Hallo,

viele Unternehmen (leider nicht alle!) haben die Zeichen der Zeit erkannt und setzen auf einen flächendeckenden Virenschutz – sowohl auf Client- als auch auf Serversystemen. In vielen Fällen wird der Virenschutz jedoch nicht nach Hersteller-Best Practices konfiguriert. So werden im ständigen Zugriff befindliche Systemdateien beim täglichen Scan oder im Echtzeitschutz mitgeprüft. Oft führen diese “Fehlkonfigurationen” zu unerwarteten Systemfehlern. Systeme reagieren nicht mehr oder arbeiten nur noch träge -wichtige IT- und Geschäftsprozesse arbeiten nicht mehr. In diesen Fällen empfiehlt es sich kritische Dateien und Dienste von dem täglichen Scan und dem Echtzeitschutz auszunehmen. Wichtig: Diese Dateien sollten jedoch trotzdem in festen Wartungsfenstern regelmäßig überprüft werden.

Microsoft hat vor kurzem eine sehr detailierte Liste für ihre Serversysteme veröffentlicht. Die Liste wird ständig aktualisiertund kann als RSS-Feed eingebunden werden.

Die Liste findet ihr unter:
http://social.technet.microsoft.com/wiki/contents/articles/953.aspx

Stay Secure,
Thomas Gronenwald

http://social.technet.microsoft.com/wiki/contents/articles/953.aspx

Wer kennt ihn nicht-diesen fiesen Computerwurm namens “Stuxnet” der, im Juni 2010 entdeckt, bis Ende des Jahres sein in (hauptsächlich iranischen) Industrieanlagen sein Unwesen trieb. Die Gefahr schien gebannt, doch wie Symantec berichtet, gibt es eine neue, und bessere, Variante des Wurms…der keiner mehr ist: W32.Duqu.

Aufgrund der Ähnlichkeit der Funktionsweise geht man davon aus, dass er den selben Author hat wie Stuxnet-oder zumindestens jemanden, der Zugriff auf Stuxnet’s Code hatte. Jedoch hat diese Variante keinen eigenen Verteilmechanismus, richtet keinen Schaden an sondern späht das betroffene System “nur” aus (Tastatureingaben und spezifische Systeminformationen). Aus derzeitiger Sicht mag dies nicht so schlimm sein. Jedoch geht man davon aus, dass diese Informationen für einen erneuten Angriff genutzt werden sollen.

Eine Infektion kann bei Windowssystemen, aufgrund des fehlenden Verteilmechnismus’, ausschließlich über Wechseldatenträger in Kombination mit vorhandenen Schwachstellen (Autostart, …) erfolgen. Diese sind auf den Zielrechnern (fokussiert wird hauptsächlich auf Industriesteuerungsanlagen) leider sehr häufig zu finden.

Während des Sammelns von Informationen macht der Schadcode externe Verbindungen auf, um die Daten (verschlüsselt) zu senden. Auch hierbei sei erwähnt, dass viele Produktionsanlagen direkte und vollgeroutete Internetanschlüsse besitzen.
Gegenmaßnahmen voerst:

• Deaktivierung Wechseldatenträger (USB, …)
• Überwachung Firewall auf ungewöhnlichen Verkeh (HTTP/S zu “206.xxx.xxx.97″)
• Deaktivierung Internetzugriff wenn nicht unbedingt benötigt
• Aktualisierung AntiVirus Signaturen

Update 19.10.2011, 12:10 Uhr:
Ein Lehrstück bei der Kombination von Überwindungsmaßnahmen. Wie Symantec schreibt, wurden Teile des Codes mit einem öffentlichen Zertifikat signiert (sog. “Code-Signing-Certificate”), welches von einem Symantec-Kunden gestohlen worden ist (wobei durch “stehlen” hat man das Passwort dafür ja auch nicht…). Solche Zertifikate braucht man, damit zum Beispiel Windowssysteme diese Software als vertrauenswürdig einstufen (und ausführen, selbst AV-Software springt dann nicht an). Symantec hat dieses Zertifikat zurückgezogen. Dies wiederrum hilft aber nichts-denn auf dem “Opfersystem” muß dies auch geschehen, entweder manuell oder durch ein Update. Für ersteres ist es notwendig zu wissen, um welches Zertifikat es sich handelt (das wird Symantec wohl kaum rausgeben) und für zweiteres gibt es eine Abhängig von Microsoft. Bleiben also die Maßnahmen, welche ich im Hauptartikel schon beschrieben habe.

