Bents Blog

 

Ein IT Blog mit Themen aus dem Windows Server Umfeld.

Artikel für den 22. November 2010

Microsoft ISA Server 2006 Probleme: STOP Error 0x100000D1

Das vergangene Wochenende konnte ich endlich ein Problem lösen, welches mir schon seit mehreren Wochen diverse Kopfschmerzen bereitet hatte. Wir setzen bei verschiedenen Kunden erfolgreich den Microsoft ISA Server 2006 (als auch den Nachfolger TMG 2010) ein. Bei einem Kunden gab es allerdings ein merkwürdiges Problem:

Problem

Auf Grund von Windows Updates muss man auch mal eine Firewall neu starten. Gewöhnlich kann das auch nicht am Tage erfolgen, weswegen ich auf verschiedenen Serversystemen Aufgaben (Tasks) definiert habe, die zyklischen das System am Wochenende oder in der Nacht neu starten. Der Inhalt des Jobs sieht dabei so aus:

%SystemRoot%\System32\shutdown -r -f -t 0

Das Problem selber war, dass der Server beim Neustart – kurz vor Abschluss der Aktion “Windows wird heruntergefahren” einen BSOD (BlueScreen of Death) auslöste:

DRIVER_IRQL_NOT_LESS_OR_EQUAL, Bug Check Code: 0x100000d1, Caused by: tcpip.sys

Beitrag weiterlesen …

Zwei-Faktor-Authentifizierung mit VASCO

Heute möchte ich einmal einen Beitrag zu einer – von mir bevorzugten – Sicherheitslösung für Windows Umgebungen schreiben. Dabei geht es um die Idee des One-Time-Password (OTP), also einer Authentifizierungsmethode, bei der das Passwort des Benutzers nur für wenige Sekunden gültig ist. Das Ganze bezeichnet man im Deutschen auch als Zwei-Faktor-Authentifizierung.

Wie funktioniert diese Lösung? So einfach die Idee, so genial und sicher ist diese auch. Ähnlich wie bei einer Transaktion mit einer üblichen EC-Karte, benötigt der Benutzer bei einem OTP-Verfahren zwei Dinge: Er muss etwas haben und etwas wissen. Dafür benötigt man einen sogenannten Token, der, basierend auf einem speziellen Algorithmus, eine Zahlenkombination (Code) generiert und zusätzlich eine PIN. Der Tokencode wird dabei mit Hilfe der Seriennummer eines Tokens (um die Einmaligkeit eines Tokens zu gewährleisten) und einem integrierten Quarz zeitabhängig (um ca. aller 30 Sekunden einen neuen Code erzeugen zu können) berechnet – dieser ist nicht manipulier- bzw. änderbar oder etwa durch Rückwärts-Berechnung zu ermitteln. Ein solcher Token ist deshalb mit einer Batterie ausgestattet und funktioniert typischerweise für etwa 5 Jahre. Die PIN des Benutzers kann selbstverständlich vom Benutzer geändert werden, kann es doch einmal passieren, dass ein Dritter Kenntnis von ihr erlangt.

Beitrag weiterlesen …