Remote Desktop Services-Patch f├╝r XP, Vista & Server 2003

Im Rahmen des Patchdays des Monat Mai 2019 wird unter anderem ein Patch f├╝r die Sicherheitsl├╝cke CVE-2019-0708 mit der ├ťberschrift „Remote Desktop Services Remote Code Execution Vulnerability“ f├╝r die g├Ąngigen Betriebssysteme Windows 7, Windows Server 2008 und 2008 R2 zur Verf├╝gung gestellt. Betriebssysteme ab Windows 8 sowie Windows Server 2012 sind von dieser Thematik nicht betroffen.

Durch die Sicherheitsl├╝cke kann ├╝ber eine pr├Ąparierte RDP-Anfrage der Remote Desktop Dienst attackiert werden. Da keine Authentifizierung oder eine Interaktion durch einen Benutzer erforderlich ist, kann die Ausnutzung der Sicherheitsl├╝cke sehr „effektiv“ genutzt werden. Microsoft stuft die L├╝cke auf die selbe Kritikalit├Ąt wie die Randsomware WannaCry.

Mit dem KB4500331 liefert allerdings der Hersteller Microsoft eine Aktualisierung f├╝r die Client-Betriebssysteme XP und Vista sowie das Server-Betriebssystem 2003 aus. Bei diesen beiden ist der Support bereits seit langer Zeit eingestellt.

Aus diesem Grund wird auch f├╝r die ├Ąlteren Betriebssysteme eine L├Âsung angeboten und empfohlen diese zeitnah zu installieren. Die Patche k├Ânnen vom Microsoft Update-Katalog heruntergeladen werden. Die neueren Systeme erhalten das Update wie gewohnt ├╝ber die Verteilung im Rahmen der Aktualisierungsszenarien.

Sollte Windows Vista als Client-Betriebssystem genutzt werden, kann der Patch des Server-Betriebssystems Windows Server 2008 heruntergeladen und installiert werden. Da diese die gleiche Architektur haben, ist dieser Austausch unproblematisch.

 

Windows Vista: In 6 Monaten keine Support-Updates

Das Support-Ende f├╝r Windows Vista wird in 6 Monaten zum 11.04.2017 erreicht. Ab diesem Zeitpunkt soll es keine Updates zum Schlie├čen von Sicherheitsl├╝cken mehr geben.

Das aktuelle Betriebssystem Windows 10 ist nur ├╝ber ein Update ├╝ber Windows 7 m├Âglich. Ein Wechsel zwischen der Bit-Archtitektur ist ebenfalls nicht m├Âglich.┬áIn wie weit eine Migration als┬ásinnvoll erachtet wird, muss jeder f├╝r sich selber entscheiden.

MS16-101 verhindert Abw├Ąrtskompatibilit├Ąt beim Kennwortwechsel

Durch das im August 2016 seitens Microsoft zur Verf├╝gung gestellte Update MS16-101 ist es nun nicht mehr m├Âglich┬áKennwort├Ąnderungen per NTLM durchzuf├╝hren.

NTLM ist bis zum Zeitpunkt des jeweiligen KB f├╝r das entsprechende Betriebssystem in der Lage Kennw├Ârter auch ohne die M├Âglichkeit eines Kerberos-Zugriffs per folgender Firewallports zu ├Ąndern:

  • 88 UDP/TCP
  • 389 UDP
  • 464 UDP/TCP

Entsprechend erh├Ąlt man eine Warnmeldung:

Das System hat eine m├Âgliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen k├Ânnen.

Wenn der Port 464 UDP/TCP, welcher im Regelfall das Problem ausl├Âst,┬ánicht zur Verf├╝gung steht, tauschte sich der Prozess des Kennwortwechsels per NTLM ausschlie├člich ├╝ber Port┬á88 UDP/TCP und dynamischen Ports aus. Dieses wird mit dem Sicherheitsupdate verhindert, so dass die Sicherheitsstufe erh├Âht und die M├Âglichkeit einer Sicherheitsproblematik erschwert wird.

Weitere Informationen: hier

MS16-087 ver├Ąndert die „Point and Print Restrictions“

Zum Juli-Patchday von Microsoft in 2016 wurde den durch die folgenden drei┬áUpdates f├╝r die jeweilige Windows-Version „man-in-the-middle“-Attacken auf den Printspooler unterbunden, welche im┬áCVE-2016-3238 definiert sind:

  • KB3170455
    Windows Vista / Windows Server 2008
    Windows 7 / Windows Server 2008 R2
    Windows 8.1 / Windows Server 2012
  • KB3163912
    Windows 10
  • KB3172985
    Windows 10 Version 1511

In dem zu den Updates zugeh├Ârigem Artikel ist bereits direkt einen Abschnitt „Mitigating Factors“ (Schadensbegrenzende Faktoren). In diesem Abschnitt wird auf die „Point and Print Restrictions“ eingegangen:

Depending on the operating system you are running and its configuration, you may be able to change Point and Print Restrictions policies to enable users to print only to specific print servers that you trust. (Je nach ausgef├╝hrtem Betriebssystem und Konfiguration k├Ânnen Sie m├Âglicherweise Point-and-Print-Einschr├Ąnkungen ├Ąndern, um Benutzern das Drucken nur auf bestimmten Druckerservern zu erm├Âglichen.)

