Archive for the ‘Security’ Category

Forefront TMG SSL Hardening und Forward Secrecy aktivieren

Tuesday, October 21st, 2014

Hallo Leutz,

das folgende Bilderbuch zeigt, wie man Forefront TMG einer SSL Haertung unterziehen kann (SSL 2.0 deaktivieren, TLS 1.1 und 1.2 aktivieren, Negotiation Order aendern, POODLE Hack deaktivieren) und wie Forward Secrecy aktiviert werden kann:
http://www.it-training-grote.de/download/SSL-Exchange-TMG.pdf
Achtung: Wenn Outlook 2011 fuer Mac auf Apple OS verwendet wird, muss der Key AllowInsecureRenegoClients auf Wert = 1 gesetzt werden

Gruss Marc

Artikelserie fuer die Printausgabe des IT Administrator (www.it-administrator.de) – Direct Access in Windows Server 2012 R2 Teil II

Wednesday, October 1st, 2014

Hallo Leutz,

fuer die Ausgaben September/Oktober/November/Dezember 2014 der Print Ausgabe des IT Administrator schreibe ich eine Artikelserie zum Thema Direct Access in Windows Server 2012 R2.
Die Artikel:
September: Direct Access: Grundlagen, Anwendungsfaelle und Voraussetzungen
Oktober: Direct Access: Vorbereitung der Infrastruktur
November: Direct Access: Konfiguration von Server und Clients
Dezember: Direct Access: Rollout und Troubleshooting

Weitere Informationen findet man hier: http://www.it-administrator.de

Gruss Marc

Artikelserie fuer die Printausgabe des IT Administrator (www.it-administrator.de) – Direct Access in Windows Server 2012 R2 Teil I

Monday, September 1st, 2014

Hallo Leutz,

fuer die Ausgaben September/Oktober/November/Dezember 2014 der Print Ausgabe des IT Administrator schreibe ich eine Artikelserie zum Thema Direct Access in Windows Server 2012 R2.
Die Artikel:
September: Direct Access: Grundlagen, Anwendungsfaelle und Voraussetzungen
Oktober: Direct Access: Vorbereitung der Infrastruktur
November: Direct Access: Konfiguration von Server und Clients
Dezember: Direct Access: Rollout und Troubleshooting

Weitere Informationen findet man hier: http://www.it-administrator.de

Gruss Marc

Artikel fuer die Printausgabe des IT Administrator (www.it-administrator.de) – MDM Loesungen mit System Center 2012 R2

Monday, September 1st, 2014

Hallo Leutz,

fuer die September 2014 Ausgabe der Print Ausgabe des IT Administrator habe ich einen Artikel zum Thema MDM Loesungen mit System Center 2012 R2 geschrieben.
Weitere Informationen findet man hier: http://www.it-administrator.de

Gruss Marc

Nokia Lumia 925 – Massive Akkuentladung nach Windows Phone 8.1 (RTM) Update

Monday, August 18th, 2014

Hallo Leutz,

in den diversen Smartphone/ Mobile Phone / Nokia Foren berichten zahlreiche Anwender von einer massiven Akkuentladung innerhalb kuerzester Zeit und einer massiven Erhitzung von Nokia Smartphones (z. B. 920, 925, 930, 1020). Ich selbst bin ebenfalls seit einigen Wochen Opfer dieses Verhaltens (Lumia 925) und verzeichnete eine Akkuentladung zwischen 25-40% Prozent in der Stunde.

wp_ss_20140818_0001

Alle ueblichen Tricks wie die WLAN Einschraenkung, Mobilfunk auf 3G/2G aendern, Hintergrundprozesse reduzieren, Live Tiles einschraenken, Stromsparmodus aktivieren, Soft- und Hard Reset fuehrten alle zu keiner Besserung. Ein Update auf die Developer Preview GDR-1 fuehrte auch zu keiner Verbesserung.

Was mir verstaerkt auffiel war eine verzoegerte Reaktion meines E-mail Clients (Exchange Active Sync). Das Browsen in Ordnern oder das Versenden von E-Mails war stark verzoegert. Eine Neueinrichtung des Kontos und der Synchonisierung fuehrte zu keiner Verbesserung.

Vor einigen Tage habe ich dann im E-Mail Client die Option zur S/MIME-Signatur desaktiviert.

wp_ss_20140818_0002

Mit Erscheinen von Windows Phone 8.1 hatte ich das lang ersehnte Feature aktiviert, um wie bei dem normalen Outlook Client E-Mails eine S/MIME Signatur hinzuzufuegen. Nach der Desaktivierung der S/MIME Signatur hat sich die Akkunutzung meines Smartphone wieder normalisiert und schwankt seit einigen Tagen nur noch im normalen Rahmen. Als Gegentest habe ich dann die S/MIME Signatur gestern wieder aktiviert und kurze Zeit spaeter wieder einen massiven Akkuverbrauch festgestellt. Desaktivierung der S/MIME-Signatur fuehrt wieder schnell zu einem akzeptablen Akkuverbrauch.

Ob das Verhalten nur auf meinem Smartphone auftritt kann ich nicht sagen, in den Foren ist nie von der S/MIME Funktion die Rede. Aus eigener Erfahrung nutzen auch wenige Anwender eine S/MIME Signatur.

