Bitlocker – Zusätzlicher PIN beim Systemstart

Bitlocker ist eine reine offline Verschlüsselung und schützt die Daten primär physikalisch vor Diebstahl. Einen Schutz vor Angriffen online und über das Netzwerk kann Bitlocker wiederum nicht bereitstellen. Dabei hilft ein TPM (Trusted Platform Module -> Wikipedia), verbaut auf der Platine des PC-Systems oder Notebooks, bei der Speicherung des kryptographischen Schlüssels. Dieser sorgt beim starten des Systems für ein automatisches und komfortables entsperren der Festplatte ohne ein eingreifen des Benutzers anzufordern bis dann die Windows-Anmeldung erscheint. Hat ein Dieb oder der unbefugte Benutzer das System vor sich so kann er auf jeden Fall versuchen das Passwort zu erraten. Weiterlesen

Amazon Konto mit Zwei-Faktor-Authentifizierung absichern

Ich habe bereits einen Artikel zum Thema Zwei-Faktor-Authentifizierung geschrieben. Hierbei wird zusätzlich zum Passwort ein zweiter Faktor, in den meisten Fällen ein Code über eine Authenticator App oder eine SMS, benötigt um Zugriff auf sein Konto zu erhalten. Ich nutze die Zwei-Faktor-Authentifizierung bereits seit Jahren für Facebook, Microsoft, Google und TeamViewer. Mittlerweile ist es auch möglich sein Amazon Konto zu schützen aber leider noch nicht über die deutsche Webseite. Hier fehlt bisher die Einstellung. Weiterlesen

Windows Dateiserver vor Verschlüsselungstrojanern schützen – PowerShell Script

Bereits im letzten Beitrag habe ich auf den Ansatz von Frankys Web Blog zum Schutz von Dateiservern vor Ransomware hingewiesen. Gerade für Administratoren welche diese Arbeit ggf. an vielen Systemen durchführen müssen habe ich ein PowerShell Skript erstellt welche die Aufgabe vollständig automatisiert. Das Skript funktioniert ab Windows Server 2012 R2. Weiterlesen

Windows Dateiserver vor Verschlüsselungstrojanern schützen

Über ein paar Kollegen bin ich auf diesen Ansatz zum Schutz von Windows Fileservern vor Ransomware und Cyrpto Lockern gestoßen. Dabei wird der Ressourcen-Manager für Dateiserver genutzt um entsprechende Dateiendungen oder Inhalte von Ordnern zu sperren und die User und Administratoren per Mail zu informieren. Weiterlesen

Windows 10 härten – SmartScreen-Filter

Zugegeben, die Akzeptanz vom Microsoft Internet Explorer oder dem neuen Browser EDGE hält sich eher in Grenzen. Der Internet Explorer hält nach Angaben von statista.com ca. 10 Prozent der Marktanteil, der Browser EDGE schafft es gerade einmal auf knapp über 1 Prozent. Für mich als Windows Admin haben beide aber einen großen Vorteil. Sie lassen sich per Gruppenrichtlinien steuern und via Windows Update problemlos aktualisieren. Das bedeutet für mich im Vergleich zu anderen Browsern einen geringen Verwaltungsaufwand und damit verbundene geringere Kosten. Weiterhin schützt SmartScreen nicht nur die Microsoft Browser sondern sitzt tief verankert im Windows Betriebssystem.  Weiterlesen

Windows 10 härten – Datenausführungsverhinderung (DEP)

Ein weiterer fast unscheinbarer Baustein zum Schutz von Windows Systemen vor Schadcode wurde mit Windows XP SP2 eingeführt. Die Datenausführungsverhinderung oder auch Data Execution Prevention (kurz DEP) soll verhindern, dass Schadcode innerhalb eines geschützten Speicherbereiches ausgeführt wird. Durchgesetzt wird dieses durch das CPU-Feature NX (Not Execute) welches von allen aktuellen CPUs unterstützt wird. Ich werde in diesem Beitrag weniger auf die Arbeitsweise von NX eingehen, sondern vielmehr auf die vollständige Implementierung im Windows Client und eine mögliche Umsetzung im Unternehmen. Weiterlesen

Windows 10 härten – AppLocker

In meinem vorhergehenden Beitrag habe ich schon eine Zusammenfassung über die möglichen Schutzfunktionen von Microsoft gesprochen. In diesem Artikel geht es um den Schutz vor unbekannten Programmen, Apps oder Skripten. Hierbei kommt der Windows AppLocker zum Einsatz welcher seit Windows 7 zur Ausstattung des Betriebssystems gehört. Leider ist dieses Feature nur für Firmenkunden mit einer Enterprises Edition verfügbar. Dabei würde es dem Microsoft Image gut tun jegliche Sicherheitsfunktionen für alle Windows Editionen zur Verfügung zu stellen. Weiterlesen

