebruiker
- Intune (Autopilot - meer tijd voor jezelf )
- Teams
- Enz


Ja, je kan een paar euro per maand besparen door 3 a 4 losse licenties te nemen ; maar je klikt je helemaal dol. Pak je net de verkeerde combinatie, kan het nog de nodige uurtjes kosten voordat je uitgevonden hebt waarom het niet werkt.

D_Jeff schreef op vrijdag 23 juli 2021 @ 10:16:
@Drardollan Als ik je een stukje gemak mag adviseren:
M365 E3 licentie afnemen - Zeer compleet voor een MKB-er.

Daar zit oa in:
- Azure AD P1 (hallo password reset tool bij MS)
- Office licentie voor de gebruiker
- Windows licentie voor de gebruiker
- Intune (Autopilot - meer tijd voor jezelf )
- Teams
- Enz


Ja, je kan een paar euro per maand besparen door 3 a 4 losse licenties te nemen ; maar je klikt je helemaal dol. Pak je net de verkeerde combinatie, kan het nog de nodige uurtjes kosten voordat je uitgevonden hebt waarom het niet werkt.

Dank je wel voor het advies. Maar ik denk dat het zover nog niet is hier, ik zal denk ik beginnen met E1. laptops heb ik allemaal met Windows licentie (vanuit Dell) en Office heb ik recent alles vervangen door 2019.

Mijn plan is simpel om qua mail over te gaan naar E1, dan krijg ik er ook direct Teams bij en kan ik mijn huidige Bluejeans oplossing (deels) wegdoen. De volgende stap zal dan zijn om users langzaam te gaan upgraden naar E3 op het moment dat er een nieuwe laptop en/of Office moet komen.

1 ding tegelijk

Drardollan schreef op vrijdag 23 juli 2021 @ 10:33:
[...]
Dank je wel voor het advies. Maar ik denk dat het zover nog niet is hier, ik zal denk ik beginnen met E1. laptops heb ik allemaal met Windows licentie (vanuit Dell) en Office heb ik recent alles vervangen door 2019.

Je vergeet iets denk ik . Als je een Microsoft 365 E(x) licentie afneemt krijg je voor iedere intune geregistreerde machine een Windows 10 Enterprise licentie. Dat geeft weer wat extra features.

asing schreef op vrijdag 23 juli 2021 @ 11:03:
[...]


Je vergeet iets denk ik . Als je een Microsoft 365 E(x) licentie afneemt krijg je voor iedere intune geregistreerde machine een Windows 10 Enterprise licentie. Dat geeft weer wat extra features.

Zeker, maar geen functies waar ik nu op zit te wachten / noodzaak voor heb. Het is niet meer zo dat mijn huidige licenties geld opleveren. Helaas. Vroeger waren er nog wel eens opkoop dingen van Microsoft, maar daar kan ik niets meer van vinden.

WinPro doet het hier naar behoren, mogelijk in de toekomst wel kijken of bij nieuwe aanschaf zonder Windows en Office kan, dan heeft een E3 wel nut.

Drardollan schreef op vrijdag 23 juli 2021 @ 11:09:
[...]


Zeker, maar geen functies waar ik nu op zit te wachten / noodzaak voor heb. Het is niet meer zo dat mijn huidige licenties geld opleveren. Helaas. Vroeger waren er nog wel eens opkoop dingen van Microsoft, maar daar kan ik niets meer van vinden.

WinPro doet het hier naar behoren, mogelijk in de toekomst wel kijken of bij nieuwe aanschaf zonder Windows en Office kan, dan heeft een E3 wel nut.

Helaas, je machine moet met een Pro licentie zijn geleverd (OEM of Retail), de Enterprise is een uitbreiding daarop. Het was/is mogelijk om zonder windows pro key een enterprise key toe te wijzen maar het voldoet niet aan de licentievoorwaarden.

Overigens ben je er nog niet dan.....

- Windows 365 e(x) licentie, E3 oim Intune te krijgen
- AzureAD P1 of P2 licentie
- Defender for Office365 (plan 1 of plan 2)

En voor de lolz:
- Intune telephony licence
- Bel abonnement

Die laatste 2 alleen als je via Teams wil bellen en gebeld worden. Ik ken inmiddels een paar bedrijven die zo zaten te klooien met hun oude centrale of VOIP centrale met softclient dat ze inmiddels over zijn gestapt of overstappen naar Teams bellen.

Maar ik wil helemaal geen WinEnt, Intune, bellen of andere zaken? Ik wil Exchange Online en later misschien Office in een E3. Op dit moment heb ik geen behoefte aan meer functies, maar dat kan later dus wel veranderen gaandeweg de tijd. En is afhankelijk van behoefte en aanbod.

[ Voor 9% gewijzigd door Drardollan op 23-07-2021 11:31 ]

Drardollan schreef op vrijdag 23 juli 2021 @ 11:29:
Maar ik wil helemaal geen WinEnt, Intune, bellen of andere zaken? Ik wil Exchange Online en later misschien Office in een E3. Op dit moment heb ik geen behoefte aan meer functies, maar dat kan later dus wel veranderen gaandeweg de tijd. En is afhankelijk van behoefte en aanbod.

Wat ik in ieder geval kan aanraden is die Defender for Office365 licentie. Die geeft je allerlei mogelijkheden om je gebruikers tegen phising aanvallen te beschermen.

AzureAD P1 is ook handig, dan krijg je conditional access etc erbij.

Als je denkt dat je veilig bent met alleen een office licentie, think again.

asing schreef op vrijdag 23 juli 2021 @ 11:38:
[...]


Wat ik in ieder geval kan aanraden is die Defender for Office365 licentie. Die geeft je allerlei mogelijkheden om je gebruikers tegen phising aanvallen te beschermen.

AzureAD P1 is ook handig, dan krijg je conditional access etc erbij.

Als je denkt dat je veilig bent met alleen een office licentie, think again.

Een deel van het onderzoek zal omvatten dat ik kijk of mijn huidige spamfilter nog voldoet en of ik hiervoor iets bij MS ga aanschaffen bijvoorbeeld. En misschien gaan mijn AV er op termijn ook nog wel eens uit, maar voor nu is dat geen vraag.

Maar ik vroeg enkel wat ik moet doen om de wachtwoorden onprem en M365 straks gelijk te hebben. Wat ik niet wil is verzanden in een miljoen opties voor honderden euro's per maand die ik niet gebruik. Gaandeweg de tijd zal er wel meer en meer bijkomen, maar stap 1 is de mail erheen tillen.

[ Voor 10% gewijzigd door Drardollan op 23-07-2021 11:47 ]

pr1nsje schreef op donderdag 22 juli 2021 @ 17:30:
Gister een server HPE ML30 G10 besteld met 4LFF slots. Bij de bestelling van de schijven erbij niet goed opgelet en 3 sff ssds besteld..

Heb ze voor nu maar even los geschroefd en er los ingestoken wat wel werkt maar voor lange termijn geen goede optie. HP lijkt geen echte oplossing te kunnen bieden, sff drive bay zou niet in het chassis passen.

Heb geprobeerd om een geschikte tray te vinden voor de 2.5 inch sata ssd maar kon eigenlijk alleen iets van $50,- vinden in US. Iemand hier eerder tegenaan gelopen en een betere oplossing kunnen vinden?

Ben niet helemaal thuis in de hp server wereld (sff, lff) maar dat is gewoon 2,5 inch vs 3,5 inch als ik het goed begrijp ?

Zou iets als dit niet lukken om de ssd's in de 3,5 inch tray te monteren:
https://www.megekko.nl/pr...nting-Bracket-Inbouwframe

Drardollan schreef op vrijdag 23 juli 2021 @ 11:46:
[...]
Maar ik vroeg enkel wat ik moet doen om de wachtwoorden onprem en M365 straks gelijk te hebben. Wat ik niet wil is verzanden in een miljoen opties voor honderden euro's per maand die ik niet gebruik. Gaandeweg de tijd zal er wel meer en meer bijkomen, maar stap 1 is de mail erheen tillen.

In a nutshell :

- je neemt een office 365 tenant af (bedrijfsnaam.onmicrosoft.com)
- je registreert je eigenlijke domein bij je tenant (DNS wijziging, MS= in je DNS)
- je installeert ADSync op een on-premises machine en synct je gebruikers en wachtwoorden met je Tenant
- je doet op je Exchange Server een hybrid setup
- je migreert je gebruikers
- je wijzigt je MX records zodat Exchange Online de mail regelt voor je

Dan ben je in de gelegenheid om je eigen spamfilter voor Exchange Online te zetten. In dat geval moet je je MX records naar je spamfilter laten wijzen en die door je spamfilter laten doorsturen. Aan de kant van Exchange Online moet je dan ook wat inregelen.

asing schreef op vrijdag 23 juli 2021 @ 11:55:
[...]


