Видео

Der Hauptvorteil an Intune ist meiner Meinung nach, dass es in vielen M365 Lizenzen enthalten ist. Wenn ich dafür extra bezahlen müsste, würde ich es vielleicht nicht verwenden 🥲 🎅✌️

Danke Patrick 👍 ich finde es auch merkwürdig in der GUI gelöst. Und zusätzlich wäre es ja auch echt cool, wenn gpupdate einfach die MDM Richtlinien auch aktualisieren könnte. Meinetwegen auch nur mit einem Zusatzparameter 😜 Es gibt wohl auch eine Möglichkeit einen Sync per PowerShell anzustoßen, aber das sind drei aneinander gepipte Befehle um einen bestimmten Task im Task Scheduler zu starten - das merkt sich niemand 😵‍💫

Meinst du "Das kann gpupdate sehr wohl"? Du hattest geschrieben "Das kann Gigabyte sehr wohl" - sieht für mich nach einem Tippfehler/Autokorrekturfehler aus. Falls du das gemeint hast: Ist ein häufiges Missverständnis 😥

Device Management sollte man auf jeden Fall nicht unterschätzen 😌

👍 yeah danke, das freut mich

Danke dir :) es wurde einfach Zeit für ein Re-release dieses Videos. Ich bin mit den ganz frühen Folgen vom PowerShell Kurs nicht mehr so zufrieden 😅

Danke, wünsche ich dir auch 🎅✌

Gute Anmerkung, danke dir! Ich komme eher aus der Windows Welt, deshalb fällt es mir persönlich einfacher mit der PowerShell Dinge in Linux zu machen. Der Hauptgrund wäre für mich: Es wird schon Linux verwendet und man möchte die PowerShell verwenden.

@@diecknet Dein PS Kurs ist echt Spitze, hat mir gut geholfen. Was mir noch einfallen würde (als Grund wieso man PS auf Linux laufen lassen könnte): 1. Zugriff von Linux auf M$ AD und 2. Zugriff von Linux auf M$ Azure-Cloud. Ansonsten macht es aus meiner Sicht wenig Sinn unter Linux PS einzusetzen, da die Linux- Bash alternativlos ist. Schau dir auf jeden Fall mal Linux- Bash / Scripting an. Muss man kennen :-) ansonsten kann ich Linux Mint / LMDE als Distro (Windows11-Alternative) wärmstens empfehlen! Beste Grüße

Danke für dein Feedback! Freut mich zu hören, dass die Videos gut ankommen :) ja, ich habe recht viele Microsoft Zertifizierungen gemacht. Wird aber ein bisschen zu umfangreich um die alle in einen Kommentar zu packen 😅 An aktuellen Sachen habe ich: Microsoft 365 Certified: Administrator Expert, Microsoft Certified: DevOps Engineer Expert, Microsoft Certified: Azure Administrator Associate, Microsoft Security Operations Analyst

✌️

Danke, das freut mich :)

Sehr gerne ✌️

Danke, das freut mich zu hören ✌️

Yeah 😁

Guter Punkt! 👍

Danke für dein Feedback!

@@diecknet Bin in der Verlegenheit mein uraltes PS-Wissen wieder aufzufrischen. Ihr Kanal macht da einen sehr guten Eindruck. Danke schön!

Absolut nachvollziehbar 😄 Fühlt sich für mich auch nicht richtig an, eine Release Candidate Version produktiv zu verwenden

Das stimmt :)

Sehe ich anders: Ohne gut funktionierende AV Software würden diese Zahlen ganz anders aussehen

Freut mich ☺️

Das löst zumindest einige der Windows-Probleme:)

Das war ja auch nicht plakativ sondern schlicht falsch. Ihr nennt das zwar Clickbait, ändert aber nichts daran. Und jetzt warte ich auch noch die Erklärung für das "Versagen" von Bitlocker ab. Ich gebe dir einen Tipp. Verändert die Verschlüsselung die Position der Datei auf der Festplatte? Nur wer schon so weit ist, dass er Zeit und Zugriff auf den Rechner hat, der kann auch Dinge tun, die weniger auffällig sind.

In Ordnung

Also Secure Boot ist tatsächlich auf dem HP Laptop eingeschaltet gewesen. Und ich habe da zumindest nicht bewusst irgendwelche zusätzlichen Keys dafür enrolled. Ich bin mir nicht sicher, ob du das Video bis zum Ende geschaut hast - aber gegen Ende hin erkläre ich ja die möglichen Schutzmaßnahmen. UEFI/BIOS Passwort gehört mit dazu, sollte Teil des Schutzkonzepts sein, *falls* man sich gegen derartige Angriffsmethoden verteidigen möchte/muss.

