Pie

Vielen Dank für die vielen Links und Anregungen!

Als kleiner (aber feiner ) IT Dienstleister hat man es gerade nicht leicht. Wie einige Vorredner ja schon berichteten, ist es nicht immer ganz einfach, die Kunden davon zu überzeugen, die Systeme up-to-date zu halten, bzw. dafür Knete rauszutun. Ich habe mir aus reinem Selbstschutz schon vor Jahren zur Regel gemacht, dass ich potentielle Kunden, die nicht auf mein Grundkonzept eingehen - schlicht und ergreifend nicht betreue.

 

Dazu gehören u.a. ordentliche Hardware, eine Firewall, der Virenschutz, Email-Archivierung und das Backup. Und da ich mich in der Microsoft-Welt bewege, gehört auch ein Exchange Server dazu. Egal, ob 5 oder 500 User. Nun war es vor einigen Jahren noch recht mühselig, ein ordentliches Backup-System zu verkaufen. Gerne wurde auf USB-Drives "gesichert". Wenn dann später nichts drauf war, hat man große Augen gemacht. Von einer vernünftigen Firewall oder Email-Archivierung ganz zu schweigen. Mittlerweile sind die Kunden in diesem Bereich glücklicherweise etwas sensibler geworden. Sicher auch dank der verganenen Angriffe wie WannaCry und Co und der Berichterstattung in Funk und Fernsehen. 

 

Ich möchte behaupten, ich arbeite recht gewissenhaft, aber ich installiere auch nicht jedes CU. Man möchte den Kunden am Ende des Tages auch gern behalten.

All meine Kunden haben eine Sophos FullGuard und F-Secure. Die Regeln in der Firewall sind auf das nötigste beschränkt, der einzige öffentliche Port ist 443 für OWA. Alles andere geht über VPN. Sei es Site-To-Site, oder RoadWarrior.

 

Bisher sehen die Systeme sauber aus. Aber dennoch, trotz IDS und WAF, sowie alles im grünen Bereich zeigende Virenscanner (F-Secure Server Security, MS Defender und Microsoft Safety Scanner) kann ich mir nach wie vor nicht 100% sicher sein, dass die Systeme clean sind. Ist schon übel. Das muss man auch dem Kunden erstmal nahebringen. Aber ich bin hauptberuflich nun mal kein IT-Forensiker.

 

Allen, die in einer ähnlichen Situation stecken und sich überfordert fühlen, empfehle ich: Ruhe bewahren!

Wenn HAFNIUM durchgekommen ist, dann ist das eben so. Daran kann man nichts mehr ändern. 

 

Die letzten zwei Wochen bin ich bei meinen Kunden wie folgt vorgegangen:

 

Zunächst habe ich den Port 443 dicht gemacht. Anschließend habe ich den Kunden informiert. Dann habe ich den jeweilig zutreffenden Patch und natürlich alle zur Verfügung stehenden Updates installiert.

Anschließend sämtliche, mir zur Verfügung stehende Scanner drüber laufen gelassen. Hier gab es bei einem Kunden eine Backdoor (REDCAP), wobei sich MS-Defender und F-Secure mit Ihren Meldungen gegenseitig die Klinke in die Hand gaben. Mehrmalige Aufforderungen zum Neustart bin ich nachgekommen, des Perpetuum Moblié lief aber weiter und weiter.

 

Die Betroffenen Dateien Namens "App_Web_xyz123.aspx" im Verzeichnis "C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\e22c2559\92c7e946\" habe ich kurzer Hand manuell gelöscht. Ein erneuter Virenscan meldete keinen Befund mehr. Server neu gestartet, Alle Scanner erneut drüber laufen lassen. Nichts. Die Dateien sind bis heute auch nicht wieder aufgetaucht. Soweit, so gut.

 

Eine - zugegeben recht oberflächliche - Überprüfung auf Webshells habe ich ebenfalls durchgeführt, aber wie gesagt, ich bin kein IT-Forensiker und muss mir da natürlich auch immer wieder neue Infos in den entsprechenden Knowledgebases oder Foren einholen. 

 

Absätze wie

 

Zitat

Eine mögliche Shell wurde z. B. unter %PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy \owa\auth\ als RedirSuiteServerProxy.aspx abgelegt. Generell sind alle kürzlich erzeugten .aspx-Dateien verdächtig. Allerdings könnte eine Webshell auch in bestehende Dateien hinzugefügt werden, indem eine einzige Zeile eingefügt wird. Hinweis: Die RedirSuiteServiceProxy.aspx ist grundsätzlich legitim.

 

aus dem BSI-Paper sind da auch gern mal etwas verwirrend. Die besagte Datei existiert. Bin ich also betroffen? Bekommste doch erstmal einen leicht flauen Magen. Ein timestamp aus 2018 lässt vermuten, dass alles Koscher ist. Aber den Inhalt der Datei kann ich nicht eindeutig beglaubigen. Sieht für mich erst mal gut aus, aber sich sicher sein, ist was anderes. Wer hier überließt "Die RedirSuiteServiceProxy.aspx ist grundsätzlich legitim" hat da sicher gern schonmal ein mittleres Magengeschwür.

