Antary

Let’s Encrypt verlässt Beta-Phase

Let' s Encrypt Logo

Die Zertifizierungsstelle (CA) Let’s Encrypt hat in ihrem Blog bekannt gegeben, dass man gestern die Beta-Phase verlassen hat. Anfang September 2015 startete der geschlossene Beta-Test, bevor im Dezember 2015 die öffentlichen Beta folgte.

In der insgesamt siebenmonatigen Testphase wurden laut Let’s Encrypt 1,7 Millionen Zertifikate für mehr als 3,8 Millionen Webseiten ausgestellt. Durch diese enorme Anzahl haben die Entwickler mittlerweile genügend Erfahrung und Vertrauen in ihre Systeme, um in den Regelbetrieb überzugehen.

Gleichzeitig konnte die CA einige neue Sponsoren gewinnen und die bisherigen Verträge mit Cisco und Akamai um weitere drei Jahre verlängern. Dadurch kann die Entwicklung ungebremst weitergehen. In den nächsten Monaten ist die Unterstützung von IPv6 sowie von internationalisierten Domainnamen (IDNs) geplant.

Kategorien: Internet

WordPress 4.5 veröffentlicht – Die Neuerungen

WordPress Logo

Soeben wurde WordPress 4.5 „Coleman“ veröffentlicht. Der Codename bezieht sich auf den Jazzmusiker Coleman Hawkins. Die neue Version steht sowohl per Download als auch über die automatische Updatefunktion zur Verfügung und ist wie immer auch bereits in der deutschen Variante erhältlich. Bei mir lief das automatische Update ohne Probleme durch. Denkt daran: Vor einem Update solltet ihr immer ein aktuelles Backup anfertigen.

Nachfolgend ein kurzer Überblick der wichtigsten Neuerungen. Genauere Details findet ihr im ausführlichen Changelog im WordPress-Codex.

  • neue „Inline“-Verlinkung im Editor
  • neue Formatierungs-Kürzel im Editor, die mit WordPress 4.3 eingeführt wurden
    • — für eine Trennlinie (<hr />)
    • `code` für  <code>code</code>
  • Möglichkeit das eingesetzte Theme im Anpassen-Menü auf „Responsiveness“ zu testen, dazu stehen die drei Ansichten Desktop, Tablet und Mobil zur Verfügung
  • Webseiten-Logo kann über das Anpassen-Menü eingebunden werden
  • Oberfläche zum Moderieren von Kommentaren wurde übersichtlicher gestaltet
  • Einloggen auch mit E-Mail-Adresse und Passwort möglich (bisher nur mit Benutzername und Passwort)
  • „Responsive Bilder“ (eingeführt in WordPress 4.4) werden nun bis zu 50% schneller geladen
  • Aktualisierung der JavaScript-Bibliotheken (jQuery 1.12.3, jQuery Migrate 1.4.0, Backbone 1.2.3, und Underscore 1.8.3)
  • „wp_add_inline_script()“ ermöglicht registrierten Scripts zusätzlichen Code hinzuzufügen
  • Embed-Templates können über die Template-Hierarchie direkt durch Themes überschrieben werden

Kategorien: Wordpress

Microsoft-Patchday April 2016

Microsoft Logo

Morgen ist wieder der allmonatliche (zweiter Dienstag jedes Monats) Microsoft-Patchday. Im April 2016 stehen insgesamt 13 sicherheitsrelevante Updates zur Installation bereit. Davon werden sechs als „kritisch“ und sieben als „wichtig“ eingestuft.

Es sind Updates für Windows, Internet Explorer, Microsoft Edge, Office und .NET Framework vorhanden. Auffällig ist, dass zwei Updates explizit nur für Windows 10 veröffentlicht wurden.

Weitere Details wird Microsoft wie immer in Kürze im Security TechCenter zur Verfügung stellen.

