Kategorie: Windows Server 2012

Reset Quota-Werte unter Windows Server

Posted on By Daniel Lensing Keine Kommentare zu Reset Quota-Werte unter Windows Server

Über den „Ressourcen-Manager für Dateiserver“ (File Server Resource Manager) können auf Windows Server 2008 sowie Windows Server 2012 verschiedene Funktionen konfiguriert werden. Dieses gilt unter anderem für eine Kontingentverwaltung (Quota management).

Damit können zum Beispiel Benutzerverzeichnisse auf eine Größe beschränkt werden. Es können entweder Ordner oder ganze Partitionen damit definiert werden. Auch lässt sich dieses über einen Prozess automatisieren, so dass bei einer Neuanlage eines Ordners direkt eine vorher festgelegte Einschränkung dort gilt. Dieses wird nur mit dem Dateisystem NTFS unterstützt.

Aufgrund von Anpassungen zwischen verschiedenen Vorlagen oder Einstellungen kann es passieren, dass die ausgewerteten Prozente nicht mehr stimmen. Nun muss man allerdings nicht das gesamte Regelwerk neu schreiben, sondern kann über einen Befehl die Ordner neu berechnen lassen.

dirquota quota scan /path:

Zum Beispiel greifen anschließend auch wieder Regelwerke, bei denen vorher schon der Trigger überschritten war.

Weitere Informationen: hier

Windows Server, Windows Server 2012

Endungen von servergespeicherte Profile

Posted on By Daniel Lensing Keine Kommentare zu Endungen von servergespeicherte Profile

Seit Windows 7 werden servergespeicherte Profile für jede Betriebssystemversion getrennt voneinander betrachtet:

  • Windows 7 / Windows Server 2008 R2 verwendet die Erweiterung .V2
  • Windows 8 / Windows Server 2012 verwendet die Erweiterung .V3
  • Windows 8.1 / Windows Server 2012 R2 verwendet die Erweiterung .V4
  • Windows 10 verwendet die Erweiterung .V5
  • Windows 10 Anniversary Edition / Windows Server 2016 verwendet die Erweiterung .V6

Somit können sich Fehler nicht von einem zum anderen Build verteilen.

Windows 10, Windows 7, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2016

Speicherung von Passwörtern unter WDigest verhindern

Posted on By Daniel Lensing Keine Kommentare zu Speicherung von Passwörtern unter WDigest verhindern

Zur Absicherung vor der Speicherung von Klartext-Passwörtern sollte ein zusätzlicher Registry-Eintrag vorgenommen werden:

Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest
Objekt: UseLogonCredential
Typ: REG_DWORD
Wert: 0

Für Windows 7 muss vor der Nutzung dieses Registry-Keys auch ein Microsoft Sicherheitsupdate installiert werden: KB2871997

Durch den zu setzenden Registry-Wert wird die Speicherung von WDigest-Anmeldeinformationen im Arbeitsspeicher unterbunden. Somit ist ein Zugriff durch sicherheitsriskierende Applikationen deutlich eingeschränkt.

Weitere Informationen: hier

Windows 10, Windows 7, Windows 8, Windows 8.1, Windows Server, Windows Server 2012, Windows Server 2016

Powershell: Druckertreiber auf „packageaware“ prüfen

Posted on By Daniel Lensing Keine Kommentare zu Powershell: Druckertreiber auf „packageaware“ prüfen

Aufgrund der Anpassung des Microsoft-Updates MS16-087 ist es für eine erfolgreiche Installation ohne Benutzer-Interaktion ebenfalls erforderlich, dass der Druckertreiber als „ispackageaware“ gekennzeichnet ist.

Dieses ist allerdings nicht bei jedem Hersteller gegeben und sollte im Rahmen der Analyse zum benannten Patch geprüft werden. Dieses ist mit dem folgenden Powershell-Befehl sehr einfach:

Get-PrinterDriver * -ComputerName "Printserver" | Where-Object {$_.PrinterEnvironment -eq "Windows x64"}| select-object provider, name, ispackageaware

Dieser funktioniert ab Windows 8 btw. Windows Server 2012 und höher. Aufgrund der Remoteabfrage kann dieser Befehl aber auch auch ältere Windows-Systeme abfragen, wenn das aufragenden System die entsprechende Windows-Version besitzt. Des Weiteren werden nur Druckertreiber für Windows 64-Bit-Versionen ermittelt, so dass wenn Treiber für des Typs V3 für beide Bit-Systeme installiert wurden, nur einer ausgewertet wird.

