Deaktivieren:
reg add "HKLM\System\CurrentControlSet\Services\Dnscache" /v "Start" /t REG_DWORD /d "4" /f
Aktivieren:
reg add "HKLM\System\CurrentControlSet\Services\Dnscache" /v "Start" /t REG_DWORD /d "2" /f
Deaktivieren:
reg add "HKLM\System\CurrentControlSet\Services\Dnscache" /v "Start" /t REG_DWORD /d "4" /f
Aktivieren:
reg add "HKLM\System\CurrentControlSet\Services\Dnscache" /v "Start" /t REG_DWORD /d "2" /f
Heute gibt es einen Artikel zu Dovecot, Postfix und die Anbindung an ein Active Directory via LDAP.
Verwendet habe ich Debian Jessie (da schon „bald“ stable) sowie Microsoft Windows Server 2012 R2.
Dovecot sollte in Version >=2.1 vorliegen, um Postfix müssen sich die wenigsten Gedanken machen. Ich denke, dass alle Distributionen eine Version ausliefern, die aktuell genug ist.
Ich gehe an vielen Stellen nicht so sehr ins Detail, wie es sich viele vielleicht wünschen. Besonders die allgemeine Konfiguration von Dovecot und Postfix lasse ich größtenteils aus oder erkläre sie einfach nicht weiter (sorry).
Ich denke, dass ich mit diesem Artikel viele offene Fragen zu Linux-Mailserver + Active Directory klären- oder zumindest in die richtige Richtung stoßen kann.
Die Syntax sieht ab und zu wild aus, ist aber gar nicht so schwer. Es braucht einfach etwas Zeit.
Seid mir nicht böse, dass auf den Screenshot „dc=debinux“ und nicht „dc=domain“ zu sehen ist… ;-)
Was in diesem Setup ebenso möglich ist, ist das Erstellen von Gruppen innerhalb der OU „People“ (im Verlauf beschrieben…) mit einer E-Mailadresse, deren Mitglieder diese Mails empfangen.
Eine Quota wird ebenso mit einem (benutzerdefiniertem) Attribut aus dem Active Directory ausgelesen.
Weiterlesen
Es hat sich einiges angesammelt, um auch mal wieder den Punkt „Windows Server“ zu füttern, besonders im Bezug auf Lync.
Weiterlesen
Ein sehr nützliches Powershell-Script der beiden Autoren Lasse Nordvik Wedø und Ståle Hansen (lyncnumbers.net).
Ich halte mich gewohnt knapp und bschränke mich auf die Syntax der Funktion.
Das Script zeigt die Rufnummern mit sämtlichen Zugehörigkeiten an und kann diese auch nach XML oder HTML exportieren.
ÜBERSICHT
A script to list all used numbers in a Lync deploymentSYNTAX
.\Get-AssignedLineURI.ps1
[-ShowSummaryInShell] [-CreateHTMLOutput] [-ListAsGridView] [-SaveToXml]
[-GridviewFromXML] [-SplitExt] [-LicInfo] [[-Path]]
[[-outputfileXML]] [[-inputfileXML] ] [ ] BESCHREIBUNG
„Get-AssignedLineURI.ps1“ is a script to get a overview over deployed
identeties in a Lync 2013 deployment.
You can great a brief summary in the powershell window or create a
complete dump to HTML
If you run the script without any parameters, nothing will happen
Read the Notes (get-help .\Get-AssignedLineURI.ps1 -full) for a version
history, and a list of general warnings—————————————————
Created by Lasse Nordvik Wedø – All rights reserved
—————————————————This script is one of the lyncnumbers.net project. Please visit our
website for more information on the script, and updates
Changelog
Abgesehen von der stetigen Implementierung von Sicherheitspatches in das System, gibt es immer wieder Kleinigkeiten zu beachten.
Ich entscheide mich zugegeben relativ spät für einen Artikel zum Thema SSL Hardening, der Aufschrei verklang in den letzten Wochen ja zunehmend, dennoch…
Trotzdem besteht eine Kompatibilität zu beinahe allen Browsern, die noch Verwendung finden. Der Ausreißer aus Abbildung 1 ist keine wirkliche Überraschung…
Für Linux gilt, dass OpenSSL zu diesem Zeitpunkt mindestens in Version 1.0.1c vorliegt (zu überprüfen mit „openssl version“).