Bulletin ID Bulletin Title Maximum Severity Rating and Vulnerability Impact Restart Requirement Affected Software
MS16-037  Cumulative Security Update for Internet Explorer (3148531) Critical
Remote Code Execution
Requires restart Internet Explorer on all supported editions of Microsoft Windows.
MS16-038  Cumulative Security Update for Microsoft Edge (3148532) Critical
Remote Code Execution
Requires restart Microsoft Edge on Windows 10.
MS16-039  Security Update for Microsoft Graphics Component (3148522) Critical
Remote Code Execution
Requires restart All supported releases of Microsoft Windows, .NET Framework 3.0, .NET Framework 3.5, .NET Framework 3.5.1, Office 2007, Office 2010, Word Viewer, Lync 2010, Lync 2013, Skype for Business 2016, and Live Meeting 2007 Console.
MS16-040  Security Update for Microsoft XML Core Services (3148541) Critical
Remote Code Execution
Requires restart Microsoft XML Core Services 3.0 on all supported editions of Microsoft Windows.
MS16-041  Security Update for .NET Framework (3148789) Important
Remote Code Execution
May require restart Microsoft .NET Framework 4.6 and Microsoft .NET Framework 4.6.1 on affected releases of Microsoft Windows.
MS16-042  Security Update for Microsoft Office (3148775) Critical
Remote Code Execution
May require restart Microsoft Office 2007, Office 2010, Office 2013, Office 2013 RT, Office 2016, Office for Mac 2011, Office 2016 for Mac, Office Compatibility Pack, Excel Viewer, and Word Viewer.
MS16-044  Security Update for Windows OLE (3146706) Important
Remote Code Execution
Requires restart All supported editions of Microsoft Windows, except for Windows 10.
MS16-045  Security Update for Windows Hyper-V (3143118) Important
Remote Code Execution
Requires restart Windows 8.1 for x64-based Systems, Windows Server 2012, Windows Server 2012 R2, and Windows 10 for x64-based Systems.
MS16-046  Security Update for Secondary Logon (3148538) Important
Elevation of Privilege
Requires restart Windows 10 and Windows 10 version 1511.
MS16-047  Security Update for SAM and LSAD Remote Protocols (3148527) Important
Elevation of Privilege
Requires restart All supported editions of Microsoft Windows.
MS16-048  Security Update for CSRSS (3148528) Important
Security Feature Bypass
Requires restart Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, and Windows 10.
MS16-049  Security Update for HTTP.sys (3148795) Important
Denial of Service
Requires restart Windows 10 and Windows 10 version 1511.
MS16-050  Security Update for Adobe Flash Player (3154132) Critical
Remote Code Execution
Requires restart Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, and Windows 10.

Kategorien: Windows

Windows 10 Version 1511 landet im Current Branch for Business (CBB)

Windows 10 Logo

Das erste große Update für Windows 10 ist am 12. November 2015 erschienen. Jetzt steht Windows 10 Version 1511 (Build 10586) im „Current Branch for Business“ (CBB) für Geschäftskunden bereit. Damit ist das Feature-Update rund einen Monat später im CBB verfügbar, als eigentlich von Microsoft vorgesehen war. Die Roadmap von Microsoft sieht normalerweise vor, dass eine neue Version ca. vier Monate nach der Veröffentlichung im Current Branch (CB) in den CBB wandert, wo sie dann ca. acht Monate getestet werden kann. Insgesamt stehen also zwölf Monate zur Verfügung, bevor eine neue Version in der Produktivumgebung ausgerollt werden muss.

Alle Computer im Current Branch, bei denen die Update-Option „Upgrades zurückstellen“ aktiviert ist, bekommen Windows 10 1511 in wenigen Tagen automatisch ausgerollt. Computer im CBB könnten dann zeitgleich auch auf Version 1511 gehoben werden. Allerdings werden die meisten Kunden hier vermutlich die achtmonatige Testphase nutzen, bevor sie das Update ausrollen. Wer die Frist jedoch verstreichen lässt, bekommt gar keine Updates mehr, auch keine Sicherheitsrelevanten. Wer nach insgesamt zwölf Monaten nicht updaten kann bzw. möchte, sollte auf den „Long Term Service Branch“ wechseln, denn dort gibts bis zu zehn Jahre Updates, ohne ein Feature-Update einzuspielen.

Kategorien: Windows Windows 10

Google Drive-Plug-in für Microsoft Office unterstützt jetzt auch Outlook

Microsoft Outlook Logo

Letztes Jahr hat Google das „Google Drive-Plug-in“ für Microsoft Office veröffentlicht. Mit Hilfe des Plugins können Dokumente nativ in der Google-Cloud abgelegt, bearbeitet und auch wieder geöffnet werden, alles direkt innerhalb Office. Bisher funktionierte das Ganze in Word, Excel und PowerPoint. Einzige Voraussetzung ist Office 2007 oder höher. Sogar Office 365 wird unterstützt. Die neue Version des Plugins arbeitet jetzt auch mit Outlook zusammen.

Damit ist es möglich Dateien aus Google Drive direkt innerhalb von Outlook zu öffnen oder diese an E-Mails anzuhängen. Außerdem lassen sich Dateien aus Google Drive auch als Link versenden. Das Setzen der entsprechenden Berechtigungen wird automatisch übernommen, kann aber auch noch von Hand angepasst werden. Darüber hinaus können Anhänge aus empfangenen Mails direkt in Google Drive gespeichert werden.