Update 19.10.2011, 21:10 Uhr:
Symantec hat eigene Virendefinitionen entsprechend aktualisiert und ein Removal-Tool zur Verfügung gestellt (Kaspersky, Microsoft und Avira auch).

Hallo zusammen,

in Zusammenarbeit mit dem IT-Administrator Magazin hat gestern, nach dem ersten Workshop in Lingen, der zweite Workshop in Langenfeld zum Thema “Windows Server 2008 R2″ stattgefunden. An dieser Stelle gibt es nun wie versprochen alle Folien zum direkten Download.

Auf diesem Wege nochmals vielen Dank für die zahlreichen Teilnehmer und das positive Feedback.

  ITANet Workshop - AD Security - Die Folien (452,1 KiB, 275 hits)

  ITANet-Workshop - Key Management Service - Die Folien (291,5 KiB, 307 hits)

  ITANet-Workshop - AD-Exporte - Die Folien (965,4 KiB, 191 hits)

  ITANet-Workshop - AD-Exporte - Die Scripte (917,7 KiB, 89 hits)

Stay Secure,

Thomas Gronenwald
Sascha Giebelhausen

Heute nutzt so gut wie jeder Zertifikate – von E-Mail Verschlüsselung über Signierung bishin zur Dateiverschlüsselung, vieles ist möglich. Oft kommt es vor, dass innerhalb des Active Directories veröffentlichte Zertifikate nach Ablauf der Gültigkeit dort verbleiben. Sollte dann auch noch die alte Zertifikatsstelle nicht mehr erreichbar sein, können veröffentlichte Zertifikate auch nicht mehr von zentraler Stelle zurückgezogen werden.

Was auch beiläufig erwähnt werden muss ist, dass durch abgelaufene Zertifikate gegebenenfalls die Synchronisation des Exchange Offline Adressbuch fehlschlagen kann.

Je nach Benutzeranzahl gestaltet sich eine Bereinigung per Hand sehr mühselig. Damit jeder einen Überblick über die veröffentlichten und abgelaufenen Zertifikate erhält, habe ich ein PowerShell-Script zum Export dieser im Active Directory veröffentlichten Zertifikate geschrieben. Damit wird eine Auswertung über alle Benutzer der gewünschten Infrastruktur erstellt und eine Liste der veröffentlichten Zertifikate inklusive Ablaufdatum und Aussteller/Zertifikatsstelle generiert. Die Datensätze werden in der aktuellen Version in eine CSV-Datei exportiert, womit sie dann in Excel weiterverarbeitet und gefiltert werden können.

Das Script bitte vorab testen. Trotz sorgfälltiger Prüfung kann ich natürlich keine Haftung übernehmen.

  export_cert.ps1 (1,5 KiB, 143 hits)

Viel Spaß beim aufräumen.

Sascha Giebelhausen

Wenn im Netzwerk kein DDNS unterstützt wird oder es keine Zugriffsmöglichkeiten auf die DNS-Server gibt, muss den KMS-Clients manuell ein KMS-Host zugewiesen werden – hierdurch wird die automatische Erkennung von KMS auf einem KMS-Client deaktiviert.

So weist du einem KMS-Client manuell einen KMS-Host zu:

Step 1:
Anmeldung am KMS-Client.

Step 2:
Öffnen einer Eingabeaufforderung mit erhöhten Rechten.

