blog.icewolf.ch

Let's talk about IT!
posts - 1259, comments - 293, trackbacks - 0

My Links

Archives

Post Categories

icewolf

Security

Patches, Updates, Applications, Windows, Virus, Trojans
Symantec Mail Security for Microsoft Exchange 7.5.6.152

Hallo zusammen, Es ist schon eine Weile her, dass ich mich zuletzt auf dem Webinterface von Symantec Mail Security for Exchange eingeloggt habe. Nun habe ich gesehen dass es eine neuere Version gibt und habe das Update gemacht. Release notes for Symantec Mail Security 7.5 for Microsoft Exchange https://support.symantec.com/en_US/article.TECH216458.html Grüsse Andres Bohren

posted @ Thursday, September 28, 2017 10:35 PM | Feedback (0) | Filed Under [ Security Exchange ]

Update your Windows CA to Key Storage Provider (KSP) for sha256 Signing

Hallo zusammen, Eigentlich war angekündigt, dass in Windows per Anfangs 2017 keine SHA1 Zertifikate mehr akzeptiert werden. Replace your SHA1 Certificates - depreciation on 1.1.2017 http://blog.icewolf.ch/archive/2014/11/20/replace-your-sha1-certificates-depreciation-on-1-1-2017.aspx Nun wurde diese Ankündigung erst mit den Mai 2017 Updates umgesetzt.   Microsoft blockiert SHA-1 in Edge und Internet Explorer https://www.heise.de/security/meldung/Microsoft-blockiert-SHA-1-in-Edge-und-Internet-Explorer-3713654.html?wt_mc=rss.security.beitrag.atom Damit die Interne CA sha256 Zertifikate ausstellen kann, muss der Kryptographie Provider von Cryptographic Service Provider (CSP) auf Key Storage Provider (KSP) umgestellt werden. Dazu gibt es von Microsoft folgende Anleitung Migrating a Certification Authority Key from a Cryptographic Service Provider (CSP) to a Key Storage Provider (KSP) https://technet.microsoft.com/en-us/library/dn771627.aspx Grüsse Andres Bohren

posted @ Monday, May 22, 2017 8:05 AM | Feedback (0) | Filed Under [ Security Windows ]

Symantec Endpoint Protection 14 MP1 (SEP)

Hallo zusammen, Ich habe meine Symantec Endpoint Protection Lizenzen erneuert und die aktuellste Version unter https://fileconnect.symantec.com heruntergeladen Nun habe ich in den Manuals geprüft, ob ich von 12.1.6 MP5 auf die aktuelle Version upgraden kann. Product guides for all versions of Symantec Endpoint Protection 14 https://support.symantec.com/en_US/article.HOWTO124729.html Installation Nun habe ich den Symantec Endpoint Protection Manager (den zentralen Server) aktualisiert. Es war mir nicht möglich den Service NT Service\semapisrv in die GPO einzupflegen. Mit dem folgenden Trick bin ich das umgangen. sc showsid semapisvc Diese SID habe ich dann in der GPO eingetragen Konfiguration Nachdem die Installation abgeschlossen wurde, muss nun noch die Konfiguration abgeschlossen werden. Insbesondere der Client muss aktualisiert werden. Unter...

posted @ Wednesday, May 17, 2017 8:04 AM | Feedback (0) | Filed Under [ Security ]

Stop using SMB1

Hallo zusammen, Es gibt viele Gründe, weshalb SMB1 nicht mehr eingesetzt werden sollte. Dies zeigt auch der nachfolgende Blog Eintrag von Microsoft auf: Stop using SMB1 https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/  Wie man SMB1 deaktiviert zeigt der folgende Support Artikel: https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012 Am einfachsten geht es mit der Powershell Get-SmbServerConfiguration | fl *prot* Set-SmbServerConfiguration -EnableSMB1Protocol $false In Windows 2012 R2 und Windows 8.1 ist es sogar ein Feature, welches mit dem folgenden Befehl entfernt werden kann. Remove-WindowsFeature -Name FS-SMB1 Im Windows 2016 Server und Windows 10 ist das immer noch so Alternativ kann man das auch über die Registry anpassen. Dasselbe passiert übrigens auch, wenn man die Powershell Befehle benutzt. Das ganze kann man...

posted @ Sunday, February 05, 2017 1:17 PM | Feedback (1) | Filed Under [ Security Windows ]

Symantec Mail Security for Microsoft Exchange 7.5.5.128

Hallo zusammen, Am 16. November 2016 hat Symantec eine neue Version von Symantec Mail Security for Microsoft Exchange (7.5.5.128) Release notes for Symantec Mail Security 7.5 for Microsoft Exchange https://support.symantec.com/en_US/article.TECH216458.html Gesehen habe ich das jedoch in der Mail Security Konsole Hat man eine laufende Subscription, kann man die Files unter Fileconnect herunterladen https://symantec.flexnetoperations.com/control/symc/registeranonymouslicensetoken     Eigentlich empfehle ich die bestehenden Settings beizubehalten. Ich habe aber ein bisschen viel rumkonfiguriert in letzter Zeit und will mal wieder mit den Default Settings starten. Grüsse Andres Bohren

posted @ Sunday, December 04, 2016 1:03 PM | Feedback (0) | Filed Under [ Security Exchange ]

Changes in Windows Update and WSUS Oktober 2016

Hallo zusammen, Ab diesem Monat gab es eine Veränderung bei den Monatlichen Microsoft Updates welche über Windows Update oder WSUS verteilt werden. Künftig gibt es nur noch die ein Security Update und ein Rollup für Windows und .NET Framework Security-Only Update Monthly Rollup Net Framework Security-Only Update Net Framework Rollup *1 Mehr dazu gibt unter dem folgenden Blog...

posted @ Wednesday, October 19, 2016 9:43 AM | Feedback (0) | Filed Under [ Security System Management ]

Office 365 Secure Score Preview

Hallo zusammen, Vor ein paar Tagen habe ich Secure Score Preview auf Office 365 entdeckt. Mit dieser App, kann man die Konfiguration des eingenen Office 365 Tenants prüfen und in verschiedenen Bereichen Verbesserungen machen um die Sicherheit zu erhöhen. https://securescore.office.com/ Ganz mies - ich habe auf meinem Tenant mit einer 4 von 289 möglichen Punkten gestartet. Nachdem ich die Multifaktor Authentifizierung für alle Benutzer und die Global Admins aktiviert hatte, musste ich für 48 Stunden warten, bevor sich der Status geändert hat. Unter der Registerkarte "Score Analyzer" sieht man den Verlauf der Verbesserungen. Ein nützliches Tool um mit ein paar einfachen Massnahmen die Sicherheit und den Schutz...

posted @ Thursday, October 06, 2016 10:56 PM | Feedback (0) | Filed Under [ Security O365 ]

Symantec Mail Security for Microsoft Exchange 7.5.4.109

Hallo zusammen, Kürzlich habe ich die Konsole von Symantec Mail Security für Microsoft Exchange Server kontrolliert und gesehen, dass eine neue Version verfügbar ist. Diese lässt sich jedoch nur mit einem gültigen Vertrag im FileConnect herunterladen. Installation Nach dem Enzippen habe ich die Installation gestartet Um die Lizenzen zu aktivieren, kann man gleich bei der Installation ein gültiges *.slf Lizenz File einlesen Voila, wieder auf dem aktuellsten Stand Grüsse Andres Bohren

posted @ Thursday, October 06, 2016 10:38 PM | Feedback (0) | Filed Under [ Security Exchange ]

Update Symantec Endpoint Protection Manager to 12.1.6 MP5

Hallo zusammen, Für verschiedene Symantec Produkte wurde ein Security Advisory eröffnet. Darunter ist auch Symentec Endpoint Protection. Um das Problem zu lösen, sollte man dringend "SEP 12.1 RU6 MP5" installieren. Security Advisories Relating to Symantec Products - Symantec Decomposer Engine Multiple Parsing Vulnerabilities   https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20160628_00 Die aktuelle Version findet man wie gewohnt unter Fileconnect https://symantec.flexnetoperations.com/control/symc/registeranonymouslicensetoken Grüsse Andres Bohren

posted @ Saturday, July 02, 2016 9:32 PM | Feedback (0) | Filed Under [ Security ]

Office Web Apps Server 2013 Security Update June 2016

Hallo zusammen, Letzte Woche am Patchday von Microsoft wurde ein Security Update für Office Web Apps Server 2013 veröffentlicht. MS16-070: Description of the security update for Office Web Apps Server 2013: June 14, 2016 https://support.microsoft.com/en-us/kb/3115170   Security Update for Microsoft Office Web Apps Server 2013 (KB3115170) https://www.microsoft.com/en-us/download/details.aspx?id=52867 Grüsse Andres Bohren

posted @ Monday, June 20, 2016 9:16 PM | Feedback (0) | Filed Under [ Security Office ]

Symantec Endpoint Protection 12.1 MP4 - Security Update

Hallo zusammen, Vor ein paar Tagen hat Symantec ein Security Advisory für Symantec Endpoint Protection veröffentlicht. Security Advisories Relating to Symantec Products - Symantec Endpoint Protection Multiple Security Issues https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20160317_00 Die neue Version kann man sich im Symantec File Connect herunterladen. Update von Symantec Endpoint Protection Manager Zuerst muss der Symantec Endpoint Protection Manager aktualisiert werden Aktualisieren der Clients Nun können die Clients aktualisiert werden Unter Clients in der entsprechenden Group, mit "Add Package" die neue Version hinzufügen. Auf dem Client erscheint dann eine Meldung, dass der Computer neu gestartet werden muss, sobald das Update installiert wurde. Grüsse Andres Bohren

posted @ Sunday, March 20, 2016 10:26 AM | Feedback (0) | Filed Under [ Security ]

Symantec Mail Security for Microsoft Exchange 7.5.3.100

Hallo zusammen, Seit ein paar Wochen scheint der Antispam von Symantec Mail Security for Microsoft Exchange nicht mehr so zuverlässig zu funktionieren. Ich erhalte immer wieder Spam Mails. Als ich nachgesehen habe, hat sich herausgestellt, dass es eine aktualisierte Version gibt. Mit einem aktuellen Vertrag kann man diese unter https://fileconnect.symantec.com herunterunterladen. Grüsse Andres Bohren

posted @ Sunday, March 06, 2016 1:14 PM | Feedback (0) | Filed Under [ Security ]

Use Fiddler to decrypt HTTPS Traffic

Hallo zusammen, Manchmal braucht man eben Fiddler um in HTTPS Verbindungen zu sehen. Fiddler ist eine Art lokaler Proxy über welche die Verbindungen dann geschleust werden. Um HTTPS Verbindungen zu decodieren, muss man das erst in den Optionen aktivieren Danach wird ein Zertifikat in den lokalen Zertifikatsspeicher des Computerst installiert, mit welchem Zertifikate für beliebige Seiten ausgestellt werden können - nur so lässt sich in die HTTPS Verbindung schauen. Grüsse Andres Bohren

posted @ Sunday, November 29, 2015 8:28 PM | Feedback (0) | Filed Under [ Security Windows ]

Symantec Endpoint Protection 12.1 MP3 - Security Update

Hallo zusammen, Symantec hat für Endpoint Protection 12.1 ein Security Update veröffentlicht. Symantec Endpoint Protection Elevation of Privilege Issues (SYM15-011) http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2015&suid=20151109_00 Grüsse Andres Bohren

posted @ Sunday, November 29, 2015 7:32 PM | Feedback (0) | Filed Under [ Security ]

