Kategorieauswahl

Sicherheit

Firefox expandiert URLs

Über das Firefox Addon Long URL please werden Hyperlinks in der langen Form angezeigt, wenn beispielsweise TinyURLs eingesetzt werden. Dann sieht man gleich, wenn man mit der Maus über einen Hyperlink bewegt wo die Reise beim anklicken hingehen wird.

Windows 7 Firewall Control

Windows 7 Firewall Control erleichtert die Benutzung der Windows 7 Firewall vor allem wenn man auch die ausgehenden Verbindungen blockieren möchte. Das Programm erkennt einen neuen nicht zugelassenen Verbindungsversuch und fragt den Benutzer ob eine entsprechende Ausnahme eingetragen werden soll. Das Programm unterstützt auch Windows Vista und XP.

Password Recovery

Cain&Abel ist ein Password Recovery Tool mit dem man vergessene Passwörter unter Windows knacken kann. Kennwörter können also wiederhergestellt werden. Genauso gut kann man es natürlich auch auf der dunklen Seite der Macht einsetzen. Aber Vorsicht!!! Das ist strafbar!!!

Website von IIS 7 auf UNC Freigabe Share bereitstellen

So lange man auf der lokalen Festplatte mit IIS 7 arbeitet ist das mit dem Zugriff ja alles noch relativ unkompliziert. Beim IIS 6 stellt eine Freigabe im Netzwerk auch kein Problem dar um als Speicherort für Websites zu dienen. IIS 7 bekommt das aber nur mit einigen Verrenkungen auf die Reihe. Wie Sie IIS 7 dazu überreden können erfahren Sie hier.

Unter dem Punkt Nachtrag weiter unten finden Sie noch eine Methode mit der es bei Windows Server 2008 R2 möglich ist anonyme und authentifizierte Freigabe in einem Share und Anwendungspool bereit zu stellen.

Anonymer Zugriff auf eine Website auf einem Fileserver mit IIS 7

Erstellen Sie im AD einen Benutzer für den Zugriff auf die Freigabe. Beachten Sie dabei bitte, dass das Kennwort nicht abläuft und der Benutzer es nicht beim ersten Anmelden ändern muss, ansonsten klappt es nur einen gewissen Zeitraum bzw. gar nicht.

Diesem AD-Benutzer geben Sie die NFTS- und Freigabeberechtigung Lesen. Wenn Sie es benötigen auch mehr, aber der Sicherheit zuliebe würde ich anonymen Benutzern nie mehr als Lesen einräumen. Auf keinen Fall vergessen dürfen Sie dem Verwalter der Website Vollzugriff (NTFS+Share, wie beim User auch) einzuräumen. In meinem Fall der Domänenadmin. Wenn Sie das vergessen, können Sie keine Einstellungen an der Website vornehmen, da wir nur lesenden Zugriff auf die web.config Datei hätten, welche die Einstellungen der Website enthält.

Klicken Sie mit der rechten Maustaste in der Webserververwaltung im linken Abschnitt auf den Knoten Sites und dann auf „Website hinzufügen“. Geben Sie dem Kind einen Namen und weisen Sie den UNC-Pfad (\\Server\Freigabe – die Sie zuvor erstellt haben) zum Dateiserver an. Klicken Sie auf „Verbinden als“ und geben Sie Ihren ebenfalls zuvor erstellten AD Benutzer und sein Kennwort (2x) an. Bindungen nach Ihren Vorstellungen einstellen und schon sollte der anonyme Zugriff klappen (es sollten natürlich korrekte html Dokumente im Share liegen, die abgerufen werden können).

Die Einstellungen des Application-Pools (ob integriert, oder klassisch – Netzwerkdienst oder ApplicationPoolIdentity spielt keine Rolle). Wenn es jetzt immer noch nicht klappt, haben Sie schon einmal Ihre Firewalleinstellungen gecheckt? Sind alle Module und Handler in der Website standardmäßig eingestellt?

Authentifizierter Zugriff auf eine Website auf einem Fileserver mit IIS 7

Erstellen Sie wie oben im blauen Abschnitt beschrieben Ihre Website. Der Unterschied besteht darin nun keinen Benutzer anzugeben, sondern die Pass-Through-Authentifizierung zu nutzen.

