TechEd Europe 2009: Tag 1

Hallo zusammen, Fabian schreibt. Diesmal mit einem etwas anderen Thema – nämlich einer Zusammenfassung meiner Sessions auf der TechEd Europe 2009 in Berlin. So wird in den nächsten Tagen jeweils ein Blog pro Tag entstehen, der einen groben Überblick über einige Themen gibt.

Da das ganze natürlich nur limitiert möglich ist, folgender Disclaimer:

• Pro “Zeiteinheit” (also etwa von 09:00 Uhr bis 10:15 Uhr) werden auf der TechEd ca. 15 verschiedene Sessions diverser Themengebiete angeboten. Da eine Person gleichzeitig nur an einer Session teilnehmen kann, kann der Ausschnitt auch nur diese besuchte Session widerspiegeln (und damit nur einen kleinen Ausschnitt aus dem Gesamtangebot).
• Die aufgeführten Themen sind weiterhin nur ein kleiner Ausschnitt aus dem, was in den Sessions angesprochen wurde. So kann man hier keine 75 Minuten auf wenige Zeilen zusammenfassen – und das soll auch nicht der Anspruch sein. Vielmehr geht es darum einen kleinen thematischen Überblick zu vermitteln für all diejenigen, die entweder nicht auf der TechEd sein konnten oder aber noch nie da waren.
• Da die Stichpunkte wie angesprochen nur einen kleinen Ausschnitt darstellen, beleuchten sie die jeweiligen Themengebiete natürlich auch nicht vollständig. Daher werden einige Links angefügt, die man bei Interesse durchforsten kann, um mehr Informationen dazu zu erhalten.
• Die angesprochenen Punkte werden “wertungsfrei” wiedergegeben – Sinn soll es sein, den Tenor des Vortragenden beizubehalten und keine fachliche Anpassung vorzunehmen bzw. die Themen zu verändern.
• Solltet Ihr für die verbleibenden 3 Tage Hinweise oder gewünschte Informationen haben – nutzt die Kommentarfunktion. Natürlich ist dieses Angebot sehr beschränkt – ich werde mich kaum in eine SQL-Developer Session setzen (zumal die Zusammenfassung dann sicher auch keinen Sinn machen würde ;-) …) – aber vielleicht gibt es ja das ein oder andere, was Ihr Euch für die “Berichte” wünscht. Wenn es sich einrichten läßt, dann wird es eingebaut.
• Es wird etwas “Verzögerung” geben, der Blog des jeweiligen Tages wird nicht am Tag der Sessions veröffentlicht werden. Schließlich möchte ich auch etwas von den Sessions mitbekommen bzw. ein wenig in der Nacht schlafen und nicht nur bloggen. ;-)

Also, soweit die einleitenden Worte, nun soll es mit Tag 1 (Montag, 09.11.2009) losgehen…

Session 1

Geplant stand bei mir die Session “Virtualisation 360: Microsoft Virtualisation Strategy, Products, and   Solutions for the New Economy” auf dem Programm, Beginn 09:00 Uhr. Leider hatte ich die Rechnung ohne die Berliner S-Bahn gemacht (die Züge sind immer noch brechend voll und Züge fallen regelmäßig aus oder kommen zu spät) und kam daher erst ca. 08:30 Uhr an.

Scheinbar kamen geschätzte 5.000 der insgesamt ca. 7.100 Teilnehmer ebenfalls genau um diese Uhrzeit an, so daß die Vorhalle des ICC einem “Menschenmeer” glich, die sich alle gleichzeitig registrieren wollten:

Zum Glück konnte man als “Staff” einen gesonderten Check-In Schalter nutzen, der das ganze Prozedere in 15 Minuten erledigte. Nur leider war danach die o.g. Session schon komplett bis auf den letzten Platz ausgebucht, so daß ich wieder abzog, zu einem kurzen Frühstück und “Hallo” bei Kollegen. Sicher wäre eine andere Session der 14 verbliebenen auch noch interessant gewesen, aber der Tee und das Croissant war auch in Ordnung. ;-)

Useful Hacker Techniques: Which Part of Hackers' Knowledge Will Help You in Efficient IT Administration?

Nun ging es zur ersten Session, vorgetragen von Paulina Januszkiewicz:

Kern des Vortrags war, daß man die Techniken von “Hackern” kennen sollte – oder besser gesagt selbst “hacken” muß, um potentielle Sicherheitslücken zu identifizieren. Dabei wurde direkt mit dem "Vorurteil “Hacker = böser Mensch” aufgeräumt, denn im Grunde ist ein Hacker jemand, der uns an unsere Pflichten zur Sicherung unserer Systemlandschaften erinnert und nicht unbedingt auch schlechtes im Schilde führen muß (Black Hat vs. White Hat). Durch Penetrationstests wird die eigene Umgebung ggf. sicherer als auch Produkte verbessert.