Windows 10 härten – Eine erste Übersicht

Die aktuelle Virenflut macht uns und unseren Kunden wieder große Sorgen. Dank Bitcoins ist man jetzt in der Lage mit Schadcode zu erpressen und anonyme Geldtransaktionen durchzuführen. Dabei erfolgte eine Entwicklung über die Jahre vom einfachen Virus nur so zum Spaß über das Ausspionieren von anderen Systemen mit Trojanern bis zum jetzigen Stand dem Geld verdienen mit Baukästen-Trojanern. Antivirensoftware Hersteller reiben sich die Hände den der Rubel rollt. Weiterlesen

Windows Server 2016 TP4 – Nano Server installieren

Das Release von Windows Server 2016 rückt in greifbare Nähe. Sollten keine größeren Probleme mehr auftauchen so kann man wohl im 3. Quartal 2016 mit der RTM von Windows Server 2016 rechnen. Darum wird es Zeit einmal einen Blick auf den neuen Nano Server zu werfen. Erste Versuche „ohne GUI“ mit dem Server Core wurden mit Windows Server 2008 eingeführt aber nur halbherzig und inkonsequent umgesetzt. Schauen wir mal was der Nano Server bringt. Weiterlesen

Lass uns verschlüsseln – Let‘s Encrypt mit Windows Server und IIS

In einer Initiative mehrere Organisationen wie CISCO, Akamai, Mozilla und vielen anderen Größen entstand vor einiger Zeit das Projekt Let’s Encrypt mit dem Ziel mehr zu verschlüsseln und damit mehr Sicherheit in das Internet zu bekommen. Unter dem Motto „It’s free, automated, and open“ freut sich das Windows-Admin-Herz. Endlich ein Projekt welches kostenfreie Zertifikate mit einer hohen Verbreitung und damit Browser- und Endgeräteakzeptanz zur Verfügung stellt. Doch in der Praxis mag das in der Linux-Welt funktionieren wie sieht es in der Windows-Welt aus? Weiterlesen

Microsoft AD – E-Mail vor Ablauf des Kennwortes an Benutzer senden

In einigen Situationen kann es vorkommen das Benutzer nicht rechtzeitig über das Ablaufen des Kennwortes über Ihren Windows Client informiert werden. Dies passiert z.B. beim ständigen Arbeiten vom Home Office über VPN oder aber auch im Urlaubs oder Krankheitsfall. Zwar gibt es mit Exchange die Möglichkeit das Kennwort über OWA zurückzusetzen ich treffe aber auch immer auf Situationen bei denen dies technisch nicht umzusetzen werden kann oder auch einfach nicht gewollt ist. Nachfolgendes Power Shell-Skript wurde getestet ab Windows Server 2008 R2. Weiterlesen

Office 365 Benutzer mit Multi-Factor Authentifizierung

Zu dem Thema Mehrfaktor-Authentifizierung mit Hilfe eines Tokens auf dem Handy habe ich ja bereits schon einmal einen Artikel geschrieben. Ziel dabei ist es, dass selbst wenn Benutzernamen und Kennwort in fremde Hände gelangen trotzdem kein unautorisierter Zugriff auf die Daten möglich ist. Ich selber nutze die Mehrfaktor-Authentifizierung bereits seit längerem für meine Konten bei Microsoft, Google, Facebook, Dropbox und seit wenigen Tagen auch für TeamViewer. Auch Office 365 unterstützt seit einiger Zeit die Mehrfaktor-Authentifizierung und trägt so zum Schutz von Unternehmensdaten wie E-Mails oder Daten auf dem SharePoint Server bei. Dieser kleine Beitrag zeigt den Weg dahin. Weiterlesen

E-Mail Verschlüsselung privat und im Unternehmen – was wird versprochen und gehalten

Einer der Vorteile des NSA Skandals sind, dass sich private Personen wie auch Unternehmen etwas mehr dem Thema Sicherheit widmen. Nach langer Zeit werden die Unternehmen wach und überlegen häufig erstmalig über die Sensibilität ihrer Daten und der damit verbundene Werte für das Unternehmen. Lange Zeit wurden Themen wie Industriespionage in kleinen wie in mittelständigen Betrieben einfach ignoriert. Der Schutzbedarf steigt und damit auch die Herausforderungen für Administratoren. Weiterlesen

Mehr Sicherheit für OneDrive, Google, Facebook und Co. durch Zwei-Faktor-Authentifizierung

