Nichts wird in der IT-Sicherheit so intensiv diskutiert wie die herkömmliche Anmeldetechnik mit Benutzername und Kennwort. Alle Sicherheitsexperten sind sich “eigentlich” einig, dass Kennwörter eine völlig überholte Technik sind, die hinten und vorne nicht ausreicht, um Systeme und Daten abzusichern. Und doch gibt es bisher keine realistische Alternative, die sich flächendeckend einsetzen ließe. Alle anderen Maßnahmen wie Zertifikate, Biometrie, Einmalkennwörter usw. setzen so viel Infrastruktur voraus, dass sie nur für einzelne Systeme taugen, aber nicht für “alles”.

Vorläufig bleiben sichere Kennwörter also notwendig. Einen pfiffigen Weg, solche Kennwörter zu erzeugen, hat vor einigen Jahren ein XKCD-Comic aufgezeigt: eine Art Mittelweg zwischen Kennwörtern und Kennwortsätzen. Der Cartoon schlägt vor, ein paar zufällig gewählte Wörter aneinanderzureihen. Merken kann man sich solche Kombinationen trotzdem, denn auch unsinnige Kombinationen prägen sich durchaus ein. Das Beispiel aus dem Comic lautet “correct horse battery staple” (richtig Pferd Batterie Heftklammer).

Es gibt gleich eine ganze Reihe von Webdiensten, die dieses Prinzip in einen Kennwortgenerator umsetzen. Fast alle nutzen aber englische Wörter als Grundlage. Auf Basis eines dieser Dienste haben wir eine deutsche Fassung erzeugt: Schwester-Pelzhut-Ledersofa-Auch heißt unsere Variante, die alle 3742 Wörter aus Franz Kafkas “Verwandlung” als Wortliste verwendet. Den Dienst, der rein lokal läuft und die Kennwörter nirgends speichert, stellen wir ab sofort unter dieser Adresse bereit:

https://www.faq-o-matic.net/richtigpferd/

Die cim in Lingen (community in motion) ist seit vielen Jahren eine der schönsten IT-Konferenzen. Fachvorträge höchster Güte, eine familiäre Atmosphäre, direkter Community-Kontakt, hervorragendes Essen – all das auf professionellem Niveau und noch dazu kostenlos für die Teilnehmer. In diesem Jahr findet die cim zum dreizehnten Mal statt.

Eine besondere cim-Tradition besteht darin, dass die Agenda der Konferenz immer erst sehr spät feststeht. Wie aus dem Organisationsteam zu hören ist, wird in den nächsten Tagen aber feststehen, auf welche Sessions sich die Besucher freuen können. Klar ist wie immer: Es gibt vier parallele Tracks von morgens bis abends von hochkarätigen Sprechern.

Die cim findet in diesem Jahr am 9. September statt, und es gibt noch Plätze:

[cim lingen | community in motion – anmeldung]
http://www.cim-lingen.de/anmeldung/art_467.html

Der Security-Experte Troy Hunt hat eine ausführliche Antwort auf die Frage gegeben: Does my site need https? Seine Argumente finden sich unter der eingängigen Adresse

[Does my site need HTTPS?]
https://doesmysiteneedhttps.com/

Microsoft Word bringt schon seit Jahren eine praktische Etiketten-Druckfunktion mit. Für viele handelsübliche Etikettenbögen sind die Formate vordefiniert, sodass man über die Menüfolge Sendungen/Etiketten einfach solche Bögen bedrucken kann.

Einen Haken gibt es dabei leider: Die Funktion setzt darauf, dass die Seiten-Grundformate der Standard-Dokumentvorlage unverändert sind. Wer mit angepassten Formaten in einer eigenen normal.dotx-Datei arbeitet, stellt dann fest, dass die Seitenränder für die Etikettenbögen nicht passen.

Eine simple, wenn auch nicht besonders schöne Abhilfe bietet eine Word-Startoption. Ruft man Word über Start/Ausführen mit folgender Kommandozeile auf, so startet es einmalig mit einer “nackten” Dokumentvorlage, in der die Etikettenbögen dann auch funktionieren:

winword /a

Ist man dann fertig, so beendet man Word und startet es normal neu. Dann arbeitet man wieder mit der eigenen, angepassten normal.dotx.

Kleinere und mittelständische Office-365-Kunden haben seit Kurzem eine zusätzliche Option für die Anmeldung an die Cloud-Dienste. Für Szenarien, in denen Office 365 vorwiegend oder ausschließlich vom Firmen-Netzwerk aus verwendet wird, lässt sich eine Pass-through-Authentisierung mit den lokalen AD-Konten einrichten. Dabei muss der Anwender sich nicht noch mal separat anmelden.

Diese Funktion ist neu in den Kontenabgleich mit AADConnect integriert worden. Dadurch entfällt die Notwendigkeit, eine ADFS-Infrastruktur aufzubauen und zu unterhalten. Der Nachteil: Diese Form der Anmeldung lässt sich auch nicht mit ADFS kombinieren, es ist ein Entweder-Oder-Aufbau. Für Anwender, die remote oder vom Home Office aus auf Office 365 zugreifen wollen, ist dann zunächst eine VPN-Verbindung ins Firmennetz erforderlich.

Näheres dazu gibt es bei Microsoft und bei Frank Carius:

[Azure AD Connect: Seamless Single Sign On | Microsoft Docs]
https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-sso

[Pass-Through Authentifizierung (PTA)]
https://www.msxfaq.de/cloud/authentifizierung/passthrough_authentifizierung.htm

Dieser Artikel erschien zuerst auf Ralfs Blog.