Jede Information ist bei einem solchen Selbsttest wertvoll – denn unter Umständen hat man Systeme gar nicht auf dem Schirm, die man betreuen sollte (etwa weil man neu in der Firma ist oder aber weil andere Abteilungen mit der Systembetreuung eigenständig sind etc.). Ein simples

C:\> nslookup
> set type=all
> domain.tld

abgesetzt auf die eigene Domäne kann hier schon eine Menge Informationen ausgeben – auch welche, mit denen man nicht gerechnet hätte. So wurde live ein Beispiel eines Blumenlieferanten vorgeführt, der schlichtweg durch falsche DNS-Serverkonfiguration (Stichwort Zonentransfer) die gesamte interne DNS-Landschaft inkl. 192.168.x.x Adressen freigegeben hatte. Folgt dann ein

> ls –d domain.tld

lassen sich all diese Informationen auslesen.

Ein Blick auf die “Database Search” von https://ripe.net/ kann hier ebenfalls wertvolle Informationen über sein eigenes Unternehmen und dessen IP-Adressblöcke und Systeme liefern. Danach kann man prüfen, wie weit man in seine IT-Systeme / Netzwerke mit diesen Informationen eintauchen kann. NMAP und Konsorten können hier mit wenig Aufwand schon einen Überblick vermitteln, welche Dienste erreichbar sind etc.

Recht “gruselig” war die Demonstration, wie viele Drucker nach außen hin (etwa per HTTP oder IPP / Internet Printing Protocol) erreichbar sind. Daß man nun “schlechte Scherze” mit diesen Druckern machen kann (etwa direkt drucken), ist dabei das geringste Problem. Man denke nur daran, daß in den Web-Oberflächen streckenweise auch Informationen zu Dokumentennamen etc. sichtbar sind. Autsch! Also – hier sollte man seine Umgebung prüfen, bevor es ein Angreifer tut.

Ist der “offline Zugriff” auf ein System möglich, wird es haarig – hier können Passwortcracker etc. angesetzt werden, sicherheitsrelevante Dienste mit Boardmitteln (etwa WinPE) deaktiviert werden usw. Das ist nichts neues, jedoch kann es einmal mehr als Aufforderung gesehen werden, den offline Zugriff auf Systeme zu verhindern, etwa mittels Festplattenverschlüsselung.

In diesem Zusammenhang ist indirekt auch wichtig, nicht nur den Datenspeicher zu sichern, sondern auch den Datentransfer. Was nützt die Verschlüsselung von Daten / Dateien auf der Festplatte, wenn die Daten dann per E-Mail oder USB-Stick unverschlüsselt transportiert werden. “Sicherheit” ist eben keine Einzelmaßnahme, sondern eine Sammlung von vielen Maßnahmen und ein langwieriger, niemals stillstehender Prozess.

Ein “Hacker” kann unter anderem versuchen, ein durch einen Hotfix adressiertes Problem “rückwärts” auf eine Komponente herunterzubrechen, um etwa Sicherheitslücken auszunutzen. Dazu nutzt er dabei auch Boardmittel, wie etwa “expand.exe”, um Hotfixes zu entpacken und die Inhalte (etwa Manifest Dateien) auszulesen. Warum ist das für einen Administrator ebenfalls wichtig? Ganz klar - er kann zum Beispiel prüfen, welche Registrierungsschlüssel und Dateien bei der Installation bearbeitet werden, um so zu prüfen, ob die Hotfixes korrekt installiert wurden, ob Manipulationen in seiner Umgebung durchgeführt wurden o.ä.

Eigene Tests kann man problemlos per Script realisieren – Perl oder PowerShell sind hier beispielsweise eine gute Wahl. So läßt sich etwa zyklisch prüfen, ob Dienste außerhalb des %SYSTEMROOT%\Windows Verzeichnisses installiert wurden – denn dort kann eine nicht so restriktive ACL eingesetzt sein. Das passiert in der Praxis gerade bei Eigenentwicklungen leider viel zu oft. Es sollte ein Toolset und eine Scriptsammlung bei jedem Admin entstehen, mit dem automatisiert und regelmäßig verschiedene Tests gegen die eigene Umgebung gefahren werden – nur so läßt sich ein Mindestmaß an “Sicherheit” erreichen.