Download Google Drive-Plug-in für Microsoft Office

Kategorien: Software & Apps Windows

Policy Analyzer: Gruppenrichtlinien analysieren

Microsoft Logo

Der Policy Analyzer von Microsoft ist ein neues Tool, welches bei der Analyse und beim Vergleichen von Gruppenrichtlinien (GPOs) hilft. Mit dem Tool lassen sich beispielsweise redundante oder sich widersprechende Gruppenrichtlinien leicht identifizieren. Unterschiedliche Einstellungen werden optisch hervorgehoben. Darüber hinaus können mit dem Policy Analyzer auch Unterschiede zwischen verschiedenen Versionen untersucht oder Vergleiche mit den lokalen Gruppenrichtlinien bzw. Registrierungseinstellung gefahren werden. Die Ergebnisse können als Excel-Tabelle exportiert werden.

Mit dem Policy Analyzer lassen sich mehrere GPOs zu einem einzelnen Element zusammenfassen. Dadurch behält man einen besseren Überblick und es lässt sich quasi eine Art „Baseline“ erstellen. Dies ist sehr hilfreich, wenn man zu einem späteren Zeitpunkt einen schnellen Report über alle GPO-Änderungen erhalten möchte.

Alles in allem ist der Policy Analyzer ein sehr nützliches, welches den Administrations-Alltag deutlich vereinfacht.

Download Policy Analyzer und weitere Infos

Policy Analyzer

Kategorien: Software & Apps Windows

Nächstes Windows 10 Update kommt im Juli und heißt offiziell „Anniversary Update“

Windows 10 Logo

Im Rahmen der heute gestarteten Entwicklerkonferenz Build 2016 hat Microsoft ein paar Informationen über das nächste Windows 10 Update veröffentlicht. Der offizielle Name lautet „Anniversary Update“. Die neue Version wurde bisher unter dem Codenamen „Redstone“ entwickelt und soll im Sommer 2016 als kostenloses Update für Windows 10 erhältlich sein. Obwohl Microsoft noch keinen genauen Veröffentlichungstermin verlauten ließ, sprechen einige Quellen von Juli 2016. Außerdem gab Microsoft bekannt, dass Windows 10 mittlerweile auf über 270 Millionen Geräten installiert ist.

Das Anniversary Update wird für alle Geräte mit Windows 10 erscheinen. Neben PCs sowie Notebooks werden also auch Tablets, Smartphones, die Xbox One und die Microsoft HoloLens in den Genuss der neuen Version kommen. Die bisher angekündigten Neuerungen halten sich jedoch in Grenzen:

  • Neue Features für Windows Hello (Anmeldung via biometrischen Daten soll auch in Apps und Microsoft Edge möglich sein)
  • Windows Defender erlaubt nun automatisch periodische Schnellscans und zeigt erweiterte Benachrichtigungen an
  • Windows Defender Advanced Threat Protection (WDATP)
  • Windows Information Protection (ehemals Enterprise Data Protection) erlaubt Trennung von von persönlichen Daten und Unternehmensdaten
  • Windows Ink: Verbesserte Eingabe per Stift (Stifteingabe mit Cortana verknüpft, neue Funktionen in Notizen-App, Kommentar-Funktion für Edge, Handschrifteingabe in Office, virtuelles Lineal, eigene Routen in Maps zeichnen)
  • Cortana auch auf dem Sperrbildschirm neue Assistenz-Funktionen verfügbar
  • Erweiterungen für Microsoft Edge, bessere Effizienz soll für längere Akkulaufzeit sorgen
  • Universal Windows Platform (UWP) und Unified Windows Store
  • Verbessertes Info-Center
  • Minimales Ubuntu-System für Windows 10 bringt unter anderem native Unix-Shell Bash und Kommandozeilenwerkzeuge wie Emacs, …

Genaua Details über das Anniversary Update hat Microsoft noch nicht veröffentlicht. Im Laufe der nächsten zwei Tage sollten hier aber weitere Informationen folgen.

Kategorien: Windows Windows 10

Amazon bietet nun auch Zwei-Faktor-Authentifizierung

Amazon Logo

Im November 2015 hat Amazon die Möglichkeit der Zwei-Faktor-Authentifizierung eingeführt. Das Verfahren wird auch doppelte Anmeldesicherheit genannt und ist eine zusätzliche Sicherheitsschicht. Beim Login wird neben dem Benutzernamen und Passwort noch ein dritte Komponenten (meist ein zufälliger Zahlencode) benötigt. Das zufällige Passwort kann bei Amazon entweder per SMS zugesendet oder über eine Authenticator-App generiert werden.

