Die Community-Konferenz \\ice:2008 in Lingen (30. August 2008) ist in Kürze ausgebucht. Wer noch teilnehmen will, sollte sich schnell anmelden! Laut Organisator Nicki Wruck ist die 200er-Marke schon deutlich überschritten – und bei 250 ist Schluss!
Aktuellen Meldungen zufolge (z.B. bei heise.de) gibt es ein grundlegendes Design-Problem im DNS-Serverdienst, das ein hohes Sicherheitsrisiko birg. Durch dieses Problem ist es Angreifern offenbar wesentlich leichter möglich als bislang angenommen, DNS-Anfragen umzuleiten und so völlig unbemerkt Benutzer und Dienste auf falsche Server umzuleiten.
Die Informationen, wie das Problem sich ausnützen lässt, sollen erst bei der nächsten Blackhat-Konferenz im August bekannt gegeben werden. Da alle wichtigen Hersteller aber bereits vorab informiert wurden, haben sie bereits gestern Patches für ihre jeweiligen DNS-Server bereitgestellt – in einer bislang einmaligen konzertierten Aktion.
Da das Problem riesige Ausmaße haben könnte und auch unternehmensinterne DNS-Server betrifft, sollte dieser Patch umgehend eingespielt werden. Mehr dazu im heise.de-Artikel:
MItglieder einer Gruppe werden in Active Directory an zwei Stellen hinterlegt. Die maßgebliche Stelle, die aktiv geändert wird, wenn man Mitglieder einer Gruppe hinzufügt oder sie löscht, ist das „member“-Attribut des Gruppenobjekts. Es ist mehrwertig und nimmt den DN (distinguishedName, gewissermaßen der „LDAP-Objektpfad“) des Mitglieds auf. Zusätzlich gibt es aber bei allen Mitgliedern auch das „memberOf“-Attribut, in dem hinterlegt ist, in welchen Gruppen das jeweilige Objekt Mitglied ist. Hierbei handelt es sich aber nur um einen sekundären Verweis – das Feld wird von Active Directory aktualisiert, wenn man die Mitglieder einer Gruppe ändert. Der Nutzen: Auf diese Weise kann man direkt beim Objekt nachschlagen, in welchen Gruppen es Mitglied ist, ohne dass man die Gruppen selbst abfragen muss.
Diesen Umstand kann man sich zunutze machen, wenn man zusätzliche Informationen über alle Mitglieder einer bestimmten Gruppe benötigt. Hilfreich ist hierbei ein Client, der benutzerdefinierte Suchabfragen an Active Directory stellen kann, z.B. mein Tool Carmen.
Active Directory ist in vielen Unternehmen die zentrale Adressdatenbank für alle Mitarbeiterinnen und Mitarbeiter – vor allem, wenn Exchange eingesetzt wird. Dadurch tritt aber schnell ein Rollenkonflikt auf: Änderungsrechte im AD hat meist nur die IT-Abteilung. Die Pflege der internen Adressdaten ist aber in den meisten Firmen eigentlich eine Aufgabe der Personalabteilung oder des Sekretariats.
Kein Problem – schließlich kennt Active Directory ein sehr umfassendes Berechtigungskonzept. Schnell den zuständigen Mitarbeitern die nötigen Rechte gegeben, und schon ist der Admin die lästige Adresspflege los.
Kein Problem? Doch. Denn ganz so einfach ist es meist nicht. Zunächst einmal müssen die nötigen Berechtigungen überhaupt identifiziert werden. Dann muss man sie zuweisen. Und schließlich benötigt die Personalabteilung, das Sekretariat oder wer eben zuständig sein soll, eine passende Eingabemöglichkeit zur Pflege der Daten. Gut, also frisch ans Werk!
Seit Windows 2000 enthalten alle Windows-Versionen (mit Ausnahme der Home Editions) das Verschlüsselnde Dateisystem EFS (Encrypting File System). Mitgeliefert wird das Dienstprogramm cipher.exe, das einige EFS-Einstellungen und -Aktionen per Kommendozeile steuerbar macht. Dieses unscheinbare Progrämmchen hat eine wenig bekannte Funktion, die gar nichts mit Verschlüsselung zu tun hat: Sicheres Löschen von Daten durch Überschreiben (auch „Wiping“ genannt). Diese Funktion wurde bereits mit einem Update Ende 2001 eingeführt und ist seither dabei.
