Trend Micro WFBS Client Passwort für Deinstallation vergessen

Mit den folgenden Schritten kann man ein Worry Free Business Security Agent (Client) deinstallieren, wenn das Passwort für die Deinstallation verloren gegangen ist.

Getestet habe ich das Vorgehen an einem Worry Free Business Security Agent Version 9.5.

Zunächst brauchen wir eine Admin-CMD und navigieren darin zu

C:\Program Files (x86)\Trend Micro\Security Agent

Darin angekommen wird mittels folgenden Befehls die Deinstallation ohne Passwortabfrage gestartet:

NTRmv.exe -980223

Watchguard: Multi-WAN

Bei einer Watchguard habe ich immer wieder Probleme mit dem Betrieb mehrer externer Interfaces erlebt. Daher hier ein kurzer „Walkthrough“, wie es stabil laufen kann.

Zunächst gilt in der allgemeinen Multi-WAN-Konfiguration zu beachten, dass ich hier absichtlich keinen Failover verwende, sondern den Routing-Table-Mode (siehe Punkt 1). Der generelle Failover hat in diversen Konfigurationen im Zusammenspiel mit BOVPN zu seltsamen Beeinträchtigungen geführt.

Als Ping- sowie TCP-Monitor müssen unterschiedliche Ziele pro Interface definiert werden, so dass auf den einzelnen Interfaces nicht die gleichen IP’s oder URL’s abgefragt werden (siehe Punkt 2 und 3). Es kommt sonst vermehrt zum Interface-Ping-Pong, sprich Inteface 1 ist up / Interface 2 ist down und umgekehrt. Warum dies geschieht, wissen die Götter. Es scheint ein Bug in der Fireware zu sein.

Ich verwende für den Ping-Monitor hier Loadbalancer der Telekom. Das funktioniert natürlich nur bei Telekom-Leitungen. Weitere gute Ping-Ziele sind öffentliche DNS-Server-IPs.

Hier noch kurz ein Screenshot, wie ich an die IP’s der Loadbalancer gelangt bin. Aus dem Netz der Telekom reagieren diese auf HTTP-Proxy-Anfragen sowie DNS-Anfragen:

So sieht es fertig konfiguriert aus:

In den Firewall-Regeln, die für ausgehenden Datenverkehr zuständig sind, definiere ich dann, …

  1. welches Interface für die Internetnutzung in Anspruch genommen werden soll.
  2. das Failover sowie die Priorisierung der Interfaces.

Dieser Vorgang muss dann für alle Regeln, die Datenverkehr nach extern regulieren, wiederholt werden.

Exchange-Postfach Ordner in falscher Sprache

Wird ein Exchange-Postfach angelegt durch einen Admin, ist noch nicht festgelegt, in welcher Sprache die Standardordner wie Posteingang etc. dargestellt werden. Diese Entscheidung wird beim ersten Anmelden des Benutzers getroffen. Hierbei spielt die Spracheinstellung des verwendeten Clients die entscheidende Rolle.

Wird ein englisches Outlook verwendet, dann heißt der Posteingang plötzlich „Inbox“. Im OWA wird bei erster Anmeldung sofort nach den Regions- und Spracheinstellungen gefragt. Diese werden dann auf die Ordner angewendetet.

Um dies wieder rückgängig zu machen, kann folgender Parameter an die Outlook.exe übergeben werden, der die Standardordner auf die Spracheinstellung des übergebenden Outlooks zurücksetzt:

outlook.exe /resetfoldernames

Zuverlässige öffentliche DNS-Server

DNS-Server werden vom Internetprovider zur Verfügung gestellt. Aber was macht man, wenn man zwei Leitungen von unterschiedlichen Providern an einer Firewall betreiben möchte?

Die Firma Level 3 Communications betreibt auf folgenden IP-Adressen DNS-Cluster. Diese sind aus allen Netzen verfügbar:

4.2.2.1
4.2.2.2
4.2.2.3
4.2.2.4
4.2.2.5
4.2.2.6

Alternativ können die Google-DNS-Server verwendet werden. Diese sind allerdings in der letzten Zeit hin und wieder durch schlechte Reaktionszeiten negativ aufgefallen – wahrscheinlich aufgrund von DoS-Attacken.

8.8.8.8
8.8.4.4

Weitere Server können im Wiki der Firewall-Distribution IPFire nachgeschlagen werden:
https://wiki.ipfire.org/dns/public-servers

Update April 2018:

Das Unternehmen Cloudflare stellt seit diesem Monat zwei Anycast-DNS-Services unter folgenden IP-Adressen zur Verfügung:

1.1.1.1
1.0.0.1

Des Weiteren bin ich auf den DNS-Dienst von Quad 9 gestoßen, der sowohl Zuverlässigkeit als auch Datenschutz verspricht:

9.9.9.9

VMware vSphere-Client Download nicht möglich

Firma VMware setzt nun auf den Webclient für vSphere. Ältere Downloadlinks, zum Beispiel von der Webseite eines ESXi 5.5 – Hosts, sind wahrscheinlich deshalb nicht mehr gültig:

VMware war so nett und hat einen KB-Artikel veröffentlicht, in dem die Links zu allen Versionen nochmals aufgelistet werden:

https://kb.vmware.com/s/article/2089791?language=en_US&sliceId=1&dialogID=889034206&docTypeID=DT_KB_1_1&stateId=0+0+889036554

DD-WRT und KRACK-Attack

Wer DD-WRT nutzt, sollte schnellstens patchen, da Linux eines der Betriebssysteme ist, welches besonders angreifbar für KRACK ist.