Was aber bedeutet „packageaware“?
Die Treiber müssen alle erforderlichen Dateien in den zentrale Treibersammlung einbringen und müssen digital signiert sein. Entsprechend werden diese auch ohne administrative Berechtigung auf einem Client im Anwender-Kontext installiert.

Powershell, Windows Server, Windows Server 2012

MS16-087 verändert die „Point and Print Restrictions“

Posted on By Daniel Lensing 3 Kommentare zu MS16-087 verändert die „Point and Print Restrictions“

Zum Juli-Patchday von Microsoft in 2016 wurde den durch die folgenden drei Updates für die jeweilige Windows-Version „man-in-the-middle“-Attacken auf den Printspooler unterbunden, welche im CVE-2016-3238 definiert sind:

  • KB3170455
    Windows Vista / Windows Server 2008
    Windows 7 / Windows Server 2008 R2
    Windows 8.1 / Windows Server 2012
  • KB3163912
    Windows 10
  • KB3172985
    Windows 10 Version 1511

In dem zu den Updates zugehörigem Artikel ist bereits direkt einen Abschnitt „Mitigating Factors“ (Schadensbegrenzende Faktoren). In diesem Abschnitt wird auf die „Point and Print Restrictions“ eingegangen:

Depending on the operating system you are running and its configuration, you may be able to change Point and Print Restrictions policies to enable users to print only to specific print servers that you trust. (Je nach ausgeführtem Betriebssystem und Konfiguration können Sie möglicherweise Point-and-Print-Einschränkungen ändern, um Benutzern das Drucken nur auf bestimmten Druckerservern zu ermöglichen.)

Auf dieses Thema bin ich gestoßen, als ein Kollege auf mich zukam und fragte, warum das System denn keine Drucker mehr ohne administrative Berechtigungen einrichten können. Per „Group Policy Preferences“ (GPP) gelang es uns nicht mehr einen neuen Drucker zu verbinden, den der Computer noch nicht kannte. Als wir den Verbindungsaufbau manuell durchführen wollten bekamen wir ein Warnungsfenster mit der Frage: „Vertrauen Sie diesem Drucker?“ (Do you trust this printer?). Bei der Fehleranalyse traf ich auf den Artikel zum Microsoft-Update, welches den Umstand der Meldung beschreibt.

Entsprechend des Zitates kann es einen Mehraufwand für IT-Administratoren bedeuten, wenn das Update eingespielt wurde und die Anwender sich eigene Druckfreigaben erstellt haben, da diese in großer Wahrscheinlichkeit nicht über eine entsprechende Freigabe zum Drucken über „Point an Print“ verfügen. Somit müssen alle Printserver eingetragen werden, um die Funktionalitäten wieder herzustellen.

Weitere Informationen:
MS16-087 in Englisch
MS16-087 in Deutsch

P.S. Die Übersetzungen in die Sprache Deutsch stammen von den maschninell übersetzten Microsoft-Webseiten zu dem Thema.

Windows 10, Windows 7, Windows 8, Windows 8.1, Windows Server, Windows Server 2012, Windows Vista

Terminalserver: Drucker verbinden verbieten

Posted on By Daniel Lensing Keine Kommentare zu Terminalserver: Drucker verbinden verbieten

In vielen Infrastrukturen werden Windows-Printserver betrieben. Oft werden diese auch mit den selben Berechtigungen administriert wie die Arbeitsplatz-Systeme der Drucker-Administratoren.

Im Regelfall greifen die Administratoren per Remotedesktop-Verbindung auf den Server zu. Wenn auf dem Client eine andere Treiber-Version verwandt wird als auf  dem Server kann es zu unerwünschten Nebeneffekten kommen, so dass es sogar zu Serverproblemen kommen kann.

Nun gibt es halt 2 Möglichkeiten, wie dieses Verhalten geändert werden kann:

  • Einstellung wird in der Optionen der Remotedesktop-Applikation definiert
  • Einstellung am Server, so dass keine Druckerweiterleitung erstellt werden kann

Am sinnvollsten ist die Einstellung am Server, da die Nachhaltigkeit größer ist. Keiner muss an die Anpassung des Arbeitsplatzsystems denken.

Die Umsetzung kann per Gruppenrichlinie unter Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Druckerweiterleitung kann die entsprechende Einstellung „Druckerweiterleitung“ definiert werden.

Bei Systemen ohne eine Domänenanbindung führt eine Editierung der Registry zum gleichen Ergebnis:

Pfad: HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services

Objekt: fDisableCpm

Typ: REG_DWORD

Wert: 1

Nach dem Setzen einer der beiden Einstellungen muss der Server neugestartet werden, damit die Einschränkung aktiv wird.