Nginx sollte in jedem Repository bereits eine Version höher 1.0.6 erreicht haben („nginx -v“).
Ein Apache Web-Server muss ab Version 2.4.7 installiert sein („apache2 -v“).
Zuerst für den Diffie Hellman Schlüsselaustausch über 2048bit folgende Datei erstellen:
openssl dhparam -out /etc/nginx/dhparam.pem 2048
Anschließend die Site-Konfiguration ändern:
server { [...] ssl on; ssl_dhparam /etc/nginx/dhparam.pem; ssl_certificate path-to.crt; ssl_certificate_key path-to.key; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers !aNULL:!eNULL:FIPS@STRENGTH; [...]
Mit obiger Konfiguration überlässt der Besucher Nginx die Auswahl des Ciphers, die Auswahl erfolgt von stärkster Methode an absteigend. Timeout und Cache werden auf 10m reduziert.
Nach langem Zögern und Hadern entscheide ich mich für die GUI-Methode, werde dafür aber etwas genauer. Ich finde es schade, dass das kleine Tool in meiner Umgebung relativ lange verborgen blieb:
Einigen dürfte der über die „Local Security Policy“ einstellbare Wert „System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing“ ein Begriff sein.
Die Funktion triggert den DWORD32 Eintrag „Enabled“ in „HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy“ auf 1. Eine hilfreiche Funktion, wenn wirklich das ganze Betriebssystem von der FIPS-Richtlinie profitieren soll. Allerdings ist der Modus sehr weitreichend und wird selbst von Microsoft nur bedingt empfohlen, da es zu einigen Einschränkungen kommt.
Der IIS Crypto liegt ebenso in einer Command Line Version vor, in beiden Fällen in .Net 2.0 sowie 4.0. Änderungen, die hiermit erzielt werden, können mit Software wie regshot eingefangen- und zu einem PowerShell-Script umgeschrieben werden. Das erwähnt, dürften auch die Scripter zufriedengestellt sein.
Benutzer des Apache Web-Servers in Version 2, haben es je nach Konfiguration etwas schwieriger. Der vorhandene Schalter „SSLFIPS“ wird nur funktionieren, wenn Apache2 unter Verwendung einer FIPS SSL-Bibliothek gebaut wurde. Darauf verzichte ich jedoch und biete eine Konfiguration an, die ähnlich den obigen ist.
Zuerst für den Diffie Hellman Schlüsselaustausch über 2048bit folgende Datei erstellen:
openssl dhparam -out /etc/apache2/dhparam.pem 2048
Der Inhalt der Datei „/etc/apache2/dhparam.pem“ wird an das Ende des SSL-Zertifikates angehangen. Etwa:
cat /etc/apache2/dhparam.pem >> /etc/apache2/ssl/www.crt
Apache 2.4 extrahiert DH-Parameter wie auch alle Informationen zur Zertifikatskette aus einer Datei.
In der Datei „/etc/apache2/mods-enabled/ssl.conf“ (Ubuntu/Debian) ändere oder füge ich Folgendes hinzu:
SSLProtocol all -SSLv2 -SSLv3 SSLCompression off SSLHonorCipherOrder on SSLCipherSuite "EECDH+AESGCM EDH+AESGCM EECDH EDH RSA -CAMELLIA -SEED !aNULL !eNULL !LOW !MD5 !EXP !PSK !SRP !DSS !RC4"
Ein Hinweis zum Zertifikat der Certification Authority (CA): Einige Benutzer neigen dazu, die Zertifikate zu vereinen. Etwa das öffentliche Zertifikat der CA und das privat ausgestellte Zertifikat, wie auch in meiner eigenen Konfiguration.
SSL Test-Anwendungen wie „ssllabs.com“ weisen auf den untypischen Zustand hin, einen Einfluss auf die Sicherheit hat es jedoch nicht. Es ensteht unwesentlich mehr Netzwerkverkehr, wohl etwa 1kB.
Abschließend lässt sich noch sagen, dass es sich bei den Empfehlungen – wenn man es denn so nennen kann -, die ich in diesem Artikel beschreibe, nicht um absolut FIPS 140-2 konforme Einstellungen handelt. Aber wer würde sich bei sowas auch auf einen Blog verlassen…
Jedoch resultiert eine sichere Konfiguration, die weit enfernt von paranoid und somit hoch-kompatibel bleibt.