Immer mehr vertrauliche und persönliche Daten liegen mittlerweile bei Cloud-Diensten wie OneDrive (ehemals SkyDrive), Google Drive, Facebook und Co. Dabei ist es allen Nutzern dieser Dienste bewussten, dass diese Daten möglichst nicht in fremde Hände gelangen sollten. Ich selber erfreue mich dieser Dienste und möchte diese auch nicht mehr vermissen wollen. Bei dem einfachen Passwortschutz bleibt allerdings ein fader Beigeschmack. Habe ich mich eventuell an einem Computer authentifiziert auf dem ein vielleicht ein Keylogger oder ein Trojaner aktiv war. Abhilfe verspricht hier die sogenannte Zwei-Faktor-Authentifizierung. Weiterlesen

Windows 8 – Verbindung oder Anmeldung mit Microsoft Konto unterbinden

Ich habe mich bereit in zwei anderen Artikeln über Windows 8 im Unternehmen ausgelassen. In diesen Beiträgen ging es primär um die Anpassung der Modern UI bzw. die Einschränkung der Standard Apps. In diesem kurzen Artikel ein ganz wichtig Punkt. Wie verhindere ich die Anbindung eines Microsoft Kontos (früher Live ID) an Windows 8. Auch in der Domäne haben Standardbenutzer die Möglichkeit ihr Domänenkonto mit einem Microsoft Konto zu verknüpfen. Zwar ist hier eine Anmeldung mit dem Windows Konto im vergleich mit einem Arbeitsgruppen PC nicht möglich aber eine Verknüpfung zwischen den denn Diensten und ein Datenaustausch ist trotzdem problemlos möglich. Ich gehe davon aus, dass dies in vielen Unternehmen nicht erwünscht ist. Weiterlesen

Windows 8 und Apps im Unternehmen – Apps für Benutzer durch AppLocker einschränken

Der Einsatz der neuen Windows 8 Modern UI (vorher Metro) für Privatanwender steht außer Frage. Die Meinungen gehen hier weit auseinander aber insbesondere die Nutzer von Tablet PCs oder Displays mit Touchscreen profitieren von der neuen Oberfläche. In meinem beruflichen Umfeld war vorab auch großes Bedenken der neuen Oberfläche gegeben welches sich aber mittlerweile durchweg positiv auswirkt. Selbst die „ältere Generation“ kommt hier doch ganz gut klar. Ich nutze Windows 8 seit dem Erscheinen über Technet und komme ebenfalls sehr gut damit zu recht.

Wie aber schlägt sich die neue Oberfläche insbesondere die Windows Apps im Unternehmen. Hier sind zurzeit kaum Erfahrungswerte vorhanden. Kaum ein Unternehmen hat sich auch nur ansatzweise mit dem Rollout von Windows 8 beschäftig. Was kann und darf der Nutzer und wo müssen die Administratoren dem User neue Grenzen setzen?

Hier bildeten sich mir am Anfang drei grundlegende Fragen:

  • Darf der Standard Benutzer im Unternehmen Windows Apps verwenden?
  • Darf der Standard Benutzer Modern UI Apps aus dem App-Store installieren?
  • Darf der Standard Benutzer sein Domänen Konto mit seinem Windows Konto verknüpfen und Einstellungen synchronisieren?

Weiterlesen

Bitlocker Schlüssel im Active Directory speichern

Auf der Suche nach einer Anleitung wie ich den Bitlocker Wiederherstellungsschlüssel in einer 2008/2008R2 Active Directory Umgebung im AD speichern kann bin ich auf folgenden Artikel von Daniel Nitz gestoßen:

http://www.ntsystems.it/post/TPM-BitLocker-Schlussel-in-AD-DS-speichern.aspx

Er hat dieses bereits sehr gut dokumentiert und so erspare ich mir hier weitere detaillierte Ausführungen.

Eine Anmerkung möchte ich hier noch hinzufügen. Der Schlüssel wird erst ab der Durchsetzung der GPOs im AD gespeichert. Alle schon verschlüsselten Systeme im Unternehmen werden Ihren Schlüssel nicht im AD speichern. Hier hilft der manuelle Aufruf von MANAGE-BDE:

manage-bde -protectors -add -RecoveryPassword C:

IIS und SSL Zertifikate – PFX Datei aus öffentlichen und privaten Schlüssel erstellen

Ich habe bereits einen Artikel erstellt in welchem beschrieben wird, wie man mit dem IIS Zertifikatsanforderungen erstellt, welche man dann bei einer öffentlichen Zertifizierungstelle einreichen kann. Kauft man ein SSL Zertifikat z. B. bei Alfahosting so kommt man bei der Zertifikatsbestellung auch ohne die Zertifikatsanforderungsdatei CSR aus. Die benötigten Angaben werden über ein Webformular abgefragt und nach der erfolgreichen Validierung erhält man über die Website drei Zertifikate zum selber Kopieren. Die drei Zertifikate bestehen aus dem eigentlichen Zertifikat, dem privaten Schlüssel und optional einem oder mehrere Zwischenzertifikaten. Weiterlesen