Archive for the ‘Security’ Category

Exchange Server 2013 Publishing mit Web Application Proxy in WS 2012 R2

Sunday, December 22nd, 2013

Hallo Leutz,

das folgende Bilderbuch zeigt das OWA Publishing von Exchange Server 2013 mit dem Web Application Proxy in WS 2012 R2 mit ADFS Preauthentication:
http://www.it-training-grote.de/download/WebApplicationProxy-EX2013.pdf

Gruss Marc

Important Changes to Forefront Product Roadmaps – Teil IV– Sophos UTM

Monday, December 16th, 2013

Hallo Leutz,

nach Teil I-III:
http://www.it-training-grote.de/blog/?p=5434
http://www.it-training-grote.de/blog/?p=5452
http://www.it-training-grote.de/blog/?p=5628
http://blog.forefront-tmg.de/?p=1076

jetzt eine weitere Ankuendigung:
http://www.sophos.com/de-de/products/unified/utm/tmg-replacement.aspx

Gruss Marc

SCEP Client Installations Probleme auf WS 2012 R2

Saturday, December 14th, 2013

Hallo Leutz,

der System Center 2012 R2 Endpoint Protection Client (SCEP) laeuft auch auf Windows Server 2012 R2. Bisher konnte ich den Client auf zahlreichen Systemen ohne Probleme installieren. Nur auf einem Server kam die Meldung: “System Center Endpoint Protection cannot be installed on your operating system”.  Der Error Code ist 0x8004FF71 und die Event ID 100 im Application Log.
Wie man den SCEP Client trotzdem installieren kann steht in diesem Bilderbuch:
http://www.it-training-grote.de/download/SCEP-WS2012R2.pdf

Gruss Marc

Microsoft SHA1 Deprecation Policy

Tuesday, November 12th, 2013

Hallo Leutz,

Microsoft hat in dem Blogeintrag http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx heute (12.11.2013) angekuendigt, mit SHA1 ausgestellte SSL und CodeSigning Zertifikate in zeitlich festgelegten Stufen aus Sicherheitsgruenden nicht mehr zu unterstuetzen. Das wesentliche in Kuerze:
Juli 2015 – Microsoft wird in diesem Zeitraum neue Informationen / Richtlinien veroeffentlichen, wie mit der SHA1 Abloesung durch SHA2 umzugehen ist
01.01.2016 – CA Anbieter, welche Mitglied im Windows Root CA Programm sind, muessen ab diesem Zeitpunkt SHA2 Zertifikate ausstellen
01.01.2016 – Windows akzeptiert keine Code Signing Zertifikate mehr, welche auf SHA1 basieren und KEINEN Zeitstempel besitzen. Code Signing Zertifikate mit Zeitstempel vor 01.01.2016 werden weiterhin akzeptiert bis Microsoft entscheidet, dass diese Zertifikate angreifbar fuer “Pre-Image-Attacken” sind
01.01.2017 – Windows akzeptiert ab diesem Zeitpunkt keine SSL-Zertifikate mit SHA1
01.01.2017 – Webserver Administratoren / CA Administratoren muessen neue Zertifikate fuer alle ausgestellten SSL und Code Signing Zertifikate mit SHA1 ausstellen und sicherstellen das SHA2 verwendet wird.

Fuer PKI-Administratoren / Webserver-Administratoren bedeutet dass:
1) Zeitnah alle Anwendungen und Dienste zu evaluieren, welche SSL und CodeSigning Zertifikate mit SHA1 verwenden und pruefen, ob diese durch SHA2 Zertifikate ausgetauscht werden koennen
2) Neue PKI Implementierungen gleich mit SHA2 (CNG) Support etablieren, wobei auch hier vorher die Auswirkungen auf die IT Infrastruktur zu beruecksichtigen sind
3) Migrationswege zur “Migration” vorhandener CA auszuarbeiten, welche noch nicht zur Verwendung von CNG Algorithmen konfiguriert sind. Je nach verwendetem CSP (z. B. Microsoft Strong Cryptographic Provider) kann es sehr aufwaendig werden, eine existierende CA auf CNG umzustellen (z. B.: http://www.it-training-grote.de/download/WindowsCA-SHA1-SHA256.pdf)

