In diesem Artikel beschäftigen wir uns mit dem Authentifizierungsdienst Kerberos und dem in aller Munde befindlichen Angriffsvektor Kerberoasting. Mittels Kerberoasting kann es einem Angreifer gelingen, das Passwort eines privilegierten Benutzers innerhalb einer Active Directory Domäne zu knacken. Die dafür zu überwindende Hürde ist relativ gering. Es reicht schon eine schlecht konfigurierte Active Directory Domäne, sowie...
Vor kurzem bin ich auf folgendes Problem gestoßen: das Zertifikat auf einem Linux Loadbalancer, der vor einem Exchange Cluster steht, wurde getauscht. Direkt nach dem Reload der Config ploppte bei allen Outlook Clients die bekannte Windows Anmeldemaske auf. Kein Client war mehr in der Lage, mit dem Exchange zu kommunizieren. Im Browser konnte man allerdings...
Windows Server bietet standardmäßig eine breite Palette an Verschlüsselungsprotokollen an. Administratoren sollten daher darauf achten, welche Protokolle gegebenenfalls deaktiviert werden sollten. So werden mittlerweile TLS 1.0 & TLS 1.1 als unsicher eingestuft und sollten in Produktivumgebungen nicht mehr verwendet werden. Aus diesem Grund schauen wir uns in diesem Post an, wie wir unsere ADFS (Active...
Das On-Premises Active Directory bietet zur Authentifizierung vereinfacht gesehen zwei unterschiedliche Standards an: Kerberos und NTLM. Wird aus Sicherheitsaspekten Kerberos grundsätzlich bevorzugt, ist eine Authentifizierung darüber aufgrund der komplexeren Voraussetzungen eben nicht immer möglich. In so einem Fall gibt es beim Authentifizierungsversuch einen Fallback auf das NTLM Protokoll. Wie es in der IT allerdings üblich...
Exchange / HowTo / Microsoft / Server
by Kevin · Published 19. Februar 2024 · Last modified 18. Februar 2025
Exchange Extended Protection ist mittlerweile in aller Munde. Vor allem auch deswegen, weil es momentan den einzigen wirksamen Schutzmechanismus gegen die Sicherheitslücke CVE-2024-21410 (NTLM Hash Authentifizierung) darstellt. Aber auch abseits davon ist die Exchange Extended Protection eine empfohlene Vorkehrung, die man innerhalb von On-Premises Umgebungen unbedingt aktivieren sollte. Da man diese Funktion allerdings nicht ohne...
Exchange unterstützt standardmäßig eine breite Palette an verschiedenen Verschlüsselungsprotokollen und Ciphers. Dies gewährleistet grundsätzlich zwar eine hohe Kompatibilität, bildet aber gleichzeitig eine größere Angriffsfläche. Daher ist meiner Meinung nach ein Exchange Hardening gerade bei einem öffentlich zugänglichen Endpunkt, wie es ein Exchange in den meisten Fällen ist, unabdingbar. Die nachfolgenden Schritte sind übrigens nicht nur...
Wie erstellt man eigentlich einen OAuth2/OIDC SSO-Endpunkt im ADFS? Welche Parameter sind wichtig und wie werden sie gesetzt? Diesen Fragen möchte ich in diesem Beitrag auf den Grund gehen und daher schauen wir uns gemeinsam an, wie man eine sogenannte „Application Group“ im ADFS konfiguriert. Wer noch nicht weiß, was OAuth2/OIDC überhaupt ist und welche...
ADFS / HowTo / Microsoft / Server
by Kevin · Published 20. Oktober 2023 · Last modified 27. Oktober 2023
Die Microsoft Active Directory Federation Services (ADFS) bieten nicht nur die Möglichkeit Single-Sign-On (SSO) für Enterprise Applikationen über SAML einzurichten, sondern unterstützen auch die mittlerweile marktführenden Protokolle OpenIDConnect (OIDC) und OAuth2. Da die Einrichtung einer solchen Applikation wohl nicht zu den alltäglichen Aufgaben eines System Administrators gehören und es auch hier einige Stolpersteine gibt, möchte...
ADFS / HowTo / Microsoft / Server
by Kevin · Published 27. Juli 2023 · Last modified 20. Oktober 2023
Gerade größere Unternehmen setzen im Zuge einer einheitlichen Authentifizierung des Öfteren auf Microsofts ADFS (Active Directory Federation Services) Rolle, welche auf jedem Windows Server kostenlos installiert werden kann. Zwar ist eine klare Bewegung zu Office365 und Azure AD zu erkennen, jedoch gibt es trotzdem gute Gründe, weiterhin auf ADFS als On-Premises Lösung zu setzen. Dabei...
Vielen wird der Begriff NUMA nur im Entferntesten ein Begriff sein, doch gerade in virtualisierten, High-Performance Infrastrukturen kann eine fehlerhafte Konfiguration jener einen entscheidenden Einfluss haben. Welchen Performance Impact hat das Aktivieren von CPU Hotplug in einer VMWare ESXi? Stellt ESXi dem Gastbetriebssystem die korrekte Anzahl an NUMA Nodes zur Verfügung? Wie erkenne ich auf...
Exchange / HowTo / Microsoft / Server
Outlook Anmeldemaske nach Exchange Zertifikatstausch
18. Februar 2025
ADFS / HowTo / Microsoft / Server
ADFS TLS Verschlüsselungsprotokolle – Best Practice
14. Februar 2025
