Jump to content

Pie

Members
  • Posts

    532
  • Joined

  • Last visited

1 Follower

About Pie

  • Birthday 03/27/1970

Profile Fields

  • Member Title
    Board Veteran

Webseite

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

Pie's Achievements

Experienced

Experienced (11/14)

  • Posting Machine Rare
  • Collaborator
  • First Post
  • Conversation Starter
  • Fifteen Years In

Recent Badges

11

Reputation

  1. Vielen Dank für die vielen Links und Anregungen! Als kleiner (aber feiner ) IT Dienstleister hat man es gerade nicht leicht. Wie einige Vorredner ja schon berichteten, ist es nicht immer ganz einfach, die Kunden davon zu überzeugen, die Systeme up-to-date zu halten, bzw. dafür Knete rauszutun. Ich habe mir aus reinem Selbstschutz schon vor Jahren zur Regel gemacht, dass ich potentielle Kunden, die nicht auf mein Grundkonzept eingehen - schlicht und ergreifend nicht betreue. Dazu gehören u.a. ordentliche Hardware, eine Firewall, der Virenschutz, Email-Archivierung und das Backup. Und da ich mich in der Microsoft-Welt bewege, gehört auch ein Exchange Server dazu. Egal, ob 5 oder 500 User. Nun war es vor einigen Jahren noch recht mühselig, ein ordentliches Backup-System zu verkaufen. Gerne wurde auf USB-Drives "gesichert". Wenn dann später nichts drauf war, hat man große Augen gemacht. Von einer vernünftigen Firewall oder Email-Archivierung ganz zu schweigen. Mittlerweile sind die Kunden in diesem Bereich glücklicherweise etwas sensibler geworden. Sicher auch dank der verganenen Angriffe wie WannaCry und Co und der Berichterstattung in Funk und Fernsehen. Ich möchte behaupten, ich arbeite recht gewissenhaft, aber ich installiere auch nicht jedes CU. Man möchte den Kunden am Ende des Tages auch gern behalten. All meine Kunden haben eine Sophos FullGuard und F-Secure. Die Regeln in der Firewall sind auf das nötigste beschränkt, der einzige öffentliche Port ist 443 für OWA. Alles andere geht über VPN. Sei es Site-To-Site, oder RoadWarrior. Bisher sehen die Systeme sauber aus. Aber dennoch, trotz IDS und WAF, sowie alles im grünen Bereich zeigende Virenscanner (F-Secure Server Security, MS Defender und Microsoft Safety Scanner) kann ich mir nach wie vor nicht 100% sicher sein, dass die Systeme clean sind. Ist schon übel. Das muss man auch dem Kunden erstmal nahebringen. Aber ich bin hauptberuflich nun mal kein IT-Forensiker. Allen, die in einer ähnlichen Situation stecken und sich überfordert fühlen, empfehle ich: Ruhe bewahren! Wenn HAFNIUM durchgekommen ist, dann ist das eben so. Daran kann man nichts mehr ändern. Die letzten zwei Wochen bin ich bei meinen Kunden wie folgt vorgegangen: Zunächst habe ich den Port 443 dicht gemacht. Anschließend habe ich den Kunden informiert. Dann habe ich den jeweilig zutreffenden Patch und natürlich alle zur Verfügung stehenden Updates installiert. Anschließend sämtliche, mir zur Verfügung stehende Scanner drüber laufen gelassen. Hier gab es bei einem Kunden eine Backdoor (REDCAP), wobei sich MS-Defender und F-Secure mit Ihren Meldungen gegenseitig die Klinke in die Hand gaben. Mehrmalige Aufforderungen zum Neustart bin ich nachgekommen, des Perpetuum Moblié lief aber weiter und weiter. Die Betroffenen Dateien Namens "App_Web_xyz123.aspx" im Verzeichnis "C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\e22c2559\92c7e946\" habe ich kurzer Hand manuell gelöscht. Ein erneuter Virenscan meldete keinen Befund mehr. Server neu gestartet, Alle Scanner erneut drüber laufen lassen. Nichts. Die Dateien sind bis heute auch nicht wieder aufgetaucht. Soweit, so gut. Eine - zugegeben recht oberflächliche - Überprüfung auf Webshells habe ich ebenfalls durchgeführt, aber wie gesagt, ich bin kein IT-Forensiker und muss mir da natürlich auch immer wieder neue Infos in den entsprechenden Knowledgebases oder Foren einholen. Absätze wie aus dem BSI-Paper sind da auch gern mal etwas verwirrend. Die