:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheit mit Windows Server 2022 erhöhen DNS-Abfragen mit Richtlinien steuern und DNS-over-HTTPs aktivieren
Wenn es um die Sicherheit von Netzwerken geht, spielt auch DNS eine wichtige Rolle. Windows Server ermöglichen das Filtern von DNS-Abfragen basierend auf Client-IP-Adressen und Windows Server 2022 bringt weitere Neuerungen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Mit DNS-Abfragerichtlinien kann konfiguriert werden auf welche DNS-Anfragen ein DNS-Server antwortet und welche Abfragen er blockiert. Dadurch kann die Sicherheit des DNS-Systems verbessert werden. Diese Funktion ist in Windows Server 2016/2019 und auch in Windows Server 2022 integriert.
Eine weitere Neuerung in Windows Server 2022 ist die Unterstützung von DNS-over-HTTPs (DoH). Damit Clients und Server die Kommunikation des DNS-Datenverkehrs über HTTPS abwickeln können, müssen Server und Client die Funktion unterstützen. Windows Server 2022 ist dazu in der Lage. Wir zeigen in diesem Beitrag auch diese Möglichkeiten der Einrichtung.
:quality(80)/images.vogel.de/vogelonline/bdb/1885800/1885851/original.jpg "Beim Windows Server 2022 erhöht Microsoft mit DNS-over-Http, Secured Core und TLS 1.3 die Systemsicherheit deutlich. (monsitj - stock.adobe.com)")
Security-Neuerungen bei neuem Windows Server 2022
Mehr Sicherheit in Windows Server 2022
DNS-Abfragerichtlinien verwenden
Bei der Verwendung von DNS-Abfragerichtlinien werden DNS-Server entlastet, da sie nicht zu viele Anfragen beantworten müssen. Microsoft hat diese Technologie in Windows Server 2016 eingeführt und mit Windows Server 2019 erweitert. In Windows Server 2022 hat Microsoft die Technik ebenfalls integriert und zusammen mit weiteren Sicherheitsfunktionen wie DNS-over-HTTPs (DoH) Alle Möglichkeiten für Richtlinien zeigt Microsoft auf der Hilfe-Seite für DNS-Abfragerichtlinien.
So sorgen DNS-Abfragerichtlinien für mehr Sicherheit in Windows-Netzwerken
Einfach ausgedrückt können Administratoren mit DNS-Abfragerichtlinien (DnsServerQueryResolutionPolicy) festlegen, dass ein DNS-Server nicht generell auf alle Anfragen antwortet, sondern vorher überprüft aus welchem Subnetz die Anfrage geschickt wird. Auf Basis dieser Informationen kann der DNS-Server anschließend verschiedene Anfragen blockieren, während andere Anfragen weiterhin beantwortet werden.
DNS-Abfragerichtlinien können auch dazu genutzt werden nur einzelne Einträge in einer DNS-Zone zu blockieren, zum Beispiel zu bestimmten Servern, die nur von einer Gruppe von Anwendern genutzt werden sollen.
:quality(80)/images.vogel.de/vogelonline/bdb/1897300/1897394/original.jpg "Anpassen der lokalen Einstellungen für DNS-over-HTTPS (DoH).")
:quality(80)/images.vogel.de/vogelonline/bdb/1897300/1897395/original.jpg "Anzeigen der DNS-Server, die DoH für Windows Server 2022 und Windows 11 unterstützen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1857500/1857579/original.jpg "DNS-Abfragen in der PowerShell erstellen und verwalten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1857500/1857580/original.jpg "Blockieren von DNS-Abfragen mit Richtlinien.")
DNS-Richtlinien in der PowerShell steuern
DNS-Abfragerichtlinien werden in der PowerShell mit dem Cmdlet „Add-DnsServerQueryResolutionPolicy“ erstellt. Die vorhandenen Richtlinien zeigt die PowerShell mit „Get-DnsServerQueryResolutionPolicy“ an. Natürlich lassen sich erstellte Richtlinien auch bearbeiten (Set-DnsServerQueryResolutionPolicy) und löschen (Remove-DnsServerQueryResolutionPolicy). Das Anlegen einer solchen Richtlinie ist generell recht einfach.
