Weblog von Wolfgang Sommergut

    Produkte für Windows 10 in WSUS auswählen

    Updates in WSUS auf bestimmte Produkte eingrenzenWenn man Updates für Windows 10 mit WSUS verteilen möchte, dann wird man schnell fest­stellen, dass sich für dieses Betriebs­system unter Produkte und Klassifizierungen eine ganze Litanei von Pro­dukten findet. Mangels einer ausreichenden Dokumen­tation ist es nicht einfach, hier die richtige Auswahl zu treffen.

    PowerShell Core 6.1: Wesentlich mehr Module und Cmdlets unter Windows verfügbar

    Setup für PowerShell Core 6.1Ein großes Defizit von Power­Shell Core 6.0 war die geringe Anzahl an mit­gelie­ferten Cmdlets. Viele der unter Windows bereits vor­han­denen Module ließen sich zudem nicht nutzen. Diesen Zustand ändert nun die Version 6.1 durch eine ver­besserte Kompa­tibi­lität. Die AD-Cmdlets funk­tio­nieren aktu­ell aber noch nicht.

    Firefox zentral verwalten über GPOs und policies.json

    Firefox for EnterpriseSeit der Version 60 enthält Firefox eine neue Policy Engine, mit der sich viele Ein­stellungen zen­tral fest­legen lassen. Das Regel­werk kann man je nach Platt­form und Vor­lieben über Gruppen­richt­linien oder eine Konfi­gurations­datei im JSON-Format definieren. Der AutoConfig-Mecha­nismus ist vorerst noch an Bord.

    WSUS für SSL-Verbindung konfigurieren

    WSUS für SSL konfigurierenMicrosoft em­pfiehlt, die Kommu­nikation der Windows Server Update Services (WSUS) mit Clients und ab­hängigen WSUS-Servern über SSL abzu­sichern. Dafür müssen ein Zerti­fikat installiert, die IIS angepasst, die Clients via GPO auf die korrekte URL verwiesen und die MMC-Konsole konfiguriert werden.

    VMware vSphere 6.7 U1: Feature-kompletter Web Client, Migration auf Embedded Linked Mode, Cluster-Wizard

    VMware vSphere 6.7VMware kün­digte auf der VMworld in Las Vegas das Update 1 von vSphere 6.7 an. Zu den wich­tigsten Neuerungen ge­hören die Upgrade-Möglich­keit von vSphere 6.5 U2, die Inte­gration aller Funk­tionen in den Web Client, die Mig­ration eines exter­nen PSC in den Embedded Linked Mode und die Platinum Edition.

    SSL-Zertifikat für IIS und WSUS installieren auf Server Core

    Zertifikat-SymbolServer Core ist mittler­weile die von Micro­soft em­pfohlene Instal­lations­variante für Infra­struktur­dienste wie AD, File Services, WSUS oder Web-Server. Benötigt man für Letztere ein Zerti­fikat, dann kann man es dort nicht über die GUI-Tools direkt installieren. Diese An­leitung zeigt ein Core-taug­liches Ver­fahren.

    Windows 10 härten mit der Security Baseline

    Privileged Admini­strative WorkstationMicrosoft veröffent­licht für jedes Release von Windows 10 eine eigene Security Baseline. Es handelt sich dabei um empfoh­lene GPO-Einstellungen, die das OS weniger angreif­bar machen. Ein unge­prüftes Aus­rollen auf alle PCs ist nicht ratsam, aber die komplette Baseline empfiehlt sich zum Härten von Admin-PCs.

    Health-Status von WSUS überprüfen mit wsusutil.exe und Eventlog

    Fehler und Warnungen im Ereignisprotokoll von WSUSReibungs­los funktio­nierende Windows Server Update Services (WSUS) sind ein wich­tiger Bei­trag zur Sicher­heit von Windows-PCs. Ein eigener Health Monitoring Service prüft die WSUS daher regel­mäßig auf mög­liche Probleme. Diese Health-Checks lassen sich mit wsusutil.exe konfi­gurieren und aus­führen.

    Test: Verzeichnis- und Freigabe-Berechtigungen analysieren mit dem (kostenlosen) FolderSecurityViewer

    Setup des FolderSecurtiyViewerKorrekt vergebene Zugriffs­rechte sind ein wichtiger Schutz gegen den Miss­brauch von sen­siblen Infor­mationen. Bei kom­plexen Ver­zeich­nis­struk­turen geben die meisten Bord­mittel dem Admin nicht den benö­tigten Überblick. Der Folder­Security­Viewer (FSV) soll diese Lücke mit vorkonfi­gurierten Reports schließen.

    File-Server absichern durch SMB-Signierung

    Signierung von SMB-PaketenUm zu ver­hindern, dass Angreifer die über das Netz über­tragenen Infor­ma­tionen mani­pulieren, unter­stützt Server Message Block (SMB) die Sig­nierung der Daten­pakete. Das soll ihre Authen­tizität gewähr­leisten. Die Sig­nierung ist für Domain Controller standard­mäßig aktiviert, für File-Server muss man sie per GPO einschalten.

    Seiten