Logo faq-o-matic.net
Logo faq-o-matic.net

Bessere Kennwörter erzeugen und merken

von veröffentlicht am26. Juli 2017, 06:17 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Sicherheit   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Nichts wird in der IT-Sicherheit so intensiv diskutiert wie die herkömmliche Anmeldetechnik mit Benutzername und Kennwort. Alle Sicherheitsexperten sind sich “eigentlich” einig, dass Kennwörter eine völlig überholte Technik sind, die hinten und vorne nicht ausreicht, um Systeme und Daten abzusichern. Und doch gibt es bisher keine realistische Alternative, die sich flächendeckend einsetzen ließe. Alle anderen Maßnahmen wie Zertifikate, Biometrie, Einmalkennwörter usw. setzen so viel Infrastruktur voraus, dass sie nur für einzelne Systeme taugen, aber nicht für “alles”.

Vorläufig bleiben sichere Kennwörter also notwendig. Einen pfiffigen Weg, solche Kennwörter zu erzeugen, hat vor einigen Jahren ein XKCD-Comic aufgezeigt: eine Art Mittelweg zwischen Kennwörtern und Kennwortsätzen. Der Cartoon schlägt vor, ein paar zufällig gewählte Wörter aneinanderzureihen. Merken kann man sich solche Kombinationen trotzdem, denn auch unsinnige Kombinationen prägen sich durchaus ein. Das Beispiel aus dem Comic lautet “correct horse battery staple” (richtig Pferd Batterie Heftklammer).

Es gibt gleich eine ganze Reihe von Webdiensten, die dieses Prinzip in einen Kennwortgenerator umsetzen. Fast alle nutzen aber englische Wörter als Grundlage. Auf Basis eines dieser Dienste haben wir eine deutsche Fassung erzeugt: Schwester-Pelzhut-Ledersofa-Auch heißt unsere Variante, die alle 3742 Wörter aus Franz Kafkas “Verwandlung” als Wortliste verwendet. Den Dienst, der rein lokal läuft und die Kennwörter nirgends speichert, stellen wir ab sofort unter dieser Adresse bereit:

https://www.faq-o-matic.net/richtigpferd/

cim Lingen: Bald auch mit Agenda ;)

von veröffentlicht am24. Juli 2017, 06:31 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Community, Events   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

imageDie cim in Lingen (community in motion) ist seit vielen Jahren eine der schönsten IT-Konferenzen. Fachvorträge höchster Güte, eine familiäre Atmosphäre, direkter Community-Kontakt, hervorragendes Essen – all das auf professionellem Niveau und noch dazu kostenlos für die Teilnehmer. In diesem Jahr findet die cim zum dreizehnten Mal statt.

Eine besondere cim-Tradition besteht darin, dass die Agenda der Konferenz immer erst sehr spät feststeht. Wie aus dem Organisationsteam zu hören ist, wird in den nächsten Tagen aber feststehen, auf welche Sessions sich die Besucher freuen können. Klar ist wie immer: Es gibt vier parallele Tracks von morgens bis abends von hochkarätigen Sprechern.

Die cim findet in diesem Jahr am 9. September statt, und es gibt noch Plätze:

[cim lingen | community in motion – anmeldung]
http://www.cim-lingen.de/anmeldung/art_467.html

Braucht meine Webseite https?

von veröffentlicht am19. Juli 2017, 06:18 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Sicherheit, Webserver   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Der Security-Experte Troy Hunt hat eine ausführliche Antwort auf die Frage gegeben: Does my site need https? Seine Argumente finden sich unter der eingängigen Adresse

[Does my site need HTTPS?]
https://doesmysiteneedhttps.com/

Word: Etikettendruck bei angepasster normal.dotx

von veröffentlicht am17. Juli 2017, 06:51 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Word   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Microsoft Word bringt schon seit Jahren eine praktische Etiketten-Druckfunktion mit. Für viele handelsübliche Etikettenbögen sind die Formate vordefiniert, sodass man über die Menüfolge Sendungen/Etiketten einfach solche Bögen bedrucken kann.

