Archive for the ‘Security’ Category

Artikel fuer die Printausgabe des IT Administrator (www.it-administrator.de) – MDM Loesungen mit System Center 2012 R2

Monday, September 1st, 2014

Hallo Leutz,

fuer die September 2014 Ausgabe der Print Ausgabe des IT Administrator habe ich einen Artikel zum Thema MDM Loesungen mit System Center 2012 R2 geschrieben.
Weitere Informationen findet man hier: http://www.it-administrator.de

Gruss Marc

Nokia Lumia 925 – Massive Akkuentladung nach Windows Phone 8.1 (RTM) Update

Monday, August 18th, 2014

Hallo Leutz,

in den diversen Smartphone/ Mobile Phone / Nokia Foren berichten zahlreiche Anwender von einer massiven Akkuentladung innerhalb kuerzester Zeit und einer massiven Erhitzung von Nokia Smartphones (z. B. 920, 925, 930, 1020). Ich selbst bin ebenfalls seit einigen Wochen Opfer dieses Verhaltens (Lumia 925) und verzeichnete eine Akkuentladung zwischen 25-40% Prozent in der Stunde.

wp_ss_20140818_0001

Alle ueblichen Tricks wie die WLAN Einschraenkung, Mobilfunk auf 3G/2G aendern, Hintergrundprozesse reduzieren, Live Tiles einschraenken, Stromsparmodus aktivieren, Soft- und Hard Reset fuehrten alle zu keiner Besserung. Ein Update auf die Developer Preview GDR-1 fuehrte auch zu keiner Verbesserung.

Was mir verstaerkt auffiel war eine verzoegerte Reaktion meines E-mail Clients (Exchange Active Sync). Das Browsen in Ordnern oder das Versenden von E-Mails war stark verzoegert. Eine Neueinrichtung des Kontos und der Synchonisierung fuehrte zu keiner Verbesserung.

Vor einigen Tage habe ich dann im E-Mail Client die Option zur S/MIME-Signatur desaktiviert.

wp_ss_20140818_0002

Mit Erscheinen von Windows Phone 8.1 hatte ich das lang ersehnte Feature aktiviert, um wie bei dem normalen Outlook Client E-Mails eine S/MIME Signatur hinzuzufuegen. Nach der Desaktivierung der S/MIME Signatur hat sich die Akkunutzung meines Smartphone wieder normalisiert und schwankt seit einigen Tagen nur noch im normalen Rahmen. Als Gegentest habe ich dann die S/MIME Signatur gestern wieder aktiviert und kurze Zeit spaeter wieder einen massiven Akkuverbrauch festgestellt. Desaktivierung der S/MIME-Signatur fuehrt wieder schnell zu einem akzeptablen Akkuverbrauch.

Ob das Verhalten nur auf meinem Smartphone auftritt kann ich nicht sagen, in den Foren ist nie von der S/MIME Funktion die Rede. Aus eigener Erfahrung nutzen auch wenige Anwender eine S/MIME Signatur.

Sollte jemand diesen Blog Eintrag lesen und aehnliche Probleme haben, wuerde ich mich ueber einen Blog-Kommentar freuen.

UPDATE:

Seit dem 20.08.2014 ist das Update 8.10.14157.200 verfuegbar:

wp_ss_20140820_0001

Dem “Netz” konnte ich noch keine Infos entnehmen, ob der “Bug” evtl. beseitigt wurde.

Gruss Marc

Microsoft Azure Site to Site VPN mit Fritzbox 3390

Saturday, August 2nd, 2014

Hallo Leutz,

zusammen mit meinem Freund und Kollegen Holger Voges haben wir im Rahmen unseres ASWE (ArbeitsSpassWochenEnde) eine Site to Site VPN Verbindung zwischen Microsoft Azure und einer Fritzbox 3390 eingerichtet und die Konfiguration in folgendem Bilderbuch beschrieben:
http://www.it-training-grote.de/download/Azure-VPN.pdf

Gruss Holger und Marc

Rollup 5 fuer Forefront Threat Management Gateway 2010 Service Pack 2

Sunday, June 29th, 2014

Hallo Leutz,

Rollup 5 fuer Forefront Threat Management Gateway 2010 Service Pack 2 steht zum Download zur Verfuegung:
http://support.microsoft.com/kb/2954173

Gruss Marc

MS14-025: Update fuer Group Policy Preferences – Credential Speicherung

Tuesday, May 13th, 2014

Hallo Leutz,

mit Hilfe von GPP (Group Policy Preferences) kann man zum Beispiel zahlreiche Einstellungen vornehmen, bei denen User-Credentials gespeichert werden.
Die Credentials werden mit einem statischen symmetrischen AES Key in einer XML-Datei verschluesselt.
Ein “Attacker” welcher Zugriff auf den SYSVOL Share eines DC hat (Authenticated Users haben per Default Zugriff), kann die Verschluesselung aufheben und so Zugriff auf die Kennwoerter erhalten. An sich nichts neues und seit 2008 bekannt (http://blogs.technet.com/b/grouppolicy/archive/2008/08/04/passwords-in-group-policy-preferences.aspx).

