Bitlocker – Zusätzlicher PIN beim Systemstart

Bitlocker ist eine reine offline Verschlüsselung und schützt die Daten primär physikalisch vor Diebstahl. Einen Schutz vor Angriffen online und über das Netzwerk kann Bitlocker wiederum nicht bereitstellen. Dabei hilft ein TPM (Trusted Platform Module -> Wikipedia), verbaut auf der Platine des PC-Systems oder Notebooks, bei der Speicherung des kryptographischen Schlüssels. Dieser sorgt beim starten des Systems für ein automatisches und komfortables entsperren der Festplatte ohne ein eingreifen des Benutzers anzufordern bis dann die Windows-Anmeldung erscheint. Hat ein Dieb oder der unbefugte Benutzer das System vor sich so kann er auf jeden Fall versuchen das Passwort zu erraten. Weiterlesen

Windows Dateiserver vor Verschlüsselungstrojanern schützen – PowerShell Script

Bereits im letzten Beitrag habe ich auf den Ansatz von Frankys Web Blog zum Schutz von Dateiservern vor Ransomware hingewiesen. Gerade für Administratoren welche diese Arbeit ggf. an vielen Systemen durchführen müssen habe ich ein PowerShell Skript erstellt welche die Aufgabe vollständig automatisiert. Das Skript funktioniert ab Windows Server 2012 R2. Weiterlesen

Windows Dateiserver vor Verschlüsselungstrojanern schützen

Über ein paar Kollegen bin ich auf diesen Ansatz zum Schutz von Windows Fileservern vor Ransomware und Cyrpto Lockern gestoßen. Dabei wird der Ressourcen-Manager für Dateiserver genutzt um entsprechende Dateiendungen oder Inhalte von Ordnern zu sperren und die User und Administratoren per Mail zu informieren. Weiterlesen

Windows 10 härten – SmartScreen-Filter

Zugegeben, die Akzeptanz vom Microsoft Internet Explorer oder dem neuen Browser EDGE hält sich eher in Grenzen. Der Internet Explorer hält nach Angaben von statista.com ca. 10 Prozent der Marktanteil, der Browser EDGE schafft es gerade einmal auf knapp über 1 Prozent. Für mich als Windows Admin haben beide aber einen großen Vorteil. Sie lassen sich per Gruppenrichtlinien steuern und via Windows Update problemlos aktualisieren. Das bedeutet für mich im Vergleich zu anderen Browsern einen geringen Verwaltungsaufwand und damit verbundene geringere Kosten. Weiterhin schützt SmartScreen nicht nur die Microsoft Browser sondern sitzt tief verankert im Windows Betriebssystem.  Weiterlesen

Windows 10 härten – Datenausführungsverhinderung (DEP)

Ein weiterer fast unscheinbarer Baustein zum Schutz von Windows Systemen vor Schadcode wurde mit Windows XP SP2 eingeführt. Die Datenausführungsverhinderung oder auch Data Execution Prevention (kurz DEP) soll verhindern, dass Schadcode innerhalb eines geschützten Speicherbereiches ausgeführt wird. Durchgesetzt wird dieses durch das CPU-Feature NX (Not Execute) welches von allen aktuellen CPUs unterstützt wird. Ich werde in diesem Beitrag weniger auf die Arbeitsweise von NX eingehen, sondern vielmehr auf die vollständige Implementierung im Windows Client und eine mögliche Umsetzung im Unternehmen. Weiterlesen

Windows 10 härten – AppLocker

In meinem vorhergehenden Beitrag habe ich schon eine Zusammenfassung über die möglichen Schutzfunktionen von Microsoft gesprochen. In diesem Artikel geht es um den Schutz vor unbekannten Programmen, Apps oder Skripten. Hierbei kommt der Windows AppLocker zum Einsatz welcher seit Windows 7 zur Ausstattung des Betriebssystems gehört. Leider ist dieses Feature nur für Firmenkunden mit einer Enterprises Edition verfügbar. Dabei würde es dem Microsoft Image gut tun jegliche Sicherheitsfunktionen für alle Windows Editionen zur Verfügung zu stellen. Weiterlesen

Windows Server 2016 TP4 – Nano Server installieren

Das Release von Windows Server 2016 rückt in greifbare Nähe. Sollten keine größeren Probleme mehr auftauchen so kann man wohl im 3. Quartal 2016 mit der RTM von Windows Server 2016 rechnen. Darum wird es Zeit einmal einen Blick auf den neuen Nano Server zu werfen. Erste Versuche „ohne GUI“ mit dem Server Core wurden mit Windows Server 2008 eingeführt aber nur halbherzig und inkonsequent umgesetzt. Schauen wir mal was der Nano Server bringt. Weiterlesen

