Archiv der Kategorie: Windows Server

SCHANNEL Einstellungen des Azure Windows Marketplace image geändert

Vor ein paar Wochen habe ich bemerkt, dass das Azure Marketplace Image für Windows 2016 Server zusätzliche Registry Einstellungen erhalten hat. Diese Einstellungen unterscheiden sich von einem manuell installierten und aktualisierten Windows 2016 Server!

Diese neuen Registryschlüssel deaktivieren die folgenden Ciphers und Protokolle:

  • Ciphers
    • RC4 128/128
    • RC4 40/128
    • RC4 56/128
  • Protokolle
    • SSL 2.0 Client
    • SSL 3.0 Client/Server

Vorab: Diese neuen Einstellung betreffen veraltete Cipher Suites und Protkolle und sollten in jeder gehärteten Umgebung schon seit Jahren deaktiviert sein. Ein Teil der Einstellungen ist sogar obsolet, da Sie nur die Standardeinstellungen von Windows 2016 abbilden.

Mit der Veröffentlichung von Windows Server 2016 hat Microsoft alle Änderungen an SCHANNEL in folgendem Artikel dokumentiert „TLS (Schannel SSP) changes in Windows 10 and Windows Server 2016„. Hier wird z.B. darauf hingewiesen das NULL, MD5, DES und export Cipher deaktiviert wurden.

Außerdem beschreibt der Artikel das SSL 2.0 komplett entfernt und SSL 3.0 im Standard für Client- und Serververbindungen deaktiviert wurde. Die Registry Einstellung für die Protokolle sind somit überflüssig und wurde wahrscheinlich nur für ein schlecht konfiguriertes Audit Tool oder zum besseren Verständnis hinzugefügt.

2013 wurde von Microsoft das „Security Advisory 2868725“ veröffentlich, in dem darauf hingewiesen wird, das RC4 cipher deaktiviert werden sollten. Nach ~ 5 – 6 Jahren hat Microsoft diese Best Practice nun auch für neue VMs auf Azure umgesetzt. Leider wurde es nirgends dokumentiert.

Zu beachten ist außerdem, dass diese Änderung nicht Windows Server 2016 Installationen von einem ISO betreffen, selbst wenn alle Sicherheitspatches installiert wurden. RC4 wird auf diesen Maschinen, ohne manuell Eingriff oder dem Einsatz von SCH_USE_STRONG_CRYPTO, weiterhin aktiviert sein. Mehr zu den TLS Cipher Suites in Windows 2016 findet man hier.

The case of the… WS_E_OPERATION_TIMED_OUT

In dieser Kategorie möchte ich über die Zeit eine Vielzahl von Blogeinträgen veröffentlichen, in denen ich ein Problem, die Lösung und den Weg dorthin erläutere.

Der Name ist Homage an „The Case of the Unexplained“ von Mark Russinovich.

Der Fehler

Bei einer automatisierten Zertifikatsanfrage, auf einem neu installierten Server, kommt es zu der folgende Fehlermeldung:

An Error occured requesting Certificate [TEMPLATENAME] from Issuing CA ‚https//pki.lab.cloudbrothers.info/ADPolicyProvider_CEP_UsernamePassword/service.svc/CEP‘
CX509EnrollmentPolicyWebService::LoadPolicy: The operation did not complete within the time allotted.
0x803d0006 (-2143485946 WS_E_OPERATION_TIMED_OUT)

Jedoch ist der Fehler nicht persistent, nach vier bis sechs Versuchen klappt es und das Zertifikat wird ausgestellt.

TL;DR – Wem die komplette Beschreibung zu lang ist geht direkt zur Lösung am Ende.

Weiterlesen

Hotfix für gMSA auf Windows Server 2012 R2

Für viele eventuell „old News“ aber trotzdem wichtig. Wer Windows Server 2012 R2 und group Managed Service Accounts einsetzt, sollte dringend den Hotfix KB2998082 bzw. mindestens das November 2014 update rollup (KB3000850) verteilen.

Ist dieser nicht installiert kann es zu Problemen nach dem automatischen Passwortwechsel des gMSA kommen. Hier versucht eventuell ein Server den gMSA Account noch mit dem alten Kennwort zu nutzen, was natürlich nicht funktioniert und zu „Access denied“ Meldungen und Diensten die nicht starten führt.

Ein Neustart ist nach der Installation erforderlich.

Hilfe bei doppelten PowerShell cmdlet Namen

Danke VMware für die doppelte Verwendung des Cmdlet Namen „New-Cluster“ und „Get-Cluster“ im PowerCLI Module „VMware.VimAutomation.Core“

Diese Namen werden, wie die meisten wissen, auch schon von einer anderen Technologie genutzt. Dem Microsoft Windows Failover Cluster.

Sobald man das „failoverclusters“ Modul manuell nachlädt wird das VMware Cmdlet überschrieben.

