Alle Beiträge von Thomas Joos

Windows Server 2022: Secured-Core-Server

Kunden, die einen Secured-Core-Server erwerben, erhalten in Zusammenarbeit mit einem Hardware-Hersteller auch Serverhardware, die mit den Funktionen umgehen kann. Die neuen Funktionen sollen vor allem über das Windows Admin Center steuerbar sein. 

Im Windows Admin Center ist auf der linken Seite der Menüpunkt „Security“ verfügbar, wenn Hardware die Sicherheitsfunktionen von Windows Server 2022 unterstützt. Hier ist mit Icons zu erkennen, ob Sicherheitsfunktionen wie HVCI, Boot DMA Protection, System Guard, Secure Boot, VBS und TPM 2.0 aktiviert sind. 

Secured-Core-Server ist vor allem für Server sinnvoll, auf denen heikle Daten betrieben werden sollen. Trusted Platform Module 2.0s (TPM 2.0) sind standardmäßig in Secured-core-Servern enthalten.

Durch die Unterstützung des Prozessors für die DRTM-Technologie (Dynamic Root of Trust of Measurement) zusammen mit dem DMA-Schutz isolieren Secured-Core-Systeme den sicherheitskritischen Hypervisor von Angriffen.

Secured-Core-Server unterstützen VBS und Hypervisor-basierte Code-Integrität (HVCI). Virtualisierungsbasierte Sicherheit (VBS) ermöglicht eine Isolierung zwischen den privilegierten Teilen des Betriebssystems, wie dem Kernel und dem Rest des Systems.

Natürlich nutzen Secured-core-Server auch andere Sicherheitsfunktionen von Windows Server 2022, die auch den anderen Servern zur Verfügung stehen. Die Verwaltung wird auch hier im Windows Admin Center integriert.  Windows Server 2022 unterstützt TLS 1.3 und aktiviert TLS auch automatisch beim Neustart. 

Windows Server 2022 bietet neue Group Managed Service Accounts (gMSA) für Windows-Container, ohne den Host in die Domäne aufnehmen zu müssen. 

Wer Windows Server 2022 in Microsoft Azure bereitstellt, kann Images auswählen, auf denen Azure-Sicherheitsrichtlinien automatisch aktiviert sind.  Das ermöglicht die Optimierung einer Windows Server 2022-Installation für Microsoft Azure.

Windows Server 2022 Preview testen: Der Nachfolger von Windows Server 2019

Windows Server 2022 führt den Weg der Windows-Server für On-Premises-Systeme fort, und bietet mehr Integration mit Microsoft Azure. Natürlich kann auch Windows Server 2022 ohne Azure-Anbindung im lokalen Rechenzentrum eingesetzt werden. Die Anbindung in Azure ist optional.

Windows Server 2022 baut auf Windows Server 2019 und verhält sich bei Installation und Verwaltung ähnlich. Generell ist es durchaus sinnvoll parallel zu Windows Server 2022 auch das neue Windows Admin Center zur Verwaltung zu nutzen. Es ist aber weiterhin auch der Server-Manager mit an Bord, mit dem die neue Version getestet werden kann. 

Die aktuelle Preview-Version von Windows Server 2022 ist über die folgende Seite verfügbar:

https://www.microsoft.com/en-us/software-download/windowsinsiderpreviewserver

Für die Installation und Aktivierung der Preview von Windows Server 2022 stellt Microsoft zwei Product Keys zur Verfügung:

Server Standard: MFY9F-XBN2F-TYFMP-CCV49-RMYVH

Datacenter: 2KNJJ-33Y9H-2GXGX-KMQWH-G6H67

Das Windows Admin Center Version 2103 kann hier heruntergeladen werden:

https://www.microsoft.com/de-DE/evalcenter/evaluate-windows-admin-center

 

BootRacer: Flaschenhälse beim Systemstart mit Freeware identifizieren

Mit dem kleinen, kostenlosen Tool BootRacer können Rechner mit Windows 10 und früher auf Bremsen beim Systemstart untersucht werden.  Das Tool misst die Dauer des Systemstarts und zeigt Programme an, die den Start blockieren. 

Das Tool selbst führt keine Aktionen durch, sondern misst zunächst die Zeit und zeigt auch an, welche Tools den Systemstart wie lange bremsen. Oftmals sind es nur wenige Tools, die Probleme verursachen. Der Autostart selbst kann wiederum mit Tools wie „Microsoft Autoruns“ konfiguriert werden. Hier können auch Programme aus dem Autostart-Bereich entfernt werden. 

Nach der Installation und dem Start des Tools kann die Analyse mit „Volltest“ gestartet werden, Dazu wird der PC neu gestartet. Während dem Neustart misst das Tool die Dauer, bis der Desktop zur Verfügung steht. 

