Nach den diesjährigen Angriffen auf Netzwerke durch Verschlüsselungstrojaner wie WannaCry oder NotPetya sollte man die Gelegenheit nutzen und das durch die Sicherheitslücke EternalBlue betroffene Protokoll SMBv1 netzwerkweit deaktivieren bzw. deinstallieren. Seit Windows Vista (erschienen Januar 2007) nutzt jede Windows Version mindestens auch das Protokoll SMBv2 oder neuer. Nur Windows XP oder Windows Server 2003 können nur mit der alten SMBv1-Variante kommunizieren. Wer also kein Windows XP oder ähnliche alte Windows-OS mehr im Einsatz hat, benötigt mit hoher Wahrscheinlichkeit das alte Protokoll nicht mehr und wird es im Normalfall nicht mal benutzen. Da es aber standardmäßig immer noch aktiv ist, können Schwachstellen im Protokoll auch bei neuen Betriebssystemen ausgenutzt werden.

Nachfolgend wird die Herangehensweise beschrieben, wie man das Protokoll in einem Domänen-Netzwerk mittels Gruppenrichtlinie deaktiviert. Ab Windows 8.1 und neuer kann das komplette Protokoll auch deinstalliert werden, was natürlich die bessere Option darstellt.

… weiterlesen

Das kommende Azure-Meetup in Hannover steht unter folgendem Motto: “Docker on Azure & Azure Hybrid Infrastructure”. Unser erstes Meetup nach der Sommerpause wird wieder sehr spannend und richtet sich auch wieder an ein gemischtes Publikum. Wir freuen uns diesmal einen neuen Sponsor gewonnen zu haben und werden uns diesmal bei Netz-Weise auf der Bult treffen. Danke dafür an Holger Voges und Netz-Weise!

Für die Vorträge haben wir zwei renommierte und kompetente Sprecher gewonnen, die uns zwei wichtige und spannende Themen aus der Azure-Welt näherbringen werden. Natürlich gibt es auch wieder Zeit zum Netzwerken bei Pizza,  Bier und Softdrinks!

• Running Docker on Azure
  Docker auf Azure von der einzelnen Maschine über Azure Container Services (ACS) bis hin zu PaaS.
  Sprecher: Steffen Krause
  Steffen Krause ist Ur-Berliner und Cloud Solution Architect bei Microsoft Germany.
• Azure Hybrid Infrastructure – What’s hot and new?
  Was gibt es neues in der Azure Hybrid Infrastructure? Wo können hybride Lösungen im Unternehmen eingesetzt werden und wie können sie unterstützen?
  Sprecher: Benedict Berger
  Benedict Berger ist Digital Architect bei Microsoft Corp und war vor seiner Zeit bei Microsoft mehrere Jahre Microsoft MVP. Hannover ist für ihn ein Heimspiel.

[Docker on Azure & Azure Hybrid Infrastructure – Azure Meetup Hannover (Hannover) | Meetup]
https://www.meetup.com/de-DE/Suedniedersachsen-Azure-Meetup/events/239006159/?eventId=239006159

Mit Windows 10 hat Microsoft “Windows as a Service” erfunden und versprochen, dass es für das Betriebssystem laufend Updates geben wird. Das alte Vorgehen, alle paar Jahre eine große Major-Version zu veröffentlichen, sei damit Geschichte. Was sich anfangs anhörte, als gebe es damit kontinuierliche, “sanfte” Updates, entpuppte sich bald als Alptraum für Anwender und Admins: Alle paar Monate ist mit dem neuen Verfahren eine Neuinstallation aller Rechner nötig, um auf dem aktuellen Stand zu bleiben.

Später erweiterte Redmond das Modell und verkündete drei Upgrade-Stufen: Den “Current Branch”, der im Abstand von wenigen Monaten allen “normalen” Anwendern aufgedrückt wird. Für Firmen war der “Current Branch for Business” vorgesehen, was im Wesentlichen dasselbe war, nur mit etwas mehr Zeit zum Installieren. (Schon hier bemerkten aufmerksame Beobachter, dass die Unterscheidung eigentlich keine ist, denn der Abstand zwischen den Releases bleibt derselbe, nur der Zeitpunkt ist etwas später.) Nur für Rechner mit besonderen Anforderungen ist der “Long-time Servicing Branch” vorgesehen, der nur alle paar Jahre ein neues, großes Upgrade bringt.

Nun hat sich Microsoft zum Sommer mal wieder was Neues überlegt, was alle bisherigen Aussagen weitgehen über den Haufen wirft. Die neue Sau, die man durchs Dorf treibt, ist der “Semi-Annual Channel”, also der Kanal, der zweimal im Jahr zum Einsatz kommt. Alle sechs Monate soll es demnach ein Upgrade für Windows 10 geben, die alte Unterscheidung zwischen “normalen” Anwendern und Unternehmen entfällt.

