Beim gemütlichen Lesen des Abschlussberichtes1 des Ransomware Vorfalles bei der Südwestfalen IT (SIT) komme ich aus dem Kopfschütteln nicht raus. Neben den haarsträubenden Managementfehlern offenbart dieser weder Incident-Management noch eine gelebte Sicherheits-Kultur. Das i-Tüpfelchen bildet die Hinterlegung des Domänen-Administrator Passwortes in einer Gruppenrichtlinie. Es wurde festgestellt, dass das Kennwort des Domänen-Administrators intra.lan\Administrator seit 2014 in einem Gruppenrichtlinienobjekt in entschlüsselbarer Textform hinterlegt war. Da mein Blog auch von einigen Windows-Administratoren gelesen wird: Prüft bitte Eure ADs mit den frei verfügbaren Tools wie zum Beispiel PowerSploit2 oder veeam-creds3. Automatisiert können EventID Logs mit Graylog4 oder Chainsaw5 überprüft werden. Read more

Vor einem Jahr hat Microsoft rückwirkend bis Windows 2008 Server KB50202821 veröffentlicht, das einen Lockout auch für lokale administrative Konten ermöglicht. Bis dahin war es ein bekanntes Phänomen, dass AD Gruppenrichtlinien dieses nicht verhindert haben. Umso erstaunlicher ist es, dass diese Policy ein Jahr nach Erscheinen in zumindest den mir bekannten Windows-Adminkreisen kaum bekannt, geschweige denn aktiviert ist. Selbstredend gehe ich davon aus, dass die zugehörigen Sperrzeiten gesetzt sind. Read more

Schon immer wollte ich mehr darüber wissen, wie im Firefox Addons erstellt werden. Weniger hinsichtlich der Programmierung in den verschiedenen Internettechnologien, mehr vom Prozess betrachtet, wie diese auf die Endgeräte kommen. Da kam nachfolgende Herausforderung in einem mittelständischen Unternehmen zur richtigen Zeit. Aufgabenstellung Die interne Bookshelf-Wissensdatenbank1 ist für die Anwender leichter zugänglich zu machen. Das kann mit einem eigenen Suchdienst-Provider2 erfolgen. Auch das Markieren eines Wortes auf einer beliebigen Website und Suche per Rechtsklick aus dem Kontextmenü heraus ist eine Möglichkeit. Besondere Herausforderung bei diesem Kunden: Viele Arbeitsplätze sind aus guten Gründen nicht mit dem Internet verbunden. Ein Deployment innerhalb des Enterprise AD3 muss per Gruppenrichtlinie4 von eigenen, nicht-öffentlichen Servern erfolgen. Read more

Nein so wird das nichts, wenn Microsoft vor mehr Sicherheit warnt. Im Bild sichtbar sind die neuen GPOs für ein AD mit aktivierten Softwarerestriktionen, auch SRPs genannt, die natürlich erzwungen werden und ein AD schützen. Statt diese als Lösung gegen unliebsame Malware prominent zu propagieren und unter den Wald-Wiesen-Windows-Admins bekannter zu machen warnt Microsoft in der gefühlt seit Windows 2000 unveränderten MMC. In diesem Sinne, das Wochenende langsam in Sicht. Read more