Die Ersteinrichtung der Zwei-Faktor-Authentifizierung ist aktuell nur auf der amerikanischen Webseite amazon.com möglich. Hier solltet ihr zwingend auf die Authenticator-App setzen, da es mit der SMS-Option augenscheinlich Probleme gibt. Nach erfolgreicher Ersteinrichtung ist die Option aber auch auf der deutschen Amazon-Webseite sichtbar und kann dort dann problemlos auf SMS umgestellt werden.

Einrichtung

  1. Zuerst müsst ihr euch mit eurem deutschen Account auf Amazon.com einloggen.
  2. Anschließend wechselt ihr in die Account-Einstellungen und wählt den Punkt „Advanced Security Settings“. Einfacher geht es mit diesem Link: https://www.amazon.com/a/settings/approval
  3. Dort klickt ihr auf den Button „Get Started“ und wählt anschließend auf der nächsten Seite den Punkt „Authenticator App“ aus.
  4. Ich habe das Ganze mit der „Google Authenticator“ App eingerichtet. Nach der Verifikation muss noch eine Backup-Methode ausgewählt werden. Hier könnt ihr dann ohne Probleme die SMS-Methode auswählen.
  5. Anschließend könnt ihr noch auswählen, dass die Zwei-Faktor-Authentifizierung auf dem aktuell verwendeten Gerät nicht angewendet werden soll.
  6. Damit ist die Zwei-Faktor-Authentifizierung erfolgreich eingerichtet.

Ab sofort sind die „Erweiterten Sicherheitseinstellungen“ auch auf der deutschen Amazon-Seite verfügbar. Ihr müsst die Einstellungen fortan also nicht mehr über Amazon.com erledigen.

Kategorien: Internet

Kostenloses Upgrade auf Windows 10: Mainboardwechsel bedeutet Lizenzverlust

Windows 10 Logo

Die kostenlose Upgrademöglichkeit von Windows 7 oder Windows 8.1 auf Windows 10 ist noch bis 29. Juli 2016 verfügbar. Die Frist endet also in rund vier Monaten und mit dem kommenden Redstone-Update werden höchstwahrscheinlich nochmals einige Nutzer das Angebot annehmen. Dabei sollte einem aber klar sein, dass die dann installierte Windows 10 Version an die Hardware gebunden ist. Microsoft hatte diese Tatsache in der Vergangenheit zwar nicht so klar kommuniziert, allerdings konnte man dies schon vermuten. HT4U hat in einem Gespräch mit Microsoft nun die endgültige Bestätigung dafür erhalten.

Demnach sind alle Windows-10-Lizenzen, die durch das Kostenlosangebot erworben wurden, wie gewöhnliche OEM-Lizenzen zu behandeln. Eine Aufrüstung des Rechners ist dann nur noch bis zu einer gewissen Grenze möglich. Ein Austausch der Grafikkarte oder eine Aufrüstung des Arbeitsspeichers sind laut Aussage von Microsoft unproblematisch. Ebenso dürfte es auch beim Wechsel des Prozessors oder der Festplatte keine Probleme geben, auch wenn Microsoft sich hierzu nicht geäußert hat. Faktisch ist alles erlaubt außer ein Mainboardwechsel, der automatisch einem Lizenzverlust gleichzusetzen ist. Normal gekaufte Windows-10-Retail-Lizenzen sind von dieser Problematik natürlich nicht betroffen.

Spitzfindige Nutzer argumentieren jetzt sicherlich, dass in Deutschland OEM- wie Retail-Lizenzen zu behandeln sind und keine Hardwarebindung zulässig sei. Ich sehe das Ganze so, dass es sich um spezielle Upgrade-Lizenzen handelt, bei denen die aktuelle Rechtslage nicht klar auszulegen ist. Microsoft spricht von einer Windows-10-Lizenz „für die unterstützte Lebenszeit des Geräts bzw. der Hardware“. Bei einem Mainboardwechsel erlischt diese Lebenszeit, was übrigens auch nach der deutschen Rechtsprechung zulässig sein sollte. Im Zweifel werden aber sicherlich einige Klagen folgen und die Gerichte dann entscheiden müssen…

So wie es aktuell aussieht müssen Nutzer des kostenlosen Windows-10-Upgrades bei einem Mainboardwechsel entweder eine Retail-Lizenz von Windows 10 erwerben oder wieder ihr altes Windows 7 bzw. 8.1 installieren. Aber vielleicht lässt sich Microsoft bis zum 29. Juli 2016 noch eine Kompromisslösung einfallen. Die Hoffnung stirbt zuletzt.

