welches Buch/ e-Book / Webseite ist empfohlen zu folgenden Security Fragen?

[andrew 15]

Hallo liebe User*innen

 

In Bezug zwei Security Fragen, welches Buch?

1. Ich möchte mich tiefgründig mit dem Thema ADFS auseinandersetzen, weil ich die Absicht habe, eine ADFS Struktur aufbauen zu wollen (Exchange 2019 Absicherung), welche nach Best Practices gebaut ist (welche Geräte im LAN, welche in DMZ), Firewall Ports usw. um den Exchange 2019 besser in Bezug Security absichern zu wollen.

2. Auch in Bezug Security: Ich möchte mich mit dem Security Compliance Toolkit für Win11 und Server 2022 auseinandersetzen und anhand von Beispielen meine GPOs mit den Best Practices Einstellungen von MS vergleichen/ anpassen/ verbessern.

 

cheers

André

bearbeitet 7. Oktober 2022 von andrew

[WSUSPraxis 48]

1. Ich möchte mich tiefgründig mit dem Thema ADFS auseinandersetzen, weil ich die Absicht habe, eine ADFS Struktur aufbauen zu wollen (Exchange 2019 Absicherung), welche nach Best Practices gebaut ist (welche Geräte im LAN, welche in DMZ), Firewall Ports usw. um den Exchange 2019 besser in Bezug Security absichern zu wollen.

 

Warum willst Du das mit ADFS machen ?

[NorbertFe 1.799]

Weils geht? ;) vielleicht soll ja noch mehr an adfs ran. Aber für den to: adfs wirst du keine Bücher finden, so wie für viele andere Themen. Da hilft nur die Microsoft Doku (und die ist schon nicht besonders) und Google. Bei konkreten Fragen fragen. Vielleicht bekommst Antwort. :)

[andrew 15]

vor 16 Minuten schrieb WSUSPraxis:

Warum willst Du das mit ADFS machen ?

 

Weil mich z.B. diese Thematik hier interessiert

Link: https://learn.microsoft.com/en-us/exchange/clients/outlook-on-the-web/ad-fs-claims-based-auth?view=exchserver-2019

Hallo NorbertFe

 

Ich vermutete es, dass es keine Bücher gibt, wo das Thema ADFS explizit, tiefgründig aufgreifen. Von Thomas JOOS im Buch Server 2022 gibt es dazu schon Ausführungen und auch ein Beispiel, jedoch nicht mit Exchange :-(

 

Auch Microsoft hat mit Ihren https://learn.irgendwas.com Webseiten z.B. gute Beispiele, aber eben, wenn wir beim Thema ADFS bleiben, fand ich noch keinen Artikel, welcher dann auch gleich erwähnt, welche Ports z.B. FW technisch geöffnet werden müssen, was best practicse ist betreffend Absicherung des ADFS Anwendungsproxy usw. und sofort ...

 

Darum, sehe ich auch so von wegen: Die Dokumentation betreffend ADFS von Microsoft, ist nicht besonders.

[testperson 1.528]

Hi,

 

wenn es "nur" um Exchange und nicht um NorbertFes "Weils geht" geht, dann evtl. noch etwas Geduld haben und hoffen, dass das schnell passiert:

Zitat

So, we are excited to announce that, in a reversal of our June 2019 announcement, we are working to add Modern authentication to pure on-premises Exchange Server environments (e.g., no cloud or hybrid). We expect to share our timeline for Modern auth support for each Outlook client later this year.

(Exchange Server Roadmap Update - Microsoft Tech Community)

 

Gruß

Jan

[NorbertFe 1.799]

vor 1 Stunde schrieb andrew:

fand ich noch keinen Artikel, welcher dann auch gleich erwähnt, welche Ports z.B. FW technisch geöffnet werden müssen, was best practicse ist betreffend Absicherung des ADFS Anwendungsproxy usw. und sofort ...

Das kann ich mir nun wiederum nicht vorstellen. Also zumindest die Themen Ports und Verfügbarkeit sollten sich bei ms finden lassen.

[andrew 15]

vor 59 Minuten schrieb NorbertFe:

and ich noch keinen Artikel, welcher dann auch gleich erwähnt, welche Ports z.B. FW technisch geöffnet werden müssen, was best practicse ist betreffend Absicherung des ADFS Anwendungsproxy usw. und sofort ...

