Privilegierte Benutzer im 24/7-Modus sind ein Sicherheitsrisiko. Daher bin ich zu Gruppenmitgliedschaften auf Zeit übergegangen. Leider bietet Microsoft nichts Out-of-the-Box. Daher habe ich eine eigene Losung gebaut: Mit einer PowerShell-GUI, Just Enough Administration und Privileged Access Management.
WeiterlesenAutor: sysadm
DNS Amplification Attack vs. DNS Response Rate Limiting
Moin @all, es ist wieder mal Zeit für News. Mein Thema dieses Mal ist ein neues Feature von Windows Server 2016, mit dem DNS Amplification Attacks erschwert werden sollen: DNS Response Rate Limiting. Um die Funktionsweise zu verdeutlichen, hab ich in einem LAB einen Angriff ohne und mit RRL ausgeführt.
WeiterlesenGroup Managed Service Accounts mit einer GUI steuern: gMSA-Admin
Wer Sicherheit in seine Windows Server Automation bringen möchte, der kommt nicht um die gMSA (Group Managed Service Accounts) herum. Nur leider hat man bei MS wohl nicht an die grafischen Tools gedacht. Es bleibt also nur die PowerShell und das ist meist zu kompliziert. Daher habe ich mich mit den Befehlen etwas auseinander gesetzt und alles in eine Scriptdatei zusammengestellt, die als GUI die administrativen Aufgaben unterstützt. Dieses Script und meinen Ansatz möchte ich gerne vorstellen.
WeiterlesenShow-EncryptionAsymmetric
Ich hatte vor Kurzem die Aufgabe, ein Script zu schreiben, dass vertrauliche Informationen auslesen und im Dateisystem ablegen muss. Das Script soll im Systemkontext als geplante Aufgabe laufen. Die gespeicherten Informationen müssen geschützt abgelegt sein. NTFS-Berechtigungen und EFS-Verschlüsselung hab ich ausgeschlossen. Dann gäbe es ja noch eine symmetrische Verschlüsselung (siehe Beitrag
WeiterlesenShow-EncryptionSymmetric
Ich möchte zeigen, wie man recht einfach einen Text symmetrisch ver- und wieder entschlüsseln kann. Bei einer symmetrischen Verschlüsselung wird für beide Aktionen der gleiche Schlüssel verwendet.
WeiterlesenCredential Security – Pass The Hash & Credential Phishing
Viele Angriffsszenarien zielen darauf ab, dass Anmeldeinformationen von höheren, administrativen Accounts erbeutet werden. Dabei geht es nicht immer nur um die Benutzernamen und deren Passworte. Es reichen oftmals auch Hashwerte der Passworte, um über ein Pass-The-Hash die Identität zu übernehmen.
WeiterlesenMicrosoft Advanced Thread Analysis
Microsoft ATA soll Angriffsszenarien im Active Directory erkennen. Das wollte ich mir einmal genauer ansehen und habe einen ATA-Server in meine eigene Produktionsumgebung installiert.
WeiterlesenMigration Exchange 2013 auf 2016 mit Windows Server 2016
In meiner Infrastruktur stehen 2 Exchange Server 2013. Beide laufen auf Windows Server 2012 R2. Dazu gibt es einen WebApplicationProxy-Cluster und ein SMTP-Gateway. Nun soll im Rahmen meiner Migrationsbemühungen die Infrastruktur auf Windows Server 2016 und Exchange Server 2016 aktualisiert werden. Wie immer hab ich viele Bilder, etlichen Text und viel
WeiterlesenMigration von DPM 2012 R2 (W2012R2) nach DPM 2016 (W2016)
Meine eigene Infrastruktur möchte ich auf Windows Server 2016 migrieren. Eine wichtige Maschine ist bei mir der Datensicherungsserver. Bevor ich weitere Dienste auf 2016 verschiebe, muss die Sicherungsfähigkeit gegeben sein. Ich sichere mit Microsoft Data Protection Manager 2012 R2. Dieser läuft auf einem Windows Server 2012 R2. Mein HowTo zeigt
WeiterlesenMigration der RDS-Infrastruktur von 2012 R2 auf 2016
Meine Infrastruktur enthält 2 Windows Server 2012R2, die als Remote Desktop Server (RDS) arbeiten. Beide möchte ich im Rahmen meiner Migrationsbemühungen auf Windows Server 2016 portieren. Wie bei meinen anderen Migrationen hab ich wieder fleißig mitgesnippt und meine Arbeitsschritte als kleines pdf für euch zusammengestellt: WSHowTo – Migration RDS von
WeiterlesenHyper-Converged-Clustering mit Windows Server 2016
In diesem HowTo zeige ich, wie man mit Windows Server 2016 Datacenter (RTM) einen Hyper-Converged-Cluster aufbaut. Dieser ist gleichzeitig ein Failover-Cluster für Hyper-V und ein Storage-Space-Direct-Cluster, der das gemeinsame Datenspeichersystem (üblicherweise ein SAN) ersetzt: alle VMs liegen also hochverfügbar als Datendateien über die lokalen Festplatten verteilt, während deren WorkLoad (CPU,
WeiterlesenMigration einer ADCS von Windows 2012 nach Windows 2016
Meine erste produktive Migration auf Windows Server 2016 sollte meine eigene Windows CA sein. Diese lief bisher problemfrei unter Windows Server 2012 auf einem Server Core. Nun soll die Funktionalität auf einen Windows Server 2016 übertragen werden. Als Migrationsszenario verwende ich ein Wipe & Load. Die Migration soll unter realen
WeiterlesenShow-Diagramme
Manche Daten lassen sich am besten mit einem Diagramm auswerten. Leider hat die PowerShell nichts per Default an Bord. Daher habe ich mal eine Kombination aus 3 Funktionen geschrieben, mit denen diese Lücke gefüllt wird.