Einen Haken gibt es dabei leider: Die Funktion setzt darauf, dass die Seiten-Grundformate der Standard-Dokumentvorlage unverändert sind. Wer mit angepassten Formaten in einer eigenen normal.dotx-Datei arbeitet, stellt dann fest, dass die Seitenränder für die Etikettenbögen nicht passen.

Eine simple, wenn auch nicht besonders schöne Abhilfe bietet eine Word-Startoption. Ruft man Word über Start/Ausführen mit folgender Kommandozeile auf, so startet es einmalig mit einer “nackten” Dokumentvorlage, in der die Etikettenbögen dann auch funktionieren:

winword /a

Ist man dann fertig, so beendet man Word und startet es normal neu. Dann arbeitet man wieder mit der eigenen, angepassten normal.dotx.

Pass-through Authentication für Office 365

von veröffentlicht am12. Juli 2017, 06:21 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Cloud, Office, Sicherheit   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Kleinere und mittelständische Office-365-Kunden haben seit Kurzem eine zusätzliche Option für die Anmeldung an die Cloud-Dienste. Für Szenarien, in denen Office 365 vorwiegend oder ausschließlich vom Firmen-Netzwerk aus verwendet wird, lässt sich eine Pass-through-Authentisierung mit den lokalen AD-Konten einrichten. Dabei muss der Anwender sich nicht noch mal separat anmelden.

Diese Funktion ist neu in den Kontenabgleich mit AADConnect integriert worden. Dadurch entfällt die Notwendigkeit, eine ADFS-Infrastruktur aufzubauen und zu unterhalten. Der Nachteil: Diese Form der Anmeldung lässt sich auch nicht mit ADFS kombinieren, es ist ein Entweder-Oder-Aufbau. Für Anwender, die remote oder vom Home Office aus auf Office 365 zugreifen wollen, ist dann zunächst eine VPN-Verbindung ins Firmennetz erforderlich.

Näheres dazu gibt es bei Microsoft und bei Frank Carius:

[Azure AD Connect: Seamless Single Sign On | Microsoft Docs]
https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-sso

[Pass-Through Authentifizierung (PTA)]
https://www.msxfaq.de/cloud/authentifizierung/passthrough_authentifizierung.htm

Multi-Cloud ADConnect

von veröffentlicht am10. Juli 2017, 06:25 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Azure Active Directory, Cloud   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Dieser Artikel erschien zuerst auf Ralfs Blog.

Hat mich einfach mal interessiert, wie man eine on-premise Domäne in mehrere Clouds verbinden kann, insbesondere sowohl in die globale Azure Cloud, als auch gleichzeitig in die Microsoft Cloud Deutschland. Also hab ich’s probiert, und hier das Ergebnis …

Wozu das Ganze?

Vorneweg vielleicht erst mal, warum man sowas tun will … Die Microsoft Cloud Deutschland kommt mit einem separierten Azure Active Directory, das bedeutet, dass Benutzer, die im AAD der globalen Azure Cloud angelegt sind (wie auch immer, also direkt oder synchronisiert), nicht im AAD der Microsoft Cloud Deutschland bekannt sind, und umgekehrt, und von daher eine Authentifizierung dieser (globalen) Benutzer an Azure Deutschland nicht möglich ist (und auch hier gilt umgekehrt das Gleiche). Daher stellt sich für viele die Frage, ob man nicht die lokalen Benutzer einfach in beide Clouds synchronisieren kann, und genau das war der Ausgangspunkt für diese Versuche.

… weiterlesen

Die Nutzung von NTLM überwinden

von veröffentlicht am5. Juli 2017, 06:09 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Sicherheit, Windows   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Schon vor einiger Zeit hat Microsoft einen Guide veröffentlicht, der sinnvolle Schritte zur Überwindung der NTLM-Authentifizierung in Windows-Netzwerken beschreibt. NTLM gilt als überholtes Protokoll, das möglichst weitgehend durch bessere Alternativen wie Kerberos ersetzt werden sollte.

Nicht immer hat der Administrator das einfach so in der Hand. Applikationen müssen damit umgehen können, und es sind einige Voraussetzungen zu treffen. Daher beschreibt der Guide aus verschiedenen Perspektiven, wie man so ein Projekt angehen kann.

