FrankysWeb gibt es jetzt seit fast 6 Jahren und leider sammelte sich auch der Ballast immer weiter an. Wie es nun mal bei „alten Installationen“ so ist, mal wird hier was geändert, mal dort etwas hinzugefügt, über die Jahre kommt da viel Schrott zusammen. So auch hier, die WordPress Datenbank wurde schon zig mal auf die aktuelle Version migriert, das FileSystem des Webservers sah fürchterlich aus…

Daher war ein Neustart dringend überfällig um mal wieder Herr der Lage zu werden. Ich habe mich also entschlossen WordPress in der aktuellen Version komplett neu zu installieren und nur die wichtigen Dinge (Beiträge, Kommentare, Design, etc) zu übernehmen.

Es wäre daher nett, mich über Probleme zu informieren, wenn Seiten oder Funktionen nicht wie gewohnt funktionieren.

An dieser Stelle mal ein kleiner Rückblick, so hat alles angefangen:

Dann wurde es etwas farbiger:

Dann wurde es schwierig (ja, das Theme war nicht so toll):

Und dann sind wir beim aktuellen Design, auch etwas in die Jahre gekommen…

Ich denke in Zunkunft wird auch mal wieder ein Update des Themes nötig, so richtig gefällt es mir nicht mehr, auch stehen noch diverse Optimierungen aus.

Der Beitrag FrankysWeb: Neustart erschien zuerst auf Franky's Web.

Auf dem Exchange Team Blog wurde der Hinweis veröffentlicht, dass .NET Framework 4.6.1 zur Zeit nicht auf Exchange Servern installiert werden sollte:

http://blogs.technet.com/b/exchange/archive/2016/02/10/on-net-framework-4-6-1-and-exchange-compatibility.aspx

In Verbindung mit .NET Framework 4.6.1 kann es wohl auch dazu kommen, dass die Datenbanken offline geschaltet werden. Abhilfe schafft zur zeit nur die Deinstallation von .NET Framework 4.6.1:

https://support.microsoft.com/en-us/kb/3095369

Aktuell wird für Exchange 2016 und Exchange 2013 nur .NET Framework 4.5.2 unterstützt:

Da Exchange Updates nur noch alle 3 Monate veröffentlicht werden, dauert es noch etwas bis ggf. .NET Framework 4.6.1 unterstützt wird.

In diesem Artikel steht beschrieben, wie die automatische Installation verhindert werden kann:

https://support.microsoft.com/en-us/kb/3133990

Der Registry Key lässt sich auch direkt per .REG Datei importieren:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NET Framework Setup\NDP\WU]
"BlockNetFramework461"=dword:00000001

Noch einfacher geht es allerdings per Gruppenrichtlinie:

Der Beitrag .NET Framework 4.6.1 nicht auf Exchange Servern installieren erschien zuerst auf Franky's Web.

Dieser Blog läuft mit WordPress und wird von Strato gehostet. Es gibt zwar unzählige Backup PlugIns für WordPress, doch ich habe bisher keins gefunden, welches meine Anforderungen erfüllt. Ich möchte eigentlich nur ein Backup der WordPress mySQL Datenbank auf meiner NAS ablegen und dazu meine NAS nicht per FTP oder SSH öffentlich im Internet verfügbar machen.

Ich habe mir daher ein kleines PowerShell Script gebastelt, welches per Taskplaner von meinem lokalem Server ausgeführt wird und sich per SSH und SFTP zu Strato verbindet. Per SSH wird zunächst ein Backup der Datenbank erzeugt, welches im Anschluss runtergeladen wird.

Im Prinzip lässt sich das Script auch mit jedem anderen Hoster oder mySQL Server verwenden, wenn der Server per SSH und SFTP erreichbar ist, daher stelle ich das Script in vereinfachter Form mal hier ein:

$sshserver = "ssh.strato.de"
$sshuser = "domain.de"
$sshpass = "MasterPassword"
$dbname = "DB1234567"
$dbhost = "rdbms.strato.de"
$dbuser = "U1234567"
$dbpass = "DatabasePassword"
$backuppath = "D:\Backup"

$sshpass = $sshpass | ConvertTo-SecureString -AsPlainText -Force
$Creds= New-Object System.Management.Automation.PSCredential -ArgumentList $sshuser, $sshpass

#Load Posh Module
try
{
	Import-Module Posh-SSH
}
catch
{
	write-host "Failed to load Posh"
}

#Create Database Backup

try
{
	[string]$backupfilename = "$dbname" + "_" + (get-date -Format ddMMyyyy) + ".sql"
	$sshsession = New-SSHSession -ComputerName $sshserver -Credential $creds -AcceptKey:$true
	[string]$backupcmd = "mysqldump $dbname --add-drop-table -h $dbhost -u $dbuser -p$dbpass > $backupfilename"
	$backupdb = Invoke-SSHCommand -Index $sshsession.index -Command "$backupcmd"
}
catch
{
	write-host "Backup failed"
}

#Download Backup File

try
{
	$sftpsession = New-SFTPSession -ComputerName $sshserver -Credential $creds
	$backupfile = Get-SFTPFile -Index $sftpsession.index -RemoteFile $backupfilename -LocalPath $backuppath
}
catch
{
	write-host "Backup download failed"
}

#Delete Backup File from webserver

try
{
	$deletecmd = "rm " + "$backupfilename"
	$deletefile = Invoke-SSHCommand -Index $sshsession.index -Command "$deletecmd"
}
catch
{
	write-host "Could not delete Backup on webserver"
}

#Disconnect Session

try
{
	$disconnect = remove-sshsession -index $sshsession.index
	$disconnect = Remove-SFTPSession -Index $sftpsession.index
}
catch
{
	write-host "Could not disconnect SSH/SFTP Session"
}

#Verify
try
{
	test-path "$backuppath\$backupfilename"
}
catch
{
	write-host "Verify failed"
}

Vorausetzung für das Script ist das SSH Powershell Modul, welches hier runtergeladen werden kann:

• http://www.powershellmagazine.com/2014/07/03/posh-ssh-open-source-ssh-powershell-module/

Das Script lässt sich einfach erweitern, zum Beispiel um einen Bericht bei Fehler/Erfolg per Mail zu verschicken. In der oben angegeben Form wird allerdings nur das Datenbank Backup erzeugt und runtergeladen:

Vieleicht kann es ja jemand gebrauchen…

Der Beitrag Strato Datenbank Backup mit PowerShell via SSH/SFTP erschien zuerst auf Franky's Web.

Wenn die Suche in Outlook Web Access, bzw. Outlook on the Web, nicht mehr funktioniert, ist meistens ein  kaputter Index schuld. Der Index lässt sich aber recht einfach neu erstellen und in den meisten Fällen ist damit das Problem behoben.

Ob der Index neu erstellt werden sollte, lässt sich mittels Exchange Management Shell rausfinden:

Get-MailboxDatabaseCopyStatus | ft name,contentindexstate -AutoSize

Der Befehl oben listet die Datenbanken auf und zeigt des Status des Index an. Wird in der Spalte „ContentIndexState“ der Wert „FailedAndSuspended“ oder „Failed“ angezeigt, bedeutet dies, dass der Index gar nicht oder unvollständig ist. In diesem Fall sollte der Index neu erstellt werden.

Es gibt zwei Wege den Index neu zu erstellen. Wird eine DAG eingesetzt, kann der Index einfach von einem anderen Mailbox Server übertragen werden, dazu genügt der folgende Befehl:

Update-MailboxDatabaseCopy Test-MBX\KAPUTTERSERVER -CatalogOnly

Wird keine DAG eingesetzt, kann der Index auf folgendem Weg neu aufgebaut werden. Der nachfolgende Weg funktioniert auch, wenn innerhalb der DAG auf allen Mailbox Servern kein intakter Index vorhanden ist.

