Active Directory – Automatisch inaktive Computerkonten deaktivieren und E-Mail senden

Systembetreuer von Windows Domänen kennen das Problem. Wenn sich in kleineren Umgebungen nicht im Minimum ein Admin für das AD verantwortlich fühlt entsteht schnell ein Wildwuchs von Benutzer, Computern und Objekten. Auch ich stehe bei der Übernahme von Infrastrukturen häufiger vor dem Problem. Welche Konten sind noch aktiv und werden auch wirklich genutzt. Ein passendes PowerShell Skript muss her. Hier am Beispiel von Computerkonten. Ein weiteres Skript für Benutzer folgt. Weiterlesen

Internet Explorer – Sicherheitszonen via Gruppenrichtlinie und Registry Keys

Selbst wenn Microsoft mittlerweile den EDGE Browser etablieren möchte so ist insbesondere im Unternehmensnetzwerk der Internet Explorer durch seine starke Integration in das Betriebssystem unabdinglich. Weiterhin setzt auch Microsoft bei seinen Anwendungen immer mehr auf webbasierte Oberflächen welche SSO (Single Sign-on) Funktionalitäten benötigen. Das beste Beispiel dazu ist zum Beispiel Office 365 oder aber auch Skype for Business oder SharePoint. Dabei wird das durchreichen von Anmeldeinformationen in eine Browsersitzung unter anderem durch die Sicherheitszonen im Internet Explorer geregelt. Auch die Ausführung von benötigten Skripten ist standardmäßig durch die Zonen reglementiert. Weiterlesen

Mal wieder… Vertrauensstellung zur Domäne verloren

Auch dieses Problem gehört zum Alltag eines Microsoft Admin. Der Benutzer ruft an und kann sich nicht anmelden. Das System meldet sich mit der Fehlermeldung „Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden“. Ursachen hierfür gibt es leider viele. Manchmal hat das System die Domäne zu lange nicht gesehen, Kerberos oder Zeitprobleme sind ebenfalls nicht selten. Aber auch eine defekte Netzwerkkarte hat in meiner Praxis schon einmal zu diesem Phänomen geführt. Weiterlesen

Windows Domäne – Neue Clients bei Domänenbeitritt automatisch in eine OU verschieben

Wer neue Clients und Server in die Windows Domäne aufnimmt kennt das Problem. Standardmäßig landen diese Systeme im Active Directory nicht in einer Organisationseinheit (OU) sondern im Standard-Container „Computers“. Anschließend verschiebt der Administrator den Client in die vorgesehene OU. Leider lassen sich aber Gruppenrichtlinien nicht mit Containern sondern ausschließlich auf OUs, Domänen oder AD-Standorten verknüpfen. Dabei vergisst der eine oder andere Admin gerne das System zu verschieben und erforderliche Gruppenrichtlinien greifen nicht.

Weiterlesen

Windows Client oder Server vom USB Stick installieren

Nur ein kleiner Beitrag zur Erstellung eines USB Sticks für ein Boot von USB zur Installation von Windows ab Version Windows Vista bis zum aktuellen Windows 10. Auch Server lassen sich, solange die Hardware das Starten von USB unterstützt mit einem USB Stick betanken. Da ich immer auf vielen verschiedenen Systemen unterwegs bin müssen Bordmittel herhalten. Die sind halt immer zur Hand :-). Wer eine UEFI Installation anstrebt sollte aber vorsichtig sein. Nicht alle Systeme unterstützen einen UEFI Boot von USB und somit ist auch keine UEFI Installation möglich. Weiterlesen

Windows 10 und Windows Server 2016 – Mal etwas rumgedockert

Mit Windows 10 ab Version 1607 und Windows Server 2016 wurden eine Menge neue Features in die Betriebssysteme gebracht. Zeit mal wieder etwas zu basteln und gleich mal drei dieser Funktionen zu testen. Hierbei handelt es sich um Nested Virtualization, PowerShell Direct und Container bzw. Docker. Weiterlesen

Windows Server 2016 – NANO Server als Member in der Domäne

Über die Installation eines NANO Servers habe ich bereits in einer TP4-Version von Windows Server 2016 berichtet. Dabei hat sich die Installation zur aktuellen Version nur unwesentlich geändert. Für die Praxis sehe ich auch weiterhin Einsatzszenarien für den NANO Server. Dabei stellen sich dem klassischen Windows Admin einige Hürden welche er bewältigen muss. Eine davon könnte zum Beispiel sein einen NANO Server zum Mitglied einer Domäne zu machen. Hierbei sei erwähnt, dass einem NANO Server keine Befehle wie NETDOM oder das Cmdlet Add-Computer zur Verfügung steht. Weiterlesen

