Allgemein Archives - Seite 2 von 3

Exchange Hybrid: Neuer Assistent für die Hybridkonfiguration (HCW)

Heute möchte ich euch über die neueste Version des Hybrid Configuration Wizard (HCW) berichten, die Microsoft am 24ten Januar 2024 veröffentlicht hat. Der HCW ist ein nützliches Tool, um eine Hybrid-Konfiguration zwischen Exchange Server und Exchange Online einzurichten und zu verwalten.

Was ist neu am HCW?

Die wichtigste Neuerung ist die Möglichkeit, bei einem erneuten Ausführen des HCW explizit auszuwählen, welche Konfigurationen durchgeführt werden sollen. Bisher konnte es passieren, dass der HCW einige Einstellungen, die manuell angepasst wurden, auf die Standardwerte zurücksetzte. Dies war vor allem bei der wichtigen Einstellung „Centralized Mail Transport“ ein kritischer Punkt. Denn die zuvor gesetzte Einstellung wurde bei einem erneuten Ausführen des Assistenten immer deaktiviert. Was gravierende Auswirkungen auf dem Mail-Fluss zur Folge hatte.

Das ist nun vorbei, denn der HCW erlaubt es, gezielt die gewünschten Konfigurationen anzuhaken. Das ist besonders praktisch für wiederkehrende Aufgaben wie das Zertifikatsmanagement.

Einfachere Aktualisierung der Zertifikate

Eine weitere neue Funktion ist die Option “Update Secure Mail Certificate for connectors”. Diese findet man im Bereich “Configure Mail Flow”. Damit kann man das TLS-Zertifikat, welches für den Mail-Fluss zwischen Exchange Server und Exchange Online verwendet wird, erneuern oder ersetzen. Nachdem man das neue Zertifikat installiert hat, muss man nur noch den HCW ausführen, die Option ankreuzen und auf “Update” klicken. Der HCW kümmert sich dann um die nötigen Anpassungen der Konnektoren.

Änderungen der notwendigen Berechtigungen

Außerdem hat Microsoft Anforderungen der Berechtigungen, die für die Durchführung von Hybrid-Konfigurationen in Microsoft 365 erforderlich sind, angepasst.

Diese Anpassungen reduzieren die Szenarien, in denen Globale Admin-Berechtigungen erforderlich sind, wenn man den HCW ausführt, um Änderungen an einer bestehenden Hybrid-Konfiguration vorzunehmen.

Organisationsverwaltungs-Berechtigungen in Exchange On-Premises und Exchange Online sind nun für die häufigsten Szenarien ausreichend

Bitte beachten Sie, dass für eine erste Hybrid-Einrichtung weiterhin Globale Admin-Berechtigungen in Microsoft 365 erforderlich sind!

Was sind die Vorteile des HCW?

Der HCW erleichtert die Einrichtung und Verwaltung einer Hybrid-Konfiguration zwischen Exchange Server und Exchange Online. Er führt automatisch die erforderlichen Schritte aus, um eine sichere und zuverlässige Verbindung zwischen den beiden Umgebungen herzustellen. Er unterstützt auch verschiedene Szenarien, wie z.B. die Migration von Postfächern, die gemeinsame Nutzung von Kalendern und Kontakten, die Verwendung von Teams oder die Einhaltung von Compliance-Anforderungen.

Wo kann man mehr über den neuen HCW erfahren?

Microsoft hat die Dokumentation des HCW aktualisiert, um die neuesten Änderungen und die Szenarien, in denen die neue Funktion “Exchange Hybrid-Konfiguration auswählen” verwendet werden kann, zu erklären. Man kann die Dokumentation hier finden.

Fazit

Der HCW ist nun flexibel und anpassbar. Er ermöglicht es, die Hybrid-Konfiguration nach den eigenen Bedürfnissen und Präferenzen zu gestalten. Er bietet die Möglichkeit, die Konfiguration jederzeit zu ändern oder zu aktualisieren, ohne die bestehende Funktionalität zu beeinträchtigen.

Endlich Copilot für Alle

Copilot ist jetzt allgemein für kleine Unternehmen mit Microsoft 365 Business Premium und Business Standard verfügbar.

Kunden können zwischen einer und 299 Lizenzen für 30 US-Dollar pro Person und Monat erwerben.

