Mehrfach am Tag ausgestellte Zertifikate fuer die Remote Desktop Session Host Authentifizierung

Hallo Leutz,

bei einem Kunden habe ich heute bei der Analyse der PKI / CA Umgebung festgestellt, dass auf allen Servern mehrfach taeglich Remote Desktop Authentifizierungs-Zertifikate ausgestellt werden, welche per Gruppenrichtlinie fuer die Remote Desktop Session Host Authentifizierung ausgestellt werden. Wie es zu dieser mehrfach Ausstellung kam und wie man das beheben kann steht in folgendem Bilderbuch: http://www.it-training-grote.de/download/CA-IssuingMultipleCertificates.pdf

Gruss Marc

Microsoft Antivirus Software und die HOSTS Datei

Hallo Leutz,

Grund fuer diesen Blog Eintrag ist folgender Artikel:
http://www.heise.de/newsticker/meldung/Microsoft-Virenscanner-aendern-HOSTS-Datei-eigenstaendig-1670736.html

Dieses Verhalten betrifft auch die Enterprise Varianten wie FEP 2010 und SCEP 2012 (danke an F. Schmal welcher das eben getestet hat). Das folgende Bilderbuch gibt weitere Informationen und Umgehungsmoeglichkeiten: http://www.it-training-grote.de/download/SCEP-HOSTS-File.pdf

Gruss Marc

Netz-Weise – Eroeffnungsveranstaltung

Hallo Leutz,

mein guter Freund Holger Voges eroeffnet am 03.09.2012 die neuen Raeumlichkeiten der Fa. Netz-Weise in Hannover und laedt zu einer Eroeffnungsveranstaltung mit vielen spannenden Vortraegen zu SQL Server 2012, Windows Server 2012 und  Powershell ein. Ich habe die Ehre zwei Vortraege zu WS2012 und Hyper-V halten zu duerfen. Fuer das leibliche Wohl ist gesorgt. Weitere Informationen: http://www.netz-weise.de
Download der Agenda: http://www.it-training-grote.de/download/Netz-Weise-Einladung.pdf

Gruss Marc

 

Speaker auf der NRW Conf 2012 in Wuppertal

Hallo Leutz,

Auch dieses Jahr habe ich mich als Speaker fuer die diesjaehrige NRW Conf in Wuppertal beworben und ich war sehr angenehm ueberrascht, dass ich als Speaker ernannt wurde. Danke an das ganze Just Community.de Team. ich werde einen Vortrag zum Thema “Windows Server 2012 kann alles besser als Windows Server 2008 R2?!” halten. Die (vorlaeufige) Praesentation kann hier heruntergeladen werden: http://www.it-training-grote.de/download/WS2012-NRW.pdf

Weitere Informationen: http://www.nrwconf.de

Gruss Marc Grote

Forefront UAG Service Pack 2 steht zum Download zur Verfuegung

Hallo Leutz,

SP2 fuer Forefront UAG ist verfuegbar:
http://www.microsoft.com/en-us/download/details.aspx?id=30459
http://blogs.technet.com/b/edgeaccessblog/archive/2012/08/06/forefront-unified-access-gateway-2010-service-pack-2-is-available-for-download.aspx
http://technet.microsoft.com/en-us/library/jj590875.aspx