In a nutshell :

- je neemt een office 365 tenant af (bedrijfsnaam.onmicrosoft.com)
- je registreert je eigenlijke domein bij je tenant (DNS wijziging, MS= in je DNS)
- je installeert ADSync op een on-premises machine en synct je gebruikers en wachtwoorden met je Tenant
- je doet op je Exchange Server een hybrid setup
- je migreert je gebruikers
- je wijzigt je MX records zodat Exchange Online de mail regelt voor je

Dan ben je in de gelegenheid om je eigen spamfilter voor Exchange Online te zetten. In dat geval moet je je MX records naar je spamfilter laten wijzen en die door je spamfilter laten doorsturen. Aan de kant van Exchange Online moet je dan ook wat inregelen.

Thanks chef!

Op dit moment heb ik een SpamExperts oplossing voor in en uitgaande mail voor de Exchange hangen. Ik weet nog niet of dat zo blijft, vooral uitgaand schijnt dit nog wel eens een uitdaging te zijn met M365. En ben ook niet heel tevreden met de uitgaande filtering, ik denk dat M365 dat sowieso beter kan. Voor inkomend moet ik het afwegen, ik ben enkel vaag bekend met de filtering van M365, is een uitzoek puntje.

Op dit moment heb ik al een tenant met 5 "gratis" (MPN) licenties. Het is de bedoeling om alles daarheen te krijgen, maar voor die tijd ga ik een test tenant opzetten met een test omgeving. Hoewel het pad mij steeds duidelijk wordt is het ook een kwestie van een keer doen denk ik.

Drardollan schreef op vrijdag 23 juli 2021 @ 11:58:
[...]

Thanks chef!

Op dit moment heb ik een SpamExperts oplossing voor in en uitgaande mail voor de Exchange hangen. Ik weet nog niet of dat zo blijft, vooral uitgaand schijnt dit nog wel eens een uitdaging te zijn met M365. En ben ook niet heel tevreden met de uitgaande filtering, ik denk dat M365 dat sowieso beter kan. Voor inkomend moet ik het afwegen, ik ben enkel vaag bekend met de filtering van M365, is een uitzoek puntje.

Op dit moment heb ik al een tenant met 5 "gratis" (MPN) licenties. Het is de bedoeling om alles daarheen te krijgen, maar voor die tijd ga ik een test tenant opzetten met een test omgeving. Hoewel het pad mij steeds duidelijk wordt is het ook een kwestie van een keer doen denk ik.

Het is een onderwerp in de cursus MS-203, dus ik weet dat het kan. Wat ik je op het hart wil drukken is dat als je naar een Tenant gaat, de aanvalsvectoren voor je gebruikers de pan uit rijzen. Dus met dat je Online gaat ben je eigenlijk min of meer ook verplicht om ook daarop te gaan letten. Anders wordt je van alle kanten aangevallen . En ja, ze komen erdoorheen . Ik heb het zien gebeuren.

Aanval als volgt :

Mail met attachment wordt verstuurd aan #medewerker. Onderwerp : You received a voicemail. Attachment eraan etc. DKIM, DMARC, SPF alles in ordnung. Gebruiker klikt . Vult zijn credentials in. 5 Minuten later volgt een stroom van inlogpogingen op dat account. Meestal van ver weg. En je, ze komen binnen. Dan wordt je hele adresboek gejat en een forward op de mail gezet. Een paar dagen later heeft iedereen eenzelfde mail.

En dan de Ja maar.... Ik vertel mijn gebruikers altijd... ze letten op.... ze weten het.... ze doen een awareness dingetje online.... verdachte mail moeten ze even doorsturen....

Let op : iemand klikt. Altijd.

asing schreef op vrijdag 23 juli 2021 @ 12:11:
[...]


Het is een onderwerp in de cursus MS-203, dus ik weet dat het kan. Wat ik je op het hart wil drukken is dat als je naar een Tenant gaat, de aanvalsvectoren voor je gebruikers de pan uit rijzen. Dus met dat je Online gaat ben je eigenlijk min of meer ook verplicht om ook daarop te gaan letten. Anders wordt je van alle kanten aangevallen . En ja, ze komen erdoorheen . Ik heb het zien gebeuren.

Aanval als volgt :

Mail met attachment wordt verstuurd aan #medewerker. Onderwerp : You received a voicemail. Attachment eraan etc. DKIM, DMARC, SPF alles in ordnung. Gebruiker klikt . Vult zijn credentials in. 5 Minuten later volgt een stroom van inlogpogingen op dat account. Meestal van ver weg. En je, ze komen binnen. Dan wordt je hele adresboek gejat en een forward op de mail gezet. Een paar dagen later heeft iedereen eenzelfde mail.

En dan de Ja maar.... Ik vertel mijn gebruikers altijd... ze letten op.... ze weten het.... ze doen een awareness dingetje online.... verdachte mail moeten ze even doorsturen....

Let op : iemand klikt. Altijd.

Voor het scenario wat jij beschrijft heb je tegenwoordig o.a Safe Links voor binnen Defender for Office 365, het zal niet alles afvangen, maar een groot deel kunnen tegenhouden denk ik.

[ Voor 4% gewijzigd door Turdie op 23-07-2021 12:24 ]

Turdie schreef op vrijdag 23 juli 2021 @ 12:22:
[...]


Daar heb je tegenwoordig o.a Safe Links voor binnen Defender for Office 365

Lees even iets terug , dat was 1 van mijn eerste punten om aan te raden.

En anders heeft bijv Trend Micro nog wel een pracht product, die vrij simpel inhaakt op O365.

Pas geleden was ik blij dat we het in place hadden (zie het andere draadje). Een mailadres gok script.
MS had 3 weken langer nodig om de shit buiten te sluiten. Precies voldoende tijd om een *happy klikker* te vinden.

asing schreef op vrijdag 23 juli 2021 @ 12:11:
[...]


Het is een onderwerp in de cursus MS-203, dus ik weet dat het kan. Wat ik je op het hart wil drukken is dat als je naar een Tenant gaat, de aanvalsvectoren voor je gebruikers de pan uit rijzen. Dus met dat je Online gaat ben je eigenlijk min of meer ook verplicht om ook daarop te gaan letten. Anders wordt je van alle kanten aangevallen . En ja, ze komen erdoorheen . Ik heb het zien gebeuren.

Aanval als volgt :

Mail met attachment wordt verstuurd aan #medewerker. Onderwerp : You received a voicemail. Attachment eraan etc. DKIM, DMARC, SPF alles in ordnung. Gebruiker klikt . Vult zijn credentials in. 5 Minuten later volgt een stroom van inlogpogingen op dat account. Meestal van ver weg. En je, ze komen binnen. Dan wordt je hele adresboek gejat en een forward op de mail gezet. Een paar dagen later heeft iedereen eenzelfde mail.

En dan de Ja maar.... Ik vertel mijn gebruikers altijd... ze letten op.... ze weten het.... ze doen een awareness dingetje online.... verdachte mail moeten ze even doorsturen....

Let op : iemand klikt. Altijd.

Bizar, waardoor veranderd dat ineens als je een tenant neemt? Ik kan de link niet zo goed leggen, sorry

-Edit: of bedoel je dat er sowieso een fatsoenlijke spamfilter/malwarefilter oplossing voor 365 moet? Want dat lijkt mij inderdaad logisch, vooralsnog ga ik er vanuit dat mijn SpamExperts ervoor blijft staan. Die heb ik voor een ongelofelijk lage prijs (voordeeltje uit het verleden) en voldoet voor inkomende filtering.

[ Voor 10% gewijzigd door Drardollan op 23-07-2021 13:23 ]

asing schreef op vrijdag 23 juli 2021 @ 12:11:
[...]


Het is een onderwerp in de cursus MS-203, dus ik weet dat het kan. Wat ik je op het hart wil drukken is dat als je naar een Tenant gaat, de aanvalsvectoren voor je gebruikers de pan uit rijzen. Dus met dat je Online gaat ben je eigenlijk min of meer ook verplicht om ook daarop te gaan letten. Anders wordt je van alle kanten aangevallen . En ja, ze komen erdoorheen . Ik heb het zien gebeuren.

Aanval als volgt :

Mail met attachment wordt verstuurd aan #medewerker. Onderwerp : You received a voicemail. Attachment eraan etc. DKIM, DMARC, SPF alles in ordnung. Gebruiker klikt . Vult zijn credentials in. 5 Minuten later volgt een stroom van inlogpogingen op dat account. Meestal van ver weg. En je, ze komen binnen. Dan wordt je hele adresboek gejat en een forward op de mail gezet. Een paar dagen later heeft iedereen eenzelfde mail.