Aktivieren Sie die Standardauthentifizierung, installieren Sie ggf. das Modul über Rollendienste hinzufügen im Servermanager nach. Windows oder Digestauthentifizierung funktionieren nicht!!! Wenn Sie die Standardauthentifizierung sicher machen möchten, weil Kennwörter im Klartext übertragen werden müssen Sie SSL einsetzen. Aber das ist eigentlich nicht wirklich tragisch, wenn man überlegt, dass bei den anderen Authentifizierungsvarianten ja auch nur die Anmeldung verschlüsselt wird und nachfolgend alle Daten im Klartext über die Leitung spazieren!

Nun brauchen wir aber auch noch einen AD-Benutzer und einen freigegebenen Ordner auf einem Dateiserver. Den Benutzer weisen wir nun dem Anwendungspool der mit unserer eben erstellten Website verknüpft ist zu indem wir ihn unter Anwendungspools mit der linken Maustaste anklicken und dann auf der rechten Seite auf „erweiterte Einstellungen“ klicken. Dort sehen wir eine Zeile die mit Identität beginnt. Je nach Version steht dort standardmäßig Netzwerkdienst oder ApplicationpoolIdentity. Klicken Sie rechts den Eintrag an und es tauchen 3 Punkte auf. Da auch noch einmal drauf klicken und den unteren Eintrag Benutzerdefiniertes Konto anklicken und dort unseren AD-User mit Kennwort eintragen.

Auf dem Fileserver geben wir dem Verwalter der Website (meist der Admin) Vollzugriff und unserem selbst gebastelten AD-User Ändern Berechtigung (nur wenn unbedingt notwendig Vollzugriff) sowohl in den Freigabeberechtigungen als auch unter dem Reiter Sicherheit. Auf die im Verzeichnis enthaltene web.config bekommt wieder nur der Websiteverwalter (meist der Admin) Vollzugriff und unser AD-User bekommt Lesen. Schalten Sie ggf. die Vererbung der Berechtigungen bei NTFS aus. Alle anderen Dateien und Verzeichnisse geben Sie nur den Benutzern die gewünschten Berechtigungen die auch entsprechend darauf zugreifen sollen.

Interessanter Weise müssen Sie beim Zugriff unbedingt „http://“ vorne dran schreiben. Vergisst man das, klappt der Zugriff kurioser Weise nicht!

 

Nachtrag:

Auf aktuellen Windows Server 2008 R2 Systemen ist es mir geglückt, einen UNC-Share mit kombiniertem anonymen und authentifiziertem Zugriff (Standard-Authentifizierung) bereit zu stellen.

Erstellen Sie im AD einen Benutzer für den Zugriff von IIS auf die Freigabe. Beachten Sie dabei bitte, dass das Kennwort nicht abläuft und der Benutzer es nicht beim ersten Anmelden ändern muss, ansonsten klappt es nur einen gewissen Zeitraum bzw. gar nicht.

Diesem AD-Benutzer geben Sie die NFTS-Berechtigung „Ändern“ auf den freizugebenden Ordner. Benutzer bekommen „Lesen“ und Administratoren natürlich „Vollzugriff“. Bei der Freigabeberechtigung selbst tragen Sie der Einfachheit halber Jeder=“Ändern“ ein (dies tut der Sicherheit, dank der Kombination mit NTFS keinen Abbruch). Dies sorgt bei den darin enthaltenen Unterordnern und Dateien für eine gute Ausgangsbasis. Alle nun enthaltenen Dateien und Unterordner stehen somit zunächst einmal jedem Besucher anonym zur Verfügung.

An der Datei web.config müssen Sie die Berechtigungen für Ihren IIS-Benutzer auf „Ändern“ aufbohren, damit Ihr Webserver die Einstellungen bearbeiten kann, falls dies nicht automatisch bei Anlegen der Website/Anwendung geschieht.

Wenn Sie paranoid veranlagt sind können Sie auch noch die Berechtigungsvererbung abschalten und der Gruppe der Benutzer den Zugriff komplett entziehen und entsprechend die von Ihnen gewünschten Benutzer/Gruppen mit Ihren speziellen Berechtigungen versehen.

Dateien/Ordner die nur bestimmten Benutzern nach einer Authentifizierung zur Verfügung stehen sollen schalten Sie die Vererbung aus und entziehen der Gruppe der Benutzer den Zugriff komplett. Dafür tragen Sie die Benutzer und Gruppen ein, die dann den Zugriff darauf erhalten sollen.

