microsoft
Microsoft OCSP LogSource
Sowohl in Windows 2008R2 wie auch in Windows 2012R2 schreibt der Microsoft OCSP Responder seine Logs mit der Source „OnlineResponder“ in den Eventviewer. Was passiert aber, wenn man testweise Einträge erzeugen möchte, etwa um ein Script zu triggern, dass auf bestimmte Logeinträge reagieren soll?
Für Windows 2008R2 heißt die Source plötzlich OCSPSvc:
$EvtSource="OCSPSvc" Write-Eventlog Application -Source $EvtSource -EventID 36 -EntryType Info -Message "Test"
Unter Windows 2012R2 klappt es aber wieder nicht, hier heißt die Source wieder anders: Microsoft-Windows-OnlineResponder
$EvtSource="Microsoft-Windows-OnlineResponder" Write-Eventlog Application -Source $EvtSource -EventID 36 -EntryType Info -Message "Test"
Windows und die Bash
Spannende Zeiten! Microsoft gibt die Powershell frei für Linux. Und gleichzeitig gibt’s die Bash unter Windows 10.
Wie kommt man zur Shell? Die Installation geht recht einfach laut Anleitung.
Man braucht zumindest Windows 10 Anniversary Update build 14316, das prüft man am einfachsten mit „winver.exe“
Dann aktiviert man den Entwicklermodus. Einfach Windows Taste -> „Entwicklerfunktionen verwenden“
Als nächstes „Windows Features aktivieren oder deaktivieren“ und „Windows Subsystem for Linux (beta)“ wählen. Neustarten. Installation abschließen, indem der Befehl „bash“ ausgeführt wird.
Windows 10 und der Broadcom WLAN Treiber
Ich habe schon früher Probleme mit dem WLAN Treiber festgestellt. Die Lösung war ganz einfach, statt dem Treiber von 2013 die Version von 2008 verwenden und schon läuft die Verbindung stabil. Jetzt kam aber das letzte große Windows 10 Update und das hat glücklicherweise wieder den aktuelleren Treiber aktiviert… Klick und wieder offline.
Wie bekommt man wieder den richtigen Treiber?
Windows Taste -> Gerätemanager -> Netzwerkadapter -> Broadcom 802.11-Netzwerkadapter -> Treiber aktualisieren -> Auf dem Computer nach Treibersoftware suchen -> Aus einer Liste von Gerätetreibern auf dem Computer wählen -> Broadcom 802.11n-Netzwerkadapter Version: 5.100.82.95 [02.10.2008] auswählen.
Auf keinen Fall Broadcom 802.11n-Netzwerkadapter version: 6.30.223.256 [02.06.2013] wählen!
Update 2019-04-27:
Zusammenfassung aus den Kommentaren:
Seit einem Windows Update heißen die Treiber in der Auswahl übrigens anders und sind mit “Microsoft” (falscher Treiber) und “Broadcom” (richtiger Treiber) gekennzeichnet.
Treiber Download Microsoft
Gültige CRLs in ADCS
Microsoft ADCS speichert alle aktuell gültigen CRLs in der CA eigenen Datenbank.
Dieses Verhalten lässt sich auch ändern, wenn man alte CRLs für Audit-Zwecke braucht.
Anzeigen lassen kann man sich die CRLs mit
certutil -view crl
Zitat des Tages
You should not use the console, and unless there is a very compelling reason, you should not have a full Windows desktop on the server.
MS IIS Server Header
Im IIS den Server Header zu deaktivieren ist nicht leicht. Es finden sich jede Menge Anleitungen dazu – aber nichts funktioniert.
Im Apache verändert man diesen Header über eine Zeile in einem Textfile (ServerTokens Prod). Eigentlich erwarte ich da, dass Microsoft für den IIS ein Häkchen oder ein Dropdown im GUI anbietet, mit dem man das ändern kann. Gibt es das nicht, würde ich einen Wert in der Registry erwarten – den gibt es aber auch nicht wirklich.
Eine einfache Möglichkeit bietet EASILY REMOVE UNWANTED HTTP HEADERS IN IIS 7.0 TO 8.5. Einfach das .msi Paket herunterladen, installieren, fertig.
Das ist natürlich gleichzeitig der Nachteil – man muss dazu ein MSI Paket installieren.
Das Paket ist laut Virustotal sauber. Ob jemand das auf einem produktiven Server installieren will, muss aber jeder für sich selbst entscheiden.
OCSP Responder Monitoring und die Nonce
Eine Nonce, aus dem Englichen für „Number ONCE“, ist eine Nummer die nur ein Mal verwendet werden soll. Diese Nummer wird vom OCSP Client generiert, mit der Anfrage mitgeschickt. Der OCSP Responder muss den Wert in der signierten Antwort mitschicken, zur Bestätigung dass es sich tatsächlich um die entsprechende Antwort auf die Anfrage handelt. Das dient einerseits als Schutz vor einer Replay Attacke, hat aber auch den „Nachteil“ dass die Antwort nicht gecached werden kann. Und genau das ist für ein Monitoring von Vorteil, weil damit erkannt werden kann, ob tatsächlich neue OCSP Responses erzeugt werden, und nicht nur irgendwelche Antworten aus einem Cache fallen.
