winmadness

Hallo, damit ist die Sache klar und Du benötigst nur das Wildcardzertifikat. Überprüfe aber zur Sicherheit, ob das eigene Zertifikat wirklich nicht aktiviert ist. netsh http show sslcert Zertifikathash entspricht Fingerabdruck des Zertifikates Powershell Exchange Get-ExchangeCertificate | fl

Überprüfe mal auf dem IIS die unter "Bindungen" zugewiesene Zertifikate für die Defauft Site und Exchange Back End. Wenn dort das eigene Zertifikat zugewiesen ist, musst Du dieses erneuen. Habt Ihr unterschiedliche Domänen für intern und extern - auf welchen Domänen ist das Wildcard bzw. eigene Zertifikat ausgestellt?

Kannst Du in Outlook bei den entsprechenden Ordnern die Aufbewahrungsrichtlinie sehen (Ordner Eigenschaften / Tab "Richtlinie")? Ist diese zugewiesen bzw. kannst Du diese zuweisen?

IDS/IPS ist ein anderes Konzept als Geo IP. Wie beschrieben, kann es unter anderem bekannte Bedrohungen blockieren, also vergleichbar mit dem Konzept eines Virenscanner. IPS hätte den ProxyLogon Angriff in der ersten Welle wahrscheinlich nicht entdeckt / blockiert. Erst wenn der Hersteller / Admin die entsprechende Regel erstellt hat würde der Angriff blockiert. Geo IP hingegen hätte alle Angriffe, welche über Server aus den blockierten Ländern erfolgt wären, geblock. Natürlich hast Du mit Geo IP auch ein Problem wenn der Angriff aus "freigegebenen" Ländern erfolgt. Ich sehe IDS/IPS und Geo IP als Baustein einer umfangreichen Sicherheitsstrategie. Also die beiden Ansätze ergänzen sich und bilden mit VPN, Reverse Proxy Firewall Regel etc. ein Gesamtkonzept. Hier noch eine interessante Diskussion bgzl. ProxyLogin und IDS/IPS und Reverse Proxy von betroffenen Admins.

Wow, auf die einfachste Lösung bin ich nicht gekommen. Das wars - Danke.

Hallo, ich habe ein faszinierendes Problem auf einem Windows 10 Client mit Outlook 2016. Wenn ich das Fenster miniere wird es automatisch „ausgeblendet / geschlossen“. D.h. Outlook läuft noch, nur das Fenster wird geschlossen. Dies passiert auch bei mehreren offenen Outlook Fenster. Dieses Verhalten betrifft aber nur Explorer-Fenster. D.h. wenn z.B. eine E-Mail im Inspector geöffnet und dieses Fenster miniert wird, bleibt das Fenster erhalten. Alle anderen MS Office Programme (Word, Excel etc.) zeigen dieses Verhalten nicht. Ich habe MS Office bereits repariert. Ohne Erfolg.

Hallo Peter, ich verwende OPNSense. Das GEO Blocking ist dort direkt integriert. Im Grunde liefert MaxMind eine Liste mit IP Adressen und Länderbezug. OPNSense importiert diese Liste und stellt diese in sog. Alias zur Verfügung. Somit kann man z.B. einen Alias anlegen, in dem nur Deutschland aktiviert ist. Dieses Alias wird in der Firewall als "Source IP" eingetragen und als "Invert" gekennzeichnet. Diese Regel blockt dann alle Anfragen, ausser aus Deutschland. Oder man verwendet das Alias für einen bestimmten Port (z.B. EAS) und erlaubt mit der Firewall Regel Zugriffe nur aus Deutschland.

Hallo Peter, als Admin würde ich immer kompromittierte Systeme neu installieren / aufbauen. Aber wie Du schon richtig schreibst liegt die Entscheidung (leider) bei der Geschäftsleitung – Kosten gegen Sicherheit.

Hallo Peter, Malwarebytes ist ein sehr guter Scanner. Wird auch in allen "Virenscanner-Foren" empfohlen wenn es um einen potentiellen Virenbefall geht. Ich war nicht vom ProxyLogon Exploit betroffen. Exchange / IIS waren bei mir schon immer nur über VPN erreichbar. Ausnahme ActiveSync. Wie schon beschrieben habe ich für EAS ein eigenes virtuelles Verzeichnis mit eigenem Port angelegt. Alle Authentifizierungsmöglichkeiten für EAS sind deaktiviert. Zugriff nur mit Benutzer Zertifikaten. Des Weiteren Geo IP und Allowed DeviceID. In meinen Firewall Protokollen konnte ich feststellen, dass keine unberechtigten Anfragen auf den EAS Port stattgefunden haben.

Hallo Peter, wenn Du Dein System weiter absichern willst, hätte ich noch einige Ideen: auf der Firewall Geo IP zur Blockierung von unberechtigten Anfragen. Ich nutze die Datenbank von MaxMind Proxy für ausgehende Verbindungen Block bzw. Begrenzung aller ausgehenden Verbindungen für die Windows Server (Exchange, DC, Fileserver), benötigt einen WSUS

Ich habe mich für Eset Endpoint Protection entschieden. Kann sowohl auf Windows 10 als auch Server eingesetzt werden. Ausserdem ist bei den Lizenzen auch eine Cloud Console dabei. Diese bietet unter anderem einen MDM und somit kann ich unsere iPhones darüber verwalten. Gutes Preis / Leistungsverhältnis. Weiterer Vorteil - für die Management Console gibt es auch eine on-premise Version für Windows und Linux.

Hallo Peter, klasse, eine Sicherheitsproblem weniger.

