Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Nacharbeiten nach Patch für Domänencontroller erforderlich

Information Sicherheit

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

27.07.2017, aktualisiert 09.08.2017, 2347 Aufrufe, 4 Kommentare, 7 Danke

Falls es jemand noch nicht mitbekommen haben sollte: seit etwa 2 Wochen gilt mal wieder "Alarmstufe rot" für Windows AD.
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2 ... beschreibt ein Problem, das die komplette Übernahme eines Domänencontrollers ermöglicht.
http://thehackernews.com/2017/07/windows-ntlm-security-flaw.html?m=1 beschreibt die Gefahr eindringlich inklusive Videonachweis.

Nun gibt es ja einen Patch, aber falls jemand das Kleingedruckte übersehen haben sollte:
In addition to installing the updates for CVE-2017-8563 are there any further steps I need to carry out to be protected from this CVE?
Yes. To make LDAP authentication over SSL/TLS more secure, administrators need to create a LdapEnforceChannelBinding registry setting on machine running AD DS or AD LDS. For more information about setting this registry key, see Microsoft Knowledge Base article 4034879.
Und auch in letzterem Link steht dann wieder einiges im Kleingedruckten, das fatale Auswirkungen haben kann, wenn man es nicht Ernst nimmt:
Notes
Before you enable this setting on a Domain Controller, clients must install the security update that is described in CVE-2017-8563. Otherwise, compatibility issues may arise, and LDAP authentication requests over SSL/TLS that previously worked may no longer work. By default, this setting is disabled.
The LdapEnforceChannelBindings registry entry must be explicitly created.
LDAP server responds dynamically to changes to this registry entry. Therefore, you do not have to restart the computer after you apply the registry change.
To maximize compatibility with older operating system versions (Windows Server 2008 and earlier versions), we recommend that you enable this setting with a value of 1. See Microsoft Security Advisory 973811 for more details.

Ergo: Augen auf beim Eierkauf, wer diesen Registryeintrag setzt, bevor er sichergestellt hat, dass alle seine Clients das zugehörige Update schon installiert haben und neu gebootet wurden, wird Probleme bekommen!

Edit
Hier noch ein Skript zum Checken, ob das Update installiert ist. Lässt man dieses Skript als immediateTask auf die Domäne los, hat man sehr schnell einen Überblick gewonnen
01.
:: win8.1/server2012R2 
02.
ver |findstr /C:"6.3.9600" && reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\ApplicabilityEvaluationCache\Package_for_KB4025333~31bf3856ad364e35~amd64~~6.3.1.6" /v CurrentState |findstr 0x70 && goto end 
03.
:: server2012 
04.
ver | findstr /C:"6.2.9200" && reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\ApplicabilityEvaluationCache\Package_for_KB4025343~31bf3856ad364e35~amd64~~6.2.1.3" /v CurrentState |findstr 0x70 && goto end  
05.
:: win7/server2008R2 
06.
ver | findstr /C:"6.1.7601" && wmic qfe get Hotfixid | findstr "4025341 4025337" && goto end 
07.
:: win10v1607/server2016 
08.
ver | findstr /C:"10.0.14393" && reg query "HKLM\software\microsoft\windows nt\currentversion" |findstr "0x5c8 0x5fc 0x639" && goto end 
09.
:: win10v1703 
10.
ver | findstr 15063 && reg query "HKLM\software\microsoft\windows nt\currentversion" |findstr "0x1e3 0x1f6 0x21c" && goto end 
11.
:: Server2008 
12.
ver | findstr /C:"6.0.6002" && wmic qfe get Hotfixid | findstr 4025409 && goto end 
13.
echo %date%>\\Someserver\logging$\!NichtUp2date\%computername%.txt 
14.
:end
[nicht wundern: ich habe nicht überall mit wmic gearbeitet, weil seltsamerweise Patches teilweise so nicht auffindbar waren, während sie über die Registryabfrage sehr wohl als installiert galten]
Mitglied: emeriks
27.07.2017 um 11:15 Uhr
Herzlichen Dank für diesen Hinweis!
Bitte warten ..
Mitglied: DerWoWusste
27.07.2017 um 14:17 Uhr
Edit: Skript beigefügt, welches auf allen Systemen nachschaut, ob der Patch drauf ist und neugestartet wurde.
Bitte warten ..
Mitglied: DerWoWusste
03.08.2017 um 17:14 Uhr
Edit2: Skript angepasst, so dass es den letzten Patch von dieser Woche auch erkennt.
Bitte warten ..
Mitglied: DerWoWusste
09.08.2017 um 10:02 Uhr
Und nochmal das Skript angepasst, um auch das gestrige CU zu erkennen.
Bitte warten ..
Ähnliche Inhalte
Sicherheitsgrundlagen
Notfall-Patch für Adobe Flash (10)

Link von magicteddy zum Thema Sicherheitsgrundlagen ...

Netzwerkgrundlagen
gelöst Separates Erdungskabel zur Netzwerkdose erforderlich (8)

Frage von chris-90 zum Thema Netzwerkgrundlagen ...

Windows Server
Domänencontroller ersetzen ? (7)

Frage von uridium69 zum Thema Windows Server ...

Windows Server
gelöst Patchen von Windows Server mit Exchange (4)

Frage von hajowe zum Thema Windows Server ...

Neue Wissensbeiträge
Ubuntu

Ubuntu 17.10 steht zum Download bereit

(3)

Information von Frank zum Thema Ubuntu ...

Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(8)

Information von thomasreischer zum Thema Windows 10 ...

Microsoft

Die neuen RSAT-Tools für Win10 1709 sind da

(2)

Information von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
Monitoring
Netzwerk-Monitoring Software (18)

Frage von Ghost108 zum Thema Monitoring ...

Windows 10
Seekrank bei Windows 10 (18)

Frage von zauberer123 zum Thema Windows 10 ...

Windows 10
Windows 10 Fall Creators Update Fehler (13)

Frage von ZeroCool23 zum Thema Windows 10 ...