Microsoft SHA1 Deprecation Policy

Posted on by

Hallo Leutz,

Microsoft hat in dem Blogeintrag http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx heute (12.11.2013) angekuendigt, mit SHA1 ausgestellte SSL und CodeSigning Zertifikate in zeitlich festgelegten Stufen aus Sicherheitsgruenden nicht mehr zu unterstuetzen. Das wesentliche in Kuerze:
Juli 2015 – Microsoft wird in diesem Zeitraum neue Informationen / Richtlinien veroeffentlichen, wie mit der SHA1 Abloesung durch SHA2 umzugehen ist
01.01.2016 – CA Anbieter, welche Mitglied im Windows Root CA Programm sind, muessen ab diesem Zeitpunkt SHA2 Zertifikate ausstellen
01.01.2016 – Windows akzeptiert keine Code Signing Zertifikate mehr, welche auf SHA1 basieren und KEINEN Zeitstempel besitzen. Code Signing Zertifikate mit Zeitstempel vor 01.01.2016 werden weiterhin akzeptiert bis Microsoft entscheidet, dass diese Zertifikate angreifbar fuer “Pre-Image-Attacken” sind
01.01.2017 – Windows akzeptiert ab diesem Zeitpunkt keine SSL-Zertifikate mit SHA1
01.01.2017 – Webserver Administratoren / CA Administratoren muessen neue Zertifikate fuer alle ausgestellten SSL und Code Signing Zertifikate mit SHA1 ausstellen und sicherstellen das SHA2 verwendet wird.

Fuer PKI-Administratoren / Webserver-Administratoren bedeutet dass:
1) Zeitnah alle Anwendungen und Dienste zu evaluieren, welche SSL und CodeSigning Zertifikate mit SHA1 verwenden und pruefen, ob diese durch SHA2 Zertifikate ausgetauscht werden koennen
2) Neue PKI Implementierungen gleich mit SHA2 (CNG) Support etablieren, wobei auch hier vorher die Auswirkungen auf die IT Infrastruktur zu beruecksichtigen sind
3) Migrationswege zur “Migration” vorhandener CA auszuarbeiten, welche noch nicht zur Verwendung von CNG Algorithmen konfiguriert sind. Je nach verwendetem CSP (z. B. Microsoft Strong Cryptographic Provider) kann es sehr aufwaendig werden, eine existierende CA auf CNG umzustellen (z. B.: http://www.it-training-grote.de/download/WindowsCA-SHA1-SHA256.pdf)

Gruss Marc

Forefront TMG SP2 Rollup 4 steht zum Download zur Verfuegung

Posted on by

Hallo Leutz,

Forefront TMG SP2 Rollup 4 steht zum Download zur Verfuegung:
http://support.microsoft.com/kb/2870877
Zumindest taucht es mit Stand 06.11.2013 17:15 in verschiedenen Sprachen auf:
Z. B. fuer FR: http://support.microsoft.com/kb/2870877/fr (Die Liste der Fixe laesst schon erahnen, dass sich (wie vermutet) nicht viel getan hat in Bezug auf Support fuer aktuelle Applikationen / Betriebssysteme)
Update 08.11.2013 19:27: Jetzt steht es auch hier: http://blogs.technet.com/b/isablog/archive/2013/11/08/tmg-sp2-rollup-4.aspx
und auch in DE: http://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=2870877&kbln=de-de

Gruss Marc

Windows Server 2008 R2 RootCA startet nicht mehr

Posted on by

Hallo Leutz,

bei einem Kunden startete die Windows Server 2008 R2 RootCA nicht mehr mit der Fehlermeldung: WsResetMetadata 0xd00000bb (-805306181).
Schuld war ein fehlender Registry Key (siehe Bilderbuch). Wer oder was die Ursache des Problems war, konnte ich bisher nicht ermitteln:
http://www.it-training-grote.de/download/RootCA-WSResetMetaData.pdf

Gruss Marc

WLAN Erfahrung im ICE der deutschen Bahn

Posted on by

Hallo Leutz,

durch einen gluecklichen “Zufall” bin ich in den Besitz eines WLAN Hotspot Pass der Telekom gekommen, welchem man ja auch in vielen ICE nutzen (koennen) soll. Hier meine kurze Erfahrung auf 3 ICE Strecken in den letzten 7 Tagen (natuerlich gegen geprueft mit einem Windows 8 Tablet um Client Probleme auszuschliessen):
06.10.2013 von Stadthagen ueber Hannover nach Berlin – ICE849 – nach Cottbus. Waehrend der 6,5 Stunden Fahrtzeit (4,5 Std. im ICE) hatte ich in Summe knapp 20 Minuten WLAN Zugang – die restliche Zeit war das WLAN zwar verfuegbar, aber kein Internet Zugang moeglich
10.10.2013 von Cottbus ueber Berlin nach Wuppertal – ICE556 – Waehrend der 7 Stunden Fahrtzeit (5 Std. im ICE) hatte ich in Summe knapp 30 Minuten WLAN Zugang – die restliche Zeit war das WLAN zwar verfuegbar, aber kein Internet Zugang moeglich.
11.10.2013 von Wuppertal nach Aachen. Waehrend der gut 1 1/2 Std. Fahrtzeit war ich ab und an an den groesseren Bahnhoefen im WLAN, also ausser Wertung, da im RE kein WLAN angeboten wird.
13.10.2013 von Aachen ueber Duesseldorf und Berlin – ICE849 – nach Eberswalde Wahrend der gut 8 Stunden Fahrzeit (5 Std. im ICE) hatte ich (fast) gar keinen WLAN Zugang (abgesehen zwischen der Strecke Hamm und Hannover) – das WLAN war zwar verfuegbar, aber kein Internet Zugang moeglich.

ICE-WLAN

P.S.: Schwer der deutschen Bahn seine Meinung mitzuteilen, wenn (theoretisch, ich habe UMTS) kein Internet Zugang moeglich ist.

Gruss Marc

Microsoft’s commitment to Microsoft antimalware

Posted on by

Hallo Leutz,

vor einigen Tagen kam das Geruecht auf, dass Microsoft empfiehlt, bei der Verwendung von Virenscannern auf Third Party Hersteller zu setzen. Quelle unter anderen hier:
http://www.howtogeek.com/173291/goodbye-microsoft-security-essentials-microsoft-now-recommends-you-use-a-third-party-antivirus

Hier nun das offizielle commitment von Microsoft:
http://blogs.technet.com/b/mmpc/archive/2013/10/09/our-commitment-to-microsoft-antimalware.aspx

Gruss Marc

System Center und Windows Server Power Workshops bei der Fa. Netz-Weise in Hannover

Posted on by

Hallo Leutz,

Ab Januar 2014 biete ich in Zusammenarbeit mit der Firma Netz-Weise (http://www.netz-weise.de) diverse Windows Server 2012 R2 und System Center Workshops an:

Hyper-V – Windows Server 2012 R2 Failover Cluster (5 Tage) – 05-09.05.2014
System Center Virtual Machine Manager R2 (3 Tage) – 27-29.01.2014
Windows Server 2012 R2 Direct Access (Unified Remote Access) (3 Tage) – 28-30.04.2014
Windows Server 2012 R2 PKI (4 Tage) – 24-27.03.2014
Exchange Server 2013 (4 Tage) – 17-20.02.2104

Details zu den Workshops findet Ihr hier: http://www.netz-weise.de/lernen-von-den-besten/microsoft-server-mit-marc-grote.html

Weitere Informationen findet Ihr auf der Webseite der Netz-Weisen: http://www.netz-weise.de/home.html

Gruss Marc