En dan de Ja maar.... Ik vertel mijn gebruikers altijd... ze letten op.... ze weten het.... ze doen een awareness dingetje online.... verdachte mail moeten ze even doorsturen....

Let op : iemand klikt. Altijd.

Daarom zeg ik 2FA

Je kan beter te groot inzetten dan achteraf bij het management lopen piepen dat je er wat bij wilt hebben.

Het zelfde geldt voor 2FA, om het achteraf in te voeren kost meer tijd, energie en ergernis.(“want het werkt nu toch ook”)

En voor je zelf een A5 licentie

[ Voor 5% gewijzigd door Duinkonijn op 23-07-2021 13:29 ]

Duinkonijn schreef op vrijdag 23 juli 2021 @ 13:26:
[...]

Daarom zeg ik 2FA

Je kan beter te groot inzetten dan achteraf bij het management lopen piepen dat je er wat bij wilt hebben.

Het zelfde geldt voor 2FA, om het achteraf in te voeren kost meer tijd, energie en ergernis.(“want het werkt nu toch ook”)

En voor je zelf een A5 licentie

2FA is maar een onderdeel van de hele "stack" die je nodig voor een effectieve beveilging van M365 workloads.

Nog even over eindgebruikers die helaas al te graag op linkjes willen klikken en ter aanvulling op safe links:

Een snelle quick win die vaak wordt gemist is het uitschakelen van 'Users can register applications' met daarbij het inrichten van een admin consent flow in Azure AD. Hiervoor is geen specifieke licentie nodig en dit moet gewoon standaard aangezet worden in elke Azure AD tenant.

Gezien we helaas te maken hebben met click-happy eindgebruikers en de kans aanwezig is dat ze inloggen op een website waarbij men niet doorheeft dat deze malicious is, kan deze admin consent flow hierbij helpen.

Met de admin consent flow kun je voorkomen dat eindgebruikers zelf 3rd party, maar dus ook neppe (malicious) oauth applicaties toestemming verleent (grant) tot informatie en/of data van de eindgebruiker of organisatie. Ja, het creert wel extra beheerlast (iemand zal de requests moeten toetsen), maar je voorkomt wel mogelijk een hoop ellende. (MFA zal je in deze niet beschermen).

Meer info:
The risk of fake OAuth apps in Microsoft 365 and Azure
Turn off Azure AD ‘Application consent by users’ now!
How to Secure Your Apps and Data with Azure Active Directory

Drardollan schreef op vrijdag 23 juli 2021 @ 13:11:
[...]


Bizar, waardoor veranderd dat ineens als je een tenant neemt? Ik kan de link niet zo goed leggen, sorry

-Edit: of bedoel je dat er sowieso een fatsoenlijke spamfilter/malwarefilter oplossing voor 365 moet? Want dat lijkt mij inderdaad logisch, vooralsnog ga ik er vanuit dat mijn SpamExperts ervoor blijft staan. Die heb ik voor een ongelofelijk lage prijs (voordeeltje uit het verleden) en voldoet voor inkomende filtering.

Er zijn 2 dingen die spelen:

Ten eerste lift je met een simpel abonnement mee op EOP, Exchange Online Protection. Dat klink goed maar het is maar de basis. Je hebt geen SafeLinks, geen SafeAttachments, geen manier om gebruikers aan jou te laten rapporteren (er kan een gratis rapporteer-spam knop in Outlook). Krijg je dat rapport dan kan je meteen zien wie er soortgelijke mails heeft ontvangen en je kan zien wie er op geklikt heeft. En je kan ze direct verwijderen. Nu moet je echt eDiscovery gaan doen en dan wordt het nog lastig.

Met andere woorden : basis is basis. Wil je meer bescherming dan neem je er een plan bij. Dat kost je 2 euro de neus de maand dus waar praten we over.

Het andere probleem is dat jouw ingang ineens portal.office.com is. Toegankelijk voor de hele wereld. Oeiiiii. Dus het eerste waar je af wil zijn legacy authentication en single factor. Maar MFA is niet heilig, dus je wilt ook conditional access. Probeert er bij mij iemand ineens vanuit India in te loggen dan komt hij niet verder dan de gebruikersnaam. India staat niet op de lijst goedgekeurde landen dus je komt niet verder. Moet je alleen wel een P1 abonnement hebben.

Het punt is, wij hadden aanval na aanval. Ik heb het landenfilter ingevoerd en sindsdien zie ik nog wel wat vreemds, maar dat komt niet ver. AzureAD rapporteert ook de risky users dus iemand die "high risk" werd gezet had inderdaad weer eens geklikt. En nee, ik heb nog geen Defender.

Dus leer van ons, als je het goed wilt doen dan ben je echt iets meer kwijt en iets langer bezig.

Turdie schreef op vrijdag 23 juli 2021 @ 13:42:
[...]


2FA is maar een onderdeel van de hele "stack" die je nodig voor een effectieve beveilging van M365 workloads.

Klopt, maar hij is vrij ingrijpend bij de gebruikers

Tuurlijk onder de motorkap is er nog veel meer te locked. Maar een gebruiker zal niet gauw tegen het probleem lopen als hij Azië/Afrika niet bij de tenant kan komen

asing schreef op vrijdag 23 juli 2021 @ 15:07:
[...]


Er zijn 2 dingen die spelen:

Ten eerste lift je met een simpel abonnement mee op EOP, Exchange Online Protection. Dat klink goed maar het is maar de basis. Je hebt geen SafeLinks, geen SafeAttachments, geen manier om gebruikers aan jou te laten rapporteren (er kan een gratis rapporteer-spam knop in Outlook). Krijg je dat rapport dan kan je meteen zien wie er soortgelijke mails heeft ontvangen en je kan zien wie er op geklikt heeft. En je kan ze direct verwijderen. Nu moet je echt eDiscovery gaan doen en dan wordt het nog lastig.

Met andere woorden : basis is basis. Wil je meer bescherming dan neem je er een plan bij. Dat kost je 2 euro de neus de maand dus waar praten we over.

Het andere probleem is dat jouw ingang ineens portal.office.com is. Toegankelijk voor de hele wereld. Oeiiiii. Dus het eerste waar je af wil zijn legacy authentication en single factor. Maar MFA is niet heilig, dus je wilt ook conditional access. Probeert er bij mij iemand ineens vanuit India in te loggen dan komt hij niet verder dan de gebruikersnaam. India staat niet op de lijst goedgekeurde landen dus je komt niet verder. Moet je alleen wel een P1 abonnement hebben.

Het punt is, wij hadden aanval na aanval. Ik heb het landenfilter ingevoerd en sindsdien zie ik nog wel wat vreemds, maar dat komt niet ver. AzureAD rapporteert ook de risky users dus iemand die "high risk" werd gezet had inderdaad weer eens geklikt. En nee, ik heb nog geen Defender.

Dus leer van ons, als je het goed wilt doen dan ben je echt iets meer kwijt en iets langer bezig.

Goed verhaal en goed advies ook wat ter harte genomen moet worden. Secure by default en secure by design behoort de maatstaf te zijn. Office365 met Exchange Online Protection is al een goede basis uitgaande van o.a. het volgende:

• Office365 is geconfigureerd op basis van de volgende best practices van Microsoft
• Focus je niet alleen op de beveiliging van de mail, maar pak het holistisch aan (de tijd waarbij men dacht dat een goede firewall voldoende is, is niet meer van deze tijd). Beveilig je data & email, je netwerk, je endpoints en vooral je identiteiten.
• Maak een security roadmap en pas deze toe.(dit betreft een security roadmap op basis van Microsoft 365 security oplossingen - deze kun je uiteraard ook soort van toepassen met andere producten die hetzelfde resultaat bieden)
• Creeer awareness en campagnes. Bij een holistische benadering moet je dus ook denken aan het trainen van je eindgebruikers.

Het afgelopen jaar heb ik al vrij veel security opdrachten gedaan en het implementeren van MFA is pas het begin. Er komt helaas zoveel méér bij kijken dat het hebben van personeel die zich eigenlijk alleen nog meer bezighoudt met security, steeds belangrijker wordt en daarmee ook essentieel is.

Microsoft gaat gelukkig zelf ook steeds meer maatregelen nemen en zelf acties uitvoeren. Zo gaan ze pro actief bij klanten legacy protocollen uitschakelen welke niet meer gebruikt worden in Office365 en zal Office365 ook meer secure by default gaan worden. (denk aan mails die niet meer naar junk verplaatst zullen worden, maar gewoon in quarantaine worden geplaatst omdat gebruikers tóch klikken op linkjes, ook al staat de mail in junk).

Drardollan schreef op donderdag 22 juli 2021 @ 11:45:
Een korte technische vraag, maar wel iets van inleiding.
...
De wens is dan om onsite geen Exchange meer te hebben, alles over naar 365 en beheer van mailgroepen en gebruikers kan ik in de admin portal. Weinig verschil met nu, of ik nu ECP/EAC in moet of 365 admin portal.