Gruss Marc

Windows Server 2008 R2 RootCA startet nicht mehr

Wednesday, October 23rd, 2013

Hallo Leutz,

bei einem Kunden startete die Windows Server 2008 R2 RootCA nicht mehr mit der Fehlermeldung: WsResetMetadata 0xd00000bb (-805306181).
Schuld war ein fehlender Registry Key (siehe Bilderbuch). Wer oder was die Ursache des Problems war, konnte ich bisher nicht ermitteln:
http://www.it-training-grote.de/download/RootCA-WSResetMetaData.pdf

Gruss Marc

Hochstufung einer Windows CA von SHA1 auf SHA256

Thursday, October 17th, 2013

Hallo Leutz,

das folgende Bilderbuch zeigt wie man eine Windows CA von SHA1 auf SHA256 hochstufen kann, damit diese v3 Templates erstellen kann, welche als Algorithmus SHA256 verwenden:
http://www.it-training-grote.de/download/WindowsCA-SHA1-SHA256.pdf

Gruss Marc

Microsoft’s commitment to Microsoft antimalware

Wednesday, October 9th, 2013

Hallo Leutz,

vor einigen Tagen kam das Geruecht auf, dass Microsoft empfiehlt, bei der Verwendung von Virenscannern auf Third Party Hersteller zu setzen. Quelle unter anderen hier:
http://www.howtogeek.com/173291/goodbye-microsoft-security-essentials-microsoft-now-recommends-you-use-a-third-party-antivirus

Hier nun das offizielle commitment von Microsoft:
http://blogs.technet.com/b/mmpc/archive/2013/10/09/our-commitment-to-microsoft-antimalware.aspx

Gruss Marc

System Center und Windows Server Power Workshops bei der Fa. Netz-Weise in Hannover

Saturday, October 5th, 2013

Hallo Leutz,

Ab Januar 2014 biete ich in Zusammenarbeit mit der Firma Netz-Weise (http://www.netz-weise.de) diverse Windows Server 2012 R2 und System Center Workshops an:

Hyper-V – Windows Server 2012 R2 Failover Cluster (5 Tage) – 05-09.05.2014
System Center Virtual Machine Manager R2 (3 Tage) – 27-29.01.2014
Windows Server 2012 R2 Direct Access (Unified Remote Access) (3 Tage) – 28-30.04.2014
Windows Server 2012 R2 PKI (4 Tage) – 24-27.03.2014
Exchange Server 2013 (4 Tage) – 17-20.02.2104

Details zu den Workshops findet Ihr hier: http://www.netz-weise.de/lernen-von-den-besten/microsoft-server-mit-marc-grote.html

Weitere Informationen findet Ihr auf der Webseite der Netz-Weisen: http://www.netz-weise.de/home.html

Gruss Marc

Artikel – Entwickeln eines Netzwerksicherheits-Plan in Windows Umgebungen – Artikel fuer die Printausgabe des IT Administrator

Friday, September 27th, 2013

Hallo Leutz,

fuer die Oktober 2013 Ausgabe der Print Ausgabe des IT Administrator habe ich einen Artikel zum Thema Entwickeln eines Netzwerksicherheits-Plan in Windows Umgebungen geschrieben. Weitere Informationen findet man hier: http://www.it-administrator.de

Gruss Marc

SCCM 2012 Client Pushinstallation funktioniert nicht mehr

Friday, June 21st, 2013

Hallo Leutz,

Bei einem Kunden von mir wo ich letztes Jahr SCCM 2012 / SCEP installiert habe, funktioniert die CCM-Client Pushinstallation nicht mehr. Im Log stehen die “bekannten”, “beruechtigten” Meldungen. Wie man das Problem loesen kann und wer ursaechlich fuer dieses Problem war, steht in disem Bilderbuch:
http://www.it-training-grote.de/download/SCCM-CLIENT-SCVMM-BITS.pdf

Gruss Marc