Microsoft hat gestern Abend ein Out-of-Band Update für CVE-2021-34527 (PrintNightmare) veröffentlicht. Das Update wird bereits per Microsoft Update und WSUS angeboten, allerdings noch nicht für alle betroffenen Windows-Versionen. Nach der Installation des Updates steht eine neue Policy zur Verfügung, welche sinnvollerweise dann auch „grundsätzlich“ aktiviert werden sollte. Infos dazu hier: https://support.microsoft.com/de-de/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7 Da Microsoft es offenbar […]

Cisco Meraki bietet die Möglichkeit, Administratoren mittels SAML-Authentifizierung (Security Assertion Markup Language) anzumelden. Hierzu besteht seitens Cisco in der Tenant-Konfiguration die Möglichkeit, entsprechende Administratoren-Rollen zu definieren. Die von Cisco bereitgestellten Dokumentationen für die Konfiguration mit ADFS (Active Directory Federation Services) bieten leider nur eine sehr rudimentäre Umsetzung, da im dortigen Beispiel nur eine einzige SAML […]

… bei Fehlern wird man dann schon förmlicher und siezt wieder. 😉

Wenn tiefere Einblicke in den Netzwerktraffic benötigt werden, kommt regelmäßig das Tool Wireshark zum Einsatz. Das ist quasi das Schweizer Taschenmesser für diese Zwecke. Allerdings gibt es auch immer wieder Netzwerke, bei denen man keine Zusatztools auf sensitiven Systemen installieren will oder darf oder die Einrichtung eines Mirrorports nicht so schnell möglich ist. In solchen […]

Manchmal fragt man sich, was sich Microsoft bei manchen Übersetzungen so denkt. Ist zwar korrekt, aber ob man das in der Form wirklich in Server 2019 übernehmen sollte?

Anmeldedaten im Klartext zu übermitteln ist eine schlechte Idee. Das trifft sowohl für externe wie auch für interne Netzwerke zu. Niemand sollte heutzutage davon ausgehen, dass ein Lokales Netzwerk sicher ist, nur weil es lokal ist. Die meisten Emailprovider haben inzwischen die Übermittlung der Anmeldedaten über ungeschützte Protokolle wie POP3, IMAP4 und SMTP unterbunden und […]

Seit vielen Jahren bietet das Standard-AD-Tool “Active Directory-Benutzer und -Computer” eine Option, wichtige Container vor versehentlichem Löschen zu schützen: [“Objekt vor zufälligem Löschen schützen” per Skript setzen | faq-o-matic.net] https://www.faq-o-matic.net/2010/05/21/objekt-vor-zuflligem-lschen-schtzen-per-skript-setzen/ In einem Projekt habe ich festgestellt, dass sich dies nun auch per PowerShell recht simpel erreichen lässt: Get-ADOrganizationalUnit -SearchBase ’name -like OU=MeineOU‘ | Set-ADObject -ProtectedfromaccidentialDeletion […]

Im Rahmen einer Überprüfung einer Serververöffentlichung mittels des Qualys SSL Server Test ist dem einen oder anderen vielleicht schon der Punkt CAA Record aufgefallen. Mittels des weiterführenden Links können weitere Infos über diesen neuen Resource Record abgerufen werden. Wer es ganz genau wissen will, kann sich das entsprechende RFC 6844 durchlesen (https://tools.ietf.org/rfc/rfc6844.txt). Eine deutschsprachige gut […]

Nach den diesjährigen Angriffen auf Netzwerke durch Verschlüsselungstrojaner wie WannaCry oder NotPetya sollte man die Gelegenheit nutzen und das durch die Sicherheitslücke EternalBlue betroffene Protokoll SMBv1 netzwerkweit deaktivieren bzw. deinstallieren. Seit Windows Vista (erschienen Januar 2007) nutzt jede Windows Version mindestens auch das Protokoll SMBv2 oder neuer. Nur Windows XP oder Windows Server 2003 können […]

Wer kennt das nicht? Einfach per Gruppenrichtlinien das Kennwort des lokalen Administrators ändern oder Tasks mit Nutzer anlegen usw. usf. Seit Windows Server 2008 konnte man mit der Software von Policymaker aus der DesktopStandard-Übernahme viele Aufgaben mittels GPO konfigurieren. Der Nachteil daran war, dass die verwendeten Kennworte zwar verschlüsselt im SYSVOL-Verzeichnis abgelegt waren, allerdings muss […]