DNS-Server führen die Regeln in der Reihenfolge aus, wie sie mit „Get-DnsServerQueryResolutionPolicy“ angezeigt werden. Durch das Löschen einer Regel mit „Remove-DnsServerQueryResolutionPolicy“ und dem anschließenden Neuerstellen mit „Add-DnsServerQueryResolutionPolicy“ wird eine Richtlinie hintenangestellt. Die Reihenfolge der Ausführung kann auch mit dem Parameter „ThrottleLimit“ festgelegt werden, zum Beispiel mit:
Add-DnsServerQueryResolutionPolicy -ComputerName "Server07" -ThrottleLimit 1:quality(80)/images.vogel.de/vogelonline/bdb/1693600/1693622/original.jpg "Um ihr Active Directory (AD) und die DNS-Server besser schützen zu können, sollten sich Admins auch mit den Richtlinien im DNS auseinandersetzen. (areebarbar - stock.adobe.com)")
Mehr Schutz vor Denial-of-Service-Attacken
DNS mit Richtlinien und RRL in Active Directory absichern
DNS-Richtlinie anlegen
Um eine neue Richtlinie anzulegen, wird zunächst auf dem DNS-Server die PowerShell geöffnet. Danach kann mit „Get-DnsServerQueryResolutionPolicy“ überprüft werden, ob das Modul zur Steuerung der Richtlinien vorhanden ist und welche Richtlinien bereits existieren. Im folgenden Beispiel soll der Server „idm.joos.int“ vor Abfragen aus dem Subnetz 192.168.1.0/255.255.255.0 geschützt werden.
Dazu wird im ersten Schritt ein Subnetz in den Richtlinien angelegt, auf deren Basis die Filterung erfolgen soll. Der Befehl dazu ist:
Add-DnsServerClientSubnet -Name "BlockClients" -IPv4Subnet 192.168.1.0/24 -PassThruUm sich alle bereits vorhandenen Subnetze anzuzeigen, wir das Cmdlet „Get-DnsServerClientSubnet“ genutzt. Nicht mehr benötigte Subnetze lassen sich mit „Remove-DnsServerClientSubnet“ löschen.
Um das Ergebnis einer Richtlinie zu testen, kann in der PowerShell zunächst die Namensauflösung zu „idm.joos.int“ getestet werden. Hier antwortet der DNS-Server noch wie erwartet. Danach wird die Richtlinie erstellt, der DNS-Cache gelöscht und danach die Abfrage neu gestartet. Hier sollte der DNS-Server die Abfrage blockieren. Die Auflösung erfolgt mit:
Resolve-DnsName idm.joos.intDanach wird der DNS-Cache mit dem Cmdlet „Clear-DnsClientCache“ gelöscht. Anschließend wird die neue Richtlinie erstellt, die aus dem erstellten Subnetz heraus den Zugriff auf den Server idm.joos.int blockiert:
Add-DnsServerQueryResolutionPolicy -Name "Block_IDM" -Action IGNORE -ClientSubnet "EQ,BlockClients" -Fqdn "EQ,idm.joos.int" -PassThruUm den kompletten Zugriff auf eine Domäne zu sperren, kann der folgende Befehl verwendet werden:
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.contoso.com" -PassThru | Format-List *Bei der Auswahl der blockierten Subnetze und der blockierten Server, muss vor dem Namen noch ein Operator verwendet werden. Der Operator „EQ“ legt fest, dass der Eintrag identisch sein muss, wie der angegebene Name.
Es gibt noch die Möglichkeit „NE“ (not equal) oder „OR“ (oder) zu verwenden. Danach wird die Richtlinie angezeigt. Wird jetzt von einem Client die Abfrage mit „Resolve-DnsName“ erneut gestartet, blockiert der DNS-Server die Abfrage.