Um den Index komplett neu zu erstellen, müssen zunächst die folgenden Dienste angehalten werden

• Microsoft Exchange-Suche
• Microsoft Exchange Search Host Controller

Sobald die Dienste beendet sind, kann im Verzeichnis der Mailbox Datenbank das Index Verzeichnis umbenannt, bzw gelöscht werden. Mittels Exchange Management Shell lässt sich das Verzeichnis schnell ermitteln:

Get-MailboxDatabase DB2013 | ft edbfilepath

Der Index befindet sich in diesem Fall im Verzeichnis „d:\DB2013“, im Ordner der Datenbank gibt es für den Index einen Ordner der die Datenbank GUID im Ordnernamen enthält:

Dieser Ordner kann jetzt umbenannt oder gelöscht werden. Danach können die beiden Exchange Dienste wieder gestartet werden. Der Index wird jetzt neu erstellt. Je nach Größe und Anzahl der Elemente innerhalb der Datenbank, kann dass eine ganze Weile dauern.

Nachdem die Dienste neugestartet wurden, wird der Ordner für den Index automatisch neu erstellt:

Mittels Exchange Management Shell lässt sich der Status prüfen:

Get-MailboxDatabaseCopyStatus DB2013 | ft name,contentindexstate -AutoSize

Nachdem der Index erfolgreich erstellt wurde, wird in der Spalte „ContentIndexState“ der Wer „Healthy“ angezeigt.

Der Beitrag Exchange 2013/2016: Index neu erstellen erschien zuerst auf Franky's Web.

ich habe gerade die Version 3.1 des Exchange Reporters hochgeladen. Diesmal habe ich hauptsächlich Fehler behoben die sich trotz vieler Tests in verschiedenen Umgebungen eingeschlichen haben.

Folgende Änderungen habe ich vorgenommen:

• Bugfixes
  • O365report.ps1: Der Report lieferte nur die ersten 1000 Ergebnisse zurück, Dank Kaari behoben
  • Mbxreport.ps1: Bug in der Auflistung der Limits behoben, wenn mehr als 1000 Postfächer in einer Datenbank gespeichert sind (Danke, Mario)
  • Clientinfo.ps1: Abfrage der Outlook Versionen innerhalb des gewählten Intervalls
  • Rightsreport.ps1: Verweigern Berechtigungen werden ausgefiltert (Danke, Daniel)
  • Mailreport.ps1: Anzahl und Volumen empfangener Mails bei mehr als einem Transportserver/dienst wird nicht angezeigt (Danke, Martin)
  • Mailreport.ps1: Fehlerbehandlung verbessert
• Neues Modul
  • KempReport.ps1: Unterstützung für Kemp Loadbalancer

Hier ein Screenshot des neuen Moduls (bitte Handbuch zu den Voraussetzungen beachten):

Außerdem gibt es jetzt die Möglichkeit, Fehler per Formular zu melden. In erster Linie ist das natürlich eine Hilfe für mich, da ich so direkt die nötigen Informationen zur Hand habe. Ihr profitiert natürlich auch, denn so kann ich Probleme schneller beheben. Ich habe versucht das Formular einfach zu halten:

* Erforderliches Feld

Name:*

Email:*

Fehlerberschreibung*

Errorlog hochladen*

Erlaubte Dateiformate: doc,pdf,txt,gif,jpg,jpeg,png,eml,msg
Maximale Dateigröße: 1mb

Screenshot Konsole

Report hochladen

Exchange Version*

Exchange 2010
Exchange 2013
Exchange 2016

Betriebssystem*

Server 2008 (R2)
Server 2012 (R2)
Windows 7
Windows 8
Windows 10

Es gibt mehr als einen Exchange Server*

nein ja

CAPTCHA:*

Das Formular findet sich auch auf der Exchange Reporter Seite. Ein paar Felder sind erforderlich, umso mehr Infos ich zu dem Problem habe, umso besser lässt sich das Problem eingrenzen. Exchange Umgebung ist nicht gleich Exchange Umgebung und jede Installation / Umgebung ist etwas anders. Ich muss daher immer wieder feststellen, dass ich manch ganz einfache Dinge nicht bedacht habe. Daher hilft es ungemein, wenn Fehler gemeldet werden.

Vielen Dank an alle, die bisher bereit waren Fehler zu melden oder auch direkt die Fehlerbehebung mitzuliefern. Und natürlich auch ein ganz großes Dankeschön an alle Beta Tester, die sich teilweise schon die Nächte um die Ohren geschlagen haben.

Hier gibt es die aktuelle Version des Exchange Reporters zum Download:

Exchange Reporter 2.54 MB

Exchange Reporter

Falls sich jemand angesprochen fühlt und auch gerne an den Beta Tests teilnehmen möchte, dann einfach eine Mail schicken. Anregungen zu neuen Features sind natürlich auch immer willkommen.

Der Beitrag Exchange Reporter 3.1 steht zum Download bereit erschien zuerst auf Franky's Web.

Ransomware wie Crypto Locker oder Locky und wie sie nicht alle heißen, entwickeln sich ja mehr und mehr zur Pest. Nur in wenigen Fällen gibt es die Möglichkeit die verschlüsselten Daten wiederherzustellen. Ohne Backup kann der Schaden schnell sehr groß werden.

Da die Trojaner meisten von einem Client aus anfangen Daten zu verschlüsseln und dabei auch vor Netzlaufwerken nicht halt machen, nützt der beste Virenschutz meist wenig auf dem Fileserver selbst.

Es gibt aber für Windows Fileserver aber die Möglichkeit den Schaden möglichst gering zu halten, denn ich glaube niemand will morgens in die Firma kommen und komplett verschlüsselte Netzlaufwerke vorfinden wollen. Helfen kann dabei der „Resourcen-Manager für Dateiserver“.

Wenn noch nicht geschehen muss der Resourcen-Manager zunächst installiert werden:

Nach der Installation, kann der Resourcen-Manager konfiguriert werden. In den Optionen kann zunächst einmal ein SMTP Server für E-Mail Benachrichtigungen eingetragen werden:

Jetzt kann eine neue Dateigruppe angelegt werden, die alle Dateiendungen enthält, welche von den Trojanern benutzt wird. Da es sich um ziemliche viele Endungen handelt, geht das am einfachsten via PowerShell, hier als Beispiel für Server 2012 R2:

New-FsrmFileGroup -Name "Ransomware" –IncludePattern @("*.k","*.encoderpass","*.locky","*.key","*.ecc","*.ezz","*.exx","*.zzz","*.xyz","*.aaa","*.abc","*.ccc","*.vvv","*.xxx","*.ttt","*.micro","*.encrypted","*.locked","*.crypto","_crypt","*.crinf","*.r5a","*.xrtn","*.XTBL","*.crypt","*.R16M01D05","*.pzdc","*.good","*.LOL!","*.OMG!","*.RDM","*.RRK","*.encryptedRSA","*.crjoker","*.EnCiPhErEd","*.LeChiffre","*.keybtc@inbox_com","*.0x0","*.bleep","*.1999","*.vault","*.HA3","*.toxcrypt","*.magic","*.SUPERCRYPT","*.CTBL","*.CTB2","*.locky","HELPDECRYPT.TXT","HELP_YOUR_FILES.TXT","HELP_TO_DECRYPT_YOUR_FILES.txt","RECOVERY_KEY.txt","HELP_RESTORE_FILES.txt","HELP_RECOVER_FILES.txt","HELP_TO_SAVE_FILES.txt","DecryptAllFiles.txt","DECRYPT_INSTRUCTIONS.TXT","INSTRUCCIONES_DESCIFRADO.TXT","How_To_Recover_Files.txt","YOUR_FILES.HTML","YOUR_FILES.url","encryptor_raas_readme_liesmich.txt","Help_Decrypt.txt","DECRYPT_INSTRUCTION.TXT","HOW_TO_DECRYPT_FILES.TXT","ReadDecryptFilesHere.txt","Coin.Locker.txt","_secret_code.txt","About_Files.txt","Read.txt","ReadMe.txt","DECRYPT_ReadMe.TXT","DecryptAllFiles.txt","FILESAREGONE.TXT","IAMREADYTOPAY.TXT","HELLOTHERE.TXT","READTHISNOW!!!.TXT","SECRETIDHERE.KEY","IHAVEYOURSECRET.KEY","SECRET.KEY","HELPDECYPRT_YOUR_FILES.HTML","help_decrypt_your_files.html","HELP_TO_SAVE_FILES.txt","RECOVERY_FILES.txt","RECOVERY_FILE.TXT","RECOVERY_FILE*.txt","HowtoRESTORE_FILES.txt","HowtoRestore_FILES.txt","howto_recover_file.txt","restorefiles.txt","howrecover+*.txt","_how_recover.txt","recoveryfile*.txt","recoverfile*.txt","recoveryfile*.txt","Howto_Restore_FILES.TXT","help_recover_instructions+*.txt","_Locky_recover_instructions.txt")

