Windows Server 2016 ist neben 2012R2 eine weit verbreitete Serverversion von Microsoft. HowTo’s, Tipps und Tricks findet ihr hier.
Für die Aktualisierung meiner Windows Server verwende ich einen WSUS und eine Gruppenrichtlinie. Seit einigen Wochen habe ich aber ein Problem: (fast) alle Systeme meinen, sie sind aktuell. Aber es fehlen definitiv einige wichtige Updates. Die Ursache ist ein übler Bug von Microsoft…
Meine Infrastruktur wurde im Laufe der Zeit immer komplexer. Anfangs standen alle Clients und Server direkt hinter dem Internetrouter. Später schaltete ich eine PFSense dazwischen, um die Datenströme zu filtern und somit die Sicherheit zu erhöhen. Und mit der Zeit kamen immer neue Sicherheitsfeatures dazu. Damit wurde meine Infrastruktur unhackbar! Klingt unglaublich? Genau, denn es kam alles ganz anders…
In vielen ActiveDirectory-Domains gibt es etliche Benutzerkonten, die hochprivilegiert sind. Nicht wenige davon können durch verschiedene Faktoren ein Risiko darstellen. Der Klassiker sind dabei Benutzer, die mit nicht ablaufenden Kennwörtern als ServiceAccount eingesetzt werden. Und wie oft habe ich diese Konten schon als Mitglied der Domain-Admin-Gruppe gesehen… 🙁 Wenn die Gefährdung von den Administratoren verstanden wurde kommen meist diese Fragen auf: Welche Konten sind denn
In diesem kleinen WSHowTo zeige ich euch, wie ich meine Infrastruktur von der Altlast NTLM befreit habe. Natürlich gehört das Wissen um die Theorie dazu. Daher beginnen wir mit einigen Erklärungen. Im 2. Teil zeige ich euch meine eigene Umstellung. Im 3. Teil seht ihr verschiedene meiner Services, bei denen ich Anpassungen vornehmen musste. Fazit: die Umstellung ist machbar, benötigt aber fundierte Kenntnisse und eine sehr gute Vorbereitung!
Applocker gehört seit Windows 7 zu den Enterprise-Features. Dahinter steckt ein Dienst im Betriebssystem, der basierend auf einem Regelwerk für jeden einen Benutzer entscheidet, ob dieser eine Anwendung starten darf oder nicht. Natürlich ist dieser Dienst per Default nicht aktiv. Er muss durch ein vorher erarbeitetes Regelwerk über Gruppenrichtlinien konfiguriert, getestet und aktiviert werden. Bei dem Regeldesign helfen die Standardregeln. Diese schränkten Standardbenutzer auf alle
Ein Angreifer möchte durchaus mit wenig Aufwand Systeme übernehmen, um von dort aus weiter zu operieren. Dabei gibt es die bekannte Gegenmaßnahme „Benutzeraccounts mit Kennwörtern“. Diese kennt der Angreifer (hoffentlich) nicht. Wenn es ihm (oder ihr) aber gelingt, sich mit einem eigenen System im Netzwerk zu positionieren, dann kann er mit zwei einfachen Werkzeugen die Credentials eines Administrators beim Zugriff auf eine Netzressource auf einen
Szenario Von einem wichtigen PC ist das Kennwort für alle vorhandenen Benutzer nicht mehr bekannt. Es gibt auch keine alternativen Konten, mit denen wir uns anmelden können. Und dennoch müssen wir wieder auf die Daten zugreifen. Da hilft nur eins: wir müssen uns Zugriff zum System verschaffen. Natürlich möglichst zerstörungsfrei 🙂 Nebenbei könnte dies auch ein möglicher Angriffsvektor sein, der verhindert werden muss! So schaut
Moin aus Niederbayern! Ich möchte euch heute meine aktuelle Lösung zur Berechtigung von Adminkonten vorstellen: meine Scriptreihe PAM-AdminGUI. Mit diesen Scripten bekommt ihr eine grafische Steuerung für temporäre Gruppenmitgliedschaften. und alles wird mit Boardmitteln bereitgestellt. Neugierig geworden? Dann lasst uns loslegen… Die aktuelle Situation in vielen Infrastrukturen Privilegierte Benutzer 24/7? In den vergangenen Jahren entwickelte sich ein Standard, der IT-Infrastrukturen schützen soll: administrative Benutzer verwenden
Moin @all, es ist wieder mal Zeit für News. Mein Thema dieses Mal ist ein neues Feature von Windows Server 2016, mit dem DNS Amplification Attacks erschwert werden sollen: DNS Response Rate Limiting. Um die Funktionsweise zu verdeutlichen, hab ich in einem LAB einen Angriff ohne und mit RRL ausgeführt. Meine Erfahrungen dazu habe ich natürlich wieder zusammengetragen: WSHowTo – DNS Amplification Attack vs. DNS
Wer Sicherheit in seine Windows Server Automation bringen möchte, der kommt nicht um die gMSA (Group Managed Service Accounts) herum. Deren Idee ist simple und genial: dieser spezielle benutzerähnliche Objekttyp bekommt regelmäßig über einen DC ein neues Kennwort. Und dieses Kennwort wird auf sicherem Wege auf die Server übertragen, die den gMSA verwenden sollen. Dort kann er als Scheduled Task User oder als Service-Account verwendet
Viele Angriffsszenarien zielen darauf ab, dass Anmeldeinformationen von höheren, administrativen Accounts erbeutet werden. Dabei geht es nicht immer nur um die Benutzernamen und deren Passworte. Es reichen oftmals auch Hashwerte der Passworte, um über ein Pass-The-Hash die Identität zu übernehmen.