Auf dieses Thema bin ich gesto├čen, als┬áein Kollege auf mich zukam und fragte, warum das System┬ádenn keine Drucker mehr ohne administrative Berechtigungen einrichten k├Ânnen.┬áPer „Group Policy Preferences“ (GPP) gelang es uns nicht mehr einen neuen Drucker zu verbinden, den der Computer noch nicht kannte. Als wir den Verbindungsaufbau manuell durchf├╝hren wollten bekamen wir ein Warnungsfenster mit der Frage: „Vertrauen Sie diesem Drucker?“ (Do you trust this printer?).┬áBei der Fehleranalyse traf ich auf den Artikel zum Microsoft-Update, welches den Umstand der Meldung beschreibt.

Entsprechend des Zitates kann es einen Mehraufwand f├╝r IT-Administratoren bedeuten, wenn das Update eingespielt wurde und die Anwender sich eigene Druckfreigaben erstellt haben, da diese in gro├čer Wahrscheinlichkeit nicht ├╝ber eine entsprechende Freigabe zum Drucken ├╝ber „Point an Print“ verf├╝gen. Somit m├╝ssen alle Printserver eingetragen werden, um die Funktionalit├Ąten wieder herzustellen.

Weitere Informationen:
MS16-087 in Englisch
MS16-087 in Deutsch

P.S. Die ├ťbersetzungen in die Sprache Deutsch stammen von den maschninell ├╝bersetzten Microsoft-Webseiten zu dem Thema.

Bitlocker-Gruppenrichtlinien nach Versionen sortiert

Da ich mich nach ├╝ber einem Jahr mal wieder mit dem Thema Bitlocker besch├Ąftigen m├Âchte, habe ich erst einmal angefangen, die Gruppenrichtlinien aufzulisten anhand der Betriebssysteme bei denen sie eingesetzt wurden oder werden:

Windows Vista:

  • Standardordner f├╝r Wiederherstellungskennwort ausw├Ąhlen
  • ├ťberschreiben des Arbeitsspeicher beim Neustart verhindern

Windows Server 2008 und Windows Vista:

  • Zus├Ątzliche Authentifizierung beim Start anfordern
  • Wiederherstellungsoptionen f├╝r Bitlocker-gesch├╝tzte Laufwerke f├╝r Benutzer ausw├Ąhlen
  • Bitlocker-Wiederherstellungsinformationen in Active Directory-Dom├Ąnendiensten speichern
  • TPM-Plattformvaildierungsprofil konfigurieren (Windows Vista, Windows Server 2008, Windows 7 & Windows Server 2008 R2)

Windows Server 2008 R2 und Windows 7

  • Zus├Ątzliche Authentifizierung beim Start anfordern (ab Windows Server 2008 R2 & Windows 7)
  • Erweitere Pins f├╝r Systemstart zulassen
  • Minimale Pin-L├Ąnge f├╝r Systemstart konfigurieren
  • Smartcard-Verwendung f├╝r Festplattenlaufwerke konfigurieren
  • Kennwortverwendung f├╝r Festplattenlaufwerke konfigurieren
  • Smartcard-Verwenung f├╝r Wechseldatentr├Ąger konfigurieren
  • Kennwortverwendung f├╝r Wechseldatentr├Ąger konfigurieren
  • Einhaltung der Regel zur Smartcard-Zertifikatverwendung ├╝berpr├╝fen
  • Schreibzugriff auf Festplattenlaufwerke verweigern, die nicht durch Bitlocker gesch├╝tzt sind.
  • Schreibzugriff auf Wechseldatentr├Ąger verweigern, die nicht durch Bitlocker gesch├╝tzt sind
  • Verwendung von Bitlocker auf Wechselmedien steuern
  • Festlegen, wie Bitlocker-gesch├╝tzte Betriebssystemlaufwerke wiederhergestellt werden k├Ânnen
  • Festlegen, wie Bitlocker-gesch├╝tzte Festplattenlaufwerke wiederhergestellt werden k├Ânnen
  • Festlegen, wie Bitlocker-gesch├╝tzte Wechseldatentr├Ąger wiederhergestellt werden k├Ânnen
  • Eindeutige IDs f├╝r Ihre Organisation angeben
  • Zugriff auf Bitlocker-gesch├╝tzte Festplattenlaufwerke von fr├╝heren Windows-Versionen zulassen
  • Zugriff auf Bitlocker-gesch├╝tzte Wechseldatentr├Ąhger von fr├╝heren Windows-Versionen zulassen

