Archive for the ‘Security’ Category

Sharepoint Server 2013 und anspruchsbasierte Authentifizierung – Aufloesung von Gruppen SID

Friday, January 31st, 2014

Hallo Leutz,

Bei einem Kunden wurden Sharepoint Server 2013 implementiert und spezielle Applikationen eingerichtet, welche die anspruchsbasierte (Claims based Authentication) verwenden. Die Administratoren haben festgestellt, dass man in der Sharepoint Applikation nur Benutzer, aber keine Benutzergruppen berechtigen kann. Wenn statt Benutzer eine Benutzergruppe verwendet wird, erscheint eine Fehlermeldung, dass die entsprechende Anwendung / Funktion nicht aufgerufen werden kann. Ursache fuer das Problem sind neue SID in Windows Server 2012 Domaenen Controller Anmeldetoken mit denen die Sharepoint Applikation nicht klar kommt.

Wie wir das Problem geloest haben, steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/Sharepoint-2013-Group-SID.pdf

Gruss Marc

Work Folders in WS 2012 R2

Monday, December 23rd, 2013

Hallo Leutz,

das folgende Bilderbuch zeigt die Konfiguration des Work Folder Features in WS 2012 R2 mit einem Windows 8.1 Client:
http://www.it-training-grote.de/download/WorkFolders-WS2012R2.pdf

Gruss Marc

Exchange Server 2013 Publishing mit Web Application Proxy in WS 2012 R2

Sunday, December 22nd, 2013

Hallo Leutz,

das folgende Bilderbuch zeigt das OWA Publishing von Exchange Server 2013 mit dem Web Application Proxy in WS 2012 R2 mit ADFS Preauthentication:
http://www.it-training-grote.de/download/WebApplicationProxy-EX2013.pdf

Gruss Marc

Important Changes to Forefront Product Roadmaps – Teil IV– Sophos UTM

Monday, December 16th, 2013

Hallo Leutz,

nach Teil I-III:
http://www.it-training-grote.de/blog/?p=5434
http://www.it-training-grote.de/blog/?p=5452
http://www.it-training-grote.de/blog/?p=5628
http://blog.forefront-tmg.de/?p=1076

jetzt eine weitere Ankuendigung:
http://www.sophos.com/de-de/products/unified/utm/tmg-replacement.aspx

Gruss Marc

SCEP Client Installations Probleme auf WS 2012 R2

Saturday, December 14th, 2013

Hallo Leutz,

der System Center 2012 R2 Endpoint Protection Client (SCEP) laeuft auch auf Windows Server 2012 R2. Bisher konnte ich den Client auf zahlreichen Systemen ohne Probleme installieren. Nur auf einem Server kam die Meldung: “System Center Endpoint Protection cannot be installed on your operating system”.  Der Error Code ist 0x8004FF71 und die Event ID 100 im Application Log.
Wie man den SCEP Client trotzdem installieren kann steht in diesem Bilderbuch:
http://www.it-training-grote.de/download/SCEP-WS2012R2.pdf

Gruss Marc

Microsoft SHA1 Deprecation Policy

Tuesday, November 12th, 2013

Hallo Leutz,

Microsoft hat in dem Blogeintrag http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx heute (12.11.2013) angekuendigt, mit SHA1 ausgestellte SSL und CodeSigning Zertifikate in zeitlich festgelegten Stufen aus Sicherheitsgruenden nicht mehr zu unterstuetzen. Das wesentliche in Kuerze:
Juli 2015 – Microsoft wird in diesem Zeitraum neue Informationen / Richtlinien veroeffentlichen, wie mit der SHA1 Abloesung durch SHA2 umzugehen ist
01.01.2016 – CA Anbieter, welche Mitglied im Windows Root CA Programm sind, muessen ab diesem Zeitpunkt SHA2 Zertifikate ausstellen
01.01.2016 – Windows akzeptiert keine Code Signing Zertifikate mehr, welche auf SHA1 basieren und KEINEN Zeitstempel besitzen. Code Signing Zertifikate mit Zeitstempel vor 01.01.2016 werden weiterhin akzeptiert bis Microsoft entscheidet, dass diese Zertifikate angreifbar fuer “Pre-Image-Attacken” sind
01.01.2017 – Windows akzeptiert ab diesem Zeitpunkt keine SSL-Zertifikate mit SHA1
01.01.2017 – Webserver Administratoren / CA Administratoren muessen neue Zertifikate fuer alle ausgestellten SSL und Code Signing Zertifikate mit SHA1 ausstellen und sicherstellen das SHA2 verwendet wird.