Microsoft entfernt die Mindestabnahme von 300 Plätzen für kommerzielle Pläne und stellt Copilot für Office 365 E3- und E5-Kunden zur Verfügung (zuvor war eine Microsoft 365-Lizenz erforderlich).

Der Erwerb ist nun auch über Microsoft Cloud Solution Provider-Partner verfügbar(zuvor war ein Enterprise Agreement erforderlich).

Weitere Neuigkeiten:

Copilot Pro: Eine neue Premium-Abonnement für Einzelpersonen, die Zugang zu erweiterten KI-Funktionen, Copilot in Microsoft 365, GPT-4 Turbo und Copilot GPT Builder bietet.
Copilot für Microsoft 365: Eine KI-Lösung für Organisationen aller Größen, die Copilot in Microsoft Teams, Office 365 und anderen Microsoft-Apps integriert.
Neue Funktionen in Copilot: Copilot GPTs, Copilot mobile App und Copilot in der Microsoft 365 mobile App.

Microsoft verschiebt die Veröffentlichung von H2 2023 CU für Exchange Server 2019

Microsoft hat im letzten Jahr sein Servicemodell für Exchange Server aktualisiert und ist zu einem Servicerhythmus von zwei kumulativen Updates (CUs) pro Jahr übergegangen, die jeweils in der ersten und zweiten Hälfte jedes Kalenderjahres erscheinen sollen, vorzugsweise im März und September. Die tatsächlichen Veröffentlichungstermine hängen jedoch von der Nutzlast und der Qualität der CUs ab, sowie von weiteren Prioritäten, wie zum Beispiel der Veröffentlichung eines Sicherheitsupdates (SU).

Microsoft teilt nun mit, dass es in diesem Jahr kein zweites CU für Exchange Server 2019 geben wird, da der November fast zu Ende ist und im Dezember keine CUs veröffentlicht werden. Dies entspricht dem Vorgehen von Microsoft im letzten Jahr.

Aktuell sind nur noch zwei CUs für Exchange Server 2019 geplant: CU14 und CU15, die auch als H1 2024 und H2 2024 bezeichnet werden.

Das ursprünglich für dieses Jahr vorgesehene CU14 wurde auf Anfang nächsten Jahres verschoben. Es wird nun voraussichtlich im Januar 2024 herauskommen. CU14 wird einige wichtige Verbesserungen enthalten, wie zum Beispiel die Unterstützung für TLS 1.3, eine Korrektur für die S/MIME-Kontrolle, die Aktivierung von Extended Protection als Standardoption und mehr.

Da CU14 erst im Januar veröffentlicht wird, wird es nach dem 9. Januar sein, dem Datum, an dem der Mainstream-Support für Exchange Server 2019 endet. Das bedeutet, dass Microsoft zwei CUs nach dem Ende des Mainstream-Supports für Exchange Server 2019 anbieten wird. Das mag verwirrend klingen, da Microsoft immer sagt, dass Produkte im erweiterten Support keine CUs erhalten.

Hier gibt es jedoch eine Feinheit. Wenn wir Exchange Server 2019 als Beispiel nehmen, endet der Mainstream-Support am 9. Januar 2024. Das ist aber nicht die Frist für die Veröffentlichung von CUs. Der 9. Januar 2024 ist das letzte Datum, an dem Kunden einen Bug oder eine Design Change Request (DCR) an Microsoft melden und das Exchange-Team diese berücksichtigen kann. Microsoft wird Anfragen nach Fehlerbehebungen und DCRs bis zum 9. Januar annehmen. Nach diesem Datum wird Microsoft nur noch Sicherheitskorrekturen berücksichtigen.

Microsoft meldet neuen Angriff mit Azure AD Connect

In diesem Blogbeitrag möchte ich den Inhalt des Artikels https://practical365.com/mercury-attack-april-2023 auf Deutsch zusammenfassen.

Der Artikel beschreibt einen neuen Angriff, welcher Azure AD Connect ausnutzt, um sowohl On-Premises- als auch Cloud-Ressourcen zu kompromittieren.

Wer steckt hinter den Angriffen?

Der Angriff wurde von Microsoft Threat Intelligence aufgedeckt und wird zwei Gruppen zugeschrieben: MERCURY, einer mit der iranischen Regierung verbundenen Nation-State-Akteurin, und DEV-1084, einer Gruppe, welche von MERCURY beauftragt wurde, die Netzwerkzugriffe auszunutzen.

