Kategorie: Tutorials

Let’s Encrypt-Zertifikate auf Synology-NAS einrichten

Let' s Encrypt Logo

Let’s Encrypt befindet sich seit Dezember 2015 in der öffentlichen Beta und kann seitdem von jedem kostenlos benutzt werden. In der Praxis gibt es allerdings noch Einschränkungen, da die Einrichtung eines entsprechenden Let’s-Encrypt-Zertifikats in vielen Fällen manuelle Handarbeit erfordert und noch nicht vollautomatisch abläuft. Nicht so bei Synology. Der taiwanesische NAS-Spezialist hat Let’s Encrypt mit dem neuen DiskStation Manager (DSM) 6.0 integriert, wodurch ein Zertifikat automatisch generiert und im System installiert werden kann.

Vorbereitung

Damit die automatische Zertifikatsanforderung funktioniert, muss Port 80/TCP vom Internetrouter auf das NAS-System weitergeleitet werden. Für den Zugriff vom Internet auf das NAS werden dann ggf. noch weitere Portweiterleitungen benötigt (siehe Ende des Artikels).

Bei einer FRITZ!Box könnt ihr die benötigte(n) Portweiterleitung(en) unter „Internet“, „Freigaben“ und „Portfreigaben“ einrichten.

Let’s Encrypt-Zertifikate einrichten

Anschließend wechselt ihr in die Weboberfläche eures Synology-Systems und öffnet die „Systemsteuerung“. Dort wählt ihr dann „Sicherheit“ und oben den Reiter „Zertifikate“ aus.

Anfangs ist hier nur das Standard-Zertifikat von Synology zu sehen. Mit einem Klick auf den Button „Hinzufügen“ startet ihr die Erzeugung eures Let’s Encrypt Zertifikats.

Im  Zertifikats-Assistenten müsst ihr zuerst „Neues Zertifikat hinzufügen“ auswählen.

Auf der zweiten Seite wählt ihr den Punkt „Zertifikat von Let’s Encrypt abrufen“ aus. Sofern das neue Zertifikat für alle Dienste genutzt werden und automatisch installiert werden soll, müsst ihr zusätzlich noch das Häkchen bei „Als Standardzertifikat festlegen“ setzen.

Im letzten Schritt müsst ihr euren Domain-Namen angeben, in vielen Fällen dürfte das eure dynamische DNS-Adresse sein. Mit Klick auf „Übernehmen“ wird der Vorgang abgeschlossen. D.h. es werden die benötigten Schlüssel erzeugt, die Authentifizierung gegenüber Let’s Encrypt erfolgt und das neue Zertifikat wird im System installiert.

Hier lauert aber noch ein Problem. Lautet eure Adresse beispielsweise „synology.dyndns.com“ oder „synology.selfhost.de“, werdet ihr vermutlich folgende Fehlermeldung erhalten:

Die Richtlinien von Let’s Encrypt erlauben nur eine beschränkte Anzahl von Zertifikatsanforderungen für eine Domain, unabhängig der Subdomain. Im Klartext bedeutet das, dass nur fünf Zertifikate pro Domäne (z.B. dyndns.com, selfhost.de, usw.) und Woche ausgestellt werden. In diesem Fall waren andere Nutzer schneller und man müsste ein paar Tage warten. In der Realität dürfte es aber eher unrealistisch sein, dass man genau den Zeitpunkt erwischt, wann wieder ein Zertifikat für seine Domain erstellt werden kann. Als gute Alternative empfehle ich den Dienst „FreeDNS, bei welchem einige Tausend verschiedene Domains verfügbar sind.

Wenn der letzte Schritt erfolgreich beendet wurde, wird das neue Zertifikat von Let’s Encrypt in eurer Zertifikatsliste angezeigt. Des Weiteren könnt ihr hier festlegen, welches Zertifikat für welchen Dienst genutzt werden soll.

Falls ihr noch weitere Dienste aus dem Internet nutzen wollt, dürft ihr die entsprechende Portweiterleitung im Router nicht vergessen. Hier wäre Beispielsweise Port 5001/TCP für die Weboberfläche der Synology, Port 6690/TCP für die Cloud Station, Port 22/TCP für SSH oder Port 443/TCP für die Photo Station zu nennen.

Das Zertifikat ist 90 Tage gültig, wird aber vor dem Ablaufen automatisch durch DSM erneuert. Denkt daran, dass die automatische Erneuerung wieder über Port 80 läuft.

Schutzmaßnahmen gegen Locky, TeslaCrypt, Cryptolocker und Co.

Sogenannte Ransomware erfreut sich seit einigen Jahren steigender Beliebtheit. Kurz zusammengefasst handelt es sich dabei um Schadprogramme, welche private Daten auf Computern verschlüsseln und zur Entschlüsselung ein Lösegeld fordern. Aus diesem Grund wird Ransomware oftmals auch als Erpressungs-Trojaner, Verschlüsselungs-Trojaner oder Krypto-Trojaner bezeichnet.

Locky

Seit ca. zwei Wochen ist ein neuer Verschlüsselungs-Trojaner namens Locky aktiv, welcher sehr aggressiv verbreitet wird. Zeitweise lag die Zahl der Neuinfektionen in Deutschland bei über 5.000 pro Stunde. Locky wird fast ausschließlich per E-Mail verbreitet. Oft handelt es sich dabei um erfundene Rechnungen, die als Office-Dokument mit Makro-Code ausgeliefert werden. Erst durch die Ausführung des Makro-Codes wird der eigentliche Trojaner heruntergeladen und ausgeführt, welcher dann als EXE-Datei mit der Verschlüsselung beginnt. Neue Varianten werden allerdings mittlerweile auch als JavaScript-Datei oder Batch-Datei versendet. Locky durchsucht alle angeschlossenen Festplatten, Netzwerkfreigaben und externe Medien und verschlüsselt eine Vielzahl an Dateien. Unter anderem hat es Locky auf Office-Dateien, Bilder, Audio- und Videodateien, Quellcode und Zertifikate abgesehen. Insgesamt verschlüsselt die Ransomware Dateien mit über 150 Endungen. Die verschlüsselten Dateien erhalten kryptische Namen und sind an der Endung „.locky“ zu erkennen. Außerdem befindet sich im Ordner eine Datei namens „_Locky_recover_instructions.txt“, die weitere Informationen zum Lösegeld bereithält. Darüber hinaus versucht Locky auch noch sämtliche Schattenkopien zu löschen.

