WSUS-Updates ab Server 2012 / Windows 8

In Umgebungen, in denen häufig Updates über den WSUS freigegeben werden,​ kann es zu gefühlt willkürlichen Neustarts kommen.

Da sich bei Server 2012 / Windows 8 die Vorgehensweise bei automatischen Updates verändert hat, muss zur Erklärung etwas ausgeholt werden:

  • Server 2012 ohne R2 hat Updates immer im Standardwartungsfenster (03:00 Uhr) installiert, die Einstellungen hinsichtlich Tag/Uhrzeit in der GPO wurden nicht umgesetzt. Dieses Verhalten wurde erst mit Update KB2885694  für Server 2012 ohne R2 behoben. Server 2012 R2 hatte dieses Problem nicht.
  • Server 2012 und Server 2012 R2 führen keinen sofortigen (15 Min.) automatischen Neustart mehr durch, dieser automatische Neustart wird 3 Tage nach der ersten interaktiven Anmeldung nach Installation des Updates durchführt – Microsoft möchte damit Datenverlust durch geöffnete Dokumente minimieren.

Diese beiden Änderungen führen zur Wahrnehmung „Neustart zu einer völlig willkürlichen Zeit”.

Wie begegnet man diesem Problem?

„WSUS-Updates ab Server 2012 / Windows 8“ weiterlesen

Lync 2013 + Autodiscover

​Sollte sich in einem Unternehmen die primäre SMTP-Domäne vom AD-Domänennamen unterscheiden, kann es vorkommen, dass Lync kein Autodiscover hinbekommt und somit nicht auf die Exchange Web Services zugreifen kann. Dies wiederum sorgt dafür, dass im Lync-Client aufgezeichnete Unterhaltungen/verpasste Anrufe/etc. nicht angezeigt werden können.

Lync geht beim Autodiscover grundsätzlich anders vor als der Outlook Client.

Outlook Client Autodiscover Quellen:
1. SCP-Record
2. SRV-Record
3. URLs http(s)://mysmtpdomain.de/autodiscover/autodiscover.xml oder http(s)://autodiscover.mysmtpdomain.de/autodiscover/autodiscover.xml

Lync Client Autodiscover Quellen
1. URLs http(s)://mysmtpdomain.de/autodiscover/autodiscover.xml oder http(s)://autodiscover.mysmtpdomain.de/autodiscover/autodiscover.xml

mysmtpdomain stellt dabei die Domain der primären SMTP-Adresse (Antwortadresse) des angemeldeten Anwenders dar.

Wenn jetzt also die SMTP-Adresse des Anwenders karl@mydomain.de lautet, aber die Autodiscoverkonfiguration samt SCP/SRV/DNS-Einträgen auf exchange.intranet.mydomain.de hört, wird der Lync-Client kein Autodiscover durchführen können.

Die pragmatischte Lösung wäre wohl eine DNS-Zone für mydomain.de anzulegen und dann den entsprechenden Eintrag autodiscover.mydomain.de zu ergänzen – so gelingt dann auch Karl das Lync-Autodiscover. 😉

P.S.: Darauf achten, dass ein gültiges Zertifikat für autodiscover.mydomain.de vorhanden ist!

MS15-014: Vulnerability in Group Policy could allow security feature bypass: February 10, 2015

Bitte auch folgenden Artikel beachten:
MS15-011: Vulnerability in Group Policy could allow remote code execution: February 10, 2015

Problembeschreibung:
Ein Angreifer kann das „Group Policy Security Configuration Engine policy file” auf einem Zielsystem über eine „man-in-the-middle attack” in einen inkonsistenten Zustand versetzen.

Dies führt dazu, dass sämtliche Sicherheitseinstellungen auf möglicherweise weniger sichere Standardwerte zurückgesetzt werden. Bspw. könnten die in MS15-011 eingeführten Sicherheitsfeatures umgangen werden.

Maßnahme:
Der Patch KB3004361 für alle Clients ab Windows Vista und Serversysteme ab Windows Server 2003 ändert das Verhalten bei der Anwendung von Gruppenrichtlinien. Anstatt in einem Fallback-Szenario die Standardwerte zu laden, werden die letzten erfolgreich angewendeten Werte genutzt.

Einschätzung:
Die Installation des KB3004361 sollte zeitnah erfolgen, mit Funktionsbeeinträchtigungen ist nicht zu rechnen.

Installationsanweisungen:
Zur Behebung der Lücke ist es notwendig das per Windows Update bereitstehende Update KB3004361 auf allen Clients und Servern einzuspielen.

MS15-011: Vulnerability in Group Policy could allow remote code execution: February 10, 2015

Problembeschreibung:
Die Security Configuration Engine verarbeitet Gruppenrichtlinien, Herkunft und Integrität der GPOs werden dabei nicht überprüft. Durch Manipulation auf Netzwerkebene ist es möglich die Zugriff auf Sysvol-/Netlogon-Verzeichnisse umzuleiten und somit Clients/Servern andere GPOs unterzuschieben.

Dadurch kann Schadcode unbemerkt eingeschleust werden.

Maßnahme:
Der Patch KB3000483 für alle Clients ab Windows Vista und Serversysteme ab Windows Server 2008 führt das Feature „UNC Hardened Access” ein. Dadurch wird eine gegenseitige Authentifizierung von Client und Server (Mutual Authentication) sowie das signieren von SMB-Traffic ermöglicht.

Eine Gruppenrichtlinie steuert die Aktivierung des Features „UNC Hardened Access” für bestimmte Pfade nach Bedarf.
„MS15-011: Vulnerability in Group Policy could allow remote code execution: February 10, 2015“ weiterlesen