Windows Client oder Server vom USB Stick installieren

Nur ein kleiner Beitrag zur Erstellung eines USB Sticks für ein Boot von USB zur Installation von Windows ab Version Windows Vista bis zum aktuellen Windows 10. Auch Server lassen sich, solange die Hardware das Starten von USB unterstützt mit einem USB Stick betanken. Da ich immer auf vielen verschiedenen Systemen unterwegs bin müssen Bordmittel herhalten. Die sind halt immer zur Hand :-). Wer eine UEFI Installation anstrebt sollte aber vorsichtig sein. Nicht alle Systeme unterstützen einen UEFI Boot von USB und somit ist auch keine UEFI Installation möglich. Weiterlesen

Windows 10 und Windows Server 2016 – Mal etwas rumgedockert

Mit Windows 10 ab Version 1607 und Windows Server 2016 wurden eine Menge neue Features in die Betriebssysteme gebracht. Zeit mal wieder etwas zu basteln und gleich mal drei dieser Funktionen zu testen. Hierbei handelt es sich um Nested Virtualization, PowerShell Direct und Container bzw. Docker. Weiterlesen

Windows Server 2016 – NANO Server als Member in der Domäne

Über die Installation eines NANO Servers habe ich bereits in einer TP4-Version von Windows Server 2016 berichtet. Dabei hat sich die Installation zur aktuellen Version nur unwesentlich geändert. Für die Praxis sehe ich auch weiterhin Einsatzszenarien für den NANO Server. Dabei stellen sich dem klassischen Windows Admin einige Hürden welche er bewältigen muss. Eine davon könnte zum Beispiel sein einen NANO Server zum Mitglied einer Domäne zu machen. Hierbei sei erwähnt, dass einem NANO Server keine Befehle wie NETDOM oder das Cmdlet Add-Computer zur Verfügung steht. Weiterlesen

Windows Server 2016 und Windows 10 – virtuelles NAT Switch

Mit Windows Server 2016 und Windows 10 in der Version 1511 wurde endlich eine Möglichkeit implementiert virtuelle Hyper-V Switche NAT fähig zu machen. Über Sinn und Unsinn in einer produktiven Umgebung kann man sich streiten. Für Test-Szenarien am Windows 10 Client aber auch für Testumgebungen im eignen Windows Rechenzentrum können sie dennoch ein Rolle spielen. Test man zum Beispiel das Restore einer VM oder prüft vorab diverse Update-Szenarien so bietet sich ein virtuelles NAT-Switch zum isolieren von der Produktivumgebung durchaus an. Weiterlesen

FSMO Rollen mit der PowerShell übertragen

Wer im Systemhaus arbeitet kennt das Problem. Neuer neues Betriebssystem, update der internen Server und meist auch ein neuer Domänencontroller. Zum endgültigen abschalten des alten DC sollten dann noch die Betriebsmasterrollen, in der Microsoft-Welt auch FSMO Roles (Flexible Single Master Operations) genannt, übertragen werden. Dazu gibt es die für Windows Admins gerne genutzte GUI über die endsprechenden Managementkonsolen. Alternativ für Kommandozeilen Admins steht das NTDSUtil zur Verfügung. Beide Wege sind nicht unbedingt komfortabel und leider zeitraubend. Mit den PowerShell Modulen für Active Directory ergeben sich hier neue Möglichkeiten welche insbesondere den Admin der dieses regelmäßig macht wertvolle Lebenszeit spart. Weiterlesen

Bitlocker – Zusätzlicher PIN beim Systemstart

Bitlocker ist eine reine offline Verschlüsselung und schützt die Daten primär physikalisch vor Diebstahl. Einen Schutz vor Angriffen online und über das Netzwerk kann Bitlocker wiederum nicht bereitstellen. Dabei hilft ein TPM (Trusted Platform Module -> Wikipedia), verbaut auf der Platine des PC-Systems oder Notebooks, bei der Speicherung des kryptographischen Schlüssels. Dieser sorgt beim starten des Systems für ein automatisches und komfortables entsperren der Festplatte ohne ein eingreifen des Benutzers anzufordern bis dann die Windows-Anmeldung erscheint. Hat ein Dieb oder der unbefugte Benutzer das System vor sich so kann er auf jeden Fall versuchen das Passwort zu erraten. Weiterlesen

