Logo faq-o-matic.net
Logo faq-o-matic.net

Das RDP-Zertifikat tauschen

von veröffentlicht am18. Januar 2018, 06:39 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Sicherheit, Terminal Server   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Wer sich auf einen anderen Rechner per Remote Desktop verbindet bekommt ohne Konfiguration eine Meldung.

clip_image001

Jeder Windows Client erstellt ein selbst signiertes Zertifikat für die RDP-Verbindung. Über dieses Zertifikat wird die gesicherte Verbindung hergestellt. Es ist etwas unschön, da hier erstes eine Warnung kommt – wie kann ich sicher sein, ob es das richtige ist? Ich möchte hier den Weg zeigen wie es mit einer Windows-CA im Zusammenspiel mit einer GPO zu lösen ist.

… weiterlesen

OCSP Responder in der DMZ

von veröffentlicht am10. Januar 2018, 06:28 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: PowerShell, Sicherheit, Windows   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Setzt man sich mit der Planung und Implementierung einer (möglicherweise Multi-Tier-) Enterprise-CA unter Windows auseinander, so wird man feststellen, dass hierfür sowohl ein CRL-Webserver (Certificate Revocation List) als auch ein OCSP Responder (Online Certificate Status Protocol) sinnvoll sind. In größeren Umgebungen befinden sich sowohl der CRL-Webserver als auch der OCSP Responder meistens in einer DMZ und sind weder Mitglied der selben noch Mitglied einer vertrauten Domäne der Issuing Certificate Authority (dt. Zertifizierungsstelle).

Im Gegensatz zu einer herkömmlichen Zertifikatssperrliste (CRL), welche komplett digital signiert von der Zertifizierungsstelle kommt, werden OCSP Anfragen pro Antwort signiert. Dafür wird ein OCSP Response Signing Zertifikat benötigt, welches nur kurze Laufzeiten haben sollte, da dies die Zertifikatserweiterung „id-pkix-ocsp-nocheck“ beinhaltet und so keinerlei Revocation Check erfolgt.

Die folgende Grafik beschreibt den Ablauf eines OCSP-Checks:

image

Steht der OCSP Responder (ggf. mehrere hinter einem Load Balancer) nun in einer DMZ, hat dieser keinerlei Möglichkeit, ein solches Zertifikat automatisch bei einer CA anzufordern. Dadurch gibt es für die Automatisierung dieses Vorganges auch keine Best Practice. Allerdings konnte uns auch hier PowerShell wieder aushelfen.

… weiterlesen

PrimaryGroupID automatisch korrigieren

von veröffentlicht am4. Januar 2018, 06:22 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: AD: Daten bearbeiten, AD: Erweiterte Abfragen, PowerShell   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Möchte man die PrimaryGroupID (näheres siehe in diesem Beitrag) automatisch für alle AD-User prüfen und ggf. auch automatisch korrigieren, so kann man dies natürlich auch per PowerShell tun.

Im Active Directory gibt es standardmäßig eine Ausnahme, welche nicht die primaryGroupID 513 („Domain-Users“) hat: Hierbei handelt es sich um den User „Guest“, dieser hat die primaryGroupID 514 („Domain-Guests“) und muss somit gesondert berücksichtigt werden. Das Script „Correct-ADPrimaryGroup.ps1” (zu finden auf Github) berücksichtigt auch diese Ausnahme.

[Correct-ADPrimaryGroup.ps1 · GitHub]
https://gist.github.com/RobinBeismann/cbd3ae7e74d9d8fd331304d13788f0e0

Falls man sich nur die Vorkommnisse anzeigen lassen will, so kann man das Script direkt ausführen, da die Variable „$dryRun“ standardmäßig auf true steht. Möchte man die oben generierten (potentiellen) Fehler automatisch korrigieren lassen, so muss man Zeile 2 auf „$dryRun = $false“ ändern.

In der Standardeinstellung fragt das Script alle AD-User in der aktuellen Domäne ab, dies kann geändert werden in dem man Zeile 3 auf „$searchBase=’OU Pfad’“ ändert.

Linux (Debian-derived) Domain Integration

von veröffentlicht am20. Dezember 2017, 06:09 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Linux   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Nutzt man keine Enterprise-Linux-Systeme wie SUSE Enterprise Linux oder Redhat Enterprise Linux, stellt sich die Integration in einen LDAP-Verzeichnisdienst wie das Active Directory manchmal als kleine Herausforderung dar. Ein Weg dies, auf Debian-Derivaten zu realisieren, ohne auf Samba zurückzugreifen, ist Powerbroker Identity Services Open (PBIS Open) von BeyondTrust, ehemals bekannt als Likewise Open.

… weiterlesen

Azure Red Shirt Dev Tour mit Scott Guthrie

von veröffentlicht am18. Dezember 2017, 06:00 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Cloud, Community, Events   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

imageIm Januar gibt es eine kleine Eventreihe mit Kultcharakter: Developer-Guru Scott Guthrie kommt zu einer “Azure Red Shirt Dev Tour” nach München und Berlin. Im Fokus der kostenlosen eintägigen Events steht die Entwicklung mit Azure-Clouddiensten. Zügige Anmeldung ist sinnvoll. Am 17. Januar 2018 ist Scott in Berlin und am 18. Januar in München.