Danach zeigt BootRacer das Ergebnis im Fenster an. Den Messvorgang zeigt das Tool in der Oberfläche an. Danach erscheint die Zeit, wie lange der Startvorgang gedauert hat.  Nach dem Starten der Oberfläche von BootRacer zeigt das Tool weitere Informationen an. 

 

PowerShell-Skript für Sicherheitslücken in Exchange von Microsoft

Auf Exchange-Servern gibt es derzeit verschiedene Sicherheitslücken, die aktiv von Angreifern ausgenutzt werden. Vor allem deutsche Behörden und Unternehmen sind derzeit Ziel von Angriffen. 

Laut Microsoft geht der Angriff von chinesischen Hackern aus. Microsoft stellt Hinweise zur Verfügung, wie Admins gehackte Server erkennen. 

Microsoft hat über das Microsoft Security Response Center eine Sicherheitswarnung veröffentlicht und stellt bereits Updates und Hilfen für das Schließen der Lücken zur Verfügung.  Um die Lücken zu schließen, stehen für die verschiedenen Exchange-Versionen bereits Updates zur Verfügung:

Exchange 2010

Exchange 2013, 2016, 2019

Mit dem Microsof-Skript „Test-ProxyLogon.ps1“ können lokale Server auf Anfälligkeit für die Angriffe überprüft werden.  Nach dem Download reicht es aus, das Skript in der Exchange Management Shell zu starten:

.\Test-ProxyLogon.ps1

Beim Einsatz mehrerer Exchange-Server können diese ausgelesen und mit Pipe an das Skript übergeben werden:

 Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath c:\temp

 

 

 

Maximalgrößen für E-Mails in Exchange konfigurieren

 Nachfolgend finden Sie eine Liste, wie Sie die Größen einstellen können. Sie verwenden dazu am einfachsten das Exchange Admin Center:

  • Maximale Größe, die ein Exchange-Server entgegennimmt: Nachrichtenfluss/Empfangsconnectors/<Eigenschaften des Connectors>/Maximale Größe für empfangene Nachricht (MB).
  • Maximale Größe, die ein Exchange-Server sendet: Nachrichtenfluss/Sendeconnectors/<Eigenschaften des Connectors>/Maximale Größe für gesendete Nachricht (MB).
  • Globale Einstellung für alle Connectors; hier verwenden Sie die Exchange Management Shell und als Beispiel folgenden Befehl:

Set-TransportConfig -MaxSendSize 100MB -MaxReceiveSize 100MB

In den Einstellungen der Postfächer gibt es für jedes Postfächer ebenfalls Werte, die aber nur für den jeweiligen Benutzer gelten. 

E-Mail-Adressenrichtlinien verwalten

Standardmäßig baut Exchange 2019 die E-Mail-Adressen aus der Domäne von Active Directory auf und verwendet sie automatisch. Sie können diesen Aufbau an Ihre Anforderungen anpassen und mit einer oder mehreren Richtlinien die Struktur der E-Mail-Adressen aller Empfänger Ihrer Organisation steuern. Exchange ist für alle E-Mail-Domänen zuständig, die in den akzeptierten Domänen definiert sind.

In den E-Mail-Adressenrichtlinien können Sie die Domänen für die Generierung von E-Mail-Adressen in der Organisation verwenden, die auf der Registerkarte „Akzeptierte Domänen“ im Exchange Admin Center unter „Nachrichtenfluss“ festgelegt worden sind.

Bevor Sie E-Mail-Adressenrichtlinien ändern, müssen Sie zunächst die akzeptierten Domänen konfigurieren. Exchange 2019 legt während der Installation eine Richtlinie für E-Mail-Adressen mit dem Namen „Default Policy“ an.

Sie können parallel mehrere Richtlinien definieren. Diese lassen sich anhand von Prioritäten ordnen, wobei immer die erste zutreffende Richtlinie und deren Regeln für einen Benutzer angewendet werden.

Die Default Policy hat immer die niedrigste Priorität und kann nicht gelöscht werden. Definieren Sie mehrere Richtlinien und passt keine dieser Richtlinien für einen Benutzer, wird immer die Default Policy angewendet.

Auf der Seite E-Mail-Adressformat legen Sie fest, wie die E-Mail-Adressen Ihrer Empfänger generiert werden sollen.

Um auch den E-Mail-Namen vor der Domäne automatisch generieren zu lassen, können Sie vor dem @-Zeichen mit Variablen arbeiten. Unter Exchange 2019 können Sie auswählen, wie die E-Mail-Adresse aufgebaut sein soll, ohne direkt die Variablen zu kennen.

Linux-Kernel 5.11 verfügbar – So wird Ubuntu aktualisiert

Der neue Linux-Kernel mit der Version 5.11 bringt zahlreiche neue Treiber mit und die Unterstützung für die Intel-Sicherheitsfunktion Intel Software Guard Extensions.