[Auditing and restricting NTLM usage guide]
https://technet.microsoft.com/en-us/library/jj865674.aspx

SMB1 loswerden: Welche Produkte vielleicht Probleme machen

von veröffentlicht am3. Juli 2017, 06:47 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Dateisystem, Sicherheit, Windows   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Schon seit langer Zeit gilt die Version 1 des Windows-Dateiserverprotokolls SMB (Server Message Block) als veraltet. Die “Wannacry”-Angriffe der letzten Wochen haben gezeigt, dass das Uraltprotokoll auch ausgesprochen unsicher ist.

Höchste Zeit also, das Protokoll loszuwerden. Tatsächlich wird Microsoft in den kommenden Windows-Versionen (für Windows 10 im Herbst) das Protokoll standardmäßig abschalten. Hier und da kann das allerdings zu Problemen führen, weil manche Drittanbieterprodukte noch nicht ohne SMB1 auskommen. Der Microsoft-Mitarbeiter Ned Pyle unterhält daher eine Liste von Produkten (samt Versionsangabe), die bekanntermaßen noch SMB1 benötigen.

[SMB1 Product Clearinghouse | Storage at Microsoft]
https://blogs.technet.microsoft.com/filecab/2017/06/01/smb1-product-clearinghouse/

Sysadmin-Day 2017 in Leipzig

von veröffentlicht am28. Juni 2017, 06:10 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Community, Events   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Haiko Hertes lädt dieses Jahr zum System Administrator Appreciation Day nach Leipzig. Der mittlerweile traditionelle IT-Feiertag dient dazu, auf die Leistung von Sysadmins aufmerksam zu machen, die meist im Hintergrund geschieht.

Die Veranstaltung im Leipzig beginnt am Nachmittag mit einigen Fachvorträgen. Am Abend gibt es ein nettes Beisammensein. Näheres hier:

[Sysadminday 2017 in Leipzig – Der jährliche Feiertag aller Systemadministratoren!]
https://www.sysadminday.it/

WINS anfällig für Denial of Service – kein Patch in Sicht

von veröffentlicht am26. Juni 2017, 06:12 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Namensaufloesung, Sicherheit   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Fortinet-Forscher haben jetzt einen Codefehler im WINS-Dienst von Windows-Servern gefunden, der sich relativ leicht für Denial-of-Service-Attacken ausnutzen lässt. Damit verschärft sich die Empfehlung, den veralteten Dienst zur Namensauflösung nicht länger einzusetzen, sondern ihn durch DNS zu ersetzen. Heikel dabei: Microsoft wird das Problem nicht beheben.

WINS dient dazu, in lokalen Netzwerken Servernamen in IP-Adressen aufzulösen. Im Prinzip macht er damit fast dasselbe wie DNS – nur in einer älteren Fassung, denn WINS geht zurück auf die historische NetBIOS-Struktur früherer Microsoft-Netzwerke. Bereits seit vielen Jahren entwickelt Microsoft diesen Dienst praktisch nicht mehr weiter, die letzte wesentliche Änderung gab es in Windows Server 2003.

Viele Netzwerke nutzen WINS trotzdem immer noch, weil es (leider) noch eine ganze Reihe von Anwendungen gibt, die ohne eine NetBIOS-Namensauflösung nicht richtig funktionieren. Aufgrund der nun gefundenen Fehler ist jetzt aber die Zeit gekommen, aktiv nach anderen Lösungen Ausschau zu halten.

Der von Fortinet aufgespürte Fehler resultiert dem Vernehmen nach nur in einem Abstzurz der WINS-Dienste, wodurch die zugehörige Namensauflösung nicht mehr funktioniert. Darüber hinaus sind keine sicherheitskritischen Folgen bekannt.

Mehr dazu:

[WINS Server Remote Memory Corruption Vulnerability in Microsoft Windows Server | Fortinet Blog]
https://blog.fortinet.com/2017/06/14/wins-server-remote-memory-corruption-vulnerability-in-microsoft-windows-server

[Kein Patch für Denial-of-Service-Lücke in Windows Server | heise Security]
https://www.heise.de/security/meldung/Kein-Patch-fuer-Denial-of-Service-Luecke-in-Windows-Server-3744148.html

© 2005-2017 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!