Category Archives: Windows Vista

Windows Vista: In 6 Monaten keine Support-Updates

Das Support-Ende für Windows Vista wird in 6 Monaten zum 11.04.2017 erreicht. Ab diesem Zeitpunkt soll es keine Updates zum Schließen von Sicherheitslücken mehr geben.

Das aktuelle Betriebssystem Windows 10 ist nur über ein Update über Windows 7 möglich. Ein Wechsel zwischen der Bit-Archtitektur ist ebenfalls nicht möglich. In wie weit eine Migration als sinnvoll erachtet wird, muss jeder für sich selber entscheiden.

MS16-101 verhindert Abwärtskompatibilität beim Kennwortwechsel

Durch das im August 2016 seitens Microsoft zur Verfügung gestellte Update MS16-101 ist es nun nicht mehr möglich Kennwortänderungen per NTLM durchzuführen.

NTLM ist bis zum Zeitpunkt des jeweiligen KB für das entsprechende Betriebssystem in der Lage Kennwörter auch ohne die Möglichkeit eines Kerberos-Zugriffs per folgender Firewallports zu ändern:

  • 88 UDP/TCP
  • 389 UDP
  • 464 UDP/TCP

Entsprechend erhält man eine Warnmeldung:

Das System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können.

Wenn der Port 464 UDP/TCP, welcher im Regelfall das Problem auslöst, nicht zur Verfügung steht, tauschte sich der Prozess des Kennwortwechsels per NTLM ausschließlich über Port 88 UDP/TCP und dynamischen Ports aus. Dieses wird mit dem Sicherheitsupdate verhindert, so dass die Sicherheitsstufe erhöht und die Möglichkeit einer Sicherheitsproblematik erschwert wird.

Weitere Informationen: hier

MS16-087 verändert die „Point and Print Restrictions“

Zum Juli-Patchday von Microsoft in 2016 wurde den durch die folgenden drei Updates für die jeweilige Windows-Version „man-in-the-middle“-Attacken auf den Printspooler unterbunden, welche im CVE-2016-3238 definiert sind:

  • KB3170455
    Windows Vista / Windows Server 2008
    Windows 7 / Windows Server 2008 R2
    Windows 8.1 / Windows Server 2012
  • KB3163912
    Windows 10
  • KB3172985
    Windows 10 Version 1511

In dem zu den Updates zugehörigem Artikel ist bereits direkt einen Abschnitt „Mitigating Factors“ (Schadensbegrenzende Faktoren). In diesem Abschnitt wird auf die „Point and Print Restrictions“ eingegangen:

Depending on the operating system you are running and its configuration, you may be able to change Point and Print Restrictions policies to enable users to print only to specific print servers that you trust. (Je nach ausgeführtem Betriebssystem und Konfiguration können Sie möglicherweise Point-and-Print-Einschränkungen ändern, um Benutzern das Drucken nur auf bestimmten Druckerservern zu ermöglichen.)

Auf dieses Thema bin ich gestoßen, als ein Kollege auf mich zukam und fragte, warum das System denn keine Drucker mehr ohne administrative Berechtigungen einrichten können. Per „Group Policy Preferences“ (GPP) gelang es uns nicht mehr einen neuen Drucker zu verbinden, den der Computer noch nicht kannte. Als wir den Verbindungsaufbau manuell durchführen wollten bekamen wir ein Warnungsfenster mit der Frage: „Vertrauen Sie diesem Drucker?“ (Do you trust this printer?). Bei der Fehleranalyse traf ich auf den Artikel zum Microsoft-Update, welches den Umstand der Meldung beschreibt.

Entsprechend des Zitates kann es einen Mehraufwand für IT-Administratoren bedeuten, wenn das Update eingespielt wurde und die Anwender sich eigene Druckfreigaben erstellt haben, da diese in großer Wahrscheinlichkeit nicht über eine entsprechende Freigabe zum Drucken über „Point an Print“ verfügen. Somit müssen alle Printserver eingetragen werden, um die Funktionalitäten wieder herzustellen.

Weitere Informationen:
MS16-087 in Englisch
MS16-087 in Deutsch

P.S. Die Übersetzungen in die Sprache Deutsch stammen von den maschninell übersetzten Microsoft-Webseiten zu dem Thema.

Bitlocker-Gruppenrichtlinien nach Versionen sortiert

Da ich mich nach über einem Jahr mal wieder mit dem Thema Bitlocker beschäftigen möchte, habe ich erst einmal angefangen, die Gruppenrichtlinien aufzulisten anhand der Betriebssysteme bei denen sie eingesetzt wurden oder werden:

Windows Vista:

  • Standardordner für Wiederherstellungskennwort auswählen
  • Überschreiben des Arbeitsspeicher beim Neustart verhindern

Windows Server 2008 und Windows Vista:

  • Zusätzliche Authentifizierung beim Start anfordern
  • Wiederherstellungsoptionen für Bitlocker-geschützte Laufwerke für Benutzer auswählen
  • Bitlocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichern
  • TPM-Plattformvaildierungsprofil konfigurieren (Windows Vista, Windows Server 2008, Windows 7 & Windows Server 2008 R2)