Maar dan, dan heb ik gebruikers onprem in AD en gebruikers in 365. Bij de migratie worden zover ik kan zien de accounts gemaakt en kan ik daar wachtwoorden aan knopen. Maar mooier is het natuurlijk als het allemaal hetzelfde is. SSO tegen de lokale AD aan en dan 365 mailbox kunnen openen.

Mijn tip: beheer je groepen en distri-lijsten ook via AD ipv online. AD Sync kan dat netjes, groepen waar een email adres aan hangen worden dan netjes je distributielijsten. Je wilt zo min mogelijk beheer op meerdere plekken hebben, dus als je mailgroepen bij je gebruikers kan beheren, doe dat.

In MS365 admin heb je geen structuur in de lijst van gebruikers en groepen (het zijn twee platte, lange lijsten), terwijl je dat in AD wel netjes in OU's kan verdelen met omschrijving en alles er bij.

Hero of Time schreef op vrijdag 23 juli 2021 @ 18:03:
[...]

Mijn tip: beheer je groepen en distri-lijsten ook via AD ipv online. AD Sync kan dat netjes, groepen waar een email adres aan hangen worden dan netjes je distributielijsten. Je wilt zo min mogelijk beheer op meerdere plekken hebben, dus als je mailgroepen bij je gebruikers kan beheren, doe dat.

In MS365 admin heb je geen structuur in de lijst van gebruikers en groepen (het zijn twee platte, lange lijsten), terwijl je dat in AD wel netjes in OU's kan verdelen met omschrijving en alles er bij.

Het voordeel van online is weer dat je een office 365 groep aan kan maken. Een distributielijst, teams groep en SharePoint site in 1. Daarnaast moet je in het snotje houden dat dynamische groepen niet over adsync heen kunnen. Dus als je iets dynamisch hebt op bijvoorbeeld afdeling, dan kan dat niet mee.

asing schreef op vrijdag 23 juli 2021 @ 18:10:
[...]

Het voordeel van online is weer dat je een office 365 groep aan kan maken. Een distributielijst, teams groep en SharePoint site in 1. Daarnaast moet je in het snotje houden dat dynamische groepen niet over adsync heen kunnen. Dus als je iets dynamisch hebt op bijvoorbeeld afdeling, dan kan dat niet mee.

Dat kan. Maar in zijn geval is er nog bar weinig online in gebruik. Hun eerste stap is nu naar MS365 voor de mail. In een MKB kan er al versnippering voorkomen en dit wil je eigenlijk zo min mogelijk hebben om nog enigszins overzicht te houden. Als er iets vreemd werkt, wil je niet op 1001 plekken moeten kijken om te achterhalen wat er mis kan zijn.

Je zou er anders net zo goed voor kunnen kiezen om naar Azure AD over te stappen en je lokale AD op te doeken. Alle systemen bij de online AD, dan heb je ook alles op 1 plek in beheer én de mogelijkheid om die dynamische dingen te doen die je met een on-prem omgeving dan weer niet kan/hebt.

Duinkonijn schreef op vrijdag 23 juli 2021 @ 15:12:
[...]

Klopt, maar hij is vrij ingrijpend bij de gebruikers

Tuurlijk onder de motorkap is er nog veel meer te locked. Maar een gebruiker zal niet gauw tegen het probleem lopen als hij Azië/Afrika niet bij de tenant kan komen

Tegenwoordig worden standaard bij nieuwe tenants de Security Defaults geimplementeerd, daar zitten al behoorlijk wat standaard maatregelen in.
Nja tenzij je internationaal opereert en gebruikers in Azie/Zuid-Afrika hebt rondlopen, maar je kunt tegenwoordig de locaties opgeven in condionational access vanuit welke landen een gebruiker mag inloggen. Goede inrichting van conditonal access is wat mij betreft een basis voorwaarde voor een M365 tenant. Recent zag ik daar een interessante PDF van een Microsoft Cyber Security Consultant:
https://www.linkedin.com/...-6798870787546779648-huo4

Als ik zo eens in de AzureAD rond kijk bij ons, dan zie ik best veel dubbele groepen. Dus men heeft een teams groep aangemaakt en een distributielijst. Wil toch eens kijken of ik die kan mergen naar een office 365 groep. Ook de genoemde security dingen wil ik toch eens onder de loep nemen.

Men heeft o365 een paar jaar geleden dan wel naar binnen geschoven (voor mijn tijd), maar alles heel basic gehouden. Valt nog wel wat te winnen denk ik.

HI !
Al een klein jaartje maak ik gebruik van een power automate script wat ervoor zorgt dat bijlagen uit een mailbox gekoppieerd worden naar een sharepoint omgeving, echter sinds vrijdag werkt dit opeens niet meer.
als ik de flow test komt de mail ook niet binnen in de test flow.

nu zie ik nergens een storing bij microsoft, gewoon maar even een paar dagen afwachten of actie ondernemen.

theorganiser schreef op maandag 2 augustus 2021 @ 09:40:
HI !
Al een klein jaartje maak ik gebruik van een power automate script wat ervoor zorgt dat bijlagen uit een mailbox gekoppieerd worden naar een sharepoint omgeving, echter sinds vrijdag werkt dit opeens niet meer.
als ik de flow test komt de mail ook niet binnen in de test flow.

nu zie ik nergens een storing bij microsoft, gewoon maar even een paar dagen afwachten of actie ondernemen.

Ze sturen wekelijks van die mail rond met wat ze gaan wijzigen of hebben gewijzigd. Ik zou daar eens doorheen scrollen om te kijken of er iets is wat dit kan veroorzaken.

Is er een manier om snel te zien wat er wijzigt in hardware op een Windows machine? Ik heb een nieuwe notebook hier staan, een Lenovo Thinkpad P15v Gen 1. En die laat iedere ~32 seconden (stopwatch erbij gehad) het geluidje horen dat je krijgt alsof je een device loskoppelt. Daarbij refreshed Device Manager ook, er wordt dus daadwerkelijk ergens iets gedetecteerd dat wordt losgekoppeld, terwijl ik behalve de lader niks aangesloten heb.

Overigens is dit type niet aan te raden, de koeling hebben ze niet op orde. Ik heb alles op energiespaarstand moeten zetten, om de rpm's van de fan in bedwang te houden. De CPU en GPU blijven net onder de 50 graden hangen in idle (letterlijk niks open staan, alleen bureaublad voor je neus) en een pokke herrie dat ie dan maakt Alle firmware updates gisteren al gedaan. Temps gechecked met GPU-Z, met de update tool van Lenovo en taakbeheer open heb ik 'm zien pieken op 98

Waarom kunnen grote jongens als Lenovo nog steeds zulke meuk maken, die moeten toch beter weten?

[ Voor 5% gewijzigd door FastFred op 04-08-2021 12:59 ]

FastFred schreef op woensdag 4 augustus 2021 @ 12:56:
Is er een manier om snel te zien wat er wijzigt in hardware op een Windows machine? Ik heb een nieuwe notebook hier staan, een Lenovo Thinkpad P15v Gen 1. En die laat iedere ~32 seconden (stopwatch erbij gehad) het geluidje horen dat je krijgt alsof je een device loskoppelt. Daarbij refreshed Device Manager ook, er wordt dus daadwerkelijk ergens iets gedetecteerd dat wordt losgekoppeld, terwijl ik behalve de lader niks aangesloten heb.

Overigens is dit type niet aan te raden, de koeling hebben ze niet op orde. Ik heb alles op energiespaarstand moeten zetten, om de rpm's van de fan in bedwang te houden. De CPU en GPU blijven net onder de 50 graden hangen in idle (letterlijk niks open staan, alleen bureaublad voor je neus) en een pokke herrie dat ie dan maakt Alle firmware updates gisteren al gedaan. Temps gechecked met GPU-Z, met de update tool van Lenovo en taakbeheer open heb ik 'm zien pieken op 98

Waarom kunnen grote jongens als Lenovo nog steeds zulke meuk maken, die moeten toch beter weten?

Misschien kun je het zien met USBLogView, maar dat zal alleen werken als het een usb device is wat ontkoppelt/koppelt.
https://www.nirsoft.net/utils/usb_log_view.html

[ Voor 3% gewijzigd door Turdie op 04-08-2021 13:03 ]

@Turdie thx, geïnstalleerd, laptop eens herstart en nu ruim een uur niks meer gehoord, behalve die fan

@FastFred Had je niet toevallig je telefoon op de laptop liggen? Ook eens heel lang op zoek geweest, bleek dat er telkens een NFC-connectie werd gelegd. Zie je nergens terug, maar hoor je wel dmv het standaard connectie-geluidje-

Ha daar zeg je wat mijn telefoon heeft er wel een tijd naast gelegen maar NFC staat uit. En ik kan geen NFC ontdekken op die laptop ook.

