Granuläre Passwortrichtlinien in Active-Directory

Eine Passwortrichtlinie für die Domäne einzuführen ist nicht weiter schwer und lässt sich schnell mit einer Gruppenrichtlinie bewirken. Was aber erst auf den zweiten Blick auffält ist, daß man nur eine Richtlinie für die gesamte Domäne haben kann. Eine Beschränkung auf OU oder Nutzergruppen ist damit nicht möglich. Auch mehrere verschieden gestaltete Richtlinien für unterschiedliche Nutzergruppen kann man so nicht realisieren.

Seit Server 2008 gibt es jedoch einen Weg, unterschiedliche Passwort Richtlinien für unterschiedliche Gruppen einzuführen. Die sogenannte Fine Grained Password Policy.

Ermöglicht wird dies durch die Einführung neuer ADS Objektklassen seit Server 2008.

Voraussetzungen

  • Der Functional Level der Domäne muss mindestens Server 2008 sein.
  • Richtlinien können nur auf Nutzergruppen angewendet werden, nicht auf OU.

„Granuläre Passwortrichtlinien in Active-Directory“ weiterlesen

Reset root password CentOS Appliance

Dies ist wieder einmal ein sehr gutes Beispiel, warum man den Zugang zu Server Konsolen unbedingt schützen muss. Das betrifft natürlich nicht nur Virtuelle Server, jedoch ist hier der Missbrauch besonders einfach, da die Konsolen über LAN erreichbar und nicht mit einer Tür verschlossen sind.

Kennt hier jemand root?

Eine etwas ältere PanoLogic Appliance (Zero-Client Manager) eines Kunden sollte aktualisiert werden. Die Firma gibt es inzwischen nicht mehr und das Produkt wird weder vertrieben noch unterstützt. Dennoch wird es noch oft produktiv eingesetzt. Für die Arbeiten an der Appliance benötige ich den root Login. Leider konnte sich niemand an den root Login erinnern, oder wer diesen gesetzt haben könnte. Der Default Login “password” wurde verändert. Eine Kollektion weiterer möglicher Passworte wurde durchprobiert – jedoch ohne Erfolg. Folglich musste ein Weg gefunden werden, das Kennwort neu zu vergeben. Die Panomanager Appliance basiert auf einem CentOS 2.6.18. Das Verfahren ist geradzu erschreckend simpel.

Einfach zu einfach

Wer erstmal Zugang zur Konsole hat, dem stehen alle Türen offen. „Reset root password CentOS Appliance“ weiterlesen

ESXi root Password Recovery

Warum es wichtig ist, den physischen Zugang zum Server und zu IPMI / iRMC zu sichern

Der Titel des Artikels ist nicht ganz korrekt, denn bei der beschriebenen Technik handelt es sich nicht wirklich um ein Recovery, sondern um ein Passwort Rücksetzung auf ein leeres Passwort des root Kontos. Eine detaillierte Anleitung schrieb Autor Lingeswaran auf Unixarena, die ich an einem Testsystem ausprobierte. Der Ablauf ist im Artikel unten dokumentiert.

Schwachstelle ?

Ich würde diese Möglichkeit nicht als Schwachstelle oder Sicherheitslücke von VMware ESXi betrachten, denn man benötigt zur Durchführung physischen Zugang zum Server bzw. zu dessen Remotekonsole (iRMC). Dass ein Rechenzentrum entsprechend gesichert sein muss, versteht sich im Grunde von selbst. Aber auch Remote Management Konsolen müssen geschützt sein und vor allem Defaultpasswörter müssen geändert werden. Für die unten beschriebene Prozedur benötigte ich keinen Zutritt zum Rechenzentrum. Alles wurde remote mittels iRMC durchgeführt. Das gilt auch für das virtuell eingelgte Ubuntu ISO. „ESXi root Password Recovery“ weiterlesen

vSphere 5.1: Server 2012 R2 ableiten

Die Ableitung virtueller Maschinen vom Template, Sysprep und der automatische Domänenbeitritt ist mit vSphere zur Selbstverständlichkeit geworden. Bei der Ableitung eines Windows Server 2012 R2 müssen jedoch ein paar (Microsoft-) Besonderheiten beachtet werden, da sonst der Ableitungsvorgang nicht zuende geführt werden kann.

Server 2012 R2 vom Template ableiten

Bevor man mit der Installation des Templates beginnt, sollte die Boot Firmware der VM auf EFI umgestellt werden. Standard ist BIOS. Die VM-Version hatte ich in diesem Fall auf vmx-09 gesetzt (Virtual Hardware 9, Kompatibilität mit vSphere 5.1) „vSphere 5.1: Server 2012 R2 ableiten“ weiterlesen