Schutzmaßnahmen

Gegenwärtig gibt es keine Möglichkeit die verschlüsselten Dateien ohne Lösegeld zu retten. Selbst bei einer Lösegeldzahlung ist aber nicht garantiert, dass man anschließend den zur Entschlüsselung benötigten Schlüssel erhält. Aus diesem Grund sollte man so gut es geht vorsorgen. Im besten Fall richtet die Ransomware dann trotz Ausführung keinen oder nur geringen Schaden an.

Folgende Grundsätze sollten immer eingehalten werden:

  • Windows-Benutzer ist kein lokaler Administrator
  • Windows UAC ist aktiviert
  • Windows Firewall ist aktiviert
  • aktueller Virenschutz (Signaturen sind nicht älter als 12 Stunden)
  • aktuelles Betriebssystem (zeitnahe Installation sicherheitsrelevanter Updates)
  • aktuelle Software (insbesondere E-Mail-Client, Browser, Office-Programme, PDF-Reader, Flash und Java)

Speziell im Fall Locky sollten folgende Sicherheitsvorkehrungen getroffen werden:

  • Makros in Microsoft Office deaktivieren oder zumindest so konfigurieren, dass Makros erst nach Rückfrage und nur bei Dokumenten aus vertrauenswürdigen Quellen ausgeführt werden
  • Windows Scripting Host deaktivieren
  • AppLocker (nur bei Enterprise bzw. Ultimate vorhanden) oder Softwareeinschränkungen via Gruppenrichtlinien konfigurieren
  • zweifelhafte Mail-Anhänge auf keinen Fall öffnen (vor allem bei nicht zuordenbaren Rechnungen ist Vorsicht geboten!)
  • regelmäßige Backups der wichtigen Daten anfertigen
  • Backup-Medium nur beim Sichern der Daten verbinden (ansonsten kann Locky auch das Backup verschlüsseln!)

Ist es schon zu spät und Locky hat schon zugeschlagen sollten die verschlüsselten Dateien dennoch behalten werden. Es besteht immer die Hoffnung, dass die Verschlüsselung der Ransomware nach einigen Wochen geknackt wird.

Quellen

  • https://www.frankysweb.de/clients-vor-infektion-mit-ransomware-schuetzen-locky-cryptolocker/
  • http://www.heise.de/security/meldung/Krypto-Trojaner-Locky-Was-tun-gegen-den-Windows-Schaedling-3112408.html
  • http://www.3dcenter.org/artikel/drei-einfache-schutzmassnahmen-gegen-locky

Datenträger-Aktivität im Task-Manager unter Windows Server 2012 und höher anzeigen

Windows Server 2012 Logo

Mit Windows 8 hat Microsoft den Task-Manager stark überarbeitet und modernisiert. Unter anderem zeigt dieser im Reiter „Leistung“ nun auch die Datenträger-Aktivität an. Allerdings ist dieses Feature unter Serverbetriebssystemen wie Windows Server 2012 und höher standardmäßig deaktiviert.

Task Manager Windows Server 2012 R2

Mit einem kleinen Befehl kann das Feature aber aktiviert werden. Dazu muss eine Eingabeaufforderung (cmd) mit Administratorrechten gestartet werden. Dort wird dann der Befehl „diskperf -Y“ abgesetzt. Wenn man jetzt den Task-Manager öffnet, wird die Datenträger-Aktivität angezeigt.

TaskManager_Disk_2012R2

Zum Deaktivieren kann der Befehl „diskperf -N“ verwendet werden.

Kategorien: Tutorials Windows

Office 2016 Benutzeroberfläche via Gruppenrichtlinien anpassen

Office 2013 Logo

Microsoft Office 2016 ist seit September 2015 erhältlich. Obwohl sich an den grundlegenden Funktionalitäten nur sehr wenig getan hat, bringt es dennoch ein paar neue Features mit. Viele Unternehmen stehen dem aber kritisch gegenüber und möchten beispielsweise die Verknüpfung mit einem Microsoft-Konto oder die Nutzung von Apps für Office unterbinden. Nachfolgend ein kleiner Überblick der Möglichkeiten, was sich über Gruppenrichtlinien umsetzen lässt.

Als grundlegende Voraussetzung müssen zuerst die administrativen Templates für Office 2016 auf den Domain Controllern (DCs) vorhanden sein. Die aktuelle Version der administrativen Templates für Office 2016 steht bei Microsoft zum Download.

Anschließend kann die eigentliche Arbeit beginnen. Über die vordefinierten Optionen der ADMX-Templates lassen sich nur relativ wenige Dinge an der Benutzeroberfläche ändern. Dazu gehört unter anderem der „Anmelden“-Button rechts oben, womit man Word, Excel und Co. mit einem Microsoft-Konto verknüpfen kann. Dieser Button kann über folgende Gruppenrichtlinie ausgeblendet werden:

Benutzerkonfiguration –> Administrative Vorlagen –> Microsoft Office 2016 –> Verschiedenes –> Anmeldung bei Office blockieren

Die meisten anderen Anpassungen erfolgen über die Gruppenrichtlinie „Befehle deaktivieren„. Diese Option existiert für fast alle Office-Anwendungen und ist in den Gruppenrichtlinien unter folgendem Pfad zu finden (beispielhaft für Word):

Benutzerkonfiguration –> Administrative Vorlagen –> Microsoft Word 2016 –>Elemente in Benutzeroberfläche deaktivieren –> Benutzerdefiniert –> Befehle deaktivieren