Normalerweise sollte Bitlocker ein System auch *vor allem dann* schützen, wenn jemand Unbefugtes den Computer bzw. den Datenträger in der Hand hält. Finde deinen Vergleich mit PC auf den Boden schmeißen deshalb nicht wirklich passend - gezieltes Ausschalten des Sicherheitssystem VS. den kompletten Computer zerstören. Aber den Punkt mit dem Videotitel habe ich zur Kenntnis genommen, fand den ganz gut plakativ. Aber ist vielleicht ein Stück zu vereinfacht formuliert von mir. Ich überlege mir gerade wie ich das Video stattdessen nennen kann.

Das habe ich nicht verstanden, sorry. Was meinst du damit?

@@diecknet Na wenn man deine 4er Regel anwendet, gibt es keinen ungewollten Zugriff mehr auf die Daten. - Oder hab ich etwas übersehen?

Achso! Ja, klar. Wenn das Gerät ordentlich abgedichtet ist, dann kommen vermutlich auch Strafverfolgungsbehörden nicht mehr an die Daten. Wenn dann aber der Bitlocker-Recovery-Key oder ähnliches in der Schreibtischschublade liegt, ist der Weg ins System eventuell schon wieder geebnet :P

Sauber!

Stimmt, wäre denkbar 😰

Ich rate davon ab, das bei fremden PCs ohne Erlaubnis machen. Und Schul-PCs mutwillig kaputt zu machen ist nicht cool 🤨 (Es sieht übrigens so aus, als würdest du auf eine bestimmte Stelle im Video verweisen, aber ich glaube der Timestamp 564s ist nicht das was du gemeint hast)

Moin! Stimmt, ich meinte 9:06. Ich frage mich halt, ob nicht auch unbeaufsichtigte Schul-PCs anfällig sind. Das Laufwerk mit 'nem PW versehen, funktioniert in diesem Umfeld eben nicht😅 Damit wäre genau 1 der 4 notwendigen Maßnahmen nicht umsetzbar. 🫣

Das stimmt wohl. Wenn die anderen 3 aber umgesetzt sind, dann ist es schon mal ganz gut. Um dann die Festplatte zu manipulieren müsste sie ausgebaut werden und an einen anderen Computer angeschlossen werden. Das ist zwar nicht ausgeschlossen, aber zumindest ein meiner Meinung nach unwahrscheinliches Szenario für eine Schule. Wenn hier wirklich sehr stark motivierte Schüler zugange sind, hilft vielleicht eine Art Read-Only System, welches sich nach jedem Boot zurück setzt. Oder Thin Clients.

Die Info wo die Datei liegt, wird bei NIFO über die Defragmentierungs-API ausgelesen. Vielleicht kann MS das patchen, sodass die Schnittstelle nur für Admins Daten liefert. Ich kann natürlich nicht beurteilen was da noch für Abhängigkeiten dran hängen, vermutlich lässt es sich nicht so einfach fixen 😵‍💫

Ich denke, das wird man auch im Privatbereich nicht so einfach ändern können. Manchen Leuten ist ja schon die normale UAC Abfrage zuviel und sie schalten das Feature komplett ab :( Die andere Richtung wäre eigentlich besser: UAC auf Maximum stellen - dann muss man sich immer authentifizieren um administrative Sachen zu machen. Der Vorteil eines separaten Admin-Kontos ist dann glaube ich nur noch gering (falls überhaupt vorhanden?).

Also ich benutze hier ja ein Linux um die tatsächliche Änderung der Defender Dateien durchzuführen. Ohne den Bitlocker-Key kann ein Angreifer aber *eigentlich* nicht gezielt Dateien löschen/verändern/zerstören. Das ist das Bemerkenswerte an NIFO.

Nein, so würde ich es nicht sagen. Ein Payload bezeichnet den Teil eines Schadprogramms oder einer Malware, der die eigentliche schädliche Aktion ausführt, nachdem das System eines Opfers infiltriert wurde. Es handelt sich also um die "Nutzlast" oder den "aktiven Teil" der Schadsoftware.

Nichts ist perfekt - das stimmt :)

Ich weiß das Szenario ist vereinfacht. Aber ich kann mir verschiedene Möglichkeiten vorstellen, wie jemand unberechtigterweise einen entsperrten Computer in die Finger bekommt. So habe ich es ja auch im Video gesagt: z.B. hat der User den Rechner nicht gesperrt und ist einfach weggegangen. Dass ich jetzt kein Passwort drin hatte für meinen normalen (nicht-Admin) User hat auch nur der Vereinfachung gedient. Aber wer als Angreifer schon physischen Zugang hat, könnte auch auf verschiedenen Wegen das Passwort dieser normalen Users herausfinden (Keylogger, Zettel unter der Tastatur).