What's Windows Server 2008 R2 Going to Do for Your Active Directory?

Sprecher war John Craddock:

Die Session war vollständig “ausgebucht” – ca. 700 Teilnehmer waren in dem Vortrag. Hier zeigt sich einmal mehr, welche zentrale Bedeutung die Active Directory in Unternehmen besitzt.

Im groben ging es bei der Session um die neuen AD Features, als da wären:

• das AD PowerShell Module; hierfür werden die AD Web Services benötigt, die auch auf einem Windows Server 2003 installiert werden können
• das AD Administrative Center, das nun aufgabenorientiert arbeitet; so läßt sich etwa die Suche mit unterschiedlichen Filterkriterien einfacher und übersichtlicher speichern und auswerten / verarbeiten; es sind nicht mehr so viele TABs für unterschiedliche Optionen auf AD-Objekten vorhanden, sondern alles recht übersichtlich in einem Interface zusammengefaßt etc.
  Das Administrative Center basiert übrigens auf der PowerShell – ein Grund mehr also, sich mit der PowerShell zu beschäftigen, diese wird in neuen Microsoft Produkten zunehmend als Basis eingesetzt werden.
• der AD Best Practice Analyzer, der wie schon andere BPAs einige bekannte Probleme oder Fallstricke anzeigt; dieser kann über die GUI oder aber über die PowerShell genutzt werden
• Managed Service Accounts, die über die PowerShell verwaltet werden sollten; da die Managed Service Accounts ein “$” am sAMAccountName angehangen haben, gelten Sie als “Computerkonten”, somit greift auch nicht die normale User Password Policy, sondern die der Computerkonten – hier bestimmt der Client, wann eine Änderung passiert, für Managed Service Accounts bestimmt dies das MSA-Management
  MSA können nur auf Windows 7 oder Windows Server 2008 R2 Maschinen eingesetzt werden, ein Account ist derzeit auf eine Maschine gebunden
• der Offline Domain Join, so daß über unbeaufsichtigte-Installationen und offline als auch online VHDs eine komplette Automatisierung des Deployments auch ohne Domänenverfügbarkeit gewährleistet werden kann
• die Authentication Mechanism Assurance, die es ermöglicht, anhand der Authentifizierungsmethode (etwa Passwort oder Smart Card) zu entscheiden, auf welche Ressource Zugriff gewährt wird; hierzu wird eine "”virtuelle” Universal Group in das Benutzertoken eingefügt, die den Logon Typen kennzeichnet
• der AD Recycle Bin

TechEd Europe Keynote - Welcome to the New Efficiency Keynote

Die Keynote umfaßte eine Menge Punkte, so etwa “cost savings”, Windows 7, Cloud Computing. Zusätzlich gab es eine Exchange 2010 Demo, bei der zugleich die Verfügbarkeit von Exchange 2010 RTM verkündet wurde. Intern bei Microsoft nutzen wir schon seit einiger Zeit Exchange 2010 + Outlook 2010 (seit dem Technical Preview, jetzt beta) und die neuen Features finde ich persönlich wirklich klasse. Beispiele dafür:

• “speech to text” bei Sprachnachrichten
• zentrales Rechtemanagement (etwa das Filtern oder RMS-schützen von E-Mails mit Schlüsselwörtern im Text, die extern versendet werden sollen)
• OWA integriert nun den Communicator und hat einiges an “rich client features” dazu bekommen (übrigens wurden Teile der Demos in Firefox durchgeführt, um die Kompatibilität zu alternativen Browsern aufzuzeigen)
• “live mailbox migration” ohne Unterbrechung der Mailbox-Nutzung
• bessere Übersicht / Benutzeroberfläche am Client, diverse Neuerungen
• “delegated management rights”, etwa das Delegieren der Suche nach gelöschten E-Mails der Kollegen durch einen Abteilungsmitarbeiter
• integrierte E-Mail Archivierung, was eine starke Kostenersparnis bedeuten kann

Weiterhin wurden neue Funktionen des System Center 2007 R2 angekündigt (inkl. Demo), die ebenfalls sehr vielversprechend aussahen (Softwareverteilung nutzt etwa “Brach Cache” und “Direct Access”, auf Basis der Auslastung lassen sich Maschinen in Betrieb nehmen oder herunterfahren, Stichwort Power Efficiency) u.v.m.

Ok, das war es fürs erste – bis später!

Viele Grüße
Fabian