Hier können sogenannte Policy IDs eingetragen werden, die deaktiviert werden sollen. Hinter den Policy IDs verbergen sich einzelne Buttons, Menüs oder Formulare in Word. Eine Übersicht aller verfügbarer Policy IDs stellt Microsoft als Excel-Liste zum Download bereit: Office 2016 Help Files: Office Fluent User Interface Control Identifiers

Da die Suche nach der richtigen Policy ID sehr aufwändig sein kein, hier eine kleine Auswahl von verschiedenen Policy IDs in Word:

  • 26594: „Share“-Button / „Freigeben“-Button deaktivieren
  • 16243: „Store“-Button deaktivieren
  • 16245: „Meine-Add-Ins“ deaktivieren

  • 18147: Menüpunkt „Teilen“ deaktivieren
  • 26800: „Mit Personen teilen“ deaktivieren
  • 18209: „E-Mail“ deaktivieren
  • 24235: „Online vorführen“ deaktivieren
  • 15791: „Im Blog veröffentlichen“ deaktivieren


Windows To Go: USB-Stick mit Windows 10 erstellen

Windows 10 Logo

Die normale Installationsroutine von Windows erlaubt lediglich eine Installation auf Festplatten, eine Windows-Installation auf USB-Sticks ist damit nicht möglich. Dennoch gibt es Möglichkeiten eine Installation von Windows auf USB-Sticks durchzuführen, allerdings mit einigem Aufwand und teilweise ziemlich viel Gefrickel. Microsoft hat mittlerweile aber reagiert und mit „Windows To Go“ eine offizielle Unterstützung für die Windows-Installation auf einem USB-Stick veröffentlicht. Allerdings ist dieses Feature nur für Unternehmen vorgesehen, die einen Software-Assurance-Vertrag mit Microsoft abschließen. Außerdem existiert „Windows To Go“ erst seit Windows 8 und ist nur bei den Enterprise-Versionen möglich.

Obwohl „Windows To Go“ bei allen anderen Windows-Versionen offiziell fehlt, ist die Grundfunktionalität jedoch enthalten. Privatanwender können also beispielsweise auch Windows 8.1 Home oder Windows 8.1 Pro auf einem USB-Stick installieren. Einziger Nachteil dabei ist, dass diese Windows-Versionen ohne KMS-Unterstützung (Key Management Service) daherkommen und die Zwangsaktivierung dazwischenschlägt. Wenn der USB-Stick aber immer am gleichen PC genutzt wird, stellt dies kein Problem dar. Wie bei einer normalen Installation auf der Festplatte kann Windows To Go mit einem Key aktiviert werden. Wird das Windows allerdings auf einem anderen PC gebootet, geht die Aktivierung verloren.

Windows To Go schnell und einfach mit Rufus erstellen

In den Enterprise-Versionen ab Windows 8 ist ein kleines Tool enthalten, mit dessen Hilfe die Einrichtung auf einem USB-Stick erfolgen kann. Bei allen anderen Windows-Versionen kann man die Windows To Go-Einrichtung per Hand erledigen, was aber wie bereits oben beschrieben relativ aufwändig ist. Bei Günter Born gibts eine ausführliche Anleitung dazu.

Viel einfacher und schneller kommt man jedoch mit Rufus ans Ziel. Das kleine Tool habe ich bereits mehrfach in meinem Blog erwähnt. Ab Version 2 unterstützt Rufus die Erzeugung von Windows To Go-Installationen. Nachfolgend ein kurzer Überblick der Voraussetzungen:

  • Rufus ab Version 2.0
  • Rufus muss zwingend unter Windows 8 oder neuer ausgeführt werden, unter Windows 7 lassen sich keine Windows To Go-Installationen erzeugen.
  • Es wird empfohlen den Windows To Go-Stick mindestens unter der Windows-Version zu erstellen, die auch für den Stick zum Einsatz kommt. Im Klartext bedeutet dies, dass ein Windows 10 Version 1511 USB-Stick nur unter Windows 10 Version 1511 oder neuer erstellt werden sollte. In meinem Test hat dies zwar auch unter Windows 8.1 funktioniert, was aber nichts bedeuten muss.
  • Als Quelle muss eine „normale“ Windows-ISO-Datei verwendet werden. ISO-Dateien die beispielsweise vom Media Creation Tool erzeugt werden, funktionieren nicht (die darin enthaltende „install.wim“ kann von Rufus nicht extrahiert werden).
  • Bei UEFI-Systemen ist zwingend eine 64-Bit-Window-ISO erforderlich.
  • Zuletzt sollte der USB-Stick mindestens 32 GByte groß sein.

Im Hauptfenster von Rufus muss zunächst der gewünschte USB-Stick und eine ISO-Datei ausgewählt werden. Letzteres ist mit Klick auf die Option „Startfähiges Laufwerk erstellen mit“ „ISO-Abbild“ und einem Klick auf das Laufwerk-Icon möglich. Erst jetzt wird die Option „Windows To Go“ (siehe Screenshot) eingeblendet. Diese Option muss nun ausgewählt werden. Im Prinzip ist man nun fertig und kann die Erzeugung des Windows To Go-Sticks mit einem Klick auf den Button „Start“ beginnen.

Rufus - Windows To Go

In vielen Fällen wird jetzt allerdings eine Fehlermeldung erscheinen. Windows To Go setzt einen USB-Stick voraus, welcher sich am Betriebssystem als „Fixed Media“ meldet, quasi wie eine Festplatte. Microsoft führt eine Liste von Windows To Go zertifizierten USB-Sticks. Diese sind aber kaum erhältlich, und falls doch, viel zu teuer. Ein schneller Ausweg ist die Verwendung einer USB-Festplatte, was jedoch in vielen Fällen nicht in Frage kommt.

