Posted by o.sommer
Der am letzten Patchday erschienene Fix für das Problem bei bestimmten RDP Konfigurationen ist deshalb extrem kritisch, da es sich um eine Lücke handelt deren Voraussetzungen zur Ausnutzung sehr wahrscheinlich der Konfiguration der meisten im Betrieb befindlichen Server entspricht.
Sollte der Server via Port 3389/TCP erreichbar sein und “Authentifizierung auf Netzwerkebene” (network level authentication (NLA)) nicht aktiviert sein, dann lässt sich diese Lücke (bisher theoretisch) ausnutzen.
Dabei ist es nicht unbedingt sicher, wenn der Server nicht über den RDP Port 3389 zum Internet veröffentlicht wurde, sondern nur intern erreichbar ist, da sehr einfach Malware vorstellbar ist, die über einen internen Client Angriffe auf RDP Server durchführt!
Mit diesen Einstellungen ist ein Server potenziell gefährdet:
Ein Ausschluss der Gefahr ist (zumindest für Versionen ab 2008) denkbar einfach und sollte zusätzlich zum Patch konfiguriert werden:
ACHTUNG:
Damit werden Windows Versionen XP/2003 oder älter vom RDP Zugriff auf diesen Server ausgeschlossen, aber das ist zumindest bei den meisten unserer Kunden kein Problem mehr, da XP Rechner idR nicht mehr in relevanter Anzahl vorhanden sind, und wenn dann keinen RDP Zugriff benötigen.
Unter SBS kann eine vorhandene Gruppenrichtlinie angepasst werden, um die notwendigen Einstellungen für alle SBS Client Computer zentral durchzuführen:
Pfad für Einstellungen:
Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Sicherheit
Der Wert ist auf “Aktiviert” zu setzen um die Sicherheitslücke auszuschließen.
Sicherheitsupdate für Windows Server 2008 x64 Edition (KB2647170)
Updatetyp: Wichtig
Es wurde eine Sicherheitslücke entdeckt, durch die ein nicht authentifizierter Remoteangreifer verursachen kann, dass ein System nicht mehr reagiert. Durch die Installation dieses Updates von Microsoft können Sie zum Schutz Ihres Systems beitragen. Nach der Installation dieses Updates müssen Sie das System gegebenenfalls neu starten.
Weitere Informationen:
http://go.microsoft.com/fwlink/?LinkId=235401
Einige Links zum Thema und das Statement von Yunsun Wee:
“Proof-of-Concept Code available for MS12-020 - MSRC - Site Home -
On March 15, we became aware of public proof-of-concept code that
results in denial of service for the issue addressed by MS12-020
We continue to watch the threat landscape and we are not aware of public
proof-of-concept code that results in remote code execution.
We recommend customers deploy MS12-020 as soon as possible, as this
security update protects against attempts to exploit CVE-2012-0002.
Additionally we have offered a one-click Fix It
to help mitigate risk for those customers who need time to test the
update before deploying it.
The details of the proof-of-concept code appear to match the
vulnerability information shared with Microsoft Active Protections
Program (MAPP) partners. Microsoft is actively investigating the
disclosure of these details and will take the necessary actions to
protect customers and ensure that confidential information we share is
protected pursuant to our contracts and program requirements.
Customers who have deployed MS12-020 are protected from attempts to
Consistent with the charter of the MAPP program, we released details
related to the vulnerabilities addressed in MS12-020 to MAPP partners
under a strict Non-Disclosure Agreement in advance of releasing the
security bulletin. Security software partners use this type of
information to build enhanced customer protections that, in many cases,
provide customers with more time to make optimal deployment decisions
for their environments. More information about the MAPP program can be
Director, Trustworthy Computing”
Posted by o.sommer
At www.SBStools.com we provide a SBS addon tool (aka WOL4SBS2008) that allows you to wake up your powered down or sleeping office computers using Small Business Servers remote portal website “Remote Web Workplace” (RWW).
This helps you to become greener and actually save a lot money on energy and will slow down wear of your computers, because now you can shutdown your computers when leaving the office and wake them up remotely if you need them!
Doing the math here on potential energy savings:
One Computer running 24 hours x 365 days equals 8760 hours of runtime per year.
A Computer usually consumes about 50 Watt (0,05 kW) of power in average, which makes that 438 kW per year.
Multiplied by the current cost of energy in Germany of about 20cents per kW that summs up to 87,60 EUR per year.
If you count on 20 work days per month and 8h shifts, then a typical computer would really only need to be on about 1920 hours per year at a cost of 19,20 EUR.
So the potential savings here on energy alone are 87,60-19,20 = 68,40 EUR per computer per year!
So if you are able to shutdown just one computer than after less than two years the tools costs are already returned just by energy savings.
If you can shutdown two or more computers your savings would go up dramatically, for example if you run 5 computers this tool can easily safe you 342 EUR per year, not including additional savings you can achieve for example by been able to turn on power saving profiles so that the computer can go to sleep when not been used for a while even during office hours.
