Speicherung von Passwörtern unter WDigest verhindern

Posted on By Daniel Lensing Keine Kommentare zu Speicherung von Passwörtern unter WDigest verhindern

Zur Absicherung vor der Speicherung von Klartext-Passwörtern sollte ein zusÀtzlicher Registry-Eintrag vorgenommen werden:

Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest
Objekt: UseLogonCredential
Typ: REG_DWORD
Wert: 0

FĂŒr Windows 7 muss vor der Nutzung dieses Registry-Keys auch ein Microsoft Sicherheitsupdate installiert werden: KB2871997

Durch den zu setzenden Registry-Wert wird die Speicherung von WDigest-Anmeldeinformationen im Arbeitsspeicher unterbunden. Somit ist ein Zugriff durch sicherheitsriskierende Applikationen deutlich eingeschrÀnkt.

Weitere Informationen: hier

Windows 10, Windows 7, Windows 8, Windows 8.1, Windows Server, Windows Server 2012, Windows Server 2016

EMET 5.51 steht mit Fehlerbehebung zur VerfĂŒgung

Posted on By Daniel Lensing Keine Kommentare zu EMET 5.51 steht mit Fehlerbehebung zur VerfĂŒgung

Eine neue Version von „Enhanced Mitigation Experience Toolkit“ aus dem Hause Microsoft wurde Anfang des Monats eine neue Version 5.51 zur VerfĂŒgung gestellt.

Diese stellt 2 Verbesserungen zur VerfĂŒgung:

  • EMET 5.5 GUI crashing on startup
  • Unexpected BitLocker warning in EMET 5.5 when changing system-wide DEP setting

Weitere Informationen: hier

Windows 10, Windows 7, Windows 8, Windows 8.1

Trend Micro Officescan-Update fĂŒr Win10 Build 1607

Posted on By Daniel Lensing Keine Kommentare zu Trend Micro Officescan-Update fĂŒr Win10 Build 1607

FĂŒr die Antivirenlösung Officescan des Herstellers Trend Micro gibt es seit dem 29.08.2016 ein Sicherheitsupdate zur VerfĂŒgung gestellt, welches die Build 1607 von Windows 10 (Anniversary Update) betrifft.

Dieses kann bei den folgenden Versionen installiert werden:

  • Officescan 11 Servicepack 1 Build 4150
  • Officescan 11 Servicepack 1 Build 6054

Die durchgefĂŒhrte Änderung wird wie folgt beschrieben:

This critical patch adds new core modules in OfficeScan 11.0 Service Pack 1 that enables it to work well with Windows 10 Red Stone 1 (Windows 10 Anniversary Update)

Weitere Informationen:
Update fĂŒr 4150
Update fĂŒr 6125

Software

Win10: Windows Update-Logfile generieren

Posted on By Daniel Lensing Keine Kommentare zu Win10: Windows Update-Logfile generieren

Seit Windows 10 wird das Logfile fĂŒr die FunktionalitĂ€t des Windows Update nicht mehr direkt in einer lesbaren Form zur VerfĂŒgung gestellt. Um Ressourcen zu sparen wird „Event Tracing for Windows“ (ETW) eingesetzt, welches Daten als etl-Dateien auf dem System ablegt.

Entsprechend muss mit dem folgenden Powershell-Befehl unter Nutzung von administrativen Berechtigungen die Datei generiert werden.

Get-WindowsUpdateLog

Es wird automatisch die WindowsLog-Datei auf dem Desktop des ausfĂŒhrenden Benutzers gespeichert.

In der Datei befinden sich dann noch Zeilen, welche bereinigt werden können, da diese nicht benötigt werden:

(Get-Content "$env:USERPROFILE\Desktop\WindowsUpdate.log") -notmatch "1601.01.01" | Out-File -Encoding ASCII "$env:USERPROFILE\Desktop\WinUpdate.log"
Remove-Item "$env:USERPROFILE\Desktop\WindowsUpdate.log"

Weitere Informationen: hier

Powershell, Windows 10, Windows Server 2016

MS16-101 verhindert AbwÀrtskompatibilitÀt beim Kennwortwechsel

Posted on By Daniel Lensing 1 Kommentar zu MS16-101 verhindert AbwÀrtskompatibilitÀt beim Kennwortwechsel

Durch das im August 2016 seitens Microsoft zur VerfĂŒgung gestellte Update MS16-101 ist es nun nicht mehr möglich KennwortĂ€nderungen per NTLM durchzufĂŒhren.