Rufus - Windows To Go

In vielen Fällen funktionieren aber auch normale USB-Sticks, auch wenn diese nicht offiziell unterstützt werden. Mein hier verwendeter SanDisk Extreme Pro mit 128 GByte funktioniert auf jeden Fall tadellos. Auch der kleinere Bruder in Form des SanDisk Extreme mit 64 GByte verrichtet seinen Dienst ohne Probleme. Davon abgesehen kann ich diese beiden USB-Sticks mehr als empfehlen, da sie über einen SSD-Controller verfügen und bei kleinen Dateien sehr schnell arbeiten, was für einen flüssigen Windows To Go-Betrieb sehr wichtig ist. Der Vergleich mit einem unter normalen Umständen sehr schnellen Kingston DataTraveler HyperX 3.0 mit 128 GByte zeigt, dass die beiden USB-Sticks von SanDisk um ein Vielfaches schneller sind.

Sollte Windows To Go beim Booten einfrieren, existiert noch eine zweite Möglichkeit. Rufus verwendet bei Windows To Go standardmäßig das Partitionsschema „MBR Partitionierungsschema für BIOS oder UEFI“. Ein Wechsel auf „MBR Partitionierungsschema für UEFI“ sorgt in vielen Fällen für ein lauffähiges Windows To Go, allerdings nur bei UEFI-Systemen.

Outlook reparieren oder gewaltsam zurücksetzen

Microsoft Outlook Logo

Wer kennt es nicht? Outlook hängt sich auf oder stürzt ab und lässt sich danach nicht mehr starten. Die Ursachen können vielseitig sein und lassen sich auf den ersten Blick nur schwer eingrenzen.

Nachfolgend ein kurzer Überblick von verschiedenen Problembehandlungen und Lösungsmöglichkeiten bei Problemen mit Outlook 2010, Outlook 2013 oder Outlook 2016. Ich möchte hier keine vollständige Anleitung zum Troubleshooting erstellen, sondern lediglich ein paar Anhaltspunkte liefern. Wer zu einem bestimmten Thema genauere Informationen sucht, kann diese ganz einfach mit Hilfe von Google finden.

Abgesicherter Modus

Bei Problemen mit Outlook kann das Programm im abgesicherten Modus gestartet werden. Dieses Vorgehen hilft insbesondere wenn Probleme mit Add-Ins vorliegen oder bei Startproblemen.

Um Outlook im abgesicherten Modus zu starten einfach den Ausführen-Dialog (Windows-Taste + R) öffnen und „outlook.exe /safe“ eingeben.

PST- / OST-Dateien

Eine OST-Datei existiert nur bei Verwendung eines Exchange-Servers und wenn Outlook im Cache-Modus betrieben wird. In diesem Fall kann die OST-Datei ohne Bedenken gelöscht werden. Anschließend muss allerdings das gesamte Postfach erneut vom Exchange-Server in die neue OST-Datei übertragen werden.

Die OST-Datei liegt unter folgendem Pfad:

C:\Users\%USERNAME%\AppData\Local\Microsoft\Outlook

Bei PST-Dateien kann vor dem Löschen  noch ein Reparaturversuch mit dem Tool „scanpst.exe“ gestartet werden. Dies ist je nach Outlook-Version unter

Outlook 2010: C:\Program Files (x86)\Microsoft Office\Office14
Outlook 2013: C:\Program Files (x86)\Microsoft Office\Office15
Outlook 2016: C:\Program Files (x86)\Microsoft Office\Office16

zu finden.

Outlook-Profil

Eine weitere häufige Fehlerursache ist ein defektes Outlook-Profil. Bevor das alte Profil gelöscht wird, kann ein neues Profil erstellt und damit getestet werden, ob die Fehler immer noch auftauchen oder nicht. Startpunkt für das neue Outlook-Profil ist die Systemsteuerung und der Punkt „E-Mail„. Anschließend auf den Button „Profile anzeigen…“ klicken, wo dann schließlich ein neues Profil eingerichtet werden kann.

Outlook-ProfilUnter einem neuen Profil sind natürlich alle Anpassungen und auch zusätzlich eingebundene Mailboxen verschwunden.

Outlook-Reparaturinstallation

Obwohl die Reparatur von Outlook keinen guten Ruf besitzt, hilft diese Methode öfter als gedacht. Vor einer kompletten Neuinstallation ist sie auf jeden Fall einen Versuch wert.

Die Reparaturinstallation muss über die Systemsteuerung aufgerufen werden. Dort den Punkt „Programme und Funktionen“ auswählen, anschließend die Office-Version markieren und dann auf „Ändern“ klicken. Anschließend folgt man den Anweisungen auf dem Bildschirm.

Outlook reparieren

Registry säubern / Outlook gewaltsam zurücksetzen

Quasi die letzte Möglichkeit vor einer kompletten Neuinstallation ist das Löschen aller Outlook-Registry-Einträge. Je nach Version muss natürlich der richtige Pfad gewählt werden:

Outlook 2010: HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook
Outlook 2013: HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook
Outlook 2016: HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook

Einfach den Haupt-Ordner komplett löschen. Anschließend sollte Outlook wie direkt nach einer Neuinstallation starten.

Office neuinstallieren / neues Windows Benutzerkonto

Haben alle vorhergehenden Tipps nichts gebracht, kann Office komplett entfernt und neu installiert werden. Ebenso hilft es in einigen seltenen Fällen auch ein komplett neues Windows-Profil anzulegen.

Group Policy Preferences: gespeicherte Passwörter auslesen

Microsoft Logo

Mit Hilfe der Gruppenrichtlinien, genauer gesagt der Group Policy Preferences (GPP), lassen sich die Passwörter von lokalen Useraccounts einfach verwalten. Darüber hinaus können via GPP auch verschiedene Aufgaben erledigt werden, bei denen Passwörter gespeichert werden, z.B. Laufwerkzuordnungen, geplante Aufgaben oder Dienste mit lokalen Useraccounts gesteuert werden. Obwohl bereits frühzeitig (ca. 2009) bekannt war, dass Passwörter nur sehr schwach verschlüsselt (AES 32-Bit) werden, wird diese Methode auch heute noch gerne eingesetzt. Kein Wunder, denn als einfache Alternative werden oftmals Skripte verwendet, in denen die Passwörter meist sogar im Klartext hinterlegt sind.