 

Wie dem auch sei... nach dem Scan ist vor dem Scan... weiter gehts.

 

Etwas Gutes hat das Ganze: Es wird künftig wieder ein Stück einfacher, vernünftige Sicherheitslösungen angedeihen zu lassen 

 

LG

- Pie

Also ich nicht 

vor 5 Stunden schrieb NorbertFe:

5h rumprobieren spart 5 Minuten Handbuch lesen. :p

Stimmt, Norbert, aber so bleibt es besser im Kopf hängen 
In den 5 Stunden habe ich dann wenigstens noch SSL Zertifikate installiert, da ich dachte, es könnte damit zu tun haben. Von daher war es nicht ganz umsonst 

 

LG

- Pie

 

Am 12.3.2020 um 22:38 schrieb testperson:

War das Konto mal in einer AdminSDHolder (https://www.msxfaq.de/konzepte/adminsdholder.htm) geschützten Gruppe z.B. den Domain-Admins?

Hi,

 

nach 5 Stunden testen lese ich diesen Beitrag und ich denke bei mir "nee, oder?" Anderen User genommen, klappt sofort! 

Livesaver!

 

LG

- Pie

 

 

 

//abgetrennt von: https://www.mcseboard.de/topic/217594-kein-zugriff-auf-exchange-2019-mit-smartphone/

 

 

Hab dir eine PM gesendet

Ja, Geräte kommen beide von extern über 443.

 

Noch etwas Hintergrund:

Das Szenario ist etwas komplexer, da es in dem Firmenverbund 5 Unternehmen gibt, die über eine Sophos abgefackelt werden.

 

Es wird per ankommender URL auf den entsprechenden Exchange Server geroutet.

Jeder Webserver hat ein eigenes Zertifikat "exchange.firmenname.tld".

Daher kann ich immer Port 443 verwenden und brauche keine abweichenden Ports nutzen. Das erledigt die Sophos über virtuelle Webserver.

 

Was mich halt bei der Sache fasziniert, ist, dass das iOS sofort verbindet. Emails werden abgeholt, alles tutti.

Nur Android macht genau das nicht mehr, ohne den Schalter für das Akzeptieren aller Zerts zu aktivieren.

 

LG

- Alex

Wenn du möchtest, sende ich dir den URL zum OWA per PN.

Hatte ich übersehen: Die Exchange Server haben nur selbstausgestllte zerts. Aber die sieht der Email-Client eh nicht.

 

LG

- Alex

Hi,

 

ist ein Thawte SSL123

 

EDIT:

RSA 2048

SHA-256 with RSA Encryption

 

LG

- Alex

Hallo Community,

 

Ich habe folgendes Problem:

 

Wir haben einen frischen Server 2016 Standard mit Exchange 2016, der läuft auch einwandfrei.

Zusätzlich gibt es eine Sophos UTM.

 

In der Sophos habe ich nun virtuelle Webserver und reale Webserver angelegt und die SSL-Zertifikate installiert.

OWA und auch iOS-Geräte funktionieren einwandfrei, keine Zertifikatsfehler.

 

Mache ich das Ganze von einem Android-Gerät, erhalte ich die Meldung

 

"Nicht durchführbar. Aufgrund eines nicht vertrauenswürdigen Zertifikats konnte keine Verbindung hergestellt werden."

 

Die Verbindung kann nur hergstellt werden, wenn ich im Android "Alle Zertifkate akzeptieren" einschalte.

 

Normalerweise ist das iOS ja das restriktivere, aber diesmal scheint es umgekehrt...

 

Ich kann mir derzeit nicht erklären, warum das so ist, außer dass es evtl. an der Sophos liegt, wobei auch das eigentlich ausscheided, da ja alle anderen Verbindungen einwanfrei laufen.

 

Hat jemand eine Idee?

 

LG

- Alex

...

EDIT: Ich sehe jetzt erst, dass Du gestern noch im anderen Thread gepostet hast - ein bißchen Verwirrung stiften...

 

ist mir später auch aufgefallen und war ein Versehen, die Antwort sollte eigentlich hier her :-)

 

Problem ist aber nun gelöst!

Jaaaa,

 

mein Verriss, keine Frage :cool:

Frevel, Frevel,

 

ich hatte den Firefox genutzt, dort gab es diese Option nicht.

Auch nicht in den Options nachträglich.

 

Aber gut, was nehm ich auch FF :-) IE hat den Link angezeigt und siehe da, es läuft!

 

Ich würde sagen, thumbs up :D

Schade,

 

der Kollege aus USA hat sich noch nicht gemeldet und ich hab mich mal in sein OWA gehackt.