Symantec Endpoint Protection 12.1.6_MP1a

Hallo zusammen, Für Symantec Endpoint Protection 11 und 12 gibt es ein Security Update. Symantec Endpoint Protection Local Client ADC Buffer Overflow Vulnerability http://www.symantec.com/security_response/vulnerability.jsp?bid=68946 Grüsse Andres Bohren

posted @ Wednesday, August 05, 2015 7:26 AM | Feedback (0) | Filed Under [ Security ]

Symantec Mail Security for Microsoft Exchange

Hallo zusammen, Vor einem Jahr habe ich die Antispam Funktionen von Exchange 2013 aktiviert. Wie man sieht, hat das eher schlecht als recht funktioniert. Ich hatte täglich mehrere Spam Mails in meiner Inbox. Diese Mails habe ich in meinem "Junkmail" Ordner gesammelt. Wie man sieht, sind das ganz schön viele... Ich habe mir deshaltb eine Lizenz inkl. Antispam von "Symantec Mail Security für Microsoft Exchange" besorgt. http://www.symantec.com/de/ch/mail-security-for-microsoft-exchange/ Fängt ja schon gut an, also dann mal das Dotnet Framework 3.5 nachinstallieren. Install-WindowsFeature Net-Framework-Core -source E:\sources\sxs Nächste Baustelle, es fehlt ASP.NET Das musste ich mir im Server Manager anschauen Also das ebenfalls nachinstallieren Get-WindowsFeature | Where {$_.Displayname -like "ASP*"} Install-WindowsFeature...

posted @ Wednesday, June 03, 2015 9:49 PM | Feedback (0) | Filed Under [ Security Exchange ]

Replace HP ILO selfsigned Certificate

Hallo zusammen, Nach dem Update von Integrated Lights Out (ILO) auf die Version 2.10  habe ich noch das Zertifikat vom ILO das selfsigned Zertifikat durch eines von meiner Active Directory Certification Authority (CA) ersetzt. Im ILO Menü unter Administration --> Security --> SSL Certificate die Informationen für den CSR ausfüllen und auf "Generate CSR" klicken Nun ein paar Minuten warten und erneut auf "Generate CSR" klicken. Der CSR wird nun angezeigt. Mit dem CSR nun ein Zertifikat ausstellen und danach im ILO auf "Import Certificate" klicken und das ausgestellte Zertifikat einfügen. Grüsse Andres Bohren

posted @ Tuesday, April 28, 2015 1:24 PM | Feedback (0) | Filed Under [ Security ]

LU1835: Connection to the LiveUpdate server failed

Hallo zusammen, Mein Symantec Enterprise Protection Management Server hat keine Antivirus Updates mehr heruntergeladen. LiveUpdate (luall.exe) ist mit dem Fehler "LU1835: Connection to the LiveUpdate server failed" fehlgeschlagen. In folgendem Artikel habe ich die Lösung gefunden Error: "LU1835: Connection to the LiveUpdate server failed" (Enterprise) https://support.symantec.com/en_US/article.TECH101807.html ¨ Bei mir hat es geholfen, den Update Cache zu löschen. Grüsse Andres Bohren

posted @ Monday, April 27, 2015 8:59 PM | Feedback (1) | Filed Under [ Security ]

Install AD FS on Windows 2012 R2 Step-by-Step

Hallo zusammen, In diesem Blog Artikel zeige ich euch wie man die Active Directory Federation Services (AD FS) auf einem Windows Server 2012 R2 installiere. Im Server Manager "Add Rolles und Features" auswählen und der folgende Dialog erscheint. In diesem Dialog muss man nichts anwählen. Nach der Installation der Server Rolle erfolgt nun die Konfiguration Voraussetzungen zum Installieren von AD FS https://technet.microsoft.com/library/bf7f9cf4-6170-40e8-83dd-e636cb4f9ecb Zu beachten ist, dass ein Zertifikat benötigt wird. Am besten gleich ein Public Zertifikat mit der Public Domain. In meinem Beispiel habe ich adfs.serveralive.ch gewählt.  Hier kommt jetzt das Zertifikat zum Einsatz Add-KdsRootKey https://technet.microsoft.com/en-us/library/jj852117.aspx Mit folgendem Befehl bringt man das in Ordnung Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10) Ich habe mir das Powershell Script dazu angeschaut # Windows...

posted @ Sunday, March 15, 2015 9:49 PM | Feedback (0) | Filed Under [ Security Windows ]

SPF / DKIM / DMARC

Hallo zusammen, In den letzten Tagen habe ich mich mit verschiedenen Techniken auseinandergesetzt, welche die Echtheit der Mails bestätigen und somit helfen Spam zu bekämpfen. Sender Policy Framework (SPF) Das Sender Policy Framework basiert auf der Tatsache, dass Emails von einer Domäne meist nur von einem Mailserver versendet werden. Mit diesem Framework kann man anderen Mailservern mitteilen, welche Mailserver autorisiert sind, Mails mit dieser Domäne zu versenden. Ausgewertet wird ein DNS Record vom Typ TXT welcher in DNS eingetragen ist und die Liste der Mailserver enthält, bei welchen im FROM Header die Domäne vorkommt. Beim weiterleiten von Nachrichten kann dies jedoch zu Problemen führen. Ansonsten...

posted @ Saturday, February 28, 2015 7:48 PM | Feedback (0) | Filed Under [ Security Exchange ]

Symantec Backup Exec 2014 SP2

Hallo zusammen, In den Backup Exec Notifications bin ich auf die folgende Meldung gestossen. Das SP2 ist noch nicht über Live Update verfügbar - scheint jedoch bald darüber verteilt zu werden Backup Exec 2014 SP2 Installation Man kann sich das SP2 jedoch schon jetzt unter den untenstehenden Backup Exec 2014 revision 1786 Service Pack 2 http://www.symantec.com/business/support/index?page=content&id=TECH225093 Backup Exec 2014 revision 1786 Service Pack 2 Release notes http://www.symantec.com/business/support/index?page=content&id=TECH226778 Die Installation war erfolgreich und die Services sind wieder gestartet. Trotzdem muss der Backup Exec Server noch neu gestartet werden. Danach kann man prüfen, ob das Update installiert ist. Remote Agent Update Nun müssen noch die Remote Agents aktualisiert werden. Einige Server benötigen danach...

posted @ Wednesday, December 31, 2014 12:32 PM | Feedback (0) | Filed Under [ Security System Management ]

Replace your SHA1 Certificates - depreciation on 1.1.2017

Hallo zusammen, Es gibt wichtige Veränderungen bei den TLS Zertifikaten. Beachtet die untenstehenden Regeln, ansonsten könnten die Zertifikate nicht mehr akzeptiert werden, obwohl die Gültigkeit noch nicht abgelaufen ist. Die Browserhersteller fangen an, diese Regeln einzubauen und die TLS Symbole anzupassen, wenn die Regeln nicht eingehalten werden. Also unbedingt die Zertifikate prüfen und erneuern! CAs dürfen ab 1 Januar 2016 keine SHA1 SSL und Code Signing Zertifikate ausstellen Windows wird SHA1 Zertifikate ab 1 Januar 2017 nicht mehr akzeptieren. Die ganze Zertifikatskette muss ab 1 Januar 2017 SHA1 frei sein...

posted @ Thursday, November 20, 2014 11:54 AM | Feedback (0) | Filed Under [ Security ]

Website Hacking

Hallo zusammen, Wer Webseiten betreibt, sollte sich mal folgendes TechEd Video reinziehen. Da werden SQL Incections, Cross Site Scripting, Privilege Escalation etc gezeigt. Ausserdem sollte man mal einen Blick auf Open Web Application Security Project  (OWASP) werfen https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project Das Video gibt's hier zu sehen: http://channel9.msdn.com/Events/TechEd/Europe/2014/DEV-B371 Grüsse Andres Bohren  

posted @ Sunday, November 09, 2014 12:01 PM | Feedback (0) | Filed Under [ Security ]

Update Symantec Endpoint Protection Manager to 12.1.5

Hallo zusammen, Symantec hat ein Security Advisory betreffend Symantec Endpoint Protection Manager herausgegeben. Man sollte also die Umgebug umgehend auf SEP Manager 12.1.5 aktualisieren. Security Advisory Impacting Symantec Endpoint Protection Manager http://www.symantec.com/connect/blogs/security-advisory-impacting-symantec-endpoint-protection-manager Security Advisories Relating to Symantec Products - Symantec Endpoint Protection Manager Multiple Issues http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20141105_00 Grüsse Andres Bohren

posted @ Sunday, November 09, 2014 9:23 AM | Feedback (1) | Filed Under [ Security ]

Decrypt TLS Traffic with Wireshark

Hallo zusammen, Ich habe schon in 2012 versucht mit Network Monitor TLS Traffic zu entschlüsseln. Leider hat das damals nicht geklappt. Heute zeige ich euch wie man das mit Wireshark macht. Was benötigt man dazu: Wireshark https://www.wireshark.org/download.html Private Key des Zertifikats (*.pfx) Export Private Key in ein PFX File Wie exportiert man den Private Key in eine PFX Datei. Da das PFX den Private Key des Zertifikats enthält, muss die Datei zusätzlich mit einem Passwort geschützt werden. Wireshark Settings Edit --> Preferences --> Protocols --> SSL Die IP, den Port, das Protokoll und das PFX inkl Passwort angeben In früheren Versionen von...

posted @ Sunday, November 02, 2014 12:03 PM | Feedback (0) | Filed Under [ Security ]

Create SAN CSR with certutil

Hallo zusammen, Wie man Certificate Signing Requests (CSR) mit Subject Alternative Names (SAN) mittels Openssl oder über Custom Request in der Zertifikatskonsole macht habe ich ja schon gebloggt. Heute zeige ich euch, wie man einen Zertifikatsrequest mit dem Komandozeilentool certreq erstellt. Als erstes muss eine "RequestPolicy.inf" Datei erstellt werden. Die sieht etwa so aus [NewRequest] FriendlyName = "fe2013.icewolf.ch" Subject = "CN=fe2013.icewolf.ch, O=Icewolf, OU=IT, S=BE, L=Bern, C=CH" ;Because SSL/TLS does not require a Subject name when a SAN extension is included, the certificate Subject name can be empty. ;If you are using another protocol, verify the certificate requirements. RequestType=PKCS10 Exportable = TRUE    ; TRUE = Private key is exportable KeyLength...

posted @ Wednesday, September 24, 2014 10:27 PM | Feedback (0) | Filed Under [ Security Windows ]

Is TLS Fast Yet?