 

Ich muss präzisieren  In dem Link, welchen ich oben gepostet hatte als Beispiel ADFS Erklärung von MS ist von Firewall Ports nichts erwähnt, obwohl diese Thematik auch ein Bestandteil bei der Implementierung von ADFS ist!

 

Eine Netzwerkübersicht fehlt zB. in meinem, genannten MS Link auch gänzlich. Auch solche Informationen sind halt essenziell, wenn man ADFS implementiert.  Ein Bestandteil von ADFS ist z.B. der 'Web Applikation Proxy' Diesen pflanzt man in eine DMZ und nicht in ein LAN, soll man sich das aus den Fingern saugen, liebe Microsoft?

 

Wir verwenden HTML basierende Webseiten, um z.B. Themen von MS zu lernen bzw. MS verwendet Webseiten, um Erklärungen/ Best Practices Artikel usw. an die Breite Masse zu bringen Also, liebe MS, pflanzt doch auch gleich solche nützliche Informationen in den/die Artikel in Form von Links  Es würde den Leser*innen die Sache einiges vereinfachen, thx euch

 

ADFS deckt auch das Thema 2FA ab, finde ich übrigens ganz spannend. Auch die Tatsache, dass die moderne Authentifizierung damit umsetzbar wird und die in die Jahre, gekommene Standardauthentifizierung ablöst.

 

Nur als Beispiel: Möchte ich/ man Exchange OWA im Internet via eine Sophos FW veröffentlichen, so besteht die Möglichkeit, dass ich ein' formbasierte Authentication' in Bezug Exchange OWA Konfiguration verwende. Diese erlaubt mir/ einem, dass beim Aufruf von https://meineFirma.ch/owa nicht das standardmässige LOGIN Fenster der Exchange OWA Webseite erscheint, sondern, es erscheint dann ein Login Fenster von der Firewall. Gibt man dann hier die LOGIN Daten ein, öffnet sich das Exchange OWA.

 

Nur, wenn wir beim Hersteller Sophos XG bleiben (ich kenne die Veröffentlichung von OWA im Internet nur bei diesem Produkt), dann muss beim Exchange betreffend Authentifizierung für das Verzeichnis /owa wie auch für das Verzeichnis /ecp die Standardauthentifizierung aktivieren. Die Default mässig eingestellte "formularbasierte Authentifizierung" von Exchange OWA würde nicht funktionieren und diese Tatsache verleiht mir in Bezug Sicherheit nicht unbedingt ein besseres Gefühl.

 

Darum schlafe ich möglicherweise besser, wenn ich Exchange OWA via ADFS und 2FA im Internet veröffentliche plus noch weitere Schutzmechanismen implementiere

 

 

 

 

bearbeitet 7. Oktober 2022 von andrew

[WSUSPraxis 48]

Darum schlafe ich möglicherweise besser, wenn ich Exchange OWA via ADFS und 2FA im Internet veröffentliche plus noch weitere Schutzmechanismen implementiere

 

=> Natürlich schläfst Du besser ! Aber noch besser schläfst Du nach meiner Ansicht wenn Du das nicht mit ADFS machst !

[andrew 15]

vor 1 Minute schrieb WSUSPraxis:

Natürlich schläfst Du besser ! Aber noch besser schläfst Du nach meiner Ansicht wenn Du das nicht mit ADFS machst !

 

Das finde ich eine spannende Aussage. Sprichst du aus Erfahrung oder wie? ;)

[NorbertFe 1.799]

vor 23 Minuten schrieb andrew:

vor einer Stunde schrieb NorbertFe:

and ich noch keinen Artikel, welcher dann auch gleich erwähnt, welche Ports z.B. FW technisch geöffnet werden müssen, was best practicse ist betreffend Absicherung des ADFS Anwendungsproxy usw. und sofort ...

 

Ich muss präzisieren  In dem Link, welchen ich oben gepostet hatte als Beispiel ADFS Erklärung von MS ist von Firewall Ports nichts erwähnt, obwohl diese Thematik auch ein Bestandteil bei der Implementierung von ADFS ist!

Falsche Zitate sind nicht in Ordnung. Ich habe das da oben nicht geschrieben.