Windows Server 2016 und Windows 10 – virtuelles NAT Switch

Mit Windows Server 2016 und Windows 10 in der Version 1511 wurde endlich eine Möglichkeit implementiert virtuelle Hyper-V Switche NAT fähig zu machen. Über Sinn und Unsinn in einer produktiven Umgebung kann man sich streiten. Für Test-Szenarien am Windows 10 Client aber auch für Testumgebungen im eignen Windows Rechenzentrum können sie dennoch ein Rolle spielen. Test man zum Beispiel das Restore einer VM oder prüft vorab diverse Update-Szenarien so bietet sich ein virtuelles NAT-Switch zum isolieren von der Produktivumgebung durchaus an. Weiterlesen

FSMO Rollen mit der PowerShell übertragen

Wer im Systemhaus arbeitet kennt das Problem. Neuer neues Betriebssystem, update der internen Server und meist auch ein neuer Domänencontroller. Zum endgültigen abschalten des alten DC sollten dann noch die Betriebsmasterrollen, in der Microsoft-Welt auch FSMO Roles (Flexible Single Master Operations) genannt, übertragen werden. Dazu gibt es die für Windows Admins gerne genutzte GUI über die endsprechenden Managementkonsolen. Alternativ für Kommandozeilen Admins steht das NTDSUtil zur Verfügung. Beide Wege sind nicht unbedingt komfortabel und leider zeitraubend. Mit den PowerShell Modulen für Active Directory ergeben sich hier neue Möglichkeiten welche insbesondere den Admin der dieses regelmäßig macht wertvolle Lebenszeit spart. Weiterlesen

Bitlocker – Zusätzlicher PIN beim Systemstart

Bitlocker ist eine reine offline Verschlüsselung und schützt die Daten primär physikalisch vor Diebstahl. Einen Schutz vor Angriffen online und über das Netzwerk kann Bitlocker wiederum nicht bereitstellen. Dabei hilft ein TPM (Trusted Platform Module -> Wikipedia), verbaut auf der Platine des PC-Systems oder Notebooks, bei der Speicherung des kryptographischen Schlüssels. Dieser sorgt beim starten des Systems für ein automatisches und komfortables entsperren der Festplatte ohne ein eingreifen des Benutzers anzufordern bis dann die Windows-Anmeldung erscheint. Hat ein Dieb oder der unbefugte Benutzer das System vor sich so kann er auf jeden Fall versuchen das Passwort zu erraten. Weiterlesen

Windows Dateiserver vor Verschlüsselungstrojanern schützen – PowerShell Script

Bereits im letzten Beitrag habe ich auf den Ansatz von Frankys Web Blog zum Schutz von Dateiservern vor Ransomware hingewiesen. Gerade für Administratoren welche diese Arbeit ggf. an vielen Systemen durchführen müssen habe ich ein PowerShell Skript erstellt welche die Aufgabe vollständig automatisiert. Das Skript funktioniert ab Windows Server 2012 R2. Weiterlesen

Windows Dateiserver vor Verschlüsselungstrojanern schützen

Über ein paar Kollegen bin ich auf diesen Ansatz zum Schutz von Windows Fileservern vor Ransomware und Cyrpto Lockern gestoßen. Dabei wird der Ressourcen-Manager für Dateiserver genutzt um entsprechende Dateiendungen oder Inhalte von Ordnern zu sperren und die User und Administratoren per Mail zu informieren. Weiterlesen

Windows 10 härten – SmartScreen-Filter

Zugegeben, die Akzeptanz vom Microsoft Internet Explorer oder dem neuen Browser EDGE hält sich eher in Grenzen. Der Internet Explorer hält nach Angaben von statista.com ca. 10 Prozent der Marktanteil, der Browser EDGE schafft es gerade einmal auf knapp über 1 Prozent. Für mich als Windows Admin haben beide aber einen großen Vorteil. Sie lassen sich per Gruppenrichtlinien steuern und via Windows Update problemlos aktualisieren. Das bedeutet für mich im Vergleich zu anderen Browsern einen geringen Verwaltungsaufwand und damit verbundene geringere Kosten. Weiterhin schützt SmartScreen nicht nur die Microsoft Browser sondern sitzt tief verankert im Windows Betriebssystem.  Weiterlesen

Windows 10 härten – Datenausführungsverhinderung (DEP)