Sollte man beide Module auf einem Server installiert haben und möchte nicht immer manuell ein Import-Module durchführen, gibt es noch eine einfache Lösung das korrekte Cmdlet direkt zu adressieren.

Dieses betrifft folgende Cmdlets wenn die VMware Module installiert sind.

SQL Server und Meltdown und Spectre

Was ein Einstieg in das Jahr 2018. Meine Blogpause wurde begleitet von einer der größten Sicherheitslücken in den letzten Jahren. Betroffen ist fast jeder Nutzer von IT und das platformübergreifend.

Mittlerweile hat nicht nur das Project Zero von Google weitreichende Informationen veröffentlicht, sondern auch die Hersteller haben reagiert.

Microsoft Azure wurde schon, soweit Patches vorhanden sind, abgesichert.

Für SQL Server hat Microsoft Richtlinien veröffentlicht, die von jedem Admin befolgt werden sollten um sensible Daten zu schützen.

  • Windows Updates aktivieren und installieren
    Achtung: Für Windows Server 2012, 2008 und <= 20003 sind keine Patches vorhanden, die Lücke betrifft diese Systeme aber natürlich trotzdem.
  • SQL Server Updates installieren
    Achtung: Für alle anderen SQL Versionen ist aktuell kein Patch veröffentlicht worden. Bitte bei Microsoft prüfen ob dies in der Zwischenzeit der Fall ist!

  • Alle Funktionen deaktivieren, welche Code ausführen den Microsoft nicht kennt und somit als gefährlich gelten. Dazu gehören:
    • SQL CLR assemblies
    • R und Python Pakete die als externe Skripte angesprochen werden oder das „R/Machine Learning Studio“
    • SQL Agent auf dem selben Server wie der SQL Server mit z.B. ActiveX Skripten
    • Nicht-Microsoft OLE DB Treiber für Linked Server
    • Nicht-Microsoft Extended Stored Procedures

Wie immer sollten die Patches vorher getestet werden. In diesem speziellen Fall liegt das daran, dass die Patches zu Leistungseinbußen führen können.
Jedoch sollte bei der Frage Datensicherheit vs. Performance nicht die Performance gewinnen, sondern es sollte einem nur bewusst sein was passieren wird.

Microsoft continues to do performance evaluation on the patched binaries. However, at the time of publication, Microsoft has not yet validated SQL Server performance with all microcode patches, nor has it validated performance in all Linux environments. Customers are advised to evaluate the performance of their specific application when applying patches. Please validate the performance impact of enabling microcode changes before deploying into a production environment. Microsoft will update this section with more information when it is available.

Computer Kerberos Ticket und Zertfikatscache löschen

Wer für die Vergabe von Berechtigungen Gruppen nutzt kennt das Problem. Nach der Berechtigung auf eine neue Gruppe ist dieses Recht nicht sofort wirksam.
Der Tipp lautet dann meistens, Neuanmeldung. Wenn jedoch ein Server z.B. auf ein Zertifikat über eine Gruppenmitgliedschaft berechtigt wird, bedeutet das ein Neustart des Servers!

Doch die korrekte Lösung ist viel einfacher: Das Löschen des Kerberos Tickets und Entfernen der Cache-Einträge aus dem Zertifikatsspeicher. Nach dem Ausführen der entsprechenden Befehle ist es möglich das neue Zertifikat auszustellen.

Projekt “Honolulu” Technical Preview v1711

Schmeißt die Updates an, Projekt „Honolulu“ ist in der v1711 veröffentlicht worden.

Was gibt’s Neues?

  • RDP Zugriff
    Wir werden Ihn einfach nicht los. Die Kunden wollen einfach was Buntes.
    Deshalb integriert Microsoft den RDP Zugriff direkt in „Honolulu“

  • PowerShell Zugriff
    Ebenfalls direkt in die Weboberfläche integriert. Vollständig mit Tab Completion und Syntax Highlighting

  • Windows 10 Client Management
  • Switch Embedded Teaming für SCVMM
  • Verbesserte Performance für die Darstellung der Zertifikate und Eventlogs. In weiteren Releases soll diese Verbesserung für alle Anzeigen kommen.

Folgende Features wurden entfernt

  • Local Administrator Password Solution im Gateway Modus
  • Verbindungen zu Servern werden nicht mehr beim Start von Honolulu geprüft sondern nur beim Hinzufügen eines Servers oder beim Verbinden mit diesem.
    Daher ist auch die Spalte „Status“ in der Verbindungsliste entfernt worden

Den Download findet Ihr hier.

Windows Server preview build 17035 veröffentlicht

Kurz nach der Veröffentlichung von Windows Server 1709 auf der Ignite geht es bei Microsoft Schlag auf Schlag.

Gestern wurde die Vorschauversion 17035 veröffentlicht.
Hierbei handelt es sich um einen Blick auf die nächste Version aus dem neuen Windows Server Semi-Annual Release Channel.

Weiterlesen