Hallo zusammen, Ich bin gestern über das folgende Video gestolpert. Dabei wird erklärt, wie man die TLS Performance erhöhen kann und welche Einstellungen gemacht werden müssen, damit die Performance und Geschwindigkeit optimiert wird. Die Präsentation gibt es hier http://bit.ly/fastTLS Grüsse Andres Bohren

posted @ Wednesday, August 13, 2014 6:41 PM | Feedback (0) | Filed Under [ Web Security ]

Security Advisory for Symantec Endpoint Protection v11,v12,v12.1

Hallo zusammen, Für Symantec Endpoint Protection (SEP) existiert ein client buffer overflow exploit. Deshalb hat Symantec für SEP 11, 12 und 12.1 ein entsprechendes Security Advisory veröffentlicht. Es wird empfohlen auf die Version 12.1 RU4 MP1b zu aktualisieren. http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2014&suid=20140804_00 Update Symantec Endpoint Manager Zuerst muss der Symantec Endpint Manager (SEPM) aktualisiert werden. Aktualisierung Danach muss man den Symantec Endpoint Manager starten um die Aktualisierung abzuschliessen. Um den aktualisierten Client zu verteilen, muss man den aktuellen Install Package entfernen und durch das neue ersetzen. Mit den folgenden Settings sollte man vorsichtig umgehen. So wird der aktuelle Client sofort aktualisiert und die Clients starten nach der Installation neu. So sieht es aus, wenn man...

posted @ Sunday, August 10, 2014 10:02 PM | Feedback (0) | Filed Under [ Security ]

SPF RR is deprecated - use TXT RR only

Hallo zusammen, Einer meiner Kollegen hat mich kürzlich auf den folgenden Link bezüglich SPF aufmerksam gemacht. An dieser Stelle ein herzliches Dankeschön an Claudius!!!. http://www.zytrax.com/books/dns/ch9/spf.html Darin wird beschrieben, dass das aktuelle RFC zu SPF (http://tools.ietf.org/html/rfc7208) den DNS Ressource Record vom Typ "SPF" nicht mehr erwähnt wird und somit "deprecated" (überholt) ist. Im alten SPF zu RFC (http://tools.ietf.org/html/rfc4408) ist dieser Eintrag noch erwähnt worden. Zu meiner Schande muss ich gestehen, dass ich diesen DNS Ressouce Record gar nicht gekannt habe. Ich habe mal geschaut, ob es diesen Typ überhaupt auf dem DNS Service von Windows Server 2012 R2 gibt. Der Typ "SPF" ist hier nirgends auszumachen. Gibt...

posted @ Thursday, July 24, 2014 10:13 PM | Feedback (0) | Filed Under [ Security Exchange ]

TMG 2010 SP2 Updaterollup 5

Hallo zusammen, Kürzlich wurde das Updaterollup 5 für TMG 2010 SP2 veröffentlicht. Updaterollup 5 für Forefront Threat Management Gateway 2010 Servicepack 2 http://support.microsoft.com/kb/2954173 TMG 2010 SP2 Updaterollup 5 - Hotfix Download http://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=2954173&kbln=en-us   Grüsse Andres Bohren

posted @ Tuesday, July 01, 2014 6:35 AM | Feedback (0) | Filed Under [ Security ]

TLS Basics and Hardening

Hallo zusammen, In den letzten Tagen habe ich mich etwas mit Transport Layer Security (kurz TLS) auseinandergesetzt. Hierzu muss man erst einmal ein bisschen die Begriffe SSL und TLS entwirren. SSL ist der alte Begriff und sollte nicht mehr verwendet werden. http://de.wikipedia.org/wiki/Transport_Layer_Security Geschichte Version Beschreibung Jahr ...

posted @ Wednesday, March 19, 2014 3:06 PM | Feedback (0) | Filed Under [ Security ]

Nmap installation

Hallo zusammen, Ich habe mir den Portscanner NMAP installiert. Das ist ein sehr gewaltiges Tool und ist vielfältig einsetzbar. Download: http://nmap.org/download.html Der folgende Befehl macht einen Portscan der Top 25 Ports. Man sieht auch gleich welche Version eingesetzt wird. nmap -sV --reason -PN -n --top-ports 25 icesrv01.corp.icewolf.ch Mit dem folgenden Befehl, wird das Zertifikat und die Verschlüsselungssuiten an. nmap --script ssl-cert,ssl-enum-ciphers -p 25,587,993,995 icesrv01.corp.icewolf.ch Grüsse Andres Bohren

posted @ Wednesday, March 19, 2014 11:52 AM | Feedback (0) | Filed Under [ Security ]

How to view and decode a CSR

Hallo zusammen, Kürzlich habe ich mich gefragt, wie man denn einen Certificate Signing Request (CSR) prüfen kann, bevor man dafür ein Zertifikat ausstellt. Beispielsweise ob wirklich ein FQDN beim CN verwendet wurde oder ob die Organization korrekt eingetragen wurde. Ich habe zwei Möglichkeiten entdeckt. Die eine ist mit openssl und die andere mit Online CSR Decodern. openssl Um einen CSR mit openssl anzuzeigen muss man den folgenden Befehl benutzen openssl req -text -in file.csr Online CSR Decoder Im Internet gibt es viele online CSR Decoder. Mir hat der von Cert Logik besonders gut gefallen. http://certlogik.com/decoder/ Einfach den CSR als Base64 Text ins Feld kopieren und "decode" klicken. Anschliessend...

posted @ Tuesday, March 18, 2014 9:39 AM | Feedback (0) | Filed Under [ Security ]

Improving SSL Security on TMG 2010

Hallo zusammen, Kürzlich habe ich meinen voll gepatchten TMG 2010 welcher auf Windows 2008 R2 läuft mit dem Online SSL Test geprüft. Das Resultat war ziemlich ernüchternd. https://www.ssllabs.com/ssltest/ Dann habe ich die Tipps von isaserver.org umgesetzt. SSL 2.0 deaktivieren mit dem folgenden Registry Key  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client] "DisabledByDefault"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server] "Enabled"=dword:00000000 SSL Renegotiation anpassen [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL] "AllowInsecureRenegoClients"=dword:00000000 "DisableRenegoOnServer"=dword:00000001 TLS 1.1 und TLS 1.2 aktivieren [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 Nach dem Reboot des TMG Servers habe ich den Test nochmals durchgeführt. Ich würde sagen, es sieht schon viel besser aus! Grüsse Andres Bohren

posted @ Thursday, March 13, 2014 10:41 PM | Feedback (2) | Filed Under [ Security ]

Symantec Endpoint Protection 12.1 RU4a

Hallo zusammen, Kürzlich wurden von Symantec Security Advisories zu Symantec Endpoint Protection Manager herausgegeben. Folgende Versionen sind anfällig: Symantec Endpoint Protection Manager 11.0 RTM to 11.0 RU7 MP4 Symantec Endpoint Protection Manager 12.0.x Symantec Endpoint Protection Manager 12.1 RTM to 12.1 RU4 Security Advisories Relating to Symantec Products - Symantec Endpoint Protection Manager Vulnerabilities http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20140213_00 SYM14-004 Symantec Endpoint Protection Management Vulnerabilities http://www.symantec.com/business/support/index?page=content&id=TECH214866 Installation Die aktuelle Version kann über Fileconnect heruntergeladen werden. Die aktualisierte Version kann über eine vorhandene Installation installiert werden und aktualisiert alle Settings. Voraussetzung ist, dass auf dem Systemdrive mindestens 3 GB...

posted @ Monday, February 17, 2014 6:35 PM | Feedback (0) | Filed Under [ Security ]

Certificates Credential Roaming

Hallo zusammen, Kürzlich habe ich mich mal wieder mit Zertifikaten auseinandergesetzt. Dabei habe ich mich gefragt, wie man denn mit Benutzerzertifikaten umgeht, bei denen sich der Benutzermal hier und mal dort an einem Computer anmelden. Die folgenden Links haben mir bei der Beantwortung der Frage geholfen. Configuring and Troubleshooting Certificate Services Client–Credential Roaming http://technet.microsoft.com/en-us/library/cc700848.aspx Credential Roaming http://social.technet.microsoft.com/wiki/contents/articles/11483.credential-roaming.aspx Enable Credential Roaming http://technet.microsoft.com/en-us/library/cc771348.aspx Zuerst habe ich für den Benutzer ein Userzertifikat ausgestellt. Im AD ist das Zertifikat unter "Published Certificates" aufgeführt, aber die Attribute msPKI* sind...

posted @ Thursday, February 13, 2014 9:21 PM | Feedback (0) | Filed Under [ Security Windows ]

Install certificate from Certificate Authority (CA) on VMware ESXi 5.5

Hallo zusammen, Im folgenden Blog Artikel zeige ich euch wie man ein SSL Zertifikat einer Certificate Authoritiy (CA) auf dem VMware ESXi installiert. Quelle: http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2015499  Beim Verbinden mit dem vSphere Client erhalte ich eine Fehlermeldung weil kein trusted Zertifikat auf dem ESXi installiert ist. Backup des bestehenden Zertifikats cd /etc/vmware/ssl cp rui.crt /var/tmp/rui.crt.org cp rui.key /var/tmp/rui.key.org Erstellen der openssl.cfg vi openssl.cfg [ req ] default_bits = 2048 default_keyfile = rui.key distinguished_name = req_distinguished_name encrypt_key = no prompt = no string_mask = nombstr req_extensions = v3_req [ v3_req ] basicConstraints = CA:FALSE keyUsage = digitalSignature, keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth, clientAuth subjectAltName = DNS: esx, IP:172.21.175.5, DNS:esx.corp.icewolf.ch [ req_distinguished_name ] countryName = CU stateOrProvinceName = BE localityName = Bern 0.organizationName = Icewolf organizationalUnitName = IT commonName = esx.corp.icewolf.ch Nun wird der Certificate...

posted @ Wednesday, December 04, 2013 10:51 PM | Feedback (0) | Filed Under [ Security Virtualisation ]

TMG 2010 SP2 Updaterollup 4

Hallo zusammen, Seit kurzem ist das Updaterollup 4 für TMG 2010 SP2 verfügbar Updaterollup 4 für Forefront Threat Management Gateway 2010 Servicepack 2 http://support.microsoft.com/kb/2870877 Download http://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=2870877&kbln=en-us Grüsse Andres Bohren

posted @ Saturday, November 16, 2013 11:46 AM | Feedback (0) | Filed Under [ Security ]

Symantec Enpoint Protection 12.1 (SEP)

Hallo zusammen, Auf den neuen Server habe ich mir die Symantec Endpoint Protection Version 12.1 als Antiviren Software installiert. Symantec Endpoint Protection gibt's auch als Trialware: http://www.symantec.com/endpoint-protection/trialware Um die Antiviren Clients zu managen, installiert man zuerst den Symantec Protection Endpoint Manager Nach der Installation startet gleich die Konfiguration Nach der Konfiguration kann man sich auf dem Endpoint Protection Manager einloggen. Nun Installiere ich den Antiviren Client auf deiner Windows 7 Workstation Nach der Installation muss die Workstation neu gestartet werden. Dies passiert spätestens in der Nacht um 03:11 Nach dem Neustart der Workstation ist der Symantec Endpoint Protection Client auf der Workstation installiert und betriebsbereit. Grüsse Andres Bohren

posted @ Tuesday, July 30, 2013 11:09 PM | Feedback (0) | Filed Under [ Security Windows ]

Configure Account Lockout feature in Forefront TMG

Hallo zusammen, Meine Account Lockout Policy erlaubt 5 falsche Anmeldungen, danach wird der Account für 30 Minuten gesperrt. Damit ein Account nicht durch fehlgeschlagene Anmeldeversuche vom OWA gesperrt wird, habe ich das Lockout Feature auf dem Forefront TMG aktiviert. Im folgenden Blog wird das genau erklärt. http://blog.powershell.no/2012/08/07/configure-account-lockout-feature-in-forefront-tmg-using-windows-powershell/ Das dazugehörige Script findet man hier: http://gallery.technet.microsoft.com/scriptcenter/Retrieve-and-modify-18a029ba $FPC =  New-Object -ComObject FPC.root $array = $FPC.GetContainingArray() $listener = $array.RuleElements.WebListeners | Where-Object {$_.Name -eq “My Listener”} $listener.Properties | fl *account* Meldet man sich zu oft falsch an (AccountLockoutThreshold) wird das in den Alerts angezeigt Und auch im Application Eventlog findet sich ein entsprechender Eintrag Source: Microsoft Forefront TMG Web Proxy Event ID: 32581 Level: Error Text: limit for...

