VMWare Workstation virtuelle Maschine vervielfältigen

Virtuelle Maschinen klonen

Wenn wir ein Master System aufsetzen und das unseren Bedürfnissen anpassen und zum Abschluss mit Sysprep „Verallgemeinern“ > „Beenden“ und Herunterfahren, können wir dieses so oft wir wollen verteilen. Denn die SID und der Computername werden nach dem Neustart erneut generiert und sind somit nicht identisch mit dem Master System.

Dieses Verfahren lässt sich auch auf Server anwenden. Sysprep lässt sich nur anwenden so lange das Master System nicht Mitglied einer Domäne ist.

Sysprep entfernt wie bereits erwähnt eindeutige Informationen. Darunter fallen z.B. Hardwareinformationen wie, den Computernamen, die eindeutige SID, den Produktschlüssel, Ereignisprotokolle etc.

Der Optionsscchalter /oobe weist Windows an die Windows-Willkommensseite beim nächsten Computerstart auszuführen.

Sysprep /generalize /shutdown /oobe

VMWare Workstation – Virtuelle Maschine vervielfältigen

Hyper-V und VMware parallel nutzen – Bootkonfiguration umstellen


Windows Defender-Anwendungssteuerung

Virtual Secure Mode und Device Guard

Ihre Organisation hat diese App mit Hilfe der Windows Defender-Anwendungssteuerung blockiert.

Das jetzt nicht mehr neue Sicherheitskonzept von Microsoft namens Device Guard läuft ab Windows 10 Enterprise und Server 2016.

Mit dieser Technik können Hardware- und Softwarefeatures so eingesetzt, das z.B. nur vertrauenswürdige Anwendungen ausgeführt werden können.

Device Guard setzt isolierten Umgebungen (Container) ein, um Anwendungen auszuführen und voneinander zu trennen. Als Basis für die Umsetzung dient der Hypervisor von Microsoft.

Virtual Secure Mode und Device Guard

Hardwarevoraussetzungen:

  • UEFI ab v2.3.1 im einheitlichen Modus
  • Windows 64-Bit
  • Second Layer Address Translation SLAT
  • Virtualisierungserweiterung z.B. Intel VT oder AMD-V
  • Trusted Platform Modul TPM

Für die Nutzung von Device Guard muss zuerst der Virtual Secure Mode aktiviert werden. Der VSM ist eine Funktion der die Virtualisierungserweiterung des Prozessors einsetzt, um so die Sicherheit zu erhöhen. Geschützt werden dabei unteranderem die Daten im Speicher und es wird sichergestellt, dass jede Instanz nur auf die eigenen Daten zugreifen kann.

Auch der Credential Guard benötigt für die Ausführung den Virtual Secure Mode, aber der ist heute nicht mein Thema.

Virtual Secure Mode und Device Guard

Hyper-V Nested VMs


Windows 10 Client Hardening

Windows 10 Hardening Checklist

Diese Checkliste ist bei der manuellen Umsetzung von Hardening-Richtlinien sehr hilfreich.

Windows 10 Client Hardening

Eine fertige Vorlage findet ihr hier…

Windows 10 Hardening


Privatsphäre für Windows 10 Heimarbeitsplätze

Windows 10 Pro/Home Privatsphäre für Privatanwender

In dieser Anleitung beschreibe ich einen Weg, um die Privatsphäre eines Windows 10 Pro/Home Benutzers so gut wie es geht zu schützen. Dazu öffnen wir den Gruppenrichtlinieneditor und navigieren zu den angegebenen Pfaden und setzen die Einstellung wie empfohlen um.

Insgesamt sind das 52 Einstellungen.

Privatsphäre für Windows 10 Heimarbeitsplätze

Schutz der Privatsphäre

Privatsphäre für Windows 10 Pro Heimarbeitsplätze

Wer eine Home-Edition betreibt, kann den Gruppenrichtlinieneditor nachträglich installieren.

Gruppenrichtlinieneditor für die Home Editionen nachträglich installieren

 


Was ist LDAP und was ist OAuth 2.0

LDAP und Open Authorization

In diesem Dokument beschreibe ich was LDAP und OAuth ist und wofür es eingesetzt wird.

Ein kurzer Einblick…

LDAP ist ein offenes und plattformübergreifendes Protokoll für die Verzeichnis-Dienste-Authentifizierung. LDAP stellt eine Kommunikationssprache bereit, die Anwendungen verwenden, um mit Verzeichnisdiensten zu kommunizieren.

OAuth ist ebenfalls ein offenes aber Token basiertes standarisiertes Protokoll. OAuth erlaubt eine sichere Autorisierung und Authentifizierung beim Einsatz von Desktop-, Web- und API- basierten Anwendungen.

Authentisierung = Ist der Nachweis einer Identität
Authentifizierung = Bestätigung der Identität
Autorisierung = ist eine Berechtigung

LDAP & OAuth 2.0


WinRM Powershell Remoting in einer Workgroup konfigurieren

WinRM Powershell Remoting

Außerhalb einer Domäne lässt sich das Remoting wie folgt konfigurieren:

WinRMServer = SRV01 = Zielserver
WinRMClient = Client01 = verwaltungscomputer

Auf dem Zielsystem “WinRM Server” muss das Private Netzwerk konfiguriert sein.

Get-NetConnectionProfile | Set-NetConnectionProfile -NetworkCategory Private

oder

Get-NetConnectionProfile
Set-NetConnectionProfile -InterfaceIndex 1|2 -NetworkCategory Private

Danach aktivieren wir das Windows Remote Management. Es sollte eine positive Rückmeldung erfolgen. Die Aktivierung startet und konfiguriert den notwendigen Service und setzt eine Ausnahme in der Firewall.

Enable-PSRemoting -Force

Überprüfen lässt sich das Ganze mit

Get-NetTCPConnection | Where-Object -Property LocalPort -eq 5985

Jetzt konfigurieren wir den “WinRM Client“, der Zugriff auf den “WinRM Server ” haben möchte. Dazu muss der Server auf dem Client als vertrauenswürdiger Partner hinzugefügt werden.

Set-Item WSMan:\localhost\Client\TrustedHosts -Value “SRV01” -Force

Die Konfiguration lässt sich im Anschluss prüfen und zwar mit

WinRM get winrm/config/client

Möchte man allen “WinRM Servern” vertrauen, dann muss der Client wie folgt konfiguriert werden.

Set-Item WSMan:\localhost\Client\TrustedHosts -Value “*” -Force

Zum Abschluss bauen wir eine Verbindung zum WinRM Server auf.

$Credential = Get-Credential
Enter-PSSession -Computername SRV01 -Credential $Credential

WINRM WINRS Windows Remote Management Windows Remote Shell

https://www.der-windows-papst.de/tag/client/