Juni-Patchday erzeugt Warnmeldungen in Outlook bei Anhängen

Beim aktuellen Patchday Juni 2017 von Microsoft kommt es zu Anpassungen in der Office-Applikation Outlook, welche Mehraufwand für die Benutzer bedeutet. Betroffen sind die folgenden Updates:

Es kommen Fehler bzw. Warnmeldungen beim Öffnen von Anhängen hoch, die auf unsichere Anlagen bzw. unsichere Quellen verweist.
Dieses Verhalten wird aktuell von Microsoft geprüft.

Außerdem soll es Probleme geben bei Skripten in öffentlichen oder freigegebenen Ordnern, so dass auch über das Sicherheitscenter freigegebene Skripte von z.B. Formularen nicht mehr ordnungsgemäß unter Outlook 2010 funktionieren.

Weitere Informationen: hier
Stand: 15.06.2017

Passworteingabe beim Bildschirmschoner verzögern

Wer kennt es nicht, dass man in einem Gespräch, einer Telefonkonferenz ist oder mit analogem Lesen oder Schreiben vor dem Arbeitsplatz-System sitzt. Dabei springt nach einer vordefinierten Zeit der Bildschirmschoner an und schon muss das Passwort für den Benutzer wieder eingegeben werden.

Dieses kann mit einem Registry ein wenig feier justiert werden:

Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Name: ScreenSaverGracePeriod
Typ: REG_DWORD
Wert: 0x0000000a (10)

Der Wert gibt die Anzahl Sekunden an, zu denen man durch eine Mausbewegung oder Druck auf die Tastatur noch den Bildschirmschoner ohne Passwort entsperren kann.

Registrydaten mit Schreibdatum ausdrucken

Unter Windows ist es auch möglich die Registry auszudrucken. Dieses ist bestimmt keine besonders interessante Funktionalität.

Wenn man sich allerdings das Ergebnis des Ausdrucks anschaut, kann man eine recht nützliche Information im Falle einer Fehleranalyse erhalten: Letzter Schreibzugriff

Zwar sieht man nicht welcher Wert geändert wurde, allerdings wird am Pfad dargestellt, wann das letzte  Mal in diesem eine Veränderung vorgenommen wurde. Dieses kann ebenfalls ein kleiner Baustein im Fehlerfall zu einer Lösung sein.

Mit einem Drucker wie dem „PDFCreator“ oder dem Microsoft XPS Document Writer“ können die generierten Daten auch in eine Datei umgewandelt werden.

Win10/1703: Adressleiste in Registry-Explorer

Als weitere Neuerung im Build 1703 in Windows 10 ist im Registry-Explorer ist diesem eine Adressleiste eingefügt worden. Diese kann über die Menüleiste aktiviert und deaktiviert werden.

Generell finde ich die Leiste sehr hilfreich, da man schnelleren Zugriff auf die Struktur bekommen kann, wenn der Pfad bereits bekannt ist und man sich nicht durch die Struktur klicken muss. Außerdem kann nun auch direkt der Pfad kopiert werden ohne die Export-Funktionalität zu bemühen.

Die Favoriten, die im Profil gespeichert werden, stehen auch weiterhin zur schnellen Navigierung zur Verfügung.

Untertitel bei VLC & Kodi als Sicherheitslücke

Die Firma Checkpoint hat herausgefunden, dass bei verschiedenen Abspielprogrammen für Mediendateien Schadcode eingespielt werden kann.

Entsprechend der Konfiguration der Software werden Dateien für Untertitel automatisch aus dem Internet geladen. In diesen kann dann der Angreifer Code einbetten, welcher eine Rechner-Übernahme realisiert. Als schnelle Lösung für das Problem kann die automatische Download-Funktion deaktiviert oder aber die verfügbaren Updates eingespielt werden.

Als bekannteste Programme sind VLC und Kodi zu nennen, aber auch Stremino und Popcorn Time sollen betroffen sein. Zum Zeitpunkt der Artikelerstellung gibt es für Popcorn Time den Patch nur in der Entwickler-Version.

Downloadlink der angepassten Versionen:
VLC
Kodi
Stremino

Firefox: security.enterprise_roots.enabled

Seit der Version 49 des Mozilla Firefox steht über den Konfigurationswert „security.enterprise_roots.enabled“ die Möglichkeit zur Verfügung auf die auf dem Client installierten Zertifikate zuzugreifen. Dieses erleichtert besonders bei selbst-signierten Zertifikatsketten die Arbeit, da diese nicht einzeln in das Firefox-Profil eingeladen werden müssen.

Für Unternehmen, welche gerne die „Extended Support Release“- Version nutzen, kann diese Funktionalität ab der Version ESR 52 konfiguriert werden. Dieses ist entweder per about:config oder per Tool CCK2 umsetzbar.

Weitere Informationen:
Nutzung Clientzertifikate
CCK2

Chrome: EnableCommonNameFallbackForLocalAnchors

In der aktuellen Version 58 der Software Google Chrom setzt der Nersteller eine RFC-Empfehlung aus dem Jahre 2000 um. Im RFC 2818 wird davon abgeraten, dass Servernamen über den „Common Name“ des Zertifikats autorisiert werden. Diese sollten sich im Gegenzug im SAN-Feld (subjectAltName) umgesetzt sein. Dazu müssen dort alle Namen bzw. IP-Adressen hinterlegt sein, die sich mit dem Zertifikat ausweisen dürfen.

Sollte dieses nicht vorliegen, wird das Zertifikat als unsicher eingestuft und entsprechend der Konfiguration des Browsers der Zugriff zur Webseite verhindert. Für eine Übergangszeit bis zu Version 65, welche voraussichtlich im kommenden Jahr erscheint, kann diese Prüfung per Registry-Key deaktiviert werden.

Pfad: HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\

Objekt: EnableCommonNameFallbackForLocalAnchors

Typ: REG_DWORD

Wert: 1

In der Zwischenzeit sollten alle Zertifikate, die dieses Merkmal nicht aufweisen ausgetauscht werden, um die Funktionsfähigkeit der Webservices zu gewährleisten.

Weitere Informationen:
RegKey
Chromium Bug Report