Wie begann der Angriff?

Bei Angriffen wie diesem hört man oft zwei Begriffe: Eskalation von Privilegien und Lateral Movement.

Lateral Movement klingt kompliziert, ist aber einfach: Der Begriff bedeutet nur, dass ein Angreifer ein Gerät oder System in einem Netzwerk kompromittiert hat und dies als Sprungbrett oder Drehpunkt nutzt, um in andere Geräte oder Systeme zu gelangen. Diese Bewegung kann sofort erfolgen, aber oft ist sie verzögert (wie in diesem Fall) – ein kluger Angreifer wird eindringen, eine Persistenz herstellen und dann eine Weile warten, das Zielnetzwerk studieren und jede offensichtliche Aktion vermeiden, welche die Verteidiger auf seine Anwesenheit aufmerksam machen könnte.

In diesem Fall begann der Angriff mit der Ausnutzung der bekannten log4j-Schwachstelle, um in das Netzwerk einzudringen und Persistenz zu erlangen. Die Angreifer bewegten sich dann durch das Netzwerk und griffen sowohl On-Premises- als auch Hybrid-Ressourcen an. Für die On-Premises-Angriffe nutzten sie Gruppenrichtlinienobjekte (GPOs), um Sicherheitstools (Endpoint Protection) zu stören und Ransomware über die NETLOGON-Freigaben auf den Active Directory-Domänencontrollern zu verteilen. Für die Hybrid-Angriffe nutzten sie Azure AD Connect, um sich mit Azure AD zu synchronisieren und Zugriff auf Cloud-Ressourcen zu erhalten. Die Angreifer löschten anschließend Daten aus Azure Storage-Konten und Azure SQL-Datenbanken. Mit einem vernünftigen Tier-Modell wäre der Angriff in diesem Ausmaß vermutlich nicht umsetzbar gewesen.

Microsoft empfiehlt dringend, Azure AD Connect zu überprüfen und sicherzustellen, dass es keine unbefugten oder verdächtigen Synchronisierungen gibt. Außerdem sollten die Sicherheitsmaßnahmen für Domänencontroller und GPOs verstärkt werden, um ähnliche Angriffe zu verhindern oder zu erkennen. Microsoft bietet verschiedene Sicherheitstools an, die bei der Untersuchung und Abwehr solcher Angriffe helfen können, wie z.B. Microsoft Defender for Endpoint, Microsoft 365 Defender und Azure Sentinel.

Dennoch zeigt dieser Angriff wieder, wie wichtig es ist, sowohl On-Premises- als auch Cloud-Umgebungen zu schützen und zu überwachen. Hybrid-Umgebungen bieten viele Vorteile, aber auch neue Herausforderungen und Risiken. Es ist daher unerlässlich, sich über die aktuellen Bedrohungen zu informieren und die besten Praktiken für die Sicherheit von Azure AD Connect zu befolgen. Zum Schutz gehört auch der Aufbau von Tier-Strukturen.

Wozu ist ein Azure AD Connect Server notwendig?

Azure AD Connect ist ein wichtiges Werkzeug für die Synchronisation von Identitäten zwischen lokalen Active Directory-Domänen und Azure Active Directory. Da der Azure AD Connect Zugriff auf die Anmeldeinformationen und Attribute aller Benutzer und Gruppen in den verbundenen Domänen hat, muss dieser Server entsprechend gut geschützt werden. Daher sollten Sie den Azure AD Connect wie einen Domänencontroller behandeln und in Tier-0 aufnehmen.

Was bedeutet Tier-0?

Tier-0 ist die höchste Sicherheitsstufe in einem Active Directory-Design, das auf dem Prinzip der administrativen Grenzen basiert. Tier-0 umfasst alle Systeme und Konten, die in der Lage sind, Änderungen an der Active Directory-Domänenstruktur oder den Sicherheitsrichtlinien vorzunehmen. Diese sollten von anderen Tiers isoliert und mit strengen Zugriffs- und Überwachungsregeln versehen werden.

Indem der Azure AD Connect Server in Tier-0 aufgenommen wird, wird sichergestellt, dass nur berechtigte Administratoren darauf zugreifen können und dass alle Aktivitäten auf dem Server protokolliert und überprüft werden. Dies reduziert das Risiko eines unbefugten Zugriffs oder einer Kompromittierung von Azure AD Connect.