 

Und ansonsten hat google im ersten Versuch bei ADFS best practises das hier ausgespuckt:

https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/best-practices-securing-ad-fs

 

Und wenn man weiter sucht, findet man bei MS und auch auf diversen anderen Webseiten den ein oder anderen Hinweis. bspw. hier:

https://support.kemptechnologies.com/hc/en-us/articles/204250925-AD-FS-V3-V4

Ich möchte hinzufügen, dass ADFS definitiv weniger gut dokumentiert ist als bspw. Exchange oder SQL Server, aber dass man nix findet, ist auch falsch.

 

Also du wirst IMHO um selbst recherchieren und ggf. eine eigene Artikel Sammlung nicht herumkommen, wenn du das betreiben willst.

 

vor 29 Minuten schrieb andrew:

Nur, wenn wir beim Hersteller Sophos XG bleiben (ich kenne die Veröffentlichung von OWA im Internet nur bei diesem Produkt), dann muss beim Exchange betreffend Authentifizierung für das Verzeichnis /owa wie auch für das Verzeichnis /ecp die Standardauthentifizierung aktivieren. Die Default mässig eingestellte "formularbasierte Authentifizierung" von Exchange OWA würde nicht funktionieren und diese Tatsache verleiht mir in Bezug Sicherheit nicht unbedingt ein besseres Gefühl.

 

Kann ja niemand was dafür, dass du das mit einem Produkt machst, was nix anderes kann. Es gibt auch Lösungen mit Formular auf Formular oder KCD. ;)

vor 30 Minuten schrieb andrew:

Darum schlafe ich möglicherweise besser, wenn ich Exchange OWA via ADFS und 2FA im Internet veröffentliche plus noch weitere Schutzmechanismen implementiere

 

 

Warum? Weil du so viel Doku zum Absichern von ADFS gefunden hast? ;) Exchange kann auch mit diversen Anbietern um 2FA/MFA ergänzt werden.

 

Viel Spaß beim Thema

Norbert

 

[andrew 15]

vor 34 Minuten schrieb NorbertFe:

Falsche Zitate sind nicht in Ordnung. Ich habe das da oben nicht geschrieben.

Ich habe meine, eigene Aussage zitiert und dann präzisiert, oder steht irgendwo eine mcseboard Board Regel, dass man das nicht darf? ;)

 

NorbertFe, ich danke Dir für das Recherchieren und die Links, welche Du gefunden und auch hier gepostet hast.

Gerne werde ich diese genauer durchlesen.

 

vor 34 Minuten schrieb NorbertFe:

Ich möchte hinzufügen, dass ADFS definitiv weniger gut dokumentiert ist als bspw. Exchange oder SQL Server, aber dass man nix findet, ist auch falsch.

 

Dass man nix findet, habe ich hier nirgendwo so geschrieben. Auch ich, lieber NorbertFE finde es nicht korrekt, wenn man mir Wörter in den Mund schiebt, welche ich nicht gesprochen bzw. so geschrieben habe ;)

 

vor 3 Stunden schrieb andrew:

Auch Microsoft hat mit Ihren https://learn.irgendwas.com Webseiten z.B. gute Beispiele, aber eben, wenn wir beim Thema ADFS bleiben, fand ich noch keinen Artikel, welcher dann auch gleich erwähnt, welche Ports z.B. FW technisch geöffnet werden müssen, was best practicse ist betreffend Absicherung des ADFS Anwendungsproxy usw. und sofort ...

So, ich nehme es vornweg: Dieser Satz stammte auch von mir, ich zitiere hier niemanden anderes, nicht, dass sich wieder jemand beschwert, ich würde da falsche Dinge zitieren.

Warum zitiere ich mich schon wieder selber? Weil ich gerne möchte, dass man meine Sätze auch so wiedergibt, wie ich sie auch tatsächlich geschrieben habe.

 

Das geschriebene in roter Schrift impliziert, dass ich es seitens MS schön finden würde, wenn man über einen Artikel schreibt, Themen, welche auch dazu gehören wie ich eben erwähnte, z.B. in Bezug Firewall, welche Ports für welches Produkt geöffnet werden sollten, dass solche Informationen auch gleich mit Betonung im gleichen Blog erwähnt würden, nochmals, im Minimum als Links. Wo liegt das Problem, dass man nicht gleich weitere Informationen verlinken kann? Das ist die Grundidee von Webseiten und der HTML Sprache

 

Logisch findet man/ ich auch meistens auf Anhieb auf die Fragen, auch die entsprechenden Antworten, sobald ich im Internet anfange, spezifisch zu einem Thema Informationen zu finden, in diesem Fall, ADFS und die dazu benötigen Ports. Ich meinte aber damit, wenn man einen Artikel liest, nicht die Best Practices von ADFS, weil dort wird nicht erwähnt, wie ich die Sache bauen muss, darum heisst es ja auch Best Practices, dann einfach alle benötigen, Informationen im Minimum verlinkt sind und das stört mich etwas an MS Webseiten.

