Ubuntu ESM-Message nach Upgrade

This Ubuntu 12.04 LTS system is past its End of Life, and is no longer
receiving security updates. To protect the integrity of this system, it’s
critical that you enable Extended Security Maintenance updates:
* https://www.ubuntu.com/esm

Die Meldung in der Motd verschwand nicht nach einem Dist-Upgrade und hat mich genervt. Daher wurde dem Skript der garaus gemacht:

# cd /etc/update-motd.d/
/etc/update-motd.d# mkdir disabled; mv 99-esm disabled

Apache2 mit sicherer TLS-Verschlüsselung

Serverweite Konfiguration

In der Regel möchte man die Sicherheitseinstellungen auf dem Server global für alle virtuellen Hosts übernehmen. Daher konfiguriere ich diese Settings unter Ubuntu in der /etc/apache2/conf-enabled/security.conf bzw. der /etc/apache2/conf-available/security.conf (wo der Symlink hinzeigt).

In der ersten Zeile bestimme ich, welche SSL-Prokotolle Anwendung finden. Aufgrund von POODLE etc. ist SSL gar keine Option mehr, ich schalte SSL in beiden Versionen serverweit ab.

Der Parameter SSLHonorCipherOrder besagt grob beschrieben, dass nicht der Client die Cipher vorgibt, sondern dass der Server mit dem Client einen Cipher aus der Liste SSL-CipherSuite aushandelt.

# Make SSL secure again
SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder   On
SSLCipherSuite        DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA
SSLCompression        off
SSLUseStapling        On
SSLStaplingCache      "shmcb:${APACHE_RUN_DIR}/stapling_cache(128000)"

In der Tat braucht es für eine sichere Konfiguration nur noch 4 Cipher.

Sollte eine Konfiguration nötig sein, die auch Windows XP unterstützt (Internet Explorer 6), ist die empfohlene Cipher-Suite die folgende:

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4

Konfiguration virtueller Host

Hierzu muss Mod_headers aktiviert sein. Des Weiteren ist darauf zu achten, dass diese Ergänzung nur im SSL-Teil eines virtuellen Hosts vorgenommen werden kann.

<IfModule mod_headers.c>
  Header always set Strict-Transport-Security "max-age=31556926"
</IfModule>

Diese Zeile im virtuellen Host bewirkt, dass der Browser sich merkt, dass die soeben besuchte Seite nur über HTTPS anzusprechen ist. Durch max-age stellen wir die TTL (Time To Live) für diesen Eintrag in der Browserdatenbank ein, sprich wie lange der Wert Gültigkeit hat, bis er wieder verfällt und der Browser einen Aufruf über HTTP versuchen würde. Interessanterweise wird beginnt der Zeitraum nach jedem Aufruf von neu. Dieses Verfahren nennt sich HSTS.

Testen der Konfiguration

Auf https://www.ssllabs.com/ssltest/ kann man seine Serverkonfiguration testen. Viel Spaß!

Exchange-Kontakt aus Adressbuch ausblenden

Leider ist es bei Exchange 2013 nicht mehr über die GUI möglich, einen angelegten Kotakt aus dem Adressbuch auszublenden. Um dies zu erreichen muss folgender Powershell-Befehl angewendet werden:

C:\> Set-MailContact <contact alias> -HiddenFromAddressListsEnabled $true

Um zu überprüfen, ob der Befehl erfolgreich angewendet worden ist, kann mittels dieses Kommandos eine Kontrolle erfolgen:

C:\> Get-MailContact <contact alias> | fl *hidden*

Domain Controller Replikation wiederherstellen mit den BurFlags

AD: Nicht autorisierende Wiederherstellung

Zunächst muss der Dateireplikationsdienst gestoppt werden:

net stop ntfrs

Dann muss folgende Regkey editiert werden:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup

Der DWORD BurFlags bekommt den Wert D2.

Im Anschluss muss der Dienst wieder gestartet werden

net start ntfrs

AD: Autorisierende Wiederherstellung

Zunächst muss der Dateireplikationsdienst gestoppt werden:

net stop ntfrs

Dann muss folgende Regkey editiert werden:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup

Der DWORD BurFlags bekommt den Wert D4.

