IEEE 802.1X authentication protocol for WinPE is available as a hotfix download. Thanks to Ronni Pedersen and Johan Arwidmark (http://www.deployvista.com) for pointing it out :)
IEEE 802.1x for WinPE 3.0
http://support.microsoft.com/kb/972831
IEEE 802.1x for WinPE 2.1
http://support.microsoft.com/kb/975483
/Hasain
A graphical tool that facilitates testing and deployment of smart cards:
- Initialize a smart card.
- Enumerate the contents of a smart card, including certificates, files, directories, and crypto key names.
- Delete & Clean a smart card.
- View and initialize smart card root certificates.
SmartUtil supports cards that implement the card module/mini-driver interface defined by Microsoft. The tool is provided by JW Secure, Inc. and can be downloaded here.
/Hasain
Det har väl inte undgått någon att DoS attacker är ganska populära nu så här kommer en förklaring saxat ur DN.SE:
"Så kallad Dos-attack. Mejl skickas samtidigt från en mycket stor mängd datorer, vilket får den mottagande hemsidan att krascha"
Det tål att fundera på vad orsaken till denna, minst sagt, konstiga förklaring kan vara. Är det brist på kunskap, tydlighet eller oförmåga att förklara sådana abstrakta ting för icke nördar/tekniker.
Jag tror att vi som kan detta behöver vässa förmågan att kunna förklara på lite enklare och tydligare sätt så att "vanligt folk" kan förstå...
/Hasain
Jag har nöjet att presentera gruppen Swedish Windows Security User Group som fokuserar på att erbjuda alla medlemmar möjligheten att kunna nätverka andra experter och kunniga på området med målet att sprida information och kunskaper om säkerhetsfrågor.
Gruppen kommer att användas ett forum på itproffs.se som gruppens publika informationsplats där vi bl.a. meddelar våra aktiviteter samt tar emot förfrågningar om medlemskap och delaktighet i gruppen. Alla medlemmar som dessutom är aktiva itproffs medlemmar uppmanas att fortsätta sitt engagemang i andra forum som fokuserar på säkerhet och inte flytta sina aktiviteter till gruppen privata areor som finns på http://winsec.groups.live.com.
Gruppen kommer att använda http://winsec.groups.live.com under en period tills vi har fått bättre förutsättningar inom ramen för itproffs så att vi kan använda den nya plattformen för gruppens privata behov.
Vi har som mål att anordna återkommande träffar och möten för diskutera intressanta nyheter och ämnen samt utöka gruppens möjligheter att sprida och dela med sig av kunskaper kring säkerhet i Windows plattformen.
mvh
Hasain
Tack för en givande dag på Operaterassen i Stockholm, det blev en mängd mycket givande diskussioner kring lagring, säkerhet och en del annat.
Hoppas det blir en massa lika spännande frågor i Malmö nästa vecka...
/Hasain
How do I delete all Failed Requests logged on my Certificate Services database?
The Certutil tool can be used to list and delete Failed Requests logged on any ADCS database, but the two operations cannot be combined in one request and you have to manually transfer the request is from the listing of failed requests to the deleterow command.
The attached script combines the two steps and automate the whole process for an easier management task.
/Hasain
-----------------------------------delete_failed_adcs_requests.vbs-----------------------------------
Set objShell = CreateObject("WScript.Shell")
Set objWshScriptExec = objShell.Exec("certutil -silent -view -out ""RequestID"" LogFail")
Set objStdOut = objWshScriptExec.StdOut
Do Until objStdOut.AtEndOfStream
strLine = objStdOut.ReadLine
If Len(strLine) > 10 Then
Set regEx = New RegExp
regEx.Pattern = "( .*?\(|\))"
regEx.IgnoreCase = True
regEx.Global = True
regEx.MultiLine = True
WScript.Echo "Deleting: " & strLine
Set objWshScriptExec = objShell.Exec("certutil -deleterow " & regEx.Replace(strLine, ""))
End If
Loop
-----------------------------------delete_failed_adcs_requests.vbs-----------------------------------
A must have tools for all of you with minidriver based smart cards to manage admin and user pin on such cards. The tool is free to download and use as well as to modify or reuse the code in other projects.
Many thanks to Björn Österman who made the tool available.