In RFC5019 heißt es zur Nonce beim OCSP Responder, dass sich der Client nicht alleine auf den Nonce verlassen darf, sondern im Zweifelsfall auch noch den Timestamp prüfen muss.
Clients that opt to include a nonce in the request SHOULD NOT reject a corresponding OCSPResponse solely on the basis of the nonexistent expected nonce, but MUST fall back to validating the OCSPResponse based on time. Clients that do not include a nonce in the request MUST ignore any nonce that may be present in the response.
Microsoft zu OCSP, Nonce und Cache
Allow Nonce requests. This option instructs the Online Responder to inspect and process an OCSP request nonce extension. If a nonce extension is included in the OCSP request and this option is selected, the Online Responder will ignore any cached OCSP response and will create a new response that includes the nonce provided in the request. If this option is disabled and a request that includes a nonce extension is received, the Online Responder will reject the request with an „unauthorized“ error.
Microsoft sagt in der gleichen Quelle übrigens, dass Microsoft Clients mit aktuellem Stand keine Nonce unterstützen
The Microsoft OCSP client does not support the nonce extension.
Word und Bilder
Word kann nicht mit mehr als einem Bild umgehen!
Darüber bin ich bei meinen Recherchen danach wie man sauber mit Bildern in Word umgeht gestoßen. Und ich muss sagen, das stimmt einfach.
Zum Beispiel: Füge einem Bild eine Beschriftung hinzu. Geht alles wunderbar, nur die Nummerierung lässt sich nicht abschalten. OK. Kein Problem – lässt sich manuell löschen.
Verschiebe das Bild mit der Beschriftung… Bild verschoben, Beschriftung bleibt stehen.
Warum auch sollte das eine Einheit bilden? Wem in aller Welt könnte das vernünftig vorkommen?
Aber es wird schlimmer. Ändere die Größe von dem Bild, mit umlaufenden Text. Obwohl bei der Bildunterschrift eingestellt ist, dass die Beschriftung unter das Bild soll, steht sie jetzt neben dem Bild.
Also wie löst man das? Man kann ja gruppieren… geht aber nicht. Den Absatz mit der Bildunterschrift mit dem Bild zu gruppieren. Beides kann markiert werden. Kontextmenü ist ausgegraut. Danke!
Ein paar Recherchen später: Die Lösung ist einfach, pack das Bild in ein Textfeld zusammen mit der Unterschrift… Ja klar, da kommt jeder drauf – wenn ich ein Bild haben will mache ich logischerweise ein Textfeld! Das ist so logisch und eingängig, niemand käme auf die Idee ein Textfeld bloß für Text zu verwenden.
Gibts eine Lösung dafür? Ich vermute schon. Aber spätestens an diesem Punkt haben die meisten Menschen wohl die Nerven verloren und laufen schreiend im Kreis.
Ocsp Responder Caching
Dreht man einen Microsoft OCSP Responder ab, schlägt das Monitoring darauf nicht an. Warum?
Weil die OCSP Responses vom IIS gecached werden und zwar für so lange wie auch die CRL noch gültig wäre!
Response caching. After a request is received and a certificate serial number is extracted, the Online Responder Web proxy will check the local cache for a valid response. The cache is implemented as part of the ISAPI extension and is an in-memory cache. If a client request generates a cache fault, the Online Responder Web proxy will make a request to the Online Responder service for a response. The cache item validity period is set to the CRL validity period from which the response was generated or to the signing key validity, whichever is shorter.
Zusätzlich wird noch für 120 Sekunden gecached.
In addition to the OCSP ISAPI extension caching, the IIS HTTP.SYS library performs caching for 120 seconds. Multiple requests to the Online Responder in that time period will be served with the HTTP.SYS-cached response.
Online Responder Installation, Configuration, and Troubleshooting Guide
Batch Script und die Prozentzeichen
Ich hab mich wieder Mal über ein Script geärgert.
Folgendes Beispiel hat beim Testen auf der Shell wunderbar funktioniert
C:\tmp\test>for /f %f in ('dir *.txt') DO echo %f
Datei nicht gefunden
C:\tmp\test>echo Volume
Volume
C:\tmp\test>echo Volumeseriennummer:
Volumeseriennummer:
C:\tmp\test>echo Verzeichnis
Verzeichnis
Das macht Output mit dem Befehl zwischen den einfachen Anführungszeichen.
Also ab in ein Script damit und nochmal ausgeführt
C:\tmp\test>test
Was? Kein Output – sollte das Script nicht das gleiche tun, wie wenn die Zeile auf der Shell geschrieben geht?
Eine kleine Änderung im Script – %f wird mit %%f ersetzt:
for /f %%f in ('dir *.txt') DO echo %%f
Und jetzt kommt aus dem Script das gleiche raus, wie vorher auf der Commandline:
C:\tmp\test>test
C:\tmp\test>for /F %f in ('dir *.txt') DO echo %f
Datei nicht gefunden
C:\tmp\test>echo Volume
Volume
C:\tmp\test>echo Volumeseriennummer:
Volumeseriennummer:
C:\tmp\test>echo Verzeichnis
Verzeichnis