[ Voor 21% gewijzigd door FastFred op 04-08-2021 14:41 ]

Zulke events zou je ook in de event viewer moeten kunnen terugvinden. "Device X has been added" oid. Kan ook net zo goed het geluid van een power save ding zijn, dat soort een power save actie 'ontkoppeld' wordt. Denk aan een bluetooth adapter dat wordt 'uitgeschakeld'. Of je BT muis dat zichzelf een spaarstand zet.

Hero of Time schreef op woensdag 4 augustus 2021 @ 17:21:
Zulke events zou je ook in de event viewer moeten kunnen terugvinden. "Device X has been added" oid. Kan ook net zo goed het geluid van een power save ding zijn, dat soort een power save actie 'ontkoppeld' wordt. Denk aan een bluetooth adapter dat wordt 'uitgeschakeld'. Of je BT muis dat zichzelf een spaarstand zet.

Dat zou @FastFred uit kunnen zetten: https://helpdesk.flexradi...for-USB-connected-Devices

Hero of Time schreef op woensdag 4 augustus 2021 @ 17:21:
Zulke events zou je ook in de event viewer moeten kunnen terugvinden. "Device X has been added" oid. Kan ook net zo goed het geluid van een power save ding zijn, dat soort een power save actie 'ontkoppeld' wordt. Denk aan een bluetooth adapter dat wordt 'uitgeschakeld'. Of je BT muis dat zichzelf een spaarstand zet.

Eventviewer had ik al gechecked, niks te zien. Er zit ook niks gekoppeld aan de laptop, bedraad of draadloos, afgezien van de oplader.

Ik heb even wat hulp nodig.
Ik probeer stom simpel scripje te maken voor intune, maar wil niet lukken.

Ik moet voor onze SSL client eerst een certificaat importeren en vervolgens de setup starten.
Anders installeert hij de tapdriver niet helaas.

Nu heb ik een powershell scriptje, in de zelfde map als het certificaat, maar hoe ik hem ook er neer zet, hij ziet het certifcaat niet.. met het volledige pad :c\map\cer doet hij het wel. Maar dat wil ik niet.

Dit heb ik er instaan:

Import-Certificate -FilePath C:\SWSetup\openvpn.cer -CertStoreLocation Cert:\LocalMachine\TrustedPublisher

Dit werkt prima, maar als ik bv dit doe, niet meer:

Import-Certificate -FilePath .\openvpn.cer -CertStoreLocation Cert:\LocalMachine\TrustedPublisher

Stuk wat andere cmd geprobeerd, maar hij blijft hem maar niet zien

[ Voor 4% gewijzigd door Renegade666 op 12-08-2021 15:07 ]

Ik denk dat het process onder een ander account gestart wordt en dat hij dan niet meer in die werkdirectory staat

Ik vermoed system32

[ Voor 9% gewijzigd door Duinkonijn op 12-08-2021 15:12 ]

Dan word het wel lastig, met het de vervolgstap heb ik het zeflde, hij kan de exe. dan niet terug vinden, idem met batch.

Het oh zo sterke powershell, maar simpele dingen willen niet.

Batch werkt ook wel, voor de andere helft wel goed, maar die wil het .cer niet importen ivm zelfde reden, kan bestand niet vinden

@Renegade666 En als je met Set-Location eerst je work directory instelt?
https://docs.microsoft.co...l.management/set-location

Hebben zo te zien meer mensen last van

Je kunt kijken of er iets onverwachts aan de hand is met Get-Location en $env:UserName; ik heb gemerkt dat ik met sommige certificaat-zaken ook met Set-Location (of Push-Location en Pop-Location) moet werken.

Als de parameter goed aankomt in het script maar het niet werkt met het commando dat je aanroept kun je het ook omklussen met (get-item .\openvpn.cer).FullName (of (get-item $CertFile).FullName)

@lolgast

Welke zou ik dan moeten hebben, want er is geen specifieke locatie?
Als hij straks via intune gepushed word, dan zal dat in een temp(?) mapje moeten zijn waar de rest ook in zit.

@Paul
Zelfde verhaal wat, er is geen locatie die ik kan opgeven.
Ik heb ook wel batches scriptjes waar gewoon %currentdir% en klaar, maar dat word niet gesnapt nu.
Simpeler kan eigenlijk niet

Renegade666 schreef op donderdag 12 augustus 2021 @ 15:06:
Ik heb even wat hulp nodig.
Ik probeer stom simpel scripje te maken voor intune, maar wil niet lukken.

Ik moet voor onze SSL client eerst een certificaat importeren en vervolgens de setup starten.
Anders installeert hij de tapdriver niet helaas.

Nu heb ik een powershell scriptje, in de zelfde map als het certificaat, maar hoe ik hem ook er neer zet, hij ziet het certifcaat niet.. met het volledige pad :c\map\cer doet hij het wel. Maar dat wil ik niet.

Dit heb ik er instaan:


[...]


Dit werkt prima, maar als ik bv dit doe, niet meer:


[...]


Stuk wat andere cmd geprobeerd, maar hij blijft hem maar niet zien

Kun je niet veel beter Intune zelf dat certificaat laten importeren?

https://techcommunity.mic...using-intune/ba-p/1974488

@n0fragger
Dat is een optie, zal het even proberen.
ISsue is, Intune heeft geen volgorde van uitvoeren heb ik het idee. DUs als de installatie eerder is, dan werkt het niet. Daarom wou ik het als geheel hebben, dat weet ik iig dat het cer er is voor de installatie.

Het is ook gewoon waardeloos waarom het anders niet werkt met die VPN client via intune. Zelfde cmd op de pc rechtstreeks werkt gelijk.

Renegade666 schreef op donderdag 12 augustus 2021 @ 15:15:
Dan word het wel lastig, met het de vervolgstap heb ik het zeflde, hij kan de exe. dan niet terug vinden, idem met batch.

Het oh zo sterke powershell, maar simpele dingen willen niet.

Batch werkt ook wel, voor de andere helft wel goed, maar die wil het .cer niet importen ivm zelfde reden, kan bestand niet vinden

Kan je niet gewoon de volledige locatie in een variable zetten, of wisselt de locatie steeds?

Dus $cert = "C:\SWSetup\openvpn.cer" & evt $installer = "C:\SWSetup\install.exe".

Vervolgens gewoon een kwestie van "Import-Certificate -FilePath $cert -CertStoreLocation Cert:\LocalMachine\TrustedPublisher"?

Misschien logging toepassen?
https://www.spguides.com/powershell-create-log-file/

Renegade666 schreef op donderdag 12 augustus 2021 @ 15:29:
@Paul
Zelfde verhaal wat, er is geen locatie die ik kan opgeven.

Wat bedoel je daarmee?

De FilePath parameter accepteert zo te lezen wel een absoluut path, alleen geen relatief path. Met (Get-Item).FullName kun je een relatief path omzetten naar een absoluut path.

Ik heb ook wel batches scriptjes waar gewoon %currentdir% en klaar, maar dat word niet gesnapt nu.

Blijkbaar is je %currentdir% niet de dir die je denkt dat het is Vandaar dat ik aangeeft dat je die kunt opvragen en (met bijvoorbeeld write-host) outputten om te zien wat er aan de hand is.

Renegade666 schreef op donderdag 12 augustus 2021 @ 15:06:
Ik heb even wat hulp nodig.
Ik probeer stom simpel scripje te maken voor intune, maar wil niet lukken.

Ik moet voor onze SSL client eerst een certificaat importeren en vervolgens de setup starten.
Anders installeert hij de tapdriver niet helaas.

Nu heb ik een powershell scriptje, in de zelfde map als het certificaat, maar hoe ik hem ook er neer zet, hij ziet het certifcaat niet.. met het volledige pad :c\map\cer doet hij het wel. Maar dat wil ik niet.

Dit heb ik er instaan:


[...]


Dit werkt prima, maar als ik bv dit doe, niet meer:


[...]


Stuk wat andere cmd geprobeerd, maar hij blijft hem maar niet zien

Ik heb exact hetzelfde issue gehad. Uiteindelijk het certificaat uitgerold via Intune en die "policy" toegewezen aan de "All Device" groep en de app die het certificaat nodig heeft aan de all users group toegewezen. Hierdoor staat het certificaat er eerder op dan de app. Niet de meest sjieke oplossing maar het werkt.

Renegade666 schreef op donderdag 12 augustus 2021 @ 15:34:
@n0fragger
Dat is een optie, zal het even proberen.
ISsue is, Intune heeft geen volgorde van uitvoeren heb ik het idee. DUs als de installatie eerder is, dan werkt het niet. Daarom wou ik het als geheel hebben, dat weet ik iig dat het cer er is voor de installatie.

