Rund um Windows, Exchange und Active Directory

Kategorie: Security (Seite 1 von 2)

Erneuertes Zertifikat im Windows mit privatem Schlüssel verknüpfen

Im Zuge der SSL-Zertifikatserneuerungen wegen der neu signierten (Symantec)-Zertifikate die ja, wenn man sie nicht erneuert, unter Chrome ab Version 70 und auch später anderen Browsern ab mitte September Warnungsfenster anzeigen,  hatte ich für einen Exchange-Server routinemäßig einen neuen CSR (Certificate Signing Request) erzeugt. 

Doch der Zertifikatsdienstleister hat unter der Haube den originalen CSR für das Erneuern verwendet, was dazu führte, dass ich zwar ein neues Zertifikat bekam, dies aber nicht zum neu ausgestellten privaten Schlüssel passte. Stattdessen erhielt ich beim Importversuch eine Fehlermeldung, dass das Zertifikat bereits vorhanden sei (halt das bisherige). 

Weiterlesen

WSUS cleanup – sorgenfreies Aufräumen

Nicht nur, um den Plattenplatz eines WSUS-Servers regelmäßig zu bereinigen, sondern gleichzeitig auch die SQL-Datenbank hübsch sauber und in reaktionsfreudigem Zustand zu behalten, empfiehlt sich über die grafisch erreichbaren Wartungstasks hinaus der Einsatz eines Wartungsscripts, das als geplanter Task auf dem Server regelmäßig ausgeführt wird.
Zudem kann es ohne regelmäßigen Aufräumtask im WSUS schon mal passieren, dass in der GUI bei der Anzeige aller Updates keine Rückmeldung mehr erfolgt oder die schon längst abgelehnten Treiber noch immer Speicherplatz verbrauchen.

Noch vor ein paar Jahren war das mit etwas Handarbeit verbunden. Ich hatte bis dorthin mit einem anderen Script gearbeitet.  Mittlerweile habe ich aber eine wesentlich bessere und zuverlässigere Lösung gefunden – nicht ganz ohne Grund spricht der Entwickler vom „last WSUS script you will ever need“ –
Adam Marshalls Clean-WSUS.

Windows 10 und Family Safety

Ganz nach dem Motto Schema unfertiger Komponenten läuft Family Safety, wenn man es unter Windows 8 für seine Kinder konfiguriert hatte, nicht mehr unter Windows 10 weiter, da die Benutzerkonten der Kids nun als Microsoft-Konten konfiguriert werden müssen…

Das allerdings hat bei mir anfangs überhaupt nicht gut funktioniert, denn nach dem Anlegen der Konten kamen die invitation-Mails nicht an und ich musste mehrere Male das komplette Prozedere wiederholen. Auf der Family Safety-Seite von Microsoft kann man dann allerdings auch nur bedingt sinnvolle Einschränkungen – z.B. beim Zeitfenster – vornehmen. Da fehlt noch einiges, würde ich sagen…

Ich kann mir nicht vorstellen, dass sich damit jemand Ungeübtes auseinandersetzen soll.

Sicheres W-LAN mit IEEE 802.1X und NPS-RADIUS mit Windows Server 2012

Guter Leitfaden, auch bei einem notwendigem Umzug, bei mir gerade Umzug von IAS 2003 nach NPS 2012.

Update: Sicheres W-LAN mit IEEE 802.1X und RADIUS mit Windows Server 2012 » Bents Blog » Von Bent Schrader.