Amazon Konto mit Zwei-Faktor-Authentifizierung absichern

Ich habe bereits einen Artikel zum Thema Zwei-Faktor-Authentifizierung geschrieben. Hierbei wird zusätzlich zum Passwort ein zweiter Faktor, in den meisten Fällen ein Code über eine Authenticator App oder eine SMS, benötigt um Zugriff auf sein Konto zu erhalten. Ich nutze die Zwei-Faktor-Authentifizierung bereits seit Jahren für Facebook, Microsoft, Google und TeamViewer. Mittlerweile ist es auch möglich sein Amazon Konto zu schützen aber leider noch nicht über die deutsche Webseite. Hier fehlt bisher die Einstellung. Weiterlesen

Windows Dateiserver vor Verschlüsselungstrojanern schützen – PowerShell Script

Bereits im letzten Beitrag habe ich auf den Ansatz von Frankys Web Blog zum Schutz von Dateiservern vor Ransomware hingewiesen. Gerade für Administratoren welche diese Arbeit ggf. an vielen Systemen durchführen müssen habe ich ein PowerShell Skript erstellt welche die Aufgabe vollständig automatisiert. Das Skript funktioniert ab Windows Server 2012 R2. Weiterlesen

Windows Dateiserver vor Verschlüsselungstrojanern schützen

Über ein paar Kollegen bin ich auf diesen Ansatz zum Schutz von Windows Fileservern vor Ransomware und Cyrpto Lockern gestoßen. Dabei wird der Ressourcen-Manager für Dateiserver genutzt um entsprechende Dateiendungen oder Inhalte von Ordnern zu sperren und die User und Administratoren per Mail zu informieren. Weiterlesen

Windows 10 härten – SmartScreen-Filter

Zugegeben, die Akzeptanz vom Microsoft Internet Explorer oder dem neuen Browser EDGE hält sich eher in Grenzen. Der Internet Explorer hält nach Angaben von statista.com ca. 10 Prozent der Marktanteil, der Browser EDGE schafft es gerade einmal auf knapp über 1 Prozent. Für mich als Windows Admin haben beide aber einen großen Vorteil. Sie lassen sich per Gruppenrichtlinien steuern und via Windows Update problemlos aktualisieren. Das bedeutet für mich im Vergleich zu anderen Browsern einen geringen Verwaltungsaufwand und damit verbundene geringere Kosten. Weiterhin schützt SmartScreen nicht nur die Microsoft Browser sondern sitzt tief verankert im Windows Betriebssystem.  Weiterlesen

Windows 10 härten – Datenausführungsverhinderung (DEP)

Ein weiterer fast unscheinbarer Baustein zum Schutz von Windows Systemen vor Schadcode wurde mit Windows XP SP2 eingeführt. Die Datenausführungsverhinderung oder auch Data Execution Prevention (kurz DEP) soll verhindern, dass Schadcode innerhalb eines geschützten Speicherbereiches ausgeführt wird. Durchgesetzt wird dieses durch das CPU-Feature NX (Not Execute) welches von allen aktuellen CPUs unterstützt wird. Ich werde in diesem Beitrag weniger auf die Arbeitsweise von NX eingehen, sondern vielmehr auf die vollständige Implementierung im Windows Client und eine mögliche Umsetzung im Unternehmen. Weiterlesen

Windows 10 härten – AppLocker

In meinem vorhergehenden Beitrag habe ich schon eine Zusammenfassung über die möglichen Schutzfunktionen von Microsoft gesprochen. In diesem Artikel geht es um den Schutz vor unbekannten Programmen, Apps oder Skripten. Hierbei kommt der Windows AppLocker zum Einsatz welcher seit Windows 7 zur Ausstattung des Betriebssystems gehört. Leider ist dieses Feature nur für Firmenkunden mit einer Enterprises Edition verfügbar. Dabei würde es dem Microsoft Image gut tun jegliche Sicherheitsfunktionen für alle Windows Editionen zur Verfügung zu stellen. Weiterlesen