Het is ook gewoon waardeloos waarom het anders niet werkt met die VPN client via intune. Zelfde cmd op de pc rechtstreeks werkt gelijk.

Applicaties worden altijd als laatste geinstalleerd, dus in theorie zal het certificaat eerder aan de beurt zijn. Laat het maar weten of het lukt

@Getto
Dit heb ik nu ook, maar werkte niet, en zag later dat het niet naar de juiste cert afdeling werd gezet.

Ik heb nu het ingesteld zoals @n0fragger aangeeft.
De laptop die ik hier klaar moest maken laat ik nu even zweten. Maar duurt dus even.


@Paul
Probleem is, powershell scripting is voor mij grotendeels wazig, ik gebruik uberhaupt weinig PS, behalve wanneer nodig. Vind het een draak van uitvinding van MS. (puur omdat je er te veel mee kunt en mijn geheugen te slecht is om al die cmd's te onthouden wat je nodig hebt, dat is ook een reden waarom ik geen programeur ben geworden..ik denk in plaatjes en niet txt )
Dus al die dingen wat je nu roept moet ik eerst uitzoeken in welke context ik het moet gebruiken


Edit
Helaas, het werkte niet, heb nu eerst maar handmatig geïnstalleerd. zoek het later wel eens uit.

Syncml(500): The recipient encountered an unexpected condition which prevented it from fulfilling the request


Edit2:

Denk het issue gevonden te hebben, thumbprint was 1 letter te weinig, is ook lekker duidelijk met zo;n lange OMA-URI in zo'n klein veld in intune

[ Voor 21% gewijzigd door Renegade666 op 16-08-2021 10:02 ]

Ik ben even op zoek naar personen die ervaring hebben met de Always-on-VPN dienst van Microsoft.

- Welke licentie heb ik daar voor nodig? (Zit dat in de M365 E3?)
- Hebben jullie nog specifieke valkuilen ervaren?

Mijn certifcaat wil wel deployen, en installatie van de SSL Client gaat nu ook goed. Kan nu gelijk VPN opbouwen.
Alleen in Intune staat er failed bij het certificaat, 2016281112 (Remediation failed)
Dus beetje vreemd...

Wat ook jammer is, dat hij na een herstart niet meer veder boot...
Maar dit zal een ander issue zijn


@D_Jeff

Ik heb er zelf nog geen ervaring mee, maar ik weet dat mijn collega's hier mee bezig zijn geweest, en dat het een lichtelijk pain in arse is.

Dit heb ik uit hun handleiding gehaald wat er min. nodig is:
1 server voor de NPS en RAS (kan eventueel ook op 2 servers)
VM, laptop met windows 10 om de verbinding te testen
Intune omgeving met minimaal Business Premium licentie (is voor user tunnel)
Omgeving met minimaal Microsoft E3 (is voor device tunnel)
RAS/NPS server dient 2 DMZ netwerkkaarten te hebben die niet in het LAN netwerk zitten

[ Voor 6% gewijzigd door Renegade666 op 16-08-2021 11:11 ]

D_Jeff schreef op maandag 16 augustus 2021 @ 10:42:
Ik ben even op zoek naar personen die ervaring hebben met de Always-on-VPN dienst van Microsoft.

- Welke licentie heb ik daar voor nodig? (Zit dat in de M365 E3?)
- Hebben jullie nog specifieke valkuilen ervaren?

Mijn lessons learned:

• Houd rekening met het feit dat je kosten maakt voor alleen het afnemen van een Azure VPN Gateway SKU als je voor een oplossing kiest waarbij je het verkeer ontsluit via je Azure VNET. Met alleen een licentie ben je er niet, de licentie op de client geeft je min of meer het recht om het te mogen gebruiken.
• Neem het aantal concurrent users mee in je (prijs)calculatie. Elke SKU heeft een limiet voor aantal ps2-users.
• Wil je vanaf een Intune device ook kunnen connecten naar je on-premises omgeving, moet BGP ingeschakeld zijn.
• Ik zou persoonlijk adviseren om minimaal VpnGw1 af te nemen als SKU, zodat je gebruik kunt maken van het OpenVPN protocol en dus gebruik kunt maken van Azure MFA/Conditonal access. NPS server optuigen en de Azure MFA NPs extension en al dat soort geneuzel is dan ook niet nodig. Azure VPN client en config kun je deployen met Intune. Houd er rekening mee dat je een config voor de Azure VPN client lastig kunt updaten als je iets in de config gewijzigd wil hebben.

[ Voor 15% gewijzigd door FREAKJAM op 17-08-2021 17:57 ]

Enige tijd geleden is in het Systeembeheertopic de tool PingCastle genoemd. Deze gebruik ik nu om onze security verder op pijl te brengen.
Hierbij kwam ook het KRBTGT Account Password Reset Script aan bod.

Mijn vraag; zijn hier andere beheerders die deze gebruiken?
En vervolgvraag; er wordt genoemd om dit script minstens 2 keer per jaar te draaien, hebben jullie dit geautomatiseerd via een geplande taak, of doen jullie dit handmatig?

Ramt der ff een tag in de volgende keer -- had ik je eerder antwoord kunnen geven.

VLAN & Licentiebeperking: NON -- Het wordt gezien als de basisfunctionaliteit van networking
VLAN & prestaties: 1k VLAN's aanmaken op een FGT30E is nog net niet je firewall afbranden. Zwaardere modellen kunnen een vrij hoog nummer hebben voor het wat minder gaat.

Wat staat er nu / wat moet er aangeboden worden?

@D_Jeff
Staat nu een WG M200. We bieden waarschijnlijk een 100E ivm rack, de rest is een tafelmodel waar geen ruimte voor is
Maar 1K vlans is hier niet geval, ging maar mij puur om dat er een limiet was ja of nee.

[ Voor 25% gewijzigd door Renegade666 op 25-08-2021 09:52 ]

Met een 100E single unit kan je je lol op - ik dacht ergens een demo gezien te hebben van 5k VLANS op een 10. netwerk (bijna alles /30 of /29)

100E HA Cluster wel aanbevolen trouwens.

Tafel modellen:
Elk getal kleiner dan 99
Daarbij moet gezegd worden dat een 60E al best aardige prestaties heeft (25 VLANS & full blown meuk aan op alle VLAN's was kantje boord, maar gebruikers merkte niets)

@D_Jeff
Die wou de nieuwe eigenaar ook hebben (60E), maar we hadden daar ons twijfel aan, en omdat we eigenlijk wel een rack versie moesten hebben, denk dat het de 100E word, en idd in cluster.

Maar ik zal 1 ding, zeggen, ben hier totaal geen voorstander van.
Alles is ingericht voor WG. Dus ook de kennis voor WG. en niet voor Fortinet, dus we zullen zien.

@Renegade666 Is de boel al gekocht?
Zo nee, ga ajb voor een 100F

De E-serie gaat namelijk bijna End-of-Sale en een 100F zit op het prestatieniveau van een 200E in cluster.

2) Voor tafelmodellen bestaat 1u rackmounts, maar die moet je er los bij kopen.
Daar zijn 2 smaken in: HA-plank & single unit (met patchpoorten op de plek van de 2e unit, inc 40 cm patchkabels)

@D_Jeff
Nee, nog niks gekocht. Ik zit nu nog even te sneupen. Maar ik beslis ook niet geef alleen aan
EVentueel zou een 60F ook wel kunnen, die is ook dusdanig sneller dan de E

Heb je een link naar zo'n rackmount voor HA?
Kom alleen de gewone tegen

@D_Jeff
bedankt, die 02 lijkt het te zijn. WE gaan even er mee bezig.

Moet ik straks ook nog maar even op training

D_Jeff schreef op maandag 16 augustus 2021 @ 10:42:
Ik ben even op zoek naar personen die ervaring hebben met de Always-on-VPN dienst van Microsoft.


- Welke licentie heb ik daar voor nodig? (Zit dat in de M365 E3?)
- Hebben jullie nog specifieke valkuilen ervaren?

@D_Jeff
Sorry voor de late reactie. Wellicht heb je de antwoorden al, maar dan toch hierbij:

Welke licentie heb ik daar voor nodig?
De volgende Windows 10 versies ondersteunen AOVPN:

- Windows 10 Home & Pro
- Windows 10 Enterprise

Advies is om wel minimaal Windows 10 Anniversay (1607) te hebben, maar we hebben gemerkt dat het stabiel werd na version 2004 (zie valkuil).

Hebben jullie nog specifieke valkuilen ervaren?

Wij liepen tegen wat problemen aan met het deployen van de tunnels via Microsoft EndPoint. Uiteindelijk hebben we dit opgelost door de USER tunnel via een configuration policy binnen EndPoint te deployen en de DEVICE tunnel pushen we via de SCRIPT options in EndPoint.

