Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Nacharbeiten nach Patch für Domänencontroller erforderlich

Information Sicherheit

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

27.07.2017, aktualisiert 09.08.2017, 1746 Aufrufe, 4 Kommentare, 7 Danke

Falls es jemand noch nicht mitbekommen haben sollte: seit etwa 2 Wochen gilt mal wieder "Alarmstufe rot" für Windows AD.
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2 ... beschreibt ein Problem, das die komplette Übernahme eines Domänencontrollers ermöglicht.
http://thehackernews.com/2017/07/windows-ntlm-security-flaw.html?m=1 beschreibt die Gefahr eindringlich inklusive Videonachweis.

Nun gibt es ja einen Patch, aber falls jemand das Kleingedruckte übersehen haben sollte:
In addition to installing the updates for CVE-2017-8563 are there any further steps I need to carry out to be protected from this CVE?
Yes. To make LDAP authentication over SSL/TLS more secure, administrators need to create a LdapEnforceChannelBinding registry setting on machine running AD DS or AD LDS. For more information about setting this registry key, see Microsoft Knowledge Base article 4034879.
Und auch in letzterem Link steht dann wieder einiges im Kleingedruckten, das fatale Auswirkungen haben kann, wenn man es nicht Ernst nimmt:
Notes
Before you enable this setting on a Domain Controller, clients must install the security update that is described in CVE-2017-8563. Otherwise, compatibility issues may arise, and LDAP authentication requests over SSL/TLS that previously worked may no longer work. By default, this setting is disabled.
The LdapEnforceChannelBindings registry entry must be explicitly created.
LDAP server responds dynamically to changes to this registry entry. Therefore, you do not have to restart the computer after you apply the registry change.
To maximize compatibility with older operating system versions (Windows Server 2008 and earlier versions), we recommend that you enable this setting with a value of 1. See Microsoft Security Advisory 973811 for more details.

Ergo: Augen auf beim Eierkauf, wer diesen Registryeintrag setzt, bevor er sichergestellt hat, dass alle seine Clients das zugehörige Update schon installiert haben und neu gebootet wurden, wird Probleme bekommen!

Edit
Hier noch ein Skript zum Checken, ob das Update installiert ist. Lässt man dieses Skript als immediateTask auf die Domäne los, hat man sehr schnell einen Überblick gewonnen
01.
:: win8.1/server2012R2 
02.
ver |findstr /C:"6.3.9600" && reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\ApplicabilityEvaluationCache\Package_for_KB4025333~31bf3856ad364e35~amd64~~6.3.1.6" /v CurrentState |findstr 0x70 && goto end 
03.
:: server2012 
04.
ver | findstr /C:"6.2.9200" && reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\ApplicabilityEvaluationCache\Package_for_KB4025343~31bf3856ad364e35~amd64~~6.2.1.3" /v CurrentState |findstr 0x70 && goto end  
05.
:: win7/server2008R2 
06.
ver | findstr /C:"6.1.7601" && wmic qfe get Hotfixid | findstr "4025341 4025337" && goto end 
07.
:: win10v1607/server2016 
08.
ver | findstr /C:"10.0.14393" && reg query "HKLM\software\microsoft\windows nt\currentversion" |findstr "0x5c8 0x5fc 0x639" && goto end 
09.
:: win10v1703 
10.
ver | findstr 15063 && reg query "HKLM\software\microsoft\windows nt\currentversion" |findstr "0x1e3 0x1f6 0x21c" && goto end 
11.
:: Server2008 
12.
ver | findstr /C:"6.0.6002" && wmic qfe get Hotfixid | findstr 4025409 && goto end 
13.
echo %date%>\\Someserver\logging$\!NichtUp2date\%computername%.txt 
14.
:end
[nicht wundern: ich habe nicht überall mit wmic gearbeitet, weil seltsamerweise Patches teilweise so nicht auffindbar waren, während sie über die Registryabfrage sehr wohl als installiert galten]
Mitglied: emeriks
27.07.2017 um 11:15 Uhr
Herzlichen Dank für diesen Hinweis!
Bitte warten ..
Mitglied: DerWoWusste
27.07.2017 um 14:17 Uhr
Edit: Skript beigefügt, welches auf allen Systemen nachschaut, ob der Patch drauf ist und neugestartet wurde.
Bitte warten ..
Mitglied: DerWoWusste
03.08.2017 um 17:14 Uhr
Edit2: Skript angepasst, so dass es den letzten Patch von dieser Woche auch erkennt.
Bitte warten ..
Mitglied: DerWoWusste
09.08.2017 um 10:02 Uhr
Und nochmal das Skript angepasst, um auch das gestrige CU zu erkennen.
Bitte warten ..
Ähnliche Inhalte
Sicherheitsgrundlagen
Patch-Management Katalog wie Shavlik (1)

Frage von tombola22 zum Thema Sicherheitsgrundlagen ...

Sicherheitsgrundlagen
Notfall-Patch für Adobe Flash (8)

Link von magicteddy zum Thema Sicherheitsgrundlagen ...

Windows 7
Windows 7 startet nicht nach Patch (6)

Frage von blade999 zum Thema Windows 7 ...

Windows Userverwaltung
Domänencontroller in der Cloud (5)

Frage von thorstenhessen zum Thema Windows Userverwaltung ...

Neue Wissensbeiträge
Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

(4)

Erfahrungsbericht von anteNope zum Thema Viren und Trojaner ...

Windows 10

Windows 10: Erste Anmeldung Animation deaktivieren

(3)

Anleitung von alemanne21 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Linksys wrt1200ac v2 mit dd-wrt: keine vlan-einstellungen im GUI (15)

Frage von Pixi123 zum Thema Router & Routing ...

E-Business
Wo tragt ihr eure privaten Termine ein? (13)

Frage von honeybee zum Thema E-Business ...

Batch & Shell
Batch zum suchen und verschieben von Verknüpfungen (12)

Frage von zeroblue2005 zum Thema Batch & Shell ...

Windows Server
Terminalserver starten willkürlich neu (12)

Frage von thaefliger zum Thema Windows Server ...