blog.icewolf.ch

Let's talk about IT!
posts - 1708, comments - 295, trackbacks - 0

My Links

Archives

Post Categories

icewolf

Security

Patches, Updates, Applications, Windows, Virus, Trojans
Hunting for Basic Authentication in AzureAD

Hallo zusammen, Im Exchange Team Blog wurde bereits vor fast einem Jahr die Abschaltung der Basic Authentication für die zweite Jahreshälfte 2021 angekündigt. Es wird also Zeit, die Applikationen und Clients mit Basic Authentication zu jagen und auf neuere Authentication Methoden umzustellen. Basic Authentication and Exchange Online – April 2020 Update https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-and-exchange-online-april-2020-update/ba-p/1275508 Gerade als ich den Artikel geschrieben habe, gab es ein Update: Basic Authentication and Exchange Online – February 2021 Update https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-and-exchange-online-february-2021-update/ba-p/2111904 In Azure Active Directory unter Sign-Ins kann man mit "Add Filter" nach "Client App" filtern. Nun werden die ClientApps mit Legacy Authentication (sprich: Basic Auth) angezeigt. Im letzten Monat hat sich zweimal der ewservice@icewolf.ch...

posted @ Thursday, February 4, 2021 10:07 PM | Filed Under [ Security Azure ]

Uncover Certificate used on remote SMTP Server

Hallo zusammen, In diesem Artikel zeige ich euch, wie man das verwendete Zertifikat beim SMTP Service herausfindet. Das ist gar nicht so einfach. Für HTTPS Webseiten kann man beispielsweise einfach die Testseite von Qualys SSL Labs benutzen Grundlagen Ob ein Mailserver überhaupt TLS anbietet, kann man mit Telnet überprüfen. Falls ihr Telnet nicht installiert habt, findet ihr hier eine Anleitung, wie man den Telnet Client unter Windows 10 installiert. telnet mailserver.domain.tld 25 helo meinmailserver.meinedomain.tld Erst wenn man bei der Begrüssung "ehlo" Extended Helo verwendet, werden die Optionen angezeigt, welcher der Server unterstützt. Sieht man dort "STARTTLS" so kann der Server eine über TLS gesicherte Kommunikation anbieten. telnet...

posted @ Sunday, January 24, 2021 10:35 AM | Filed Under [ Security Exchange ]

Request Let's Encrypt Certificate with PowerShell

Hallo zusammen, In diesem Blog Artikel zeige ich euch, wie man ein SSL/TLS Zertifikat mit PowerShell von Let's Encrypt bereitstellt. Es braucht einen ACME Client. Für Windows stehen da mehrere Optionen zur Verfügung. Ich habe mich für eines der zwei PowerShell Module entschieden. Find-Module Posh-ACME Mit folgenden Befehlen wird das PowerShell Modul installiert und die cmdlets vom Modul angezeigt. Install-Module Posh-ACME Import-Module Posh-ACME Get-Command -Module Posh-ACME Es muss ein Account mit der Emailadresse angelegt werden. New-PAAccount -Contact a.bohren@icewolf.ch -AcceptTOS -KeyLenght 4096 Nun kann ein Zertifikat angefordert werden. Die Validierung erfolgt über einen DNS TXT Record. New-PACertificate edge.serveralive.ch -AcceptTOS -Contact "a.bohren@icewolf.ch" -DnsSleep 15 Den TXT Record habe ich in meiner DNS Zone in...

posted @ Sunday, January 24, 2021 7:51 AM | Filed Under [ Security Powershell ]

