Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Nacharbeiten nach Patch für Domänencontroller erforderlich

Information Sicherheit

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

27.07.2017, aktualisiert 09.08.2017, 2604 Aufrufe, 4 Kommentare, 7 Danke

Falls es jemand noch nicht mitbekommen haben sollte: seit etwa 2 Wochen gilt mal wieder "Alarmstufe rot" für Windows AD.
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2 ... beschreibt ein Problem, das die komplette Übernahme eines Domänencontrollers ermöglicht.
http://thehackernews.com/2017/07/windows-ntlm-security-flaw.html?m=1 beschreibt die Gefahr eindringlich inklusive Videonachweis.

Nun gibt es ja einen Patch, aber falls jemand das Kleingedruckte übersehen haben sollte:
In addition to installing the updates for CVE-2017-8563 are there any further steps I need to carry out to be protected from this CVE?
Yes. To make LDAP authentication over SSL/TLS more secure, administrators need to create a LdapEnforceChannelBinding registry setting on machine running AD DS or AD LDS. For more information about setting this registry key, see Microsoft Knowledge Base article 4034879.
Und auch in letzterem Link steht dann wieder einiges im Kleingedruckten, das fatale Auswirkungen haben kann, wenn man es nicht Ernst nimmt:
Notes
Before you enable this setting on a Domain Controller, clients must install the security update that is described in CVE-2017-8563. Otherwise, compatibility issues may arise, and LDAP authentication requests over SSL/TLS that previously worked may no longer work. By default, this setting is disabled.
The LdapEnforceChannelBindings registry entry must be explicitly created.
LDAP server responds dynamically to changes to this registry entry. Therefore, you do not have to restart the computer after you apply the registry change.
To maximize compatibility with older operating system versions (Windows Server 2008 and earlier versions), we recommend that you enable this setting with a value of 1. See Microsoft Security Advisory 973811 for more details.

Ergo: Augen auf beim Eierkauf, wer diesen Registryeintrag setzt, bevor er sichergestellt hat, dass alle seine Clients das zugehörige Update schon installiert haben und neu gebootet wurden, wird Probleme bekommen!

Edit
Hier noch ein Skript zum Checken, ob das Update installiert ist. Lässt man dieses Skript als immediateTask auf die Domäne los, hat man sehr schnell einen Überblick gewonnen
01.
:: win8.1/server2012R2 
02.
ver |findstr /C:"6.3.9600" && reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\ApplicabilityEvaluationCache\Package_for_KB4025333~31bf3856ad364e35~amd64~~6.3.1.6" /v CurrentState |findstr 0x70 && goto end 
03.
:: server2012 
04.
ver | findstr /C:"6.2.9200" && reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\ApplicabilityEvaluationCache\Package_for_KB4025343~31bf3856ad364e35~amd64~~6.2.1.3" /v CurrentState |findstr 0x70 && goto end  
05.
:: win7/server2008R2 
06.
ver | findstr /C:"6.1.7601" && wmic qfe get Hotfixid | findstr "4025341 4025337" && goto end 
07.
:: win10v1607/server2016 
08.
ver | findstr /C:"10.0.14393" && reg query "HKLM\software\microsoft\windows nt\currentversion" |findstr "0x5c8 0x5fc 0x639" && goto end 
09.
:: win10v1703 
10.
ver | findstr 15063 && reg query "HKLM\software\microsoft\windows nt\currentversion" |findstr "0x1e3 0x1f6 0x21c" && goto end 
11.
:: Server2008 
12.
ver | findstr /C:"6.0.6002" && wmic qfe get Hotfixid | findstr 4025409 && goto end 
13.
echo %date%>\\Someserver\logging$\!NichtUp2date\%computername%.txt 
14.
:end
[nicht wundern: ich habe nicht überall mit wmic gearbeitet, weil seltsamerweise Patches teilweise so nicht auffindbar waren, während sie über die Registryabfrage sehr wohl als installiert galten]
Mitglied: emeriks
27.07.2017 um 11:15 Uhr
Herzlichen Dank für diesen Hinweis!
Bitte warten ..
Mitglied: DerWoWusste
27.07.2017 um 14:17 Uhr
Edit: Skript beigefügt, welches auf allen Systemen nachschaut, ob der Patch drauf ist und neugestartet wurde.
Bitte warten ..
Mitglied: DerWoWusste
03.08.2017 um 17:14 Uhr
Edit2: Skript angepasst, so dass es den letzten Patch von dieser Woche auch erkennt.
Bitte warten ..
Mitglied: DerWoWusste
09.08.2017 um 10:02 Uhr
Und nochmal das Skript angepasst, um auch das gestrige CU zu erkennen.
Bitte warten ..
Ähnliche Inhalte
iOS
IOS 11.0.3 Wieder ein neuer Patch
Information von sabinesiOS3 Kommentare

Das dritte Update in relativ kurzer Folge, bei Apple läuft's momentan ;-)

Sicherheit
Adobe muss bei den letzten Patches nachbessern
Information von DerWoWussteSicherheit

Sicherheitsrelevant.

Windows Update
Google-Analyse: MS patch Lücken in W10 aber eher nachrangig in W7-8
Information von sabinesWindows Update2 Kommentare

Identische Bugs werden mit unterschiedlicher Prio in den verschiedenen Versionen gepatched. Im Zweifel bei W7/8 erst wenn eine Veröffentlichung ...

Sicherheit
Gefahr für Server 2003: kein Patch mehr für neue NLA-Sicherheitslücke
Information von DerWoWussteSicherheit3 Kommentare

beschreibt die Sicherheitslücke und sagt: Windows Server 2003 is listed as an affected product; why is Microsoft not issuing ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 StundenWindows 10

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 4 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 18 StundenInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 21 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...