Microsoft selbst hat erst im Mai 2014 reagiert und das Sicherheitsbulletin MS14-025 veröffentlicht. Die darin enthaltenen Maßnahmen verhindern, eine GPP mit definierten Passwörtern zu bearbeiten. Außerdem erscheinen Warnhinweise und in einigen Einstellungen lassen sich keine Passwörter mehr hinterlegen. Das eigentliche Problem in Form von GPPs mit definierten Passwörtern bleibt aber weiterhin bestehen. Administratoren müssten diese GPPs finden und das Passwort von Hand entfernen oder gleich die gesamte GPP löschen. Mangels einfacher Alternativen verzichten aber viele Administratoren darauf und verwenden diese GPPs einfach weiter.

Genaue Beschreibung des Problems

Group Policy Preferences basieren auf XML-Dateien. Werden nun Passwörter in bestimmten Gruppenrichtlinienobjekten definiert, stehen diese im „CPassword“-Attribut innerhalb der XML-Dateien. Die Passwörter werden mittels AES 32-Bit verschlüsselt und liegen damit nicht im Klartext vor. Die XML-Dateien selbst sind Teil der GPOs und werden im SYSVOL-Share auf jedem Domain Controller (DC) zur Verfügung gestellt. Quasi jeder Domänenbenutzer hat Leserechte auf diesen Share und kommt somit auch an das verschlüsselte Passwort ran.

Die Verschlüsselung ist sehr schwach und kann relativ einfach geknackt werden. Darüber hinaus hat Microsoft den zur Verschlüsselung verwendeten privaten Schlüssel selbst bekannt gegeben.

4e 99 06 e8  fc b6 6c c9  fa f4 93 10  62 0f fe e8
f4 96 e8 06  cc 05 79 90  20 9b 09 a4  33 b6 6c 1b

Ebenso ist seit 11.06.2012 ein Modul für das Metasploit Framework vorhanden, welches alle in GPPs gesetzten Passwörter auslesen kann.

Passwörter entschlüsseln

In wenigen Minuten lassen sich alle innerhalb der Gruppenrichtlinien definierten Passwörter aufspüren. Microsoft hat hier beispielsweise ein PowerShell-Skript veröffentlicht. Eine weitere Möglichkeit ist ein kleines Tool namens GPP Password Finder.

Die Entschlüsselung ist dank des bekannten Schlüssels ein Kinderspiel. Anbei ein PowerShell-Skript, welches das „CPassword“ entschlüsselt. Das komplette Get-GPPPassword-Skript findet ihr bei GitHub.

$Cpassword = "sFWOJZOU7bJICaqvmd+KAEN0o4RcpxxMLWnK7s7zgNR+JiJwoSa+DLU3kAIdXc1WW5NKrIjIe9MIdBuJHvqFgbcNS873bDK2nbQBqpydkjbsPXV0HRPpQ96phie6N9tn4NF3KYyswokkDnj8gvuyZBXqoG94ML8M1Iq7/jhe37eHJiZGyi5IBoPuCfKpurj2";

#Append appropriate padding based on string length  
$Mod = ($Cpassword.length % 4)

switch ($Mod) {
'1' {$Cpassword = $Cpassword.Substring(0,$Cpassword.Length -1)}
'2' {$Cpassword += ('=' * (4 - $Mod))}
'3' {$Cpassword += ('=' * (4 - $Mod))}
}

$Base64Decoded = [Convert]::FromBase64String($Cpassword)

#Create a new AES .NET Crypto Object
$AesObject = New-Object System.Security.Cryptography.AesCryptoServiceProvider
[Byte[]] $AesKey = @(0x4e,0x99,0x06,0xe8,0xfc,0xb6,0x6c,0xc9,0xfa,0xf4,0x93,0x10,0x62,0x0f,0xfe,0xe8,
					 0xf4,0x96,0xe8,0x06,0xcc,0x05,0x79,0x90,0x20,0x9b,0x09,0xa4,0x33,0xb6,0x6c,0x1b)

#Set IV to all nulls to prevent dynamic generation of IV value
$AesIV = New-Object Byte[]($AesObject.IV.Length) 
$AesObject.IV = $AesIV
$AesObject.Key = $AesKey
$DecryptorObject = $AesObject.CreateDecryptor() 
[Byte[]] $OutBlock = $DecryptorObject.TransformFinalBlock($Base64Decoded, 0, $Base64Decoded.length)

return [System.Text.UnicodeEncoding]::Unicode.GetString($OutBlock)

Alternativen

Die einfachste Alternative zur Verteilung von Passwörtern sind sicherlich Skripte. Allerdings sollte darauf geachtet werden, dass die Passwörter nicht im Klartext hinterlegt sind, ansonsten bringt die ganze Aktion nichts. Microsoft hat im KB2962486 ein beispielhaftes PowerShell-Skript veröffentlicht.

Seit einiger Zeit bietet Microsoft mit dem Local Administrator Password Solution (LAPS) ein Tool an, um Passwörter lokaler Userkonten zu verwalten. Dabei wird für jeden Client ein zufälliges Passwort generiert und im Active Directory hinterlegt.

Quellen

  • https://support.microsoft.com/de-de/kb/2962486
  • http://matthiaswolf.blogspot.de/2014/05/ms14-025-das-ende-der-gespeicherten.html
  • http://www.grouppolicy.biz/2013/11/why-passwords-in-group-policy-preference-are-very-bad/
  • https://adsecurity.org/?p=384
  • https://adsecurity.org/?p=63
  • http://blogs.technet.com/b/ash/archive/2014/11/10/don-t-set-or-save-passwords-using-group-policy-preferences.aspx

Kategorien: Tutorials Windows

WordPress Datenbank entschlacken Teil 2

WordPress Logo

Vor mehr als fünf Jahren habe ich in meinem Artikel „WordPress Datenbank entschlacken“ gezeigt, wie ihr eure WordPress-Datenbank relativ einfach und schnell aufräumen und verkleinern könnt. Nur als Anmerkung: Der Artikel ist nach wie vor aktuell und die beschriebene Vorgehensweise unverändert anwendbar.