… weiterlesen

2017 ist schon wieder (mehr als) halb rum. Hier ist der traditionelle statistische Rückblick auf die Entwicklung unseres Blogs im ersten Halbjahr. Wie immer haben wir alle Auswertungen streng anonymisiert ausgeführt. Die angewandte Methode erlaubt uns keine Rückschlüsse auf einzelne BesucherInnen.

Besucherzahlen

Die Zahlen der “Unique Visitors” ist in den ersten Monaten des Jahres stabil geblieben. Mittlerweile liegen wir konstant bei über 210.000 “eindeutigen” Besuchern, das Niveau ist etwas höher als 2016.

Die grafische Darstellung der letzten zwölf Monate zeigt den Verlauf der Zugriffszahlen.

Verteilung der Besucher (Unique Visitors) in den letzten zwölf Monaten

… weiterlesen

Der PowerShell Saturday am 26.08.2017 ist ein ganzer Tag, der nur Themen rund um unsere Lieblingsshell gewidmet ist. An diesem Tag soll die PowerShell einem größeren Publikum bekannt gemacht werden. Dazu ist jeder herzlich eingeladen, der die PowerShell kennt oder sie einfach mal kennenlernen möchte. Mit dabei sind z.B. der Powershell-MVP Dr. Tobias Weltner, Peter Kirchner von Microsoft, MCT und Buchautor Thorsten Butz und die Powershell Usergroup Hannover.

Die komplette Agenda findet man unter http://www.psugh.de/saturday/. Die Teilnahme ist kostenlos, aber eine Anmeldung über Meetup ist erforderlich, da die Plätze begrenzt sind.

Das Organisationsteam der cim Lingen hat nun (endlich) die Agenda für die diesjährige Konferenz veröffentlicht. Sie ist noch nicht vollständig und final, aber lässt schon erahnen, dass dieses Jahr ein echtes Highlight wird.

[cim lingen | community in motion – agenda]
http://www.cim-lingen.de/agenda_1/agenda_1.html

In einer Kundenumgebung stieß ich gerade auf ein Problem beim PowerShell-Remoting: Es kam zwischen Client und Server keine Verbindung zustande. Nachdem ich die Lösung gefunden hatte, stellte ich fest, dass das Problem ein alter Bekannter war. Aber der Reihe nach.

Ein Skript versuchte, eine PS-Remoting-Session aufzubauen. Dies schlug fehl mit folgenden Fehlermeldungen:

New-PSSession : [SRV01] Connecting to remote server SRV01 failed with the following error message : The WinRM client cannot process the request. It cannot 
determine the content type of the HTTP response from the destination computer. The content type is absent or invalid. For more information, see the 
about_Remote_Troubleshooting Help topic.
At C:\Daten\Skript.ps1:35 char:12
+ $session = New-PSSession -ComputerName $Server
+            ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotingTransportException
    + FullyQualifiedErrorId : -2144108297,PSSessionOpenFailed

Die typischen Verdächtigen – Namensauflösung, Firewall, WinRM nicht gestartet – waren nicht Schuld. Ein wenig Recherche führte aber zum Ziel. Tatsächlich war der Account, der die Verbindung aufbauen wollte, in sehr vielen Gruppen Mitglied. Das kann bei HTTP-Zugriffen problematisch sein, weil der HTTP-Dienst eine Größenbegrenzung für Datenpakete hat, die vom Access Token leicht überschritten wird. Hier kann es helfen, die Limits hochzusetzen. Dazu startet man auf dem Ziel-Rechner den Registry-Editor als Administrator und setzt folgende Keys:

• unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HTTP\Parameters
• neuer DWORD (falls noch nicht vorhanden): MaxFieldLength, Wert (dezimal) z.B. 40000
• neuer DWORD (falls noch nicht vorhanden): MaxRequestBytes, Wert (dezimal) 32768

Den Server neu starten. Dann funktionierte es in meinem Fall.

Für unseren Kennwortgenerator “Schwester-Pelzhut-Ledersofa-Auch” brauchen wir eine Liste eindeutiger Wörter. Der Einfachheit halber habe ich dafür einen vorhandenen Text genommen, der ohne Lizenzkosten zur Verfügung steht. Meine Wahl fiel auf Franz Kafkas “Verwandlung”. Da Kafka vor mehr als 70 Jahren gestorben ist, sind die Einschränkungen des Urheberrechts erloschen, man darf den Text also “einfach so” verwenden.