So geht’s:
Seit seiner ersten Veröffentlichung mit Windows 2000 enthält Active Directory (AD) ein Feature, das viele Suchanfragen nach Benutzern oder anderen Objekten deutlich erleichtert: die „Ambiguous Name Resolution (ANR)“ oder „Mehrdeutige Namensauflösung“. Durch diese Funktion nimmt Active Directory eine Suchanfrage entgegen und führt diese gleich über mehrere Felder aus. Das ist insbesondere deshalb praktisch, weil AD über sehr viele Namensfelder verfügt, in denen sich Informationen verbergen können. Solche feldübergreifenden Suchen müssen dann nicht mehr umständlich durch den Client ausgeführt werden (was dann auch in vielen Anfragen an den Server resultieren würde), sondern werden gleich effizient vom Server bearbeitet und beantwortet. Mit ANR übergibt man eine Zeichenkette, die am Anfang des gesuchten Feldinhalts steht (z.B. findet „Schwein“ auch „Schweinsteiger“, aber nicht „Wildschwein“). Die Felder, die durch ANR berücksichtigt werden, beinhalten den Vor-, Nach- und Anzeigenamen, den Anmeldenamen, die Mailadresse und einige andere (siehe Link am Ende des Artikels).
Als ich heute ins Büro kam, staunte ich doch nicht schlecht: Ein Fachverlag aus dem Süddeutschen hat endlich herausgefunden, was für einen Job ich tatsächlich mache. Nun sind mir einige Dinge plötzlich viel klarer, die sich in den letzten Jahren ereignet haben. Seht selbst:
Die Information ist nicht mehr ganz taufrisch, aber sie hat sich noch längst nicht rumgesprochen: Wer einen Windows-Rechner per RDP mit Updates versorgt, sollte dies immer über die RDP-Konsolensitzung tun. Anderenfalls kann es passieren, dass der Neustart der Maschine nicht funktioniert. Also: Die RDP-Sitzung zum Patchen mit „-console“ (älterer RDP-Client) bzw. „-admin“ (neuerer RDP-Client ab 6.1; mitgeliefert bei Vista und Windows Server 2008) aufrufen.
Warum das so ist, erläutern zwei Artikel sehr schön:
[TechNet Team Blog Austria : Hotfix Installationen, Remote Desktop, Reboot – und keine Verbindung mehr]
http://blogs.technet.com/austria/archive/2008/06/09/hotfix-installationen-remote-desktop-reboot-und-keine-verbindung-mehr.aspx
[Ask the Performance Team : Hotfix Installs, Remote Desktop and the Reboot that wasn’t …]
http://blogs.technet.com/askperf/archive/2008/03/18/hotfix-installs-remote-desktop-and-the-reboot-that-wasn-t.aspx
Zugegeben, es ist ein etwas exotischer Fall. Trotzdem wird der eine oder andere vielleicht wie ich darüber stolpern: Windows Vista verhält sich bei der Datenbankansprache an einigen Stellen etwas anders als seine Vorgänger. Im konkreten Fall hatte ich ein Skript entwickelt, das zwei CSV-Dateien (Textdateien mit Datenfeldern, die per Komma getrennt sind) per ADO (ActiveX Data Objects) zusammenführen sollte. Unter Vista lief alles problemlos. Unter XP lief dasselbe Skript gar nicht.
Am letzten Freitag im Juli ist der „Sysadmin Appreciation Day“ – der Tag, an dem alle IT-Benutzer die Arbeit ihrer System- und Netzwerkbetreuer würdigen (sollen). Im letzten Jahr hat Microsoft diesen Tag mit einer kleinen, aber feinen Party begangen, zu der etwa 250 Admins aus ganz Deutschland eingeladen waren. Der Erfolg war groß, und daher findet der „SysAdmin Day“ auch dieses Jahr statt: Am 25. Juli ab 15 Uhr in München. Neben zahlreichen Freizeitspäßen gibt es auch einiges Inhaltliche, und es werden auch viele Community-Mitglieder dort sein und Fragen beantworten.
Die Teilnahme ist kostenlos, aber nicht unbegrenzt: Aus allen Bewerbungen werden die tatsächlichen Teilnehmer durch die Veranstalter ausgelost und benachrichtigt. Wer Lust hat, teilzunehmen, kann sich bei Microsoft bewerben. Na dann: Mach mal blau!
Kategorie: 
Translate EN