Momentan gibt es erst ein Beta-Release einer Firmware, die diese Lücke schließen soll. Das entsprechende Release-Build lautet r33555 und kann hier bezogen werden:

ftp://ftp.dd-wrt.com/betas/2017/10-20-2017-r33555/

Das Update kann einfach über das Webinterface der Routerfirmware eingespielt werden.

DD-WRT Firmware Update

Update:

Das neuste (Beta-) Release kann stets unter ftp://ftp.dd-wrt.com/betas/ bezogen werden. Die Releases sind auf dem FTP-Server nach Release-Date sortiert abgelegt.

WSUS-Installation auf Server 2012: „Post install error HTTP-Status 503“

Nachdem ich auf einem Windows Server 2012 R2 die WSUS-Rolle hinzugefügt hatte, konnte ich den Setup-Wizard über die WSUS-Konsole nicht öffnen, um die Konfiguration des WSUS abzuschließen.

Die Konsole erzeugte folgenden Fehler:

Log file is located at C:\Users\administrator.DOMAIN\Appdata\Local\Temp\tmpF7EC.tmp
Post install is starting
Fatal Error: Failed to start and configure the WSUS service

Das in der Fehlermeldung angegebene Logfile beinhaltete folgende Informationen:

Scheinbar ein Problem, den IIS zu konfigurieren, denn es wurde ein HTTP-Error 503 zurückgegeben.

Nachdem ich den virtuellen Host im IIS für die WSUS-Verwaltung gelöscht hatte, war ein Durchführen der Post-Installationsroutine und ein Ausführen des Konfigurationswizards wieder möglich.

Ubuntu ESM-Message nach Upgrade

This Ubuntu 12.04 LTS system is past its End of Life, and is no longer
receiving security updates. To protect the integrity of this system, it’s
critical that you enable Extended Security Maintenance updates:
* https://www.ubuntu.com/esm

Die Meldung in der Motd verschwand nicht nach einem Dist-Upgrade und hat mich genervt. Daher wurde dem Skript der garaus gemacht:

# cd /etc/update-motd.d/
/etc/update-motd.d# mkdir disabled; mv 99-esm disabled

Apache2 mit sicherer TLS-Verschlüsselung

Serverweite Konfiguration

In der Regel möchte man die Sicherheitseinstellungen auf dem Server global für alle virtuellen Hosts übernehmen. Daher konfiguriere ich diese Settings unter Ubuntu in der /etc/apache2/conf-enabled/security.conf bzw. der /etc/apache2/conf-available/security.conf (wo der Symlink hinzeigt).

In der ersten Zeile bestimme ich, welche SSL-Prokotolle Anwendung finden. Aufgrund von POODLE etc. ist SSL gar keine Option mehr, ich schalte SSL in beiden Versionen serverweit ab.

Der Parameter SSLHonorCipherOrder besagt grob beschrieben, dass nicht der Client die Cipher vorgibt, sondern dass der Server mit dem Client einen Cipher aus der Liste SSL-CipherSuite aushandelt.

# Make SSL secure again
SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder   On
SSLCipherSuite        DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA
SSLCompression        off
SSLUseStapling        On
SSLStaplingCache      "shmcb:${APACHE_RUN_DIR}/stapling_cache(128000)"

In der Tat braucht es für eine sichere Konfiguration nur noch 4 Cipher.

Sollte eine Konfiguration nötig sein, die auch Windows XP unterstützt (Internet Explorer 6), ist die empfohlene Cipher-Suite die folgende:

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4

Konfiguration virtueller Host

Hierzu muss Mod_headers aktiviert sein. Des Weiteren ist darauf zu achten, dass diese Ergänzung nur im SSL-Teil eines virtuellen Hosts vorgenommen werden kann.

<IfModule mod_headers.c>
  Header always set Strict-Transport-Security "max-age=31556926"
</IfModule>

Diese Zeile im virtuellen Host bewirkt, dass der Browser sich merkt, dass die soeben besuchte Seite nur über HTTPS anzusprechen ist. Durch max-age stellen wir die TTL (Time To Live) für diesen Eintrag in der Browserdatenbank ein, sprich wie lange der Wert Gültigkeit hat, bis er wieder verfällt und der Browser einen Aufruf über HTTP versuchen würde. Interessanterweise wird beginnt der Zeitraum nach jedem Aufruf von neu. Dieses Verfahren nennt sich HSTS.

Testen der Konfiguration

Auf https://www.ssllabs.com/ssltest/ kann man seine Serverkonfiguration testen. Viel Spaß!