Fuer PKI-Administratoren / Webserver-Administratoren bedeutet dass:
1) Zeitnah alle Anwendungen und Dienste zu evaluieren, welche SSL und CodeSigning Zertifikate mit SHA1 verwenden und pruefen, ob diese durch SHA2 Zertifikate ausgetauscht werden koennen
2) Neue PKI Implementierungen gleich mit SHA2 (CNG) Support etablieren, wobei auch hier vorher die Auswirkungen auf die IT Infrastruktur zu beruecksichtigen sind
3) Migrationswege zur “Migration” vorhandener CA auszuarbeiten, welche noch nicht zur Verwendung von CNG Algorithmen konfiguriert sind. Je nach verwendetem CSP (z. B. Microsoft Strong Cryptographic Provider) kann es sehr aufwaendig werden, eine existierende CA auf CNG umzustellen (z. B.: http://www.it-training-grote.de/download/WindowsCA-SHA1-SHA256.pdf)

Gruss Marc

Windows Server 2008 R2 RootCA startet nicht mehr

Wednesday, October 23rd, 2013

Hallo Leutz,

bei einem Kunden startete die Windows Server 2008 R2 RootCA nicht mehr mit der Fehlermeldung: WsResetMetadata 0xd00000bb (-805306181).
Schuld war ein fehlender Registry Key (siehe Bilderbuch). Wer oder was die Ursache des Problems war, konnte ich bisher nicht ermitteln:
http://www.it-training-grote.de/download/RootCA-WSResetMetaData.pdf

Gruss Marc

Hochstufung einer Windows CA von SHA1 auf SHA256

Thursday, October 17th, 2013

Hallo Leutz,

das folgende Bilderbuch zeigt wie man eine Windows CA von SHA1 auf SHA256 hochstufen kann, damit diese v3 Templates erstellen kann, welche als Algorithmus SHA256 verwenden:
http://www.it-training-grote.de/download/WindowsCA-SHA1-SHA256.pdf

Gruss Marc

Microsoft’s commitment to Microsoft antimalware

Wednesday, October 9th, 2013

Hallo Leutz,

vor einigen Tagen kam das Geruecht auf, dass Microsoft empfiehlt, bei der Verwendung von Virenscannern auf Third Party Hersteller zu setzen. Quelle unter anderen hier:
http://www.howtogeek.com/173291/goodbye-microsoft-security-essentials-microsoft-now-recommends-you-use-a-third-party-antivirus

Hier nun das offizielle commitment von Microsoft:
http://blogs.technet.com/b/mmpc/archive/2013/10/09/our-commitment-to-microsoft-antimalware.aspx

Gruss Marc

System Center und Windows Server Power Workshops bei der Fa. Netz-Weise in Hannover

Saturday, October 5th, 2013

Hallo Leutz,

Ab Januar 2014 biete ich in Zusammenarbeit mit der Firma Netz-Weise (http://www.netz-weise.de) diverse Windows Server 2012 R2 und System Center Workshops an:

Hyper-V – Windows Server 2012 R2 Failover Cluster (5 Tage) – 05-09.05.2014
System Center Virtual Machine Manager R2 (3 Tage) – 27-29.01.2014
Windows Server 2012 R2 Direct Access (Unified Remote Access) (3 Tage) – 28-30.04.2014
Windows Server 2012 R2 PKI (4 Tage) – 24-27.03.2014
Exchange Server 2013 (4 Tage) – 17-20.02.2104

Details zu den Workshops findet Ihr hier: http://www.netz-weise.de/lernen-von-den-besten/microsoft-server-mit-marc-grote.html

Weitere Informationen findet Ihr auf der Webseite der Netz-Weisen: http://www.netz-weise.de/home.html

Gruss Marc