Heute habe ich bei Horst gesehen, dass eine weitere Stelle innerhalb der WordPress Datenbank Optimierungspotenzial bietet. In der „wp_options“-Tabelle werden sogenannte Transients erzeugt, die sich mit der Zeit anhäufen und die Datenbank füllen. Dabei handelt es sich um zwischengespeicherte Werte von Plugins und WordPress selbst. Ab WordPress 3.7 sollen abgelaufene Transients bei einem Datenbank-Upgrade angeblich selbst entfernt werden. Allerdings scheint dies je nach Implementierung in den Plugins nicht so gut wie erwartet zu funktionieren, weshalb eine Menge Einträge existieren, die nicht mehr benötigt werden.

Bevor ihr startet, solltet ihr unbedingt ein Backup der Datenbank anlegen. Sicher ist sicher. Anschließend müsst ihr folgenden SQL-Befehl ausführen, um die Transients zu löschen:

DELETE FROM `wp_options` WHERE `option_name` LIKE ('%\_transient\_%')

Am einfachsten dürfte dies mit phpMyAdmin zu bewerkstelligen sein.

Kategorien: Tutorials Wordpress

Überprüfen, wie Windows gestartet wurde (Schnellstart oder nicht)

Microsoft Logo

Mit Windows 8 hat Microsoft das Startverhalten des Betriebssystems stark angepasst. Das Hauptziel war die Bootzeit deutlich zu verringern. Abgesehen von einigen Problemen, auf die ich hier nicht weiter eingehen möchte, wurde dies auch erfolgreich realisiert. Das entsprechende Feature nennt sich Schnellstart, wird aber oft auch als Fast Boot oder mit der englischen Bezeichnung Fast startup bezeichnet.

Leider ist es oft nicht ganz klar, ob der Schnellstart wirklich funktioniert und wie Windows das letzte Mal gestartet wurde. Nachfolgend ein kurzer PowerShell-Befehl, der euch diese Frage beantwortet.

Get-WinEvent -ProviderName Microsoft-Windows-Kernel-boot -MaxEvents 60 | Where-Object {$_.id -like "27"};

Anschließend wird eine Liste der letzten Bootvorgänge angezeigt. Die Spalte „Message“ enthält die von uns gesuchte Information. Dort können drei unterschiedliche Werte aufgeführt werden:

  • 0x0 – Normaler Start nach einem vollständigen Shutdown.
  • 0x1 – Schnellstart nach einem hybriden Shutdown.
  • 0x2 – Fortsetzen aus dem Ruhezustand.

Adobe Acrobat Reader DC Seitenleiste entfernen

Im April 2015 hat Adobe eine neue Acrobat-Reader-Generation veröffentlicht, die auf den Namen Adobe Acrobat Reader DC hört. Der Vorgänger hörte auf den Namen Adobe Reader. Das „DC“ steht für Document Cloud. Zusammen mit dem Feature Mobile Link lassen sich PDF-Dokumente in der Cloud bereitstellen und von allen genutzten Geräten betrachten.

Da der bisherige Adobe Reader in Version 11 wohl früher oder später durch den neuen Adobe Acrobat Reader DC ersetzt werden wird, habe ich den Wechsel vor einigen Tagen vollzogen. Neben der Unterstützung für Tabs ist mir in der neuen Version direkt die rechte Seitenleiste aufgefallen, die sehr nervig ist. Diese lässt sich zwar ausblenden, erscheint aber erneut beim Öffnen einer PDF-Datei. In den ersten Versionen des Adobe Acrobat Reader DC gab es keine Option zur Entfernung der Seitenleiste und man musste zu einem umständlichen Workaround greifen. Seit Version 2015.007 existiert aber glücklicherweise eine Möglichkeit direkt im Programm.

AdobeReaderDC_Programm

Zur Deaktivierung der Seitenleiste müssen die Voreinstellungen aufgerufen werden. Anschließend links „Dokumente“ auswählen und das Häkchen bei der Option „Werkzeugfenster für jedes Dokument öffnen“ entfernen.

AdobeReaderDC_Einstellungen

Windows 10 Upgrade blockieren

Windows 10 Logo

Nach wie vor wirbt Microsoft unter Windows 7 und Windows 8.1 recht aufdringlich für das Upgrade auf Windows 10. Selbst wer den Upgrade-Hinweis bereits entfernt hatte, bekommt ihn mittlerweile wieder zu Gesicht. Das liegt daran, dass Microsoft das dafür verantwortliche Windows-Update KB3035583 in einer neuen Revision veröffentlicht hat. Darüber hinaus berichten einige Nutzer davon, dass die GWX-Applikation bei jedem Start bzw. bei jeder Aktivierung aus dem Standby-Modus abstürzt. Die Fehlermeldung muss dann jedes Mal geschlossen werden.

Beim jüngsten Patchday wurde das Upgrade auf Windows 10 sogar standardmäßig von der Windows-Update-Funktion zur Verfügung gestellt. Mittlerweile hat sich aber herausgestellt, dass dies laut Microsoft ein Fehler war und nur einen kleinen Teil der Nutzer von Windows 7 bzw. 8.1 betroffen hat.

Kurzum der Upgrade-Hinweis ist mehr als nervig und möchte von vielen Windows-Usern entfernt werden. Um diesen Weg etwas zu vereinfachen, biete ich ein Registry-Skript an, welches mit Administratorrechten ausgeführt werden muss.

