S/MIME-Zertifikate mittels klickfertiger OpenSSL-CA selbst erstellen

OpenSSL basierte S/MIME-CA importieren

Für eine kleine Arbeitsgruppe stellt sich häufig die Frage, wie man am einfachsten verschlüsselt per E-Mail kommunizieren kann. Die Nutzung von S/MIME liegt auf der Hand, zumal es von den gängigen Mailprogrammen wie Thunderbird oder Outlook ohne zusätzliche Plug-Ins installieren zu müssen unterstützt wird. Hinderlich ist hingegen das Besorgen von geeigneten E-Mail – S/MIME – Zertifikaten, das Zertifikatsmanagement der kostenpflichtigen…

Read More »

Edge – Google als Suchmaschine vorkonfigurieren

Edge DefaultSearchProvider Policies - OK

Der “neue” Microsoft Edge (based on Chromium) ist leider immer noch mit Microsofts hauseigener Suchmaschine Bing vorkonfiguriert, mit der die meisten von uns erfahrungsgemäß wenig Freude haben. Als Benutzer kann man die Suchmaschine in den Einstellungen zwar mit ein paar Mausklicks einfach wechseln, als SysAdmin möchte man die Suchmaschine aber bereits für alle Benutzerkonten vorkonfigurieren – und kämpft hierbei erstaunlicher…

Read More »

Web-Formulare mit Google reCAPTCHA v3 absichern

reCAPTCHAv3-Logo

Googles reCAPTCHA v3 sichert Eingabeformulare gegen eine durch Bots automatisierte Nutzung “unsichtbar” ab. Mehr hierzu in der Anleitung von Google. Der Beispiel-Code zum Integrieren wollte bei mir nicht gleich auf Anhieb gelingen, daher diese “Notiz an mich selbst” in Form eines Blog-Beitrages, wie die erfolgreiche Vorgehensweise funktioniert: Für die betreffende WebSite in der Admin-Console von Google die nötigen Einträge vornehmen,…

Read More »

Apply all Edge Policies like HomepageLocation, DefaultSearchProvider, … for non-Domain-joined Devices

In this Blog-Post I describe, how to apply restricted Edge based on Chromium Policies like HomepageLocation, NewTabPageLocation, RestoreOnStartupURLs, DefaultSearchProvider, SmartScreen and several more without domain-joining the Devices.

Read More »

Microsoft Edge – vorkonfigurieren der Startseite und Suchanbieter mittels lokaler Gruppenrichtlinie

Fake-MDM (Mobile-Device-Management) Konfiguration

Nachfolgend zeige ich, wie – entgegen Microsofts Willen – auch eine Konfiguration von Startseite und Suchanbieter mittels lokaler Policies möglich ist, ohne dass die Maschine hierfür Domain-joined oder MDM-gemanaged werden muss. Die Konfiguration ist positiv getestet unter Windows 10 v1803, v1809 und v1903

Read More »

Speicher-Verbrauch von Linux-Diensten mittels systemd limitieren

systemd apache2.service Konfiguration

Linux-Dienste lassen sich seit Umstellung auf systemd mittels weniger (generischer) Konfigurationsanpassungen in den maximal nutzbaren Ressourcen (Memory, CPU, IO, …) limitieren. Möglich wird dies mittels cgroups. Nachfolgend sei dies am Beispiel einer Hauptspeicher-Limitierung des Apache-Dienstes auf einem Ubuntu 16.04 LTS System kurz demonstriert: Das Apache2 Service erwartet seine systemd-Konfiguration(en) unter dem Namen “apache2.service”, dies ermitteln wir wie folgt: root@nc:~# systemctl…

Read More »

Windows Defender Exploit Guard – Attack Surface Reduction Rules aktivieren

Windows Defender Exploit-Guard - Attack-Surface Reduction

Mit Windows 10 v1709 hat Microsoft der Defender-Plattform zusätzliche, interessante Features spendiert, die nun mit Win10-Release 1803 um weitere Möglichkeiten ergänzt wurden. So lassen sich zum Beispiel folgende Regeln aktivieren, welche das Risiko einer Malware-Infektion in einigen Szenarien deutlich reduzieren können: Block executable content from email client and webmail Block Office applications from creating child processes Block Office applications from…

Read More »

How to prevent bypassing AppLocker using Alternate Data Streams

AppLocker Exception: log-directory, exclude Alternate Data Streams

I usually write my blog-posts in german. This one is in english, because Sami Laiho asked me to do a short write-up, to make this problem available to a broader audience. Who is affected and what’s the problem? If you are using AppLocker Application-Whitelisting using Path-Rules with Exceptions you are probably affected. See the following example to understand, what type of problem…

Read More »

IPv6 & DNSSEC-taugliche Public-Resolver: Quad 9 & CloudFlare & Google-Public-DNS

internet.nl - Test mit UPC-DualStack-Lite IPv6 Zugang und Quad 9 DNS: DNSSEC-Support

Mangelhafte UPC-DNS-Resolver UPC-Telekabel bietet zwar mittlerweile IPv6-taugliche DualStack-Lite Anschlüsse über die Connect-Box (DOCSIS 3.0 über Koaxkabel), die standardmäßig verwendeten UPC-DNS-Resolver sind jedoch in mehrerlei Hinsicht mangelhaft: Keine DNSSec-Prüfung! DNS-Resolver sind zwar per IPv6 erreichbar, die rekursive Auflösung wird jedoch nur über IPv4 bewerkstelligt UPC redirected diverse Hostnamen auf “Sperr-Seiten”, so wie dies auch andere österreichische Access-Provider wie T-Mobile u.a. tun…

Read More »

Windows Exploit-Guard Konfiguration: Alle ProcessMitigations per PowerShell-Script löschen

No Picture

Microsoft hat mit Windows 10 Version 1709 (RedStone 3 Release) die Funktionalität Windows Defender ExploitGuard zur produktiven Nutzung bereitgestellt. Dies löst das vormals hierfür verfügbare Produkt EMET – Enhanced Mitigation Experience Toolkit ab, welches mit 31.07.2018 aus der Wartung läuft und ab Win10 Release auch nicht mehr eingesetzt werden kann. Problemstellung: Set-ProcessMitigation unterstützt weder Delete noch Delete-All Grundsätzlich lässt sich Exploit-Guard ebenso wie EMET über…

Read More »