Hinzuzufügen wäre nur folgendes:
Aufgrund der EAP (PEAP)-Implementierung kann man nur gegen ein Zertifikat zur Zeit validieren. D.h. entweder gegen Computerkonten ODER Benutzerkonten der Domäne, nicht beides in der Bedingungssteuerung der WLAN-Netzwerkrichtlinie des NPS. Um z.B. BYOD-Geräte zu verhindern, deren Nutzer sich mit ihrem gültigen Domänenbenutzer an diesen Geräten erfolgreich authentifizieren können, wäre wohl die Filterung auf Computer geeigneter.
Zu beachten war bei mir aber, dass in der GPO, die die Drahtlosnetzwerkrichtlinie konfiguriert, an einer Stelle angepasst werden muss, damit die NPS-Bedingung auch zuverlässig mit dem übereinstimmt, was dort ankommt.
Im Dropdown der Drahtlosnetzwerkrichtlinie, dort wo festgelegt wird, ob die Authentifizierung gegen Benutzer, Computer oder wahlweise eines von beiden erfolgen soll, sollte NUR Computer ausgewählt werden. Ansonsten versuchte sich der Client immer zunächst mit den Benutzer-Credentials anzumelden, obwohl in der NPS-Richtlinie eine Computergruppe als Bedingung angegeben war. Das klappte dann nicht.

Enterprise-CA auf einen anderen Server umziehen

Wenn ein Server unter Windows 2003 SP2, der gleichzeitig DC ist und die Enterprise-Zertifizierungsstelle führt, abgelöst und durch einen 2008 R2-Server ersetzt werden soll, kann man schon graue Haare (also noch mehr graue Haare, als sowieso schon) bekommen…
Ein verbreiteter Microsoft-Artikel beschreibt den Umzug unter der Empfehlung, dass der Zielservername und auch das Betriebssystem identisch sein sollten. Außerdem muss die Plattform identisch sein. Tja, da spätestens beißt sich die Katze in den Schwanz, denn ich kann den alten Server nicht einfach ausschalten, da er u.a. noch DC ist und die DC-Dienste bekomme ich nicht runter, weil die Zertifikatsdienste drauf sind. 🙂
Wie dem auch sei – nach längerem Suchen hier ein Guide, der den Umzug der CA von 2003 SP2 nach 2008 R2 unter Berücksichtigung unterschiedlicher Computernamen beschreibt. Man sollte allerdings locker 4-6 Stunden für das Durcharbeiten einplanen…

Active Directory Certificate Services Migration Guide.

Edit im Januar 2017: Hier der Nachfolge-Guide zur Migration der CA von einem DC mit 2008 R2 nach 2012 R2:

Active Directory Certificate Services Migration Guide for Windows Server 2012 R2

Automatische WSUS Serverbereinigung mit Tasks und Skripten

Damit der WSUS-Bereinigungstask entfallen kann:

Automatische WSUS Serverbereinigung mit Tasks und Skripten » Bents Blog » Von Bent Schrader.

Es ist neben den o.g. Scripten der native SQL-Client und die sqlcmd.exe aus dem SQL-Featurepack erforderlich.

UPDATE: Mittlerweile gibt es eine aktuellere, bessere Variante, wie hier beschrieben.

Exchange 2010 – Geräte für ActiveSync beschränken

Stichwort Pushmail. Toll, wenn Kollegen mit 1-2-3 Klicks ihr Smartphone um das Firmen-E-Mail-Konto ergänzt haben und diese dann ruck-zuck via Pushmail darauf landen. Nicht so toll ist, wenn man das mit jedem x-beliebigen Gerät machen kann – der Benutzer benötigt im Zweifelsfall nur den Benutzernamen und das Passwort in der Windows-Domäne. Gut – an der Authentifizierung ändern wir in diesem Artikel nichts, aber zumindest schränken wir die Endgeräte ein, mit denen sich Benutzer verbinden dürfen.

Ähnlich wie man in WLANs die Endgeräte festlegen kann, die sich verbinden dürfen, indem man einen MAC-Adressenfilter konfiguriert, funktioniert das auch bei ActiveSync.

Zunächst sollte man generell nur den Benutzern in den Eigenschaften des AD-Objekts die Funktion aktivieren, die auch Pushmail/ActiveSync einsetzen dürfen:

Dann kann man mittels EMS-Befehle die Smartphones anhand deren DeviceID beschränken. Im Standard ist das entsprechende Feld nämlich leer und bedeutet, dass beliebige Smartphones erlaubt sind.