besagte Datei existiert. Bin ich also betroffen? Bekommste doch erstmal einen leicht flauen Magen. Ein timestamp aus 2018 lässt vermuten, dass alles Koscher ist. Aber den Inhalt der Datei kann ich nicht eindeutig beglaubigen. Sieht für mich erst mal gut aus, aber sich sicher sein, ist was anderes. Wer hier überließt "Die RedirSuiteServiceProxy.aspx ist grundsätzlich legitim" hat da sicher gern schonmal ein mittleres Magengeschwür. Wie dem auch sei... nach dem Scan ist vor dem Scan... weiter gehts. Etwas Gutes hat das Ganze: Es wird künftig wieder ein Stück einfacher, vernünftige Sicherheitslösungen angedeihen zu lassen LG - Pie
  2. Stimmt, Norbert, aber so bleibt es besser im Kopf hängen In den 5 Stunden habe ich dann wenigstens noch SSL Zertifikate installiert, da ich dachte, es könnte damit zu tun haben. Von daher war es nicht ganz umsonst LG - Pie
  3. Hi, nach 5 Stunden testen lese ich diesen Beitrag und ich denke bei mir "nee, oder?" Anderen User genommen, klappt sofort! Livesaver! LG - Pie //abgetrennt von: https://www.mcseboard.de/topic/217594-kein-zugriff-auf-exchange-2019-mit-smartphone/
  4. Ja, Geräte kommen beide von extern über 443. Noch etwas Hintergrund: Das Szenario ist etwas komplexer, da es in dem Firmenverbund 5 Unternehmen gibt, die über eine Sophos abgefackelt werden. Es wird per ankommender URL auf den entsprechenden Exchange Server geroutet. Jeder Webserver hat ein eigenes Zertifikat "exchange.firmenname.tld". Daher kann ich immer Port 443 verwenden und brauche keine abweichenden Ports nutzen. Das erledigt die Sophos über virtuelle Webserver. Was mich halt bei der Sache fasziniert, ist, dass das iOS sofort verbindet. Emails werden abgeholt, alles tutti. Nur Android macht genau das nicht mehr, ohne den Schalter für das Akzeptieren aller Zerts zu aktivieren. LG - Alex Wenn du möchtest, sende ich dir den URL zum OWA per PN. Hatte ich übersehen: Die Exchange Server haben nur selbstausgestllte zerts. Aber die sieht der Email-Client eh nicht. LG - Alex
  5. Hi, ist ein Thawte SSL123 EDIT: RSA 2048 SHA-256 with RSA Encryption LG - Alex
  6. Hallo Community, Ich habe folgendes Problem: Wir haben einen frischen Server 2016 Standard mit Exchange 2016, der läuft auch einwandfrei. Zusätzlich gibt es eine Sophos UTM. In der Sophos habe ich nun virtuelle Webserver und reale Webserver angelegt und die SSL-Zertifikate installiert. OWA und auch iOS-Geräte funktionieren einwandfrei, keine Zertifikatsfehler. Mache ich das Ganze von einem Android-Gerät, erhalte ich die Meldung "Nicht durchführbar. Aufgrund eines nicht vertrauenswürdigen Zertifikats konnte keine Verbindung hergestellt werden." Die Verbindung kann nur hergstellt werden, wenn ich im Android "Alle Zertifkate akzeptieren" einschalte. Normalerweise ist das iOS ja das restriktivere, aber diesmal scheint es umgekehrt... Ich kann mir derzeit nicht erklären, warum das so ist, außer dass es evtl. an der Sophos liegt, wobei auch das eigentlich ausscheided, da ja alle anderen Verbindungen einwanfrei laufen. Hat jemand eine Idee? LG - Alex
  7. ist mir später auch aufgefallen und war ein Versehen, die Antwort sollte eigentlich hier her :-) Problem ist aber nun gelöst!
  8. Jaaaa, mein Verriss, keine Frage :cool:
  9. Frevel, Frevel, ich hatte den Firefox genutzt, dort gab es diese Option nicht. Auch nicht in den Options nachträglich. Aber gut, was nehm ich auch FF :-) IE hat den Link angezeigt und siehe da, es läuft! Ich würde sagen, thumbs up :D
  10. Schade, der Kollege aus USA hat sich noch nicht gemeldet und ich hab mich mal in sein OWA gehackt. Leider hat es doch nicht geklappt, siehe Screenshot:
  11. Hehe, ja sia, läuft :D Many thanx nochmal! EDIT: den Screenshot hatte ich nicht mal gesehen, ich war zu überrascht von der Einfachheit der Lösung :D
  12. weil ich es einfach nicht gefunden habe :D
  13. Sollte es so einfach sein?? Werds gleich testen! Vielen Dank!
×
×
  • Create New...