In Windows 10 versies lager dan 2004 zit een "bug" waardoor soms beide tunnels niet tegelijkertijd verbonden kunnen worden. We moesten dus op sommige devices eerst de 2004 build beschikbaar maken alvorens de AOVPN configuratie goed werkte (ondertussen draaien onze werkstations op 20H2 / 21H1 en werken beide tunnels zonder problemen).

En we merken dat via sommige modems / routers van de medewerkers thuis niet lekker werken. Vaak is een reboot van deze devices nodig voor de VPN verbinding goed opgebouwd kan worden.

@nextware ELKE input is welkom -- dank daarvoor!
De basis gaat Win 10 20H2 x64 Pro / Ent zijn

Uit het verleden weet ik dat Direct Access in Win7 / Win8.1 niet altijd even lekker werkt, daarom dat we ook rekening houden met een backup via de FortiClient ("always on")

D_Jeff schreef op woensdag 25 augustus 2021 @ 11:20:
@nextware ELKE input is welkom -- dank daarvoor!
De basis gaat Win 10 20H2 x64 Pro / Ent zijn

Uit het verleden weet ik dat Direct Access in Win7 / Win8.1 niet altijd even lekker werkt, daarom dat we ook rekening houden met een backup via de FortiClient ("always on")

We hebben gemerkt dat beide systemen (DirectAccess en AOVPN) naast elkaar draaien en dat dit soms problemen heeft opgeleverd. Als ik een advies mag geven: zet je users over van DirectAccess naar AOVPN. De ondersteuning voor DirectAccess gaat vervallen en Microsoft zet nu zelf vol in op AOVPN.

[ Voor 14% gewijzigd door nextware op 25-08-2021 11:40 ]

Wij hebben gemerkt dat AOVPN niet werkt met Ziggo Connectboxen die in IPv6 modus draaien, wij hebben in ieder geval de oplossing nog niet kunnen ontdekken.

Danielson schreef op woensdag 25 augustus 2021 @ 11:42:
Wij hebben gemerkt dat AOVPN niet werkt met Ziggo Connectboxen die in IPv6 modus draaien, wij hebben in ieder geval de oplossing nog niet kunnen ontdekken.

Die hebben wij ook inderdaad gezien.. Helaas inderdaad ook nog geen oplossing voor. Heb er bij Microsoft ook nog niks op kunnen vinden.

@nextware @Danielson
Dat is dan wel vreemd, want volgens hun eigen tekst word ipv6 wel ondersteund.

Always On VPN natively supports the use of both IPv4 and IPv6 in a dual-stack approach. It has no specific dependency on one protocol over the other, which allows for maximum IPv4/IPv6 application compatibility combined with support for future IPv6 networking needs.
Note: Before you get started, make sure to enable IPv6 on the VPN server. Otherwise, a connection cannot be established and an error message displays.
https://docs.microsoft.co...lways-on-vpn-enhancements

Andere oplossing is de gebruiker ziggo laten bellen en het modem om laten zetten naar ipv4.
Wij hebben dit ook wel eens gezien met onze "gewone" SSL VPN verbindingen.

[ Voor 11% gewijzigd door Renegade666 op 25-08-2021 11:46 ]

Renegade666 schreef op woensdag 25 augustus 2021 @ 11:45:
@nextware @Danielson
Dat is dan wel vreemd, want volgens hun eigen tekst word ipv6 wel ondersteund.

Always On VPN natively supports the use of both IPv4 and IPv6 in a dual-stack approach. It has no specific dependency on one protocol over the other, which allows for maximum IPv4/IPv6 application compatibility combined with support for future IPv6 networking needs.
Note: Before you get started, make sure to enable IPv6 on the VPN server. Otherwise, a connection cannot be established and an error message displays.
https://docs.microsoft.co...lways-on-vpn-enhancements

Andere oplossing is de gebruiker ziggo laten bellen en het modem om laten zetten naar ipv4.
Wij hebben dit ook wel eens gezien met onze "gewone" SSL VPN verbindingen.

Het lijkt ook niet ipv6 gerelateerd, maar echt iets in die ConnectBox van Ziggo, dat is wel lastig aangezien je die toch vrij veel in het wild tegen komt.

[ Voor 3% gewijzigd door Danielson op 25-08-2021 11:48 ]

(de specifieke) ICMP misschien gefilterd ipv toegelaten?

Dat is 1 van de belangrijkste dingen binnen het IPv6 protocol.

@Danielson
Dat kan, zijn ook ruk dingen. Daarom heb ik hem in bridge laten zetten.

Wij gebruiken Pulse Secure voor de VPN en zien ook problemen met Ziggo en IPV6, dus lijkt toch iets aan de Ziggo kant te zijn wat niet helemaal lekker werkt.

Ik heb jullie hulp nodig; ik heb een eigen CloudVPS DirectAdmin instance; deze geeft (soms) ERR_CONNECTION_TIMED_OUT en als ik dan enkele secondes/minuten wacht werkt het weer. Het lijkt alleen op te treden als een Apple device (bijv. de ipad van mijn vrouw) herhaaldelijk connecties doet naar de server en ik daarna vanaf een windows machine. Net of er iets een tempban krijgt.

Het probleem kan ik reproduceren door een aantal keer op Chrome (ipad, wifi) een pagina te openen (die laad prima) en dan daarna vanaf een windows machine op hetzelfde netwerk (bedraad, maar extern hetzelfde IP) ook een pagina te openen. Dan treed de connection_timeout op.

Een SSH sessie die ik tegelijkertijd open heb blijft leven, dus het moet iets met apache zijn gok ik. Verder onderzoek (uitzetten HTTP 2 bijv.) heeft niets opgeleverd maar het uitzetten van mod_security gaf de doorslag. Toen leek het probleem verdwenen. Nu heb ik een vraag welke configuratie ik zou moeten hebben, maar weet niet in welk sub-forum ik dit moet vragen. Tips?

[ Voor 68% gewijzigd door xces op 25-08-2021 21:44 ]

nextware schreef op woensdag 25 augustus 2021 @ 11:15:
[...]


@D_Jeff
Sorry voor de late reactie. Wellicht heb je de antwoorden al, maar dan toch hierbij:

Welke licentie heb ik daar voor nodig?
De volgende Windows 10 versies ondersteunen AOVPN:

- Windows 10 Home & Pro
- Windows 10 Enterprise

Advies is om wel minimaal Windows 10 Anniversay (1607) te hebben, maar we hebben gemerkt dat het stabiel werd na version 2004 (zie valkuil).

Hebben jullie nog specifieke valkuilen ervaren?

Wij liepen tegen wat problemen aan met het deployen van de tunnels via Microsoft EndPoint. Uiteindelijk hebben we dit opgelost door de USER tunnel via een configuration policy binnen EndPoint te deployen en de DEVICE tunnel pushen we via de SCRIPT options in EndPoint.

In Windows 10 versies lager dan 2004 zit een "bug" waardoor soms beide tunnels niet tegelijkertijd verbonden kunnen worden. We moesten dus op sommige devices eerst de 2004 build beschikbaar maken alvorens de AOVPN configuratie goed werkte (ondertussen draaien onze werkstations op 20H2 / 21H1 en werken beide tunnels zonder problemen).

En we merken dat via sommige modems / routers van de medewerkers thuis niet lekker werken. Vaak is een reboot van deze devices nodig voor de VPN verbinding goed opgebouwd kan worden.

Aanvullende op het licentie stuk: Wanneer je gebruik gaat maken van een 'Device Tunnel' dient de client over een Windows 10 Enterprise licentie te beschikken. Alleen dan zal de tunnel automatisch starten.
Maak je enkel gebruik van een User Tunnel, dan volstaat Home / Pro om de tunnel automatisch te starten na inlog.

Bron: https://docs.microsoft.co...requirements-and-features

@D_Jeff Ik heb zelf twee AOVPN implementaties gedaan. Waarvan één volledig Azure Based en één volledige on-premise based. De een i.c.m. Microsoft InTune en de ander gewoon op basis van scripts die tijdens deployment worden uitgevoerd om het VPN profiel op de device te plaatsen.

Mogelijk ben je hem al tegengekomen. Op deze website kan je veel informatie vinden. https://directaccess.richardhicks.com/ Hij schrijft veel over AOVPN en heeft ook hele handige scripts op GitHub staan die je zo kan gebruiken voor je implementatie.

jordeeeh schreef op dinsdag 24 augustus 2021 @ 16:25:
Enige tijd geleden is in het Systeembeheertopic de tool PingCastle genoemd. Deze gebruik ik nu om onze security verder op pijl te brengen.
Hierbij kwam ook het KRBTGT Account Password Reset Script aan bod.