 

Leider hat es doch nicht geklappt, siehe Screenshot:

Hehe,

 

ja sia, läuft :D

 

Many thanx nochmal!

 

EDIT: den Screenshot hatte ich nicht mal gesehen, ich war zu überrascht von der Einfachheit der Lösung :D

weil ich es einfach nicht gefunden habe :D

Sollte es so einfach sein??

 

Werds gleich testen!

 

Vielen Dank!

Hallo liebe Gemeinde,

 

ich stehe vor dem Problem, einen Außendienstler in den USA an den Exchange eines Kunden hier in good old germany anzubinden.

 

Nun ist das natürlich soweit alles kein Problem.

Allerdings sind die Ordner im Outlook nun in Deutsch, statt in Englisch.

 

Normalerweise ist es ja umgekehrt, deutsches Outlook, englische Ordner, welches man per /resetfoldernames wieder richten kann.

 

Dieser Befehl greift aber leider nicht bei dem US-User.

Auch nach dem Ausführen des Befehls bleiben die Ordnernamen in diesem Profil auf Deutsch dargestellt.

 

Es handelt sich um Outlook 2010 / Exchange 2007.

 

Hat jemand einen Rat?

 

Danke für eure gedanklichen Bemühungen :-)

Hi,

 

ich weiß nicht, ob es ein wenig oversized ist, aber vielleicht hast du ja auch noch Bedarf, andere Dienste zu überwachen.

 

Schau dir mal Azeti an. Gibts als VM und ist für 5 hosts kostenlos.

azeti Networks AG | VAA Download

 

Gruss

-Pie

Hallo,

 

habe hier wieder ein kleine, lustiges Phänomen:

 

AXEL ThinClient -> Citrix AppDesktop -> Outlook 2003

 

Outlook ist mit Exchange verbunden, Nachrichten werden empfangen, aber Mails gehen nicht raus. Sie bleiben im Postausgang stehen.

 

Geht der selbe User über einen "normalen" PC auf Citrix, funktioniert der Mailversand einwandfrei.

 

Hat jemand einen Tipp?

 

Gruss

-Pie

Hallo nochmal,

 

Tipp war goldrichtig! Fetten Dank!

 

Gruß

- Alex

Hallo,

 

der Exchange wurde zwar nicht de-/reinstalliert, aber ich werde den hotfix trotzdem mal testen.

 

Rückmeldung folgt :)

 

Gruss

- Alex

Hallo,

 

ich habe bei einem Kunden folgendes Phänomen:

SBS2008 SP2 läuft, Exchange arbeitete einwandfrei. Heute kommt der Kunde und sagt, Email klappen nicht mehr.

 

Ich remote drauf und sehe, dass die Lizenz für den Exchange abgelaufen ist.

 

Microsoft Exchange: Die folgenden Server in Ihrer Organisation sind derzeit nicht lizensiert: <SBS-Server>

 

Der Key für den SBS2008 ist eingegeben und aktiviert. Echtheit der Software wird mir bestätigt.

 

Erneute Keyeingabe im Bereich Produkt-Key ändern bringt Meldung: Produkt-Key ungültig.

 

Kennt jemand dieses Problem?

Hallo zusammen,

 

habe den Patchlevel entsprechend nachgezogen. Nu lüppt alles :D

 

War halt ne frische Installation und ich war der Meinung, Outlook arbeitet auch ohne Patches mit Exchange zusammen :D

 

Danke!

Hallo und fröhliche Ostern,

 

ich habe ein Problem mit Outlook 2007, angebunden an Exchange 2007 (SBS).

Die User werden ständig aufgefordert, Benutzername und Kennwort für remote.domain.tld einzugeben.

 

Man kann den Dialog abbrechen und ist dann mit dem Exchange Server einwandfrei verbunden, es kommt jedoch alle Nase lang die Aufforderung wieder.

 

Die Zugriffe finden über LAN statt, die lokale Domain weicht von der externen Domain ab (sbs-srv.ad-domain.local und remote.anderedomain.de)

 

OWA, OAB und Autodiscover funktionieren einwandfrei.

 

Es handelt sich um eine "frische" Installation (Server + Clients) mit einem selbsterstellen Zertifikat ausgestellt auf remote.anderedomain.de.

 

Weiß jemand Abhilfe?

 

Gruss

- Alex

Hallo,

 

trotz installierter und funktionierender BackupExec zeigt mir der Serverbericht ständig an, dass die Datensicherung nicht konfiguriert ist.

 

Gibt es eine Möglichkeit, die Meldung aus dem Zusammenfassungsbericht und dem Detailierten Serverbericht auszuklammern?

 

Alternativ würde ich natürlich gerne den Status des BackupExec im Bericht sehen. Leider habe ich dazu bisher nichts gefunden.

 

Gruss

- Pie

Danke,

 

der Ansatz von jiminio hats gebracht :D

 

Gruss

-Pie