So, nun brauchen wir natürlich noch die Einstellungen am IIS. Legen Sie eine Website, oder eine Anwendung an, je nachdem ob Sie es für eine komplette Website einsetzen möchten oder nur für einen Teilbereich. Lassen Sie dabei einen neuen Anwendungspool erstellen…um den kümmern wir uns gleich. Beim physikalischen Pfad tragen Sie Ihren UNC-Pfad ein (Beispiel: \\Servername\Freigabename). Unter „Verbinden als…“ lassen Sie bitte die Standardeinstellung „Anwendungsbenutzer“ stehen. Die Bindungseinstellungen können Sie nach Ihren Wünschen wie gewohnt festlegen.

Nun wechseln Sie zu den Anwendungspools und wählen Sie Ihren eben mit der Website erstellten aus. Klicken Sie im rechten Bereich auf „Erweiterte Einstellungen“. Auf dem sich öffnenden Popup unter „Prozessmodell/Identität“ tragen Sie Ihren Benutzer aus dem AD ein (Beispiel: Domänenname\IISBenutzer).

Jetzt zurück zu Ihrer Website. Unter „IIS/Authentifizierung“ bitte nur „Anonyme Authentifizierung“ und „Standardauthentifizierung“ aktivieren. Wenn die Standardauthentifizierung nicht vorhanden ist müssen Sie im Servermanager erst das Modul nachinstallieren. Bei der Standardauthentifizierung können Sie noch Ihre Domäne als Standarddomäne und Bereich vorgeben. Die Anonyme Authentifizierung benutzt standardmäßig die Identität IUSR *. Alle anderen möglicher Weise angebotenen Authentifizierungsvarianten müssen dabei deaktiviert sein!!! Da Sie für die Authentifizierung Standard einsetzen müssen, sollten Sie sich darüber im Klaren sein, dass die Anmeldeinformationen im Klartext übertragen werden, wenn Sie den Zugriff nicht mit SSL absichern. Bei den anderen verschlüsselten Authentifizierungsverfahren frage ich mich aber auch warum ich die Authentifizierung verschlüssele und die nachfolgend übertragenen Daten im Klartext über die Leitung spazieren. Mit SSL stellt die Klartextvariante also kein Sicherheitsproblem dar, verglichen mit sog. sichern Authentifizierungsverfahren ohne SSL!

* Mit dieser Einstellung hätten dann aber auch anonyme Benutzer potentiell Schreibzugriff auf die web.config. Dies ist wohl weniger wünschenswert. Für die Sicherheit empfehle ich daher im AD noch einen weiteren Benutzer für den anonymen Zugriff zu erstellen. Dann geht man in die Authentifizierungseinstellungen unter IIS und wählt die „anonyme Authentifizierung“ aus und klickt rechts auf „Bearbeiten“. Hier gibt man nun unter „Bestimmter Benutzer“ statt IUSR den eben erstellten Benutzer für anonymen Zugriff aus dem AD an (Beispiel: Domänenname\IISAnonymous“). Die ApplicationPool ID würde ich hier nicht einsetzen, um den Zugriff nun mit ACLs beim NTFS genau steuer zu können.

 

Wenn jemand diese Anleitung unter Server 2008 ausprobiert hat würde ich mich über einen Kommentar, ob es bei W2k8 auch funktioniert sehr freuen. 🙂

Umfangreicher Onlinevirencheck einzelner Dateien

Sie haben eine Datei auf Ihrem System von der Sie vermuten, dass diese einen Virus/Trojaner/Rootkit enthält? Lassen Sie doch mal mehrere Antivirenscanner auf einmal auf die Datei los. Ein verdächtige Datei können Sie bei Jotti hochladen und prüfen lassen. Von einem Linuxsystem aus klappt es leider nicht.

Sicheres Onlinebanking unter Linux mit HBCI und Hibiscus

Sicheres Onlinebanking geht nur mit HBCI und entsprechendem Kartenleser. Unter Windows empfiehlt sich als Software StarMoney, was natürlich ebenso wie Windows selbst Geld kostet. Unter Linux hingegen können Sie mit dem gleichen Komfort mittels Hibiscus Ihre Geldgeschäfte verwalten. Das Ganze steht unter GPL und ist somit kostenlos und da der Quellcode offen liegt können Sie ziemlich sicher sein, dass kein Hintertürchen eingebaut ist. Es ist also in jeder Hinsicht perfekt: 0 Kosten, 0 Sicherheitsprobleme und Sie können ruhig schlafen. Ach ja, jetzt wollen Sie sicher auch noch wissen wie das geht?! Gehen Sie in Ihre Paketverwaltung (begib Dich direkt dort hin und gehe nicht über LOS 😉 tippen Sie Hibiscus als Suchbegriff ein und fertig…sollte es in Ihrer Distribution nicht enthalten sein, oder möchten Sie erst einmal ein paar Screenshots sehen, hier bitte!