Um herauszufinden, welches Smartphone der Benutzer registriert hat, verwendet man das CmdLet

Get-ActiveSyncDeviceStatistics -Mailbox:“Name@domaene.tld“ | fl DeviceID

Im Anschluss beschränkt man die erlaubten Smartphones:

Set-CASMailbox -Identity: „Name, Vorname“ -ActiveSyncAllowedDeviceIDs: „<DeviceID_1>“,“<DeviceID_2>“

Siehe http://technet.microsoft.com/de-de/library/aa998933.aspx.

Wer das Thema Absicherung weiter beleuchten möchte, sollte sich zudem noch die Themen Zertifikate und ActiveSync-Postfachrichtlinien anschauen.

Resigniert…

…schaute er auf sein E-Mail-Postfach und wartete darauf, dass der Greylisting-Filter endlich die dringend erwartete Mail durchlassen würde. Währenddessen klingelte das Telefon und ein Mitarbeiter im Homeoffice jammerte über den nicht zustande kommenden VPN-Tunnel ins Firmennetz, weil wieder mal irgendein Häkchen falsch gesetzt ist.

Frei nach Ikea: Arbeitest Du schon oder sicherst Du noch?

Hotfixe

Mit jedem Microsoft-Patchday denke ich daran, um wieviel Zeilen Code die Programme wieder größer geworden sind und um wieviel träger die Antwort- und Ladezeiten werden.
Nur, um mal wieder ein paar Sicherheitslücken zu schließen, über die wieder irgend jemand da draußen mit einer manipulierten URL oder einer speziellen Zeichenfolge eine Programmkomponente austrickst und damit wieder mal „bösen Code“ ausführen kann.
Warum sind wir eigentlich schon so weit, auf Teufel komm raus, Fehler zu finden und diese auch noch auszunutzen? Ich muss an meinem Haus also nicht nur dafür sorgen, dass ich es beim verlassen abschließe, sondern auch noch, dass der Fensterkitt nicht vom Hersteller XY mit der Chargen-No. 123 verwendet wurde, weil darin von einer Komponente zu wenig drin war, die bei heftigem Wasserstrahl mit Essiglösung dafür sorgt, dass sich der Kitt auflösen könnte.
Und dann auch noch auf die Softwarehersteller zu schimpfen, dass sie ja ach so einladende Lücken fabrizieren. Aber das ist ja ein anderes Thema.
Verkehrte Welt.

Kleiner Schreck am Nachmittag

Benutzer meldet, dass er auf dem EFS-Filestore keine Dateien mehr verschlüsseln kann.
Kurz nachgeschaut und festgestellt, dass das Zertifikat des Recovery-Agenten abgelaufen ist. Damit verweigert Windows die Verschlüsselung neuer Dokumente.
und was ist mit dem privaten Schlüssel des Agents zum entschlüsseln, für den Fall, dass ein Benutzer seinen privaten Schlüssel verloren hat? Glücklicherweise ist der abgelaufene Schlüssel immer noch brauchbar zum entschlüsseln von Daten:

Ein abgelaufenes DRA-Zertifikat (privater Schlüssel) kann auch weiterhin zur Entschlüsselung von zuvor verschlüsselten Dateien verwendet werden, bei neuen oder aktualisierten verschlüsselten Dateien kann das abgelaufene Zertifikat (öffentlicher Schlüssel) jedoch nicht verwendet werden.

Also sollte man das abgelaufene Zertifikat verlängern bzw. wenn es bereits abgelaufen ist, einen neuen Schlüssel anfordern, aber das alte .p12-File tunlichst ebenfalls im Tresor behalten, damit alte verschlüsselte Dokumente notfalls wieder entschlüsselt werden können.
Alternativ mit ‚cipher /U …‘ alle verschlüsselten Dateien einmal anfassen und damit den Recovery-Agenten erneuern.

Wie oft taucht die Zeichenkette „schlüssel“ im obigen Text auf? Der Gewinner wird benachrichtigt. 😉

« Ältere Beiträge