Kategorien: Windows Windows 10

Let’s Encrypt-Zertifikate auf Synology-NAS einrichten

Let' s Encrypt Logo

Let’s Encrypt befindet sich seit Dezember 2015 in der öffentlichen Beta und kann seitdem von jedem kostenlos benutzt werden. In der Praxis gibt es allerdings noch Einschränkungen, da die Einrichtung eines entsprechenden Let’s-Encrypt-Zertifikats in vielen Fällen manuelle Handarbeit erfordert und noch nicht vollautomatisch abläuft. Nicht so bei Synology. Der taiwanesische NAS-Spezialist hat Let’s Encrypt mit dem neuen DiskStation Manager (DSM) 6.0 integriert, wodurch ein Zertifikat automatisch generiert und im System installiert werden kann.

Vorbereitung

Damit die automatische Zertifikatsanforderung funktioniert, muss Port 80/TCP vom Internetrouter auf das NAS-System weitergeleitet werden. Für den Zugriff vom Internet auf das NAS werden dann ggf. noch weitere Portweiterleitungen benötigt (siehe Ende des Artikels).

Bei einer FRITZ!Box könnt ihr die benötigte(n) Portweiterleitung(en) unter „Internet“, „Freigaben“ und „Portfreigaben“ einrichten.

Let’s Encrypt-Zertifikate einrichten

Anschließend wechselt ihr in die Weboberfläche eures Synology-Systems und öffnet die „Systemsteuerung“. Dort wählt ihr dann „Sicherheit“ und oben den Reiter „Zertifikate“ aus.

Anfangs ist hier nur das Standard-Zertifikat von Synology zu sehen. Mit einem Klick auf den Button „Hinzufügen“ startet ihr die Erzeugung eures Let’s Encrypt Zertifikats.

Im  Zertifikats-Assistenten müsst ihr zuerst „Neues Zertifikat hinzufügen“ auswählen.

Auf der zweiten Seite wählt ihr den Punkt „Zertifikat von Let’s Encrypt abrufen“ aus. Sofern das neue Zertifikat für alle Dienste genutzt werden und automatisch installiert werden soll, müsst ihr zusätzlich noch das Häkchen bei „Als Standardzertifikat festlegen“ setzen.

Im letzten Schritt müsst ihr euren Domain-Namen angeben, in vielen Fällen dürfte das eure dynamische DNS-Adresse sein. Mit Klick auf „Übernehmen“ wird der Vorgang abgeschlossen. D.h. es werden die benötigten Schlüssel erzeugt, die Authentifizierung gegenüber Let’s Encrypt erfolgt und das neue Zertifikat wird im System installiert.

Hier lauert aber noch ein Problem. Lautet eure Adresse beispielsweise „synology.dyndns.com“ oder „synology.selfhost.de“, werdet ihr vermutlich folgende Fehlermeldung erhalten:

Die Richtlinien von Let’s Encrypt erlauben nur eine beschränkte Anzahl von Zertifikatsanforderungen für eine Domain, unabhängig der Subdomain. Im Klartext bedeutet das, dass nur fünf Zertifikate pro Domäne (z.B. dyndns.com, selfhost.de, usw.) und Woche ausgestellt werden. In diesem Fall waren andere Nutzer schneller und man müsste ein paar Tage warten. In der Realität dürfte es aber eher unrealistisch sein, dass man genau den Zeitpunkt erwischt, wann wieder ein Zertifikat für seine Domain erstellt werden kann. Als gute Alternative empfehle ich den Dienst „FreeDNS, bei welchem einige Tausend verschiedene Domains verfügbar sind.

Wenn der letzte Schritt erfolgreich beendet wurde, wird das neue Zertifikat von Let’s Encrypt in eurer Zertifikatsliste angezeigt. Des Weiteren könnt ihr hier festlegen, welches Zertifikat für welchen Dienst genutzt werden soll.

Falls ihr noch weitere Dienste aus dem Internet nutzen wollt, dürft ihr die entsprechende Portweiterleitung im Router nicht vergessen. Hier wäre Beispielsweise Port 5001/TCP für die Weboberfläche der Synology, Port 6690/TCP für die Cloud Station, Port 22/TCP für SSH oder Port 443/TCP für die Photo Station zu nennen.

Das Zertifikat ist 90 Tage gültig, wird aber vor dem Ablaufen automatisch durch DSM erneuert. Denkt daran, dass die automatische Erneuerung wieder über Port 80 läuft.