Windows 10 härten – Eine erste Übersicht

Die aktuelle Virenflut macht uns und unseren Kunden wieder große Sorgen. Dank Bitcoins ist man jetzt in der Lage mit Schadcode zu erpressen und anonyme Geldtransaktionen durchzuführen. Dabei erfolgte eine Entwicklung über die Jahre vom einfachen Virus nur so zum Spaß über das Ausspionieren von anderen Systemen mit Trojanern bis zum jetzigen Stand dem Geld verdienen mit Baukästen-Trojanern. Antivirensoftware Hersteller reiben sich die Hände den der Rubel rollt. Weiterlesen

Windows Server 2016 TP4 – Nano Server installieren

Das Release von Windows Server 2016 rückt in greifbare Nähe. Sollten keine größeren Probleme mehr auftauchen so kann man wohl im 3. Quartal 2016 mit der RTM von Windows Server 2016 rechnen. Darum wird es Zeit einmal einen Blick auf den neuen Nano Server zu werfen. Erste Versuche „ohne GUI“ mit dem Server Core wurden mit Windows Server 2008 eingeführt aber nur halbherzig und inkonsequent umgesetzt. Schauen wir mal was der Nano Server bringt. Weiterlesen

Lass uns verschlüsseln – Let‘s Encrypt mit Windows Server und IIS

In einer Initiative mehrere Organisationen wie CISCO, Akamai, Mozilla und vielen anderen Größen entstand vor einiger Zeit das Projekt Let’s Encrypt mit dem Ziel mehr zu verschlüsseln und damit mehr Sicherheit in das Internet zu bekommen. Unter dem Motto „It’s free, automated, and open“ freut sich das Windows-Admin-Herz. Endlich ein Projekt welches kostenfreie Zertifikate mit einer hohen Verbreitung und damit Browser- und Endgeräteakzeptanz zur Verfügung stellt. Doch in der Praxis mag das in der Linux-Welt funktionieren wie sieht es in der Windows-Welt aus? Weiterlesen

Office 365 ProPlus Update auf Office 2016

Für alle Office 365 Business Nutzer mit Plan E3 oder E4 welche das Office 365 ProPlus Paket beziehen erhalten zum aktuellen Zeitpunkt nur Office 2013 zur Nutzung. Andere Office 365 Abonnements wie Home, Personal, Home & Student, Home & Business, Professional oder Small Business erhalten bereits jetzt Office 2016 zum Update. Microsoft bezieht sich hierbei auf seine neue Update-Strategie welche Updates für Unternehmen eine geraume Zeit zurück hält um mögliche Probleme aufzudecken. Auf Deutsch gesagt: Lasst erst mal die Kleine testen und wenn hier alles läuft dann bekommen es auch die Großen. Der Release für Business Nutzer ist für Februar 2016 geplant. Weiterlesen

Office 365 – Clutter als Administrator für alle Benutzer deaktivieren

Microsoft hat vor einigen Wochen seinen E-Mail Sortierdienst Clutter Stück für Stück in Office 365 integriert. Dieser soll auf intelligente Weise helfen um E-Mails zu sortieren und damit dem Benutzer selbstlernend unterstützen der immer größeren Flut an E-Mails Herr zu werden. Weiter Informationen zu Clutter findet ihr zum Beispiel hier à
Winfuture.

Laut Ankündigung von Microsoft muss dieser Dienst von jedem User selber explizit eingeschalten werden. Dies ist nicht über Outlook sondern ausschließlich als User über Outlook Web App möglich. Eine globale Möglichkeit über das Office 365 Admin Center gibt es zum aktuellen Zeitpunkt ebenfalls nicht. Hier gehe ich aber davon aus, dass dies in naher Zukunft im Admin Center integriert wird. Weiterlesen

Office 365 – Verbindung mit der PowerShell und Exchange herstellen

Dieses Thema ist nicht ganz frisch und man findet schon viele Informationen dazu. Office 365 ist aber ein SaaS Produkt und unterliegt dabei ständiger Veränderung und Weiterentwicklung. Da ich selber feststellen musste das einige meiner Einträge hier nicht auf dem neusten Stand sind hier noch mal die aktuell benötigten Komponenten und der Weg zum Office 365 Konto. Weiterlesen