QakBot sowie andere aktuelle Angriffe und wie diese verhindert werden können!

QakBot ist eine gefährliche Malware, die sich über verschiedene Methoden verbreitet, um Zugriff auf sensible Daten zu erlangen, Passwörter zu stehlen und weitere Schadsoftware nachzuladen. In diesem Blogpost erfahren Sie mehr über die aktuelle QakBot-Kampagne, die OneNote-Dateien als Angriffsvektor nutzt, und wie Sie sich davor schützen können.

Warum OneNote?

OneNote ist eine beliebte Anwendung von Microsoft, die es erlaubt, Notizen zu erstellen, zu organisieren und zu teilen. OneNote hat weltweit Millionen von Nutzern in verschiedenen Bereichen wie Bildung, Arbeit und persönlichem Leben. Leider haben auch Cyberkriminelle das Potenzial von OneNote erkannt und verwenden es als Alternative zu Office-Makros, die von vielen Sicherheitslösungen blockiert werden. Seit Ende Januar 2023 verbreiten Hacker QakBot-Malware über schädliche OneNote-Dateien, die entweder als Anhang oder als Link in Phishing-E-Mails verschickt werden.

Die Phishing-E-Mails sind oft als Antworten auf bestehende Kommunikationen getarnt, um das Vertrauen der Empfänger zu gewinnen. Die OneNote-Dateien enthalten eine Grafik, die den Nutzer auffordert, auf einen „Open“-Button zu klicken, um einen weiteren Anhang aus der Cloud herunterzuladen. Dieser Anhang ist eine HTML-Anwendung im .hta-Format, die die QakBot-Malware von einem entfernten Server lädt und ausführt.

Was macht QakBot so gefährlich?

QakBot ist eine modulare Malware, die verschiedene Funktionen hat, wie zum Beispiel:

Keylogging: QakBot zeichnet alle Tastatureingaben des Opfers auf und sendet sie an den Command-and-Control-Server der Hacker.
Credential Stealing: QakBot stiehlt Passwörter aus Browsern, E-Mail-Clients und anderen Anwendungen.
Banking Trojan: QakBot kann Online-Banking-Sitzungen manipulieren und Geldtransfers durchführen oder sensible Daten abfangen.
Lateral Movement: QakBot kann sich im Netzwerk ausbreiten und weitere Geräte infizieren.
Loader: QakBot kann weitere Schadsoftware nachladen, wie zum Beispiel Ransomware oder Spyware.

Wie können Sie sich vor QakBot und anderen Angriffen schützen?

Die beste Verteidigung gegen QakBot und andere Malware ist eine mehrschichtige Sicherheitsstrategie, die folgende Maßnahmen umfasst:

E-Mail-Sicherheit: Verwenden Sie eine zuverlässige E-Mail-Sicherheitslösung, die Spam-, Phishing- und Malware-E-Mails filtert und blockiert. Achten Sie auch auf verdächtige Absender, Betreffzeilen und Anhänge oder Links in E-Mails. Führen Sie ein Whitelisting für Ihre Anhänge ein. Blocken Sie Dateien mit der Endung .One
Endpoint-Sicherheit: Verwenden Sie eine leistungsstarke Endpoint-Sicherheitslösung, die Ihre Geräte vor bekannten und unbekannten Bedrohungen schützt. Aktualisieren Sie regelmäßig Ihre Betriebssysteme und Anwendungen, um Sicherheitslücken zu schließen.
Netzwerk-Sicherheit: Verwenden Sie eine robuste Netzwerk-Sicherheitslösung, die den Datenverkehr überwacht und verdächtige Aktivitäten erkennt und blockiert. Vermeiden Sie auch den Zugriff auf unsichere oder unbekannte Websites oder Dienste.
Backup-Sicherheit: Verwenden Sie eine zuverlässige Backup-Sicherheitslösung, die Ihre wichtigen Daten regelmäßig sichert und wiederherstellt. Bewahren Sie Ihre Backups an einem sicheren Ort auf, der von Ihrem Netzwerk getrennt ist.
Awareness-Schulung: Sensibilisieren Sie Ihre Mitarbeiter für die Risiken von Cyberangriffen und schulen Sie sie in den besten Praktiken für die E-Mail- und Internetnutzung. Ermutigen Sie sie auch dazu, verdächtige E-Mails oder Vorfälle zu melden.
Zero Trust: Implementieren Sie ein Sicherheitskonzept, welches davon ausgeht, dass alle Netzwerkverbindungen potenziell gefährlich sind. Ihr Leitsatz sollte lauten „Vertrau niemanden, überprüfe alles“. Zero Trust erfordert eine kontinuierliche Überwachung und Validierung aller Aktivitäten im Netzwerk, unabhängig davon, ob sie von innen oder außen kommen. Siehe Zero-Trust-Implementierung mit Microsoft 365
AD Hardening: Implementieren Sie das Active Directory Tiering Modell, um die Sicherheit von Ihrem Verzeichnisdienst zu verbessern. Siehe AD Tiering Struktur – Funktion und Nutzen