Mit „IGNORE“ werden alle Abfragen blockiert, der Parameter „ALLOW“ erlaubt die Abfrage aus dem angelegten Subnetz und blockiert alle anderen Abfragen. Dadurch können unproblematisch eigene Regeln erstellt werden, die sehr flexibel funktionieren.
Regeln für mehrere Server umsetzen
Die Regeln werden allerdings nicht im Active Directory gespeichert oder an einer anderen, zentralen Stelle. Für jeden DNS-Server, der eine solche Richtlinie nutzen soll, muss eine eigene Richtlinie erstellt werden.
Um eine Regel für mehrere Server umzusetzen, kann eine Richtlinie aus einem Server ausgelesen und auf einem anderen angelegt werden. Die Cmdlets unterstützen den Parameter „-Computername“. Das ist beim Auslesen und Anlegen einer neuen Richtlinie natürlich eine Hilfe. Dazu werden die Richtlinien auf einem Server in eine Variable gespeichert und auf Basis der Variablen die Richtlinie auf einem anderen Server neu eingelesen. Das Anlegen kann anschließend wieder mit „Get-DnsServerQueryResolutionPolicy“ überprüft werden.
$Policies = Get-DnsServerQueryResolutionPolicy -ComputerName "dc01"$Policies | Add-DnsServerQueryResolutionPolicy -ComputerName "dc02" -ThrottleLimit 1Ebenfalls möglich ist das generelle Blockieren für eine Domäne für alle Subnetze. So können Abfragen zeitweilig komplett deaktiviert werden:
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.contoso.com" -PassThru | Format-List *:quality(80)/images.vogel.de/vogelonline/bdb/1765600/1765674/original.jpg "Sicherheit muss nicht immer Geld kosten. Windows Server 2016 lässt sich auch mit Microsoft Defender und der Microsoft Defender Firewall grundlegend absichern. (monsitj - stock.adobe.com)")
Microsoft Defender Firewall und Antivirus im professionellen Umfeld
Sicherheit auf Windows-Servern mit Bordmitteln steuern
DNS-over-HTTPs im Praxiseinsatz
Zusammen mit den Richtlinien zum Schutz vor DNS-Angriffen spielt in Windows Server 2022 auch DoH eine wichtige Rolle. Bei der verschlüsselten Verbindung zwischen DNS-Client und DNS-Server werden die Abfragen vor Angriffen geschützt. Allerdings unterstützt allerdings Windows Server 2022, genauso wie Windows 11, nur die Verwendung als DNS-Client für DoH. Windows Server 2022 selbst ist leider noch nicht in der Lage als sicherer DoH-Server zum Einsatz zu kommen.
Die Einstellungen für DNS-over-HTTPS (DoH) dazu sind in der Einstellungs-App von Windows Server 2022 und Windows 11 im Bereich „Netzwerk und Internet“ bei „Ethernet“ zu finden.
In den Einstellungen des Netzwerkadapters sind die Optionen bei „DNS-Einstellungen“ und „Bearbeiten“ verfügbar. Wenn im Client ein DNS-Server eingetragen ist, der die Technik unterstützt, lassen sich die mit HTTPs verschlüsselten Zugriffe aktivieren. An dieser Stelle gibt es drei verschiedene Einstellungen zur Verfügung, um DNS-Clients sicher mit DNS-Servern zu verbinden:
- Nur unverschlüsselt: Der Client mit Windows 11 und Windows Server 2022 nutzen keine Verschlüsselung der DNS-Abfragen mit DoH.
- Nur verschlüsselt: Der Client nutzt ausschließlich verschlüsselte Verbindungen für die Auflösung mit DNS. Steht keine sichere Verbindung zum DNS-Server bereit, findet keine Namensauflösung statt.