posted @ Tuesday, May 07, 2013 11:18 PM | Feedback (0) | Filed Under [ Security Powershell ]

Certification Revocation List (CRL) explained

Hallo zusammen, Ich habe mich ja schon oft mit Zertifikaten und der CA beschäftigt. Dieses mal wollte ich ein bisschen mehr über die Certification Revocation List (CRL) erfahren. Auf meiner Windows 2003 CA im Labor habe ich deshalb ein bisschen herumgespielt. Schauen wir uns doch ein ausgestelltes Zertifikat ein bisschen näher an. Im Feld "CRL Distribution Point" (CDP) wird der Pfad zur CRL angegeben. Standardmässig sind dies der LDAP und der HTTP Pfad. Auf den Eigenschaften der CA kann man das konfigurieren. Und zwar in der Registerkarte "Extensions" Spasseshalber entferne ich den LDAP Pfad mal aus dem CDP Danach muss der CA Service neu gestartet werden. Nun muss ein...

posted @ Tuesday, April 30, 2013 9:32 PM | Feedback (0) | Filed Under [ Security Windows ]

New Rules for Public Certificates

Hallo zusammen, Es gibt einige Änderungen was öffentliche SSL Zertifikate betrifft. Interne IP's und Interne Domains dürfen nicht mehr im Subject Alternative Name (SAN) eines Zertifikats eingetragen werden. Hier einige Dokumente welche das beschreiben Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, v.1.0 CA/Browser Forum: Internal Server Names and IP Address Requirements for SSL Eine gute Zusammenfassung was das Bedeutet gibt es auf dem NextHop Blog "How Changes to Public Certification Authority Standards Will Affect You The Subject Name / Common Name field is deprecated and discouraged for use. ...

posted @ Sunday, April 28, 2013 10:48 AM | Feedback (0) | Filed Under [ Security ]

Microsoft Baseline Security Analyzer (MBSA)

Hallo zusammen, Mit dem Microsoft Baseline Security Analyzer kurz MBSA kann man Prüfen, ob die aktuellsten Security Patches eingespielt sind. Ausserdem werden noch weitere Konfigurationen geprüft und im Report dargestelt. Microsoft Baseline Security Analyzer 2.2 http://www.microsoft.com/de-ch/download/details.aspx?id=7558 WSUS CAB File Ist man auf einem Computer, welcher keinen Internetzugriff hat, muss man das File wsusscn2.cab manuell in ein Verzeichnis im Benutzerprofil hinterlegen C:\Users\<Username>\AppData\Local\Microsoft\MBSA\Cache http://download.windowsupdate.com/microsoftupdate/v6/wsusscan/wsusscn2.cab Local Scan Scan des lokalen Computers mit MBSA Remote Scan Es können auch Computer übers Netzwerk gescannt werden. Ich erhalte hier die Fehlermeldung: "Cannot contact Windows Update Agent on target computer possibly due to firewall Settings". Auf dem Remote Computer habe ich dann folgende Firewall Settings gemacht Nun klappt der MBSA...

posted @ Sunday, March 24, 2013 12:17 PM | Feedback (0) | Filed Under [ Security Windows ]

TMG 2010 SP2 Updaterollup 3

Hallo zusammen, Das Updaterollup 3 für Forefront Threat Management Gateway (TMG) 2010 Servicepack 2 ist verfügbar  http://support.microsoft.com/kb/2735208 Grüsse Andres Bohren

posted @ Thursday, January 17, 2013 9:46 PM | Feedback (0) | Filed Under [ Security ]

Türktrust - Microsoft updates Untrusted Certificates

Hallo zusammen, Microsoft muss wieder ein Update der Zertifikatsstores machen. Anscheinend hat Türktrust nach einem Update einige Zertifikate falsch ausgestellt. Jetzt gibt ein Update von Microsoft, welches die entsprechenden Zertifikate in die Untrusted Certificates im Windows Certificatestore einträgt. Quellen: KB2798897 Microsoft Security Advisory: Fraudulent digital certificates could allow spoofing MSRC Security Advisory 2798897 released, Certificate Trust List updated Heise.de Fatale Panne bei Zertifikatsherausgeber Türktrust Grüsse Andres Bohren

posted @ Sunday, January 06, 2013 6:14 PM | Feedback (0) | Filed Under [ Security ]

WSUS 3.0 Update to support Windows 8 and Windows Server 2012

Hallo zusammen, Für WSUS 3.0 SP2 gibt es ein Update um auch WSUS Clients von Windows 8  und Windows Server2012 zu unterstützen. http://support.microsoft.com/kb/2734608/en-us Unter Windows 8 habe ich den Windows Update Fehlercode 800B0001 erhalten. iisreset /stop net stop wsusservice Backup Database WSUS3\WSUS-KB2734608-x64.exe /q C:\temp\WsusUpdate.log Das Update hat also geklappt - ein Neustart des Server ist jedoch nicht notwendig. iisreset net start wsusservice Und jetzt klappt auch WSUS mit einem Windows 8 Client. Grüsse Andres Bohren

posted @ Monday, December 10, 2012 9:25 PM | Feedback (0) | Filed Under [ Security Windows ]

Disable Check for publisher's certificate revocation

Hallo zusammen, Beim Installieren der Exchange Update Rollups werden die .NET Assemblies generiert. Diese besitzen eine Digitale Signatur. Und jede Datiesignatur wird auf ein zurückgezogene Signatur geprüft. Bei einem Server ohne Internetverbindung oder ein Proxy der solche Abfragen blockt, kann es natürlich sehr lange gehen, weil die Anfrage jeweils in ein Timeout läuft. Ich habe den Zeitraum vom Generieren der Assemblies bis zu deren fertigstellung gemessen.   Dauer Einstellung ...

posted @ Monday, October 01, 2012 11:59 PM | Feedback (0) | Filed Under [ Security Exchange ]

Meine Erfahrungen mit der suisseID

Hallo zusammen, Ich habe mir eine suisseID gekauft. Hier meine Erfahrungsbericht. Für die suisseID gibt es mehrere Anbieter - ich habe mich für Die Post entschieden. Nach dem Online Einkauf muss ein Antragsformular ausgefüllt werden. Bei einer Poststelle werden dann die Personalien überprüft und ein Mitarbeiter am Postschalter bestätigt mit seiner Unterschrift, dass die Personalien korrekt sind. Achtung: Dafür wird eine Gebühr von CHF 25.--fällig. Der Antrag und die Personalienüberprüfung werden dann an die Zertifizierungsstelle der Post geschickt. Ein paar Tage später erhält man dan Post von "Der Post" :o) Darin ist der USB Stick mit dem Chip auf dem das Zertifikat drauf ist. Nach dem Einstecken wird...

posted @ Thursday, September 20, 2012 9:07 PM | Feedback (4) | Filed Under [ Security ]

Some Forefront Products discontinued

Hallo zusammen, Im "Server & Cloud Blog" von Microsoft wurde angekündigt dass ab 01.12.2012 folgende Produkte nicht mehr weitergefürt werden. Forefront Protection 2010 for Exchange Server (FPE) Forefront Protection 2010 for SharePoint (FPSP) Forefront Security for Office Communications Server (FSOCS) Forefront Threat Management Gateway 2010 (TMG) Forefront Threat Management Gateway Web Protection Services (TMG WPS) http://blogs.technet.com/b/server-cloud/archive/2012/09/12/important-changes-to-forefront-product-roadmaps.aspx Grüsse Andres Bohren

posted @ Wednesday, September 19, 2012 10:23 AM | Feedback (0) | Filed Under [ Security ]

SQL Server 2012 Cumulative Update 3

Hallo zusammen, Hier die Screenshots der Installation von Cumulative Update 3 für SQL 2012. Eine Liste der SQL Server Versionsnummern ist unter folgendem Link publiziert http://sqlserverbuilds.blogspot.ch/ Grüsse Andres Bohren

posted @ Thursday, September 13, 2012 11:17 PM | Feedback (0) | Filed Under [ Security ]

Certificates with less than 1024 Bits will be blocked

Hallo zusammen, Microsoft wird am Oktober Patchday (09.10.2012) ein Patch herausgeben, welcher die Zertifikate mit einem RSA Public Key mit weniger als 1024 Bits als nicht Vertrauenswürdig einstuft. Was wird nach dem Patch passieren Zertifikatswarnungen beim Zugriff auf SSL Seiten, deren Zertifikate weniger als 1024 Bits haben Probleme beim ausstellen von Zertifikaten mit weniger als 1024 Bits Erzeugen oder zugreifen von verschlüsselten Mails (S/MIME) mit einer Verschlüsselung von weniger als 1024 Bits Probleme beim Installieren von signierten Active X Controls welche mit weniger als 1024 Bits signiert wurden ...

posted @ Saturday, September 08, 2012 12:56 AM | Feedback (0) | Filed Under [ Security ]

MS-CHAP v2 is insecure

Hallo zusammen, Gestern wurde vom Microsoft das Security Adivory 2743314 veröffentlicht, welches das MS-CHAP v2 betrifft Im untenstehenden Blog Artikel wird das ganze noch ein bisschen genauer beschrieben. Mit dem Tool https://github.com/moxie0/chapcrack kann man MS-CHAPv2 handshakes aus einem Networktrace extrahieren und auf https://www.cloudcracker.com/ kann ein MS-CHAPv2 in weniger als 24 Stunden berechnet werden https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/ Empfehlung: Man sollte also gerade bei VPN mit PPTP auf L2TP/IPSec oder gleich auf SSTP setzen. Grüsse Andres Bohren

posted @ Tuesday, August 21, 2012 10:21 PM | Feedback (0) | Filed Under [ Security Network ]

Fake Support Calls from "Windows Support Center"

Hallo zusammen, In der letzten Zeit erhalte ich immer wieder Anrufe von einer unterdrückten Nummer oder auch von 0012538203089. Dort meldet sich jeweils eine Englischsprechende Person welche behauptet sie sei vom "Windows Support Center" und mein Computer sei mit einem Virus infiziert. Dabei weiss doch jeder, dass "Windows" nur eine Marke ist - die Firma heisst ja "Microsoft". Angeblich hätten sie viele Meldungen dazu :o) - Jedoch können sie weder IP Adresse, noch Computernamen, noch Namen des Viruses nennen. Grundsätzlich ist festzuhalten, dass Microsoft nie unangemeldete oder unaufgefordert Support-Anrufe tätigt um Computerprobleme zu beheben. Also sofort auflegen und allfällige Mails ebenfalls sofort löschen! Siehe auch dazu: ...

posted @ Saturday, July 21, 2012 1:36 PM | Feedback (0) | Filed Under [ Security ]

How to Crack Passwords of Active Directory Users

Hallo zusammen, Eigentlich bin ja kein Hacker, oder wenn dann ein ein "White Hat". Aber ich wollte mal wissen, wie einfach es denn ist, an die AD Passwörter der Benutzer zu kommen. Mit den entsprechenden Tools ist das entsprechend einfach. Benötigte Tools fgdump John the Ripper   Vorgehen Ich habe mich auf einem voll gepatchten Windows 2008 Domain Controller als Domain Admin eingeloggt und das Tool fgdump als Administrator gestartet. fgdump.exe Dabei werden die Hashwerte der Passwörter exportiert. Das sieht dann etwa so aus. Nun lasse ich das Passwort Cracker Tool "John the Ripper" gegen die Passwort Hashes laufen....