Bin ich Admin?

Seit Vista stellt sich man sich bei Windows oft die Frage, ob man denn nun gerade ein vollwertiger Administrator ist, oder nicht. Das kann man mit dem Befehl whoami /groups herausfinden. Das kann u.U. ein Weilchen dauern (das Längste was ich einmal gewartet hatte waren 20 Minuten)!! Normaler Weise der unterste Gruppeneintrag gibt Aufschluss über die sog. Verbindlichkeitsstufe. Als „normaler“ Benutzer hat man in der Regel die Verbindlichkeitsstufe Mittel mit der SID S-1-16-8192. Als Admin mit vollwertigen Systemrechten hingegen Hoch und der SID S-1-16-12288. Testen können Sie das, wenn Sie als normaler Benutzer angemeldet cmd und Enter im Suchfeld (nicht im Ausführen-Feld!) des Startmenüs eintippen und dann den o.g. Befehl eintippen. Parallel können Sie den Vorgang noch einmal wiederholen, aber dieses Mal bestätigen Sie cmd nicht einfach nur mit Enter, sonder drücken dazu noch Strg+Shift. Wenn Sie es richtig gemacht haben, sollte die UAC anspringen und um Bestätigung bitten. Wenn Sie den Befehl whoami nun hier eintippen sollte im Gegensatz zur 1. Eingabeaufforderung Hoch herauskommen.

Website überwachen lassen

Auf www.247webmonitoring.com können Sie bis zu 5 Web- und/oder E-Mailserver kostenlos überwachen lassen. Selbstverständlich gehen auch mehr, dann kostet es aber Geld. 1/4 stündlich wird geprüft, ob der Server noch funktioniert und anschauliche Statistiken erstellt. Natürlich kann man sich auch per E-Mail über den Ausfall informieren lassen.

Alternativen (mit weniger kostenfrei zu überwachenden Servern und nur für http und https – kein pop oder imap) sind:

host-tracker.com

www.livewatch.de

www.pingdom.com

www.serviceuptime.com

www.sitealert.de

Sharepoint 2010 sieht keine AD Konten

Wenn Sharepoint 2010 keine Benutzerkonten des Active Directory sieht liegt das wahrscheinlich daran, dass die virtuellen Maschinen einfach nur kopiert wurden. Auch bei Terminalservern bzw. Remotedesktopdiensten gibt es Probleme in der virtuellen Umgebung (egal ob VMware, VirtualBox oder Hyper-V) wenn die Computer einfach nur kopiert werden. Damit alles sauber funktioniert müssen Sie entweder sysprep -generalize (liegt im Verzeichnis C:\Windows\System32\Sysprep) oder den SID-Changer bei älteren Gastbetriebssystemen auf allen virtuellen Maschinen laufen lassen, bevor Sie diese in eine gemeinsame Domäne stecken. Der SID Wechsel beim Domänen bzw. Namenswechsel oder was durch die virtuelle Umgebung automatisiert geschieht reicht hier offenbar nicht aus. Dasselbe gilt natürlich auch bei physikalisch geklonten (Ghost, Dirve Image, etc…) Maschinen. Das Programm NewSID (SID-Changer) wird bei Microsoft nicht mehr zum Download angeboten, da es angeblich nicht notwendig ist. Daher hier der Download-Link der Zeitschrift Chip.

Daten unter Windows mit Bordmitteln sicher löschen

Sie können ein Verzeichnis unter Windows mit Bordmitteln sicher (so dass diese auch nicht mit Tricks wiederhergestellt werden können) löschen. Dazu brauchen Sie gar keine dubiosen Tools und Mittelchen aus dem Internet herunterladen. Als erstes sollten Sie den Ordner mit gedrückter Shift-Taste löschen, damit die Daten nicht im Papierkorb landen. Danach öffnen Sie einfach eine Kommandozeile und tippen Sie dort folgendes ein: (nein – nicht format c: 😉

cipher /wc:\Pfad\zum\zu\löschenden\Verzeichnis

Sie werden schon merken, dass es eine Weile dauert. Aber danach ist das Verzeichnis und all seine Geheimnisse für immer getilgt. Da kommt nicht einmal die GEZ (wenn’s die CIA und NSA schon nicht schaffen :lol) mehr dran.

Eigentlich ist der Befehl zur EFS-Verschlüsselung gedacht, aber er lässt sich wunderbar missbrauchen.