Zugriffsrechte für Ordner-Freigaben für Branchensoftware einschränken

Wenn spezielle Branchensoftware zum Einsatz kommt, wird diese im Idealfall auf einem eigenen (virtuellen) Server, der nur für diese Software betrieben wird, installiert. Im Normalfall benötigt diese ab einem gewissen Punkt immer irgendwelche Ordnerfreigaben, damit andere Benutzer diese nutzen können oder für Schnittstellen mit anderen sauteuren Branchenlösungen, die manchmal so aussehen als ob ein Praktikant diese in seiner ersten Woche von Stackoverflow zusammenkopiert hat, damit diese dann irgendwelche XML-Dateien einlesen können. Bei den Kundenbetreuern steht bei der Installation nicht die Sicherheit des Netzwerks der Kunden im Fokus, sondern die Gesamtlösung zum Laufen zu bringen. Deshalb werden leider meistens sehr weitreichende Rechte vergeben. Was man stattdessen machen sollte, zeige ich in diesem Artikel.

Read more

WSUS: Berichts-E-Mail über einen externen Mail-Provider mit SSL?

Für den Versand von E-Mail-Berichten muss das Mail-Konto in der WSUS-Konsole unter „E-Mail-Benachrichtigungen“ unter „E-Mail-Server“ eingetragen werden. Sofern man einen Exchange-Server betreibt sollte man hier keine Probleme bekommen. Soll allerdings der Mail-Versand über einen externen Mail-Provider wie 1und1, GMX, etc. durchgeführt werden, so steht man an dieser Stelle vor einem Problem. Denn der WSUS, wie vermutlich auch eine Reihe anderer Windows-Dienste, bietet keine Unterstützung für die von den Mail-Anbietern genutzten Authentifizierungsmechanismen. Die Verwendung ist deshalb nur über einen Umweg möglich.

Read more

WSUS auf SSL-Verschlüsselung umstellen

Um die Verbindung zwischen dem WSUS-Server und den Clients zu verschlüsseln, muss man dessen Webdienste mit einem SSL-Zertifikat absichern. Der WSUS wickelt sämtliche Kommunikation über die Webdienste, die im IIS betrieben werden, ab.

Hierzu muss man in die IIS-Konsole navigieren und dort ein Serverzertifikat erstellen/anfordern. Hierzu darf, zumindest unter Windows Server 2016, leider kein selbstsigniertes Zertifikat aus dem IIS verwendet werden! Das heißt man benötigt eine Cerificate Authority. Wenn man die Zertifizierungsstelle auf einem Server installiert hat, kann man diese ohne Probleme wie im Folgenden beschrieben verwenden.

Read more

Port Forwarding unter Windows

Für die Freigabe bestimmter Dienste, wie z. B. einen Webserver hinter einer Firewall, wird eine Weiterleitung der Ports von der öffentlichen IP an die interne IP des Servers benötigt. In diesem Fall vermutlich die Ports 80 und 443. Diese typische Aufgabe des Port Forwardings übernimmt normalerweise ein Router bzw. eine Firewall. Mithilfe des Kommandozeilen-Tools netsh lässt sich eine entsprechende Regel aber sogar unter Windows anlegen. Somit lässt sich ein beliebiger Port unter der IP-Adresse des Windows-Rechners an einen belieibigen Port eines anderen Gerätes weiterleiten.

Read more

WSUS und der Fehler 80243004

Eine der Freuden des Admin-Jobs ist es, ab und zu, sonntags Windows-Updates einzuspielen und Server neu zu starten 😉

An sich eine einfache Aufgabe, wenn der Windows-Update-Dienst nicht so eine zickige Anwendung wäre, welche wirklich merkwürdige Bugs hat. So ließ sich auf einem Server 2008 R2 kein Update mehr einspielen. Auch nicht nach mehreren Suchvorgängen und einem Server-Neustart:

Read more