Der Sicherheitsexperte @subTee hat herausgefunden, wie man AppLocker mit einem einfachen Trick umgehen kann. Dadurch wird der Schutz vor “bösen” Applikationen in einigen Situationen wirkungslos.

Die Ursache liegt in dem Konstruktionsprinzip von AppLocker, das bestimmte Systemkomponenten niemals einschränkt. Dazu zählt auch regsvr32.exe – dieses Programm nutzt man normalerweise, um DLLs und andere Komponenten im System zu registrieren. Das Programm hat die wenig bekannte Eigenschaft, dass es nahezu beliebige Pfade zu den Komponenten akzeptiert – und dass es diese bei bestimmten Aufrufen einmal komplett ausführt. Das Ganze funktioniert auch mit Skripten aus dem Internet – und als normaler Benutzer ohne Adminrechte …

[subTee: Bypass Application Whitelisting Script Protections – Regsvr32.exe & COM Scriptlets (.sct files)]
http://subt0x10.blogspot.de/2016/04/bypass-application-whitelisting-script.html

Als geplagter Admin muss man oft Rechner neu starten. Meist macht man das remote über eine RDP-Sitzung oder über einen Steuerbefehl. Danach beginnt das Ratespiel: Ist der Neustart schon abgeschlossen?

Eine einfache Möglichkeit, das zu überwachen, besteht in einem “Dauerping”: Mit ping -t fragt man den Zielrechner dauerhaft an. Vor dem Neustart antwortet er, während des Bootvorgangs kommt keine Antwort, und ist der Start abgeschlossen, kommt wieder eine Antwort zurück. Das reicht in den meisten Fällen völlig aus.

Der Nachteil der Methode: Schaut man nicht dauernd auf das Shell-Fenster mit den Ping-Ergebnissen, dann übersieht man den Statuswechsel leicht. Nach einiger Zeit ist der Abschnitt ohne Antwort nach oben aus dem Fenster gerollt. So kann man nicht einschätzen, ob der Rechner den Neustart noch gar nicht begonnen hat oder ob er schon längst fertig ist.

Für solche Zwecke habe ich mir ein kleines Skript gebaut, das den Vorgang etwas pfiffiger handhabt. Es pingt den Zielrechner ebenfalls an, stellt den Statuswechsel von “antwortet” zu “antwortet nicht” und umgekehrt aber deutlich und mit Zeitstempel dar.

Auf diese Weise lässt sich der Vorgang recht simpel überwachen. Die Syntax ist sehr einfach:

Get-PingStatusChange.bat <Zielrechner>

dabei ist <Zielrechner> der Kurzname, der volle DNS-Name oder auch die IP-Adresse des Computers, um den es geht. Möchte man die Überwachung beenden, so drückt man Strg-C und bestätigt den Abbruch. Wer will, setzt danach die Farbe des Shellfensters mit dem Kommando color auf den Normalzustand zurück.

Wer mehrere Rechner parallel auf diese Weise überprüfen möchte, kann das Skript in mehreren Instanzen mit einem Fenster pro Computer starten. Dazu eignet sich folgender Aufruf:

start /separate Get-PingStatusChange.bat <Zielrechner1>
start /separate Get-PingStatusChange.bat <Zielrechner2>
start /separate Get-PingStatusChange.bat <Zielrechner3>
start /separate Get-PingStatusChange.bat <Zielrechner4>

Als simple Lösung ist das durchaus praktikabel.

  Get-PingStatusChange.bat (809 bytes, 1.695-mal heruntergeladen, letzte Änderung am 20. Juni 2016)

Die Community-Konferenz cim (Community in Motion) in Lingen hat nicht nur eine schicke neue Webseite, sondern sie hat auch die Anmeldung für 2016 geöffnet. Die cim 2016 ist am 27. August 2016 wie immer kostenlos in Lingen.

[cim lingen | community in motion – anmeldung]
http://www.cim-lingen.de/anmeldung/art_366.html

In einer Foren-Diskussion trat neulich ein Fehler in dem Sysinternals-Programm adrestore.exe zutage. Dieses ältere Programm erlaubt es, gelöschte AD-Objekte (sogenannte “Tombstones”) wiederherzustellen. Auch wenn das Tool schon ziemlich alt ist, funktioniert es prinzipiell auch auf modernen Domänencontrollern und arbeitet auch mit dem AD-Papierkorb zusammen.

adrestore.exe setzt voraus, dass der Container bzw. die OU, aus der ein Objekt gelöscht wurde, beim Restore noch vorhanden ist. Es arbeitet nämlich recht simpel und legt das restaurierte Objekt in dem Pfad ab, der unter “lastKnownParent” in dem Tombstone gespeichert ist. Existiert dieser Pfad nicht mehr, dann erfolgt kein Recovery. Das Dumme aber: adrestore.exe behauptet in diesem Fall trotzdem, dass der Vorgang erfolgreich war.

Einige andere Programme zum Wiederbeleben gelöschter Objekte arbeiten hier besser und prüfen den Erfolg tatsächlich. Dabei ist es bei manchen auch möglich, statt der Original-OU eine andere anzugeben. Dazu zählt das Actice Directory Administrative Center (ADAC), das seit Windows Server 2012 verfügbar ist.