WeiterlesenWIM-Deployment mit Windows 8.1, DISM und WDS
Seit Windows 8.1 gilt ImageX als veraltet und soll durch DISM bei der Erstellung von Systemabbildern für die Verteilung mit den Windows Deployment Services (WDS) abgelöst werden. Hier kommt mein HowTo dazu. Ich zeige, wie ein Image eines Referenz-Systems erstellt wird und anschließend über einen WDS auf einen leeren Rechner
WeiterlesenZugriff aus SSMS auf eine Access-Datenbank
Von einem SQL-Server Management-Studio 2012 soll eine Tabelle einer Access-2013-Datenbank abgefragt werden. Diese liegt auf einem lokalen Laufwerk des gleichen Servers im accdb-Format vor. Ein nicht ganz unübliches Anliegen – gerade wenn die Daten aus der alten Access-DB in einen leistungsfähigeren SQL-Server portiert werden sollen. Mein HowTo zeigt den Weg
WeiterlesenSideBySide Migration von Exchange 2013 von Windows Server 2012 nach 2012 R2
Meine Exchange-Infrastruktur lief bis zum Juli 2014 mit 2 Exchange-Server 2013 auf jeweils einem virtuellen Windows Server 2012. Nun standen 2 Anforderungen zu Umsetzung an: ich wollte die Exchange Server auf das SP1 (CU4) aktualisieren die beiden Server 2012 sollten durch 2012 R2 abgelöst werde Beides musste/wollte ich im laufenden
WeiterlesenDynamic Access Control mit Windows Server 2012R2
Dynamic Access Control (DAC) ist ein neuer Datei-System-Autorisierungs-Mechanismus, der IT die Möglichkeit gibt, Zugriffsregeln zentral zu pflegen. Die Pflege wird nicht nur sehr viel einfacher sondern zugleich auch präziser. Zugriffsrechte werden abhängig von Nutzer und neu vom zugreifenden Device und der Klassifizierung der einzelnen Datei geregelt.
WeiterlesenWorkFolders mit Windows Server 2012 R2 und Windows 8.1
Bring Your Own Device (BYOD) – eine Modeerscheinung oder doch eine Möglichkeit, Mitarbeitern die Arbeit zu erleichtern. Dieser Beitrag soll nicht über Sinn oder Unsinn berichten, sondern die neue Technologie der Workfolders vorstellen und aufzeigen, wie sie implementiert werden. WSHowTo – BranchCache unter Windows Server 2012
WeiterlesenBranchCache unter Windows Server 2012
Die BranchCache-Technologie ist eine Funktion zur Optimierung und Verbesserung der Geschwindigkeit in Netzwerken. Dabei werden übertragene Inhalte auf Servern oder Clients (Workstationen) in einem Zwischenspeicher abgelegt. Die Clients greifen dann im eigenen Subnetz zuerst auf die Zwischenspeicherungen zurück. Dieses HowTo zeigt, wie BranchCache konfiguriert wird – im Hosted und Distributed
WeiterlesenWiederherstellung der Master-Datenbank
Ein SQL Server speichert seine Instanz-Konfiguration in der Master-Datenbank. Sollte diese Datenbank defekt sein wird sich dies auf den Betrieb des Servers auswirken. Die Wiederherstellung habe ich in meinem HowTo simuliert. In der Hoffnung, dass es niemand jemals brauchen wird! Die Prozedur lässt sich auch auf andere Versionen des SQL
Weiterlesen