/Hasain
---------------------------------------------------------------------------
scUtil.exe, version 1.0, Author: Bjorn Osterman, Company: TrueSec AB, Sweden
syntax: scUtil.exe unblockpin <adminkey> <newpin>
scUtil.exe changepin <oldpin> <newpin>
scUtil.exe changeadminkey <oldadminkey> <newadminkey>
scUtil.exe calculateresponse <adminkey> <challange>
scUtil.exe generaterandomkey
<adminkey> is one the the following alternatives:
- 48 hexadecimal characters
- "default", representing 48 zeroes
- "random", representing 48 random hexadecimal characters
<pin> is variable-length string composed of alphanumerical characters
---------------------------------------------------------------------------
Are you wondering about how scalable ADCS is?
An interesting ADCA scalability testing was done at the Enterprise Engineering Center (EEC) by the Windows Server Engineering Team showing that it is possible to produce more than 20 million certificates in less than 24 hours using a cluster of 10 ADCS VM!
Read more about this test at: http://blogs.technet.com/wincat/archive/2009/08/10/scale-testing-the-world-s-largest-pki-all-running-on-ws08r2-and-hyper-v.aspx
/Hasain
The following table lists the AD CS components that can be configured on different editions of Windows Server 2008 R2.
|
Components
|
Web
|
Standard
|
Enterprise
|
Datacenter
|
|
CA
|
No
|
Yes
|
Yes
|
Yes
|
|
Network Device Enrollment
|
No
|
No
|
Yes
|
Yes
|
|
Online Responder
|
No
|
No
|
Yes
|
Yes
|
|
CA Web Enrollment
|
No
|
Yes
|
Yes
|
Yes
|
|
Certificate Enrollment WS
|
No
|
Yes
|
Yes
|
Yes
|
|
Certificate Enrollment Policy WS
|
No
|
Yes
|
Yes
|
Yes
|
The following features are available on servers running Windows Server 2008 R2 that have been configured as CAs.
|
AD CS features
|
Web
|
Standard
|
Enterprise
|
Datacenter
|
|
Customizable version 2 and 3 templates
|
No
|
Yes
|
Yes
|
Yes
|
|
Key archival
|
No
|
Yes
|
Yes
|
Yes
|
|
Role separation
|
No
|
No
|
Yes
|
Yes
|
|
Certificate manager restrictions
|
No
|
No
|
Yes
|
Yes
|
|
Delegated enrollment agent restrictions
|
No
|
No
|
Yes
|
Yes
|
|
Certificate enrollment across forests
|
No
|
No
|
Yes
|
Yes
|
den 18 juni 2009 12:00 - den 18 juni 2009 14:00 lokal tid, LiveMeeting - Sverige
| Språk: |
Svenska. |
| Produkt(er): |
Windows 7 och Windows Server 2008. |
| Publik: |
IT-expert. |
|
|
|
|
Evenemangsöversikt
Välkommen att delta i vårt online seminarium för IT-proffs!
Vi startar kl 12 och håller på i minst en men max två timmar, och du har möjlighet att ställa frågor i slutet av seminariet.
Next Generation Windows Security
Äntligen är den här! Nu kan alla bygga det genom tiderna säkraste Windows systemet med hjälp av komponenter från Windows 7 & Windows Server 2008 R2 som innebär en mängd nya och spännande möjligheter inom området säkerhet i Windows plattformen.
Vi granskar Authentication Assurance, NTLM Restrictions, DNSSec, Direct Access, Bitlocker To Go, Managed Service Accounts, SRPv2 och givetvis alla nyheter inom PKI och hantering av certifikat och smartkort.
Talare: Hasain Alshakarti, TrueSec
Målgrupp: IT-proffs
|
Thanks to all of you who attended the Part I of the Security Summit 2009 yesterday and a special thanks to our guest Robert ‘RSNAKE’ Hansen.
Here is a list of the tools we used at the session presented by me and Marcus Murray:
See you all again at Part II
/H
The default setting of the "CertSrv Request" component in Windows Server 2008 does not allow administrators to change the settings of the component. If your certification authority is behind a firewall or if you want to allow for connections to the service using static TCP ports; you need then to enable modification settings of' the 'CertSrv Request' component by following the steps below:
- Open Register Editor to 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{D99E6E74-FC88-11D0-B498-00A0C90312F3}'
- Right click the {D99E6E74-FC88-11D0-B498-00A0C90312F3} key (AppID of Certsrv Request), choose permission
- Take the ownership to Administrators. Then grant the Administrators 'full control' permission
- Start the dcomcnfg.exe and change the setting
Use with great care!