Download Registry-Skript zum Blockieren vom Windows 10 Upgrade

Wer möchte kann die Änderungen in der Registry natürlich auch von Hand erledigen:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\GWX]
"DisableGWX"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DisableOSUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\OSUpgrade]
"AllowOSUpgrade"=dword:00000000
"ReservationsAllowed"=dword:00000000

Nach einem Neustart sollte der störende Upgrade-Hinweis endgültig der Vergangenheit angehören. Falls doch nicht, könnt ihr alternativ auch das PowerShell-Skript von der c’t ausprobieren. Wenn auch das nichts hilft, bleibt euch wohl nichts anderes übrig als den Hinweis zu ertragen oder alternativ das Upgrade auf Windows 10 durchzuführen ;-)

Windows 10 Insider Build lässt sich nicht aktualisieren

Windows 10 Logo

Am Montag, dem 12. Oktober 2015, hat Microsoft für alle Teilnehmer am Windows-Insider-Programm eine neue Version von Windows 10 veröffentlicht. Build 10565 bringt einige interessante Neuerungen mit. Unter anderem lässt sich Windows 10 jetzt direkt mit Keys aus Windows 7, 8 und 8.1 aktivieren.

Als ich das Update auf meiner Test-VM installieren wollte, wurde dieses leider nicht gefunden. Der Wechsel vom Fast-Ring in den Slow-Ring und wieder zurück, kann teilweise Abhilfe bringen, führte aber in meinem Fall auch nicht zum Erfolg. Nach einiger Recherche bin ich auf die Lösung gestoßen.

Lösung

Updates für Insider-Builds werden nur verteilt, wenn die Übermittlung von Diagnose- und Nutzungsdaten an Microsoft aktiviert und mindestens auf Stufe 2 gesetzt ist. Eigentlich eine Frechheit, aber Microsoft kann sich das wohl ohne Probleme erlauben ;-)

In den normalen Einstellungen kann die Übermittlung von Diagnose- und Nutzungsdaten nicht geändert werden, da die Einstellung bei Insider-Builds ausgegraut ist. Stattdessen muss die entsprechende Einstellung über den Editor für lokale Gruppenrichtlinien oder den Registrierungs-Editor geändert werden. Welche Methode ihr bevorzugt bleibt euch überlassen.

In den lokalen Gruppenrichtlinien ist die Einstellung unter „Computerkonfiguration“, „Administrative Vorlagen“, „Windows-Komponenten“ und „Datensammlung und Vorabversionen“ zu finden. Dort muss die Option „Telemetrie zulassen“ aktiviert und auf die Stufe 2 gesetzt werden.

Der Pfad für die Registry lautet folgendermaßen:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DataCollection

Dort muss der Wert „AllowTelemetry“ auf „2“ gesetzt werden (siehe Screenshot).

Nach einem Neustart sollten ggf. verfügbare neue Insider-Builds erscheinen. Bei mir wurde beispielsweise Build 10565 als Update angeboten.

Windows 10: Info-Center deaktivieren / entfernen

Windows10 Info-Center

Das Benachrichtigungs- und Info-Center ist neu in Windows 10. Dort können diverse Benachrichtigungen angezeigt werden, beispielsweise über Updates, eingegangene E-Mails oder auch Fehlermeldungen. Außerdem existiert in der unteren Hälfte des Info-Centers die Möglichkeit Einstellungen und bestimmte Funktionen schnell und bequem zu erreichen.

Das Info-Center ist standardmäßig aktiviert. Wer es nicht mag, kann es ganz einfach deaktivieren.

Möglichkeit 1: Windows Einstellungen

Der einfachste Weg zur Deaktivierung des Info-Centers wird in den Einstellungen geboten. Diese können über das Startmenü oder das Info-Center geöffnet werden. Alternativ einfach die Tastenkombination „WIN + i“ drücken.

Anschließend auf „System“ klicken und dann auf „Benachrichtigungen und Aktionen“. Dort auf den Link „Systemsymbole aktivieren oder deaktivieren“ klicken (siehe Screenshot).

Info-Center deaktivieren

Hier kann das Info-Center deaktiviert werden (siehe Screenshot).

Info-Center deaktivieren

Möglichkeit 2: Editor für lokale Gruppenrichtlinien

Wer das Info-Center über die Gruppenrichtlinien deaktivieren möchte kann folgendermaßen vorgehen:

  1. Den Ausführen-Dialog (Windows-Taste + R) öffnen und „gpedit.msc“ eingeben.
  2. Unter „Benutzerkonfiguration“ zu „Administrative Vorlagen“ und „Startmenü und Taskleiste“ wechseln.
  3. Im rechten Fensterbereich auf „Benachrichtigungs- und Info-Center entfernen“ doppelklicken.
  4. In dem neu geöffneten Fenster „Aktiviert“ auswählen und die Änderungen bestätigen.
  5. Nach einem Neustart ist das Info-Center deaktiviert.

Info-Center deaktivieren

Möglichkeit 3: Registrierungs-Editor

Die dritte Variante zur Deaktivierung des Benachrichtigungs- und Info-Centers führt über die Registry.

  1. Den Ausführen-Dialog (Windows-Taste + R) öffnen und „regedit“ eingeben, damit der Registrierungs-Editor geöffnet wird.
  2. Anschließend zu folgendem Pfad navigieren:
    HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Explorer
  3. Darunter muss ein neuer „DWORD-Wert (32-Bit)“ mit dem Namen „DisableNotificationCenter“ erstellt werden.
  4. Diesen neuen Wert nun auf „1“ setzen.
  5. Nach einem Neustart ist das Info-Center deaktiviert.

Kategorien: Tutorials Windows 10

Management von Remoteverbindungen: Royal TS portabel verwenden

Royal TS Logo

Bei der Verwaltung von Remoteverbindungen habe ich bisher auf die Software mRemoteNG vertraut. Doch unter Windows 8.1 läuft mRemoteNG bei mir sehr instabil und es kommt häufig zu Abstürzen. Offensichtlich wird das Tool nicht mehr weiterentwickelt, denn seit ca. zwei Jahren gibt es keine Updates mehr und auch im hauseigenen Forum ist nichts vom Entwickler zu lesen.

