Zum Zugriff auf Dateien und Ordner über das Netzwerk bietet Windows schon seit der ersten Version von Windows NT vor mehr als zwanzig Jahren gleich zwei Berechtigungssysteme. Das eine arbeitet auf der Ebene des Dateisystems, die Datei- und Ordnerberechtigungen (oft auch als NTFS-Berechtigungen bezeichnet). Das andere setzt die Mechanismen des SMB-Protokolls ein und funktioniert nur […]

Die Benutzerkontensteuerung (User Account Control, UAC) sorgt seit Windows Vista und Windows Server 2008 für ein erhöhtes Sicherheitsniveau in einigen Standardsituationen. Dies erreicht sie, indem sie auch lokale Administratoren eines Windows-Systems so einschränkt, dass sie im Normalfall nur über Benutzer-Berechtigungen verfügen. Einige Hintergründe haben wir schon vor einigen Jahren in unserem Standard-Artikel beschrieben: [Benutzerkontensteuerung (UAC) […]

Dieser Artikel erschien zuerst bei der Consulting Lounge. Verschlüsselung ist die wichtigste Methode, in der Internetkommunikation für Vertraulichkeit und für Sicherheit zu sorgen. Es lassen sich damit nicht nur Inhalte gegen unerwünschtes Mitlesen schützen, sondern man kann mit kryptographischen Funktionen auch digitale Identitäten nachweisen. So ist es einem Anwender möglich zu überprüfen, dass er wirklich […]

Es ist unter Admins wenig bekannt, dass auch in einem Active Directory modernster Bauweise noch die alten simplen Admin-Kommandos aus den Zeiten von Windows NT funktionieren. Hier ein Beispiel. Die Konten-Einstellungen der Domäne erhält man in einem CMD-Fenster mit dem Kommando net accounts /domain Dazu sind übrigens nicht einmal Adminrechte notwendig, das darf jeder Benutzer […]

Dieser Artikel erschien zuerst auf Kais Blog tempdir.de. Die Anzahl gefährlicher Sicherheitsücken im Flash Player zwingt Hersteller Adobe immer wieder, selbst zwischen den festgelegten Patchdays, Korrekturen für den Flashplayer zu veröffentlichen. Um diese schnellstmöglichst weitgehend automatisiert auszurollen, nutz(t)e ich für die Updates auf den Rechnern im Unternehmen die Funktion des Flash Players, einen internen Webserver […]

Die Ausgangssituation zu diesem Problem war, dass bei einer Benutzerin in der Personalabteilung sich das Benutzerkonto permanent sperrte. Ein aktiviertes Server-Auditing zeigte eindeutig, dass es ihr primärer Rechner war, von dem die Sperrung kam. Mittels der ALTools.exe (aus den Account Lockout and Management Tool Suite von Microsoft) konnten der Zeitpunkt der Sperrung und der Auslöser […]

Beim Erzeugen von Benutzerkonten in Active Directory mit einem Skript passiert es manchmal, dass dort die Option “Kennwort nicht erforderlich” aktiviert ist. Das passiert meist versehentlich, wenn ein Skript die nötigen Konten-Attribute im Feld userAccountControl nicht richtig setzt. Dort muss das sechsthöchste Bit gesetzt sein, das den Dezimalwert 32 repräsentiert. Mit zwei Skripten lassen sich […]

Wer kennt das nicht? Einfach per Gruppenrichtlinien das Kennwort des lokalen Administrators ändern oder Tasks mit Nutzer anlegen usw. usf. Seit Windows Server 2008 konnte man mit der Software von Policymaker aus der DesktopStandard-Übernahme viele Aufgaben mittels GPO konfigurieren. Der Nachteil daran war, dass die verwendeten Kennworte zwar verschlüsselt im SYSVOL-Verzeichnis abgelegt waren, allerdings muss […]

Vor einigen Tagen haben wir in einem Blog-Artikel auf einige Sicherheitsprobleme im Zusammenhang mit “WiFi-Sense” (zu deutsch: WLAN-Optimierung) in Windows 10 hingewiesen. Nun hat Microsoft einen Artikel veröffentlicht, der beschreibt, wie man die Funktion in einem Unternehmensnetzwerk zentral abschalten kann: [How to configure Wi-Fi Sense on Windows 10 in an enterprise]https://support.microsoft.com/en-us/kb/3085719 Aus diesem Artikel wird […]

Dieser Artikel erschien zuerst auf Ralfs Blog. Der SPN, oder ausgeschrieben “Service Principal Name”, ist essentiell für Kerberos Authentifizierungen unter Windows notwendig. Die Profis mögen mir eine stellenweise drastische Vereinfachung in der kommenden Beschreibung verzeihen, mir geht es um das Verständnis… Meldet sich ein Benutzer an einer Domäne an, dann bekommt er (wenn er sich […]