WS IT-Solutions

Serie „Migration zu Windows Server 2019“ – Vorbereitungen

Dieser Eintrag gehört zu meiner Serie „Migration zu Windows Server 2019„. In dieser möchte ich euch die Aktualisierung meiner Server-Infrastruktur von 2012R2/2016 auf 2019 dokumentieren. Es ist eine lebendige Welt von Systemen, die mir wichtig sind. Mit realen Anforderungen und Bedingungen werde ich alle Arbeitsschritte erläutern. In diesem Abschnitt geht es um die Vorarbeiten vor dem ersten Windows Server 2019 – speziell um die GPOs

Serie „Migration auf Windows Server 2019“ – Einleitung

Dieser Eintrag gehört zu meiner Serie „Migration zu Windows Server 2019„. In dieser möchte ich euch die Aktualisierung meiner Server-Infrastruktur von 2012R2/2016 auf 2019 dokumentieren. Es ist eine lebendige Welt von Systemen, die mir wichtig sind. Mit realen Anforderungen und Bedingungen werde ich alle Arbeitsschritte erläutern. In diesem Abschnitt möchte ich das Projekt und meine Anforderungen beschreiben. Einleitung Kurzbeschreibung des Projektes Alle Server der Infrastruktur

Serie „Migration zu Windows Server 2019“

Moin @all, seit einiger Zeit ist es ruhig in meinem Blog geworden. Weil ich die Freizeit genieße? Na wohl kaum. 😉 Es sind einfach etliche neue Themen dazu gekommen, die meine Zeit beanspruchen. Und berichten möchte ich erst, wenn es einen Wert hat. So ist es auch um dieses Thema bestellt: die Migration meiner Infrastruktur von Windows Server 2012R2/2016 auf Windows Server 2019. Es besteht

Privileged ADUser Analyse

In vielen ActiveDirectory-Domains gibt es etliche Benutzerkonten, die hochprivilegiert sind. Nicht wenige davon können durch verschiedene Faktoren ein Risiko darstellen. Der Klassiker sind dabei Benutzer, die mit nicht ablaufenden Kennwörtern als ServiceAccount eingesetzt werden. Und wie oft habe ich diese Konten schon als Mitglied der Domain-Admin-Gruppe gesehen… 🙁 Wenn die Gefährdung von den Administratoren verstanden wurde kommen meist diese Fragen auf: Welche Konten sind denn

Kerberos – Resource Authentication (AP-REQ & AP-REP)

Als 3. Teil meiner Kerberos-Dokumentation möchte ich euch mit diesem Video die Benutzer-Authentifizierung für eine Ressource mit Kerberos zeigen – einfach ausgedrückt seht ihr gleich, wie sich ein Benutzer fpr den Zugriff auf einen Fileserver authentifiziert. Die Erläuterungen und Hinweise findet ihr in diesem Beitrag. Los gehts: Und, ist euch nun klar, wie sich ein Beutzer an einer Ressource mit Kerberos anmeldet? 🙂 Hier sind

Kerberos – User Authentication (AS-REQ & AS-REP)

Als 2. Teil meiner Kerberos-Dokumentation möchte ich euch mit diesem die Benutzer-Authentifizierung mit Kerberos zeigen – der Benutzer Paul meldet sich an einem Client einer Domäne an. Ein alltäglicher Vorgang, oder? Dennoch ist der Prozess oft nicht klar. Meine Animation wird das bestimmt ändern. 🙂 Die Erläuterungen und Hinweise findet ihr in diesem Beitrag. Los gehts: Und, ist euch nun klar, wie sich ein Beutzer

Kerberos – Client Authentication (AS-REQ & AS-REP)

Als 1. Teil meiner Kerberos-Dokumentation möchte ich euch mit diesem Video die Client-Authentifizierung mit Kerberos zeigen – ein Client wird als DomainMember gestartet und meldet sich bei einem DomainController an. Die Erläuterungen und Hinweise findet ihr in diesem Beitrag. Alles klar? Los gehts: Und, ist euch nun klar, wie ein Client sich an einer Domain anmeldet? 🙂 Hier sind die Links zu allen Teilen dieser

Kerberos – Ein Überblick

Kerberos ist im ActiveDirectory-Umfeld ein bekannter Begriff. Dennoch wissen viele Administratoren nicht oder nicht wirklich, wie dieses Protokoll funktioniert. Ich habe viele Ansätze im Internet verfolgt, um meinen Kursteilnehmern eine Hilfestellung geben zu können. Leider habe ich nichts wirklich passendes gefunden. Daher habe ich einfach selber eine kleine Beschreibung der Vorgänge mit Kerberos zusammengestellt. Vielleicht kann ich euch damit etwas unterstützen. 🙂 Insgesamt habe ich 3 Beiträge

Deaktivierung von NTLM

In diesem kleinen WSHowTo zeige ich euch, wie ich meine Infrastruktur von der Altlast NTLM befreit habe. Natürlich gehört das Wissen um die Theorie dazu. Daher beginnen wir mit einigen Erklärungen. Im 2. Teil zeige ich euch meine eigene Umstellung. Im 3. Teil seht ihr verschiedene meiner Services, bei denen ich Anpassungen vornehmen musste. Fazit: die Umstellung ist machbar, benötigt aber fundierte Kenntnisse und eine sehr gute Vorbereitung!