Mit dem Mai 2014 Patchday hat Microsoft “endlich” eine Aenderung an den Moeglichkeiten zur Speicherung von Credentials in GPP durchgefuehrt und laesst fuer neue GPP nicht mehr zu, dass Credentials angegeben werden, bestehende GPP werden davon aber nicht beeinflusst. Microsoft stellt Scripts zur Verfuegung, welche in GPO nach Kennwoertern fuer Konten suchen und die Remote Aenderung von lokalen Administrator-Kennwoertern ermoeglichen.
MS14-025 geht in die Richtung was ich mir aus Security Sicht seit 2008 gewuenscht habe (leider nimmt nicht jeder Kunde meine Empfehlungen an, keine GPP mit Credential Speicherung zu verwenden), aus administrativer Sicht haette ich mir jedoch eine Aenderung des Sicherheitssystems gewuenscht, wie Credentials in GPP gespeichert werden.

Weitere Informationen findet man hier:
http://blogs.technet.com/b/srd/archive/2014/05/13/ms14-025-an-update-for-group-policy-preferences.aspx
http://technet.microsoft.com/security/bulletin/ms14-025

Gruss Marc

Forefront TMG – HTTPS Inspection und CNG Zertifikate

Wednesday, May 7th, 2014

Hallo Leutz,

offiziell unterstuetzt Forefront TMG keine CNG Zertifikate:
http://technet.microsoft.com/de-de/library/ee796231.aspx#dfg9o9i8uuy6tre

Da im Rahmen des HeartBleed Bugs (http://de.wikipedia.org/wiki/Heartbleed), viele Webserver Betreiber ihren SSL-Zugang und  SSL-Zertifikate umgestellt haben und CNG Algorithmen wie SHA256 verwenden, hat die HTTPS Inspection in TMG immer haeufiger Probleme mit aktuellen Webserver-Zertifikaten.
Christian Schulenburg (http://www.blog-schulenburg.de) hat mir vor kurzem eine Anfrage zu dem Thema gestellt und ich habe geantwortet, dass TMG kein CNG unterstuetzt. Christian hat recherchiert und dabei folgendes gefunden:
http://social.technet.microsoft.com/forums/forefront/en-US/d9fe04ac-4bc7-4a33-8cb1-fc840a979c8c/httpsinspect-with-staat-der-nederlanden-root-ca-g2
In dem Thread wird auf  ein zu erstellendes PowerShell-Script verwiesen, was ein custom CNG Zertifikat erstellt und von TMG verwendet werden kann. Christian konnte dieses Zertifikat auch erfolgreich bei dem TMG Server seiner Firma verwenden, ich konnte noch keine Tests durchfuehren.

Gruss Marc

Artikel fuer die Printausgabe des IT Administrator (www.it-administrator.de) – Administrative Sicherheit und Ueberwachungsfunktionen in Exchange Server 2013

Thursday, May 1st, 2014

Hallo Leutz,

fuer die Mai 2014 Ausgabe der Print Ausgabe des IT Administrator habe ich einen Artikel zum Thema Administrative Sicherheit und Ueberwachungsfunktionen in Exchange Server 2013 geschrieben.
Weitere Informationen findet man hier: http://www.it-administrator.de

Gruss Marc

Austausch eines selbstsignierten Remote Desktop Connection Zertifikats in Windows Server 2012 R2

Saturday, April 19th, 2014

Hallo Leutz,

Windows Server 2012 R2 verwendet fuer die Remote Desktop Connection ein selbst signiertes Zertifikat.
Anders als bei Windows Server 2008 R2 gibt es die MMC TSCONFIG.MSC in Windows Server 2012 / R2 nicht mehr.
Wie also das Zertifikat auf einem Server austauschen, ohne ueber den Server Manager ein Remote Desktop Services Deployment durch zu fuehren?
Die Loesung heisst per WMIC oder Powershell das alte Zertifikat und den Thumbprint zu ermitteln, ein neues Zertifikat anzufordern, mit privaten Schluessel zu exportieren und anschliessend per WMIC wieder an die RDS-Dienste zu binden.

Wie das geht, steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/RDS-2012R2-SelfSignedCertificate.pdf

Gruss Marc

NVGRE Gateway mit SCVMM 2012 R2 und Windows Server 2012 R2

Monday, March 31st, 2014

Hallo Leutz,

am Wochenende hatte ich im Rahmen eines ASWE mit meinem Freund und Kollegen Holger Voges die Gelegenheit, ein NVGRE Gateway mit Hyper-V 2012 R2 und SCVMM 2012 R2 einzurichten.
Orientiert haben wir uns an der sehr guten Anleitung: http://gallery.technet.microsoft.com/Hybrid-Cloud-with-NVGRE-aa6e1e9a
Daraus ist dann folgendes Bilderbuch entstanden:http://www.it-training-grote.de/download/NVGRE-SCVMM2012R2.pdf

Gruss Marc

Exchange Server 2007 zu 2013 Migration – Legacy URL Probleme ueber Forefront TMG

Saturday, March 29th, 2014

Hallo Leutz,

im Rahmen einer Exchange 2007 zu 2013 Migration mussten wir den Forefront TMG Server anpassen, dass Outlook Web Access Benutzer sowohl auf Exchange 2007 als auch Exchange 2013 Mailboxen zugreifen koennen.
Dazu wurden in der Exchange Server Umgebung die entsprechenden internen/externen URL / SCP angepasst.
Nach der Anpassung hatten OWA User aus dem Internet aber das Problem, dass ein Exchange 2007 User nicht korrekt ueber die Legacy URL redirected wurde und sich in einer Endlosschleife befand. Im Forefront TMG kam die Meldung “302 Moved Temporarily”.
Wie man das Problem loesen kann, steht in diesem Bilderbuch:
http://www.it-training-grote.de/download/EX2013-Migration-LegacyURL-TMG.pdf

Gruss Marc