Bei Server 2008 gibt es das CMDLet New-FsrmFileGroup nocht nicht, daher muss man manuell ran:

Daher hier noch einmal die Liste mit potenziellen Dateiendungen die von Ransomware verwendet wird:

*.k
*.encoderpass
*.locky
*.key
*.ecc
*.ezz
*.exx
*.zzz
*.xyz
*.aaa
*.abc
*.ccc
*.vvv
*.xxx
*.ttt
*.micro
*.encrypted
*.locked
*.crypto
_crypt
*.crinf
*.r5a
*.xrtn
*.XTBL
*.crypt
*.R16M01D05
*.pzdc
*.good
*.LOL!
*.OMG!
*.RDM
*.RRK
*.encryptedRSA
*.crjoker
*.EnCiPhErEd
*.LeChiffre
*.keybtc@inbox_com
*.0x0
*.bleep
*.1999
*.vault
*.HA3
*.toxcrypt
*.magic
*.SUPERCRYPT
*.CTBL
*.CTB2
*.locky
HELPDECRYPT.TXT
HELP_YOUR_FILES.TXT
HELP_TO_DECRYPT_YOUR_FILES.txt
RECOVERY_KEY.txt
HELP_RESTORE_FILES.txt
HELP_RECOVER_FILES.txt
HELP_TO_SAVE_FILES.txt
DecryptAllFiles.txt
DECRYPT_INSTRUCTIONS.TXT
INSTRUCCIONES_DESCIFRADO.TXT
How_To_Recover_Files.txt
YOUR_FILES.HTML
YOUR_FILES.url
encryptor_raas_readme_liesmich.txt
Help_Decrypt.txt
DECRYPT_INSTRUCTION.TXT
HOW_TO_DECRYPT_FILES.TXT
ReadDecryptFilesHere.txt
Coin.Locker.txt
_secret_code.txt
About_Files.txt
Read.txt
ReadMe.txt
DECRYPT_ReadMe.TXT
DecryptAllFiles.txt
FILESAREGONE.TXT
IAMREADYTOPAY.TXT
HELLOTHERE.TXT
READTHISNOW!!!.TXT
SECRETIDHERE.KEY
IHAVEYOURSECRET.KEY
SECRET.KEY
HELPDECYPRT_YOUR_FILES.HTML
help_decrypt_your_files.html
HELP_TO_SAVE_FILES.txt
RECOVERY_FILES.txt
RECOVERY_FILE.TXT
RECOVERY_FILE*.txt
HowtoRESTORE_FILES.txt
HowtoRestore_FILES.txt
howto_recover_file.txt
restorefiles.txt
howrecover+*.txt
_how_recover.txt
recoveryfile*.txt
recoverfile*.txt
recoveryfile*.txt
Howto_Restore_FILES.TXT
help_recover_instructions+*.txt
_Locky_recover_instructions.txt

Nachdem die Dateigruppe angelegt wurde, kann eine Dateiprüfung erstellt werden. Als Dateipfüfungspfad wird dann entweder der Pfad zur Freigabe, oder besser einfach das ganze Laufwerk angegeben:

In den „Benutzerdefinierten Eigenschaften“, kann dann die Dateigruppe „Ransomware“ ausgewählt werden, die zuvor erstellt wurde:

Am besten erst einmal „Passives Prüfen“ auswählen, um sicherzustellen das nicht auch legitime Dateiendungen von irgendwelchen Programmen in der Dateigruppe Ransomware enthalten sind. Ich stelle hier aber direkt auf „Aktives Prüfen“, somit wird verhindert, dass entsprechende Dateiendungen auf dem FileServer gespeichert werden:

Unter dem Reiter E-Mail Nachricht, kann jetzt noch die E-Mail Benachrichtigung aktiviert werden werden:

Danach kann die Dateiprüfung gespeichert werden

Beim Versuch eine Datei mit einer der Endungen aus der Dateigruppe „Ransomware“ zu erstellen, wird jetzt eine „Zugriff verweigert“-Meldung angezeigt. Die Datei wird nicht erstellt:

Der Administrator und der Benutzer, erhalten eine entsprechende Mail:

Das Problem an der Sache ist allerdings: Es wird verhindert, dass beispielsweise Dokument.docx als verschlüsselte Datei unter dem Namen Dokument.docx.locky abgespeichert wird, aber kann man nicht vorhersagen, wie sich der Trojaner verhält, es könnte ja auch sein, dass die Datei dann einfach gelöscht wird.

Morgens in die Firma kommen und einen leeren Fileserver vorfinden, will auch niemand…

Um leere FileServer zu verhindern lässt sich In der Dateiprüfung unter dem Reiter Befehl, zum Beispiel der Dienst beenden der die Freigabe bereitstellt:

Dann stehen zwar Morgens die Freigaben nicht zur Verfügung, aber das ist immer noch besser als komplett verschlüsselte oder leere FileServer. Am sichersten ist es wahrscheinlich den ganzen Server runterzufahren:

Das ist zwar noch etwas drastischer, aber immer noch besser als das hier:

• http://www.heise.de/newsticker/meldung/Ransomware-Virus-legt-Krankenhaus-lahm-3100418.html
• http://www.heise.de/newsticker/meldung/Ransomware-Neben-deutschen-Krankenhaeusern-auch-US-Klinik-von-Virus-lahmgelegt-3103733.html

Die Liste der Dateiendungen muss natürlich ständig aktualisiert/angepasst werden. Wer nicht gleich bei der ersten Datei den Server runterfahren will, kann auch ein kleines Script mit einem Counter basteln, welches erst bei einer bestimmten Anzahl von Dateien den Server runterfährt.

Der Beitrag Windows FileServer vor Ransomware / Crypto Locker schützen erschien zuerst auf Franky's Web.

Gestern hatte ich ja bereits darüber berichtet, wie sich Windows Fileserver mittels Dem „Resourcen-Manager für Dateiserver“ vor Ransomware wie Cryptolocker, Cryptwall oder Locky schützen lassen.

Zu dem Artikel wurde der folgende Kommentar abgegeben:

Hallo Frank,

super Beitrag!
Gibt es einen Trick, wie man den Benutzer abfangen kann und ggf. nur dem Benutzer den Zugriff auf die Freigabe/en verweigert?
Dann müsste man den Server nicht vom Netz nehmen und andere Benutzer könnten weiterarbeiten.

Gruß

Chonta

Erst einmal vielen Dank für die gute Idee und um die Frage zu beantworten: Ja die Möglichkeit gibt es, zwar über Umwege aber es ist möglich.

Auf dem folgenden Weg, ist es mit Server 2012 R2 möglich:

Ladet zunächst das folgende ZIP-Archiv runter und entpackt die beiden enthaltenen Scripte nach c:\Scripts (oder einem anderen Ordner)

Block-SMBShare 0.70 KB

Download

Falls ein anderer Ordner als c:\Scripts gewählt wurde, müssen in den beiden Scripten die Pfade entsprechend angepasst werden.

