ADFS und User-Zertifikate in Windows Server 2016

ADFS arbeitet typischerweise mit einer “klassischen” Benutzeranmeldung über Benutzername und Kennwort. Hierzu wird in der Regel das AD-Konto des betreffenden Anwenders herangezogen. Seit einigen Versionen bietet ADFS allerdings auch eine zertifikatsbasierte Anmeldung für den Anwender. Diese kann an die Stelle der Kennwortanmeldung treten, man kann sie aber auch als zweiten Faktor nutzen.

Bis einschließlich Windows Server 2012 R2 gab es dabei aber eine gravierende Einschränkung: Damit ADFS die Userzertifikate prüfen kann, musste der Client (also der Rechner des Anwenders) eine parallele Verbindung über Port 49443 herstellen. Das war oft nicht möglich, weil dieser Port in vielen WLANs gar nicht ansprechbar ist (z.B. in Hotels). Daher hat Microsoft das Verfahren geändert. In Windows Server 2016 lässt sich die User-Anmeldung per Zertifikat nun über den (ohnehin verwendeten) Standardport 443 durchführen.

Damit das aber gelingt, muss auf dem ADFS-Server der Endpoint “certauth.farmname.tld” erreichbar sein. Schlauerweise trägt dieser einen separaten Hostnamen, sodass dieser auch in dem TLS-Zertifikat für die ADFS-Farm als zusätzlicher Hostname auftauchen muss (Subject Alternate Name).

Details zu den neuen Anforderungen an die ADFS-Konfiguration liefert dieses Dokument:

[AD FS 2016 Requirements | Microsoft Docs]
https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/overview/ad-fs-2016-requirements

Microsoft Azure Deutschland erhält BSI Zertifikat

Microsoft Azure Deutschland hat als einer der ersten Cloudanbieter in Deutschland das Cloud Computing Testat vom Bundesamts für Sicherheit in der Informationstechnik (BSI) erhalten. Dazu werden die Anforderungen an den Cloudprovider nach einem Anforderungskatalog  (Cloud Computing Compliance Controls Catalogue, C5) von einem Wirtschaftsprüfer attestiert. 

Quelle: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/CloudComputing_C5-Testat_an_Microsoft_15082017.html

 

Windows-PKI: Computerzertifikat manuell anfordern

Versucht man, auf einer Windows-Enterprise-CA einen Zertifikatsrequest für ein Computerzertifikat aus einer Datei zu bearbeiten, so kann der folgende Fehler auftreten:

Die Anforderung enthält keine Zertifikatvorlageninformationen. 0x80094801 (-2146875391 CERTSRV_E_NO_CERT_TYPE)
Verweigert vom Richtlinienmodul 0x80094801, Die Anforderung enthält weder die Erweiterung für die Zertifikatvorlage noch das Anforderungsattribut „CertificateTemplate“.

Die Ursache dafür: Im Request ist keine Zertifikatsvorlage angegeben. Das geht bei einem manuellen Request auch nur mit Umständen, daher kann man sich anders behelfen.

„Windows-PKI: Computerzertifikat manuell anfordern“ weiterlesen

Dateilose Malware DoublePulsar: Angriff via SMB

Aktuell kursiert eine dateilose Malware mit Namen DoublePulsar​, die – nicht zuletzt aufgrund von durch die NSA zurückgehaltenen Exploits – einfach Systeme via SMB-Protokoll auf TCP-Port 445 mit weiterem Schadcode versorgt. Es handelt sich dabei um einen sehr versteckt agierenden Malware-Downloader, der auf bereits infizierten Systemen einfach Malware nachladen kann. Die Schwachstelle und Scripte sind auf GitHub verfügbar, sodass mittlerweile auch Script-Kiddies einfachen Zugang dazu erhalten. „Dateilose Malware DoublePulsar: Angriff via SMB“ weiterlesen

Deep Web, Darknet und Dark Web

In den Medien tauchen immer wieder die Begriffe Darknet, Dark Web und Co. auf – meist begleitet von einem unheilvollen Hintergrund, in der Regel geht es um Kriminalität. Von unsicheren Netzen, von Drogendeals 2.0 und Waffenhandel ist oft die Rede. Doch was ist das eigentlich? Ist es wirklich so gefährlich, wie oft angenommen wird? „Deep Web, Darknet und Dark Web“ weiterlesen

Support für Exchange 2007 endet am 11. April 2017

Auch gute Dinge haben ein Ende: Der Herstellersupport für Exchange Server 2007 endet am Dienstag, dem 11. April 2017. Von diesem Datum an wird Microsoft keine Updates, keine Fehlerkorrekturen und keine Sicherheitspatches mehr für das Produkt bereitstellen. Auch Supportfragen wird der Hersteller dann nicht mehr beantworten.

„Support für Exchange 2007 endet am 11. April 2017“ weiterlesen

Cloud Forum 2017 by michael wessel am 2. März

Die Nutzung von Business Cloud Services ist als Plattform einer digitalen Transformation in der Realität von vielen Firmen bereits angekommen und wandelt die Anforderungen an die IT – auch in Ihrem Unternehmen.

Mit dem Cloud Forum 2017 by michael wessel am 02.03.2017 widmen wir uns intensiv und praxisnah sowohl den Auswirkungen als auch dem Potenzial von Cloud Lösungen und bieten Ihnen einen einfachen Zugang zu Cloud Services. „Cloud Forum 2017 by michael wessel am 2. März“ weiterlesen