Windows Server, Windows Server 2012

Bitlocker-Gruppenrichtlinien nach Versionen sortiert

Posted on By Daniel Lensing Keine Kommentare zu Bitlocker-Gruppenrichtlinien nach Versionen sortiert

Da ich mich nach über einem Jahr mal wieder mit dem Thema Bitlocker beschäftigen möchte, habe ich erst einmal angefangen, die Gruppenrichtlinien aufzulisten anhand der Betriebssysteme bei denen sie eingesetzt wurden oder werden:

Windows Vista:

  • Standardordner für Wiederherstellungskennwort auswählen
  • Überschreiben des Arbeitsspeicher beim Neustart verhindern

Windows Server 2008 und Windows Vista:

  • Zusätzliche Authentifizierung beim Start anfordern
  • Wiederherstellungsoptionen für Bitlocker-geschützte Laufwerke für Benutzer auswählen
  • Bitlocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichern
  • TPM-Plattformvaildierungsprofil konfigurieren (Windows Vista, Windows Server 2008, Windows 7 & Windows Server 2008 R2)

Windows Server 2008 R2 und Windows 7

  • Zusätzliche Authentifizierung beim Start anfordern (ab Windows Server 2008 R2 & Windows 7)
  • Erweitere Pins für Systemstart zulassen
  • Minimale Pin-Länge für Systemstart konfigurieren
  • Smartcard-Verwendung für Festplattenlaufwerke konfigurieren
  • Kennwortverwendung für Festplattenlaufwerke konfigurieren
  • Smartcard-Verwenung für Wechseldatenträger konfigurieren
  • Kennwortverwendung für Wechseldatenträger konfigurieren
  • Einhaltung der Regel zur Smartcard-Zertifikatverwendung überprüfen
  • Schreibzugriff auf Festplattenlaufwerke verweigern, die nicht durch Bitlocker geschützt sind.
  • Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch Bitlocker geschützt sind
  • Verwendung von Bitlocker auf Wechselmedien steuern
  • Festlegen, wie Bitlocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können
  • Festlegen, wie Bitlocker-geschützte Festplattenlaufwerke wiederhergestellt werden können
  • Festlegen, wie Bitlocker-geschützte Wechseldatenträger wiederhergestellt werden können
  • Eindeutige IDs für Ihre Organisation angeben
  • Zugriff auf Bitlocker-geschützte Festplattenlaufwerke von früheren Windows-Versionen zulassen
  • Zugriff auf Bitlocker-geschützte Wechseldatenträhger von früheren Windows-Versionen zulassen

Windows Server 2012 und Windows 8:

  • Netzwerkentsperrung beim Start zulassen
  • Pin- oder Kennwortänderung durch Standardbenutzer nicht zulassen
  • Verwendung von Kennwörtern für Betriebssystemlaufwerke konfigurieren
  • Verwendung der Bitlocker-Authentifizierung mit erforderlicher Tastatureingabe vor dem Start auf Slates aktivieren
    [Dieses ist die Tablet-Unterstützung, um an entsprechenden Geräten ebenfalls Kennwörter eingeben zu können.]
  • Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen
  • Verwendung der hardwarebasierten Verschlüsselung für Festplattenlaufwerke konfigurieren
  • Verwendung der hardwarebasierten Verschlüsselung für Betriebssystemlaufwerke konfigurieren
  • Verwendung der hardwarebasierten Verschlüsselung für Wechseldatenträgern konfigurieren
  • Laufwerksverschlüsselungstyp auf Festplattenlaufwerken erzwingen
  • Laufwerksverschlüsselungstyp auf Betriebssystemlaufwerke erzwingen
  • Laufwerksverschlüsselungstyp auf Wechseldatenträgern erzwingen
  • Sicheren Start für Integritätsüberprüfung zulassen
  • TPM-Plattformvalidierungsprofil für BIOS-basierte Firmwarekonfiguration konfigurieren
  • TPM-Plattformvalidierungsprofil für systemeigene UEFI-Firmwarekonfigurationen konfigurieren
  • Plattformvalidierungsdaten nach Bitlocker-Wiederherstellung zurücksetzen
  • Erweitertes Validierungsprofil für Startkonfigurationsdaten verwenden

Windows 10:

  • Konfigurieren der Pre-Boot-Wiederherstellungsmeldung und URL

Über MBAM (Microsoft BitLocker Administration and Monitoring) sind noch weitere Möglichkeiten gegeben, wie zum Beispiel Reset des Wiederherstellungsschlüssels nach Eingabe und ein Web-Portal zur Darstellung des Wiederherstellungsschlüssel

Windows 10, Windows 7, Windows 8, Windows 8.1, Windows Server, Windows Server 2012, Windows Vista