posted @ Wednesday, June 20, 2012 10:36 PM | Feedback (0) | Filed Under [ Security Windows ]

Clear Cache on TMG 2010

Hallo zusammen, Wie löscht man eigentlich den Cache auf dem TMG 2010? Da gibt es zwei Möglichkeiten.... Löschen des Cache Files Wie das geht - ist unter folgender URL erklärt: http://technet.microsoft.com/en-us/library/cc984478.aspx net stop fwsrv to stop the Microsoft Firewall service Navigate to the Urlcache folder, and locate the file with the .cdat extension Delete the .cdat file net start fwsrv to restart the Microsoft Firewall service Benutzung von CacheDir Mit dem CacheDir.exe kann man einzelne Einträge aus dem Cache entfernen. Das Tool kann unter folgender URL heruntergeladen werden:...

posted @ Thursday, May 17, 2012 11:15 PM | Feedback (0) | Filed Under [ Security ]

Active Directory Schema and Indexing explained

Hallo zusammen, Aufgrund der Recherche zu effizienteren AD Abfragen hat sich dann die Frage gestellt, welche Attribute denn im Index sind und über den Global Catalog abgefragt werden können. Und so bin ich vorgegangen: Ich habe mir das gewünschte Attribut aus dem Attribut Editor herausgesucht - in diesem Fall das Attribut "mail" Nun suchen wir das Attribut mit LDP im Schema. Wie das LDP Tool verwendet wird, habe ich bereits in einemfrüheren Blog Artikel erklärt. In der Base DN wird das Schema ausgewählt und folgendes Filter gesetzt: Filter: lDAPDisplayName=mail Attributes: ObjectClass Im Suchresultat sieht man, dass die definition vom mail Attribut im Schema unter E-mail-Addresses definiert ist. Nun schauen...

posted @ Thursday, May 17, 2012 8:14 AM | Feedback (0) | Filed Under [ Security ]

TMG 2010 Service Pack 2 Rollup 2 released

Hallo zusammen, Microsoft hat kürzlich das Rollup 2 für TMG 2010 Service Pack veröffentlicht. http://support.microsoft.com/kb/2689195 Grüsse Andres Bohren

posted @ Friday, May 11, 2012 10:06 PM | Feedback (0) | Filed Under [ Security ]

GTUBE - Generic Test for Unsolicited Bulk Email

Hallo zusammen, Wie testet man eine Antispamlösung auf die Funktionstüchtigkeit? Ähnlich wie beim EICAR Testfile für Antivirensoftware gibt es ein Testfile für Antispamsoftware welche auf einen bestimmte Zeichenfolge reagiert. http://spamassassin.apache.org/gtube/ XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X Beim Forefront Protection 2010 for Exchange Server hats jedenfalls funktioniert :o) Grüsse Andres Bohren

posted @ Wednesday, May 02, 2012 9:55 PM | Feedback (0) | Filed Under [ Security Exchange ]

Convert PKCS12 (.pfx) Certificate to PEM (Base64)

Hallo zusammen, Hier wieder einmal ein Blog Artikel zum Thema Zertifikate. Für ein Linux basiertes System musste ich ein Zertifikat im PEM Format herstellen. Also Private Key (umschlossen von -----BEGIN PRIVATE KEY-----  -----END PRIVATE KEY-----) und das Zertifikat (umschlossen von -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----). Informationen zu Zertifikatszypen auf Wikipedia: http://de.wikipedia.org/wiki/X.509 Also habe ich den Zertifikatsrequest auf einem Windows System erstellt und das Zertifikat ins pkcs12 Format exportiert - also ein PFX File erstellt.   Nun brauchen wir openssl http://www.openssl.org/ OpenSSL Windows Binaries http://www.slproweb.com/products/Win32OpenSSL.html Das PKCS12 Zertifikat (pfx File) kann mit folgendem Befehl angeschaut werden. openssl pkcs12 -in C:\temp\host.corp.icewolf.ch.pfx -info Nun konvertieren wir das PKCS12 Zertifikat in ein PEM...

posted @ Tuesday, April 24, 2012 10:56 PM | Feedback (0) | Filed Under [ Security ]

How to Capture and Decrypt TLS Traffic Using Microsoft Tools

Hallo zusammen, Beim Surfen bin ich auf einen coolen Artikel gestossen, welcher aufzeigt wie man TLS (SSL) verschlüsselten Traffic mit Microsoft Tools aufzeichnet und entschlüsselt. http://blogs.technet.com/b/nexthop/archive/2012/02/15/how-to-decrypt-lync-2010-tls-traffic-using-microsoft-network-monitor.aspx Vorgehen Traffic auf dem Server mit Network Monitor aufzeichnen und als Capture (*.cap) abspeichern Zertifikat des Servers mit Key in PFX Datei exportieren Network Monitor NM Decrypt auf Analyse Workstation installieren Capture mit NM Decrypt entschlüsseln Benötigte Tools Microsoft Network Monitor 3.4 Network Monitor Decryption Expert Traffic auf dem Server aufzeichnen Den Network Traffic mit Network Monitor auf dem Server aufzeichnen...

posted @ Thursday, March 01, 2012 12:48 PM | Feedback (0) | Filed Under [ Security Network ]

TMG 2010 SP2 Rollup 1

Hallo zusammen, Gestern hat Microsoft das Rollup 1 für TMG 2010 SP2 veröffentlicht. Das Update kann unter folgender URL heruntergeladen werden: http://support.microsoft.com/kb/2649961 Grüsse Andres Bohren

posted @ Thursday, January 12, 2012 10:59 PM | Feedback (0) | Filed Under [ Security ]

openssl Certificate Signing Request (CSR) for SAN Certificates

Hallo zusammen, Über Zertifikate habe ich ja schon ein paar Artikel geschrieben, beispielsweise die beiden folgenden, welche mir als Grundlage für diesen Artikel gedient haben: Certificate Signing Request with openssl http://blog.icewolf.ch/archive/2010/03/02/certificate-signing-request-with-openssl.aspx Custom Certificate Request (CSR) with Subject Alternative Name (SAN) http://blog.icewolf.ch/archive/2011/07/31/custom-certificate-request-csr-with-subject-alternative-name-san.aspx Heute möchte ich zeigen, wie man mit openssl ein Certificate Signing Request (CSR) für ein Subject Alternative Name (SAN) Zertifikat austellt. Die Benötigten Informationen und Tools gibts hier: http://www.openssl.org/ OpenSSL Windows Binaries http://www.slproweb.com/products/Win32OpenSSL.html Zuerst erstellen wir den Private Key -...

posted @ Tuesday, January 10, 2012 12:21 AM | Feedback (0) | Filed Under [ Security ]

Hotfix Rollup 4 for Forefront Protection 2010 for Exchange released

Hallo zusammen, Microsoft hat das Hotfix Rollup 4 für Forefront Protection 2010 für Exchange veröffentlicht Grüsse Andres Bohren

posted @ Friday, December 09, 2011 9:20 PM | Feedback (0) | Filed Under [ Security Exchange ]

Free Personal Certificate from trustcenter.de

Hallo zusammen, Bei Trustcenter kann man sich gratis ein Persönliches Zertifikat ausstellen lassen. http://www.trustcenter.de/products/tc_internet_id.htm Nach dem Ausfüllen des Antrags - wird die über eine Email oder Mobile Authentifikation das Zertifikat ausgestellt und kann direkt aus dem Browser installiert werden. Anschliessend ist das Zertifikat auf dem Computer installiert Mit dem Zertifikat kann man Emails signieren. Einfach unter Optionen "Signieren" auswählen. Beim Senden wird beim Benutzer nachgefragt, ob er das Mail wirklich signieren will. Der Empfänger kann die Signatur (rote schleife) prüfen, indem er auf das Symbol klickt Klickt man auf Details - so wird der ganze Zertifizierungspfad angezeigt und auch gleich ob das Zertifikat gültig ist. Grüsse Andres Bohren

posted @ Thursday, November 03, 2011 9:32 PM | Feedback (0) | Filed Under [ Web Security ]

SSL Certification Revocation Statistics

Hallo zusammen, Bin beim Surfen auf einen interessanten Artikel über SSL Zertifikate, beziehungsweise die Certificate Revocation List (CRL) gestossen. https://www.eff.org/deeplinks/2011/10/how-secure-https-today Interessant ist hierzu auch die Grafik über die zurückgezogenen Zertifikate mit Angaben von Gründen. Man beachte auch die Zertifikate welche wegen "Key Compromise" zurückgezogen wurden. Da machen sich sicher auch die Einbrüche in die Certification Authorities (CA) der letzten Monate bemerkbar. Grüsse Andres Bohren

posted @ Monday, October 31, 2011 11:35 PM | Feedback (0) | Filed Under [ Security ]

Forefront TMG 2010 SP2 released

Hallo zusammen, Kürzlich wurde das Service Pack 2 für Forefront Threat Management Gateway (TMG) 2010 zum Download bereitgestellt. Der Download ist unter folgendem Link verfügbar http://www.microsoft.com/download/en/details.aspx?id=27603 Die Release Notes werden in kürze hier Publiziert http://technet.microsoft.com/en-us/library/ee207138.aspx Grüsse Andres Bohren

posted @ Wednesday, October 12, 2011 11:03 PM | Feedback (0) | Filed Under [ Security ]

Anti Virus Exclusion List on Technet Wiki

Hallo zusammen, Auf dem Technet Wiki ist eine Linksammlung zu den Anti Virus Exclusion für viele Microsoft Server Produkte veröffentlicht worden http://social.technet.microsoft.com/wiki/contents/articles/953.aspx Grüsse Andres Bohren

posted @ Friday, August 26, 2011 10:56 PM | Feedback (0) | Filed Under [ Security Windows ]

How to request and install Certificate in IIS on a Windows 2008 R2 Server

Hallo zusammen, In diesem Blog Artikel zeige ich euch, wie man ein Zertifikat im IIS installiert. Dazu muss zuerst ein Certificate Signing Request (CSR) erstellt werden. In der IIS MMC Konsole Server Certificates doppelklicken. Auf der rechten Seite "Create Certificate Request" anklicken und die Informationen eingeben Security Provider und Bitlänge auswählen Den CSR als Textfile abspeichern. Diese Informationen können nun bei einer Public Certification Authority eingegeben werden um ein öffentliches Zertifikat zu erlangen oder auch bei einer Windows Certification Authority. Ist das Zertifikat ausgestellt gehts im IIS wieder weiter. Man muss "Complete Certificate Request" anklicken und das Zertifikat auswählen und einen Friendly Name vergeben. Es...

posted @ Sunday, July 31, 2011 11:35 PM | Feedback (0) | Filed Under [ Security Windows ]

Custom Certificate Request (CSR) with Subject Alternative Name (SAN)

Hallo zusammen, Im IIS kann man über den Wizard zwar Zerftifikate erstellen, jedoch keine mit Subject Alternative Names (SAN). Dies wird verwendet, falls man einen Host über ein Zertifikat mit mehreren URL's ansprechen möchte. Kurze SSL Zertifikatsrepetition. Damit ein Zertifikat vertrauenswürdig ist, also beispielsweise im Browser keinen roten Balken bringt, müssen folgende drei Kriterien erfüllt sein. CN oder SAN muss mit der URL übereinstimmen Gültigkeit des Zertifikats (jedes Zertifikat hat ein Start- und Enddatum) Dem Aussteller (CA) des Zertifikats muss vertraut werden. mmc starten --> certificates --> Computer All Tasks --> Advanced Operations --> Create...