 

Ich lese ein Thema und muss meistens noch zig weitere Google Anfragen starten, um am Schluss wie Du es selber erwähnt hast, lieber NorbertFE, alles zusammen gegoogelt hat.

Gut, ok, ich merke, ein Buch von einem bekannten Microsoft MVP Buchautor, welcher das Thema ADFS sehr im Detail auseinander nimmt, gibt es wohl nicht. 

 

Ok, ich nehme das gerne so zur Kenntnis, dann ist es halt so.

Dann google ich mir einen ab  

 

Aber wie sieht es denn mit meiner, zweiten Frage aus: Wie ich erwähnte, interessiere ich mich ebenfalls für das Thema Security Vorlagen von MS. Security Compliance in Bezug Win11 und Server 2022.

Wie ich erwähnte, kann man hierbei die eigenen GPOs mit den MS Best Practices vergleichen, kann weitere GPOs Einstellungen implementieren usw. und sofort.

 

Auch da, einen Link findet man ziemlich schnell, wenn man die Suchmaschine Google mit den richtigen Suchwörtern füttert.

Jedoch, ich bin wieder am gleichen Punkt wie bei der Diskussion vorhin: Es geht hier um das Thema Sicherheit und nicht irgendwie, wie ich im AD Benutzer erstelle oder sonst was Banales und wir wissen ALLE, wenn es um das Thema Sicherheit geht, ist besonders Vorsicht geboten, denn man will und sollte sich nicht etwas verbocken, weil es schwerwiegende Auswirkungen auf die Sicherheit haben könnte und genau das will wirklich Niemand!

 

Darum, guckt man diesen Link hier an in Bezug Security Compliance https://learn.microsoft.com/en-us/windows/security/threat-protection/windows-security-configuration-framework/security-compliance-toolkit-10, finde ich die grobe Zusammenstellung, welche Files wofür sind usw. super gut, aber mir fehlt einfach das Fleisch am Knochen, versteht Ihr was ich meine?

 

Konkrete Beispiele, alles viel tiefgründiger und mit mehr Details erklärt!

bearbeitet 7. Oktober 2022 von andrew

[NorbertFe 1.799]

vor 3 Minuten schrieb andrew:

Ich habe meine, eigene Aussage zitiert und dann präzisiert, oder steht irgendwo eine mcseboard Board Regel, dass man das nicht darf? ;)

 

Steht da vielleicht 

 

 

vor 3 Stunden schrieb andrew:

aber eben, wenn wir beim Thema ADFS bleiben, fand ich noch keinen Artikel, welcher dann auch gleich erwähnt, welche Ports z.B. FW technisch geöffnet werden müssen, was best practicse

vor 4 Minuten schrieb andrew:

Dass man nix findet, habe ich hier nirgendwo so geschrieben. Auch ich, lieber NorbertFE finde es nicht korrekt, wenn man mir Wörter in den Mund schiebt, welche ich nicht gesprochen bzw. so geschrieben habe ;)

 

Doch hast du mehr oder weniger. Denn wenn man adfs und best practises in eine Suchmaschine eingibt, bekommt man ziemlich genau das geliefert (bei MS).

 

 

Viel Erfolg noch und ja, mit Büchern gewinnt man heutzutage kaum noch Punkte. Da ist das technische Wissen oft viel zu schnell  veraltet.

 

Bye

Norbert

[andrew 15]

vor 3 Minuten schrieb NorbertFe:

Viel Erfolg noch und ja, mit Büchern gewinnt man heutzutage kaum noch Punkte. Da ist das technische Wissen oft viel zu schnell  veraltet.

 

Velen Dank lieber NorbertFE.

