Das US-Standardisierungsinstitut NIST hat kürzlich neue Empfehlungen zum sicheren Umgang mit IT-Systemen herausgegeben. Für viele erstaunlich: Man plädiert dort an einigen Stellen dafür, die typischen Anforderungen an Kennwörter zu reduzieren, statt sie zu erhöhen.

[NIST SP 800-63 Digital Identity Guidelines]
https://pages.nist.gov/800-63-3/

Eine lesenswerte Interpretation der Empfehlungen, die sich auf Kennwortrichtlinien beziehen, liefert Jackson Shaw auf DarkReading:

[Why Relaxing Our Password Policies Might Actually …]
https://www.darkreading.com/endpoint/why-relaxing-our-password-policies-might-actually-bolster-user-safety/a/d-id/1329826

Wow, das Team der cim Lingen übertrifft sich in diesem Jahr selbst: Schon nach einer Woche waren alle Videos der Sessions fertig bearbeitet und online. Hier findet ihr sie:

http://www.cim-lingen.de/agenda_1/agenda_1.html

Oder auch direkt bei YouTube:

[cim lingen 2017 – tech track – YouTube]
https://www.youtube.com/playlist?list=PLm2XHeLAwqKtH-lzt-Fzdr5BEJrNxmpes

[cim lingen 2017 – vision track – YouTube]
https://www.youtube.com/playlist?list=PLm2XHeLAwqKs3osMnZlvwxm10UIc84ybf

[cim lingen 2017 – facts track – YouTube]
https://www.youtube.com/playlist?list=PLm2XHeLAwqKuuuoxIRySFuswDgoHXJlHH

[cim lingen 2017 – business track – YouTube]
https://www.youtube.com/playlist?list=PLm2XHeLAwqKtFqdfJXI4Y9AOUfcKbcvXt

Dieser Beitrag erschien zuerst bei blog.michael-wessel.de

Versucht man, auf einer Windows-Enterprise-CA einen Zertifikatsrequest aus einer Datei zu bearbeiten, so kann der folgende Fehler auftreten:

Die Anforderung enthält keine Zertifikatvorlageninformationen. 0x80094801 (-2146875391 CERTSRV_E_NO_CERT_TYPE)
Verweigert vom Richtlinienmodul 0x80094801, Die Anforderung enthält weder die Erweiterung für die Zertifikatvorlage noch das Anforderungsattribut „CertificateTemplate“.

Die Ursache dafür: Im Request ist keine Zertifikatsvorlage angegeben. Das geht bei einem manuellen Request auch nur mit Umständen, daher kann man sich anders behelfen.

… weiterlesen

Das junge Team der cim Lingen ist stets vorn dabei, wenn es um neue Techniken geht. Bei der diesjährigen Ausgabe am 9. September 2017 wurde ich von Orga-Mitglied Conny per Periscope interviewt.

https://www.pscp.tv/cimlingen/1LyxBEyZQkbJN

Am Samstag, dem 9. September 2017, findet in Lingen an der Ems die IT-Community-Konferenz cim statt (Community in Motion). Den ganzen Tag lang gibt es IT-Fachvorträge von hochkarätigen Sprechern. Wie jedes Jahr läuft das Who’s Who der deutschen IT-Szene im Emsland auf.

Für Kurzentschlossene gibt es noch Plätze – wie immer kostenlos.

http://www.cim-lingen.de/

Active Directory ermöglicht es, Gruppen zu verschachteln. So kann ein Benutzer Mitglied in Gruppe A sein, die selbst Mitglied von Gruppe B ist. Effektiv hat der Benutzer dann beide Gruppenmitgliedschaften, auch wenn er nur einer der Gruppen direkt angehört. Problematisch kann es sein, solche Verschachtelungen nachzuvollziehen – die Mitgliederliste von Gruppe B würde hier nur Gruppe A anzeigen, aber nicht den Benutzer. Ebenso würde man beim Benutzer nur die Mitgliedschaft in Gruppe A sehen, aber nicht die in Gruppe B.