Applocker DefaultRule-Bypass

Applocker gehört seit Windows 7 zu den Enterprise-Features. Dahinter steckt ein Dienst im Betriebssystem, der basierend auf einem Regelwerk für jeden einen Benutzer entscheidet, ob dieser eine Anwendung starten darf oder nicht. Natürlich ist dieser Dienst per Default nicht aktiv. Er muss durch ein vorher erarbeitetes Regelwerk über Gruppenrichtlinien konfiguriert, getestet und aktiviert werden. Bei dem Regeldesign helfen die Standardregeln. Diese schränkten Standardbenutzer auf alle

Responder & MultiRelay Attacke

Ein Angreifer möchte durchaus mit wenig Aufwand Systeme übernehmen, um von dort aus weiter zu operieren. Dabei gibt es die bekannte Gegenmaßnahme „Benutzeraccounts mit Kennwörtern“. Diese kennt der Angreifer (hoffentlich) nicht. Wenn es ihm (oder ihr) aber gelingt, sich mit einem eigenen System im Netzwerk zu positionieren, dann kann er mit zwei einfachen Werkzeugen die Credentials eines Administrators beim Zugriff auf eine Netzressource auf einen

Der Utilman Hack

Szenario Von einem wichtigen PC ist das Kennwort für alle vorhandenen Benutzer nicht mehr bekannt. Es gibt auch keine alternativen Konten, mit denen wir uns anmelden können. Und dennoch müssen wir wieder auf die Daten zugreifen. Da hilft nur eins: wir müssen uns Zugriff zum System verschaffen. Natürlich möglichst zerstörungsfrei 🙂 Nebenbei könnte dies auch ein möglicher Angriffsvektor sein, der verhindert werden muss! So schaut

Privileged Access Management mit Just Enough Administration

Moin aus Niederbayern! Ich möchte euch heute meine aktuelle Lösung zur Berechtigung von Adminkonten vorstellen: meine Scriptreihe PAM-AdminGUI. Mit diesen Scripten bekommt ihr eine grafische Steuerung für temporäre Gruppenmitgliedschaften. und alles wird mit Boardmitteln bereitgestellt. Neugierig geworden? Dann lasst uns loslegen… Die aktuelle Situation in vielen Infrastrukturen Privilegierte Benutzer 24/7? In den vergangenen Jahren entwickelte sich ein Standard, der IT-Infrastrukturen schützen soll: administrative Benutzer verwenden

DNS Amplification Attack vs. DNS Response Rate Limiting

Moin @all, es ist wieder mal Zeit für News. Mein Thema dieses Mal ist ein neues Feature von Windows Server 2016, mit dem DNS Amplification Attacks erschwert werden sollen: DNS Response Rate Limiting. Um die Funktionsweise zu verdeutlichen, hab ich in einem LAB einen Angriff ohne und mit RRL ausgeführt. Meine Erfahrungen dazu habe ich natürlich wieder zusammengetragen: WSHowTo – DNS Amplification Attack vs. DNS

Group Managed Service Accounts mit einer GUI steuern: gMSA-Admin

Wer Sicherheit in seine Windows Server Automation bringen möchte, der kommt nicht um die gMSA (Group Managed Service Accounts) herum. Deren Idee ist simple und genial: dieser spezielle benutzerähnliche Objekttyp bekommt regelmäßig über einen DC ein  neues Kennwort. Und dieses Kennwort wird auf sicherem Wege auf die Server übertragen, die den gMSA verwenden sollen. Dort kann er als Scheduled Task User oder als Service-Account verwendet

Migration Exchange 2013 auf 2016 mit Windows Server 2016

In meiner Infrastruktur stehen 2 Exchange Server 2013. Beide laufen auf Windows Server 2012 R2. Dazu gibt es einen WebApplicationProxy-Cluster und ein SMTP-Gateway. Nun soll im Rahmen meiner Migrationsbemühungen die Infrastruktur auf Windows Server 2016 und Exchange Server 2016 aktualisiert werden. Wie immer hab ich viele Bilder, etlichen Text und viel PowerShell für euch zusammengestellt. Und auch einige Stolpersteine galt es zu überwinden (meine Infrastruktur ist

Migration von DPM 2012 R2 (W2012R2) nach DPM 2016 (W2016)

Meine eigene Infrastruktur möchte ich auf Windows Server 2016 migrieren. Eine wichtige Maschine ist bei mir der Datensicherungsserver. Bevor ich weitere Dienste auf 2016 verschiebe, muss die Sicherungsfähigkeit gegeben sein. Ich sichere mit Microsoft Data Protection Manager 2012 R2. Dieser läuft auf einem Windows Server 2012 R2. Mein HowTo zeigt die Life-Arbeitsschritte meiner Migration auf Windows Server 2016 mit Data Protection Manager 2016. Dazu gehört

Migration der RDS-Infrastruktur von 2012 R2 auf 2016

Meine Infrastruktur enthält 2 Windows Server 2012R2, die als Remote Desktop Server (RDS) arbeiten. Beide möchte ich im Rahmen meiner Migrationsbemühungen auf Windows Server 2016 portieren. Wie bei meinen anderen Migrationen hab ich wieder fleißig mitgesnippt und meine Arbeitsschritte als kleines pdf für euch zusammengestellt: WSHowTo – Migration RDS von W2012R2 nach W2016