Nun ist der reine Text als Liste noch nicht gut geeignet, denn viele Wörter wiederholen sich. Das sind naturgemäß vor allem Trivialwörter wie Artikel oder einfache Adjektive. Ich brauchte also eine Funktion, die aus dem Text eine Wortliste macht, in dem jedes Wort nur einmal auftaucht. Das ging mit der PowerShell recht einfach.

$WordListFile =  'C:\Daten\Kafka-Verwandlung.txt'
$WordList = Get-Content $WordListFile
$WordArray = $WordList.Split(' ')
$WordArrayUnique = @()
foreach ($Word in $WordArray) {
  $WordTrim = ($Word -replace '[\W]', '')
  $WordArrayUnique +=$WordTrim
}

$WordArrayUnique = ($WordArrayUnique | Sort-Object -Unique) # | Measure-Object
$WordArrayUnique -join(',') | Out-File 'C:\Daten\Wortliste-Kafka-Verwandlung.txt'

Das Skript öffnet eine Textdatei, das die vollständige Textquelle enthält, und liest den gesamten Text ein. Um die einzelnen Wörter zu erhalten, trennt es den Text jeweils bei einem Leerzeichen und schreibt die so entstandenen Fragmente in ein Array. Dieses Array durchläuft dann eine Schleife mit einem Regulären Ausdruck, der alle Zeichen entfernt, die nicht zu einem Wort gehören (etwa Satzzeichen). Abschließend ordnet die vorletzte Zeile das Array alphabetisch und entfernt dabei alle Dopplungen. Das so verbleibende Array mit eindeutigen Wörtern schreibt die letzte Zeile dann in die Zieldatei.

Wer wissen möchte, wie viele eindeutige Wörter so entstanden sind, entfernt das Kommentarzeichen in der vorletzten Zeile und kommentiert die letzte Zeile aus.

Nichts wird in der IT-Sicherheit so intensiv diskutiert wie die herkömmliche Anmeldetechnik mit Benutzername und Kennwort. Alle Sicherheitsexperten sind sich “eigentlich” einig, dass Kennwörter eine völlig überholte Technik sind, die hinten und vorne nicht ausreicht, um Systeme und Daten abzusichern. Und doch gibt es bisher keine realistische Alternative, die sich flächendeckend einsetzen ließe. Alle anderen Maßnahmen wie Zertifikate, Biometrie, Einmalkennwörter usw. setzen so viel Infrastruktur voraus, dass sie nur für einzelne Systeme taugen, aber nicht für “alles”.

Vorläufig bleiben sichere Kennwörter also notwendig. Einen pfiffigen Weg, solche Kennwörter zu erzeugen, hat vor einigen Jahren ein XKCD-Comic aufgezeigt: eine Art Mittelweg zwischen Kennwörtern und Kennwortsätzen. Der Cartoon schlägt vor, ein paar zufällig gewählte Wörter aneinanderzureihen. Merken kann man sich solche Kombinationen trotzdem, denn auch unsinnige Kombinationen prägen sich durchaus ein. Das Beispiel aus dem Comic lautet “correct horse battery staple” (richtig Pferd Batterie Heftklammer).

Es gibt gleich eine ganze Reihe von Webdiensten, die dieses Prinzip in einen Kennwortgenerator umsetzen. Fast alle nutzen aber englische Wörter als Grundlage. Auf Basis eines dieser Dienste haben wir eine deutsche Fassung erzeugt: Schwester-Pelzhut-Ledersofa-Auch heißt unsere Variante, die alle 3742 Wörter aus Franz Kafkas “Verwandlung” als Wortliste verwendet. Den Dienst, der rein lokal läuft und die Kennwörter nirgends speichert, stellen wir ab sofort unter dieser Adresse bereit:

https://www.faq-o-matic.net/richtigpferd/

Die cim in Lingen (community in motion) ist seit vielen Jahren eine der schönsten IT-Konferenzen. Fachvorträge höchster Güte, eine familiäre Atmosphäre, direkter Community-Kontakt, hervorragendes Essen – all das auf professionellem Niveau und noch dazu kostenlos für die Teilnehmer. In diesem Jahr findet die cim zum dreizehnten Mal statt.

Eine besondere cim-Tradition besteht darin, dass die Agenda der Konferenz immer erst sehr spät feststeht. Wie aus dem Organisationsteam zu hören ist, wird in den nächsten Tagen aber feststehen, auf welche Sessions sich die Besucher freuen können. Klar ist wie immer: Es gibt vier parallele Tracks von morgens bis abends von hochkarätigen Sprechern.

Die cim findet in diesem Jahr am 9. September statt, und es gibt noch Plätze:

[cim lingen | community in motion – anmeldung]
http://www.cim-lingen.de/anmeldung/art_467.html