Hi, wenn das Profile schon vor der VPN Verbindung angelegt wurde, würde ich es löschen und neu anlegen. Welche FQDN ist als EAS Server angegeben? Wird der richtig aufgelöst? Ausserdem mal im IIS Protokoll prüfen, ob überhaupt die Anfrage vom iPhone ankommt. Verwendest Du die OpenVPN App und auf welchem System läuft der VPN-Server?

@magicpeter Wie beschrieben, habe ich EAS über andere Wege abgesichert. iOS hat einen eigenen VPN Client (über App Einstellungen -> VPN). Ob Du eine eigene App benötigst kommt auf die VPN Server Sofware / Protokoll an. Der eingebaute Client kann IKEv2, IPSec und L2TP, kommt aber nicht mit allen VPN Servern / Protokollen klar. Für OpenVPN gibt es z.B. eine eigene App. Für SMTP (25) auf jeden Fall noch einen MTA vor dem Exchange Server stellen, unter anderem zur Spamfilterung.

@magicpeter Ganz einfache Lösung - VPN. Damit können sowohl Laptops auch Handis eine Verbindung aufbauen. Ich selber habe allerdings ActiveSync über Benutzerzertifikate, eigenes virtuelles Verzeichnis (eigene IIS Seite), GEO-IP an der Firewall, Allowed DeviceIds abgesichert. Ich bin noch am Recherchieren bzgl. eines Reverse Proxy für EAS.

Kein Wunder, dieses Update ist auch für Exchange 2010 bestimmt. Ich denke Du meinst KB5000871 als Patch für den ProxyLogon Exploit. Dieses Update bekommst Du deshalb nicht angeboten, da es bereits in CU 9 enthalten ist. Also alles richtig gemacht.

@=BT=Viper Hallo, evtl. hilft Dir die Anleitung von Franky bzgl. "Exchange Neuinstallation ohne Datenverlust" weiter.

@katze78 Wenn Du als DNS Server in der Netzwerkkonfiguration die IP-Adresse des Server einträgst, muss auf diesen auch ein DNS Dienst konfiguriert sein. Hier findest Du eine Anweisung, ab Punkt 22. Falls der Server noch keinen Eintrag im DNS hast, kannst Du dann über das Kommando "ipconfig /registerdns" auf dem Server den Eintrag in die Zone forcieren. Dann Client in die Domain aufnehmen.

@katze78 Hast Du ein DNS konfiguriert - ist dort der Server mit der korrekten IP-Adresse eingetragen. Kannst Du einen ping mit der FQDN des Servers vom Client erfolgreich absetzen? Welcher Firewall (Öffentlich oder Privat oder Domain) ist die Netzwerkverbindung auf dem Server / Client zugeordnet? Auf dem Server muss diese Domain sein, auf den Clients vor Domain-Aufname "Privat".

Sind Trigger auf die Original-Tabelle konfiguriert - oder Fremdschlüssel (Referentielle Integrität)?

Hallo, die Funktion "to_Date" ist für die Umwandlung von Strings in Typ Timestamp vorgesehen. Du benötigst den umgekehrten Weg: Timestamp -> String. Hierzu verwendest Du die Funktion "to_varchar", in Deinem Fall also TO_VARCHAR (MAX(DATEUPD), 'DD.MM.YYYY HH:MI:SS.FF3') Falls es sich um den Datentyp "Date" handelt bzw. Du die Millisekunden nicht benötigst, dann einfach ".FF3" weglassen

@tesso sorry, war natürlich für @DocZenith bestimmt.

@NilsK Danke für den Tipp - das ist des Rätsels Lösung. In "Erweiterte Berechtigungen" habe auch ich "Jeder" stehen - passt also. @DocZenith Noch eine Idee bzgl. Deines Problems. Hast Du das Feature "Ressourcen-Manager für Dateiserver" installiert. Evtl. funkt hier eine Einstellung dazwischen.

@tesso Ich habe in den Dateiegenschaften auf Tab "Freigabe", Button "Freigabe" die Berechtigung für "Jeder" gelöscht. Wie schon geschrieben, arbeite ich nur mit NTFS Freigaben, also Tab "Sicherheit". Wenn ich dort für Gruppen / Benutzer Berechtigungen bearbeite werden diese auch automatisch in der Dateifreigabe übernommen. Ich habe es soeben noch mal getestet. Ein neue Ordnerfreigabe erstellt. In den Berechtigung für die Ordnerfreigabe war kein Berechtigung "Jeder" eingetragen, sondern nur die Berechtigung "Besitzer" für meinen Account. Nachdem ich über die NTFS Berechtigung eine Gruppe eingetragen habe, war diese auch in den Dateifreigabe zu sehen und ich konnte vom Client als Mitglieder der Gruppe auf den freigegebenen Ordner zugreifen und Dateien erstellen. Mein Tipp: lege dir doch einfach einen Testordner mit der Konstellation Deiner "Personal" Ordnerfreigabe an und spiele dort mit den Berechtigungen. Also z.B. mal "Jeder" löschen. Ich behaupte ja nicht, dass es an "Jeder" liegt, aber wenn man die Lösung für ein Problem sucht ist es immer hilfreich Dinge auszuprobieren.

Hallo, auf Freigabeebene habe ich gar nichts gesetzt. Wenn ich auf NTFS Ebene eine Berechtitung eintrage, so erscheint diese auch automatisch in der "Dateifreigabe" (Window Server 2016). Danke für den Link bzgl. Freigabe / NTFS Berechtigungen. Der Zusammenhang war mir nicht klar.