Bei der Cloud & Datacenter Conference Germany 2018 in Hanau haben Robin Beismann und Nils Kaczenski eine Session zur Sicherheit von Active-Directory-Umgebungen gehalten. Der Vortrag unter dem Titel “In roten und goldenen Wäldern” sorgte für volles Haus: Mehr als 80 Teilnehmer entschieden sich für die Session, die zeitgleich mit vier anderen Vorträgen am Dienstag, 15. Mai 2018, stattfand.

Nils Kaczenski (links) und Robin Beismann (rechts) bei ihrem Vortrag auf der CDC Germany

Im Mittelpunkt der Session standen erweiterte Angriffe auf Active-Directory-Domänen, in denen Angreifer mit Techniken wie “Pass the Hash” und “Golden Ticket” die Kontrolle über das Netzwerk übernehmen. Besonders problematisch bei solchen Angriffen ist, dass ein “Golden Ticket” dem Angreifer dauerhaft volle Rechte in der Infrastruktur verleiht – ohne dass die Administratoren eine Chance haben, dies auch nur zu bemerken. In einer Live-Hacking-Demo zeigte Robin Beismann den schockierten Teilnehmern, wie leicht solch ein Angriff in üblichen Umgebungen ist.

Die Folien des Vortrags mit ergänzenden Notizen finden sich auf der folgenden Webseite zum Download. Ebenfalls enthalten ist eine Anleitung für das Live-Hacking mit Mimikatz, wie Robin Beismann es gezeigt hat – Nachmachen natürlich auf eigene Gefahr und nur in Demo-Umgebungen:

https://blog.michael-wessel.de/2018/05/17/cdc-germany-in-roten-und-goldenen-wldern/

Mit Version 52 hatte Google die Tastatur-Shortcuts in Chrome so geändert, dass man nicht mehr mit der Löschen-Taste (Backspace) auf die vorher angezeigte Seite zurück wechseln kann. Stattdessen gilt dafür der Shortcut Alt-Links. Damit unterscheidet sich Chrome von einigen anderen wichtigen Browsern.

Gründe gibt es dafür: So beschweren sich Anwender bisweilen, dass sie versehentlich auf die vorherige Seite zurück navigieren, nur weil sie auf Löschen gedrückt haben. Genauso sind einige Anwender aber auch mit der neuen Tastaturfunktion unzufrieden.

Google bietet daher seit einiger Zeit eine Chrome-Erweiterung an, mit der die Löschen-Taste wieder wie bei anderen Browsern funktioniert:

[Chrome Web Store: Go Back with Backspace]
https://chrome.google.com/webstore/detail/go-back-with-backspace/eekailopagacbcdloonjhbiecobagjci

In der Community gibt es einige Hinweise, dass seit Kurzem in Hyper-V unter Windows Server 2016 die Live Migration fehlschlagen kann. In den meisten dieser Fälle sind offenbar die Patches für die Spectre- und Meltdown-Probleme die Ursache. Wenn nicht alle Hosts dieselben Konfigurationen haben, verweigert Hyper-V die Live Migration.

Microsoft hat ein umfangreiches Whitepaper veröffentlicht, das den Umgang mit den Patches in Serverumgebungen beschreibt. Dort sind auch die Voraussetzungen für die Live Migration in Hyper-V genau beschrieben.

[Protecting guest virtual machines from CVE-2017-5715 (branch target injection) | Microsoft Docs]
https://docs.microsoft.com/en-us/virtualization/hyper-v-on-windows/CVE-2017-5715-and-hyper-v-vms

Schon seit vielen Jahren gibt es über die GPMC (Group Policy Management Console) die Möglichkeit, Berichte über Gruppenrichtlinien und ihre einzelnen Einstellungen zu erzeugen. Erledigte man dies früher mit den GPMC-Skripten auf VBScript-Basis, ist diese Funktion mit Windows Server 2008 in die PowerShell gewandert.