Jetzt kann in den Dateiprüfungseigenschaften das Senden von Warnungen an das Ereignisprotokoll aktiviert werden:

Dann wird auf dem Reiter „Befehl“ die CMD-Datei wie folgt hinterlegt:

In den Optionen des Ressourcen-Managers werden jetzt noch die Limits für Ereignisprotokollbenachrichtigungen und Befehlsbenachrichtigungen aufgehoben

Die Funktionsweise ist nun folgende:

Wenn ein Benutzer (oder eben der Trojaner) auf dem Netzlaufwerk eine Datei mit der geblockten Endung erstellt, erzeugt der Ressourcen-Manager das Event mit der ID 8215 im Ereignisprotokoll:

Zusätzlich wird das Script „block-smbshare.cmd“ gestartet, welches nur dazu dient, das PowerShell Script „block-smbshare.ps1“ zu starten. Den Umweg über die CMD-Datei musste ich gehen, da sonst immer die UAC dazwischen gefunkt hat.

Das PowerShell Script holt sich nun auf dem Ereignisprotokoll das Benutzerkonto welches versucht hat, eine Datei zu verschlüsseln, bzw. eine geblockte Datei anzulegen. Dann wird dem Benutzer auf der jeweiligen Freigabe der Zugriff verweigert:

In diesem Fall war es der Benutzer „Administrator“. Damit später nachvollzogen werden kann, auf welchen Freigaben der Benutzer gesperrt wurde, wird im Order Scripts eine CSV-Datei erstellt, welches den Benutzer und den Pfad zur Freigabe enthält:

Die Scripte lassen sich natürlich auch weiter anpassen, ich habe zum Beispiel in dem PowerShell Script eingebaut, dass der Server runtergefahren wird, wenn mehr als 50 Ereignisse von unterschiedlichen Benutzern auftreten, denn das würde einen Flächenbrand bedeuten.

Denkbar wäre ja auch mittels des Benutzernamens das AD-Konto zu sperren, allerdings wirkt das nicht sofort und im Fall der Fälle ist Eile geboten.

Der Beitrag Windows Fileserver vor Ransomware schützen (Update) erschien zuerst auf Franky's Web.

In diesen beiden Artikeln hatte ich bereits eine Möglichkeit vorgestellt, um Windows Fileserver vor Locky und anderer Ransomware zu schützen:

• https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locker-schuetzen/
• https://www.frankysweb.de/windows-fileserver-vor-ransomware-schuetzen-update/

Tobbi hat die Idee ebenfalls für Netapp Filer umgesetzt:

• http://www.tobbis-blog.de/netapp-ontap-fileserver-gegen-ransomware-abschotten/

Es bleiben aber auch noch die Clients, von welchen ja die meiste Gefahr ausgeht. Umso schneller die Rechner identifiziert werden, welche sich mit Locky infiziert haben, umso schneller lässt sich der Client vom Netzwerk isolieren und der Trojaner unschädlich machen.

Ich habe daher noch mal ein bisschen nachgedacht und bin auf meiner Recherche zu Locky auf dem Blog von Fortinet gelandet. Fortinet hat sich Locky genauer angeschaut:

• http://blog.fortinet.com/post/a-closer-look-at-locky-ransomware-2

Der Artikel von Fortinet ist sehr lesenswert und enthält zudem wichtige Informationen die sich verwenden lassen. Locky kontaktiert Command & Control Server im Internet, Fortinet gibt sogar an, welche das sind:

Die C&C Server lassen sich ja einfach an der Firewall sperren, dann sind sie zwar nicht mehr erreichbar, aber das hindert Locky wahrscheinlich noch nicht Dateien zu verschlüsseln, zumal das wahrscheinlich noch nicht alle C&C Server sind.

Aber die C&C Server helfen dabei die Clients zu identifizieren, die sich Locky eingefangen haben, wenn das die Firewall nicht direkt melden kann, könnte man ja auch die Windows DNS Server protokollieren lassen, welche Rechner welche Domains auflösen. Das Log lässt sich dann nach den C&C Domains durchsuchen.Versucht ein Client einen C&C Server per DNS aufzulösen, wird er sich wohl Locky eingefangen haben.

Ich hab da mal was vorbereitet:

DNSLogger für Locky 1.80 KB

Download

Damit das Script die Rechner identifizieren kann, welche versuchen die Locky C&C Server zu erreichen, muss auf den DNS Server die Debugprotokollierung eingeschaltet werden:

Nach kurzer Zeit wird dann das DNS Debug Log befüllt:

Dieses Log Log lässt sich mit der PowerShell auswerten. Findet das Script einen der Command & Control Server von Locky im DNS Log, wird eine Mail verschickt:

Das Script muss noch etwas angepasst werden:

In Zeile 1 muss der Pfad zum DNS Debuglog angegeben werden, Zeile 2 bis 5 enthalten die Daten für den Mailversand. Wenn das Script durchgängig laufen soll, kann in Zeile 7 der Wert für „LoopScript“ auf „$true“ gesetzt werden.

Das Script lässt sich jetzt entweder in Endlosschleife per PowerShell starten (LoopScript = $true) oder zyklisch per Taskplaner ausführen.

Hinweis: Wenn das Script in einer Endlos Schleife läuft und Treffer im Log gefunden werden, wird eine kleine Mail Flut losgetreten. Das muss ich noch etwas anpassen, aber lieber erst einmal zu viele Mails, als Montag das große Chaos…

Ab Zeile 10 sind übrigens alle C&C Server aufgelistet die sich bisher gefunden habe. Wer noch mehr kennt, bitte melden.

Der Beitrag Locky: Verseuchte Clients identifizieren erschien zuerst auf Franky's Web.

Wir sollten so langsam der Ransomware den Stinkefinger zeigen, Fileserver können wir schon schützen, verseuchte Clients ebenfalls identifizieren:

• https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locker-schuetzen/
• https://www.frankysweb.de/windows-fileserver-vor-ransomware-schuetzen-update/
• https://www.frankysweb.de/locky-verseuchte-clients-identifizieren/

Auch an den Clients kann etwas getan werden um einer Infektion vorzubeugen. Es gibt hier allerdings kein Pauschalrezept, aber mit GPOs hat man ein mächtiges Werkzeug zur Hand um zumindest auf aktuelle Situationen reagieren zu können.

Hier sind 3 GPOs die Windows Clients vor Infektionen mit Ransomware schützen können. Natürlich gelten _IMMER_ die folgenden Grundsätze:

• Der Benutzer ist KEIN lokaler Administrator
• Die Windows Firewall ist aktiviert
• Der Virenschutz ist aktuell (Aktuell heißt in diesem Fall, die Signaturen sind nicht älter als 12 Stunden)
• Die Windows UAC ist aktiviert

Man kann über einen oder alle der oben genannten Punkte streiten? Gern, nur nicht mit mir :-) Diese Maßnahmen als zusätzliche Stufe anzusehen, im Idealfall schafft es die Ransomware erst gar nicht bis zum Client. Da es aber so viele Infektionen gibt, beuge ich auch lieber vor…

Makros deaktivieren

Derzeit verbreitet sich Locky hauptsächlich über Word Dokumente die via E-Mail zugeschickt werden, Das Word Dokument enthält dann ein Makro, welches den eigentlichen Schadcode nachlädt. Mittels GPOs lassen sich Makros deaktivieren. Dazu müssen die entsprechenden Vorlagen für Office runtergeladen werden:

• Office 2010 ADM / ADMX
• Office 2013 ADM / ADMX
• Office 2016 ADM / ADMX

Hier mal das Beispiel für Office 2016:

Die EXE-Datei entpackt nur die Vorlagen, diese müssen jetzt noch an den entsprechenden Ort kopiert werden. Also entweder in dem lokalen Policy Store auf dem DC oder dem Central Store.

In diesem Fall werden die Verzeichnisse und Dateien aus der entpackten EXE nach C:\Windows\PolicyDefinitions (lokaler Speicher) kopiert:

In der Gruppenrichtlinienverwaltung kann jetzt eine neue GPO angelegt werden und die Computerkonfigurationseinstellungen deaktiviert werden:

Innerhalb der GPO können nun die Makros abgeschaltet werden:

Sobald die GPO mit einer gewissen Anzahl an Benutzern getestet wurde, kann die GPO an alle Benutzer zugewiesen werden.

Hier gilt es die GPO vorher zu testen, vieleicht brauchen ja bestimmte Benutzer oder Abteilungen Makros für Ihre tägliche Arbeit. Das lässt sich dann entsprechend filtern.

Java Script im Internet Explorer deaktivieren

Während ich diesen Artikel schreibe, habe ich gelesen, dass sich die Ransomware Teslacrypt auch über infizierte Webseiten (Hauptsächlich wohl auf Joomla basierend) verbreitet. Dies geschieht via JavaScript:

Um Java Script zu deaktivieren, kann eine weitere GPO erzeugt werden, diesmal mit deaktivierten Benutzerkonfigurationseinstellungen:

Jetzt kann die GPO bearbeitet und zu folgendem Punkt navigiert werden:

• Computerkonfiguration
• Richtlinien
• Administrative Vorlagen
• Windows-Komponenten
• Internet Explorer
• Internetsystemsteuerung
• Sicherheitsseite
• Internetzone

In der Zone „Internet“ lässt sich jetzt „Active Scripting“ deaktivieren:

Jetzt kann die GPO wieder getestet werden, und danach mit der Domain verknüpft werden:

Softwareeinschränkung konfigurieren

Viren und Trojaner gehen oft nach dem gleichen Muster vor, irgendeine Schwachstelle wird ausgenutzt, der Virus/Trojaner wird nachgeladen und ausgeführt, häufig geschieht das Ausführen aus einem temporären Ordner oder aus den APPDATA Ordern, daher kann man auch hier ansetzen.

Wieder eine neue GPO erzeugen, Benutzerkonfigurationseinstellungen deaktiviert

Die GPO kann jetzt editiert werden und die Softwareeinschränkung aktiviert werden:

Jetzt können unter zusätzliche Rgelen die Einschränkungen aktiviert werden:

Wie oben werden nun die folgenden Pfadregeln konfiguriert:

• %appdata%\*.exe
• %appdata%\*\*.exe
• %localappdata%\*.exe
• %localappdata%\*\*.exe
• %temp%\*exe
• %temp\*\*.exe

Anwendungen aus den Verzeichnissen werden nun nicht mehr ausgeführt:

Auch hier gilt wieder, GPO testen und erst dann an die Domain oder OU zuweisen.

Der Beitrag Clients vor Infektion mit Ransomware schützen (Locky, Cryptolocker) erschien zuerst auf Franky's Web.

VMware hat ein Dokument zu den Best Practises für Exchange 2016 auf VMware vSphere veröffentlicht:

http://www.vmware.com/files/pdf/vmware-microsoft-exchange-server-2016-on-vsphere-best-practices-guide.pdf

Die meisten Exchange Server werden wohl als VM installiert werden, daher finde ich das Dokument sehr lesenswert.

Den Teil über Exchange 2016 auf All-Flash Storage finde ich ganz interessant, aber das könnt ihr ja selbst nachlesen…

Auch HP hat einen Guide veröffentlicht, hier allerdings etwas spezieller (C7000 Blade Enclosure und BL460c Gen9 Blades mit DAS Storage):

http://www8.hp.com/h20195/v2/GetPDF.aspx/4AA6-3740ENW.pdf

Der Beitrag Exchange 2016: VMware Best Practises erschien zuerst auf Franky's Web.

Hier habe ich ja schon einige Ansätze veröffentlicht um die Ransomware Pest in den Griff zu bekommen:

• https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locker-schuetzen/
• https://www.frankysweb.de/windows-fileserver-vor-ransomware-schuetzen-update/
• https://www.frankysweb.de/locky-verseuchte-clients-identifizieren/
• https://www.frankysweb.de/clients-vor-infektion-mit-ransomware-schuetzen-locky-cryptolocker/

Mich erreichen allerdings auch täglich viele Mails mit Nachfragen, was noch alles möglich ist. Dazu muss ich sagen: Kommt drauf an…

Die Scripte in den Artikeln funktionieren nicht in jeder Umgebung, sondern müssen wahrscheinlich etwas angepasst werden. Auch die Liste der Dateiendungen ist mittlerweile veraltet und muss angepasst werden. Hier muss immer mal wieder etwas Hand angelegt werden.

Ich habe daher mal das Script aus diesem Artikel etwas angepasst um weitere Möglichkeiten aufzuzeigen:

$logfile = "c:\Scripts\logfile.csv"
$events = Get-EventLog -LogName application -Source SRMSVC -After (get-date).AddMinutes(-10) | select ReplacementStrings -Unique
if ($events.count -gt 50)
	{
		stop-computer -force
	}
else
	{
		foreach ($event in $events)
			{
				$sourceuser = $event.ReplacementStrings[0]
				$smbsharepath = $event.ReplacementStrings[1]
				
				#Versuchen den Rechner zu finden
				
				$openfiles = Get-SmbOpenFile | where {$_.clientusername -like "$sourceuser"}
				$PCIP = $openfiles.clientcomputername | select -first 1
				$PCFQDN = (Resolve-DnsName $pcip | where {$_.section -match "answer"}).Namehost
				$PCUNC = $PCFQDN.split(".")[0]
				
				#Infos ausgeben
				
				write-host "Benutzer:" $sourceuser
				write-host "Freigabe:" $smbsharepath
				write-host "IP des PCs:" $pcip
				write-host "FQDN des PCs" $PCFQDN
				write-host "PC UNC Name" $PCUNC
		
				#Freigabe blocken (Freigabe Rechte für Benutzer auf Verweigern stellen)
				
				$blockaccess = Get-SmbShare | where {$_.path -like $smbsharepath} | Block-SmbShareAccess -AccountName $sourceuser -Force
				$log = "$sourceuser" + ";" + "$smbsharepath" + "$pcname"
				$log | add-content $logfile
				
				#PC des BEnutzers runterfahren
				
				Stop-Computer -ComputerName $PCUNC -force
				
				#Benutzerkonto sperren (AD Modul für PowerShell benötigt)
				
				Get-ADUser $sourceuser | Disable-ADAccount				
				
			}
	}

Das Script liefert die erkannten Werte zurück, in etwa so:

Ob man nun das Benutzerkonto im Active Directory sperrt, den PC des Benutzers runterfährt, den FileServer runterfährt oder die Zugriffsrechte auf der Freigabe verweigert, muss jeder selbst entscheiden. Natürlich können diese Methoden auch nach hinten losgehen: Benutzer speichert aus Versehen oder mit Absicht eine Datei mit entsprechender Änderung auf einer Freigabe und fährt damit den oder die FileServer runter…

Es gibt also viele Dinge die beachtet werden müssen, man könnte sich ja auch nur eine Mail schicken lassen, wenn eine entsprechende Datei gefunden wird, blöd nur, wenn die Mail in der Nacht nicht gelesen wird. Man könnte aber das Script an die Geschäftszeiten anpassen: Innerhalb der Geschäftszeiten: Mail an den Admin, Außerhalb der Geschäftszeiten: Fahre PC des Benutzers runter.

Alles denkbar, alles machbar, mit ein bisschen PowerShell…

Ach ja, was auch ziemlich hilfreich ist: Ein gutes und AKTUELLES Backup! Wann wurde denn das letzte Mal der Restore getestet? J

Und da wären wir auch schon beim nächsten Punkt: Wenn sich das Verschlüsseln nicht mit Sicherheit verhindern lässt, dann muss ich halt dafür sorgen, dass der Datenverlust im Fall der Fälle möglichst gering ist. Hier könnte man auch über Windows VSS Snapshots nachdenken. Zum Beispiel ein kleines Script, welches alle 30 Minuten einen VSS Snapshot auslöst und beispielsweise 4 Versionen stehen lässt.

Generell muss sich jeder Admin von FileServern Gedanken machen, wie man sich am Besten vor Ransomware schützt. „Geld gegen Daten“ könnte die neue „Penisverlängerung“ werden. Nur fällt auf Mails mit „Penisverlängerung“ _kaum_ jemand mehr rein…

Erste Tests der Malware Bytes Beta sehen ebenfalls sehr vielversprechend aus:

https://forums.malwarebytes.org/index.php?/topic/177751-introducing-malwarebytes-anti-ransomware/

Es bleibt also spannend…

Der Beitrag Windows Fileserver vor Ransomware schützen (Update 2) erschien zuerst auf Franky's Web.

Mittels Mailspoofing wird gerne versucht, Benutzer dazu zu überreden gefährliche Anhänge in E-Mails zu öffnen. Dabei soll es so aussehen, als käme die Mail von einem Kollegen oder einem Gerät, wie beispielsweise Scanner oder Fax2Mail. Mittels Mailspoofing wird die Absender Adresse gefälscht, sodass es für den Benutzer aussieht, als käme die Mail von einem internen Absender.

Hier mal ein Beispiel:

Es sieht so aus als hätte scanner@frankysweb.de eine Mail an frank@frankysweb.de geschickt, im Anhang befindet sich augenscheinlich ein PDF Dokument.

Für den Benutzer ist an dieser Stelle nicht erkenntlich das die Mail nicht von einem internen Drucker/Scanner kommt und ihm ein Kollege vielleicht nur ein Dokument zugeschickt hat. Der Anhang, also in diesem Fall das PDF ist dann meist ein infiziertes Dokument, welches den Virus/Trojaner enthält oder nachlädt.

Bekommt der Benutzer so eine Mail haben, also schon die vorgeschalteten Sicherheitsmechanismen versagt. Erst im E-Mail Header wird sichtbar, das die Mail über einen Mailserver aus dem Internet an den Benutzer gesendet wurde:

Wie oben gezeigt handelt es sich hier nur um eine Simulation. Wer allerdings den Exchange Server direkt für den Empfang von Mails aus dem Internet konfiguriert, sprich MX-Record zeigt auf die öffentliche IP und ein Router leitet Port 25 ungefiltert an den Exchange Server weiter, sollte prüfen ob die Konfiguration Mail Spoofing ermöglicht:

• http://www.sendanonymousemail.net/

Kommt die Mail an? Wenn ja, dann beheben!

Die Einstellung findet sich dazu auf den Exchange Empfangsconnectoren. in der Standardeinstellung ermöglicht es Exchange Anonymen Benutzern Mails an die authorativen E-Mails Domains zu senden, wenn auf dem Empfangsconnector die Berechtigungsgruppe „Anonyme Benutzer“ aktiviert werden:

Gesteuert wird es über eine entsprechende Berechtigung im Active Directory:

Get-ReceiveConnector | Get-ADPermission -user "NT-Autorität\Anonymous-Anmeldung" | where {$_.ExtendedRights -like "ms-exch-smtp-accept-authoritative-domain-sender"}

Ist hier der Empfangsconnector aufgeführt, der auch die Mails aus dem Internet annimmt, wie hier der Fall, kann das Recht mittels Exchange Management Shell entfernt werden. Auf einem Server in deutscher Sprache lautet der Befehl wie folgt:

Get-ReceiveConnector "Name des Empfangsconnectors aus Richtung Internet" | Get-ADPermission -user "NT-Autorität\Anonymous-Anmeldung" | where {$_.ExtendedRights -like "ms-exch-smtp-accept-authoritative-domain-sender"} | Remove-ADPermission

Und auf einem Server mit englischem Betriebssystem:

Get-ReceiveConnector "Name des Empfangsconnectors aus Richtung Internet" | Get-ADPermission -user "NT AUTHORITY\ANONYMOUS LOGON" | where {$_.ExtendedRights -like "ms-exch-smtp-accept-authoritative-domain-sender"} | Remove-ADPermission

Jetzt kann noch einmal getestet werden, ob das Problem behoben ist und Mail Spoofing nicht mehr möglich ist.

Der Beitrag Exchange Server: Mailspoofing verhindern erschien zuerst auf Franky's Web.

Am Samstag ist Ray Tomlinson an einem Herzinfarkt verstorben. Ohne Ihn hätten wir wohl kein @-Zeichen auf der Tastatur. Ray Tomlinson hat 1971 als Erster das @-Zeichen verwendet, um eine E-Mail zu verschicken.

Der Wikipedia Artikel ist leider sehr dünn:

https://de.wikipedia.org/wiki/Ray_Tomlinson

Heise schreibt einen schöneren Nachruf:

http://www.heise.de/newsticker/meldung/Ray-Heaven-zum-Tode-von-Ray-Tomlinson-3129308.html

Ruhe in Frieden R@y!

(Quelle: http://openmap.bbn.com/~tomlinso/ray/ka10.html)

Der Beitrag RIP R@y! erschien zuerst auf Franky's Web.

Also wenn Microsoft jetzt schon den Flash Player in den Server Editionen vorinstalliert, dann werden wir dieses hier wohl häufiger sehen:

Hier handelt es sich um die Technical Preview 4 von Server 2016. Ich hoffe der Flash Player ist in der finalen Version nicht mehr enthalten, denn allein im März 2016 musste Adobe 23 Sicherheitslücken im Flash Player stopfen:

https://helpx.adobe.com/security/products/flash-player/apsb16-08.html

Im Februar 2016 waren es 22 Sicherheitslücken:

https://helpx.adobe.com/security/products/flash-player/apsb16-04.html

Ich dachte eigentlich das Update oben, würde das „Ding“ da unten gleich entfernen:

Aber das hat ja auch was Gutes, ENDLICH funktionieren die tollen Flash Spiele auch per Default auf Windows Terminal Servern, das macht das Leben doch deutlich einfacher…

In der TP4 gibt es sogar eine neue Funktion die sich „Vollautomatische Datenverschlüsselung“ nennt… Lässt sich mit der TP4 gaaaanz einfach nutzen…

So, genug darauf rumgehackt… Ach, nein, einen hab ich noch. Wenn der Flash Player in der RTM bleibt, kann ich dann bitte auch Exchange Server für Linux bekommen?

http://www.microsoft.com/en-us/server-cloud/sql-server-on-linux.aspx

Ist das vieleicht der „wahre“ Grund warum die Entwickler von SQL Server, lieber SQL Server für Linux entwickeln als für Server 2016? Ich mein ja nur…

Der Beitrag Windows Server 2016 TP4 und Flash Player? erschien zuerst auf Franky's Web.

Heute wurden neue Updates für Exchange Server 2007, 2010, 2013 und auch für Exchange Server 2016 veröffentlicht:

• Exchange 2016 CU 1
• Exchange 2013 CU 12
• Exchange 2010 SP3 UR 13
• Exchange 2007 SP3 UR 19

Neue UM-Sprachpakete gibt es hier:

• UM-Sprachpakete für Exchange 2016 CU 1
• UM-Sprachpakete für Exchange 2013 CU 12

Eine Liste der Änderungen gibt es hier:

• Exchange 2016 CU 1
• Exchange 2013 CU 12
• Exchange 2010 SP3 UR 13
• Exchange 2007 SP3 UR 19

Achtung: Die Updates bringen zur Zeit noch keine Unterstützung für .NET Framework 4.6.1. Unterstützung für .NET Framework 4.6.1 soll voraussichtlich mit dem nächsten Update kommen, welches allerdings erst in 3 Monaten erscheinen wird, wenn keine Ausnahme gemacht wird.

Exchange 2016 CU1 erweitert das Active Directory Schema.

Hinweis: Das CU1 für Exchange 2016 gibt es als ISO-Datei zum Download und nicht wie bisher als selbst entpackendes Archiv.

Die Liste an Änderungen für Exchange 2016 ist recht überschaubar, trotzdem muss das komplette ISO-File mit 6,14 GB runtergeladen werden, ob das so sinnvoll ist? Bei langsamer Internetanbindung, würde mich das stören…

Der Beitrag Neue Exchange Server Updates verfügbar erschien zuerst auf Franky's Web.