/Hasain
Vi har skapat ett unikt mötesrum för tekniker, jurister, affärsutvecklare, myndighetschefer och leverantörer att träffas och handfast utväxla kunskap om tillförlitliga och säkra identiteter. Vi har samlat ledande intressenter under en interoperabilitetsövning under två dygn som, bland annat, ska ge svar på:
- Hur e-legitimationer av olika utfärdare fungerar tillsammans
- Hur aktiva kort från olika tillverkare fungerar ihop på mängder av olika tekniska plattformar
- Hur juridiken kan stödja tekniken
- Vilka fallgropar som finns rent semantiskt mellan teknik och juridik
- Vilka processer som krävs för att effektivt ta tillvara tekniken i sin organisation
Vår samlade erfarenhet inom området är närmare 100 år. Trots det stöter vi dagligen på fallgropar som hindrar en effektiv användning av e-legitimationer och aktiva kort. Ytterligare dokument är det sista som behövs. Istället behöver vi skapa ett mötesforum för intressenterna.
E-legitimationer används med stor framgång av hundratals myndigheter och näringslivsaktörer för att ge bättre service till sina slutanvändare. De senaste åren har en ny form av användning brutit mark och alltfler väljer att tala högt om behovet av tjänstelegitimationer.
Grundvalarna för ett fungerande handelssamhälle bygger på förtroende att:
- Vi vet vem vi interagerar med
- Vi kan enas om en tjänst/vara
- Ingångna avtal fullföljs
Vi har upprättat mekanismer för att:
- Kontrollera någons identitet med hjälp av handlingar utgivna av en betrodd part
- Specificera vad vi vill göra i form av produktbeställningar eller tjänsteleveranser
- Skriva under avtal där parterna förbinder sig att uppfylla det som överenskommits
E-samhället förändrar möjligheterna att verka på global basis för alla parter, men grunderna är desamma. Vi måste göra ”som vi alltid har gjort”! Det är här e-legitimationen kommer in i bilden. E-legitimationen är, utifrån förtroendeperspektivet, grundbulten för ett fungerande e-handelssamhälle. Tillsammans med aktiva kort i någon form kan en framtidssäker plattform för förtroenden byggas. Låt oss mötas kring den på LabCenter i höst!
Hasain Alshakarti, Senior Security Advisor, TrueSec AB
Bertil Bergkuist, Seniorkonsult, CAG Arete AB
Carl Hössner, PKI- och säkerhetsexpert, Finansiell ID-teknik AB
Lars Johansson, Säkerhetsexpert, Omegapoint AB
Roberth Lundin, Software Engineer, Steria AB
Predrag Mitrovic, VD, LabCenter AB
Pål Ragnarsson, Solutions Manager, HID Global
One very common reason to this issue is that the CA is not able to read the content of the template; this is often because the authenticated users group has been removed from the ACL list of the template. To solve this without reusing the authenticated users group you can give the computer account of your CA read permissions to the specific template.
If the above is not true, make sure the templates is listen in the templates to issue for your CA and that the template is available throughout your Active Directory.
/Hasain
Jag har startat ett litet projekt som går ut på att kartlägga XSS problem hos olika nättidningar och andra nyhetsmedia, rapportera felen till ansvariga och se vad som händer för att fortlöpande rapportera om aktiviteten här för de som är intresserade!
Lite regler först för vad som kommer att finnas tillgängligt:
- Inga namn eller adresser
- Inga texter från ev. epost med de berörda
- Antal hittade sårbarheter & användbarhet
- Mina kommentarer och tankar om det jag hittar
Jag har tills idag rapporterat till tre olika tidningar varav en svarat mycket snabbt och faktiskt åtgärdat en del av problemen
Fix rate är altså 1/3!
Har du bra tips på tidningar eller andra nätbaserade nyhetsmedia som bör vara med så meddela detta till mig genom e-post på:
h a s a i n (snabel a) t r u e s e c (punkt) s e
/Hasain
More Posts
Next page »