Um Ubuntu  oder Linux Mint mit dem neuen Kernel zu aktualisieren, kann das Ubuntu Mainline Kernel Archive genutzt werden.  Hier steht auch ein Tool mit einer grafischen Oberfläche zur Aktualisierung bereit. Das Tool „Mainline“ kann mit den folgenden Befehlen installiert werden:

sudo add-apt-repository ppa:cappelikan/ppa

sudo apt update

sudo apt install mainline

Um das Programm und das dazugehörige Repository wieder zu deinstallieren, verwenden Sie folgende Befehle:

sudo add-apt-repository –remove ppa:cappelikan/ppa

sudo apt remove mainline

Im Terminal kann die Aktualisierung ebenfalls durchgeführt werden:

cd /tmp/

wget -c https://kernel.ubuntu.com/~kernel-ppa/mainline/v5.11/amd64/linux-headers-5.11.0-051100_5.11.0-051100.202102142330_all.deb

wget -c https://kernel.ubuntu.com/~kernel-ppa/mainline/v5.11/amd64/linux-headers-5.11.0-051100-generic_5.11.0-051100.202102142330_amd64.deb

wget -c https://kernel.ubuntu.com/~kernel-ppa/mainline/v5.11/amd64/linux-image-unsigned-5.11.0-051100-generic_5.11.0-051100.202102142330_amd64.deb

wget -c https://kernel.ubuntu.com/~kernel-ppa/mainline/v5.11/amd64/linux-modules-5.11.0-051100-generic_5.11.0-051100.202102142330_amd64.deb

sudo dpkg -i *.deb

Um den Kernel wieder zu deinstallieren verwenden Sie:

sudo dpkg –purge linux-image-unsigned-5.11.0-051100-generic

Microsoft stellt Windows 10 Version 21H1 zur Verfügung

In den Einstellungen von Windows 10 steht bei „Update und Sicherheit\Windows-Updates“  auf immer mehr Computern die neue Version 21H1 von Windows 10 bereit. 

Die Installation des Updates erfolgt als kumulatives Update, ähnlich wie die Installation von Sicherheits-Updates. Das neue Update ist sehr klein und daher auf den meisten Rechnern in wenigen Minuten installiert.

Um Windows 10 21H1 zu installieren, ist auf dem Rechner Windows 10 Version 2004/20H2 notwendig und das Update „KB4023057 „. Auch dieses wird über Windows-Update installiert. Dadurch werden die Windows-Update-Komponenten so aktualisiert, dass auch Windows 10 Version 21H1 installiert werden kann. 

Neue Funktionen gibt es in Windows 10 Version 21H1 eigentlich keine. Lediglich bei Windows Hello kann ausgewählt werden, welche Kamera für die Anmeldung verwendet werden soll, wenn mehrere Kameras an einem Computer die Anmeldetechnologie unterstützen. 

Sobald das Update für alle Benutzer freigegeben wurde,  kann die Aktualisierung, wie gewohnt, auch über die folgende Seite heruntergeladen werden:

https://www.microsoft.com/de-de/software-download/windows10

Auf dieser Seite steht auch das Media Creation Tool zur Verfügung, mit dem Sie eine ISO-Datei der aktuellen Windows 10-Version herunterladen oder einen USB-Stick für die Installation erstellen können.

 

Bind – Unterstützung für DoT und DoH

Im bekannten DNS-Server Bind ist jetzt DNS-over-HTTPs (DoH) und DNS-over-TLS (DoT) verfügbar. Um die aktuelle Version zu installieren, kann am Beispiel von Debian/Ubuntu der folgende  Befehl verwendet werden:

sudo apt-get install bind9 bind9utils dnsutils

Bei der Verwendung von DoH verschickt Bind DNS-Anfragen über HTTPs. Damit das funktioniert muss der DNS-Server, der die Anfragen erhält diese Funktion unterstützen. Das ist bei Bind9 jetzt der Fall. 

Zusätzlich kann der Bind-Server ab Version 9.17.10 auch DoT. Derzeit werden die Verwaltungswerkzeuge für Bind noch aktualisiert, sodass auch dieses DoH und DoT unterstützten. 

Finnix 122 – Live-CD auf Debian-Basis für Administratoren

Finnix ist eine Debian-basierte Live-CD, die auch von USB-Sticks gestartet werden kann. Die Live-CD hat vor allem Administratoren im Fokus. Die neue Version 122 kann direkt bei den Entwicklern heruntergeladen werden. 

Beim Starten des Systems versucht Finnix sich komplett in den Arbeitsspeicher zu laden. Das ermöglicht Administratoren sehr schnell aktiv zu werden, was in der Netzwerküberwachung und Fehlersuche sehr wichtig ist. Eine Anbindung an WLANs ist mit Finnix auf den meisten PCs kein Problem. 

Auch das Messen von Speichergeräten ist mit Finnix möglich. Dazu stehen in der Linux-Distribution verschiedene Pakete zur Verfügung. 

In der Version 122 wurden neue Pakete hinzugefügt: