Bitlocker verhindert das Booten unter Windows 7 nach Deployment mit ConfigMgr Current Branch

Bei der Aktualisierung von SCCM wird auch immer das Bootimage aktualisiert auf die neueste Version. Wenn man im Unternehmen damit aber auch weiterhin Windows 7 deployed und mit Bitlocker die Festplatten verschlüsselt taucht folgende Fehlermeldung nach der Installation des Betriebssystems auf:

FILE: \WINDOWS\system32\winload.exe

Status: 0xc210000

Info: The action could not be completed because the Bitlocker Drive Encryption key required to unlock the volume could not be obtained.

Hört sich erstmal ganz schlimm an, ist es aber nicht. Zum Hintergrund muss man verstehen, dass die Bitlocker Verschlüsselungsroutinen sich mit Windows 10 ändern. Die neue Verschlüsselungsroutine XTS-AES kann nicht von Windows 7 gelesen werden und daher kommt es zu dieser Fehlermeldung.

Das betroffene Bootimage ist das was beim Upgrade von v1511 auf die nächste Version aktualisiert wird.

Um das Deployment zu reparieren muss die Tasksequenz angepackt werden.
Hier müssen vor dem Step Pre-Provision Bitlocker drei Registrykeys gesetzt werden:

reg add HKLM\SOFTWARE\Policies\Microsoft\FVE /t REG_DWORD /v EncryptionMethodWithXtsFdv /d 3 /f
reg add HKLM\SOFTWARE\Policies\Microsoft\FVE /t REG_DWORD /v EncryptionMethodWithXtsOs /d 3 /f
reg add HKLM\SOFTWARE\Policies\Microsoft\FVE /t REG_DWORD /v EncryptionMethodWithXtsRdv /d 3 /f

Damit bringt man dem Bootimage bei, dass AES-CBC 128bit benutzt werden soll das von Windows 7 verstanden wird.

Die Keys müssen gesetzt werden bevor Bitlocker Pre-Provisioning passiert:

Die Schritte in der Tasksequenz sind vom Typ General -> Run Command Line :

Die Values stehen dabei für folgende Verschlüsselungsroutinen:
3 = AES-CBC 128-bit
4 = AES-CBC 256-bit
6 = XTS-AES 128-bit
7 = XTS-AES 256-bit

Killswitch domains im DNS einrichten

Es gibt zwei Killswitch Domains die die Verschlüsselungsfunktion von den derzeit bekannten Varianten von WannaCry unterbinden.

Einfach diese im DNS anlegen und auf einen Webserver zeigen lassen:
Killswitch Domains

Killswitch DNS entries

Solange auf einen GET eine Antwort mit 200 OK kommt passt alles.

Wenn man dann noch den Traffic auf diesem Webserver mitloggt, hat man einen Indikator für befallene Systeme.

Liste aller XP und Server 2003 Computer im AD

Um in Erfahrung zu bringen an welchen Fronten man verwundbar ist, sollte man sich eine Liste aller Computer mit XP und Server 2003 aus dem AD exportieren.

Glücklicherweise ist Powershell unser Freund:

Import-Module ActiveDirectory
Get-ADComputer -Filter {OperatingSystem -like 'Windows Server*2003*'} -Property * | ft Name,OperatingSystem,OperatingSystemServicePack

Das gibt uns alle Server 2003 Computer.

Gleiches lässt sich für XP mit folgender Zeile abfragen:

Get-ADComputer -Filter {OperatingSystem -like 'Windows *XP*'} -Property * | ft Name,OperatingSystem,OperatingSystemServicePack

SMB1 deaktivieren

Servus miteinand,

ich habe meinen Blog lange Zeit zu Gunsten meines Twitter Accounts vernachlässigt. Aber manche Dinge lassen sich eben nicht in 140 Zeichen darstellen.

Nachdem ich ja schon seit Freitag abend vor WannaCry warne und mittlerweile auch die Medien großflächig darüber berichten, brauche ich nichts mehr großes dazu sagen.

Stattdessen will ich ein paar kurze Blogposts zur Prävention und Bekämpfung loswerden.

Der definitive Infektionsvektor ist ja bislang noch nicht 100%ig bekannt, auch wenn die Mehrheit von E-Mail ausgeht.

Was aber bekannt ist, ist der Spreadvektor. Die Ransomware verbreitet sich über SMB v1.

Erste Tätigkeit heute morgen ist es SMB1 zu deaktivieren, vor allem wenn man Systeme hat die nicht gepatcht werden können!

Beispielsweise ein MRT auf dem ein Embedded XP läuft und das nur vom Hersteller gepatcht werden kann. Für das Gerät selbst können wir nichts tun. Aber wir können zumindest verhindert dass außenherum möglichst alles immun ist. Das ist quasi wie Impfen. Je mehr Leute um einen herum geimpft sind umso niedriger ist die Wahrscheinlichkeit, dass man es selbst abbekommt.

Noch besser wäre natürlich Netzwerksegementierung mit entsprechenden Firewalls auf denen Port 445 (SMB) gesperrt ist, aber meist geben die Budgets das ja leider nicht her.

Auf jeder Windows Machine lässt sich SMB1 mit den nachfolgenden beiden Kommandos abschalten:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

PC neustarten und schon ist SMB1 Vergangenheit

Und heute wäre ein guter Tag um dem Management nahe zu bringen, dass Security Updates nicht einfach nur Maintenance sind. Maintenance wird nämlich auch gerne mal verschoben, weil keine Zeit, kein Budget, keine Prio etc.

Security Updates sollten mandatory sein, wie tanken. Mit leerem Tank kommt man auch nirgendwo hin.

An attempt to login using SQL authentication failed

Bei einem Kunden musste ich vor einiger Zeit eine Software installieren, die nur mit einem SQL User eine Verbindung zu einer MS SQL Datenbank herstellen kann.  Dabei gab es verschiedene Probleme überhaupt physikalisch eine Verbindung herzustellen dank diverser Firewalls.

Als ich dann endlich eine Verbindung bekam, meldete die Applikation, dass das Logon am SQL Server fehlschlägt.

Also SSMS aufgemacht und das Logfile angeschaut und siehe da:
Login failed for user ’sqluser‘. Reason: An attempt to login using SQL authentication failed.
Server is configured for Windows authentication only.

Das bedeutet, dass bei der Installation vom SQL Server statt der Mixed Authentication die reine Windows Authentication ausgewählt wurde. Um das zu korrigieren geht man im SSMS auf die Server Properties. Dort kann man im Tab Security von reiner Windows Authentication auf die Mixed Authentication umstellen:
sql server properties

Anschließend muss die entsprechende SQL Instanz neugestartet werden und das Problem ist gelöst.

Grundsätzlich ist es eine gute Idee bei der Installation von SQL Server immer die mixed authentication auszuwählen. Den mitgelieferten sa Account disabled man einfach solange man ihn nicht braucht.

Windows Server 2012R2 Fileserver – Kein Zugriff auf Shares möglich

In einer Umgebung mit vielen Fileservern bin ich bei einem speziellen Fileserver über ein Problem gestolpert: In unregelmässigen Abständen konnte man von Windows 7 Clients nicht mehr auf die Fileshares eines Windows Server 2012R2 Servers zugreifen.

Gemappte Laufwerke funktionierten nicht mehr und auch der direkte Zugriff auf den UNC Pfad funktionierte weder über den Namen, noch über die IP Adresse.
Ein Restart des Serverdienstes auf dem Server blieb beim Stoppen des Dienstes hängen.
Nur ein Neustart des Servers hilft. Danach funktionierte der Zugriff wieder einwandfrei.

Mir fiel dann auf, dass der Zugriff über Server 2003 und von XP aus immer noch funktionierte wenn das Problem auftrat.
Das engte die mögliche Ursache auf ein Problem mit SMB2 ein. Tatsächlich konnte ich einen Thread finden, in dem viele User im Technet ein gleich geartetes Problem beschreiben:

Technet Forum Link

In meinem Fall funktionierte die Umstellung des Filesystemdriver Dienstes von Manuell auf Autostart. Dieser Dienst ist nicht in der Services MMC zu finden. Stattdessen muss man die Kommandozeile öffnen und das sc Kommando verwenden.

sc qc srv2 zeigt die Eigenschaften des Dienstes an:
Service Information

Wie man bei START_TYPE sieht steht der Dienst auf Manuell. Damit wird er erst gestartet, wenn benötigt. Und das scheint auszubleiben auf den Servern auf denen das Problem auftritt.

Mit sc config srv2 start=auto konfiguriert man den Dienst um:
reconfigure service

Wenn man sich jetzt die Eigenschaften noch mal anschaut, sieht man dass der Dienst auf Autostart steht:
new service configuration

Anschließend muss der Server noch rebooted werden.

Seit dieser Änderung ist das Problem nicht wieder aufgetreten.

