testperson

Hi, machst du hier DNS Round Robin oder wohin zeigt "TSDE"? Wo läuft denn der Broker? Der Admin User ist auch lokaler Admin auf allen drei TS? Gruß Jan

Jetzt auch bei heise: https://www.heise.de/news/Microsoft-Exchange-Server-anfaellig-fuer-Remotecode-Ausfuehrung-und-Datenklau-9353809.html

Die DNS Zone(n) liegen im derzeitigen Fall bei Azure. CAA Record ist da möglich. Allerdings lässt DNSSEC auf sich warten.. (Vielleicht hilft bzgl. DNSSEC ja nächstes Jahr Implementing Inbound SMTP DANE with DNSSEC for Exchange Online Mail Flow - Microsoft Community Hub)

Hi, kurz und schmerzlos: Neue VM aufsetzen, Anwendung migrieren, alte VM außer Betrieb nehmen. Alternativ Get-WindowsUpdateLog (WindowsUpdate) | Microsoft Learn sfc /SCANNOW Bzw. im CBS.log auf die Suche gehen Gibt es auch Fehlercodes / Fehlermeldungen? Gruß Jan

Ich würde auf DH Key < 4096 bits und/oder Cipher < 256 bits dabei tippen. (SSL Server Rating Guide · ssllabs/research Wiki · GitHub)

TLS1.2 und 1.3 sind aktiv. Ist allerdings "nur" ein Apache2 Webserver und (noch) kein Netscaler. ;) Der innere Monk wird jetzt nur noch vom orangen, weil fehlenden, DNS CAA Record getriggert. Bin allerdings ein wenig überrascht, wie kompatibel das laut dem SSL Labs Test noch ist.

Und damit ist das Wochenende ab sofort verdient :)

Ich vermute, es gibt genügend Quellen, wo sich passende Zugänge gegen Kohle kaufen lassen. Hier gibt es ja bspw. den ein und anderen Breach, wo E-Mail und Passwort abhanden gekommen sind: Have I Been Pwned: Pwned websites

Hi, gibt es hier irgendwie weitere Infos? Oder mache ich mir hier zu viele Sorgen? ZDI-23-1578 | Zero Day Initiative ZDI-23-1579 | Zero Day Initiative ZDI-23-1580 | Zero Day Initiative ZDI-23-1581 | Zero Day Initiative Beim Rest geht es immerhin nur um "This vulnerability allows remote attackers to disclose sensitive information on affected installations of Microsoft Exchange. Authentication is required to exploit this vulnerability.". Gruß Jan

Hi, die entsprechenden User sind in der "Zulässige RODC-Kennwortreplikationsgruppe"? Wenn nicht, wäre das by Design. Zusätzlich sind die User auch nicht (verschachtelt) in "Abgelenhnte RODC-Kennwortreplikationsgruppe"? Gruß Jan

Die User haben es doch trotzdem alles noch in der Hand "koordiniert" zu machen. Wenn denen der Stichtag nicht passt, können Sie ja jederzeit vorher auf "Updates installieren und herunterfahren" klicken. Man kann ja auch für die ersten zwei, drei Patchdays dann noch die Freundlichkeit besitzen und drei Tage vorm Strichtag per Mail an den Stichtag erinnern. Wenn ich das allerdings lese: Kann ich mir vorstellen, dass User keinen Bock auf Updates haben..

Benutzer informieren, dass das jetzt so ist und danach gilt halt "Lernen durch Schmerz". Man kann halt nicht immer alles (sinnvoll) technisch lösen.

Hi, Wenn "nur" GPO als "Werkzeug" zum Verteilen da ist, würde ich immer zum Script greifen. Da kannst du dann auch ein brauchbares Logging / Reporting / usw. integrieren. Gruß Jan

Hi, für das Auth Zertifikat: Can't access OWA/EAC with expired OAuth certificate - Exchange | Microsoft Learn Nach "Schritt 1" wirst du vermutlich gefragt, ob das SMTP Zertifikat überschrieben werden soll. Da drückst du dann "N". :) Beim Backend schaust du dir am besten den Thumbprint vom aktuellen an und erneuerst es dann auch per Shell: # Thumbprint finden Get-ExchangeCertificate # Erneuern: Get-ExchangeCertificate -Thumbprint <Thumbprint altes BackEnd Zertifikat> | New-ExchangeCertificate -PrivateKeyExportable $false Gruß Jan

Hi, was befindet sich denn am anderen Ende des Netzwerkkabels (Router, Switch, ... (Hier wäre Hersteller und Model des Gerätes hilfreich.))? Gruß Jan

Öhm, .... Das kannst du sogar (in Preview) On-Premises betreiben: Azure Virtual Desktop for Azure Stack HCI (preview) overview | Microsoft Learn

Dafür der zweite Satz: Bzw. wäre das Stichwort "Wake on LAN".

Hi, jetzt könnte man noch einwerfen, dass WSUS / WU evtl. nicht zu euren Anforderungen passt. Hast du mal in Richtung 3rd Party Patchmanagement / Endpoint Management geschaut? Das ist sicherlich kein Alleinstellungsmerkmal von Manage Engine Endpoint Central, aber da gibt es bspw. das automatisierte Patch-Management: (Patches vieler Hersteller einfach verwalten - mit Endpoint Central (manageengine.de) / Automated Patch Deployment - Deploy missing patches | ManageEngine) Zusätzlich zum Patchmanagement bringt Endpoint Central noch einige weitere nette Features mit. Gruß Jan

Ich habe es noch nie versucht, aber ggfs. könnte man mit einem Shutdown Script nachhelfen. Evtl. auch einen Task der beim / vorm Herunterfahren triggert. Dann wäre es am Ende egal, ob "Herunterfahren" oder "Aktualisieren und Herunterfahren" geklickt wurde.

Bei meinem alten AG habe ich per WU/WSUS recht problemlos die ca. 150 Exchange Server im RZ gepatcht. (Sofern die Kombi WSUS/WU sich nicht von "plain WU" unterscheidet. :))

Hi, in kurz, knapp und schmerzlos: Fehlerhaften RDSH entsorgen und entweder einen neuen installieren oder einen der funktionierenden klonen. Gruß Jan

Wenn ich mich am PC ohne zweiten Faktor anmelden kann und dort dann "den zweiten Faktor" ausgehändigt bekomme, ist das für mich irgendwie nicht sinnvoll. :)

Hi, warum willst du das machen? Was ist denn das eigentliche Ziel? Sollte es um User ohne Firmen Smartphone gehen, die die Authenticator App nicht auf dem privaten Smartphone installieren sollen/wollen, dann wären FIDO2 Token (oder OATH Token (derzeit in Preview)) vermutlich ein besserer Weg. Gruß Jan

Hi, bspw.: $Zeichen = Get-Content -Path " .\log.txt" | Measure-Object -Character | Select-Object Characters -ExpandProperty Characters Gruß Jan

Dann steige ich - etwas später - mit einer anderen Serie und den Quietschbeus ein.