- Verschlüsselt bevorzugt, unverschlüsselt zulässig: Ermöglicht die Verwendung von verschlüsselten Verbindungen, nutzt aber bei Bedarf auch unverschlüsselte Verbindungen.
Die Optionen werden erst aktiviert, wenn der angegebene DNS-Server die Funktionen unterstützt. Beispiele dafür sind die Server mit den IP-Adressen 1.1.1.1 und 8.8.8.8. In der PowerShell von Windows Server 2022 und Windows 11 lassen sich die aktuell unterstützen DNS-Server mit dem Cmdlet „Get-DNSClientDohServerAddress“ anzeigen. Neue Server können mit dem folgenden Befehl hinzugefügt werden:
Add-DnsClientDohServerAddress -ServerAddress <IP-Adresse> -DohTemplate <Vorlage> -AllowFallbackToUdp $False -AutoUpgrade $TrueDie Tabelle der Namensauflösungsrichtlinien (NRPT) kann verwendet werden, um Abfragen an einen DNS-Namensraum so zu konfigurieren, dass ein bestimmter DNS-Server verwendet wird. In diesem Fall lassen sich für bestimmte Abfragen verschlüsselte DNS-Verbindungen nutzen.
Die Einstellungen lassen sich auch über Gruppenrichtlinien definieren. Die Anpassungen dazu sind bei „Computerkonfiguration\Administrative Vorlagen\Netzwerk\DNS-Client“ mit „Namensauflösung von DNS über HTTP (DoH) konfigurieren“ verfügbar.
Wenn Admins DoH in Windows Server 2022 oder Windows 11 über Gruppenrichtlinien aktivieren, aber die verwendeten DNS-Server kein DoH unterstützen, funktioniert die Namensauflösung nicht mehr. Hier sollte also sorgfältig vorgegangen werden.
Mehr Powershell-Tipps!
:quality(80)/images.vogel.de/vogelonline/bdb/1820900/1820920/original.jpg "Wir zeigen, wie man in Windows Zertifikate mit der PowerShell verwaltet. (Dmitry Nikolaev - stock.adobe.com)")
Abgelaufene Zertifikate finden und ersetzen
Zertifikate in Windows mit der PowerShell verwalten
:quality(80)/images.vogel.de/vogelonline/bdb/1807700/1807755/original.jpg "Mit der Powershell können Administratoren die Kennwortrichtlinien in ihrem Active Directory automatisiert verwalten. (jariyawat - stock.adobe.com)")
Automatisierung der Sicherheit in Active Directory
Kennwortrichtlinien in Active Directory mit der PowerShell verwalten
:quality(80)/images.vogel.de/vogelonline/bdb/1770400/1770428/original.jpg "Mit dem neuen Modul „SecretsManagement“ will Microsoft die Verwaltung und Verwendung von Anmeldedaten und Kennwörtern in der PowerShell verbessern. (gemeinfrei)")
Neues PowerShell-Modul für die Verwaltung von Kennwörtern
SecretsManagement in der PowerShell
:quality(80)/images.vogel.de/vogelonline/bdb/1736000/1736057/original.jpg "Die PowerShell ist eine mächtige Möglichkeit auf Windows-Rechnern, um tiefgehende Einstellungen anzupassen. Das birgt natürlich die Gefahr, dass über Skripte Windows-Systeme angegriffen werden können. (gemeinfrei)")
PowerShell-Skripte als mögliche Gefahr für Windows
Cyber-Attacken via PowerShell verhindern
(ID:47539856)
:quality(80)/images.vogel.de/vogelonline/bdb/1693600/1693622/original.jpg "Um ihr Active Directory (AD) und die DNS-Server besser schützen zu können, sollten sich Admins auch mit den Richtlinien im DNS auseinandersetzen. (areebarbar - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1885800/1885851/original.jpg "Beim Windows Server 2022 erhöht Microsoft mit DNS-over-Http, Secured Core und TLS 1.3 die Systemsicherheit deutlich. (monsitj - stock.adobe.com)")