spring4shell : vulnerability scanner

Nach log4j kommt spring4shell , langsam nervt das ;(

Ein Kollege hat hier einen vulnerability scanner geschrieben um verdächtige Klassen auf einem System zu finden. z.G. ist das Tool in GO geschrieben und kann für jede Plattform kompiliert werden. Nachdem ich das jetzt bereits ausgiebig im Einsatz habe, kann ich sagen, das macht das Leben leichter.
https://github.com/hillu/local-spring-vuln-scanner

Server 2003 R2: Aufgaben auf ehemaligen DC laufen nicht mehr - 0x8007000d: Die Daten sind ungültig

Problem:
Auch wenn der Server 2003R2 schon extrem angestaubt ist, hat man manchmal doch noch damit zu tun. Ich hatte einen 2003R2 Domain Controller, den ich gegen ein aktuelles System getauscht habe aber vorerst als Memberserver weitergetrieben musste. Auf dem 2003R2 Server liefen einige geplante Aufgaben. Nachdem ich den Server die Domain Controller Rolle entfernt hatte, liefen alle Aufgaben auf den Fehler "0x8007000d: Die Daten sind ungültig". Beim manuellen Starten der Aufgabe habe ich folgenden Fehler erhalten:

Fehler beim Initialisieren der Seite "Allgemein".
Der genaue Fehler ist: 0x8007000d: die Daten sind ungültig.
Abrufen der Taskkontoinformationen ist ein Fehler aufgetreten. Sie können weiterhin das Task-Objekt bearbeiten, aber nicht ändern.


Lösung:
Das Problem scheint wirklich durch das Herunterstufen des DCs zukommen. Es gibt einige Lösungsansätze im Internet, aber folgender Workaround hat bei mir geholfen:

- Öffnen Sie den Pfad "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA"
- Dort finden Sie einen Ordner "S-1-5-18"
- Ich habe mal eine Sicherheitskopie des Ordners angelegt
- Dann löschen Sie die Dateien in diesem Ordner, aber nicht den Ordner selbst
- Starten Sie den Taskplaner-Dienst neu
- Danach öffnen Sie die Eigenschaften der Aufgaben und geben die Anmeldedaten im Task erneut ein
- Danach laufen die Aufgaben wieder ohne Probleme

Fehlermeldung: "Cannot initialize the snap-in" bzw. "Snap-In konnte nicht initialisiert werden" beim Öffnen einer MMC

Problem:
Ich hatte plötzlich das Problem, dass ich meine Exchange-Konsole nicht mehr öffnen konnte. Beim Öffnen kam die Fehlermeldung: "Snap-In konnte nicht initialisiert werden". Ein Neustart des Servers hat das Problem nicht behoben!

Lösung:
Das Problem konnte ich nach etwas Suche einfach lösen. Die MMC scheint Daten zu cachen und wenn es hier Probleme gibt, dann erhält man diesen Fehler. Man kann diese gecachten Daten einfach wie folgt löschen:

1.) Navigieren Sie zu folgendem Ordner:
bis Windows XP/ Server 2003:
C:\Documents and Settings\\Application Data\Microsoft\MMC\

ab Windows 7 / Server 2008:
?:\Users\\AppData\Roaming\Microsoft\MMC\

2.) Hier finden Sie Dateien, die wie Ihr Snap-In benannt sind. Diese Datei einfach löschen

3.) Danach lässt sich die MMC oder das Snap-In wieder problemlos öffnen.

Quelle:
Kaspersky: Cannot initialize the snap-in error in the MMC console

Windows - Besitz / Berechtigung setzen in der cmd

Problem : Man möchte den Besitz eines Ordners und dessen Unterordners übernehmen oder Berechtigungen setzen. In meinem Fall hatte sich ein Mitarbeiter aus seiner eigenen Backup Platte ausgesperrt.

Lösung :
Den Besitz übernehmen kann man mit dem kleinen Tool takeown.exe hier ein Beispiel für die externe HDD die bei mir als Z:\ gemountet wurde.

Der hier vorgeschlagene Weg wurde mit Windows 10 ausgeführt es kann sein das einige der Parameter bei anderen Programmversionen nicht zur Verfügung stehen.

takeown.exe /F Z:\ /R /A /SKIPSL

Dieser Aufruf bewirkt das der Besitzer des Laufwerkes Z:\ auf die Gruppe Administratoren (/A) geändert wird. Der Parameter /SKIPSL bewirkt das keiner symbolischen Verknüpfung gefolgt wird. Das /R steht für rekursiv, d.h. alle Dateien und Unterordner bekommen den selben Besitzer. /F definiert eine Datei oder einen Ordner. Sollte der Parameter /A weggelassen werden wird der aktuell angemeldete Benutzer als Besitzer gesetzt.

Die Berechtigung kann man schön mit dem Tool icacls.exe ändern. Hier wieder das Beispiel mit der externen HDD die auf Z:\ gemountet ist.

icacls.exe Z:\* /grant Jeder:(OI)(CI)(F) /L

Dieser Aufruf schlüsselt sich so auf. icacls.exe ist das Programm Z:\* bedeutet das die Berechtigung auf das Laufwerk Z:\ und alles Dateien & Unterordner geändert wird. /grant setzt die Berechtigung. Jeder:(OI)(CI)(F) das ist die Gruppe Jeder mit den Einstellungen (OI)=Objektvererbung (CI)=Containervererbung (F)=Vollzugriff. Der Parameter /L bewirkt das die Berechtigung auf den symbolischen Link geändert wird nicht aber auf das Ziel des symbolischen Links.

ICACLS Parameter : https://technet.microsoft.com/de-de/library/cc753525(v=ws.10).aspx
TAKEOWN Parameter : https://technet.microsoft.com/de-de/library/cc753024(v=ws.10).aspx

Server 2003: Windows Remote Management Dienst startet nicht mehr (WinRM)

Problem:
Der Windows Remote Management Dienst starte nicht mehr. Versucht man Ihn manuell zu starten, wird er sofort wieder beendet.
Ein Blick ins Ereignisprotokoll zeigt den Fehler 1300 für WinRM:


Lösung:
Nach kurzer Suche im Netz habe ich auch gleich eine Lösung gefunden. Damit der Dienst starten kann benötigt der Dienst-Benutzer das Recht zum "Generieren von Sicherheitsüberwachungen". Ich wollte dies mittels "secpol.msc" anpassen auf dem Server, aber da war das Hinzufügen ausgegraut. Nach kurzer Suche, war mir klar warum...es handelt sich hierbei um einen Domänencontroller und somit war die Änderung dieser Einstellung nur über die "Default Domain Controller Domain Controllers Policy" möglich. Hier habe ich folgendes angepasst:

- Navigieren zu "Richtlinie" -> "Windows-Einstellungen" -> "Sicherheitsrichtlinien" -> "Zuweisen von Benutzerrechten" -> "Generieren von Sicherheitsüberwachungen"

- Hier den zusätzlichen Benutzer eintragen (bei mir der Netzwerkdienst)

- Policy schließen und "gpupdate" auf dem DC ausführen

- WinRM-Dienst starten -> Fertig!

HINWEIS: Bei Member-Servern (Nicht-DCs), kann die Änderung auch über "Secpol.msc" durchgeführt werden.

Quelle zur Lösungsfindung:
XenDesktop 5.6 – The WinRM service is unable to start.
“Das einzig sichere System müsste ausgeschaltet, in einem versiegelten und von Stahlbeton ummantelten Raum und von bewaffneten Schutztruppen umstellt sein.”
Gene Spafford (Sicherheitsexperte)