Ups! 😅

XD

Moin und danke :) Habe es auch zusätzlich in die Videobeschreibung reingeschrieben, dass physischer Zugriff nötig ist.

Danke, ich hab mich selbst auch schlapp gelacht 😂

Jo klar geht mit einem Live-Linux viel. Wenn die Festplatte verschlüsselt ist (z.B. per Bitlocker), dann ist der Angriffsvektor schon stark reduziert. Deshalb finde ich NIFO sehr interessant: Trotz Verschlüsselung kann das installierte OS beziehungsweise dort installierte Software beeinträchtigt werden.

@@diecknet Dann ist die Platte (bzw. SSD) nicht verschlüsselt, das fand ich ehrlich gesagt auch verwirrend. Ich kenne mich aber mit Bitlocker auch nicht aus, eigentlich sollte es so sein, dass beim Systemstart ein Passwort abgefragt wird, damit der Datenträger überhaupt erst entschlüsselt werden kann. Wenn das nicht der Fall ist, ist es entweder dumm implementiert oder der Datenträger ist eben nicht vollverschlüsselt. Denkbar wäre es natürlich auch, dass der AES-Schlüssel im ersten Schritt, als das Skript erstellt wurde, extrahiert wurde, aber auch dass wäre dann eine mindestens fragwürdige Implementierung einer Verschlüsselung, wenn das ein normaler Nutzer ohne Rückfrage einfach so machen kann. Aber da ja als Voraussetzung für diesen "Hack" extra angegeben war, dass Bitlocker nicht verwendet werden darf, damit es funktioniert, sieht es so aus, als ob eben keine Vollverschlüsselung gegeben war.

NIFO funktioniert trotz korrekt aktiviertem Bitlocker, ohne dass der Angreifer den Bitlocker Key benötigt. Vielleicht solltest du das Video noch einmal schauen - das ist ja genau das was ich demonstriere 🤔

@@diecknet Unten auf der Github -Seite steht aber direkt auch: "Protecting yourself from this (...)Secure harddrive/SSD data with BitLocker (otherwise you could just scan the drive for the sectors)". Das scheint mir doch ein Widerspruch zu sein. Ich habe da nun auch mal näher reingesehen, anscheinend ist das ein Angriff über die Defrag-API (FSCTL_GET_RETRIEVAL_POINTERS) um an die Positionen der Defender-Dateien zu kommen. Die werden dann in dem Shell-Skript hinterlegt. Somit schützt Bitlocker in der Tat genau nicht davor. Daher demonstriert der Exploit eigentlich eine Bitlocker--Schwachstelle, denn das man sich sein System mit einem Live-Linux nach herzenlust manipulieren kann, dürfte klar sein.

Ich sehe den Widerspruch irgendwie nicht. Bei den Schutzmaßnahmen steht drunter: "Fail either of those, and you can get nifo'ed". Also die müssen alle umgesetzt werden. Bitlocker alleine reicht nicht.

In Tests in den letzten Jahren hat der MS Defender immer gut abgeschnitten, als Schrott würde ich den nicht pauschal bezeichnen. Und wie gesagt: Das eigentliche Probleme besteht auch bei anderen Sicherheitsprogrammen.

MS Defender ist schrott das in allen Test als Mittelmäßig und auf letzen Platz. Auf Platz 1 ist Bitdefender.

Achso, würdest du die Kaufversion vom Bitdefender empfehlen, oder reicht die Gratisversion? Habe beide noch nicht ausprobiert

@@diecknet Die Gratisversion hat halt keinen Echtzeitschutz.

Ich denke hier vorallem an Laptops die auch unterwegs oder im Homeoffice verwendet werden. Der Angriffspunkt ist zumindest möglich - ob man ihn im Schutzkonzept berücksichtigen möchte ist ja eine andere Sache.

@diecknet Zumal das Sicherheitskozept mit Bitlocker aber ohne Passwort auch nicht wirklich aufgeht. 😆 Mit Passwort und Bitlocker hat man schon ein recht sicheres System. Da kommt der Skriptkiddy schon nicht mehr einfach rein...

Das stimmt. Bitlocker ohne Passwort/PIN ist nicht wirklich sicher. Gibt da ein empfehlenswertes Video von @stacksmashing: ruclips.net/video/wTl4vEednkQ/видео.html

Richtig! 👍

Für die allermeisten Privatpersonen wird Defender weiterhin ausreichen. Das Ziel der gezeigten Attacke sind eher Organisationen.