Beiträge

Veröffentlicht am

Verwendung von Wechselmedien per GPO verbieten

USB Sticks sind ein handliches Werkzeug um Daten offline zu übertragen, oder zu sichern. Dank USB 3 Standard lassen sich in kürzester Zeit mehrere Gigabyte an Daten transferieren. Und genau darin besteht das Problem für Unternehmen. Vorbei an Firewall und Packetfilter lassen sich ungeschützt Daten ins Firmen-LAN bringen, oder sensible Nutzdaten von Dort entwenden. Für  Sicherheitsbeauftragte sind tragbare Speichermedien ein Albtraum. Diese ganz zu verbieten erhöht zwar die Sicherheit, erschwert die Arbeit. Man denke beispielsweise an Personen, die Digitalbilder von einer Kamera übertragen müssen. Auch dies sind Wechselmedien.

Wieder einmal geht die Schere zwischen Komfort und Sicherheit auseinander. Maximale Sicherheit bedeutet minimalen Komfort und umgekehrt. Absolute Sicherheit wird es nicht geben. Und während man vermeintlich einen Zugang durch ein Bollwerk versperrt und so auch die Produktivität behindert, sucht sich der Angreifer einen kleinen, ungeschützten Seiteneingang.

Besser ist ein Kompromiss, bei dem zunächst global allen Nutzern der Gebrauch von Wechselmedien untersagt wird und darüber hinaus gezielt einzelne Anwender autorisiert werden. Diese Schlüsselgruppe kann zuvor über die Risiken geschult werden. „Verwendung von Wechselmedien per GPO verbieten“ weiterlesen

Veröffentlicht am

ADS Sicherheitsgruppe kopieren

Die Anforderung ist simpel. Alle Nutzer der Sicherheitsgruppe A (mygroup_a) sollen in eine neue Sicherheitsgruppe B (mynewgroup_b) kopiert werden. Eine Möglichkeit Sicherheitsgruppen zu duplizieren, gibt es in der Active Directory GUI leider nicht. Die Benutzer händisch in eine neue Gruppe einpflegen ist mühsam und fehleranfällig. Zum Glück gibt es jedoch Powershell.

ADS Sicherheitsgruppe kopieren

Dazu öffnet man auf dem Domänencontroller eine Powershell als Administrator.

Get-ADGroupMember "mygroup_a" | ForEach-Object {Add-ADGroupMember -Identity "mynewgroup_b" -Members $_}

Der Befehl liest alle Elemente der Gruppe mygroup_a aus. Eine Schleifenanweisung fügt jedes der gefundenen Elemente der Gruppe mynewgroup_b hinzu.

Ich liebe One-liner. 🙂

Veröffentlicht am

Fine grained password policy

Seit Windows Server 2008 gibt es die Möglichkeit, granuläre Passwortrichtlinien für einzelne User oder Sicherheitsgruppen zu erstellen. Unterschiedliche Passwortrichtlinien sind mit Gruppenrichtlinien nicht realisierbar, da es pro Domäne nur eine Kennwortrichtlinie mittels GPO geben kann.

Voraussetzungen

Die Domäne muss sich in der Domänenfunktionsebene Server 2008 (oder höher) befinden.

Active Directory Benutzer und Computer > Domäne > Eigenschaften > Allgemein

fgpp17Nur für Benutzer und für globale Sicherheitsgruppen (nicht universal, oder domain local) „Fine grained password policy“ weiterlesen

Veröffentlicht am

RDP Session wechselt Keyboard Layout

In RDP Sessions erlebe ich es immer wieder, dass das Tastaturlayout von Deutsch auf Englisch umgestellt wird. Man kann das Layout zwar umstellen, aber das Gastsystem merkt sich diese Einstellung nicht. Bei der nächsten Verbindung ist es wieder auf Englisch eingestellt. Ich kann nicht sagen, wie oft ich dadurch schon falsche Login-Namen oder Passwörter eingegeben habe.

It’s not a bug – it’s a feature

Es passiert nicht immer. Nur unter bestimmten Konstellationen.

  • Das Remote System ist ein Windows Server 2008 R2
  • Das lokale System ist mein Büro-PC

Darin liegt der Hund begraben. Microsoft hat seinem Server-OS ein nettes Feature spendiert: Die automatische remote Keyboard-Layout Erkennung. Mein PC hat in der Tat eine Deutsch-Englische Hybrid-Tastatur. Das erleichtert die Arbeiten an englischen Systemen, da beide Layouts aufgedruckt sind. Bei der RDP Session wird diese jedoch als englische Tastatur gemeldet und das Remotesystem schaltet auf das EN Layout um.

Man kann das Feature abschalten, indem man auf dem Server OS folgenden Registry Eintrag hinzufügt.

HKLM\SYSTEM\CurrentControlSet\Control\Keyboard Layout

Neu > DWORD

Name: IgnoreRemoteKeyboardLayout

Wert: 1