Alte Clients Windows 2008
Durch die Windows Security Changes 2023 hatten mich mehrere Kunden gefragt, was mit alten Clients passiert, die vielleicht mit Kerberos RC4 Abschaltung, RPC Sealing, PAC Signing mit Kerberos, SMB1 Abschaltung oder TLS 1.2 Enforcement ein Problem haben. Daher habe ich etwas getestet und auch Alte Clients Windows XP nicht vergessen.
Diese Seite ist eine Momentaufnahme Feb 2023 und gibt keine Garantien. Der Betrieb von Systemen ohne Security Updates ist vielleicht nicht strafrechtlich relevant aber dennoch nicht empfohlen.
DC: Windows 2016
Nun ist ein Windows 2016 DC auch nicht gerade das aktuellste System aber durchaus im Support und wird mit Security Updates versehen. Insbesondere dürften viele Firmen immer noch auf dieser Plattform arbeiten und Windows Server 2019 oder 2022 sind im Grunde die gleiche Basis. Der Server war einfach als Domain Controller installiert aber wurde zusätzlich abgesichert:
- Windows Update Stand Jan 2023
Der Server wurde über Windows Update mit allen Servicepacks und Security Updates versehen, die Microsoft bereit gestellt hat. Damit sind auch alle Änderungen implementiert, die insbesondere durch die Mai 2022 Updates (Anmeldung per Zertifikat) und November 2022 bereitgestellt wurden und durchaus zu den ein oder anderen Problemen geführt haben.
Allein die Updates sind es aber nicht, denn diverse Änderungen werden erst im Laufe des Jahres 2023 durch weitere Updates in Wellen aktiviert. Diese Einstellungen habe ich durch ein "Enforcement" vorgezogen.
-
RPC Sealing
Der Windows 2016 DC erzwingt nun RPC Sealing -
PAC Signing mit Kerberos
Der Windows 2016 DC erzwingt PAC-Signing -
SMB1 Abschaltung
Auf dem Windows 2016DC ist kein SMB1 aktiv. Sowohl das Windows Feature als auch die Server Konfiguration wurden abgeschaltet
Das dürfte zwar Windows 2003/XP/2000 blockieren, aber für die Tests mit Windows 7/2008 habe ich erst einmal darauf verzichtet. - TLS 1.2 Zwang
Habe ich nicht umgesetzt. Hierzu gibt es aber genug Dokumentationen, welche Systeme TLS 1.2 unterstützen. Siehe auch TLS 1.2 Enforcement
Diese Einstellung entspricht aber eine hohen Sicherheit im Jahre 2023, der von Microsoft erst im Laufe von 2023 auf allen unterstützten Systemen erzwingt-
Client: Windows 2008R2
Aus meinem VM-Archiv habe ich einen alten Windows 2008R2 Standalone-Server reaktiviert, der nur in einer Arbeitsgruppe war. Nachdem ich ihn hochgefahren habe, habe ich mich selbst etwas erschrocken, denn er 2015 "eingelagert" worden. Der Patchstand war 8 Jahre alt und ich bin nicht einmal sicher, ob Microsoft irgendwelche Updates dafür bereitstellt. Aber das ist eine gute Basis, um überhaupt zu testen, ob so ein altes System noch mitspielen darf. Daher habe ich das Patchen erst mal verzögert und den Server mit einer IP-Adresse versehen und als DNS-Server den Windows 2016 DC eingetragen. WINS gibt es nicht im Netzwerk.
| Prüfpunkt | Ergebnis |
|---|---|
Aufnahme in die DomainIch habe den Server problemlos über die GUI in die Domain aufnehmen können und der Neustart lieferte keine Probleme |
OK |
KerberosIch konnte mich sofort als Administrator der Domain anmelden. Eine Kontrolle der Kerberos-Tickets zeigte folgendes:
Obwohl der Server schon 8 Jahre "veraltet" ist, konnte er sich problemlos per Kerberos anmelden. Im Wireshark Trace war zu sehen, dass der Client alle gängigen Verfahren anbietet und auch mit PAC-Signing kein Problem hat. |
OK |
SMB Zugriff und SMB-SigningDer Server hat natürlich per SMB erst einmal alles angeboten. Aus Sicherheitsgründen sollte so der Client natürlich die alten unsicheren Protokolle nicht mehr anbieten
Die Antwort des Windows 2016DC war dann entsprechend reduziert und zeigt auch, dass "Singing Required" ist. Meine Einstellung auf dem Server ist also aktiv.
Schon beim Session Setup konnte ich sehen, das auch der alte Server mit dem neuen Windows 2016 DC arbeiten konnte und spätestens beim ersten Zugriff auf IPC$ sehen wir auch, das selbst ein Windows 2008R2-Server mit Patchstand 2015 schon mit Signing zurecht kommt:
|
OK |
LDAPIch spare mir mir nun die Bilder einer LDAP-Verbindung. Der Server ist aber über Port 389 an den DC gegangen und hat sich "sicher" per GSS-API und Kerberos angemeldet. AES war überhaupt kein Problem.
|
OK |
TLS 1.2Ich habe auf TLS 1.2 Enforcement schon geschrieben, dass Windows 7 und Windows 2008 kein TLS 1.2 unterstützen Für Windows 2008R2 kann TLS 1.2 aber nachinstalliert werden. Daher sollte es hier keine Probleme geben, wenn Sie denn noch einen Browser finden, der auf Windows 2008R2 betrieben werden kann und Webseiten diesen auch noch zulassen. |
nicht getestet |
Diese Testserie ist sicher nicht komplett und betrachtet keine Applikationen. Im Grund sieht es aber gar nicht schlecht aus.
Weitere Links
- Windows Security Changes 2023
-
Sichere Produktionssysteme
Windows out of Support, ohne Updates aber unersetzlich? Dann ab in die Einzelzelle - Alte Clients Windows XP
- RPC Sealing
- Kerberos RC4 Abschaltung
- SMB1 Abschaltung
- PAC Signing mit Kerberos
- TLS 1.2 Enforcement