Auf der Suche nach eine guten Alternative bin ich letztendlich bei Royal TS gelandet. Es gibt zwar einige kostenlose Alternativen, aber leider bieten diese nicht den von mRemoteNG bekannten und auch den von mir gewünschten Funktionsumfang. Ein weiterer Pluspunkt für Royal TS war die Möglichkeit des Imports meiner mRemoteNG-Verbindungen. Außerdem stammt das Entwicklerunternehmen code4ward aus Österreich und auch der ursprüngliche Entwickler vom originalen mRemote ist mit an Bord.

Royal TS portabel verwenden

Genug geschrieben, jetzt geht es ans Eingemachte! Standardmäßig wird Royal TS installiert und alle Einstellungen werden unter „%APPDATA%\code4ward“ abgelegt. Wir möchten aber erreichen, dass alle Einstellungen im Programmordner gespeichert werden. Folgendermaßen müsst ihr dafür vorgehen:

  1. Zunächst muss Royal TS heruntergeladen werden. Hier existiert seit einiger Zeit die Möglichkeit zum Download einer ZIP-Datei, genau was wir benötigen.
  2. Die heruntergeladene ZIP-Datei in den gewünschten Ordner entpacken und anschließend in diesen Ordner wechseln.
  3. Dort wird jetzt ein neuer Ordner für die Konfigurationsdateien erstellt. Ich habe den Ordner „config“ genannt.
  4. Im Hauptorder der Software existiert die Datei „RTS3App.exe.config„. Diese Datei bitte mit einem Texteditor öffnen.
  5. Dort muss der Eintrag „%APPDATA%\code4ward“ in „./config“ geändert werden (Zeile 11). Wenn der Config-Ordner aus Schritt 3 einen anderen Namen bei euch besitzt, müsst ihr entsprechend diesen verwenden.
  6. Wer bereits alte Konfigurationsdateien besitzt, kann diese ganz einfach von „%APPDATA%\code4ward“ in den neuen Config-Ordner kopieren und somit übernehmen.
  7. Jetzt kann Royal TS komplett portabel verwendet werden.

Erscheint eine neue Royal-TS-Version, könnt ihr diese als ZIP-Datei herunterladen und die Dateien in eurem Ordner ganz einfach mit den neueren austauschen. Allerdings solltet ihr auf keinem Fall die Datei „RTS3App.exe.config“ ersetzen.

Royal TS

Wireshark: VoIP-Telefonate mitschneiden und anhören nach Beginn des Gesprächs

Wireshark Logo

In meinem Artikel „FRITZ!Box – VoIP-Telefonate mitschneiden und anhören“ habe ich aufgezeigt, wie VoIP-Telefonate ganz einfach mitgeschnitten werden können. Die dort aufgeführte Methode funktioniert allerdings nur, wenn der Paketmitschnitt vor dem Telefonat gestartet wird. Beginnt der Paketmitschnitt erst nach dem Anfang des Gesprächs, funktioniert das dort beschriebene Vorgehen leider nicht.

Vor dem Mitschneiden von VoIP-Telefonaten sollte jedoch die aktuelle Rechtslage beachtet werden! Bei unerlaubten Aufzeichnungen sind sogar strafrechtliche Konsequenzen möglich. Ich übernehme keine Haftung.

Erklärung

Wenn der Paketmitschnitt erst nach Beginn des Telefonats gestartet wird, fehlt logischerweise auch die Protokollierung des Verbindungsaufbaus. Der Auf- und Abbau von VoIP-Verbindungen wird auch Signalisierung bzw. Verbindungssteuerung genannt. Dies kann mit unterschiedlichen Signalisierungsprotokollen (SIP, MGCP, H.248, …) geschehen, wobei sehr häufig SIP zum Einsatz kommt. Innerhalb des SIP-Protokolls wird das Session Description Protocol (SDP) zur Beschreibung der Eigenschaften von Multimediadatenströmen verwendet. Konkret gesagt kommt SDP bei der Aushandlung von Codecs, Transportprotokollen und IP-Adressen zum Einsatz. Ohne diese Daten kann Wireshark nicht automatisch herausfinden, welche UDP-Pakete zum RTP-Stream gehören und welche nicht.

Lösung

Damit der RTP-Stream, welcher die Audio-Daten enthält, dennoch extrahiert werden kann, müssen die UDP-Pakete innerhalb des Paketmitschnitts als RTP identifiziert werden. Dies funktioniert ab Wireshark 2.x folgendermaßen:

Im Menü müssen unter „Analyse“ und “ Protokolle aktivieren…“ zwei Optionen aktiviert werden. Unterhalb vom Protokoll „RTP“ bei „rtp_stun“ und „rtp_udp“ ein Häkchen setzen. Anschließend hier mit Punkt 2 fortfahren.

Sollte das nicht zum Ziel führen, gibt es noch eine zweite Möglichkeit, welche aber auch die oben genannten Einstellungen voraussetzt. Öffnet einen Paketmitschnitt und wählt anschließend im Menü unter „Telephonie“ die Punkte „RTP“ und „RTP Streams“. Im neu geöffneten Fenster wählt ihr einen Stream aus und klickt dann unten auf den Button „Den Entgegengesetzten finden“. Sofern ein passender zweiter Stream vorhanden ist, wird dieser nun automatisch mit ausgewählt (siehe Screenshot).

Jetzt könnt ihr auf „Analysieren“ klicken. Erneut öffnet sich ein neues Fenster, welches eine Übersicht und Statistiken über alle in den RTP-Streams enthaltenen Datenpakete gibt. Dies ist aber nicht was uns interessiert und wir fahren mit einem Klick auf „Steams abspielen“ fort. Abermals erscheint ein neues Fenster, in welchem die beiden Streams angehört werden können.