NTLM ist bis zum Zeitpunkt des jeweiligen KB fĂŒr das entsprechende Betriebssystem in der Lage Kennwörter auch ohne die Möglichkeit eines Kerberos-Zugriffs per folgender Firewallports zu Ă€ndern:

  • 88 UDP/TCP
  • 389 UDP
  • 464 UDP/TCP

Entsprechend erhÀlt man eine Warnmeldung:

Das System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können.

Wenn der Port 464 UDP/TCP, welcher im Regelfall das Problem auslöst, nicht zur VerfĂŒgung steht, tauschte sich der Prozess des Kennwortwechsels per NTLM ausschließlich ĂŒber Port 88 UDP/TCP und dynamischen Ports aus. Dieses wird mit dem Sicherheitsupdate verhindert, so dass die Sicherheitsstufe erhöht und die Möglichkeit einer Sicherheitsproblematik erschwert wird.

Weitere Informationen: hier

Windows 10, Windows 7, Windows 8, Windows 8.1, Windows Vista

Notepad++ mit Livemonitoring-Funktion

Posted on By Daniel Lensing Keine Kommentare zu Notepad++ mit Livemonitoring-Funktion

Seit der im Mai veröffentlichten Version 6.9.2 der Applikation Notepad++ ist es möglich Dateien in Echtzeit mitzulesen. Dieses kann fĂŒr Log-Dateien sinnvoll sein, um zum Beispiel Fehler bei Installationen oder Fortschritte bei Kopierprozessen einzusehen.

Über das „Augensymbol“ kann die FunktionalitĂ€t aktiviert werden, so dass zeitnah die sich verĂ€ndernden DatensĂ€tze dargestellt werden. Dieses benötigt allerdings auch Leistung des benutzten Systems, welche nicht ausvden Augen gelassen werden sollte.

Weitere Informationen: hier

Software

Powershell: Druckertreiber auf „packageaware“ prĂŒfen

Posted on By Daniel Lensing Keine Kommentare zu Powershell: Druckertreiber auf „packageaware“ prĂŒfen

Aufgrund der Anpassung des Microsoft-Updates MS16-087 ist es fĂŒr eine erfolgreiche Installation ohne Benutzer-Interaktion ebenfalls erforderlich, dass der Druckertreiber als „ispackageaware“ gekennzeichnet ist.

Dieses ist allerdings nicht bei jedem Hersteller gegeben und sollte im Rahmen der Analyse zum benannten Patch geprĂŒft werden. Dieses ist mit dem folgenden Powershell-Befehl sehr einfach:

Get-PrinterDriver * -ComputerName "Printserver" | Where-Object {$_.PrinterEnvironment -eq "Windows x64"}| select-object provider, name, ispackageaware

Dieser funktioniert ab Windows 8 btw. Windows Server 2012 und höher. Aufgrund der Remoteabfrage kann dieser Befehl aber auch auch Ă€ltere Windows-Systeme abfragen, wenn das aufragenden System die entsprechende Windows-Version besitzt. Des Weiteren werden nur Druckertreiber fĂŒr Windows 64-Bit-Versionen ermittelt, so dass wenn Treiber fĂŒr des Typs V3 fĂŒr beide Bit-Systeme installiert wurden, nur einer ausgewertet wird.

Was aber bedeutet „packageaware“?
Die Treiber mĂŒssen alle erforderlichen Dateien in den zentrale Treibersammlung einbringen und mĂŒssen digital signiert sein. Entsprechend werden diese auch ohne administrative Berechtigung auf einem Client im Anwender-Kontext installiert.

Powershell, Windows Server, Windows Server 2012