Einfache Maßnahmen für mehr Sicherheit im AD (Teil 3): Admin Tiers

Die grundlegende Funktionsweise der Admin Tiers hatte ich bereits in Teil 1 dieser Artikelserie beschrieben, in diesem Artikel geht es nun um die Einrichtung von Admin Tiers in einer bestehenden Umgebung. Grundsätzlich ist es sinnvoll, wenn bereits mindestens ein Admin Host installiert wurde. Im Großen und Ganzen geht es in diesem Artikel erst einmal darum die Admin Tiers zu konfigurieren und durchzusetzen. Später können noch weitere Maßnahmen durchgeführt werden, welche die Sicherheit weiter verbessern können. Wenn Admin Tiers und Admin Mehr »

Exchange Server: Neues Sicherheitsupdate (Juni 2019)

Microsoft hat ein neues Sicherheitsupdate für alle derzeit unterstützen Exchange Server Versionen veröffentlicht. Was genau das Problem bei den Exchange Server Versionen ist, wurde nicht veröffentlicht. In der Beschreibung zu dem Security Advisory heißt es nur: Microsoft has released an update for Microsoft Exchange Server that provides enhanced security as a defense in depth measure. Quelle: ADV190018 | Microsoft Exchange Server Defense in Depth Update Auch ein Schweregrad wurde nicht angegeben. Das Update für die jeweilige Exchange Server Version kann Mehr »

Sophos UTM: Zertifikat der WAF mittels PowerShell exportieren (Exchange Version)

In diesem Artikel hatte ich ja bereits beschrieben, wie das Zertifikat der Sophos UTM per REST API exportiert werden kann. Ein paar Leute haben sich nun gemeldet, dass eine automatischer Export und Import für Exchange Server interessant ist. Ich habe daher das Script erweitert und den Export und Import mit Exchange Server 2016 erfolgreich getestet. Hier einmal die angepasste Version für den automatischen Import für Exchange Server 2016: 1 2 3 4 5 6 7 8 9 10 11 12 Mehr »

Einfache Maßnahmen für mehr Sicherheit im AD (Teil 2): Admin Host

In Teil 1 dieser Artikelserie wurden bereits Maßnahmen vorgestellt um die Sicherheit des Active Directory zu verbessern. Die nächsten Artikel widmen sich nun der Umsetzung der genannten Maßnahmen innerhalb eines bestehenden Active Directory anhand einer Beispielumgebung. In diesem Artikel geht es zunächst um den Admin Host. Einleitung Als Beispiel kann hier das fiktive Unternehmen “FrankysWebLab” dienen. Nehmen wir mal an, diese fiktive Firma hat einen Administrator, welcher sich um um den Betrieb der eigenen IT-Infrastruktur kümmert. In der fiktiven Firma Mehr »

Sophos UTM: Zertifikat der WAF mittels PowerShell exportieren

Die Sophos UTM kann mittlerweile automatisch Zertifikate von Let’s Encrypt anfordern und auch erneuern. Diese Funktion ist gerade für die Webserver Protection (WAF) sehr nützlich. Das Zertifikat für die verschiedenen Services der WAF wird somit durch die UTM verwaltet und vor Ablauf entsprechend erneuert. Ich habe bereits mehrere Anfragen von Leuten bekommen die gerne das Zertifikat der WAF auch für weitere interne Dienste nutzen möchten. Die meisten Anfragen beziehen sich dabei natürlich auf Exchange Server. Die Exchange URLs wurden mit Mehr »

Exchange 2019 Sizing Calculator angekündigt

Microsoft hat den Exchange 2019 Sizing Calculator angekündigt. Wie auch schon bei Exchange 2016 und früheren Versionen handelt es sich dabei um eine Excel Datei mit deren Hilfe die Hardware Anforderungen für neue Exchange 2019 Installationen berechnet werden können. Leider lässt sich der Sizing Calculator aber nicht runterladen, sondern wird zusammen mit dem kommenden CU2 für Exchange 2019 in der ISO Datei enthalten sein. Leider wird es den Sizing Calculator also nicht mehr einfach zum Download geben, dafür nennt Microsoft Mehr »

Exchange Migration: Häufige Ursachen für Probleme

Im Januar hatte ich bereits einen Artikel zu Problemen mit der Outlook Verbindung zu Exchange während der Migration geschrieben. In diesem neuen Artikel möchte ich nun noch ein paar weitere häufige Ursachen für Probleme nennen. DNS Server ist kein DC Während der Koexistenz der Exchange Server kann es vorkommen, dass Benutzer Mails nicht zwischen den beiden Exchange Version versenden können. Wenn ein Benutzer mit Exchange 2010/2013 Postfach beispielsweise keine Mails an Benutzer mit Exchange 2016 Postfach senden kann, kann die Mehr »

Exchange 2016: Verhindern das Benutzer ihr AD Konto verändern

Die folgende E-Mail hat mich erreicht und wer so nett fragt, dem bin ich auch eine Antwort schuldig: Lieber Frank, ich hab folgendes Problem: User in unserer Exchange-Orga, sollen Ihren Adressbucheintrag nicht selbst anpassen können. Also die Bearbeitung von „Optionen – Allgemein – Mein Konto“, wo sie z.B. Adresse, Telefonnummer, etc. ändern könnten. Ich habe ganz dunkel in Erinnerung, dass man das über Policies unterbinden konnte, aber finde die Bohne keine Infos mehr dazu. :( Es wäre gaaaanz ganz ganz Mehr »

Active Directory: Einfache Maßnahmen für mehr Sicherheit (Teil 1)

Um die Sicherheit innerhalb des Active Directory zu erhöhen reichen meist schon kleine organisatorische Maßnahmen in Verbindung mit kostenlosen Tools. Viele weit verbreitete Angriffswege können mit ein paar kleinen Änderungen und recht einfachen Maßnahmen zumindest schon deutlich eingedämmt werden. Im folgenden Artikel taucht oft das Wort “Angreifer” auf, mit “Angreifer” ist allerdings nicht unbedingt eine Person gemeint, die es sich zur Aufgabe gemacht hat in ein Netzwerk einzudringen. “Angreifer” steht im folgenden Artikel auch für automatisierte Schadsoftware, welche mitunter darauf Mehr »

Tipp: ADACLScanner hilft beim Audit des Active Directory

Gerade in größeren und vor allem älteren Active Directory Umgebungen, häufen sich mit der Zeit eine Vielzahl von Berechtigungen und Delegierungen an. Oft finden sich darunter auch Berechtigungen mit verwaisten SIDs, beispielsweise wenn der Benutzer bereits gelöscht wurde, die ACL aber noch besteht. Diese verwaisten SIDs kennen viele von Fileservern und deren Berechtigungsstruktur. Um die Berechtigungen innerhalb des Active Directory zu analysieren und zu auditieren, kann das Script “ADACLScanner” von Robin Granberg eingesetzt werden. Beim ACACLScanner handelt es sich um Mehr »