Beiträge

Veröffentlicht am

Granuläre Passwortrichtlinien in Active-Directory

Eine Passwortrichtlinie für die Domäne einzuführen ist nicht weiter schwer und lässt sich schnell mit einer Gruppenrichtlinie bewirken. Was aber erst auf den zweiten Blick auffält ist, daß man nur eine Richtlinie für die gesamte Domäne haben kann. Eine Beschränkung auf OU oder Nutzergruppen ist damit nicht möglich. Auch mehrere verschieden gestaltete Richtlinien für unterschiedliche Nutzergruppen kann man so nicht realisieren.

Seit Server 2008 gibt es jedoch einen Weg, unterschiedliche Passwort Richtlinien für unterschiedliche Gruppen einzuführen. Die sogenannte Fine Grained Password Policy.

Ermöglicht wird dies durch die Einführung neuer ADS Objektklassen seit Server 2008.

Voraussetzungen

  • Der Functional Level der Domäne muss mindestens Server 2008 sein.
  • Richtlinien können nur auf Nutzergruppen angewendet werden, nicht auf OU.

„Granuläre Passwortrichtlinien in Active-Directory“ weiterlesen

Veröffentlicht am

VMware Produkte und Shellshock

Am 24.9.2014 wurde ein kritischer Fehler in der Bash-Shell Implementierung publiziert, der unter dem Namen Shellshock bekannt wurde. Durch diese Sicherheitslücke kann sich ein Agreifer auf einem System mit verwundbarer BASH Implementierung root Rechte verschaffen.

VMware kat einen KB Artikel (2090740) mit potenziell betroffenen Produkten veröffentlicht.

ESXi Server sind nach VMware nicht betroffen, da im Hypervisor keine Bash Shell enthalten ist. Auch vCenter auf Windows Basis sind nicht betroffen. Die vCenter-App auf Linux Basis dagegen schon (VMSA-2014-0010.13)

  • vCenter Appliance 5.5: vor Version U2a
  • vCenter Aplliance 5.1: vor Version U2b
  • vCenter Appliance 5.0: vor Version U3b

Links

 

Veröffentlicht am

Brocade FOS und JAVA

Zur Verwaltung von Brocade SAN Switches benötigt man auf dem Client das Java Runtime Environment (JRE). Dies funktionierte jahrelang recht gut, doch in jüngerer Vergangenheit hatte Oracle die Sicherheit verschärft. Dies ist zwar prinzipiell eine gute Idee, aber ein echtes PITA wenn man unterschiedliche Versionen und Anwendungen mit dieser JRE verwalten muss. Beim Zusammenspiel mit des Brocade Fabric OS (FOS) und Java gibt es viele Fallstricke.

  • FOS fordert ab Version 6.3 eine Mindestversion des JRE
  • Oracle hat das JRE ab Version 7 Update 21 (7u21) mit einem hart codierten Verfallsdatum ausgestattet.
  • Software Zertifikate mit veralteter Signatur oder zu geringer Schlüssellänge werden nicht mehr unterstützt.
  • FOS Zertifikate haben ein Ablaufdatum

Das alles endet in einem Sumpf aus Updates und Warnungen. Applikationen seien nicht mehr vertrauenswürdig und dürfen daher nicht mehr gestartet werden. An dieser Stelle brachte mich der lesenswerte Blogartikel von Erwin van Londen weiter. „Brocade FOS und JAVA“ weiterlesen

Veröffentlicht am

ICMP Ping auf Windows Firewall aktivieren

Windows Systeme ab Version 7 und Server ab 2008  haben in den Standard Firewall-Einstellungen ICMP aus Sicherheitsgründen deaktiviert. Das hat zur Folge dass diese Systeme auch nicht mehr auf Echo Requests (PING) antworten. Während einige der Debug Methoden von ICMP als kritisch für die Sicherheit einzustufen sind, ist die PING Funktion (ICMP Typ 8) in der Fehleranalyse sehr wertvoll. Man kann diese selektiv an der Firewall freischalten, ohne alle anderen ICMP Funktionen zu aktivieren.

netsh firewall

Der herkömmliche netsh firewall Befehl ist veraltet, aber er funktioniert noch. Dennoch sollte man künftig nur noch den neuen advfirewall Befehl anwenden.

PING erlauben:

netsh firewall set icmpsetting 8

PING verbieten:

netsh firewall set icmpsetting 8 disable

 

netsh advfirewall

netsh advfirewall firewall add rule name="ICMP Allow incoming V4 echo request" protocol=icmpv4:8,any dir=in action=allow

Danach antworten die oben genannten Server- und Desktop Systeme auf Ping Anfragen, ohne alle anderen ICMP Funktionen zu erlauben.

Die Regel kann mit folgendem Befehl wieder deaktiviert werden:

netsh advfirewall firewall delete rule name="ICMP Allow incoming V4 echo request" protocol=icmpv4:8,any dir=in

Links