Einfache Administration durch WMI-Filter

mx_microsoft_border Wenn man Gruppenrichtlinien zuweist, kann man diese bestimmten Organisationseinheiten (OUs) oder Sites zuweisen.

Doch manche Gruppenrichtlinien sollen nur für ein bestimmtes Betriebssystem angewandt werden. Client-Versionen unterscheiden sich manchmal und es müssen unterschiedliche Einstellungen konfiguriert werden.

Wie kann man diese Herausforderung lösen, ohne OUs für jeden Systemtyp anzulegen?

Erfahren Sie in diesem Artikel, wie Sie sich die Administration mit WMI-Filtern vereinfachen. (more…)

Netzwerk-Basisordner per GPO? Auch offline schnell genug!

mx_microsoft_border

Werden mehrere Netzlaufwerke per Group Policy verbunden, funktioniert alles gut, solange der Laptop im Netzwerk mit dem Fileserver verbunden ist.

Doch sobald der Laptop keine Netzwerk-Verbindung herstellen kann, wird das Hochfahren zu einer Qual:
Der Laptop wartet, ob nicht doch eine Netzwerkverbindung aufgebaut werden kann und verzögert so die Zeit, bis sich der Benutzer anmelden kann.

Sofern nichts anderes konfiguriert wurde, beträgt die Standardeinstellung für die Wartezeit für die Richtlinienverarbeitung beim Systemstart 30 Sekunden – viel zu lange, wenn der Benutzer gerade beim Kunden ist und sein System startet. Verfügt der Benutzer ein servergespeichertes Benutzerprofil, verlängert sich die Wartezeit um weitere 30 Sekunden (sofern die Standardeinstellung nicht verändert wurde).

Die Standardwerte sollten NICHT verändert werden, um dieses Problem zu lösen, da die Änderung der Werte Einfluss auf andere Gruppenrichtlinien haben kann. Beispielsweise wird durch das Heruntersetzen der Wartezeit für die Richtlinienverarbeitung beim Systemstart die Verteilung von Software über Gruppenrichtlinien unmöglich.

Wie man den Basisordner performant per Gruppenrichtlinie einbindet, erfahren Sie in diesem Artikel. (more…)

Exchange: Hide Disabled Users from the Global Address List (GAL)

When a user leaves the company, often the Exchange mail account is deleted and the user account gets disabled .

In this way, the former employee can not access corporate data, but he still appears in the Global Address List (GAL) for internal staff. He can still be selected in the address book and is also still visible in the team calendar.

The reason for this lies in the fact that the account is still in the Active Directory and in the attribute msExchHideFromAddressLists, which contains no value. If this attribute is set to TRUE, the user disappears from the Global Address List and from certain calendar groups.

To ease the work with disabled users, you can use the following PowerShell CMDlets. (more…)

Did you notice..?

mx_offtopic_border Those who visited my blog recently may have already remarked that my blog is changing. I created a totally new layout and I also structured my topics to write about…

Wanna know what has been changed?

(more…)

Exchange: Deaktivierte User aus der Global Address List (GAL) ausblenden

mx_microsoft_border Verlässt ein Benutzer das Unternehmen, so wird oft das Exchange-Mailkonto gelöscht und der Benutzeraccount gesperrt.

Dadurch kann der ehemalige Benutzer zwar nicht mehr auf Firmendaten zugreifen, in der Global Address List (GAL) wird er dennoch für interne Mitarbeiter angezeigt. Er kann weiterhin im Adressbuch ausgewählt werden und ist im Teamkalender sichtbar.

Das liegt daran, dass der Account noch vorhanden ist und das Attribut msExchHideFromAddressLists keinen Wert enthält.
Wird das Attribut auf TRUE gesetzt, wird der Benutzer weder in der Global Address List noch in Kalendergruppen angezeigt.

Um die Arbeit mit deaktivierten Usern zu vereinfachen, eignen sich die hier beschriebenen PowerShell CMDlets. (more…)

0x02 Video Tutorial: Buffer Overflow – Exploiting the Heap

mx_security_border

Wenn es um Buffer Overflow geht, reden die meisten Leuten von einem Überlauf im Stack Segment. Aber was ist mit dem Heap – dem Speicher, in dem dynamische Variablen zur Laufzeit eines Programms abgelegt werden?

In meinem ersten Video habe ich über Buffer Overflow im Stack Speicher gesprochen. Dabei habe ich gezeigt, wie die Datenstruktur aufgebaut ist und wie Variablen dort verarbeitet werden. Ich erkläre auf einfache Art und Weise, wie es zum einem Überlauf kommt und wie dieser ausgenutzt werden kann.

Über Stack Overflow findet man recht viele Informationen im Netz – allerdings fast nichts zu Heap Overflow. Wodurch wird diese Lücke verursacht und wie kann sie exploited werden?

Buffer Overflow ist die Folge einer Schwachstelle in Computer Software: Indem über Speichergrenzen heraus geschrieben wird, wird dieser Exploit von Angreifern benutzt, um das verwundbare Programm zum Absturz zu bringen. Und sogar Schadcode – der sogenannte Payload – kann hierdurch in das betroffene System eingefügt und ausgeführt werden.

In diesem Video Tutorial erkläre ich zunächst die Struktur des Heap- und des Stack-Segments und wie diese sich unterscheiden. Anschließend exploite ich mein eigenes Demo-Programm und erkläre, was zur Laufzeit des Programms im Speicher passiert.

Erfahren Sie in meinem Video, warum Usereingaben abgesichert werden müssen und wie ein potentieller Hacker diese Schwachstelle ausnutzen kann.

(more…)

0x01 Video Tutorial: Buffer Overflow im Stack Segment

Im Stack Segment werden lokale Funktionsvariablen abgelegt, welche zum Beispiel durch User-Eingaben gefüllt werden. Die Architektur des Stacks erlaubt es Angreifern, wichtige Adressen zu überschreiben. Wird die User-Eingabe nicht vom Programm abgefangen und überprüft, kann das Programm beeinflusst werden, so dass Fremdcode eingefügt werden kann.

In diesem Video Tutorial reverse engineere ich meinen Demo Code mit dem Programm Immunity Debugger und zeige, wie das Programm verarbeitet wird:
Wie werden Variablen im Stack verarbeitet und wie reagiert das Programm zur Laufzeit? (more…)

Registry Hacking against sysprep errors

NOTE: This article is meant for system administrators only. DO NOT CHANGE YOUR REGISTRY if you administer your PRIVATE PC!

If you want to create images and execute Sysprep, sometimes it can happen that the following error message is displayed when the computer was restarted:

The computer restarted unexpectedly or encountered an unexpected error. Windows installation can not proceed. To install windows click "OK" to restart the computer, and then restart the installation.

After restarting the computer an error message appears every time you restart the system, that prevents Windows from starting properly. But you’ve already prepared the system for the image creation so you don’t want to reinstall the system.

In this article I will show you how to save your image, without reinstalling the system. (more…)

Hacking Video Tutorial: Exploiting the Heap

When it comes to buffer overflow, most people talk about an overrun in the stack segment. But what about the heap?
You rarely find documentation how a heap overflow is triggered and how you can exploit it.

Buffer Overflow is the consequence of a vulnerability in computer software. It is used by attackers to overwrite memory bounds, to crash the code and even to inject malicious code – the so called payload.

(more…)

Ransomware – Decryption Keys released!

Ransomware causes many sleepless nights to companies world-wide, but now decryption codes have risen on the internet to put an end to the nightmare of many versions of malware.

I’ll show you where to find the keys to decrypt your data!

(more…)