posted @ Sunday, July 31, 2011 6:05 PM | Feedback (0) | Filed Under [ Security Windows ]

Hotfix Rollup 3 for Microsoft Forefront Protection for Exchange

Hallo zusammen, Das Hotfix Rollup 3 für Microsoft Forefornt Protection für Exchange wurde veröffentlicht. Welche Probleme beseitigt worden sind, ist im KB2538719 beschrieben.  Der Hotfix kann hier angefordert werden: http://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=2538719&kbln=en-us Grüsse Andres Bohren

posted @ Wednesday, April 20, 2011 9:10 PM | Feedback (0) | Filed Under [ Security ]

Spamstatistics over the last 18 Months

Hallo zusammen, Eindrücklich wie das Spamaufkommen in den letzten 18 Monaten zurückgegangen ist. http://www.senderbase.org/home/detail_spam_volume?displayed=last18months&action=&screen=&order= Grüsse Andres Bohren

posted @ Friday, March 18, 2011 5:48 PM | Feedback (0) | Filed Under [ Security Exchange ]

How Automatic Root Certificates Update works in Vista / Windows 7

Hallo zusammen, Kürzlich bin ich bei den Vorbereitungen einer SSL Website mit einem Public Zertifikat über etwas interessantes gestossen. Bei Windows XP/2003 muss man die Stammzertifikate regelmässig updaten. Mehr Infos und das entsprechende Stammzertifikatupdate gibt es hier: http://support.microsoft.com/kb/931125 Das Update der Stammzertifikate aus obenstehendem Link kann man übrigens auch über WSUS oder mit dem /q Parameter (Quiet mode) installieren. Die Installation mit rootsupd.exe funktioniert übrigens auch bei Windows Vista und Windows 7 noch. Ab Windows Vista ist es nicht mehr notwendig die Root Zertifikate regelmässig upzudaten, denn hier werden diese sozusagen "On Demand" aktualisiert. Greift man Beispielsweise auf eine HTTPS Website zu, bei der...

posted @ Friday, December 31, 2010 12:13 AM | Feedback (1) | Filed Under [ Security Windows ]

Is your Password Secure?

Hallo zusammen, Es ist Ende Jahr - ein guter Zeitpunkt sich über ein neues Passwort Gedanken zu machen. Es sollte aber ein sicheres Passwort sein. Die Qualtiät eines Passworts kann beispielsweise über folgende Webiste überprüft werden. http://www.microsoft.com/austria/protect/yourself/password/checker.mspx Grüsse Andres Bohren

posted @ Thursday, December 30, 2010 1:12 PM | Feedback (0) | Filed Under [ Security ]

IE Enhanced Security Configuration

Hallo zusammen Internet Explorer Enhanced Security Configuration ist ein zusätzlicher schutz, bei dem die Sicherheitseinstellungen auf dem Server restriktiver eingestellt sind als auf einem Client. Um die Konfiguration anzupassen muss man im Server Manager auf "Configure IE ESC" klicken. Nun können die gewünschten Einstellungen vorgenommen werden. Unter Windows 2003 ist das unter "Add/Remove Windows Components" zu finden. Mit dem untenstehenden Script kann man die IE Enhanced Security Configuration deaktivieren. Der obere Eintrag ist für die Administratoren, der untere für die User. REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f Ob IE...

posted @ Thursday, December 23, 2010 5:18 PM | Feedback (0) | Filed Under [ Security Windows ]

Software Update 1 for TMG 2010 SP1 resolves EventID 31506 Error

Hallo zusammen, Kürzlich wurde das Software Update 1 für TMG 2010 SP1 veröffentlicht. Dieses unterstützt nun auch das SP1 von Exchange 2010 (also die Edge Rolle auf dem TMG) wie dem Forefront TMG Blog zu entnehmen ist. Damit gehören die EventID 31506 Errors nun endlich der Vergangenheit an. Man muss aber sagen - das hat eine ganze Weile gedauert - wie man dem einem Beitrag im Technet Forum entnehmen kann. Grüsse Andres Bohren

posted @ Wednesday, September 22, 2010 9:20 PM | Feedback (0) | Filed Under [ Security Exchange ]

ISA/TMG Proxy Chaining

Hallo zusammen, Ich habe ein ganzes Testlab hinter einen TMG gepackt, da wir aber nur über den ISA ins Internet kommen, muss ich dem TMG irgendwie beibringen den ganzen Traffic an den ISA zu senden - dies nennt man "Proxy Chaining". Vielleicht hilft die untenstehende Grafik etwas das zu verdeutlichen. In der TMG Konsole unter "Networking" die Registerkarte "Web Chaining" auswählen und die Eigenschaften aufrufen. In der Regisgerkarte "Action" die zweite Einstellung auswählen... ...und unter Settings den Server, Port und die Credentials angeben. Grüsse Andres Bohren

posted @ Tuesday, September 07, 2010 10:22 AM | Feedback (0) | Filed Under [ Security Network ]

Gesetzliche Grundlagen der Email Archivierung in der Schweiz

Hallo zusammen, Im Netz habe ich ein paar PDF's gefunden welche die relevanten Gesetzesartikel für die Emailarchivierung in der Schweiz auflisten: http://www.fh-fid.ch/Vollversammlung06/baerkarrer.pdf http://baerkarrer.ch/upload/publications/18_41_28EMCOutoftheBox-Email-Archivierung.pdf Links zu den Gesetzen OR - Obligationenrecht GeBüV - Geschäftsbücherverordnung DSG - Datenschutzgesetz HregV - Handelsregisterverordnung StGB - Schweizerisches Strafgesetzbuch ArGV -Verordnung zum Arbeitsgesetz   Obligationenrecht OR Art. 9 1 Trifft der Widerruf bei dem anderen Teile vor oder mit dem Antrage ein, oder wird er bei späterem Eintreffen dem andern zur Kenntnis gebracht,...

posted @ Wednesday, August 18, 2010 11:01 PM | Feedback (1) | Filed Under [ Security Exchange ]

Antivirensoftware und Exploit-Schutz

Hallo zusammen, Gestern wurde ich auf den folgenden Heise Artikel aufmerksam: Antivirensoftware nutzt Exploit-Schutz von Windows nur unzureichend. Den Herstellern von Sicherheitssoftware wird vorgeworfen, dass ihre Software Exploit-Schutz Techniken wie ASLR (Adress Space Load Randomisatuion) und DEP (Data Excecution Prevention) ungenügend genutzt wird. Ich habe mir mal bei meiner Antivirus Software angeschaut. Es handelt sich dabei um Symantec Endpoint Protection 11.0.6005.562. Es stimmt also, manchmal wird DEP verwendet, manchmal ASLR und manchmal keines von beidem. Grüsse Andres Bohren

posted @ Wednesday, August 04, 2010 10:05 PM | Feedback (0) | Filed Under [ Security Windows ]

Hotfix Rollup 1 for Forefront Protection 2010 for Exchange Server available

Hallo zusammen, Seit gestern ist das Hotfix Rollup 1 für Forefront Protection for Exchange Server verfügbar. Der entsprechende KB Artikel ist hier veröffentlicht http://support.microsoft.com/kb/2181692 Grüsse Andres Bohren

posted @ Thursday, July 01, 2010 11:31 PM | Feedback (0) | Filed Under [ Security Exchange ]

Forefront TMG 2010 SP1 released

Hallo zusammen Das SP1 für Forefront TMG 2010 (dem ISA Nachfolger) wurde veröffentlicht. Das SP1 kann unter folgender URL heruntergeladen werden http://www.microsoft.com/downloads/details.aspx?FamilyID=f0fd5770-7360-4916-a5be-a88a0fd76c7c&displaylang=en#filelist Leider behebt das SP1 den "E-mail policy reapplied" Fehler nicht. Dies ist aber nur dann Relevant, wenn auf dem TMG neben der Exchange Edge Rolle auch die "Forefront Protection 2010 for Exchange Server" installiert ist. http://social.technet.microsoft.com/Forums/en-US/ForefrontedgePub/thread/545f5d3d-4871-45b1-8592-8408ef8256d0 Grüsse Andres Bohren

posted @ Monday, June 28, 2010 6:08 PM | Feedback (0) | Filed Under [ Security Network ]

Mozilla Plugin Check

Hallo zusammen, Mozilla bietet einen Plugin Check an, welcher auch für den Internet Explorer tauglich ist. Der Check prüft, ob alle Browser Plugins autell sind: http://www.mozilla.com/en-US/plugincheck/ Grüsse Andres Bohren

posted @ Thursday, May 13, 2010 10:46 AM | Feedback (0) | Filed Under [ Web Security ]

Symantec Endpoint Protection 11.0.6a released

Hallo zusammen, Es gibt einen neuen Release von Symantec Endpoint Protection. http://www.symantec.com/connect/forums/info-latest-available-version-symantec-endpoint-protection-28-apr-2010 Die neuste Version kann bei Symantec heruntergeladen werden https://fileconnect.symantec.com/ Grüsse Andres Bohren

posted @ Thursday, April 29, 2010 11:45 PM | Feedback (0) | Filed Under [ Security ]

Publish OWA for Exchange 2010 on TMG 2010

Hallo zusammen, Heute zeige ich euch mal ein paar Screenshots der OWA Web Publishing Rule von Threat Management Gateway 2010 (TMG 2010) Der interne Exchange Servername in FQDN. Inkl. Hostheader Forward und orginaler Client IP. Authentication Methode: FBA mit Active Directory Hier noch genauer spezifiziert. Hier kann man auch erlauben über den TMG das Passwort zu ändern und wie viele Tage im vorraus die Meldung erscheinen soll. Public DNS Names der Websites Natürlich muss die Authentifizierung auch auf dem Exchange entsprechend gesetzt werden. Und auch auf dem ECP Und der abschliessende test... Und so sieht das dann für den Client aus... Okay... Mein Passwort läuft also aus. Dann ändere ich das...

posted @ Thursday, April 29, 2010 9:00 PM | Feedback (2) | Filed Under [ Security Exchange Network ]

TMG 2010 Email Policy

Hallo zusammen Hier zeige ich euch mal ein paar Screenshots von Threat Management Gateway 2010 (TMG2010) und wie die Email Policy funktioniert. Der Startbildschirm des Wizards. Die Internen Mailserver und eine Domain muss erfasst werden. Das interne Interface auswählen für den internen Listner auswählen. Das Public Interface für den Incoming Listener festlegen. Die Configuration festlegen. Abschluss des Wizards. So, schon fast fertig. Es muss nur noch der interne Listner angepasst werden. Dies ist die Standardsecurity des internen Listners. Nun muss die Email Policy im TMG Applied werden. Danach muss ein Edge Subscription File erstellt werden. Den Pfad für das File angeben. Fertig :o) Im Exchange muss nun das Edge Subscription File importiert werden. AD Site...

posted @ Thursday, April 22, 2010 9:12 PM | Feedback (0) | Filed Under [ Security Exchange ]