Microsoft ATA soll Angriffsszenarien im Active Directory erkennen. Das wollte ich mir einmal genauer ansehen und habe einen ATA-Server in meine eigene Produktionsumgebung installiert.
In meiner Infrastruktur stehen 2 Exchange Server 2013. Beide laufen auf Windows Server 2012 R2. Dazu gibt es einen WebApplicationProxy-Cluster und ein SMTP-Gateway. Nun soll im Rahmen meiner Migrationsbemühungen die Infrastruktur auf Windows Server 2016 und Exchange Server 2016 aktualisiert werden. Wie immer hab ich viele Bilder, etlichen Text und viel PowerShell für euch zusammengestellt. Und auch einige Stolpersteine galt es zu überwinden (meine Infrastruktur ist
Meine eigene Infrastruktur möchte ich auf Windows Server 2016 migrieren. Eine wichtige Maschine ist bei mir der Datensicherungsserver. Bevor ich weitere Dienste auf 2016 verschiebe, muss die Sicherungsfähigkeit gegeben sein. Ich sichere mit Microsoft Data Protection Manager 2012 R2. Dieser läuft auf einem Windows Server 2012 R2. Mein HowTo zeigt die Life-Arbeitsschritte meiner Migration auf Windows Server 2016 mit Data Protection Manager 2016. Dazu gehört
Meine Infrastruktur enthält 2 Windows Server 2012R2, die als Remote Desktop Server (RDS) arbeiten. Beide möchte ich im Rahmen meiner Migrationsbemühungen auf Windows Server 2016 portieren. Wie bei meinen anderen Migrationen hab ich wieder fleißig mitgesnippt und meine Arbeitsschritte als kleines pdf für euch zusammengestellt: WSHowTo – Migration RDS von W2012R2 nach W2016
In diesem HowTo zeige ich, wie man mit Windows Server 2016 Datacenter (RTM) einen Hyper-Converged-Cluster aufbaut. Dieser ist gleichzeitig ein Failover-Cluster für Hyper-V und ein Storage-Space-Direct-Cluster, der das gemeinsame Datenspeichersystem (üblicherweise ein SAN) ersetzt: alle VMs liegen also hochverfügbar als Datendateien über die lokalen Festplatten verteilt, während deren WorkLoad (CPU, RAM, Netzwerk, …) auf einem der Server betrieben wird. WSHowTo – Hyper-Converged-Cluster
Meine erste produktive Migration auf Windows Server 2016 sollte meine eigene Windows CA sein. Diese lief bisher problemfrei unter Windows Server 2012 auf einem Server Core. Nun soll die Funktionalität auf einen Windows Server 2016 übertragen werden. Als Migrationsszenario verwende ich ein Wipe & Load. Die Migration soll unter realen Umständen ausgeführt werden. Alle erforderlichen Arbeitsschritte hab ich für euch aufgezeichnet 🙂 : WSHowTo –
Seit Windows 8.1 gilt ImageX als veraltet und soll durch DISM bei der Erstellung von Systemabbildern für die Verteilung mit den Windows Deployment Services (WDS) abgelöst werden. Hier kommt mein HowTo dazu. Ich zeige, wie ein Image eines Referenz-Systems erstellt wird und anschließend über einen WDS auf einen leeren Rechner kopiert wird. WSHowTo – WIM-Deployment mit Windows 8.1 DISM und WDS
Dynamic Access Control (DAC) ist ein neuer Datei-System-Autorisierungs-Mechanismus, der IT die Möglichkeit gibt, Zugriffsregeln zentral zu pflegen. Die Pflege wird nicht nur sehr viel einfacher sondern zugleich auch präziser. Zugriffsrechte werden abhängig von Nutzer und neu vom zugreifenden Device und der Klassifizierung der einzelnen Datei geregelt.
Bring Your Own Device (BYOD) – eine Modeerscheinung oder doch eine Möglichkeit, Mitarbeitern die Arbeit zu erleichtern. Dieser Beitrag soll nicht über Sinn oder Unsinn berichten, sondern die neue Technologie der Workfolders vorstellen und aufzeigen, wie sie implementiert werden. WSHowTo – BranchCache unter Windows Server 2012