Office 365 – E-Mail Archivierung, Online-Archiv und GDPdU

Seit Anfang des Jahres haben sich die gesetzlichen Bestimmungen zum Thema Archivierung elektronischen Datenverkehrs noch einmal deutlich verschärft. Auch die Strafen bei Nichteinhaltung der Archivierungspflicht wurden deutlich erhöht und können im Einzelfall bis zu 50.000 Euro betragen. Das einige Unternehmen trotz intensiver Beratung dieses Thema immer noch ignorieren ist darum fragwürdig. Der Beitrag heute richtet sich darum nur um die Möglichkeiten der Archivierung nach den „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“ kurz GDPdU in Office 365. Weiterlesen

Active Directory – Automatisch inaktive Computerkonten deaktivieren und E-Mail senden

Systembetreuer von Windows Domänen kennen das Problem. Wenn sich in kleineren Umgebungen nicht im Minimum ein Admin für das AD verantwortlich fühlt entsteht schnell ein Wildwuchs von Benutzer, Computern und Objekten. Auch ich stehe bei der Übernahme von Infrastrukturen häufiger vor dem Problem. Welche Konten sind noch aktiv und werden auch wirklich genutzt. Ein passendes PowerShell Skript muss her. Hier am Beispiel von Computerkonten. Ein weiteres Skript für Benutzer folgt. Weiterlesen

Internet Explorer – Sicherheitszonen via Gruppenrichtlinie und Registry Keys

Selbst wenn Microsoft mittlerweile den EDGE Browser etablieren möchte so ist insbesondere im Unternehmensnetzwerk der Internet Explorer durch seine starke Integration in das Betriebssystem unabdinglich. Weiterhin setzt auch Microsoft bei seinen Anwendungen immer mehr auf webbasierte Oberflächen welche SSO (Single Sign-on) Funktionalitäten benötigen. Das beste Beispiel dazu ist zum Beispiel Office 365 oder aber auch Skype for Business oder SharePoint. Dabei wird das durchreichen von Anmeldeinformationen in eine Browsersitzung unter anderem durch die Sicherheitszonen im Internet Explorer geregelt. Auch die Ausführung von benötigten Skripten ist standardmäßig durch die Zonen reglementiert. Weiterlesen

Mal wieder… Vertrauensstellung zur Domäne verloren

Auch dieses Problem gehört zum Alltag eines Microsoft Admin. Der Benutzer ruft an und kann sich nicht anmelden. Das System meldet sich mit der Fehlermeldung „Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden“. Ursachen hierfür gibt es leider viele. Manchmal hat das System die Domäne zu lange nicht gesehen, Kerberos oder Zeitprobleme sind ebenfalls nicht selten. Aber auch eine defekte Netzwerkkarte hat in meiner Praxis schon einmal zu diesem Phänomen geführt. Weiterlesen

Windows Server 2016 und Windows 10 – virtuelles NAT Switch

Mit Windows Server 2016 und Windows 10 in der Version 1511 wurde endlich eine Möglichkeit implementiert virtuelle Hyper-V Switche NAT fähig zu machen. Über Sinn und Unsinn in einer produktiven Umgebung kann man sich streiten. Für Test-Szenarien am Windows 10 Client aber auch für Testumgebungen im eignen Windows Rechenzentrum können sie dennoch ein Rolle spielen. Test man zum Beispiel das Restore einer VM oder prüft vorab diverse Update-Szenarien so bietet sich ein virtuelles NAT-Switch zum isolieren von der Produktivumgebung durchaus an. Weiterlesen

Bitlocker – Zusätzlicher PIN beim Systemstart

Bitlocker ist eine reine offline Verschlüsselung und schützt die Daten primär physikalisch vor Diebstahl. Einen Schutz vor Angriffen online und über das Netzwerk kann Bitlocker wiederum nicht bereitstellen. Dabei hilft ein TPM (Trusted Platform Module -> Wikipedia), verbaut auf der Platine des PC-Systems oder Notebooks, bei der Speicherung des kryptographischen Schlüssels. Dieser sorgt beim starten des Systems für ein automatisches und komfortables entsperren der Festplatte ohne ein eingreifen des Benutzers anzufordern bis dann die Windows-Anmeldung erscheint. Hat ein Dieb oder der unbefugte Benutzer das System vor sich so kann er auf jeden Fall versuchen das Passwort zu erraten. Weiterlesen