… weiterlesen

Bei der Installation eines Domänencontrollers für Active Directory muss man ein Recovery-Kennwort angeben. Dieses dient dazu, den DC im Notfall ohne Active Directory starten und sich trotzdem anmelden zu können. Zu diesem Zweck wird dieses Kennwort lokal gespeichert, es hat nichts mit einem AD-Konto zu tun.

Das bedeutet natürlich auch, dass jeder DC sein eigenes Recovery-Kennwort hat (bzw. haben sollte). Dies wiederum heißt, dass man das Kennwort gut und sicher dokumentieren sollte.

Ein wenig bekanntes Feature erlaubt es, dieses Kennwort zentral über das AD zu verwalten, solange die Domäne und die DCs ordnungsgemäß laufen. Die Funktion erlaubt die Angabe eines Kontos als “Vorlage”, dessen Kennwort dann auf das Recovery-Konto übertragen wird.

Der folgende Artikel beschreibt das Verfahren.

[DS Restore Mode Password Maintenance | Ask the Directory Services Team]
https://blogs.technet.microsoft.com/askds/2009/03/11/ds-restore-mode-password-maintenance/

Wir haben die neue Version 3.10 unseres AD-Dokuwerkzeugs José freigegeben. Folgendes ist neu:

• Exchange-Schema 2016 CU1
• AD-Schema WS 2016 TP5
• erkennt das Optional Feature „Privileged Access Management“
• Korrekturen bei den Pfad-Verweisen in der HTML-Datei (jetzt kann man den Reports-Ordner wirklich woanders hin kopieren)

Wie immer findet José sich hier:

http://faq-o-matic.net/jose/

Die englische Fassung ist unter folgendem Link erhältlich:

http://faq-o-matic.net/jose-en/

Microsoft hat die Videos der Community-Konferenz Cloud & Datacenter Conference Germany 2016 auf Channel 9 bereitgestellt. Man kann sie sich dort kostenlos ansehen.

[Cloud & Datacenter Conference Germany 2016 | Channel 9]
https://channel9.msdn.com/Events/community-germany/Cloud–Datacenter-Conference-Germany-2016

Dieser Beitrag erschien zuerst auf Kohns|tech|blog.

Um den Überblick zu behalten, empfehle ich grundsätzlich, in einer verwalteten Windows-Umgebung alle Server mit BGInfo auszustatten. Es gibt viele Wege dies zu bewerkstelligen, u.a. auch über Gruppenrichtlinie, manchmal wünscht man aber auch eine manuelle Aktivierung auf einem Server. Hierfür habe ich mir ein kleines PowerShell-Skript geschrieben, welches ich euch nicht vorenthalten möchte.

… weiterlesen

In einem etwas älteren Artikel beschreibt der Hyper-V-Experte Eric Siron sieben wichtige Hinweise zur Sicherheit für Hyper-V.

[7 Keys to Hyper-V Security – Hyper-V Security Best Practices]
http://www.altaro.com/hyper-v/7-keys-to-hyper-v-security/

Mit Windows Server 2016 erfüllt Hyper-V endlich einen lang gehegten Wunsch vieler Virtualisierungs-Admins: Künftig wird Hyper-V die “Nested Virtualization” beherrschen. Damit ist es möglich, einen Virtualisierungs-Host selbst als VM einzurichten, sodass eine VM in einer VM auf einem Host laufen kann. VMwares Produkte können dies schon seit vielen Jahren.

Bislang hatte Microsoft sich geweigert, dieses Feature zu implementieren, weil es dafür eigentlich keinen “ernnsthaften” Nutzen gibt (bzw. gab). Eine VM in einer VM wird nie besonders schnell laufen, und auch die Stabilität kann durchaus eingeschränkt sein. Wer diese Funktion haben wollte, hatte meistens auch Test- oder Demo-Systeme im Sinn.

Durch die neue Container-Technik in Windows Server 2016 ändert sich das Spiel. Ein Mehrwert, den Microsoft dieser Technik hinzufügt, sind besonders isolierte Container, die ihrerseits als Rumpf-VMs in Hyper-V laufen. Damit dies auch in Hosting- und Cloud-Szenarien sinnvoll skalierbar wird, sollten dabei die Container-Hosts ihrerseits auch als virtuelle Maschinen laufen können. Also: Nested Virtualization.

Offiziell wird das natürlich nur für Hyper-V unterstützt werden, vielleicht sogar ausschließlich für Hyper-V-Container. Doch die Technik ist da, und sie funktioniert auch recht umfassend. So war es nur eine Frage der Zeit, bis jemand probiert, einen vSphere-Host als VM unter Hyper-V zu betreiben.

Und das ist auch geschehen. Der folgende Artikel beschreibt, wie es im aktuellen Stand der Technik funktionieren kann.

[Install a VMWare ESXi 6.0 Hypervisor in a Hyper-V VM | PowerShell, Programming and DevOps]
https://dscottraynsford.wordpress.com/2016/04/22/install-a-vmware-esxi-6-0-hypervisor-in-a-hyper-v-vm/