Ich nehme deine Inputs gerne so zur Kenntnis. Es scheint wirklich der Tatsache geschuldet zu sein, wie du erwähnst, dass sich die MS Rollen und Funktionen/ Möglichkeiten derart schnell wandeln, dass Stand heute wenige Bücher zu finden sind, welche, wie ich es möchte oder mir wünsche, ein Thema wirklich extrem auseinander nehmen und tiefgründig erklären, mit Beispielen, welche die Theorie auch gleich auf praktische Art verherrlichen

 

Wirklich schade, aber wenn ich mich an die früheren Zeiten erinnere, würde ich meinen und oder sogar fast behaupten, dass damals die MS Produkte/ Rollen/ Möglichkeiten nicht wirklich langsamer vonstattengingen Und: Trotzdem gab es damals massenweise Bücher und Material dazu. Dass man fast keine Bücher mehr findet, ist mir eigentlich auch egal, wenn es im Internet Alternativen gäbe, welche genau so im Detail über ein Thema berichten würden, mit Betonung auf würden ......

 

Gut, dann haben wir/ ich die Erkenntnis nach diesem Blog: Google mit den richtigen Wörtern füttern, Informationen von zig Webseiten zusammensuchen und hoffen, dass man dann am Schluss alle Informationen hat, welche man braucht

 

Ob diese Entwicklung nun gut oder schlecht ist, das mag jede und jeder für sich alleine beantworten.

Mir per. Behagt die Tatsache, dass ich mir alles zusammen googeln muss nicht besonders, daher, wen verwundert es, habe ich dieses Thema hier angerissen und ich danke euch allen, liebe User*innen, dass Ihr so zahlreich mitdiskutiert habt, war mir ein Vergnügen.

 

Und sollte jemand doch noch Informationen haben, wo ich z.B. in Bezug Security Compliance wirklich gute Beispiele finde, wie ich von A bis Z anfange, das Security Compliance Toolkit herunterlade bis und, wie man vorgeht, um die Einstellungen zu vergleichen usw. bin ich nach wie vor sehr dankbar.

[tesso 360]

vor 2 Minuten schrieb andrew:

Und sollte jemand doch noch Informationen haben, wo ich z.B. in Bezug Security Compliance wirklich gute Beispiele finde, wie ich von A bis Z anfange, das Security Compliance Toolkit herunterlade bis und, wie man vorgeht, um die Einstellungen zu vergleichen usw. bin ich nach wie vor sehr dankbar.

Ich verstehe noch nicht was du beim SCT wirklich suchst. 

Evtl. helfen dir ja die Unterlagen beim BSI weiter. 

Konfigurationsempfehlungen zur Härtung von Windows 10 mit Bordmitteln (bund.de)

BSI - Studien - SiSyPHuS Win10: Studie zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10 (bund.de)

BSI - SiSyPHuS Win10: Empfehlung zur Härtung von Windows 10 mit Bordmitteln (bund.de)

[andrew 15]

vor 3 Minuten schrieb tesso:

ch verstehe noch nicht was du beim SCT wirklich suchst. 

 

Saludos Tesso

 

Gegenfrage: Hast du für "deine" Windows Clients und oder Windows Server schon einem "Security Audit" unterzogen und du weisst nun, welche GPOs von dir, welche du gesetzt hast, in Bezug Security technisch Sinn machen und oder du hast diese mit den MS Best Practices verglichen und danach geändert und oder erweitert?

 

Genau für diese Thematik habe ich mir diesen Artikel angeschaut, das Security Compliance Toolkit, für die neuste Windows 11 und Server 2022 Version heruntergeladen.

Herunterladen ist nicht wirklich schwierig, das kann jede und jeder. Nur, wie man im Detail dann vorgeht, steht in diesem Artikel hier NICHT oder bin ich möglicherweise blind? Hier ist der Link https://learn.microsoft.com/en-us/windows/security/threat-protection/windows-security-configuration-framework/security-compliance-toolkit-10

 

Findest du/ Ihr in diesem Link irgendwo die Information und oder eine Verlinkung, wie man im Detail startet und vorgehen soll, wie das ganze Securitycompliance Toolkit zu handhaben ist? Ich fand auf diese Frage in diesem Artikel die Antwort NICHT. Wie erwähnt, vielleicht bin ich blind, i don't now

 

Aber ich gucke mir sehr gerne deine Links an, vielen Dank lieber Tesso, das ist sehr nett von dir.