Mijn vraag; zijn hier andere beheerders die deze gebruiken?
En vervolgvraag; er wordt genoemd om dit script minstens 2 keer per jaar te draaien, hebben jullie dit geautomatiseerd via een geplande taak, of doen jullie dit handmatig?

ik heb even de link gelezen. Het "gevaar" zit in het uitlekken van het wachtwoord van het Kerberos Service account. Met dat wachtwoord kan je dan een hash creëren waardoor de Kerberos Service je gaat vertrouwen.

Het punt is nu dat alleen de AD weet wat dat wachtwoord is. Je zal een reset moeten uitvoeren met een bekend wachtwoord om de "pass the hash" aanval uit te voeren. Als dat je angst is dan moet je eens kijken naar tooling die alle AD acties vastlegt. Dan weet je welke accounts een nieuw wachtwoord hebben gekregen en ook wie dat heeft gedaan.

Als je jezelf al tegen zoiets wil beschermen dan moet je periodiek een aantal accounts een reset geven, en dat ook doen als iemand met beheer rechten de organisatie verlaat.

asing schreef op woensdag 25 augustus 2021 @ 23:12:
[...]


ik heb even de link gelezen. Het "gevaar" zit in het uitlekken van het wachtwoord van het Kerberos Service account. Met dat wachtwoord kan je dan een hash creëren waardoor de Kerberos Service je gaat vertrouwen.

Het punt is nu dat alleen de AD weet wat dat wachtwoord is. Je zal een reset moeten uitvoeren met een bekend wachtwoord om de "pass the hash" aanval uit te voeren. Als dat je angst is dan moet je eens kijken naar tooling die alle AD acties vastlegt. Dan weet je welke accounts een nieuw wachtwoord hebben gekregen en ook wie dat heeft gedaan.

Als je jezelf al tegen zoiets wil beschermen dan moet je periodiek een aantal accounts een reset geven, en dat ook doen als iemand met beheer rechten de organisatie verlaat.

Auditing kwam inderdaad ook al naar voren, daar moeten we ook nog even mee aan de slag.
Maar jullie veranderen het wachtwoord dus niet met enige regelmaat?

In PingCastle wordt namelijk het volgende genoemd:

krbtgt (Used for Golden ticket attacks)

The account password for the krbtgt account should be rotated twice yearly at a minimum. More frequent password rotations are recommended, with 40 days the current recommendation by ANSSI. Additional rotations based on external events, such as departure of an employee who had privileged network access, are also strongly recommended.

You can perform this action using this script

You can use the version gathered using replication metadata from two reports to guess the frequency of the password change or if the two consecutive resets has been done. Version starts at 1.

jordeeeh schreef op donderdag 26 augustus 2021 @ 11:36:
[...]

Auditing kwam inderdaad ook al naar voren, daar moeten we ook nog even mee aan de slag.
Maar jullie veranderen het wachtwoord dus niet met enige regelmaat?

In PingCastle wordt namelijk het volgende genoemd:

[...]

Nope, bij geen van mijn opdrachten was er ooit sprake van het wijzigen van dit wachtwoord.

Aan de andere kant, verdiep je eens in hoe de aanval tot stand komt. Om tot een aanval te komen moet de aanvaller eerst aan het "Golden Ticket" zien te komen. Dat kan zowel van binnenuit, als van buitenaf. Dat laatste door een machine met malware te besmetten. Als je eenmaal op het domein zit ben je er nog niet, je zal verbinding moeten maken met een DC en daarbij heb je de juiste rechten nodig. Het kan zijn dat je je eigen account misbruikt, of een manier vind voor privilege escallation. Daarna heb je een tool als Mimikatz nodig om de hash daadwerkelijk los te peuteren.

Al met al, een rogue sysop, privilege escallation en Mimikatz op je netwerk zijn al ongewenst. Als het eenmaal zover is dan is dat Golden Ticket meer een bijzaak. Je kan het wachtwoord van krbtgt wel ieder half jaar wijzigen maar als de aanvaller al binnen is dan heeft niet heel veel nut.

Met andere woorden : gebruik je resources voor iets anders wat meer voor je doet. Het eerste wat je kan doen is mimikatz downloaden en dan proberen dat te starten als normale gebruiker. Als het goed is slaat je AV alarm en krijg je het niet voor elkaar.

Het was een vereiste in een aantal van mijn opdrachten, dus @asing jij komt schijnbaar op hele andere plekken

Eigenlijk nooit problemen mee gehad, dat wijzigen er van.

Maar goed, daar zat wel een groter pakket aan veiligheidsprocessen aan vast, inclusief admin, service & IT accounts etc...

Vorkie schreef op donderdag 26 augustus 2021 @ 13:06:
Het was een vereiste in een aantal van mijn opdrachten, dus @asing jij komt schijnbaar op hele andere plekken

Eigenlijk nooit problemen mee gehad, dat wijzigen er van.

Maar goed, daar zat wel een groter pakket aan veiligheidsprocessen aan vast, inclusief admin, service & IT accounts etc...

Kan, ik zit ook niet overal .

Wat ik wilde aangeven is dat enkel het wijzigen van het wachtwoord een verkeerd beeld van de beveiliging geeft. Zoals je zelf schrijft, er is een heel pakket nodig waar dit onderdeel van kan zijn of zou moeten zijn.

asing schreef op donderdag 26 augustus 2021 @ 13:36:
[...]


Kan, ik zit ook niet overal .

Wat ik wilde aangeven is dat enkel het wijzigen van het wachtwoord een verkeerd beeld van de beveiliging geeft. Zoals je zelf schrijft, er is een heel pakket nodig waar dit onderdeel van kan zijn of zou moeten zijn.

Ja eens, maar gezien het niveau van de audit ga ik er vanuit dat deze overige zaken ook verwerkt zitten in dat rapport. Het kan niet zo zijn dat KRBTGT (had ook mijn username kunnen zijn bijna...) wel wordt genoemd en password processen niet, althans, dan zou iemand nu achter zijn oren moeten gaan krabben

Vorkie schreef op donderdag 26 augustus 2021 @ 13:06:
Het was een vereiste in een aantal van mijn opdrachten, dus @asing jij komt schijnbaar op hele andere plekken

Eigenlijk nooit problemen mee gehad, dat wijzigen er van.

Maar goed, daar zat wel een groter pakket aan veiligheidsprocessen aan vast, inclusief admin, service & IT accounts etc...

Heb je het uiteindelijk bij die opdrachten ook geautomatiseerd? Of doe je dat steeds handmatig?

Vorkie schreef op donderdag 26 augustus 2021 @ 13:39:
[...]


Ja eens, maar gezien het niveau van de audit ga ik er vanuit dat deze overige zaken ook verwerkt zitten in dat rapport. Het kan niet zo zijn dat KRBTGT (had ook mijn username kunnen zijn bijna...) wel wordt genoemd en password processen niet, althans, dan zou iemand nu achter zijn oren moeten gaan krabben

Er worden inderdaad meerdere zaken genoemd, o.a. het auditten maar ook wachtwoorden van admin- en serviceaccounts.

Op zich wel interessante tool hoor, volgens mij een keer hier op Tweakers voorbij gekomen:
https://www.pingcastle.com/

jordeeeh schreef op donderdag 26 augustus 2021 @ 13:48:
[...]

Heb je het uiteindelijk bij die opdrachten ook geautomatiseerd? Of doe je dat steeds handmatig?


[...]

Er worden inderdaad meerdere zaken genoemd, o.a. het auditten maar ook wachtwoorden van admin- en serviceaccounts.

Op zich wel interessante tool hoor, volgens mij een keer hier op Tweakers voorbij gekomen:
https://www.pingcastle.com/

Deze was niet geautomatiseerd, om enigszins controle te houden, gezien er nogal wat application stacks draaiende zijn welke wel het e.e.a. aan € 's doorheen gingen.

vertrouwen is goed, controleren is beter

Want je doet hem 2x, met tussenpozen of 2x snel achter elkaar voor een "force". Waarbij die 2de alleen gedaan werd als er bijvoorbeeld rare dingen waren gebeurt of een mogelijke infectie ergens.

ff ander vraagje tussendoor, heeft iemand een idee hoe je geautomatiseerd liefst powershell dagelijks mails kan downloaden van office 365/exchange online om daar vervolgens bepaalde items uit te halen ?

Ik had had wat voorbeelden gevonden die gebruik maken van 'Exchange.WebServices.Managed.Api' maar nu blijkt 'Exchange.WebServices.Managed.Api' depreciated is, je kan het zelfs niet meer downloaden.

Na ruim een uur google'n nog geen bruikbaar alternatief kunnen vinden.

Het doel is om reports die we per mail met csv bestand van een bepaalde applicatie ontvangen om de paar uur te downloaden en op te slaan om verder in report tooling te gebruiken.