Amazon Konto mit Zwei-Faktor-Authentifizierung absichern

Ich habe bereits einen Artikel zum Thema Zwei-Faktor-Authentifizierung geschrieben. Hierbei wird zusätzlich zum Passwort ein zweiter Faktor, in den meisten Fällen ein Code über eine Authenticator App oder eine SMS, benötigt um Zugriff auf sein Konto zu erhalten. Ich nutze die Zwei-Faktor-Authentifizierung bereits seit Jahren für Facebook, Microsoft, Google und TeamViewer. Mittlerweile ist es auch möglich sein Amazon Konto zu schützen aber leider noch nicht über die deutsche Webseite. Hier fehlt bisher die Einstellung. Weiterlesen

Windows Dateiserver vor Verschlüsselungstrojanern schützen – PowerShell Script

Bereits im letzten Beitrag habe ich auf den Ansatz von Frankys Web Blog zum Schutz von Dateiservern vor Ransomware hingewiesen. Gerade für Administratoren welche diese Arbeit ggf. an vielen Systemen durchführen müssen habe ich ein PowerShell Skript erstellt welche die Aufgabe vollständig automatisiert. Das Skript funktioniert ab Windows Server 2012 R2. Weiterlesen

Windows Dateiserver vor Verschlüsselungstrojanern schützen

Über ein paar Kollegen bin ich auf diesen Ansatz zum Schutz von Windows Fileservern vor Ransomware und Cyrpto Lockern gestoßen. Dabei wird der Ressourcen-Manager für Dateiserver genutzt um entsprechende Dateiendungen oder Inhalte von Ordnern zu sperren und die User und Administratoren per Mail zu informieren. Weiterlesen

Windows 10 härten – SmartScreen-Filter

Zugegeben, die Akzeptanz vom Microsoft Internet Explorer oder dem neuen Browser EDGE hält sich eher in Grenzen. Der Internet Explorer hält nach Angaben von statista.com ca. 10 Prozent der Marktanteil, der Browser EDGE schafft es gerade einmal auf knapp über 1 Prozent. Für mich als Windows Admin haben beide aber einen großen Vorteil. Sie lassen sich per Gruppenrichtlinien steuern und via Windows Update problemlos aktualisieren. Das bedeutet für mich im Vergleich zu anderen Browsern einen geringen Verwaltungsaufwand und damit verbundene geringere Kosten. Weiterhin schützt SmartScreen nicht nur die Microsoft Browser sondern sitzt tief verankert im Windows Betriebssystem.  Weiterlesen

Windows 10 härten – Datenausführungsverhinderung (DEP)

Ein weiterer fast unscheinbarer Baustein zum Schutz von Windows Systemen vor Schadcode wurde mit Windows XP SP2 eingeführt. Die Datenausführungsverhinderung oder auch Data Execution Prevention (kurz DEP) soll verhindern, dass Schadcode innerhalb eines geschützten Speicherbereiches ausgeführt wird. Durchgesetzt wird dieses durch das CPU-Feature NX (Not Execute) welches von allen aktuellen CPUs unterstützt wird. Ich werde in diesem Beitrag weniger auf die Arbeitsweise von NX eingehen, sondern vielmehr auf die vollständige Implementierung im Windows Client und eine mögliche Umsetzung im Unternehmen. Weiterlesen

Windows 10 härten – AppLocker

In meinem vorhergehenden Beitrag habe ich schon eine Zusammenfassung über die möglichen Schutzfunktionen von Microsoft gesprochen. In diesem Artikel geht es um den Schutz vor unbekannten Programmen, Apps oder Skripten. Hierbei kommt der Windows AppLocker zum Einsatz welcher seit Windows 7 zur Ausstattung des Betriebssystems gehört. Leider ist dieses Feature nur für Firmenkunden mit einer Enterprises Edition verfügbar. Dabei würde es dem Microsoft Image gut tun jegliche Sicherheitsfunktionen für alle Windows Editionen zur Verfügung zu stellen. Weiterlesen

