Der Security-Experte Troy Hunt hat eine ausführliche Antwort auf die Frage gegeben: Does my site need https? Seine Argumente finden sich unter der eingängigen Adresse

[Does my site need HTTPS?]
https://doesmysiteneedhttps.com/

Microsoft Word bringt schon seit Jahren eine praktische Etiketten-Druckfunktion mit. Für viele handelsübliche Etikettenbögen sind die Formate vordefiniert, sodass man über die Menüfolge Sendungen/Etiketten einfach solche Bögen bedrucken kann.

Einen Haken gibt es dabei leider: Die Funktion setzt darauf, dass die Seiten-Grundformate der Standard-Dokumentvorlage unverändert sind. Wer mit angepassten Formaten in einer eigenen normal.dotx-Datei arbeitet, stellt dann fest, dass die Seitenränder für die Etikettenbögen nicht passen.

Eine simple, wenn auch nicht besonders schöne Abhilfe bietet eine Word-Startoption. Ruft man Word über Start/Ausführen mit folgender Kommandozeile auf, so startet es einmalig mit einer “nackten” Dokumentvorlage, in der die Etikettenbögen dann auch funktionieren:

winword /a

Ist man dann fertig, so beendet man Word und startet es normal neu. Dann arbeitet man wieder mit der eigenen, angepassten normal.dotx.

Kleinere und mittelständische Office-365-Kunden haben seit Kurzem eine zusätzliche Option für die Anmeldung an die Cloud-Dienste. Für Szenarien, in denen Office 365 vorwiegend oder ausschließlich vom Firmen-Netzwerk aus verwendet wird, lässt sich eine Pass-through-Authentisierung mit den lokalen AD-Konten einrichten. Dabei muss der Anwender sich nicht noch mal separat anmelden.

Diese Funktion ist neu in den Kontenabgleich mit AADConnect integriert worden. Dadurch entfällt die Notwendigkeit, eine ADFS-Infrastruktur aufzubauen und zu unterhalten. Der Nachteil: Diese Form der Anmeldung lässt sich auch nicht mit ADFS kombinieren, es ist ein Entweder-Oder-Aufbau. Für Anwender, die remote oder vom Home Office aus auf Office 365 zugreifen wollen, ist dann zunächst eine VPN-Verbindung ins Firmennetz erforderlich.

Näheres dazu gibt es bei Microsoft und bei Frank Carius:

[Azure AD Connect: Seamless Single Sign On | Microsoft Docs]
https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-sso

[Pass-Through Authentifizierung (PTA)]
https://www.msxfaq.de/cloud/authentifizierung/passthrough_authentifizierung.htm

Dieser Artikel erschien zuerst auf Ralfs Blog.

Hat mich einfach mal interessiert, wie man eine on-premise Domäne in mehrere Clouds verbinden kann, insbesondere sowohl in die globale Azure Cloud, als auch gleichzeitig in die Microsoft Cloud Deutschland. Also hab ich’s probiert, und hier das Ergebnis …

Wozu das Ganze?

Vorneweg vielleicht erst mal, warum man sowas tun will … Die Microsoft Cloud Deutschland kommt mit einem separierten Azure Active Directory, das bedeutet, dass Benutzer, die im AAD der globalen Azure Cloud angelegt sind (wie auch immer, also direkt oder synchronisiert), nicht im AAD der Microsoft Cloud Deutschland bekannt sind, und umgekehrt, und von daher eine Authentifizierung dieser (globalen) Benutzer an Azure Deutschland nicht möglich ist (und auch hier gilt umgekehrt das Gleiche). Daher stellt sich für viele die Frage, ob man nicht die lokalen Benutzer einfach in beide Clouds synchronisieren kann, und genau das war der Ausgangspunkt für diese Versuche.

… weiterlesen

Schon vor einiger Zeit hat Microsoft einen Guide veröffentlicht, der sinnvolle Schritte zur Überwindung der NTLM-Authentifizierung in Windows-Netzwerken beschreibt. NTLM gilt als überholtes Protokoll, das möglichst weitgehend durch bessere Alternativen wie Kerberos ersetzt werden sollte.

Nicht immer hat der Administrator das einfach so in der Hand. Applikationen müssen damit umgehen können, und es sind einige Voraussetzungen zu treffen. Daher beschreibt der Guide aus verschiedenen Perspektiven, wie man so ein Projekt angehen kann.

[Auditing and restricting NTLM usage guide]
https://technet.microsoft.com/en-us/library/jj865674.aspx

Schon seit langer Zeit gilt die Version 1 des Windows-Dateiserverprotokolls SMB (Server Message Block) als veraltet. Die “Wannacry”-Angriffe der letzten Wochen haben gezeigt, dass das Uraltprotokoll auch ausgesprochen unsicher ist.

Höchste Zeit also, das Protokoll loszuwerden. Tatsächlich wird Microsoft in den kommenden Windows-Versionen (für Windows 10 im Herbst) das Protokoll standardmäßig abschalten. Hier und da kann das allerdings zu Problemen führen, weil manche Drittanbieterprodukte noch nicht ohne SMB1 auskommen. Der Microsoft-Mitarbeiter Ned Pyle unterhält daher eine Liste von Produkten (samt Versionsangabe), die bekanntermaßen noch SMB1 benötigen.