Admins setzt endlich die TLS 1.2 Einträge für Dotnet/Powershell

Hallo zusammen, Ich sehe in letzter Zeit öfters eine Fehlermeldung beim Installieren von einem Modul aus der PowerShell Gallery. Die Ursache ist, dass hier eine TLS 1.2 Verbindung verlangt wird, und Dotnet und PowerShell noch nicht entsprechend konfiguriert sind. Find-Module MSOnline WARNING: Unable to resolve package source 'https://www.powershellgallery.com/api/v2'. PackageManagement\Find-Package : No match was found for the specified search criteria and module name 'MSOnline'. Try Get-PSRepository to see all available registered module repositories. At C:\Program Files\WindowsPowerShell\Modules\PowerShellGet\1.0.0.1\PSModule.psm1:1360 char:3 +         PackageManagement\Find-Package @PSBoundParameters | Microsoft ... +         ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~     + CategoryInfo          : ObjectNotFound: (Microsoft.Power...ets.FindPackage:FindPackage) [Find-Package], Exceptio    n     + FullyQualifiedErrorId : NoMatchFoundForCriteria,Microsoft.PowerShell.PackageManagement.Cmdlets.FindPackage Eigentlich kann man das ganz einfach mit dem folgenden Befehl lösen. Damit wird [Net.ServicePointManager]::SecurityProtocol =...

posted @ Thursday, December 3, 2020 11:57 PM | Filed Under [ Security Powershell ]

Microsoft does not recommend to use SMS for MFA

Hallo zusammen, Kürzlich hat Alex Weinert (Director of Identity Security Microsoft) erklärt, weshalb Telefon und SMS basierte Multifaktor (MFA) Authentifizierung weniger Sicherheit bieten. It's Time to Hang Up on Phone Transports for Authentication https://techcommunity.microsoft.com/t5/azure-active-directory-identity/it-s-time-to-hang-up-on-phone-transports-for-authentication/ba-p/1751752  Das hat mich dazu Inspiriert, mal anzuschauen, wie es denn in meinem M365 Tenant so aussieht. Das lässt sich mit ein paar Zeilen PowerShell herausfinden Import-Module MSOnline Connect-MsolService $User = Get-MsolUser -UserPrincipalName a.bohren@icewolf.ch $User | fl strong* $User.StrongAuthenticationMethods $User.StrongAuthenticationUserDetails $User.StrongAuthenticationRequirements Mit einem kleinen Script hat man dann einen Report ############################################################################### # MFAReport # 24.11.2020 V1.0 - Initial Version - Andres Bohren ############################################################################### Import-Module MSOnline Connect-MsolService   #OutputFile $OutputFile = (Get-Location).Path + "\MFAReport.csv" If (Test-Path -path $OutputFile) { Remove-Item $OutputFile }   #Header Anlegen Add-Content -Path $OutputFile -Value ("UPN;MFAState;DefaultMFAMethod;MFAMethods")   $Users = Get-MsolUser -All | where {$_.StrongAuthenticationRequirements.State -eq...

posted @ Tuesday, November 24, 2020 10:52 PM | Filed Under [ Security Powershell O365 ]

Privileged Identity Management

Hallo zusammen, Den meisten dürfte der Ausdruck "Least Privilege" bekannt sein. Dabei geht es darum, nur die für die Arbeit benötigten Berechtigungen zu besitzen und nicht mehr. Normalerweise werden dazu RBAC Rollen angelegt und der Account zu dieser Gruppe hinzugefügt. Privileged Identity Management geht hier noch einen Schritt weiter, bei dem es Möglich ist, gewisse Rechte nur temporär zu aktivieren und nicht permanent zugewiesen zu haben. Das alles führt dazu, dass die Angriffsfläche kleiner wird und damit Risiko sinkt. Es können M365 und Azure Rollen darüber verwaltet werden. What is Azure AD Privileged Identity Management? https://docs.microsoft.com/en-us/azure/active-directory/privileged-identity-management/pim-configure#:~:text=Privileged%20Identity%20Management%20(PIM)%20is,Microsoft%20365%20or%20Microsoft%20Intune.   Deploy Azure AD Privileged Identity Management (PIM) https://docs.microsoft.com/en-us/azure/active-directory/privileged-identity-management/pim-deployment-plan Man benötigt dazu...

posted @ Tuesday, October 20, 2020 10:42 PM | Filed Under [ Security O365 Azure ]

Office 365 ATP (Safe Links / Safe Attachments)