Für kleine Umgebungen kann die integrierte Option interessant sein, alle Gruppenrichtlinien in einen einzelnen Bericht zu exportieren:

Get-GPOReport -All -Domain "sales.contoso.com" -ReportType HTML -Path "C:\GPOReports\GPOReportsAll.html"

Das kommt in größeren Netzwerken schnell an eine Grenze, denn der Report kann -zig Megabytes groß werden, was kaum noch handhabbar ist. In solchen Fällen behilft man sich am besten mit Einzelreports. Ein recht einfaches Piping zweier PowerShell-Kommandos hilft hier weiter:

Get-GPO -all | % { Get-GPOReport -GUID $_.id -ReportType HTML -Path "C:\GPOReports\$($_.displayName).html" }

Um parallel noch eine Übersicht zu erhalten, welches GPO an welchen Container gebunden ist, eignet sich ein kleiner Report mit José. Dazu öffnet man ein CMD-Fenster, wechselt in das José-Verzeichnis und ruft dort Folgendes auf:

cscript //nologo //u JoseExec.vbs /d:!Gruppenrichtlinien.txt /r:Gruppenrichtlinien.html

Der José-Report findet sich dann im Unterordner “Reports”.

Wir haben unsere Liste der AD-Schema-Objekte aktualisiert. Die neue Fassung ergänzt folgende Produkte bzw. Versionen:

• Windows Server 2019 Insider Preview Build 17623
• Exchange Server 2016 CU7
• Services for Unix 3.0

Die Liste findet sich unter folgendem dauerhaft gültigen Link:

https://faq-o-matic.net/ad-schema-list

Die Organisatoren der Cloud & Datacenter Conference Germany haben die Agenda der diesjährigen Konferenz veröffentlicht. Das hochklassige Event findet statt am 15. und 16. Mai 2018 in Hanau.

Das Setup verspricht eine Veranstaltung der Extraklasse: Über 60 Sessions und fast 40 internationale Speaker sorgen für Techie-Unterhaltung auf höchstem Niveau. Das Who’s Who der IT-Community gibt sich ein Stelldichein, die Dichte an MVPs und Microsoft-Mitarbeitern ist so hoch wie auf kaum einer anderen Konferenz.

Alles Weitere und die Tickets gibt es hier:

https://www.cdc-germany.de/

Problem:

Mitarbeiter hatten die Anforderungen, selber Verteilerlisten mit externen Projektpartnern zu verwalten. Eine Exchange-Verteilerliste zu verwalten, ist eigentlich keine große Aufgabe. Die Probleme fangen an, sobald externe Adressen benötigt werden in der Verteilerliste. Dazu ist jeweils ein AD-Objekt notwendig, das als Kontakt angelegt worden ist.

Ich habe mir diverse Lösungen angeschaut, dies über RSAT zu machen. Die waren mir aber zu unflexibel, da auf jedem Rechner erst mal RSAT installiert werden muss.

Meine Lösung ist über die Exchange-Rollen zu realisieren. Das Pflegen geht über die ECP-Konsole des Exchange-Servers. Die Kontakte werden in eine eigene OU gepackt und von den jeweiligen Mitarbeitern selber verwaltet. Das Ganze hat diverse Stunden gedauert: Wie diese Rollen ticken und welche Kommandos notwendig sind, dazu gibt es wenige Beispiele. Was ich selber nicht hin bekommen habe, war, den „write scope“ so zu setzen, dass der Anwender nicht immer die OU auswählen muss. Wer hier eine Lösung hat, darf sie mir gerne mitteilen. … weiterlesen

Im Current Branch des System Center Configuration Managers gibt es seit einiger Zeit das Pre-Release Feature Scripts. Hiermit ist es möglich z.B. ein Powershell Script auf den Members einer Collection auszuführen. Da ich die Tage einen konkreten Einsatzfall hatte war es höchste Zeit, das mal auszuprobieren.

Mein Vorhaben war die Replikationsfrequenz aller VMs auf den verteilten Hyper-V Servern zu ändern. Das Feature hatte ich im Servicing bereits aktiviert, also konnte es direkt losgehen. … weiterlesen

Dieser Artikel ist der dritte und letzte Teil einer dreiteiligen Serie. Der vorherige Teil der Serie ist hier zu finden.

In diesem Teil wird aus der erstellten VM ein System Center Virtual Machine Manager Template erzeugt.

… weiterlesen

Dieser Artikel ist der zweite Teil einer dreiteiligen Serie. Der vorherige Teil der Serie ist hier zu finden.

In diesem Teil wird ein Deployment Script erarbeitet und eingerichtet, welches den eigentlichen Domain Join und die dynamische DNS Aktualisierung übernimmt.

… weiterlesen