Step 3:
Zuweisen eines KMS-Hosts mittels FQDN:

cscript \windows\system32\slmgr.vbs /skms <KMS_FQDN>:<Port>

Ebenso kann eine IPv4, IPv6 oder ein NETBIOS-Name verwendet werden.

Stay secure,
Thomas Gronenwald

Wie finde ich schnell und einfach alle Mitglieder meiner Gruppen heraus? Wer hat noch Administratorberechtigungen, dürfte diese aber streng genommen gar nicht mehr haben?

Oft steht man vor dem Problem, Gruppen und die dazugehörigen Mitglieder innerhalb des Active Directories auszuwerten. Abhilfe schafft hier das Tool “AD Group Members v1.1″ von Guillermo Musumeci.  Es ermöglicht Gruppen und Mitglieder zu exportieren (*.csv) – mittels Autofilter in Excel sind so schnell alle Mitglieder in den verschiedenen Gruppen dargestellt.

Many thanks to Guillermo, great work – well done!

Download AD Group Members v1.1

Stay secure,
Thomas Gronenwald

Immer wieder gibt es die Anforderung, dass die zu implementierten KMS-Hosts nicht mit dem Internet verbunden werden können oder sollen – warum auch einen weiteren Port auf der Firewall öffnen? Neben der Aktivierung über das Internet besteht außerdem die Möglichkeit, die Server über das Telefon zu aktivieren.

Bei der telefonischen Aktivierung eines KMS-Hosts gilt es jedoch ein paar Punkte zu beachten. Auch mit dem Umstieg von 2003 auf 2008 oder 2008 R2 haben sich einige Parameter geändert, die aber bislang nicht vollumfänglich in die neuen TechNet-Artikel übernommen wurden sind.

Wie aktiviere ich einen KMS-Server (Windows Server 2008 R2) via Telefon?

Step 1:
Zuerst muss der jeweilig genutzte KMS-Key eingeben werden. Welcher ist der richtige?

Dies geschieht mit folgendem Befehl auf der Kommandozeile (Ausführen als Administrator!):

“slmgr.vbs /ipk <KMS-Key>”

Step 2:
Um den KMS-Host nun über das Telefon zu aktivieren, verwendet man folgenden Befehl:

“slmgr.vbs /dti”

Hierdurch generiert der Server die sogennante Installations-ID.

Step 3:

Step 4:
Anschließend ruft man die Aktivierungsnummer von Microsoft an. Für Deutschland: 0800 – 2 84 82 83

“Olga”, der Telefoncomputer fordert uns auf, die zuvor  in 6-Stellige Blöcke notierte Installations-ID anzugeben – gesagt, getan… wir erhalten vom Telefoncomputer eine Aktivierungs-ID.

Diese widerum geben wir mit dem folgenden Befehl ein:

“slmgr /atp <Aktivierungs-ID>”

Step 5:
Prüfen der Aktivierung mit folgendem Befehl:

“slmgr /dli”

Jetzt sollte der KMS-Host den Lizenzstatus “Lizenziert” aufweisen.

Backgrounder:
Entgegen vieler Aussagen, benötigt der KMS-Host keine permanente Verbindung ins Internet oder zu den Microsoft Aktivierungsservern. Ebenso wenig werden Lizenzinformationen zwischen KMS-Host und den Lizenz- oder Aktivierungsservern abgeglichen.

Links zum Thema:

Windows Server 2008 R2: Key Management Service (KMS) Teil 1 – wieso, weshalb, warum?
Windows Server 2008 R2: Key Management Service (KMS) Teil 2 – wie konfiguriere ich einen KMS-Host im Unternehmen?
Windows Server 2008 R2: Key Management Service (KMS) Teil 3 – wie ändere ich einen MAK- in einen KMS-Client?
Windows Server 2008 R2: Key Management Service (KMS) Teil 4 – wichtige Fragen, wichtige Antworten

Grundlagen:
Grundlagen der Lizenzierung

Stay secure,
Thomas Gronenwald

Workshop: Ausfallsicherheit der DHCP-Infrastruktur unter Windows Server 2008 R2

In der aktuellen Ausgabe (Schwerpunkt: Hochverfügbarkeit) des IT-Administrator ist ein weiterer Artikel von mir zum Thema “Ausfallsicherheit in der DHCP-Infrastruktur” erschienen.