Sollte jemand diesen Blog Eintrag lesen und aehnliche Probleme haben, wuerde ich mich ueber einen Blog-Kommentar freuen.

UPDATE:

Seit dem 20.08.2014 ist das Update 8.10.14157.200 verfuegbar:

wp_ss_20140820_0001

Dem “Netz” konnte ich noch keine Infos entnehmen, ob der “Bug” evtl. beseitigt wurde.

Gruss Marc

Microsoft Azure Site to Site VPN mit Fritzbox 3390

Saturday, August 2nd, 2014

Hallo Leutz,

zusammen mit meinem Freund und Kollegen Holger Voges haben wir im Rahmen unseres ASWE (ArbeitsSpassWochenEnde) eine Site to Site VPN Verbindung zwischen Microsoft Azure und einer Fritzbox 3390 eingerichtet und die Konfiguration in folgendem Bilderbuch beschrieben:
http://www.it-training-grote.de/download/Azure-VPN.pdf

Gruss Holger und Marc

Rollup 5 fuer Forefront Threat Management Gateway 2010 Service Pack 2

Sunday, June 29th, 2014

Hallo Leutz,

Rollup 5 fuer Forefront Threat Management Gateway 2010 Service Pack 2 steht zum Download zur Verfuegung:
http://support.microsoft.com/kb/2954173

Gruss Marc

MS14-025: Update fuer Group Policy Preferences – Credential Speicherung

Tuesday, May 13th, 2014

Hallo Leutz,

mit Hilfe von GPP (Group Policy Preferences) kann man zum Beispiel zahlreiche Einstellungen vornehmen, bei denen User-Credentials gespeichert werden.
Die Credentials werden mit einem statischen symmetrischen AES Key in einer XML-Datei verschluesselt.
Ein “Attacker” welcher Zugriff auf den SYSVOL Share eines DC hat (Authenticated Users haben per Default Zugriff), kann die Verschluesselung aufheben und so Zugriff auf die Kennwoerter erhalten. An sich nichts neues und seit 2008 bekannt (http://blogs.technet.com/b/grouppolicy/archive/2008/08/04/passwords-in-group-policy-preferences.aspx).

Mit dem Mai 2014 Patchday hat Microsoft “endlich” eine Aenderung an den Moeglichkeiten zur Speicherung von Credentials in GPP durchgefuehrt und laesst fuer neue GPP nicht mehr zu, dass Credentials angegeben werden, bestehende GPP werden davon aber nicht beeinflusst. Microsoft stellt Scripts zur Verfuegung, welche in GPO nach Kennwoertern fuer Konten suchen und die Remote Aenderung von lokalen Administrator-Kennwoertern ermoeglichen.
MS14-025 geht in die Richtung was ich mir aus Security Sicht seit 2008 gewuenscht habe (leider nimmt nicht jeder Kunde meine Empfehlungen an, keine GPP mit Credential Speicherung zu verwenden), aus administrativer Sicht haette ich mir jedoch eine Aenderung des Sicherheitssystems gewuenscht, wie Credentials in GPP gespeichert werden.

Weitere Informationen findet man hier:
http://blogs.technet.com/b/srd/archive/2014/05/13/ms14-025-an-update-for-group-policy-preferences.aspx
http://technet.microsoft.com/security/bulletin/ms14-025

Gruss Marc

Forefront TMG – HTTPS Inspection und CNG Zertifikate

Wednesday, May 7th, 2014

Hallo Leutz,

offiziell unterstuetzt Forefront TMG keine CNG Zertifikate:
http://technet.microsoft.com/de-de/library/ee796231.aspx#dfg9o9i8uuy6tre

Da im Rahmen des HeartBleed Bugs (http://de.wikipedia.org/wiki/Heartbleed), viele Webserver Betreiber ihren SSL-Zugang und  SSL-Zertifikate umgestellt haben und CNG Algorithmen wie SHA256 verwenden, hat die HTTPS Inspection in TMG immer haeufiger Probleme mit aktuellen Webserver-Zertifikaten.
Christian Schulenburg (http://www.blog-schulenburg.de) hat mir vor kurzem eine Anfrage zu dem Thema gestellt und ich habe geantwortet, dass TMG kein CNG unterstuetzt. Christian hat recherchiert und dabei folgendes gefunden:
http://social.technet.microsoft.com/forums/forefront/en-US/d9fe04ac-4bc7-4a33-8cb1-fc840a979c8c/httpsinspect-with-staat-der-nederlanden-root-ca-g2
In dem Thread wird auf  ein zu erstellendes PowerShell-Script verwiesen, was ein custom CNG Zertifikat erstellt und von TMG verwendet werden kann. Christian konnte dieses Zertifikat auch erfolgreich bei dem TMG Server seiner Firma verwenden, ich konnte noch keine Tests durchfuehren.

Gruss Marc

Artikel fuer die Printausgabe des IT Administrator (www.it-administrator.de) – Administrative Sicherheit und Ueberwachungsfunktionen in Exchange Server 2013

Thursday, May 1st, 2014

Hallo Leutz,

fuer die Mai 2014 Ausgabe der Print Ausgabe des IT Administrator habe ich einen Artikel zum Thema Administrative Sicherheit und Ueberwachungsfunktionen in Exchange Server 2013 geschrieben.
Weitere Informationen findet man hier: http://www.it-administrator.de

Gruss Marc