Der Verzeichnisdienst verfügt über effiziente Methoden, solche Verschachtelungen aufzulösen, um die effektiven Mitgliedschaften herauszufinden. Wenig bekannt ist, dass man diese Methoden über einen LDAP-Filter direkt nutzen kann, ohne dass man selbst aufwändige rekursive Abfragen aufbauen muss. Einzig die Syntax solcher Abfragen ist etwas eigen.

… weiterlesen

Microsoft hat ein neues Kapitel in der Geschichte der Windows-Versionsnummern aufgeschlagen. Schon mehrfach hatte der Konzern es geschafft, durch simple Änderungen an der Nummerierung seiner Betriebssysteme nicht nur Verwirrung zu stiften, sondern auch handfeste Probleme auszulösen.

Der jüngste Streich ist dabei ein echtes Geek-Thema. Anscheinend steht Redmond aktuell vor dem Problem, dass die internen Variablen im Windows-Quellcode, die die Versionsnummer speichern, schon in wenigen Wochen vor einem Werte-Überlauf stehen. Damit wäre die folgende Nummer dann plötzlich nicht größer, sondern (viel) kleiner als ihr Vorgänger.

Die amerikanische Webseite “Inside Windows” und der deutsche MVP-Kollege Günter Born haben das in ihren Artikeln sehr schön auseinandergedröselt. Aktuell gibt es nichts Offizielles dazu, sodass die Herleitungen einen hohen Spekulationsanteil aufweisen – aber es ist schon eine Story für Feinschmecker.

[Windows 10: Build-Nummern und der Fluch der Vergangenheit | Borns IT- und Windows-Blog]
http://www.borncity.com/blog/2017/08/29/windows-10-build-nummern-und-der-fluch-der-vergangenheit/

[Inside Windows Versioning: Why letting legacy code stick around isn’t the best idea – Inside Windows]
http://insidewindows.net/2017/08/28/inside-windows-versioning/

Namen sind ja so eine Sache in Active Directory. Es gibt so viele davon, dass man kaum auswählen kann, welcher denn nun welcher ist. Das trifft lustigerweise auch auf den Namen der Domäne selbst zu: Nicht nur hat jede Domäne zwei (den alten NetBIOS-Namen und den DNS-Namen), sondern es gibt auch noch eine LDAP-Notation dazu. Diese leitet sich von dem DNS-Namen ab.

Der NetBIOS- und der DNS-Name sind in einem Batch einfach zu verwenden: Windows kennt dafür die Umgebungsvariablen %userdomain% und %userdnsdomain%. Doch was ist, wenn man den LDAP-Namen braucht?

Dann kann man das tatsächlich auch in einem Batch erledigen. Man braucht aber ein wenig Magie dazu. So geht’s:

SET ADLDAP=DC=%userdnsdomain:.=,DC=%

Der gesuchte Wert findet sich dann in der Variablen %ADLDAP%.

Beim Kunden: “Wir können das Backup nicht einrichten. Wir haben zwar den Schlüssel zum Backup-Safe, aber niemand weiß, wo der Safe ist.”

Im Rahmen einer Überprüfung einer Serververöffentlichung mittels des Qualys SSL Server Test ist dem einen oder anderen vielleicht schon der Punkt CAA Record aufgefallen.

Mittels des weiterführenden Links können weitere Infos über diesen neuen Resource Record abgerufen werden. Wer es ganz genau wissen will, kann sich das entsprechende RFC 6844 durchlesen (https://tools.ietf.org/rfc/rfc6844.txt). Eine deutschsprachige gut verständliche Zusammenfassung gibt es hier: https://gnuheidix.de/archives/64-DNS-CAA-Resource-Record.html

„Der CAA RR ist im RFC6844 beschrieben und definiert, dass man im DNS hinterlegen kann, welche CA einem ein Zertifikat ausstellen darf …“

Unter https://sslmate.com/labs/caa/ befindet sich ein Syntax-Generator, welcher für die Kombination der eigenen Domain und diverser Zertifizierungsstellen die entsprechenden CAA Ressource Records erstellt. Das Ergebnis sieht dann etwa folgendermaßen aus:

So weit, so einfach. Interessant wird es, wenn man versucht, diese Einträge in einen Windows Server 2016 DNS zu bekommen.

… weiterlesen