On the technical side we use so called Magicpackets also known as WakeOnLAN (WOL) Broadcasts to trigger the WOL capabilities that almost every integrated and addon networkcard supports.
First you need to get the installation package from our website (SBStools.com):
![image_thumb[1]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B1%5D_thumb.png "image_thumb[1]")
![image_thumb[2]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B2%5D_thumb.png "image_thumb[2]")
Than just open and run the setup.exe file to begin the installation:
![image_thumb[3]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B3%5D_thumb.png "image_thumb[3]")
The setup wizard is quite simple to follow:
![image_thumb[4]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B4%5D_thumb.png "image_thumb[4]")
click next
![image_thumb[5]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B5%5D_thumb.png "image_thumb[5]")
agree to the license terms and click next
![image_thumb[6]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B6%5D_thumb.png "image_thumb[6]")
only change the folder and user settings if really needed
![image_thumb[7]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B7%5D_thumb.png "image_thumb[7]")
That’s basically all you need to do to install the tool to your server, so click next to start copying and setup.
To allow changes to the system you might need to allow these on the “User Account Control” prompt:
![image_thumb[8]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B8%5D_thumb.png "image_thumb[8]")
Install than performs some copying and other setup operations:
![image_thumb[9]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B9%5D_thumb.png "image_thumb[9]")
![image_thumb[10]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B10%5D_thumb.png "image_thumb[10]")
Now to get WOL functions into the RWW you now need to start the configuration tool of WOL4SBS2008
![image_thumb[11]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B11%5D_thumb.png "image_thumb[11]")
![image_thumb[12]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B12%5D_thumb.png "image_thumb[12]")
on first start the config tool automatically asks you to request a free 60 day trial version or to enter your serial (for purchase on SBStools.com):
![image_thumb[13]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B13%5D_thumb.png "image_thumb[13]")
you will be asked for an emailadress. This emailadress wil lonly be used for trial activation and will be verifyed with an email we send to this adress that includes an online actvation link you need to click to activat your trial:
![image_thumb[14]](http://blog.sbsfaq.de/image.axd?picture=image_thumb14_thumb.png "image_thumb[14]")
click “Request/Activate Temporary License” to at first send the email
![image_thumb[15]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B15%5D_thumb.png "image_thumb[15]")
and after you activated the trial by browsing (clicking) the link in the email we send to you
![image_thumb[16]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B16%5D_thumb.png "image_thumb[16]")
After successfull verification you can proceed at the trialcheck of the config tool:
![image_thumb[18]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B18%5D_thumb.png "image_thumb[18]")
If your config tool comes up empty as mine just did, you need to now the path of SBS 2008 RWW which by default is:
C:\Program Files\Windows Small Business Server\Bin\webapp
Also you should enter the SBS 2008 Servers IP into the DHCP Server IP Address field.
![image_thumb[20]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B20%5D_thumb.png "image_thumb[20]")
![image_thumb[21]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B21%5D_thumb.png "image_thumb[21]")
So that fully filled in it should something like this:
![image_thumb[28]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B28%5D_thumb.png "image_thumb[28]")
now clikc on Save Settings and acknowledge the service restart warning (you can stop and start that service on the “resolver service” sheet here:
![image_thumb[23]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B23%5D_thumb.png "image_thumb[23]")
You should also change the setting to actually reflect your actuall IP adress range and turn off diagnose logging as soon as you checked that the wake on LAN technologie works in your setup:
![image_thumb[24]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B24%5D_thumb.png "image_thumb[24]")
Hit “Save Settings” here to apply the changes and than restart the service using the stop and start service button.
Now click ”integrate” on the first page of the config tool to modify the RWW webpages to show the “turn on Computer” and other buttons:
![image_thumb[27]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B27%5D_thumb.png "image_thumb[27]")
![image_thumb[26]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B26%5D_thumb.png "image_thumb[26]")
![image_thumb[29]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B29%5D_thumb.png "image_thumb[29]")
Now when you logon to RWW you get the new WOL features on the “computer list”:
![image_thumb[36]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B36%5D_thumb.png "image_thumb[36]")
The “turn on computer” and “send ping” buttons (here shown in german") are now usable:
![image_thumb[32]](http://blog.sbsfaq.de/image.axd?picture=image_thumb%5B32%5D_thumb.png "image_thumb[32]")
Clicking on “turn on computer” now should return to the RWW homepage and write a green text on the right hand side of the page just below the “view help” text like this:
now the computer should turn on and boot. After how long ever it takes your computer to boot you should be able to than go to the computer list again and connect to the computer. You can check if the computer is already turned on by using the “send ping” button:
which will return a red text if the computer is not available
and a green text if the computer already responds to pings:
Hope this helps and you enjoy your WakeOnLAN enabled SBS 2008 RWW.
As said before: The tool is available for purchase on www.SBSTools.com .
