SECURITY

Certificates Credential Roaming

Andres Bohren
Hallo zusammen, Kürzlich habe ich mich mal wieder mit Zertifikaten auseinandergesetzt. Dabei habe ich mich gefragt, wie man denn mit Benutzerzertifikaten umgeht, bei denen sich der Benutzermal hier und mal dort an einem Computer anmelden. Die folgenden Links haben mir bei der Beantwortung der Frage geholfen. Configuring and Troubleshooting Certificate Services Client–Credential Roaming http://technet.microsoft.com/en-us/library/cc700848.aspx Credential Roaming http://social.technet.microsoft.com/wiki/contents/articles/11483.credential-roaming.aspx Enable Credential Roaming http://technet.microsoft.com/en-us/library/cc771348.aspx Zuerst habe ich für den Benutzer ein Userzertifikat ausgestellt. Im AD ist das Zertifikat unter "

Install certificate from Certificate Authority (CA) on VMware ESXi 5.5

Andres Bohren
Hallo zusammen, Im folgenden Blog Artikel zeige ich euch wie man ein SSL Zertifikat einer Certificate Authoritiy (CA) auf dem VMware ESXi installiert. Quelle: http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2015499 Beim Verbinden mit dem vSphere Client erhalte ich eine Fehlermeldung weil kein trusted Zertifikat auf dem ESXi installiert ist. Backup des bestehenden Zertifikats cd /etc/vmware/ssl cp rui.crt /var/tmp/rui.crt.org cp rui.key /var/tmp/rui.key.org Erstellen der openssl.cfg vi openssl.cfg [ req ] default_bits = 2048 default_keyfile = rui.key

TMG 2010 SP2 Updaterollup 4

Andres Bohren
Hallo zusammen, Seit kurzem ist das Updaterollup 4 für TMG 2010 SP2 verfügbar Updaterollup 4 für Forefront Threat Management Gateway 2010 Servicepack 2 http://support.microsoft.com/kb/2870877 Download http://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=2870877&kbln=en-us Grüsse Andres Bohren

Symantec Enpoint Protection 12.1 (SEP)

Andres Bohren
Hallo zusammen, Auf den neuen Server habe ich mir die Symantec Endpoint Protection Version 12.1 als Antiviren Software installiert. Symantec Endpoint Protection gibt's auch als Trialware: http://www.symantec.com/endpoint-protection/trialware Um die Antiviren Clients zu managen, installiert man zuerst den Symantec Protection Endpoint Manager Nach der Installation startet gleich die Konfiguration Nach der Konfiguration kann man sich auf dem Endpoint Protection Manager einloggen. Nun Installiere ich den Antiviren Client auf deiner Windows 7 Workstation

Configure Account Lockout feature in Forefront TMG

Andres Bohren
Hallo zusammen, Meine Account Lockout Policy erlaubt 5 falsche Anmeldungen, danach wird der Account für 30 Minuten gesperrt. Damit ein Account nicht durch fehlgeschlagene Anmeldeversuche vom OWA gesperrt wird, habe ich das Lockout Feature auf dem Forefront TMG aktiviert. Im folgenden Blog wird das genau erklärt. http://blog.powershell.no/2012/08/07/configure-account-lockout-feature-in-forefront-tmg-using-windows-powershell/ Das dazugehörige Script findet man hier: http://gallery.technet.microsoft.com/scriptcenter/Retrieve-and-modify-18a029ba $FPC = New-Object -ComObject FPC.root $array = $FPC.GetContainingArray() $listener = $array.RuleElements.WebListeners | Where-Object {$_.Name -eq “My Listener”}

Certification Revocation List (CRL) explained

Andres Bohren
Hallo zusammen, Ich habe mich ja schon oft mit Zertifikaten und der CA beschäftigt. Dieses mal wollte ich ein bisschen mehr über die Certification Revocation List (CRL) erfahren. Auf meiner Windows 2003 CA im Labor habe ich deshalb ein bisschen herumgespielt. Schauen wir uns doch ein ausgestelltes Zertifikat ein bisschen näher an. Im Feld "CRL Distribution Point" (CDP) wird der Pfad zur CRL angegeben. Standardmässig sind dies der LDAP und der HTTP Pfad.

New Rules for Public Certificates

Andres Bohren
Hallo zusammen, Es gibt einige Änderungen was öffentliche SSL Zertifikate betrifft. Interne IP's und Interne Domains dürfen nicht mehr im Subject Alternative Name (SAN) eines Zertifikats eingetragen werden. Hier einige Dokumente welche das beschreiben Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, v.1.0 CA/Browser Forum: Internal Server Names and IP Address Requirements for SSL Eine gute Zusammenfassung was das Bedeutet gibt es auf dem NextHop Blog "How Changes to Public Certification Authority Standards Will Affect You

Microsoft Baseline Security Analyzer (MBSA)

Andres Bohren
Hallo zusammen, Mit dem Microsoft Baseline Security Analyzer kurz MBSA kann man Prüfen, ob die aktuellsten Security Patches eingespielt sind. Ausserdem werden noch weitere Konfigurationen geprüft und im Report dargestelt. Microsoft Baseline Security Analyzer 2.2 http://www.microsoft.com/de-ch/download/details.aspx?id=7558 WSUS CAB File Ist man auf einem Computer, welcher keinen Internetzugriff hat, muss man das File wsusscn2.cab manuell in ein Verzeichnis im Benutzerprofil hinterlegen C:\Users\<Username>\AppData\Local\Microsoft\MBSA\Cache http://download.windowsupdate.com/microsoftupdate/v6/wsusscan/wsusscn2.cab Local Scan Scan des lokalen Computers mit MBSA

TMG 2010 SP2 Updaterollup 3

Andres Bohren
Hallo zusammen, Das Updaterollup 3 für Forefront Threat Management Gateway (TMG) 2010 Servicepack 2 ist verfügbar http://support.microsoft.com/kb/2735208 Grüsse Andres Bohren

Türktrust - Microsoft updates Untrusted Certificates

Andres Bohren
Hallo zusammen, Microsoft muss wieder ein Update der Zertifikatsstores machen. Anscheinend hat Türktrust nach einem Update einige Zertifikate falsch ausgestellt. Jetzt gibt ein Update von Microsoft, welches die entsprechenden Zertifikate in die Untrusted Certificates im Windows Certificatestore einträgt. Quellen: KB2798897 Microsoft Security Advisory: Fraudulent digital certificates could allow spoofing MSRC Security Advisory 2798897 released, Certificate Trust List updated Heise.de Fatale Panne bei Zertifikatsherausgeber Türktrust Grüsse Andres Bohren