Windows Server 2008 R2 und Windows 7

  • Zusätzliche Authentifizierung beim Start anfordern (ab Windows Server 2008 R2 & Windows 7)
  • Erweitere Pins für Systemstart zulassen
  • Minimale Pin-Länge für Systemstart konfigurieren
  • Smartcard-Verwendung für Festplattenlaufwerke konfigurieren
  • Kennwortverwendung für Festplattenlaufwerke konfigurieren
  • Smartcard-Verwenung für Wechseldatenträger konfigurieren
  • Kennwortverwendung für Wechseldatenträger konfigurieren
  • Einhaltung der Regel zur Smartcard-Zertifikatverwendung überprüfen
  • Schreibzugriff auf Festplattenlaufwerke verweigern, die nicht durch Bitlocker geschützt sind.
  • Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch Bitlocker geschützt sind
  • Verwendung von Bitlocker auf Wechselmedien steuern
  • Festlegen, wie Bitlocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können
  • Festlegen, wie Bitlocker-geschützte Festplattenlaufwerke wiederhergestellt werden können
  • Festlegen, wie Bitlocker-geschützte Wechseldatenträger wiederhergestellt werden können
  • Eindeutige IDs für Ihre Organisation angeben
  • Zugriff auf Bitlocker-geschützte Festplattenlaufwerke von früheren Windows-Versionen zulassen
  • Zugriff auf Bitlocker-geschützte Wechseldatenträhger von früheren Windows-Versionen zulassen

Windows Server 2012 und Windows 8:

  • Netzwerkentsperrung beim Start zulassen
  • Pin- oder Kennwortänderung durch Standardbenutzer nicht zulassen
  • Verwendung von Kennwörtern für Betriebssystemlaufwerke konfigurieren
  • Verwendung der Bitlocker-Authentifizierung mit erforderlicher Tastatureingabe vor dem Start auf Slates aktivieren
    [Dieses ist die Tablet-Unterstützung, um an entsprechenden Geräten ebenfalls Kennwörter eingeben zu können.]
  • Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen
  • Verwendung der hardwarebasierten Verschlüsselung für Festplattenlaufwerke konfigurieren
  • Verwendung der hardwarebasierten Verschlüsselung für Betriebssystemlaufwerke konfigurieren
  • Verwendung der hardwarebasierten Verschlüsselung für Wechseldatenträgern konfigurieren
  • Laufwerksverschlüsselungstyp auf Festplattenlaufwerken erzwingen
  • Laufwerksverschlüsselungstyp auf Betriebssystemlaufwerke erzwingen
  • Laufwerksverschlüsselungstyp auf Wechseldatenträgern erzwingen
  • Sicheren Start für Integritätsüberprüfung zulassen
  • TPM-Plattformvalidierungsprofil für BIOS-basierte Firmwarekonfiguration konfigurieren
  • TPM-Plattformvalidierungsprofil für systemeigene UEFI-Firmwarekonfigurationen konfigurieren
  • Plattformvalidierungsdaten nach Bitlocker-Wiederherstellung zurücksetzen
  • Erweitertes Validierungsprofil für Startkonfigurationsdaten verwenden

Windows 10:

  • Konfigurieren der Pre-Boot-Wiederherstellungsmeldung und URL

Über MBAM (Microsoft BitLocker Administration and Monitoring) sind noch weitere Möglichkeiten gegeben, wie zum Beispiel Reset des Wiederherstellungsschlüssels nach Eingabe und ein Web-Portal zur Darstellung des Wiederherstellungsschlüssel

Computerobjekt in Netzwerk-Liste verstecken

Standardmäßig werden die Computersysteme eines Netzwerks in einer Liste dargestellt, die sich alle Teilnehmer der Netzwerkgruppe bzw. einer Domäne ansehen können. Die Systeme können aber auch ausgeblendet werden.

Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\

Objekt: Hidden

Typ: REG_DWORD

Wert: 1

Das Verstecken des Computerobjektes beeinträchtigt nicht die Funktionalität von Freigaben auf dem jeweiligen System.

Group Policy Preferences für WinXP, Vista & 2003

Da aufgrund des auslaufenden Supportes nicht nur Windows XP, sondern auch nach und nach Windows Server 2003 in den Infrastrukturumgebungen aufgelöst werden, ist es wahrscheinlich, dass auch die Domänenfunktionsebenen dem neu eingesetzten Betriebssystem angepasst werden. Entsprechend sind auch neue Funktionen zur Verfügung wie unter anderem der AD-Papierkorb.

Eine Option, welche direkt nach der Anhebung der Domänenfunktionsebene aktiv ist, sind die „Group Policy Preferences“ (GPP) mit denen Drucke, Laufwerke, Registrykeys, Benutzer und vieles weiter bearbeitet werden kann. Dieses kann auch für Windows XP, Windows Vista und Windows Server 2003 genutzt werden, allerdings nicht ohne der Installation eines Addons durch ein Microsoft KB.

Mit diesem werden die Gruppenrichtlinieneinstellungs-Clienterweiterungen installiert und aktiviert. Entsprechend können auch die vorher genannten Betriebssysteme die Einstellungen verarbeiten

Weitere Informationen: Link

Terminalservice: RDP-Port editieren

Da über eine IP-Adresse mehrere Remote-Systeme erreicht werden sollten, war es am einfachsten dieses über verschiedene Ports zu realisieren. Dieses ist über einen Registry-Eintrag sehr einfach möglich:

Pfad: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp
Objekt: PortNumber
Objekttyp: REG_DWORD

Dort kann über den Radiobutton der Wert auf „Dezimal“ gesetzt werden und eine gewünschte Portnummer eingestellt werden.

Es ist natürlich zu beachten, dass beim Aufbau per „Remotedektopverbindung“ auch der Port angegeben werden muss und vielleicht auch entsprechende Firewallfreischaltungen notwendig sind.