Posted by o.sommer
Auf http://WOL4RWW.de ist auf vielfache Nachfrage nun endlich die erste beta Version von WOL4RWA bzw. WOL4RWW für den Small Business Server 2011 zum kostenfreien Download verfügbar.
Die derzeitige Version beinhaltet noch keine setup Applikation und muss durch Editieren von XML Dateien konfiguriert werden, sollte aber ansonsten voll funktionsfähig sein. Details dazu sind in der Install.txt in der ZIP Datei beschrieben.
Die 2011er Version integriert sich vollständig in den Remote Webarbeitsplatz, der beim SBS 2011 Remotewebzugriff oder auf englísch Remote Web Access genannt wird. Deshalb heißt das fertige Produkt später dann auch WOL4RWA (Wake on LAN for Remote Web Access).
Anders als die 2008er Version integriert sich die Neue auch in die Startseite des RWA und ermöglicht so das Einschalten eines Computers auf allen Seiten des SBS Webportals von wo aus man sich mit einem Computer verbinden kann:
In die Entwicklung der 2011er Version sind viele Vorschläge von Benutzern und Erfahrungen aus den Vorgänger Produkten eingeflossen. So gibt es z.B. individualisierbare Symbole für den Ampelstatus, der den Zustand der Computer angezeigt und gleichzeitig als Schaltfläche zum Einschalten dient. Zwei verschiedene Symbolarten sind bereits integriert, eigene können durch Sicherung und anschliessendes Überschreiben der Dateien im “Images” Pfad der Anwendung verwendet werden.
Die 2011er Version wird später auch für den SBS 2011 Essentials und die anderen 2011er Produkte, sowie sehr wahrscheinlich auch für 2008 R2 Server weiterentwickelt werden.
Posted by T.Brinkmann
Seit Windows 7 bzw. Server 2008R2 wurde die Taskleiste durch die Taskbar ersetzt. Die Taskbar ist ein ziemlicher Fortschritt was die Bedienbarkeit anbelangt. In jedem Fall ist die Taskbar nach der Ersteinrichtung eines Windows Server 2008R2 mit Verknüpfungen vorbelegt, unter anderem zur Powershell und zum Server-Manager. Für Admins durchaus sinnvoll.
Erhält jedoch ein Server 2008R2 die Rolle “Remotedesktop-Sessionhost” (ehemals Terminalservices) werden diese Verknüpfungen auch bei den Usern direkt nach der ersten Anmeldung zugewiesen. Klickt ein normaler RDS Benutzer auf “Server-Manager” erhält er zwar die Meldung “Zugriff verweigert” – schöner wäre es wenn die Verknüpfungen gar nicht erst erscheinen.
Warum erscheinen die Verknüpfungen? – Bei der Anmeldung eines Users an den RD-Sessionhost werden die Verknüpfungen aus dem Ordner “%Allusersprofile%\Microsoft\Start Menu\Programs\Administrative Tools” ins %APPDATA% des Users kopiert, und dann in die Taskbar eingebunden. – Sofern der User Zugriff auf die Dateien unter %Allusersprofile% hat.
Mit diesem Wissen ist es ziemlich einfach die Verknüpfungen für neue User nicht automatisch in der Taskbar stehen zu haben:
Am einfachsten per GPO, welches entweder per Sicherheitsfilterung auf die entsprechenden RDS-Hosts angewandt werden, oder aber direkt auf die den RDS-Host beinhaltenden OU greift. Den “normalen” Benutzern wird schlichtweg der Zugriff auf die Verknüpfungen entfernt. Administratoren bekommen weiterhin die Links.
Bei der Gelegenheit kann auch noch der Punkt “Verwaltung” im Start-Menü für die User ausgeblendet werden. Das wird am einfachsten über einen Registry-Eintrag bei “HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced” eingestellt.
StartMenuAdminTools REGDWORD = 0
Start_AdminToolsRoot REGDWORD = 0
Posted by T.Redelberger
RDP-Client, die sich mit der Fehlermeldung “Die Sitzung wurde wegen einem Lizenzprotokollfehler abgebrochen” beenden, müssen wie folgt zurückgesetzt werden:
Auf dem betroffenen RDP-Client PC:
-> Löschen (ggf. vorher Sichern durch Export) des Schlüssels HKEY_LOCAL_MACHINE\Software\Microsoft\MSLicensing
-> Ab Windows Vista/7: Starten von mstsc.exe mit "Als Administrator ausführen", um für den RDP-Client den Wert MSLicensing neu zu setzen
-> Ab Windows Vista/7: Starten von Internet Explorer inkl. dessen RDP-Active-Control mit "Als Administrator ausführen", um auch dort den Wert zurückzusetzen
Zugrundeliegender Support-Artikel:
Removing Terminal Server licenses from an RDP client
http://support.microsoft.com/kb/187614/en-us
Weitere Hintergrundinformationen:
Troubleshooting Remote Desktop Licensing Error Messages
http://technet.microsoft.com/en-us/library/cc756826.aspx