Lass uns verschlüsseln – Let‘s Encrypt mit Windows Server und IIS

In einer Initiative mehrere Organisationen wie CISCO, Akamai, Mozilla und vielen anderen Größen entstand vor einiger Zeit das Projekt Let’s Encrypt mit dem Ziel mehr zu verschlüsseln und damit mehr Sicherheit in das Internet zu bekommen. Unter dem Motto „It’s free, automated, and open“ freut sich das Windows-Admin-Herz. Endlich ein Projekt welches kostenfreie Zertifikate mit einer hohen Verbreitung und damit Browser- und Endgeräteakzeptanz zur Verfügung stellt. Doch in der Praxis mag das in der Linux-Welt funktionieren wie sieht es in der Windows-Welt aus? Weiterlesen

Microsoft AD – E-Mail vor Ablauf des Kennwortes an Benutzer senden

In einigen Situationen kann es vorkommen das Benutzer nicht rechtzeitig über das Ablaufen des Kennwortes über Ihren Windows Client informiert werden. Dies passiert z.B. beim ständigen Arbeiten vom Home Office über VPN oder aber auch im Urlaubs oder Krankheitsfall. Zwar gibt es mit Exchange die Möglichkeit das Kennwort über OWA zurückzusetzen ich treffe aber auch immer auf Situationen bei denen dies technisch nicht umzusetzen werden kann oder auch einfach nicht gewollt ist. Nachfolgendes Power Shell-Skript wurde getestet ab Windows Server 2008 R2. Weiterlesen

WSUS Server auf Windows Server 2012 via PowerShell bereinigen

Ist der WSUS einmal installiert so wird dieser gerne mal vernachlässigt. Nach mehren Wochen und Monaten fühlt sich die Bedienung des WSUS Servers merklich träge an. Die einen ignorieren dies und andere starten die Bereinigung des Servers einfach manuell. Dies kann ggf. mehrere Stunden dauern schafft aber Platz und löscht alte Updates. Eine Automatisierung dieses Prozesses war bisher nur über diverse Skripte welche im Internet kursieren möglich. Weiterlesen

Offline Domänenbeitritt mit djoin.exe

Seit Windows Server 2008 bietet Microsoft mit dem Kommandozeilenwerkzeug djoin.exe die Möglichkeit ein Computerkonto ohne Verbindung zu einem Domänenkontroller, also offline, einer Domäne beitreten zu lassen. Als ich dieses zum ersten Mal gelesen habe konnte ich mir über Sinn oder Unsinn dieser Möglichkeit noch kein wirkliches Bild machen. Wer will schon einen Computerkonto offline hinzufügen? Weiterlesen

Zertifizierung zum MCSA und MCSE Windows Server 2012 als Überblick

Da ich mich aktuell mit den Zertifizierungen zum MCSA und MCSE Windows Server 2012 beschäftige und mich durch die Webseiten von Microsoft geschlagen habe gibt es hier zum Download zwei kleine PDFs zur Übersicht. Die einzelnen Prüfungen sind mit den entsprechenden Seiten von Microsoft verlinkt. Hier könnt Ihr die Voraussetzungen und die Skills prüfen.

MCSA und MCSE Windows Server 2012

Upgrade auf MCSA und MCSE Windows Server 2012

server2012

Inhalt von AD-Attribut thumbnailPhoto als Benutzerprofilbild

Vielleicht ist dem einen oder anderen schon einmal der Gedanke gekommen, das SharePoint Profilbild auch als Benutzerprofilbild in Windows zu nutzen. SharePoint an sich bietet ja eine einfache Art der Datenspeicherung ins Active Directory an. Somit ist es relativ einfach das Benutzerprofilbild aus SharePoint in das AD-Attribut thumnailPhoto zu exportieren. Wie aber kann man dieses Foto als Windows-Benutzerprofilbild nutzen? Weiterlesen

Windows 8 und Apps im Unternehmen – Apps für Benutzer durch AppLocker einschränken

Der Einsatz der neuen Windows 8 Modern UI (vorher Metro) für Privatanwender steht außer Frage. Die Meinungen gehen hier weit auseinander aber insbesondere die Nutzer von Tablet PCs oder Displays mit Touchscreen profitieren von der neuen Oberfläche. In meinem beruflichen Umfeld war vorab auch großes Bedenken der neuen Oberfläche gegeben welches sich aber mittlerweile durchweg positiv auswirkt. Selbst die „ältere Generation“ kommt hier doch ganz gut klar. Ich nutze Windows 8 seit dem Erscheinen über Technet und komme ebenfalls sehr gut damit zu recht.

Wie aber schlägt sich die neue Oberfläche insbesondere die Windows Apps im Unternehmen. Hier sind zurzeit kaum Erfahrungswerte vorhanden. Kaum ein Unternehmen hat sich auch nur ansatzweise mit dem Rollout von Windows 8 beschäftig. Was kann und darf der Nutzer und wo müssen die Administratoren dem User neue Grenzen setzen?

Hier bildeten sich mir am Anfang drei grundlegende Fragen:

  • Darf der Standard Benutzer im Unternehmen Windows Apps verwenden?
  • Darf der Standard Benutzer Modern UI Apps aus dem App-Store installieren?
  • Darf der Standard Benutzer sein Domänen Konto mit seinem Windows Konto verknüpfen und Einstellungen synchronisieren?

Weiterlesen

Mit der PowerShell 3 und wenigen Cmdlets zur Active Directory Gesamtstruktur

Die neue Windows PowerShell 3.0 in Windows Server 2012 bringt eine Vielzahl neuer Cmdlets auch zur Verwaltung oder Erstellung von Active Directory Gesamtstrukturen und Domänen. Wer sich Windows Administrator nennt kommt an dieser Stelle kaum noch um die PowerShell herum. Nachfolgendes kleines PowerShell Script erstellt einen neuen AD-Forest mit nur 5 Cmdlets. Bitte beachtet dass eine feste IP-Adresse und ein sinnvoller Computername im Vorfeld gewählt werden sollten. Weiterlesen

Remote Gruppenrichtlinienupdate mit der GPMC und Windows Server 2012

Gruppenrichtlinien nach einer Änderung der Einstellungen schnell durchzusetzen war bis vor kurzem leider nicht so leicht möglich. Eine Wartezeit von 90 Minuten (+/-30 Minuten) musste man schon einplanen und über AD-Standorte kann sich das ganze theoretisch auch schon mal über den ganzen Tag hinziehen. Mit Windows Server 2012 bekommen Administratoren hier neue Möglichkeiten. Weiterlesen

Hyper-V 3.0 Live Migration mit Windows Server 2012 und lokalem Speicherplatz

Microsoft hat mit Windows Server 2012 und Hyper-V 3.0 den Anschluss an die Spitze der Virtualisierter geschafft und kann nun in der oberen Liga mitspielen. Dieser ca. 15 Minütige Videocast zeigt die Einrichtung von Hyper-V 3.0 Live Migration mit lokalem Speicher unter Windows Server 2012. Viel Spaß damit!

Weiterlesen

Windows Server 2012 und Windows 8 über Verknüpfungen abmelden oder neu starten

Es klingt fast ein wenig lächerlich die Überschrift dieses kleinen Beitrages. Wer jedoch regelmäßig mit den neuen Windows Server 2012 oder aber auch Windows 8 in Verbindung mit RDP, Teamviewer, Hyper-V oder z.B. vSphere zur täglich arbeitet nutzt dem hilft er vielleicht ein klein wenig weiter. Hier sind besonders Systeme gemeint welche Tastenkombinationen wie Str+Alt+Entf, Alt+F4, Win+R oder einfach nur die Windows Taste nicht wirklich gut in den Remote PC übertragen. Ich arbeite täglich mit dem Remote Desktop Connection Manager von Microsoft oder bei Kunden mit Hilfe von TeamViewer und fummle hier immer wieder in die unteren Ecken um den PC/Server einmal neu starten oder mich einfach nur abmelden zu können. Weiterlesen

Office Web Apps Server 2013 in den SharePoint 2013 einbinden

Ich habe mir heute, zum Freitag, vorgenommen meinen schon vor mehreren Wochen konfigurierten Office Web Apps Server 2013 (siehe Artikel) in die neue SharePoint 2013 Serverfarm einzubinden. Wie ich es von SharePoint Produkten gewohnt bin habe ich mir mehrere Stunden Zeit dafür reserviert. Hier konnte mich Microsoft noch einmal richtig überraschen. Die Anbindung dauert nur wenige Minuten. Weiterlesen

Bitlocker Schlüssel im Active Directory speichern

Auf der Suche nach einer Anleitung wie ich den Bitlocker Wiederherstellungsschlüssel in einer 2008/2008R2 Active Directory Umgebung im AD speichern kann bin ich auf folgenden Artikel von Daniel Nitz gestoßen:

http://www.ntsystems.it/post/TPM-BitLocker-Schlussel-in-AD-DS-speichern.aspx

Er hat dieses bereits sehr gut dokumentiert und so erspare ich mir hier weitere detaillierte Ausführungen.

Eine Anmerkung möchte ich hier noch hinzufügen. Der Schlüssel wird erst ab der Durchsetzung der GPOs im AD gespeichert. Alle schon verschlüsselten Systeme im Unternehmen werden Ihren Schlüssel nicht im AD speichern. Hier hilft der manuelle Aufruf von MANAGE-BDE:

manage-bde -protectors -add -RecoveryPassword C: