Microsoft Exchange und Active Directory Blog
Manche Active Directory Features lassen sich nicht auf Organisationseinheiten sondern nur auf AD-Gruppen festlegen. Ein Beispiel dafür sind Fine Grained Password Policies. Will man solche Features trotzdem auf alle Benutzer einer Organisationseinheit anwenden, erstellt man einfach eine Gruppe mit allen Benutzern welche in der OU gespeichert werden. Diese Gruppe wird auch Schattengruppe (Shadow Group) genannt. … Weiterlesen …
Um weiterhin die Sicherheit von Exchange Online zu garantieren, beginnt Microsoft schrittweise damit, alte Exchange Server Versionen zu blockieren. Das neue System, welches nun schrittweise eingeführt wird, nennt sich „Transport-based Enforcement System“ und hat drei Funktionen: Melden, Drosseln und Blockieren. In der ersten Stufe werden Administratoren darüber informiert, dass sich im Unternehmen alte Exchange Server … Weiterlesen …
Die Outlook Schwachstelle CVE-2023-23397 wird derzeit aktiv ausgenutzt, besonders kritisch ist dies, da die Ausnutzung ohne Interaktion des Benutzers möglich ist. Angreifer können durch Ausnutzung der Schwachstelle an NTLM Hashes des Benutzers kommen und diese möglicherweise für folgende Angriffe verwenden. Zum Ausnutzen der Schwachstelle reicht es eine präparierte E-Mail oder eine Kalendereinladung an den Benutzer … Weiterlesen …
Microsoft hat neue Sicherheitsupdates für Exchange Server 2013, 2016 und 2019 veröffentlicht. Für Exchange 2013 dürfte es das letzte Sicherheitsupdate sein, da der Support für Exchange 2013 am 11.04.2023 endet. Im März Update für Exchange wurde auch das Problem mit dem abstürzenden EWS Web Application Pool im IIS behoben. Anwendungen welche EWS benutzen, sollten also … Weiterlesen …
Häufig werden Service Accounts für den Start von Windows Diensten oder geplanten Aufgaben mit dem Attribut „Passwort läuft nie ab“ konfiguriert und dann jahrelang genutzt. Oft werden solche Service Accounts auch zweck entfremdet und auf vielen Servern für verschiedenste Aufgaben eingesetzt. Service Accounts mit weit reichenden Berechtigungen und nie ablaufenden Passwörtern erleichtern es dann den … Weiterlesen …
Microsoft hat die Empfehlungen der Ausschlüsse für Virenscanner auf Exchange Server aktualisiert: Konkret sollen diese Verzeichnisse und Prozesse entgegen der ursprünglichen Empfehlung nicht mehr vom Virenscanner ausgeschlossen werden: Bestehende Ausschlüsse für Virenscanner sollten also angepasst werden. Für neue Exchange Installationen eignet sich das Script von Paul Cunningham, welches eine Liste aller Ausschlüsse erstellt: Leider ist … Weiterlesen …
Das Sicherheitsfeature „Windows Extended Protection“ wurde mit einem Sicherheitsupdate im August 2022 für Exchange Server 2013, 2016 und 2019 eingeführt und schützt vor „Man in the middle (MitM)-Angriffen. In kleinen Organisationen, in den es nur einen einzelnen Exchange Server, ohne Loadbalancer und Web Application Firewalls gibt, kann Windows Extended Protection recht einfach aktiviert werden. In … Weiterlesen …
Microsoft hat neue Sicherheitsupdates für Exchange 2013, 2016 und 2019 veröffentlicht. Es werden insgesamt 4 als wichtig eingestufte Schwachstellen behoben. Details zu den geschlossenen Schwachstellen finden sich hier: Wie zu sehen ist, handelt es sich bei allen 4 Schwachstellen um Remote Code Execution Schwachstellen, die Updates sollten daher möglichst zeitnah installiert werden. Hier geht es … Weiterlesen …
Wer mehrere Exchange Server über einen Loadbalancer hochverfügbar gemacht hat, nutzt in der Standardeinstellung NTLM für die Authentifizierung von Outlook Benutzern. Mit ein paar Anpassungen lässt sich aber auch Kerberos zur Authentifizierung nutzen. Kerberos reduziert gegenüber NTLM die Anzahl der Anmeldungen gegenüber dem Active Directory, was zu einer besseren Geschwindigkeit führen kann. Außerdem gilt Kerberos … Weiterlesen …
Bei der Migration von Exchange 2016 zu Exchange 2019 bin ich auf das Problem gestoßen, dass Outlook ständig nach Benutzername und Passwort fragt. Eine Verbindung via Outlook zu Exchange konnte nicht mehr hergestellt werden, sobald der DNS-Eintrag (bzw. der Loadbalancer) auf die neuen Exchange 2019 Server umgestellt wurde. OWA und ActiveSync funktionierten jedoch problemlos. In … Weiterlesen …