Installing Forefront Protection 2010 for Exchange Server

Hallo zusammen Ich habe hier mal die Screenshots für die Installation vonForefront Protection 2010 for Exchange Server gemacht. Es gibt auch eine Testversion (120 Tage) welche man hier herunterladen kann. Die Dokumentation ist auf dieser Technet Seite zu finden. Ein paar Eigenheiten von Forefront Protection 2010 for Exchange Server habe ich ja bereits in diesem Artikel beschrieben Es gibt auch noch eine Forefront Management Shell. Wie in Exchange kann man hier alles über Powershell abfragen und Einstellungen machen. Eine Ausführliche Anleitung gibts hier... Grüsse Andres Bohren

posted @ Wednesday, March 03, 2010 11:01 PM | Feedback (0) | Filed Under [ Security Exchange ]

Certificate Signing Request with openssl

Hallo zusammen, Hie und da gibt es Produkte, welche zwar SSL Zertifikate unterstüzen, jedoch kein selbst kein Certificate Singning Request (CSR) erstellen können. Dies kann man aber auch mit OpenSSL machen. Zuerst muss man den Private Key mit dem Parameter "genrsa" erstellen. Im Beispiel hier wurde ein RSA Key mit 2048 Schlüssellänge gewählt. openssl genrsa -out PrivateKey.contoso.com.pem 2048 Nun kann mit dem Private Key ein Certificate Signing Request (CSR) erstellt werden. Dabei werden einige Informationen, wie z.B. Land, Kanton, Organisation etc abgefragt - diese erscheinen dann anschliessend im Zertifikat. openssl req -new -key PrivateKey.contoso.com.pem -out contoso.com.csr Der Inhalt ist ein Base64 codiertes Textfile welches nun bei...

posted @ Tuesday, March 02, 2010 4:29 PM | Feedback (0) | Filed Under [ Security Network ]

Migrate Active Directory Certificate Services to Windows 2008

Hallo zusammen, Ich habe vor einiger Zeit meine Windows 2003 Root CA auf Windows 2008 migriert. Hat Einwandfrei geklappt - hier die Anleitung und die entsprechenden Links. Das Vorgehen ist eigentlich einfach: Backup der CA inkl. Private Key der CA Backup der Registry von folgendem Key KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration Windows 2003 Server aus AD entfernen Windows 2008 Server aufsetzen und mit dem gleichen Namen in die AD aufnehmen Auf dem Windows 2008 die AD Certificate Services Rolle installieren Restore der CA und des Private Keys Quellen: ...

posted @ Tuesday, March 02, 2010 1:50 PM | Feedback (0) | Filed Under [ Security Windows Network ]

Adobe Critical Security Patches (Adobe Reader / Flash Player)

Hallo zusammen, Adobe hat auf der Security Seite zwei neue Security Bulletins veröffentlicht. Adobe Reader http://www.adobe.com/support/security/bulletins/apsb10-07.html (aktuell ist nun die Version 9.3.1) Flash Player http://www.adobe.com/support/security/bulletins/apsb10-06.html (aktuell ist nun die Version 10.0.45.2) Die Version des Flashplayers kann man hier checken: http://www.adobe.com/software/flash/about/ Grüsse Andres Bohren

posted @ Thursday, February 18, 2010 12:44 AM | Feedback (0) | Filed Under [ Web Security ]

vSphere Security Hardening Guides

Unenstehend der Link zu den vSphere Security Hardening Guides welche aktuell noch im Draft Status sind, aber dennoch viele nützliche Informationen enthalten. http://communities.vmware.com/community/vmtn/general/security?view=documents Grüsse Andres Bohren

posted @ Thursday, February 18, 2010 12:28 AM | Feedback (0) | Filed Under [ Security Virtualisation ]

Micosoft Forefront Protection 2010 for Exchange Server

Hallo zusammen, Ich habe letztes Wochenende das Antispam Filtering umgestellt und nutze nun Micosoft Forefront Protection 2010 for Exchange Server. Die installation war eigentlich Problemlos. Seit Freitag Abend - also innert drei Tagen - wurden schon über 4'000 Mails gescannt.  Dann noch was zu den Notifications. Es sieht so aus, als ob die Notifications enabled sind...  ...sind sie ja auch - aber keine Emailaddresse für den Empfänger ist eingetragen. Wäre vielleicht gut gewesen, wenn man das irgendwie anders gelöst hätte. Die Notification sieht dann so aus. Was ist denn das für eine komische Absenderadresse? Leider kann man diese nicht im GUI Anpassen und muss in die Registry...

posted @ Monday, February 15, 2010 6:58 PM | Feedback (1) | Filed Under [ Security Exchange ]

MS10-015 XP Bluescreen wegen Rootkit?

Hallo zusammen Das Update  MS10-015 vom 09.Februar, welches das  NTVDM subsystem deaktiviert (http://support.microsoft.com/kb/979682) schien auf einigen XP Systemen einen Bluescreen zu verursachen. Nun gibt es Hinweise, dass es sich um ein Rootkit handeln könnte, welches den Bluescreen verursachen könnte. http://blogs.technet.com/msrc/archive/2010/02/12/update-restart-issues-after-installing-ms10-015.aspx http://www.symantec.com/connect/blogs/tidserv-and-ms10-015 Grüsse Andres

posted @ Monday, February 15, 2010 5:15 PM | Feedback (0) | Filed Under [ Security ]

Sending TLS secured Emails with Exchange

Hallo zusammen, Ich habe mich da mal ein bisschen genauer mit der SMTP und TLS (Transport Layer Security) beschäftigt. Dieser Artikel gibt einen kleinen Überblick dazu. Wie kann ich überprüfen ob ein Mailserver TLS ünterstützt. Telnet 172.21.175.20 25 ehlo clientname   Steht dann in dieser Liste "STARTTLS" unterstützt der Remoteserver TLS gesicherte Emails. http://de.wikipedia.org/wiki/STARTTLS       Wie konfiguriere ich das auf dem Exchange 2007 Send-Connector? Get-SendConnector "Outbound SMTP" | fl Wenn IgnoreSTARTTLS auf False gesetzt ist versucht Exchange 2007 (standardsetting) ein Outbound SMTP Mail per TLS zu versenden, wenn dies der empfangende Mailserver unterstützt. http://technet.microsoft.com/de-de/library/aa998294(EXCHG.80).aspx So, nun intressiert ja wie denn das wirklich aussieht. Also mal auf dem ReceiveConnector das Logging einschalten. Set-ReceiveConnector "ConnectorName" -ProtocolLoggingLevel...

posted @ Thursday, January 28, 2010 11:20 PM | Feedback (0) | Filed Under [ Security Exchange ]

Active Directory Delegate Control

Hallo zusammen, Ich habe mich bei diesem Artikel mal mit der Delegation von Berechtigungen im AD befasst. Im untenstehenden Beispiel möchte ich einer Gruppe "G-IcewolfAdmin" die Administration für die OU "Icewolf Users" delegieren. Schwupps mal den Wizard starten Gruppe G-Icewolf Admin auswählen... Die entsprechende Rechte vergeben... Erledigt. Wenn man nun wissen möchte, was man denn genau für Rechte vergeben hat, wird es schon einiges schwieriger. Also nochmals Delegate Control Tja was nun - ich habe doch eben Berechtigungen delegiert. Ja schon - aber dieser Wizard zeigt dies nicht an - schade Microsoft :( Man muss nun in den Eigenschaften der OU "Icewolf Users" auf den Security Tab wechseln und dort auf...

posted @ Wednesday, January 27, 2010 12:14 AM | Feedback (0) | Filed Under [ Security Windows ]

IE remote code execution Security Bulletin

Hallo zusammen, Microsoft hat am 14.01.2010 ein Security Advisory zum Internet Explorer veröffentlicht: http://www.microsoft.com/germany/technet/sicherheit/empfehlungen/979352.mspx Und im Internet existieren zahlreiche Hinweise dazu: http://www.heise.de/newsticker/meldung/BSI-warnt-vor-Nutzung-des-Internet-Explorer-906050.html http://www.golem.de/1001/72450.html http://www.melani.admin.ch/dienstleistungen/archiv/01095/index.html?lang=de Im IE8 ist die Data Execution Protection (DEP) bereits standardmässig aktiviert. Glücklich kann sich also schätzen, wer den IE8 oder gleich Windows 7 einsetzt. Grüsse Andres Bohren

posted @ Tuesday, January 19, 2010 12:10 AM | Feedback (0) | Filed Under [ Security ]

Vista / Windows 7 Runas

Hallo zusammen, Unter Windows XP gab es ja noch das gute alte "Ausführen als" Unter Vista / Windows 7 scheint das aus dem Kontextmenü verschwunden zu sein. Zum Glück gibt es das Tool "ShellRunas" von Mark Russinovich. http://technet.microsoft.com/en-us/sysinternals/cc300361.aspx Die Kontextmenü Erweiterung mit dem Befehl: "shellrunas /reg" registrieren, dann sieht man den Befehl wieder. Und kann sich mit einem entsprechenden Admin Konto anmelden. Grüsse Andres Bohren

posted @ Friday, January 15, 2010 6:49 PM | Feedback (0) | Filed Under [ Security Windows ]

Sind Spammer Christen?

Hallo zusammen, Kurz vor Weihnachten wird bekanntermassen ziemlich viel Spam versendet. Dies hört dann meist um Weihnachten auf. Hier stellt sich nun die Frage: Sind Spammer Christen - oder macht es einfach wirtschaftlich keinen Sinn mehr für Produkte im Hinblick auf Weihnachten zu werben? Jedenfalls ist ein deutlicher Rückgang der Spammails über die Weihnachtstage zu erkennen... Grüsse Andres Bohren

posted @ Friday, January 15, 2010 8:52 AM | Feedback (0) | Filed Under [ Security Exchange ]

Apache SpamAssassin Y2K10 Rule Bug

Hallo zusammen, Da scheint ja ein ganz neues Phänomen aufzutauchen Y2K10 Bug! Der ist ja viel schlimmer als der Y2K Bug  Y2K10 Bug von Apache SpamAssasin: http://mail-archives.apache.org/mod_mbox/spamassassin-announce/201001.mbox/%3C20100102074223.6745.qmail@minotaur.apache.org%3E Grüsse Andres Bohren

posted @ Tuesday, January 05, 2010 11:38 AM | Feedback (0) | Filed Under [ Security Network ]

Symantec Endpoint Protection Virendefinitionen vom 31.12.2009 (Y2K10 BUG)

Hallo zusammen, Anscheinend hat Symantec ein Problem mit dem Datum der Virendefinition. Zurzeit werden die aktuellen Virendefinitionen mit dem Datum vom 31.12.2009 ausgeliefert. http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2010010308571348 Update 15.01.2010 Seit heute scheint das Problem gefixt zu sein Grüsse Andres

posted @ Tuesday, January 05, 2010 10:14 AM | Feedback (1) | Filed Under [ Security ]

Powershell ScriptSigning

Hallo zusammen, Wie kann man die Sicherheit von Scripts im Unternehmen erhöhen? Klar mit CodeSigning! Die Scripts werden signiert und der Interpreter kann die Signatur prüfen. Dazu habe ich mir mal ein CodeSigning Zertifikat ausgestellt. Ich habe da mal ein einfaches Powershell Script vorbereitet. Beim Versuch das Script auszuführen kommt eine Fehlermeldung. In der Standarteinstellung kann Powershell keine Scripts ausführen - dies muss explizit erlaubt werden. Eine Powershel als Admin starten und den folgenden Befehl eingeben: Set-ExecutionPolicy unrestricted Damit dürfen nun alle Scripts ausgeführt werden. So, nun klappt es also mit dem Powershell Script. Nun wird das Script mit dem CodeSigning Zertifikat signiert: Set-AuthenticodeSignature d:\temp\helloworld.ps1 @(Get-ChildItem cert:\CurrentUser\My -codesigning)[0] So sieht...

posted @ Thursday, November 12, 2009 9:12 PM | Feedback (0) | Filed Under [ Security Windows Powershell ]

Autorun deaktivieren

Hallo zusammen, Eine steigende Anzahl von Malware versucht sich per Autorun zu installieren, so jedenfalls das Engineering Windows 7 Blog. Wie das deaktivieren von Autorun funktioniert, wird auf der Microsoft Knowledge Base ausführlich erklärt. Hier ein Beispiel für Vista. Einfach im Ausführen Gpedit.msc eintippen und der Lokale GPO Editor geht auf. Grüsse Andres Bohren

posted @ Tuesday, April 28, 2009 10:32 AM | Feedback (0) | Filed Under [ Security Windows ]

Spam Statistik

Hallo zusammen, In der letzten Zeit habe ich vermehrt Spam bekommen, deshalb habe ich mich mal nach einer offziellen SPAM Statistik umgeschaut. Auf der Symantec Seite habe ich da was nettes gefunden: http://www.symantec.com/business/security_response/landing/spam/index.jsp So über die Jahre gesehen, ist das aufkommen doch extrem gestiegen... Grüsse Andres Bohren

posted @ Monday, April 13, 2009 11:15 AM | Feedback (0) | Filed Under [ Security Exchange ]

Symantec Endpoint Protection 11 - Unable to communicate with Reporting Component

Hallo zusammen, Letzte Woche habe ich auf einem Small Business Server 2003 Symantec Endpoint Protection installiert. Nach der Installation von Symantec Endpoint Protection Manager (wieso ist der Produktname so lang?) habe ich den Manager gestartet. Nach dem Einloggen bekam ich aber folgende Meldung: "unable to communicate with the reporting component" Tja, nach einigem suchen in den Symantec Forums war dann klar, dass etwas mit PHP nicht stimmt. Nach erheblichem ausprobieren habe ich dann schlussendlich die Lösung gefunden. Die Reporting Website läuft mit dem DefaultAppPool - dieser läuft Standardmässig unter dem "Network Service" Konto. Ich habe dann einen neuen Application Pool angelgegt (hier SymantecAppPool) Und unter...

posted @ Monday, March 16, 2009 9:39 AM | Feedback (0) | Filed Under [ Security Windows ]

Vulnerability in SQL Server Could Allow Remote Code Execution

Hallo zusammen, Microsoft hat am 22.12.2008 ein Advisory für SQL Server 2000 und SQL Server 2005 herausgegeben. Der Workaround kann mit dem QueryAnalizer folgendermassen ausgeführt werden. use master deny execute on sp_replwritetovarbin to public Grüsse Andres Bohren  

posted @ Sunday, December 28, 2008 3:04 PM | Feedback (0) | Filed Under [ Security SQL ]

SQL 2005 SP3

Hallo zusammen, Das SQL  2005 SP3 ist erschienen. Release Notes: http://download.microsoft.com/download/A/2/1/A21D3C75-7756-4A41-A23A-E4939E19A5F2/ReleaseNotesSQL2005SP3.htm What's new? http://msdn.microsoft.com/de-de/library/dd353312(SQL.90).aspx Download: http://www.microsoft.com/downloads/details.aspx?FamilyID=ae7387c3-348c-4faa-8ae5-949fdfbe59c4&displaylang=en#filelist Update: Bei meiner SQL 2005 Datenbank konnte ich das SP3 problemlos einspielen. Hat alles perfekt funktioniert. Versionsnummern SQL Server 2005: (quelle: http://www.sqlteam.com/article/sql-server-versions) 9.00.5000 SQL Server 2005 SP4 9.00.4035 ...

posted @ Sunday, December 21, 2008 9:29 PM | Feedback (0) | Filed Under [ Security SQL ]

Registry Keys für WSUS

Hallo zusammen, Ich hatte kürzlich die Aufgabe, einen Webserver in der DMZ (in einer Workgroup) so zu konfigurieren, dass dieser auch vom WSUS Server aus verwaltet werden kann. Insbesondere dass das Reporting funktioniert und man so einen Überblick über den Patchstatus sämtlicher Server hat. Hier die Dokumentation von Microsoft, welche Registry Keys da zu setzen sind: http://support.microsoft.com/kb/328010. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate] "WUServer"=https://updateserver:8531 "WUStatusServer"=https://updateserver:8531 "TargetGroupEnabled"=dword:00000001 "TargetGroup"="DMZ" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU] "UseWUServer"=dword:00000001 "AUOptions"=dword:00000003 Grüsse Andres Bohren

posted @ Tuesday, November 11, 2008 9:00 AM | Feedback (0) | Filed Under [ Security Network ]

SQL 2005 KB948108 kann nicht installiert werden

Hallo zusammen, Bei einem SQL 2005 Server hatte ich Probleme beim Installieren vom Security Update for SQL Server 2005 Service Pack 2 (KB948108). Das Update ist per WSUS immer fehlgeschlagen. Ich habe das Update dann mal runtergeladen und versucht manuell zu installieren. Meist erhält mal dann ein bisschen mehr Informationen was denn genau nicht geklappt hat. Und kann dann mit den Logfiles und Fehlermeldungen im Internet weitersuchen. Hier das Log - man sieht genau wo das Problem ist. Time: 10/23/2008 17:49:33.213KB Number: KB948108Machine: SRV02OS Version: Microsoft Windows Server 2003 family, Standard Edition Service Pack 2 (Build 3790)Package Language: 1033 (ENU)Package Platform: x86Package SP...

posted @ Thursday, October 23, 2008 6:03 PM | Feedback (0) | Filed Under [ Security SQL ]

Symantec Gateway Security Logfile Full

Bei einem Kunden habe ich eine Symantec Gateway Security  Firewall im Einsatz. Die Firewall stoppt sobald mehr als 97% der Logpartition gefüllt ist (/var) Normalerweise muss man sich dann per SSH auf die Firewall connecten und die alten Logfiles unter /var/log/sg/oldlogs/ löschen (rm -rf *) Hat aber bei diesem Kunden nichts geholfen, weil dort nur zwei kleine Logfiles waren. Ich habe dann ein bisschen rumgesucht und den verdächtigen Ordner gefunden: /var/lib/sg/trace. Nachdem ich diesen Ordner gelöscht habe (rm -rf trace) hat übrigens über eine Stunde gedauert, war dann alles wieder okay! Irgendwann war dann auch klar was die Ursache war - das Häcklein...

posted @ Thursday, October 02, 2008 12:08 PM | Feedback (0) | Filed Under [ Security ]

Mirroring Port on 3Com 5500

Hallo zusammen, Heute musste ich auf einem 3Com Switch einen Monitor Port einrichten um einen Sniffer (in diesem falle Wireshark) Auf dem 3Com 5500G musste der Port 5 aufgezeichnet werden und an Port 16 hing der PC mit dem Sniffer. <Core1>system System View: return to User View with Ctrl+Z. [Core1]interface GigabitEthernet1/0/16 [Core1-GigabitEthernet1/0/16]stp disable [Core1-GigabitEthernet1/0/16]stp edged-port disable [Core1-GigabitEthernet1/0/16]quit [Core1]mirroring-group 1 local [Core1]mirroring-group 1 mirroring-port GigabitEthernet1/0/5 both [Core1]mirroring-group 1 monitor-port Ethernet1/0/16 [Core1]display mirroring-group all mirroring-group 1:     type: local     status: active     mirroring port:         GigabitEthernet1/0/5  both     monitor port: GigabitEthernet1/0/16 [Core1] Um das Mirroring wieder aufzuheben macht man folgendes. <Core1>system [Core1]display mirroring-group all mirroring-group 1:     type: local     status: active     mirroring port:         GigabitEthernet1/0/5  both     monitor port: GigabitEthernet1/0/16 [Core1]undo mirroring-group 1 [Core1]display mirroring-group all No mirroring group exists! [Core1] Grüsse Andres

posted @ Monday, June 09, 2008 6:05 PM | Feedback (7) | Filed Under [ Security Network ]

Die wichtigsten Begriffe der IT Angriffe

Im Microsoft Sicherheitsnewsletter vom Mai 2008 wurden die wichtigsten Begriffe von Internet Betrügereien und Angriffen kurz und einfach erklärt. Hier die Zusammenfassung: Spoofing: Generelles Vorgehen zum Erlangen einer "erlaubten" Adresse - und damit eines "Zugangs" - durch Täuschen, Verschleiern oder Manipulieren der "verwendeten" Adresse (DNS, IP, Mail, ARP, DHCP, MAC, etc.) "Prinzip Absender-Tarnkappe" Phishing: Der Versuch über eine vorgetäuschte URL auf eine authentisch aussehende Webseite zu lenken, um dort an die Kundendaten (bestenfalls Kreditkarten- oder Bank-Daten) eines Benutzers zu gelangen. "Schau mir (genau) in die Augen, Kleiner- URL". Pharming: "Weiterentwicklung" des Phishing, bei der über manipulierte DNS-Anfragen des Browser - also...

posted @ Saturday, May 31, 2008 7:03 AM | Feedback (0) | Filed Under [ Web Security Windows ]

Auswertung User Agenten auf www.icewolf.ch

Hallo zusammen, Auf meiner Webseite www.icewolf.ch habe ich heute mal eine Auswertung der User Agenten (sprich der Browser gemacht). Dabei habe ich die bekannten Suchcrawler ausgeblendet. Nach Betriebsystem Plattformen: Mac 1 Linux 26 Winows 2890 Nach Browser: Apple Web Kit 1 Konqueror 17 Opera 71 Firefox 200 MSIE 6.0 871 MSIE 7.0 1724 Witzig fand ich folgenden vier Einträge: FBI CheckCategory/0.94-20080401 libwww-perl/5.76 BND WebSiteChecker/0.95-20080408 BKA WebSiteChecker/0.98-20080419 Mozilla/4.0 (compatible; Netcraft Web Server Survey) Das FBI, BND und BKA sind mir auf den Fersen *uiuiui* Grüsse Andres Bohren

posted @ Saturday, April 19, 2008 3:46 PM | Feedback (0) | Filed Under [ Web Security ]

Database Security

Ich gebs ja zu - ich bin ein Security Fan. Hier mal ein paar Links zu ein paar Security Vergleichen zwischen MSSQL und Oracle DB's. • Oracle Unbreakable?: http://blogs.technet.com/dataplatforminsider/archive/2008/04/14/unbreakable.aspx • SQL Server - Fact Checking Recent Vulnerability History: http://blogs.technet.com/security/archive/2008/03/05/sql-server-fact-checking-recent-vulnerability-history.aspx • Vergleich: http://www.databasesecurity.com/dbsec/comparison.pdf Wenn man das so liest, dann schneidet Oracle wirklich nicht gut ab. Ich habe auf einer VM mal versucht Oracle 10gR1 und Oracle10gR2 zu installieren. Tja mein Urteil ist auch nicht gerade berauschend: Oracle 10g installiert massenhaft zeugs auf der HD. Anschliessend konnte ich nicht mal eine Verbindung aufbauen. Ausserdem kann Oracle nicht unter "C:\Program Files" installiert werden - es dürfen keine Spaces...

posted @ Thursday, April 17, 2008 9:08 PM | Feedback (0) | Filed Under [ Security SQL ]

Powered by:
Powered By Subtext Powered By ASP.NET