KB3033929 verursacht eine Rebootschleife bei Windows 7

Eines der Updates vom vergangenen Dienstag führt bei einigen Windows 7 Client zu einer Rebootschleife. Dabei versucht das Betriebssystem die Änderungen durch den Patch rückgängig zu machen und das scheint nicht von Erfolg gekrönt zu werden.

Der Patch wird zwar als important security update geführt, scheint aber lediglich Codesignaturen zu aktualisieren. Zum jetzigen Zeitpunkt sollte man also von der Installation des Patches eher Abstand nehmen.

Microsoft wird die kommenden Tage sicher entweder einen Hotfix bereitstellen und/oder den Patch neu releasen.

TechEd Europe 2014

Wer wie ich dieses Jahr keine Zeit hatte nach Barcelona zur TechEd zu fliegen, muss trotzdem nicht auf die richtig coolen Inhalte verzichten. Channel9 im MSDN hält die meisten Sessions als Videodownload und/oder Stream bereit.

Die Videos der TechEd Europe 2014 findet ihr hier:
http://channel9.msdn.com/Events/TechEd/Europe/2014

Hervor zu heben sind insbesondere die Vorträge von Paula wenn es um das Thema Sicherheit geht:
TWC | CSI: Windows – Techniques for Finding the Cause of Unexpected System Takeovers
TWC | Hacker’s Perspective on Your Windows Infrastructure: Mandatory Check List
TWC | The Ultimate Hardening Guide: What to Do to Make Hackers Pick Someone Else
How Would You Hack a Company’s Mobile Device?

Steve Goodman hat einen sehr coolen Vortrag zum Thema Exchange und Office365 Verwaltung mit Powershell:
Black Belt Exchange and Office 365 PowerShell

Zum Thema System Center noch ein paar interessante Vorträge:
Top 10 Best Practices for Operating System Deployment with System Center Configuration Manager 2012 R2
Building Highly Effective Dashboards in System Center 2012 R2 Operations Manager
Infrastructure Deployment for Mobile Device Management with System Center Configuration Manager and Intune

Für alle, die auf Neuigkeiten schielen. Es gibt auch diverse Vorträge zum Thema Windows 10. Ich habe noch keinen davon gesehen, kann mir aber aufgrund der angekündigten  Features einiges an interessanten Neuerungen vorstellen die besprochen werden.

Viel Spaß damit.

Update Rollup 4 für System Center 2012R2

Microsoft hat das Update Rollup 4 für die System Center 2012 R2 Familie veröffentlicht.

Dem UR4 für DPM 2012R2 hat ich einen separaten Blogeintrag gewidmet unter:
http://www.dpmpro.de/update-rollup-4-fuer-dpm-2012r2/

Wer in SCSM Probleme damit hat, dass seine Konsole abschmiert wenn man Knowledge Einträge bearbeitet und diese mit Apply speichern will, der sollte unbedingt das UR4 installieren. Dieser Bug ist damit gelöst.

UR4 ist via WSUS verfügbar oder als direkter Download bei den entsprechenden KB Artikeln für die jeweiligen Komponenten von System Center:
http://support.microsoft.com/kb/2992012

Zeitgleich ist übrigens das Update Rollup 8 für die Nutzer von 2012 SP1 erschienen:
http://support.microsoft.com/kb/2991990

McAfee und Windows Server 2012R2 Deduplication

Es gibt ein bekanntes Problem bei der Zusammenarbeit von McAfee VirusScan Enterprise (VSE) 8.8 und höher mit der Datendeduplizierung von Windows Server 2012R2.

XP Clients die auf File Shares zugreifen, die auf einem deduplizierten Windows Server 2012R2 Volume liegen laufen in Fehlermeldungen. Die häufigste Meldung dabei lautet:

The Request is not supported.

Ich habe diesen Fehler gesehen bei PDFs, Worddateien, Exceldateien und auch bei Executables. Der genaue Wortlaut variiert dabei leicht.

Ursache für dieses Problem ist ein Registry Eintrag der von der Installation von McAfee VirusScan Enterprise gesetzt wird. Eine Deinstallation von McAfee entfernt diesen Registry Key nicht!

Man muss ihn daher selbst deaktivieren.

Dabei muss man den Key enableecp unter HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ auf 0x0 setzen. Anschließend ist ein Reboot des Servers oder ein Restart des Server Service notwendig mit Hilfe von NET STOP SERVER && NET START SERVER.

Danach ist der Fehler weg.

Es gibt einen KB Artikel von Microsoft dazu und auch von McAfee:

http://support.microsoft.com/kb/2817216

https://kc.mcafee.com/corporate/index?page=content&id=KB77623