Hallo zusammen, Ich habe mir kürzlich einen Trial für Office 365 ATP Plan1 bestellt. Die Unterscheide zwischensieht man in nachfolgender Tabelle.  Office 365 Advanced Threat Protection https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/office-365-atp?view=o365-worldwide Wie gesagt, habe ich mir eine kostenlose Testversion davon im M365 Admin Center besorgt. Anschliessend muss die Lizenz dem Benutzer zugewiesen werden. Im Security & Compliance Admin Center sind zwei neue Policies erschienen Safe Links https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/set-up-atp-safe-links-policies?view=o365-worldwide Safe Attachments https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/set-up-atp-safe-attachments-policies?view=o365-worldwide Tests mit Safe Links Ich habe einige Tests mit Safe Links gemacht. SafeLinks erkennt nur Links mit <a href> tag und ersetzt den Link durch eine https://nam01.safelinks.protection.outlook.com URL. In Outlook on the Web werden nur Links mit <a href> Tag erkannt und anklickbar gemacht. Der anklickbare Link...

posted @ Wednesday, October 7, 2020 7:58 AM | Filed Under [ Security O365 ]

Secure data deletion of Harddisk

Hallo zusammen, Ich habe ein bisschen aufgeräumt und noch alte Harddisks gefunden. Bevor ich die entsorge, werden noch die Daten darauf gelöscht. Ich habe mich für die Active @ Killdisk Freeware entschieden. Damit die Software die Harddisk erkennt, muss sie in der Datenträgerverwaltung (diskmgmt.msc) Online sein. Anschliessend die Disk markieren und "Erase Disk" auswählen. Nun kann man die Löschmethode auswählen. Ich habe die einmal alles mit Nullen überschreiben (One Pass Zero) ausgewählt. So können die Daten nicht mehr wiederhergestellt werden. Zur Sicherheit muss man hier nochmals die Keyphrase abtippen. Nun werden alle Sektoren mit Nullen überschrieben. Zum Schluss sieht man ob alles geklappt hat und man kann...

posted @ Sunday, September 6, 2020 11:34 PM | Filed Under [ Security Windows ]

Symantec Endpoint Protection 14.3 (14.3.558.0000)

Hallo zusammen, Es gibt ein Security Update für Symantec Endpoint Protection. Symantec Endpoint Protection Security Update SYMSA1762 https://support.broadcom.com/security-advisory/security-advisory-detail.html?notificationId=SYMSA1762 Nachdem letztes Jahr Broadcom die Enterprise Business Sparte von Symantec übernommen hat, war dies mein erstes mal, dass ich über die Broadcom Seite das update herunterladen musste. Anscheinend ist das Broadcom überfodert, wie folgender Artikel zeigt: https://www.heise.de/security/meldung/Kunden-klagen-nach-Symantec-Uebernahme-durch-Broadcom-ueber-Lizenzprobleme-4676196.html Auch ich musste erst meinen Account über ein Passwort Reset zurücksetzen. Danach konnte ich mich dann einloggen. Ich musste mich ewig lang durchkämpfen, bis ich endlich den Download für die neue Version gefunden habe https://support.broadcom.com/download-center/product-download.html?subfamily=Endpoint%20Protection Das heruntergeladene ZIP habe ich dann entpackt. Es reicht, wenn man anschliessend den Symantec Endpoint Manager (SEPM) installiert. Auf die...

posted @ Friday, May 15, 2020 6:42 PM | Filed Under [ Security System Management ]

Symantec Endpoint Protection 14.2 RU2 MP1 (14.2.5569.2100)

Hallo zusammen, Vor ein paar Tagen hat Symantec ein Security Advisory für Symantec Endpoint Protection veröffentlicht. Es ist also an der Zeit auf 14.2 RU2 MP1 (14.2.5569.2100) zu aktualisieren.   Symantec Endpoint Protection Multiple Issues https://support.symantec.com/us/en/article.SYMSA1505.html   Ich habe mir also im MySymantec Portal die aktuellste Version heruntergeladen. Nun kann der SEP Manager aktualisiert werden Ich empfehle immer ein DB Backup zu machen Nach der Installation kommt der Upgrade Wizard Nun müssen noch die neuen Install Packages den Gruppen zugewiesen werden Erstmal der x64 Client - ich habe da den Upgrade Shedule und die Notification aktiviert Dasselbe noch für den x86 Client Und so sieht es dann auf dem Client aus   Grüsse Andres Bohren

posted @ Saturday, February 22, 2020 12:22 PM | Filed Under [ Security ]

Full Security Archive

Powered by:
Powered By Subtext Powered By ASP.NET