Windows 10 härten – Eine erste Übersicht

Die aktuelle Virenflut macht uns und unseren Kunden wieder große Sorgen. Dank Bitcoins ist man jetzt in der Lage mit Schadcode zu erpressen und anonyme Geldtransaktionen durchzuführen. Dabei erfolgte eine Entwicklung über die Jahre vom einfachen Virus nur so zum Spaß über das Ausspionieren von anderen Systemen mit Trojanern bis zum jetzigen Stand dem Geld verdienen mit Baukästen-Trojanern. Antivirensoftware Hersteller reiben sich die Hände den der Rubel rollt. Weiterlesen

Windows Server 2016 TP4 – Nano Server installieren

Das Release von Windows Server 2016 rückt in greifbare Nähe. Sollten keine größeren Probleme mehr auftauchen so kann man wohl im 3. Quartal 2016 mit der RTM von Windows Server 2016 rechnen. Darum wird es Zeit einmal einen Blick auf den neuen Nano Server zu werfen. Erste Versuche „ohne GUI“ mit dem Server Core wurden mit Windows Server 2008 eingeführt aber nur halbherzig und inkonsequent umgesetzt. Schauen wir mal was der Nano Server bringt. Weiterlesen

Lass uns verschlüsseln – Let‘s Encrypt mit Windows Server und IIS

In einer Initiative mehrere Organisationen wie CISCO, Akamai, Mozilla und vielen anderen Größen entstand vor einiger Zeit das Projekt Let’s Encrypt mit dem Ziel mehr zu verschlüsseln und damit mehr Sicherheit in das Internet zu bekommen. Unter dem Motto „It’s free, automated, and open“ freut sich das Windows-Admin-Herz. Endlich ein Projekt welches kostenfreie Zertifikate mit einer hohen Verbreitung und damit Browser- und Endgeräteakzeptanz zur Verfügung stellt. Doch in der Praxis mag das in der Linux-Welt funktionieren wie sieht es in der Windows-Welt aus? Weiterlesen

Microsoft AD – E-Mail vor Ablauf des Kennwortes an Benutzer senden

In einigen Situationen kann es vorkommen das Benutzer nicht rechtzeitig über das Ablaufen des Kennwortes über Ihren Windows Client informiert werden. Dies passiert z.B. beim ständigen Arbeiten vom Home Office über VPN oder aber auch im Urlaubs oder Krankheitsfall. Zwar gibt es mit Exchange die Möglichkeit das Kennwort über OWA zurückzusetzen ich treffe aber auch immer auf Situationen bei denen dies technisch nicht umzusetzen werden kann oder auch einfach nicht gewollt ist. Nachfolgendes Power Shell-Skript wurde getestet ab Windows Server 2008 R2. Weiterlesen

Office 365 Benutzer mit Multi-Factor Authentifizierung

Zu dem Thema Mehrfaktor-Authentifizierung mit Hilfe eines Tokens auf dem Handy habe ich ja bereits schon einmal einen Artikel geschrieben. Ziel dabei ist es, dass selbst wenn Benutzernamen und Kennwort in fremde Hände gelangen trotzdem kein unautorisierter Zugriff auf die Daten möglich ist. Ich selber nutze die Mehrfaktor-Authentifizierung bereits seit längerem für meine Konten bei Microsoft, Google, Facebook, Dropbox und seit wenigen Tagen auch für TeamViewer. Auch Office 365 unterstützt seit einiger Zeit die Mehrfaktor-Authentifizierung und trägt so zum Schutz von Unternehmensdaten wie E-Mails oder Daten auf dem SharePoint Server bei. Dieser kleine Beitrag zeigt den Weg dahin. Weiterlesen

E-Mail Verschlüsselung privat und im Unternehmen – was wird versprochen und gehalten

Einer der Vorteile des NSA Skandals sind, dass sich private Personen wie auch Unternehmen etwas mehr dem Thema Sicherheit widmen. Nach langer Zeit werden die Unternehmen wach und überlegen häufig erstmalig über die Sensibilität ihrer Daten und der damit verbundene Werte für das Unternehmen. Lange Zeit wurden Themen wie Industriespionage in kleinen wie in mittelständigen Betrieben einfach ignoriert. Der Schutzbedarf steigt und damit auch die Herausforderungen für Administratoren. Weiterlesen