Windows Server 2012 und Windows 8:

  • Netzwerkentsperrung beim Start zulassen
  • Pin- oder Kennwort├Ąnderung durch Standardbenutzer nicht zulassen
  • Verwendung von Kennw├Ârtern f├╝r Betriebssystemlaufwerke konfigurieren
  • Verwendung der Bitlocker-Authentifizierung mit erforderlicher Tastatureingabe vor dem Start auf Slates aktivieren
    [Dieses ist die Tablet-Unterst├╝tzung, um an entsprechenden Ger├Ąten ebenfalls Kennw├Ârter eingeben zu k├Ânnen.]
  • Verschl├╝sselungsmethode und Verschl├╝sselungsst├Ąrke f├╝r Laufwerk ausw├Ąhlen
  • Verwendung der hardwarebasierten Verschl├╝sselung f├╝r Festplattenlaufwerke konfigurieren
  • Verwendung der hardwarebasierten Verschl├╝sselung f├╝r Betriebssystemlaufwerke konfigurieren
  • Verwendung der hardwarebasierten Verschl├╝sselung f├╝r Wechseldatentr├Ągern konfigurieren
  • Laufwerksverschl├╝sselungstyp auf Festplattenlaufwerken erzwingen
  • Laufwerksverschl├╝sselungstyp auf Betriebssystemlaufwerke┬áerzwingen
  • Laufwerksverschl├╝sselungstyp auf Wechseldatentr├Ągern┬áerzwingen
  • Sicheren Start f├╝r Integrit├Ąts├╝berpr├╝fung zulassen
  • TPM-Plattformvalidierungsprofil f├╝r BIOS-basierte Firmwarekonfiguration konfigurieren
  • TPM-Plattformvalidierungsprofil f├╝r systemeigene UEFI-Firmwarekonfigurationen konfigurieren
  • Plattformvalidierungsdaten nach Bitlocker-Wiederherstellung zur├╝cksetzen
  • Erweitertes Validierungsprofil f├╝r Startkonfigurationsdaten verwenden

Windows 10:

  • Konfigurieren der Pre-Boot-Wiederherstellungsmeldung und URL

├ťber MBAM (Microsoft BitLocker Administration and Monitoring) sind noch weitere M├Âglichkeiten gegeben, wie zum Beispiel Reset des Wiederherstellungsschl├╝ssels nach Eingabe und ein Web-Portal zur Darstellung des Wiederherstellungsschl├╝ssel

Computerobjekt in Netzwerk-Liste verstecken

Standardm├Ą├čig werden die Computersysteme eines Netzwerks in einer Liste dargestellt, die sich alle Teilnehmer der Netzwerkgruppe bzw. einer Dom├Ąne ansehen k├Ânnen. Die Systeme k├Ânnen aber auch ausgeblendet werden.

Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\

Objekt: Hidden

Typ: REG_DWORD

Wert: 1

Das Verstecken des Computerobjektes beeintr├Ąchtigt nicht die Funktionalit├Ąt von Freigaben auf dem jeweiligen System.

Group Policy Preferences f├╝r WinXP, Vista & 2003

Da aufgrund des auslaufenden Supportes nicht nur Windows XP, sondern auch nach und nach Windows Server 2003 in den Infrastrukturumgebungen aufgel├Âst werden, ist es wahrscheinlich, dass auch die Dom├Ąnenfunktionsebenen dem neu eingesetzten Betriebssystem angepasst werden. Entsprechend sind auch neue Funktionen zur Verf├╝gung wie unter anderem der AD-Papierkorb.

Eine Option, welche direkt nach der Anhebung der Dom├Ąnenfunktionsebene aktiv ist, sind die „Group Policy Preferences“ (GPP) mit denen Drucke, Laufwerke, Registrykeys, Benutzer und vieles weiter bearbeitet werden kann. Dieses kann auch f├╝r Windows XP, Windows Vista und Windows Server 2003 genutzt werden, allerdings nicht ohne der Installation eines Addons durch ein Microsoft KB.

Mit diesem werden die Gruppenrichtlinieneinstellungs-Clienterweiterungen installiert und aktiviert. Entsprechend k├Ânnen auch die vorher genannten Betriebssysteme die Einstellungen verarbeiten

Weitere Informationen: Link