Ein weiterer fast unscheinbarer Baustein zum Schutz von Windows Systemen vor Schadcode wurde mit Windows XP SP2 eingeführt. Die Datenausführungsverhinderung oder auch Data Execution Prevention (kurz DEP) soll verhindern, dass Schadcode innerhalb eines geschützten Speicherbereiches ausgeführt wird. Durchgesetzt wird dieses durch das CPU-Feature NX (Not Execute) welches von allen aktuellen CPUs unterstützt wird. Ich werde in diesem Beitrag weniger auf die Arbeitsweise von NX eingehen, sondern vielmehr auf die vollständige Implementierung im Windows Client und eine mögliche Umsetzung im Unternehmen. Weiterlesen

Windows 10 härten – AppLocker

In meinem vorhergehenden Beitrag habe ich schon eine Zusammenfassung über die möglichen Schutzfunktionen von Microsoft gesprochen. In diesem Artikel geht es um den Schutz vor unbekannten Programmen, Apps oder Skripten. Hierbei kommt der Windows AppLocker zum Einsatz welcher seit Windows 7 zur Ausstattung des Betriebssystems gehört. Leider ist dieses Feature nur für Firmenkunden mit einer Enterprises Edition verfügbar. Dabei würde es dem Microsoft Image gut tun jegliche Sicherheitsfunktionen für alle Windows Editionen zur Verfügung zu stellen. Weiterlesen

Windows Server 2016 TP4 – Nano Server installieren

Das Release von Windows Server 2016 rückt in greifbare Nähe. Sollten keine größeren Probleme mehr auftauchen so kann man wohl im 3. Quartal 2016 mit der RTM von Windows Server 2016 rechnen. Darum wird es Zeit einmal einen Blick auf den neuen Nano Server zu werfen. Erste Versuche „ohne GUI“ mit dem Server Core wurden mit Windows Server 2008 eingeführt aber nur halbherzig und inkonsequent umgesetzt. Schauen wir mal was der Nano Server bringt. Weiterlesen

Lass uns verschlüsseln – Let‘s Encrypt mit Windows Server und IIS

In einer Initiative mehrere Organisationen wie CISCO, Akamai, Mozilla und vielen anderen Größen entstand vor einiger Zeit das Projekt Let’s Encrypt mit dem Ziel mehr zu verschlüsseln und damit mehr Sicherheit in das Internet zu bekommen. Unter dem Motto „It’s free, automated, and open“ freut sich das Windows-Admin-Herz. Endlich ein Projekt welches kostenfreie Zertifikate mit einer hohen Verbreitung und damit Browser- und Endgeräteakzeptanz zur Verfügung stellt. Doch in der Praxis mag das in der Linux-Welt funktionieren wie sieht es in der Windows-Welt aus? Weiterlesen

Microsoft AD – E-Mail vor Ablauf des Kennwortes an Benutzer senden

In einigen Situationen kann es vorkommen das Benutzer nicht rechtzeitig über das Ablaufen des Kennwortes über Ihren Windows Client informiert werden. Dies passiert z.B. beim ständigen Arbeiten vom Home Office über VPN oder aber auch im Urlaubs oder Krankheitsfall. Zwar gibt es mit Exchange die Möglichkeit das Kennwort über OWA zurückzusetzen ich treffe aber auch immer auf Situationen bei denen dies technisch nicht umzusetzen werden kann oder auch einfach nicht gewollt ist. Nachfolgendes Power Shell-Skript wurde getestet ab Windows Server 2008 R2. Weiterlesen

WSUS Server auf Windows Server 2012 via PowerShell bereinigen

Ist der WSUS einmal installiert so wird dieser gerne mal vernachlässigt. Nach mehren Wochen und Monaten fühlt sich die Bedienung des WSUS Servers merklich träge an. Die einen ignorieren dies und andere starten die Bereinigung des Servers einfach manuell. Dies kann ggf. mehrere Stunden dauern schafft aber Platz und löscht alte Updates. Eine Automatisierung dieses Prozesses war bisher nur über diverse Skripte welche im Internet kursieren möglich. Weiterlesen

Offline Domänenbeitritt mit djoin.exe

Seit Windows Server 2008 bietet Microsoft mit dem Kommandozeilenwerkzeug djoin.exe die Möglichkeit ein Computerkonto ohne Verbindung zu einem Domänenkontroller, also offline, einer Domäne beitreten zu lassen. Als ich dieses zum ersten Mal gelesen habe konnte ich mir über Sinn oder Unsinn dieser Möglichkeit noch kein wirkliches Bild machen. Wer will schon einen Computerkonto offline hinzufügen? Weiterlesen