Allgemein – Seite 29 – ugg.li Schnelle Hilfe für schnelle Admins

Firefox Wartezeit beim Download abschalten

Veröffentlicht am Dezember 24, 2021 von weed — Keine Kommentare ↓

Bevor man in Mozilla Firefox eine Datei herunterladen kann, gibt es eine Merhsekündige Wartepause. In dieser Wartezeit kann man im download-Dialog nicht auf „OK“ klicken, um den Download zu starten.

Aus Sicherheitsgründen ist das vielleicht für einige Nutzer eine gute Idee, für den schnellen und sicherheitsbewussten Admin eher ärgerlich.

Lösung

In about:config kann man die Wartezeit mit dem Parameter security.dialog_enable_delay konfigurieren. Ein Wert von „0“ schaltet die Wartezeit komplett ab.

Log4j Zugriffe (Exploits) zuverlässig mit IIS ARR (reverse Proxy) filtern

Veröffentlicht am Dezember 13, 2021 von weed — 3 Kommentare ↓

Über eine kritische Sicherheitslücke namens „Log4Shell“ in der weitverbreiteten Java-Logging-Bibliothek „Log4j“ können Angreifer beliebigen Code ausführen lassen.

Seit Kurzem steht ein Quellcode-Update des Log4j Apache-Projekts bereit; Entwickler und Admins sollten dringend aktiv werden.

Ein Angreifer kann die Sicherheitslücke ausnutzen, indem er manipulierte Anfragen an einen verwundbaren Server oder eine angreifbare Anwendung schickt. Das geschieht in der Regel (z.B. Tomcat) via USER_AGENT logging. ein Internet-Nutzer kann also Code hinterlegen, den der Server dann ausführt. Die log4j-Lücke greift aber nicht nur beim USER_AGENT, sondern bei *allem* was im Log landen kann. Je nach Applikation muss man hier also genauer hinschauen, das Vorgehen im IIS URLrewrite ist aber immer das selbe und funktioniert dafür sehr gut.

Den Versuch dazu kann man in ISS via ARR aber schnell filtern. Hier die Anleitung um mittels Reverse Proxy das Exploit abzufangen bevor es interne Systeme erreicht.

Lösung

Am besten auf höchster Ebene (link auf dem Serverknoten) das Modul „URL rewrite“ öffnen. Die dort erstelle Regel greift auf allen Sites.

An dieser Stelle eine leere Regel einfügen, die die folgenden Einstellungen hat:

Übereinstimmung mi URL: .*
Groß/Kleinschreibung ignorieren: Angehakt
Bedingungen
- Übereistimmung mit allen Elementen > hinzufügen
- Bedingungseingabe: {HTTP_USER_AGENT}
- Muster: .*jndi:ldap*
Aktion (hier ist etwas kreative Freiheit möglich)
- URL Umleiten: http://endless.horse/
- Dauerhaft (301)

Fritz!Box Kennwort auslesen und entschlüsseln (ohne PHP)

Veröffentlicht am Dezember 7, 2021 von weed — Keine Kommentare ↓

Für AVM Fritz!Boxen gibt es wieder einen klaren Fall von „Notiz an uns selbst“. Ab und zu geht ja schonmal das DSL-Zugangskennwort für das Internet verlorern. Soll der Internet-Roter ausgetauscht werden, fängt man an zu suchen.

Der schnelle Admin kann hier natürlich einfach ein Backup der Konfiguration erstellen (System > Sicherung > Sichern), aber selbiges ist unleserlich verschlüsselt. Und selbst wenn man die *.export Datei entschlüsselt hat, stehen da die Kennwörter noch immer verschlüsselt drin. Grundsätzlich ist das natürlich eine gute Sache, für den Admin aber manchmal hinderlich.

Glücklicherweise kann man *.export Dateien ohne weitere Software direkt online entschlüsseln lassen:

https://fbedit.com

Microsoft 365 Kennwort sofort ablaufen lassen (Änderung des Kennwortes erzwingen)

Veröffentlicht am November 29, 2021 von weed — Keine Kommentare ↓

Manchmal möchte man ein bestimmtes Office 365 Konto schnell geändert wissen. Möglicherweise weil das Kennwort auf einem Zettel unter der Tastatur aufgetaucht ist oder ein Gerät verschwunden ist. Es wäre toll, wenn man den Benutzer schnell zur Änderung zwingen könnte.