Hat mich einfach mal interessiert, wie man eine on-premise Domäne in mehrere Clouds verbinden kann, insbesondere sowohl in die globale Azure Cloud, als auch gleichzeitig in die Microsoft Cloud Deutschland. Also hab ich’s probiert, und hier das Ergebnis …

Wozu das Ganze?

Vorneweg vielleicht erst mal, warum man sowas tun will … Die Microsoft Cloud Deutschland kommt mit einem separierten Azure Active Directory, das bedeutet, dass Benutzer, die im AAD der globalen Azure Cloud angelegt sind (wie auch immer, also direkt oder synchronisiert), nicht im AAD der Microsoft Cloud Deutschland bekannt sind, und umgekehrt, und von daher eine Authentifizierung dieser (globalen) Benutzer an Azure Deutschland nicht möglich ist (und auch hier gilt umgekehrt das Gleiche). Daher stellt sich für viele die Frage, ob man nicht die lokalen Benutzer einfach in beide Clouds synchronisieren kann, und genau das war der Ausgangspunkt für diese Versuche.

… weiterlesen

Schon vor einiger Zeit hat Microsoft einen Guide veröffentlicht, der sinnvolle Schritte zur Überwindung der NTLM-Authentifizierung in Windows-Netzwerken beschreibt. NTLM gilt als überholtes Protokoll, das möglichst weitgehend durch bessere Alternativen wie Kerberos ersetzt werden sollte.

Nicht immer hat der Administrator das einfach so in der Hand. Applikationen müssen damit umgehen können, und es sind einige Voraussetzungen zu treffen. Daher beschreibt der Guide aus verschiedenen Perspektiven, wie man so ein Projekt angehen kann.

[Auditing and restricting NTLM usage guide]
https://technet.microsoft.com/en-us/library/jj865674.aspx

Schon seit langer Zeit gilt die Version 1 des Windows-Dateiserverprotokolls SMB (Server Message Block) als veraltet. Die “Wannacry”-Angriffe der letzten Wochen haben gezeigt, dass das Uraltprotokoll auch ausgesprochen unsicher ist.

Höchste Zeit also, das Protokoll loszuwerden. Tatsächlich wird Microsoft in den kommenden Windows-Versionen (für Windows 10 im Herbst) das Protokoll standardmäßig abschalten. Hier und da kann das allerdings zu Problemen führen, weil manche Drittanbieterprodukte noch nicht ohne SMB1 auskommen. Der Microsoft-Mitarbeiter Ned Pyle unterhält daher eine Liste von Produkten (samt Versionsangabe), die bekanntermaßen noch SMB1 benötigen.

[SMB1 Product Clearinghouse | Storage at Microsoft]
https://blogs.technet.microsoft.com/filecab/2017/06/01/smb1-product-clearinghouse/

Haiko Hertes lädt dieses Jahr zum System Administrator Appreciation Day nach Leipzig. Der mittlerweile traditionelle IT-Feiertag dient dazu, auf die Leistung von Sysadmins aufmerksam zu machen, die meist im Hintergrund geschieht.

Die Veranstaltung im Leipzig beginnt am Nachmittag mit einigen Fachvorträgen. Am Abend gibt es ein nettes Beisammensein. Näheres hier:

[Sysadminday 2017 in Leipzig – Der jährliche Feiertag aller Systemadministratoren!]
https://www.sysadminday.it/

Fortinet-Forscher haben jetzt einen Codefehler im WINS-Dienst von Windows-Servern gefunden, der sich relativ leicht für Denial-of-Service-Attacken ausnutzen lässt. Damit verschärft sich die Empfehlung, den veralteten Dienst zur Namensauflösung nicht länger einzusetzen, sondern ihn durch DNS zu ersetzen. Heikel dabei: Microsoft wird das Problem nicht beheben.

WINS dient dazu, in lokalen Netzwerken Servernamen in IP-Adressen aufzulösen. Im Prinzip macht er damit fast dasselbe wie DNS – nur in einer älteren Fassung, denn WINS geht zurück auf die historische NetBIOS-Struktur früherer Microsoft-Netzwerke. Bereits seit vielen Jahren entwickelt Microsoft diesen Dienst praktisch nicht mehr weiter, die letzte wesentliche Änderung gab es in Windows Server 2003.

Viele Netzwerke nutzen WINS trotzdem immer noch, weil es (leider) noch eine ganze Reihe von Anwendungen gibt, die ohne eine NetBIOS-Namensauflösung nicht richtig funktionieren. Aufgrund der nun gefundenen Fehler ist jetzt aber die Zeit gekommen, aktiv nach anderen Lösungen Ausschau zu halten.

Der von Fortinet aufgespürte Fehler resultiert dem Vernehmen nach nur in einem Abstzurz der WINS-Dienste, wodurch die zugehörige Namensauflösung nicht mehr funktioniert. Darüber hinaus sind keine sicherheitskritischen Folgen bekannt.

Mehr dazu:

[WINS Server Remote Memory Corruption Vulnerability in Microsoft Windows Server | Fortinet Blog]
https://blog.fortinet.com/2017/06/14/wins-server-remote-memory-corruption-vulnerability-in-microsoft-windows-server

[Kein Patch für Denial-of-Service-Lücke in Windows Server | heise Security]
https://www.heise.de/security/meldung/Kein-Patch-fuer-Denial-of-Service-Luecke-in-Windows-Server-3744148.html