Gruss Marc

Speaker auf der ice 2012 in Lingen

Hallo Leutz,

ich darf zum siebten Mal in Folge (Ausnahme ice 211, da hatte ich einen konfliktierenden Kundentermin) auf der ice 2012 in Lingen am 08.09.2012 einen Vortrag halten – Danke an Nicki Wruck und das ganze Team. Ich freue mich dabei sein zu duerfen.
Thema dieses Jahr: DirectAccess in Windows Server 2012 im Vergleich mit Forefront UAG
Abstrakt: “DirectAccess in Windows Server 2012 verspricht eine vereinfachte Konfiguration des VPN-Zugriffs. In diesem Vortrag wird die Einrichtung von DirectAccess mit Windows Server 2012 demonstriert und mit den DirectAccess Funktionalitaeten von Forefront UAG verglichen um eine Entscheidungshilfe fuer die DirectAccess Implementierung in Firmenumgebungen zu geben”.
Weitere Infos hier:
http://www.ice-lingen.de/pages/de/site.php?page=vortraege
http://www.ice-lingen.de/pages/de/site.php?page=referenten
Der Download der Praesentation ist hier moeglich (Aenderungen vorbehalten): http://www.it-training-grote.de/download/DA-UAG-W2K12.pdf

Gruss Marc

PKI/Zertifikatinfrastruktur: RSA Keys unter 1024 Bit Laenge werden ab August 2012 auf Windows Systemen geblockt

Hallo Leutz,

das Microsoft Windows PKI Team hat angekuendigt, dass mit einem Windows Update im August 2012 ausgestellte Zertifikate mit einem RSA Key kleiner als 1024 Bit blockiert werden.
Das betrifft zur Zeit folgende CSP, welche unter Umstaenden noch von einigen Windows Certificate Templates verwendet werden:
– Microsoft Base Cryptographic Provider v1.0 (RSA)
– Microsoft Base DSS and Diffie-Hellman Cryptographic Provider (DH)
– Microsoft DH SChannel Cryptographic Provider (DH)

Auessern kann sich das neue Blockverhalten wie folgt:
– Error messages when browsing to web sites that have SSL certificates with keys that are less than 1024 bits
– Problems enrolling for certificates when a certificate request attempts to utilize a key that is less than 1024 bits
– Creating or consuming email (S/MIME) messages that utilize less than 1024 bit keys for signatures or encryption
– Installing Active X controls that were signed with less than 1024 bit signatures
– Installing applications that were signed with less than 1024 bit signatures (unless they were signed prior to January 1, 2010, which will not be blocked by default).

Quelle: http://blogs.technet.com/b/pki/archive/2012/06/12/rsa-keys-under-1024-bits-are-blocked.aspx

Der Artikel beschreibt auch wie man die eigene CA Infrastruktur pruefen kann, ob Zertifikatvorlagen mit RSA Key kleiner 1024 Bit verwendet werden und ob Zertifikate basierend auf dem Certificate Template ausgestellt sind. Desweiteren wird beschrieben wie man bereits ausgestellte Zertifikat mit einer hoeheren Schluesselstaerke ausstellen/erneuern kann.

Administratoren sollten sich also umgehend daran machen Ihre Infrastruktur zu pruefen denn aus meiner PKI Erfahrung bei Kunden der zahlreichen letzten Jahre kann ich sagen, dass viele Administratoren dazu neigen, Zertifikate mit sehr langer Lebensdauer auszustellen und wenn das damals noch auf Basis von RSA Keys kleiner als 1024 Bit erfolgte, kann es zu massiven Problemen kommen. Das gleiche gilt fuer die Verwendung von Self Signed Zertifikaten welche sehr gerne verwendet werden. Alle in den letzten Jahren ausgestellte Zertifikate sollte in der Regel RSA Keys groesser als 1024 Bit verwenden, aber einer Pruefung sollte man seiner Umgebung trotzdem goennen.

Der Blog beschreibt auch wie man das Logging der CryptoAPI erhoehen kann (steuerbar ueber Windows Gruppenrichtlinien) und wie man auf aktuellen Windows Systemen das CAPI2 Logging (ab Vista verfuegbar) aktivieren kann um festzustellen, welche Crypto Prozesse noch RSA Keys unter 1024 Bit verwenden. Das CAPI Logging kann man auch sehr gut dazu verwenden um den Windows Event Collector Sevice zu nutzen, alle relevanten EventIDs auf einem zentralen System zu sammeln und auszuwerten.

Gruss Marc