MS14-025: Update fuer Group Policy Preferences – Credential Speicherung

Posted on by

Hallo Leutz,

mit Hilfe von GPP (Group Policy Preferences) kann man zum Beispiel zahlreiche Einstellungen vornehmen, bei denen User-Credentials gespeichert werden.
Die Credentials werden mit einem statischen symmetrischen AES Key in einer XML-Datei verschluesselt.
Ein “Attacker” welcher Zugriff auf den SYSVOL Share eines DC hat (Authenticated Users haben per Default Zugriff), kann die Verschluesselung aufheben und so Zugriff auf die Kennwoerter erhalten. An sich nichts neues und seit 2008 bekannt (http://blogs.technet.com/b/grouppolicy/archive/2008/08/04/passwords-in-group-policy-preferences.aspx).

Mit dem Mai 2014 Patchday hat Microsoft “endlich” eine Aenderung an den Moeglichkeiten zur Speicherung von Credentials in GPP durchgefuehrt und laesst fuer neue GPP nicht mehr zu, dass Credentials angegeben werden, bestehende GPP werden davon aber nicht beeinflusst. Microsoft stellt Scripts zur Verfuegung, welche in GPO nach Kennwoertern fuer Konten suchen und die Remote Aenderung von lokalen Administrator-Kennwoertern ermoeglichen.
MS14-025 geht in die Richtung was ich mir aus Security Sicht seit 2008 gewuenscht habe (leider nimmt nicht jeder Kunde meine Empfehlungen an, keine GPP mit Credential Speicherung zu verwenden), aus administrativer Sicht haette ich mir jedoch eine Aenderung des Sicherheitssystems gewuenscht, wie Credentials in GPP gespeichert werden.

Weitere Informationen findet man hier:
http://blogs.technet.com/b/srd/archive/2014/05/13/ms14-025-an-update-for-group-policy-preferences.aspx
http://technet.microsoft.com/security/bulletin/ms14-025

Gruss Marc

Hyper-V Wiederherstellungs Manager in Microsoft Azure

Posted on by

Hallo Leutz,

das folgende Bilderbuch zeigt die Integration des Hyper-V Wiederherstellungs-Manager von Microsoft Azure in System Center 2012 R2 Virtual Machine Manager zur Verwaltung von Hyper-V Replica zwischen zwei Private Clouds, verwaltet durch SCVMM 2012 R2:
http://www.it-training-grote.de/download/Hyper-V-RecoveryManager.pdf

Gruss Marc

Forefront TMG – HTTPS Inspection und CNG Zertifikate

Posted on by

Hallo Leutz,

offiziell unterstuetzt Forefront TMG keine CNG Zertifikate:
http://technet.microsoft.com/de-de/library/ee796231.aspx#dfg9o9i8uuy6tre

Da im Rahmen des HeartBleed Bugs (http://de.wikipedia.org/wiki/Heartbleed), viele Webserver Betreiber ihren SSL-Zugang und  SSL-Zertifikate umgestellt haben und CNG Algorithmen wie SHA256 verwenden, hat die HTTPS Inspection in TMG immer haeufiger Probleme mit aktuellen Webserver-Zertifikaten.
Christian Schulenburg (http://www.blog-schulenburg.de) hat mir vor kurzem eine Anfrage zu dem Thema gestellt und ich habe geantwortet, dass TMG kein CNG unterstuetzt. Christian hat recherchiert und dabei folgendes gefunden:
http://social.technet.microsoft.com/forums/forefront/en-US/d9fe04ac-4bc7-4a33-8cb1-fc840a979c8c/httpsinspect-with-staat-der-nederlanden-root-ca-g2
In dem Thread wird auf  ein zu erstellendes PowerShell-Script verwiesen, was ein custom CNG Zertifikat erstellt und von TMG verwendet werden kann. Christian konnte dieses Zertifikat auch erfolgreich bei dem TMG Server seiner Firma verwenden, ich konnte noch keine Tests durchfuehren.

Gruss Marc

Artikel fuer die Printausgabe des IT Administrator (www.it-administrator.de) – Administrative Sicherheit und Ueberwachungsfunktionen in Exchange Server 2013

Posted on by

Hallo Leutz,

fuer die Mai 2014 Ausgabe der Print Ausgabe des IT Administrator habe ich einen Artikel zum Thema Administrative Sicherheit und Ueberwachungsfunktionen in Exchange Server 2013 geschrieben.
Weitere Informationen findet man hier: http://www.it-administrator.de

Gruss Marc

Workshop – Server Virtualization with Windows Server Hyper-V and System Center bei der Fa. Netz-Weise

Posted on by

Hallo Leutz,

vom 28.07. – 01.08.2014 darf ich fuer die Firma Netz-Weise in Hannover einen Workshop zum Thema Server Virtualization mit Windows Server Hyper-V und System Center halten. Angelehnt ist der Workshop an den MOC Kurs 20409, wir werden in dem Workshop aber sehr viel praxisrelevante Themen einbringen und eine echte Hyper-V Virtualisierungsumgebung mit den aktuellen System Center Produkten einrichten.

Wer also Interesse an diesem Workshop hat, meldet sich bei der Firma Netz-Weise (http://www.netz-weise.de).

Ich bin sicher, dass wir viel Spass und Erfolge in dem Workshop haben und ich mein Wissen aus Hyper-V und System Center Produkten einbringen kann.

Gruss Marc

System Center 2012 R2 Endpoint Protection Client Installation schlaegt fehl

Posted on by

Hallo Leutz,

bei einem Kunden schlaegt die Installation der System Center 2012 R2 Endpoint Protection auf diversen Windows Server 2003 R2 SP2 fehl.
Aktuelle SCEP Client Version ist 4.5.216.0.
Der CCM Client wird korrekt installiert und kommuniziert mit dem CCM Server, aber der SCEP-Client wird nicht automatisch installiert. Eine manuelle SCEP-Client Installation schlaegt mit dem Error Code 0x80070645 fehl.
Wie man das Problem loesen kann, steht in folgenden Bilderbuch:  http://www.it-training-grote.de/download/SCEPInstall-Error.pdf

Gruss Marc

 

Austausch eines selbstsignierten Remote Desktop Connection Zertifikats in Windows Server 2012 R2

Posted on by

Hallo Leutz,

Windows Server 2012 R2 verwendet fuer die Remote Desktop Connection ein selbst signiertes Zertifikat.
Anders als bei Windows Server 2008 R2 gibt es die MMC TSCONFIG.MSC in Windows Server 2012 / R2 nicht mehr.
Wie also das Zertifikat auf einem Server austauschen, ohne ueber den Server Manager ein Remote Desktop Services Deployment durch zu fuehren?
Die Loesung heisst per WMIC oder Powershell das alte Zertifikat und den Thumbprint zu ermitteln, ein neues Zertifikat anzufordern, mit privaten Schluessel zu exportieren und anschliessend per WMIC wieder an die RDS-Dienste zu binden.

Wie das geht, steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/RDS-2012R2-SelfSignedCertificate.pdf

Gruss Marc