[SMB1 Product Clearinghouse | Storage at Microsoft]
https://blogs.technet.microsoft.com/filecab/2017/06/01/smb1-product-clearinghouse/

Haiko Hertes lädt dieses Jahr zum System Administrator Appreciation Day nach Leipzig. Der mittlerweile traditionelle IT-Feiertag dient dazu, auf die Leistung von Sysadmins aufmerksam zu machen, die meist im Hintergrund geschieht.

Die Veranstaltung im Leipzig beginnt am Nachmittag mit einigen Fachvorträgen. Am Abend gibt es ein nettes Beisammensein. Näheres hier:

[Sysadminday 2017 in Leipzig – Der jährliche Feiertag aller Systemadministratoren!]
https://www.sysadminday.it/

Fortinet-Forscher haben jetzt einen Codefehler im WINS-Dienst von Windows-Servern gefunden, der sich relativ leicht für Denial-of-Service-Attacken ausnutzen lässt. Damit verschärft sich die Empfehlung, den veralteten Dienst zur Namensauflösung nicht länger einzusetzen, sondern ihn durch DNS zu ersetzen. Heikel dabei: Microsoft wird das Problem nicht beheben.

WINS dient dazu, in lokalen Netzwerken Servernamen in IP-Adressen aufzulösen. Im Prinzip macht er damit fast dasselbe wie DNS – nur in einer älteren Fassung, denn WINS geht zurück auf die historische NetBIOS-Struktur früherer Microsoft-Netzwerke. Bereits seit vielen Jahren entwickelt Microsoft diesen Dienst praktisch nicht mehr weiter, die letzte wesentliche Änderung gab es in Windows Server 2003.

Viele Netzwerke nutzen WINS trotzdem immer noch, weil es (leider) noch eine ganze Reihe von Anwendungen gibt, die ohne eine NetBIOS-Namensauflösung nicht richtig funktionieren. Aufgrund der nun gefundenen Fehler ist jetzt aber die Zeit gekommen, aktiv nach anderen Lösungen Ausschau zu halten.

Der von Fortinet aufgespürte Fehler resultiert dem Vernehmen nach nur in einem Abstzurz der WINS-Dienste, wodurch die zugehörige Namensauflösung nicht mehr funktioniert. Darüber hinaus sind keine sicherheitskritischen Folgen bekannt.

Mehr dazu:

[WINS Server Remote Memory Corruption Vulnerability in Microsoft Windows Server | Fortinet Blog]
https://blog.fortinet.com/2017/06/14/wins-server-remote-memory-corruption-vulnerability-in-microsoft-windows-server

[Kein Patch für Denial-of-Service-Lücke in Windows Server | heise Security]
https://www.heise.de/security/meldung/Kein-Patch-fuer-Denial-of-Service-Luecke-in-Windows-Server-3744148.html

Microsoft hat angekündigt, dass Windows Server 2016 künftig zweimal jährlich Funktions-Updates erhalten wird. Mit einem Release im Frühjahr und einem im Herbst soll damit über alle Kernprodukte des Konzerns ein einheitlicher Entwicklungszyklus gelegt werden. Dies betrifft neben Windows Server auch das Client-Windows, Office und die System-Center-Familie.

Kunden, die eine aktive Software Assurance für ihre Windows-Server-2016-Lizenzen haben, erhalten Zugriff auf die neuen halbjährlichen Upgrades. Die erste Ausgabe soll schon im Herbst 2017 erscheinen. Wie diese Upgrades technisch umgesetzt werden, ist noch nicht ausdrücklich kommuniziert worden. Während aus einigen Äußerungen ein Update-Modell geschlossen werden kann (damit würden die neuen Funktionen wie Windows-Updates zu bestehenden Installationen ergänzt werden), lesen sich andere Stellen eher so, als wäre jedes Mal eine Neuinstallation nötig (wie es bei Windows 10 ja auch ist). Kunden ohne Software Assurance haben keinen Zugriff auf diese Aktualisierungen, für sie gilt das klassische Modell “Long-Term Servicing” mit neuen Versionen alle paar Jahre.

Daneben hat Redmond schon einige inhaltliche Neuerungen angekündigt:

• Der “Nano Server” soll künftig nur noch als Basis für Container-Virtualisierung dienen und nicht mehr als Option für “allgemeine” Windows-Server.
• Dafür soll die Variante “Server Core” höheres Gewicht erhalten und als Standard-Option für universelle Server dienen.
• Für Windows Server 2016 gibt es künftig ein “Insider Program” ähnlich dem für Windows 10.
• Kunden mit aktiver Software Assurance für ihre Serverlizenzen dürfen diese auch für Azure-VMs nutzen und sparen so bis zu 40 Prozent der Azure-Bereitstellungskosten.

Hier die aktuellen Ankündigungen:

[Delivering continuous innovation with Windows Server – Hybrid Cloud Blog]
https://blogs.technet.microsoft.com/hybridcloud/2017/06/15/delivering-continuous-innovation-with-windows-server/

[Windows Server Semi-annual Channel overview | Microsoft Docs]
https://docs.microsoft.com/en-us/windows-server/get-started/semi-annual-channel-overview

Wie das Orga-Team der cim in Lingen (Community in Motion) mitteilt, wird man sich ab dem 1. Juli 2017 für die diesjährige Ausgabe anmelden können.