[Azure Red Shirt Tour Berlin]
https://www.microsoftevents.com/profile/form/index.cfm?PKformID=0x3109845abcd

[Azure Red Shirt Tour München]
https://www.microsoftevents.com/profile/form/index.cfm?PKformID=0x3107717abcd

Neue lustige Namen für AD-Demo- und Testdomänen

von veröffentlicht am12. Dezember 2017, 06:08 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Batch, Demo   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Wir haben unsere beliebte Sammlung von AD-Testbenutzerkonten mit lustigen Namen erweitert. In der jüngsten Fassung sind über 330 Namen enthalten, das sind über 40 neue Benutzerkonten seit dem letzten Update.

Alles Weitere zur Sammlung findet sich hier, auch eine geordnete Liste:

[AD-Testuser mit Details und lustigen Namen (reloaded) | faq-o-matic.net]
https://www.faq-o-matic.net/2014/02/17/ad-testuser-mit-details-und-lustigen-namen-reloaded/

Den Download könnt ihr auch gleich hier vornehmen – aber Vorsicht: Wie immer legt das Skript nach einer kurzen Warnung sofort los und erzeugt über 330 Konten in der aktuellen Domäne.

Download: Create-fomUsers  Create-fomUsers (15,6 KiB, 4.709 Downloads, letzte Änderung am 10. Dezember 2017)

Auch unsere Extra-Seite mit den Namen als Einzelportionen hat die neue Lieferung als Datenbestand:

[Lustige Namen]
https://www.faq-o-matic.net/namen/

SQL Server: Das Copy-Only Backup

von veröffentlicht am6. Dezember 2017, 06:28 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Datensicherung, SQL Server   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Wer sich mit dem Thema Backup im Microsoft SQL Server beschäftigt, ist mit ziemlicher Sicherheit schon über das Copy-Only Backup (zu Deutsch: Kopie Sicherung) gestoßen. Was dieser Backup-Typ bedeutet und wo man ihn einsetzten kann/sollte, dazu gehen die Meinungen auseinander. Aus diesem Grund möchte ich den technischen Hintergrund und die Unterschiede zwischen „normalen“ Backups und den Copy-Only Backups vorstellen und anschließend zeigen wann man diese sinnvoll einsetzen kann.

… weiterlesen

Citrix NetScaler und RNAT

von veröffentlicht am4. Dezember 2017, 06:22 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: NetScaler, Netzwerk   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Nutzt man einen Citrix Netscaler für externes NAT-ing und hat zusätzlich noch weitere interne Netze über statische Routen definiert, so wird man sehr schnell feststellen, dass sich der NetScaler hier untypisch verhält. Herkömmliche Routing- und Firewalling-Appliances benötigen extra ACLs für das NAT-ing von privaten IP Adressen, da diese normalerweise standardmäßig ausgeschlossen sind.

Der NetScaler arbeitet hier aber genau umgedreht und wendet NAT erst mal auf alle IP Adressen an, die nicht per ACL ausgeschlossen wurden.

… weiterlesen

Woher kennt mich die Cloud? Die Folien

von veröffentlicht am29. November 2017, 06:16 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: ADFS und SAML, Cloud   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

imageHier sind die Folien zu meinem Vortrag “Woher kennt mich die Cloud? Authentifizierung in Web-Umgebungen” auf der Imagine Cloud Conference 2017 bei Microsoft in München. Inhalt der Session war ein Überblick über SAML, OAuth und ADFS.

Download: mw-171128-Imagine-Cloud-Auth.pdf  mw-171128-Imagine-Cloud-Auth.pdf (2,0 MiB, 467 Downloads, letzte Änderung am 28. November 2017)

ADFS Rapid Restore Tool

von veröffentlicht am27. November 2017, 06:11 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: ADFS und SAML, Tools   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Vor einigen Wochen hat Microsoft ein Toolset veröffentlicht, mit dem sich vollständige ADFS-Konfigurationen sichern und wiederherstellen lassen. Neben Wiederherstellungs-Szenarien will Microsoft damit auch einen Ersatz für Kunden bieten, die keine volle Hochverfügbarkeit für ihre ADFS-Umgebung einrichten wollen oder können.

Das Werkzeug ist eine Erweiterung der PowerShell und wird auch über die PowerShell gesteuert. Im Backup-Modus exportiert es alle relevanten Konfigurationsparameter einschließlich der Zertifikate und deren privaten Schlüsseln. Der Restore-Modus soll es ermöglichen, eine identische Konfiguration schnell wieder einzurichten, wobei das Tool die nötigen Windows-Komponenten größtenteils mit installiert.

Den Kommentaren zur Veröffentlichung lässt sich entnehmen, dass die Software noch nicht ganz fehlerfrei ist. Wer darauf baut, sollte also alle nötigen Prozeduren gründlich testen und verifizieren, um sicherzugehen, dass keiner der Fehlerfälle vorliegt.

[AD FS Rapid Restore Tool | Microsoft Docs]
https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/ad-fs-rapid-restore-tool

© 2005-2017 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!