Ich bin gerade dabei meine VMs neu zu installieren und wenn ich schon mal dabei bin, will ich natürlich auch die bestmögliche Performance aus den VMs kitzeln. Das fängt schon bei der Wahl des SCSI Controllers für die VMs an. In der Standardeinstellung bietet VMware vSphere den LSI Logic SAS Controller für Windows Server 2012 R2 an. Der Controller wird auch von Windows erkannt, allerdings ist gerade der VMware Paravirtual SCSI Controller (PVSCSI) für IO intensive Anwendungen besser geeignet:

Laut VMware wird der Paravirtual SCSI Controller mit Windows Server 2012 R2 unterstützt:

• VMware Compatibility Guide Server 2012 R2

Server 2012 R2 lässt sich allerdings erst installieren, wenn der Treiber aus den VMware Tools geladen wurde. Ansonsten wird kein Controller und damit auch keine Festplatte gefunden:

Um den Treiber zu laden, kann während der Installation einfach das VMware Tools Image geladen werden:

VM –> Gast –> Vmware Tools installieren/aktualisieren

Sobald das Vmware Tools Image geladen wurde, kann mittels „Treiber hinzufügen“ der Treiber geladen werden:

Der PVSCSI Treiber befindet sich in folgendem Ordner auf der VMware Tools CD:

\Program Files\Vmware\Vmware Tools\Drivers\pvscsi\amd64

Der Treiber wird angezeigt und kann geladen werden

Nachdem der PVSCSI Treiber geladen wurde, muss das VMware Tools Image wieder ausgehangen werden:

VM –> Gast –> Installation von VMware Tools beenden

Zum Schluss einmal auf die Schaltfläche „Aktualisieren“ klicken. Jetzt kann die Installation beginnen.

Der Beitrag Installation Server 2012 R2 mit Paravirtual SCSI (PVSCSI) erschien zuerst auf Franky's Web.

Für Exchange 2010 und Exchange 2013 hatte ich ja hier bereits Artikel für die Sophos UTM Webserver Protection (WAF) veröffentlicht. Da es aber mittlerweile Exchange 2016 veröffentlicht wurde und auch die Sophos UTM in einer aktuelleren Version vorliegt, gibt es an dieser Stelle mal wieder ein Update.

Umgebung (UTM und Exchange)

Exchange Server 2016 CU1 und Sophos UTM 9.400-9 sind die eingesetzten Versionen. Die Exchange URLs lauten intern, sowie extern auf mail.frankysweb.de und es wird Split-Brain DNS eingesetzt.

Als ersten kann das Zertifikat installiert werden. Ich verwende ein Wildcard Zertifikat (*.frankysweb.de). Es funktioniert aber auch, wenn nur die externen Hostnamen auf dem Zertifikat hinterlegt sind (als Beispiel autodiscover.frankysweb.de und mail.frankysweb.de).

Wichtig: Es muss ein SAN-Zertifikat genutzt werden, also ein Zertifikat welches mindestens die beiden externen Namen enthält, es können nicht 2 Zertifikate mit je einem Namen verwendet werden.

Nachdem das Zertifikat installiert wurde, wird der Real Webserver angelegt, hierbei handelt es sich um den Exchange Server der bei mir intern, sowie extern mail.frankysweb.de heißt:

Jetzt müssen die Firewall Profile angelegt werden. In diesem Fall werden zwei Firewall Profile benötigt, eins für Autodiscover und eins für die restlichen Exchange Webservices.

Einstellungen für das Autodiscover Firewall Profile

Entry URLs:

/autodiscover
/Autodiscover

Skip Filter Rules:

• 960015
• 960911

Einstellungen Exchange Webservices Firewall Profile

Entry URLs:

/ecp
/ECP
/ews
/EWS
/Microsoft-Server-ActiveSync
/oab
/OAB
/owa
/OWA
/rpc
/RPC
/mapi
/Mapi
/

Skip Filter Rules:

• 960015
• 981203
• 960010
• 960018
• 981204
• 960032
• 981176

Virtual Webserver

Jetzt können die Virtual Webserver angelegt werden. Hier werden ebenfalls zwei virtuelle Webserver angelegt, einen für Autodiscover und einen für die restlichen Webservices:

Hier die Einstellungen für den Autodiscover Virtual Webserver:

Und hier für die restlichen Exchange Webservices:

Ausnahmen

Damit alle Dienste korrekt funktionieren, werden noch Ausnahmen benötigt

Autodiscover:

Paths:

/autodiscover/*
/Autodiscover/*

OWA Antivirus:

Paths:

/owa/ev.owa*
/OWA/ev.owa*

Outlook Anywhere (RPCoverHTTP und MAPIoverHTTP)

Paths:

/rpc/*
/RPC/*
/mapi/*
/MAPI/*

Exchange Webservices

Paths:

/ecp/*
/ECP/*
/ews/*
/EWS/*
/Microsoft-Server-ActiveSync*
/oab/*
/OAB/*
/owa/*
/OWA/*

Fertig.

Der Beitrag Sophos UTM 9.4 WAF und Exchange 2016 erschien zuerst auf Franky's Web.

Exchange 2016 bringt wie auch Exchange 2013 eine Weboberfläche zur Verwaltung mit (EAC), auf der die grundlegenden Tätigkeiten der Administration erledigt werden können. Allerdings bringt die einfache Administration via Webinterface auch Risiken mit.

Wer zum Beispiel Exchange 2016 und auch Exchange 2013 Server im Internet erreichbar macht, damit auf OWA, ActiveSync und Outlook Anywhere zugegriffen werden kann, hängt meistens auch die Admin Oberfläche ins Internet.

Mir wird immer etwas mulmig, wenn Administrationsoberflächen direkt aus dem Internet zugänglich sind, auch wenn starke Kennwörter vergeben werden. Wem es genauso geht, kann jetzt weiterlesen.

Hintergrund

Die EAC wird über das virtuelle Verzeichnis ECP angesprochen. Im folgenden Screenshot ist das gut zu erkennen:

Das Verzeichnis ECP wird logischerweise vom IIS-Server bereitgestellt:

Allerdings hat das ECP Verzeichnis 2 Funktionen, zum einen die EAC und zum anderen werden via ECP auch die Kontoeinstellungen für Benutzer veröffentlicht. Dies lässt sich hier erkennen:

Die Tatsache das via ECP zwei unterschiedliche Oberflächen hinter einem virtuellen Verzeichnis hängen, ist meiner Ansicht nach etwas unglücklich gelöst. Ein weiteres Verzeichnis wie etwa „Admin“ wäre meiner Meinung nach schöner, denn dann könnte man den Zugriff entsprechend an der Firewall regeln. Wer Exchange mittels NAT veröffentlicht hat, guckt dann natürlich immer noch in die Röhre.

Auch ECP am IIS-Server mittels IP-Filter einzuschränken, ist problematisch:

Mittels „IP- und Domäneneinschränkungen“ lässt sich zwar nur das interne Netzwerk erlauben, aber das deaktiviert für alle externen Benutzer die Konteneinstellungen.

Lösung

Es gibt für das ECP Verzeichnis den Parameter „AdminEnabled“, per Default steht der Patameter auf dem Wert „True“, welches die EAC einschaltet. Um also die EAC abzuschalten, kann dieser Parameter einfach auf „False“ gesetzt werden. So bleiben die Kontoeinstellungen für Benutzer erreichbar, nur eben das Admin Interface wird abgeschaltet:

Get-EcpVirtualDirectory -Server mail | Set-EcpVirtualDirectory -AdminEnabled:$false

Nachdem der Wert geändert wurde, muss der IIS neugestartet werden (iisreset). Allerdings gibt es auch hier ein Problem, denn der Parameter deaktiviert die EAC komplett. Intern, sowie extern:

Microsoft empfiehlt an dieser Stelle einen weiteren Exchange Server, im Prinzip also mindestens einen Exchange Server mit AdminEnabled=True und einen mit AdminEnabled=False. Für kleine Umgebungen, mit nur einem Exchange Server also auch keine wirkliche Lösung.