In den wenigsten Fällen machen sich Systemverantwortliche über eine ausreichende Redundanz ihres DHCP-Servers Gedanken. Dabei hat ein Ausfall des DHCP für ein Unternehmen oft erhebliche Auswirkungen. Fällt der einzige DHCP-Server im Netzwerk aus und kommen Leasetimes von mehr als fünf Tagen zum Einsatz, ist das Problem in den meisten Unternehmen höchstwahrscheinlich nicht allzu groß. Anders verhält es sich, wenn Technologien wie VPN, Provisioning und viele andere vom DHCP-Server abhängige Dienste genutzt werden. Dieser Workshop zeigt vier Maßnahmen zur Erhöhung der DHCP-Verfügbarkeit auf und wirft einen detaillierten Blick auf die Konfiguration von DHCP-Split-Scope unter Windows Server 2008 R2.

Den vollständigen Beitrag findet ihr in der Ausgabe Juli 2011 des IT-Administrator von Seite 56 bis 58.

Quelle: IT-Administrator.de

Inhalt und Überblick Ausgabe Juli 2011

Stay Secure,
Thomas Gronenwald

Allzeit klare Sicht

Im letzten Monat ist mein Artikel “Erfolgsfaktoren bei der Planung und Einführung eines Monitorings” in der Fachzeitschrift “IT-Administrator” erschienen. Der Artikel soll zur Unterstützung bei der Planung/Einführung eines Monitorings dienen und beschreibt alle wichtigen Punkte, welche bereits bei der Konzeptionierung berücksichtigt werden müssen.

Die aktuelle Ausgabe kann auch unter folgendem Link erwoben werden.

IT-Administrator als Einzelheft online erwerben

Sascha Giebelhausen

Hallo!

Gestern war der Rekord. Und zwar der (inoffizielle, weil durch mich gemessene) Rekord an Messe-Besuchern, die nach eigener Aussage zur CeBIT gekommen sind, “um sich inspirieren zu lasssen”. Kann man dass noch auf der CeBIT? Was für großartig neue Produkte gibt es schon, was man nicht auch vorher durch Google rausfindet? Mal davon abgesehen, dass es hier nur einen immer kleiner werdenden Teilausschnitt an Firmen gibt, die für eine solche “Inspirations- und Erleuchtungstour” überhaupt relevant wären.

Da ich das Glück habe, direkt gegenüber vom Forum des Heise Mittelstandswiki’s zu stehen, bekomme ich zwangsläufig auch alle Vorträge mit. Ich will jetzt nicht lästern oder so, zumal meine Vorträge sicher auch nicht die besten sind, aber wir haben den absoluten Gewinner des “Bullshit-Bingo” Vortragstitels gekürt. And the Winner ist: Cisco..

“Stellen Sie sich eine Secure-Mobility-Lösung vor, die zahlreiche Plattformen unterstützt, kontextbezogen und always-on ist.”

Zugegeben: Die vorgestellte Lösung macht schon einen schlanken Fuß, aber der Titel lädt nicht gerade zum Besuch ein. Desweiteren habe ich mir heute “Trendmicro Deep Security” angesehen. Eine ziemlich Runde Lösung wenn es um die Absicherung von virtuellen Maschinen geht. Soll angeblich den Virenscanner auf VM’s überflüssig machen. Sollte man sich mal näher ansehen.

Jedenfalls habe ich heute unter “tosendem Applaus” meinen Abschied in Sachen Vorträge auf der CeBIT 2011 gegeben. Eine kleine Impression (von meinem letzten Vortrag Dienstag) davon füge ich diesem Eintrag bei.

Viele Grüße aus Hannover,
Florian Thiessenhusen