Im Anschluss muss der Dienst wieder gestartet werden

net start ntfrs

Server 2012 WSUS und Trend Micro

Schon mehrfach ist mir aufgefallen, dass die WSUS Management Konsole auf einem Server 2012 nicht mehr reagiert, wenn Worry Free Business Security von Trend Micro auf dem Server installiert ist. Scheinbar ist die Problematik mittlerweile auch bei Trend Micro bemerkt worden. Dieser Artikel https://success.trendmicro.com/solution/1110719-fixing-compatibility-issues-with-microsoft-windows-system-update-server-wsus-in-wfbs beschreibt, wie man das Problem löst.

Exchange Logfiles aufräumen

Seit Exchange 2013 ist das Logging wirklich mehr als ausführlich geworden. Da kommt es häufiger vor,  dass die Festplatte, auf der die Logs abgelegt werden, quasi überquellt. Im Standardfall ist dies Laufwerk C: und hat den Systemstillstand zu Folge.

Folgendes Powershell-Skript sucht alle Logs zusammen uns wirft sie weg, wenn sie älter als X Tage sind. In diesem Beispiel wird alles älter 30 Tage gelöscht:

Get-ChildItem 'C:\Program Files\Microsoft\Exchange Server\V15\Logging','C:\Inetpub\Logs' -Directory | Get-ChildItem -Include '*.log','*.blg' -Recurse | ? LastWriteTime -lt (Get-Date).AddDays(-30) | Remove-Item

Windows Server 2008 ist träge wegen der Energieoptionen

Scheinbar muss bei älteren Windows Servern – mir war es bei Windows Server 2008 R1 aufgefallen – bei den Energieoptionen die Auswahl „Höchstleitung“ ausgewählt werden. Ansonsten wird das Betriebssystem träge.  Schuld sind die „Power states“ moderner Prozessoren. Microsoft hat darüber auch einen KB-Artikel ins Netz gestellt: https://support.microsoft.com/en-us/kb/2207548

energie_server_2008

 

Externe Zeitquelle auf einem PDC-Emulator festlegen

Ab Windows Server 2008 kann der „net time“-Befehl nicht mehr verwendet werden. Wir setzen daher auf dem DC mittels dieses Befehls einen externen NTP-Server als vertrauenswürdige Zeitquelle:

w32tm /config /syncfromflags:manual /manualpeerlist:ptbtime1.ptb.de /update /reliable:YES

Danach ggf. den Zeitgeberdienst neustarten:

net stop w32time && net start w32time

Den Status kann man folgendermaßen ansehen:

w32tm /query /status

Den Zeitgeber zurücksetzen und neu synchronisieren lassen:

w32tm /resync /rediscover

Wenn wir den Zeitgeber zurücksetzen sollen, verwenden wir folgendes Skript. Dieses kann bei jedem Windows-System eingesetzt werden:

net stop w32time
w32tm /unregister
w32tm /register
net start w32time

Win10: OneDrive los werden

Windows 10 kommt zwangsweise mit Microsoft OneDrive. Daten in die Cloud schieben, das ist ja nicht jedermanns Sache. Daher hier eine kurze Anleitung zur Deinstallation:

Zunächst müssen wir über lokale GPO die Verwendung unterbinden. Den entsprechenden Punkt findet man unter Computerkonfiguration, Administrative Vorlagen, Windows-Komponenten, OneDrive

win10_onedrive_deaktiv

Anschließend, sofern OneDrive im Hintergrund noch läuft, sollten alle Prozesse abgeschossen werden, damit das Programm deinstalliert werden kann. Dazu geben wir in die CMD-Shell (läuft als Administrator) ein:

taskkill /f /im OneDrive.exe

Die eigentliche Deinstallation muss dann auch über die CMD erfolgen:

Für die 64-Bit-Version:

%SystemRoot%\SysWOW64\OneDriveSetup.exe /uninstall

Für die 32-Bit-Version:

%SystemRoot%\System32\OneDriveSetup.exe /uninstall