Virtuelle Maschinen in VMware Player/Workstation über HTTP streamen

Die VMware Workstation wartet nach dem Donload der .vmx-Datei auf den manuellen Start der VM.Seit der Version 6.5 bietet die VMware Workstation ein kaum beachtetes und ein nur unvollständig dokumentiertes Feature namens VM Streaming. Es dient dazu, den Inhalt einer vmdk-Datei von einem Web-Server über HTTP herunterzuladen. Dabei handelt es um keinen ordinären Download, vielmehr kann die VM bereits starten, während der Code noch im Hintergrund über das Netz kommt. Wenn eine VM immer wieder auf verschiedenen PCs benötigt wird, ist dies eine interessante Alternative zum lokalen Speichern auf allen Rechnern.

Weiterlesen »

IPsec in Arbeitsgruppen einrichten

IPsec in ArbeitsgruppenIn einer Domäne ist IPSec – dank der zentralen Verwaltung und Anwendung der dazu gehörenden Richtlinien per Gruppenrichtlinien – schnell und vergleichsweise unkompliziert implementiert. Anders ist es, wenn man das sichere Protokoll zwischen Arbeitsgruppen-PCs verwenden will: Die entsprechenden Firewall-Richtlinien müssen bei jeder Maschine einzeln konfiguriert werden. Eine weitere zu meisternde Schwierigkeit ist die gegenseitige Authentifizierung der beteiligten Hosts. Diese erfolgt auf Computer-Ebene, bevor irgendwelche Benutzer-Logon-Daten ausgetauscht werden. In einer Domäne sorgt das Active Directory dafür, ohne dieses muss man selbst Hand anlegen.

Weiterlesen »

Zertifikatsdienste auf Server Core installieren

Das Script SetupCA.vbs für die Eionrichtung der Zertifikatdienste auf Server CoreServer Core ist genau wie ein voll ausgebauter Windows-Server als CA verwendbar. Der Weg dahin ist führt jedoch um ein paar Ecken – mit der bloßen Installation einer Serverrolle ist es nicht getan. Für die Konfiguration als Zertifizierungsstelle braucht es ein paar Vorbereitungen und ein Script aus dem TechNet.

Weiterlesen »

Kostenlose Zertifikate mit makecert.exe erstellen

makecert erstellt ein Root-ZertifikatEs gibt Fälle, bei denen sich der Arbeits-PC und sein Benutzerkonto nicht innerhalb einer PKI befinden, man aber dennoch gültige Zertifikate einer anerkannten Zertifizierungsstelle benötigt. Beispiele dafür sind etwa freiberufliche Entwickler, die zum Zwecke der Codesignatur oder des Testbetriebs von Web-Servern weder eine Domäne aufsetzen noch Zertifikate teuer erwerben wollen. Da zu diesen Testzwecken alle Beteiligten – Aussteller, Stamm­zerti­fi­zierungs­stelle und Benutzer der Zertifikate – ein- und dieselbe oder zumindest nur sehr wenige Personen sind, genügt es hier, selbstsignierte Zertifikate zu verwenden.

Weiterlesen »

Sicherheitslücke in MHTML-Handler von Windows: Internet Explorer für Angriffe anfällig

Windows-LogoMicrosoft warnt in einem Security Advisory vor einer ernstzunehmenden Sicherheitslücke im MHTM-Handler (Mime HTML) von Windows. Der Bug ermöglicht es nach Angaben des Software-Herstellers Angreifern, über den Browser Internet Explorer eigene Scripts auszuführen und sich so Zugang zu sensitiven Daten zu verschaffen, die auf fremden Rechnern lagern. Das erfolgt - altbewährter Manier - dann, wenn das Opfer eine Web-Site besucht oder zu deren Besuch verleitet wird, auf welcher der Schadcode platziert ist.

Weiterlesen »

VMs in VMware Workstation herunterfahren: Ausschalten, Reset, Suspend

VMware bietet 9 Optionen, um eine VM ein- oder auszuschaltenWindows bietet schon selbst genug Optionen, um das System auszuschalten oder in einen Ruhezustand zu versetzen. Läuft es als Gast in einer VMware Workstation, dann kommen über die Virtualisierungs-Software gleich 9 Befehle dazu, um eine VM zu starten oder zu beenden. Wie fährt man also eine VM richtig herunter?

Weiterlesen »

Hierarchischer Aufbau einer Windows-PKI

PKI mit 2-Stufen-Layout (Quelle: Microsoft)Die hier als einfaches Beispiel für eine Microsoft-PKI dienende Zertifizierungsstelle kann nicht als Beispiel für Planung oder Design dienen: Beides ist in diesem Sinne nicht vorhanden, es wurde lediglich ein Service auf einem Active-Directory-Server installiert und konfiguriert. In der Praxis reicht so ein Setup selten aus: Sicherheitstechnisch sollte man sowohl die Zertifizierungsstelle von Servern mit anderen Rollen physisch trennen als auch ihre Komponenten untereinander.

Weiterlesen »

IPSec mit Windows 7 und Windows Server 2008 R2

Per IPSec verschlüsselte Telnet-VerbindungDie Klartext-Übertragung sensibler Daten will man im lokalen Netzwerk nicht haben, da ein beliebiger Netzwerk-Sniffer ausreicht, um die mitzulesen. Eine Strategie dagegen kann sein, auf sichere Protokolle umzusteigen, etwa im Intranet nur noch HTTPS statt HTTP zu verwenden. Wenn das mit den vorhandenen Anwendungen nicht möglich ist, bietet sich an, den gesamten Datenverkehr mit IPSec auf der Vermittlungsschicht (internet layer) des TCP/IP-Protokollstapels zu verschlüsseln.

Weiterlesen »

PowerShell-ExecutionPolicy setzen, Scripts signieren und ausführen

Unsignierte Scripts werden von PowerShell nicht ausgeführtIn der Voreinstellung ist PowerShell kompromisslos auf Sicherheit getrimmt: Man kann generell keine Scripts ausführen, nur die Shell interaktiv benutzen. Damit soll verhindert werden, dass Schadcode ausgeführt und ein Computer oder Benutzerkonto dadurch kompromittiert wird. Je nach Erfordernis will man diese Einstellung ändern, um PowerShell-Scripts ausführen zu können, etwa selbst entwickelte. Um dies zu können, muss man die Tore seines Systems nicht sperrangelweit öffnen, sondern wählt eine Lösung, die sicher und dennoch handhabbar ist.

Weiterlesen »

Windows Multipoint Server 2011: Support für Domänen und RDP-Clients

Windows Multipoint Server 2010Der Multipoint Server 2011 räumt mit einigen künstlichen Beschränkungen seines Vorgängers auf, die diesen faktisch auf den Einsatz in Bildungsinstitutionen reduzierten. Die neue Version kann dagegen in bestimmten Umgebungen eine Alternative zu anderen Varianten von Windows Server für kleinere Firmen werden. Zu den wichtigsten Neuerungen zählt, dass ein Multipoint-Server eine bestehenden Domäne beitreten kann und sich mehrere Installationen über eine zentrale Konsole verwaltet lassen.

Weiterlesen »