Leider gibt Microsoft dem Administrator dafür kein GUI-Werkzeug in die Hand. Man kann in der Oberfläche das Kennwort zwar gewaltsam „zurücksetzen“, aber leider nicht als „abgelaufen“ markieren. Eine Kennwortablaufrichtline gibt es nur Unternehmensweis und nur in Tagen.

Lösung

An der PowerShell ist das natürlich möglich. Man muss dazu das MSOnline Modul in seiner PowerShell aktive haben (import-module MSOnline) und mit dem Microsoft-Tenant verbunden sein (Connect-MsolService).

Erzwingt die sofortige Änderung

Set-MsolUserPassword -UserPrincipalName "[email protected]" -ForceChangePassword $true -ForceChangePasswordOnly $true

⚠ Die Dokumentation des Commandlets „Set-MsolUserPassword“ ist leider unvollständig.

ForceChangePassword $true erzwingt das der Benutzer bei der nächsten Anmeldung sein Kennwort ändert
ForceChangePasswordOnly $true sorgt dafür, das kein neues Kennwort automatisch vergeben wird

Man kann natürlich auch an der Kommandozeile ein neues Kennwort vorgeben:

Set-MsolUserPassword -UserPrincipalName "[email protected]" -NewPassword "GEHE1MK3NNW0RT"

Oder von der Powershell ein neues Kennwort generieren und setzen lassen:

Set-MsolUserPassword -UserPrincipalName "[email protected]" -ForceChangePassword

Erzwingt die Änderung des Kennwortes nach Datum

Man kann in Set-MsolUserPassword auch beliebige Selektionen hinein-pipen. Das vereinfacht beispielweise die Vorgabe nach einem bestimmten Datum (hier der 24. Juli 2021) oder nach Alter.

Get-MsolUser | where LastPasswordChangeTimestamp -lt (Get-Date 24.07.2021) | Set-MsolUserPassword -ForceChangePassword $true -ForceChangePasswordOnly $true

Hinweis: „Sonderfall“ Outlook

Nachdem man für den nächsten Login eine Passwortänderung „erzwungen“ hat, funktioniert nun allerdings noch das bestehende Passwort und vor Allem Outlook kann wunderbar mit einem bestehenden Session-Token weiterarbeiten (auch mehrere Wochen lang).

Um im Outlook einen neuen Login zu erzwingen, muss man das Session-Token revoken. Das geht ebenfalls per PowerShell, benötigt aber das AzureAD Modul (😑):

Get-AzureADUser -SearchString "[email protected]" | Revoke-AzureADUserAllRefreshToken

Oder für die selben Benutzer wie oben (nach letztem Änderungsdatum):

Get-MsolUser | where LastPasswordChangeTimestamp -lt (Get-Date 24.07.2021) | foreach {Get-AzureADUser -SearchString $_.UserPrincipalName} | Revoke-AzureADUserAllRefreshToken

Tastenkombinationen und Zugriffstasten wieder unterstreichen

Veröffentlicht am November 16, 2021 von weed — 1 Kommentar ↓

Microsoft hat in Windows 11 die unterstrichenen Tastenkürzen für die Menüauswahl standartmäßig abgeschaltet. Das erschwert die Tastaturbedienung und macht diese schnelle Methode für direkte Zugriff für neue Admins leider praktisch unsichtbar.

Vorher – Nachher: Der Schnellzugriff fehlt

Lösung

Zum Glück ist die Anzeige der Unterstreichung nur eine Einstellungssache:

Windows Einstellungen -> Barrierefreiheit -> Tastatur -> „Tastenkombinationen Unterstreichen“

Alternativ: Klassische Systemsteuerung > Alle Systemsteuerungselemente > „Center für erleichterte Bedienung“ > „Bedienung der Tastatur erleichtern“ > „Tastenkombinationen und Zugriffstatsten unterstreichen“