EAC Workaround

Da ich in meiner privaten Umgebungen auch nur einen Exchange Server habe, nutze ich einen kleinen Workaround. Ich habe zwei ECP Verzeichnisse auf einem Exchange Server angelegt, jeweils mit unterschiedlichen Ports. Hier die Konfiguration:

Neue Website im IIS anlegen:

Nachdem die neue Website hinzugefügt wurde, müssen die Bindungen angepasst werden:

Jetzt können per Exchange Management Shell die virtuellen Verzeichnisse angelegt werden:

New-EcpVirtualDirectory -Server mail -WebSiteName "Admin EAC"
New-OwaVirtualDirectory -Server mail -WebSiteName "Admin EAC"

Im IIS sieht es jetzt so aus:

Für ECP in der „Default Web Site“ kann EAC jetzt abgeschaltet werden:

Get-EcpVirtualDirectory "ecp (Default Web Site)" | Set-EcpVirtualDirectory -AdminEnabled:$false

Der Zugriff auf EAC erfolgt nun über den konfigurierten Port der Website „Admin EAC“. Ich nutze hier Port 4444, jeder andere freie Port ist aber ebenso nutzbar:

Die Administration erfolgt jetzt über Port 4444 (Admin EAC), der Zugriff der Benutzer, egal ob intern oder extern, läuft via Port 443 (Default Web Site). Somit kann Port 443 auf den Exchange Server via NAT freigegeben werden, ohne die EAC verfügbar zu machen. Aus dem internen Netzwerk wird dann per Port 4444 administriert.

Das funktioniert ebenfalls mit der Sophos UTM, wie hier beschrieben:

https://www.frankysweb.de/sophos-utm-9-4-waf-und-exchange-2016/

Der Beitrag Exchange 2016: EAC nur im internen Netzwerk freigeben erschien zuerst auf Franky's Web.

Neben Let’s Encrypt bietet auch WoSign kostenlose SAN-Zertifikate für beispielsweise Exchange Server an. Vorteil von WoSign: Die Zertifikate sind bis zu 3 Jahre gültig:

WoSign ist eine chinesische CA, dessen Root-Zertifikat in allen gängigen Browsern und Betriebssystemen findet. Als Beispiel hier einmal Windows:

Damit sind die WoSign Zertifikate auf den meisten Geräten vertrauenswürdig. Da ich auf der Suche nach einem günstigen Zertifikat für mich privat war, habe ich Let’s Encrypt, sowie auch WoSign getestet. Wosign hat mir besser gefallen, da ich hier nicht alle 3 Monate das Zertifikat austauschen muss.

Vom Beantragen bis zur Ausstellung des Zertifikats vergingen nur ein paar Minuten. Für die private oder kleine Umgebung also durchaus zu empfehlen.

Hier können Zertifikate beantragt werden:

• https://buy.wosign.com/free/#ssl

Hier hatte ich einmal beschrieben, wie eine Zertifikatsanforderung für öffentliche CAs mit Exchange 2013 (auch gültig für Exchange 2016) erstellt werden können:

• https://www.frankysweb.de/exchange-2013-zertifikatsanforderung-fr-ffentliche-ca-erstellen/

Ich nutze das WoSign Zertifikat allerdings nicht direkt am Exchange Server sondern an der Sophos UTM WAF, auch hier gab es keine Probleme. Einfach alle DNS-Namen im CSR angeben und dann die Virtual Webserver en Namen auf dem Zertifikat entsprechend zuordnen:

Die komplette Anleitung für die Sophos WAF gibt es hier:

• https://www.frankysweb.de/sophos-utm-9-4-waf-und-exchange-2016/

Auch Qualys SSL Labs haben an dem Zertifikat nichts zu bemängeln, WoSign stellt Zertifikate mit SHA256 aus:

Ich werde mir auch noch einmal die Let’s Encrypt Clients für Windows anschauen, ich bin gespannt ob die mittlerweile etwas besser laufen.

Für alle die sich die Integration von Let’s Encrypt in der Sophos UTM ebenfalls wünschen, gibt es hier ein Feature Request:

• http://feature.astaro.com/forums/17359-utm-formerly-asg-feature-requests/suggestions/10409280-let-s-encrypt-integration

Die Integration wäre meiner Meinung nach sehr hilfreich, ich habe da also ebenfalls 3 Votes abgegeben.

Zum Schluss noch ein wichtiger Hinweis: WoSign bietet an, das Zertifikat auch ohne entsprechenden CSR auszustellen. Das hört sich zwar einfach an, aber faktisch ist WoSign somit im Besitz des privaten Schlüssels und könnte theoretisch damit die Kommunikation entschlüsseln. Wer den CSR selbst einreicht, verhindert dieses Risiko, da der private Schlüssel auf dem eigenen Server bleibt.

Der Beitrag Kostenlose SAN-Zertifikate mit 3 Jahren Laufzeit erschien zuerst auf Franky's Web.

Wer ein Webhosting paket von Strato benutzt und zudem einen eigenen Exchange Server betreibt, sollte auf Autodiscover achten. In der Standardeinstellung ist bei Strato Autodiscover aktiviert, allerdings als SRV-Eintrag und Verweis auf Strato:

Die aktivierte Einstellung bei Strato verweist dann auf die Adresse autoconfigure.strato.de:

Wer allerdings seinen eigenen Exchange Server betreibt und Strato als Smarthost benutzt, bekommt hier ein Problem. Autodiscover zeigt in diesem Fall auf die Strato Server. Leider wird der bestehende SRV-Record wie im Screenshot oben zu sehen, nicht direkt in der Domain Verwaltung angezeigt:

In der Strato Hilfe findet sich ebenfalls ein Artikle dazu. Dort wird das Abschalten auf Strato Seite empfohlen. Das ist auch völlig korrekt, denn der entsprechende Eintrag soll ja in diesem Fall auf den eigenen Exchange Server zeigen.

Damit Exchange Autodiscover nun korrekt funktioniert gibt 2 Möglichkeiten:

Autodiscover mittels Subdomain

Der einfachste Weg ist eine Subdomain für Autodiscover anzulegen:

Der Name autodiscover.domain.de muss in diesem Fall auch auf dem Zertifikat vorhanden sein, damit keine Zertifikatsfehler in Outlook auftreten. Wer seine kleine Exchange Server Testumgebung betreibt oder keine feste IP sein Eigen nennt, kann diesen Eintrag sogar mittels Strato DynDNS aktuell halten.

Autodiscover mittels SRV-Eintrag

Eine weitere Möglichkeit ist der SRV-Eintrag, der entsprechende SRV Eintrag kann ebenfalls in der Strato Domain Verwaltung angelegt werden:

In meinem Fall würde der SRV-Record dann so aussehen:

Vorteil des SRV-Records: Es ist kein Eintrag autodiscover.domain.de auf dem Zertifikat nötig. Einfacher ausgedrückt, für den kleinen Exchange Server reicht bei entsprechender Konfiguration ein einzelner Name auf dem Zertifikat aus. Ein SAN-Zertifikat ist somit nicht zwingend nötig. Allerdings kommt es in diesem Fall zu einem Hinweis in Outlook:

Der Hinweis ist allerdings nicht so lästig wie permanente Zertifikatswarnungen.

Es genügt übrigens einen der beiden Wege zu nutzen. Ich finde es nach wie vor einfacher eine entsprechende Subdomain mit dem Namen autodiscover.domain.de anzulegen. Auch entsprechende SAN-Zertifikate gibt kostenlos:

• https://www.frankysweb.de/lets-encrypt-kostenlose-zertifikate-fuer-exchange-server/
• https://www.frankysweb.de/kostenlose-san-zertifikate-mit-3-jahren-laufzeit/

Der Beitrag Exchange Autodiscover und Strato Webhosting erschien zuerst auf Franky's Web.