Fazit

Sicherheit ist ein Prozess, welcher ständig angepasst und verbessert werden muss. Nur die Kombination aus verschiedensten Sicherheitsansätzen verringert die Angriffsfläche sowie den potenziellen Schaden.

Ziel ist es, Angriffe frühzeitig zu erkennen, den Schaden somit einzugrenzen und die Produktivität des Unternehmens aufrecht zu erhalten. Hierzu gibt es leider keine einfache Software-Lösung. Nur die Kombination aus Erkennungssystemen, gehärteten und isolierten Sicherheitsebenen garantieren einen möglichst geringen Schaden.

Meetingkultur in Deutschland und Ansätze Meetings produktiver zu gestalten

Wer kennt es nicht? Man sitzt in einem Meeting, das sich ewig hinzieht, ohne dass etwas Konkretes dabei herauskommt. Die Teilnehmer reden aneinander vorbei, schweifen vom Thema ab oder wiederholen sich ständig. Die Stimmung ist gelangweilt, genervt oder aggressiv. Und am Ende hat man das Gefühl, wertvolle Zeit verschwendet zu haben.

Typischer Ablauf eines Meetings

Paul hält einen 60-Minuten-Monolog, zeigt diverse PowerPoint-Slides mit vielen Daten, Fakten und Zahlen. Die Teilnehmer blicken ab und an von Ihren Laptops auf. In der ganzen Zeit werden zwei fachliche Fragen von nur einer Person gestellt.

Was im Meeting an Beteiligung gefehlt hat, wird nun in der Kaffeeküche und der Raucherecke nachgeholt. Alle unterhalten sich lautstark über den Druck von oben durch die neuen Ziele und beklagen sich über die vergeudete Zeit, da die Informationen den meisten Mitgliedern bereits vorher zugespielt worden. Viele Kollegen haben konkrete Vorschläge zur Verbesserung einiger Entscheidungen. Auf die Frage, wieso das keiner im Meeting geäußert hat, werden Aussagen wie „Das interessiert doch keinen und verursacht nur noch Mehrarbeit“ geäußert.

Doch muss das so sein?

Sind Meetings per se ineffizient und frustrierend? Oder gibt es Möglichkeiten, die Meetingkultur in Deutschland zu verbessern und Meetings produktiver zu gestalten?

In diesem Blogpost möchte ich einige Ansätze vorstellen, die helfen können, die Qualität und den Nutzen von Meetings zu erhöhen. Dabei geht es nicht darum, Meetings abzuschaffen oder zu reduzieren, sondern sie sinnvoll zu gestalten und zu moderieren.

Klare Ziele und Agenda definieren

Ein häufiger Grund für unproduktive Meetings ist, dass die Ziele und die Agenda nicht klar definiert sind. Das führt dazu, dass die Teilnehmer nicht wissen, was sie erwarten können, was von ihnen erwartet wird und wie sie sich vorbereiten sollen. Außerdem kann es passieren, dass das Meeting vom eigentlichen Thema abweicht oder sich in Details verliert. Sicherlich finden Sie nun den ein anderen Termin ohne klare Agenda.

Um das zu vermeiden, sollte der Meeting-Organisator im Vorfeld klare Ziele und eine Agenda festlegen und diese an alle Teilnehmer kommunizieren. Die Ziele sollten SMART sein, also spezifisch, messbar, attraktiv, realistisch und terminiert. Die Agenda sollte die einzelnen Punkte auflisten, die besprochen werden sollen, sowie die dafür vorgesehene Zeit und die Verantwortlichen. Hierbei hilft die Methode Timeboxing, um die Dauer von Meetings zu begrenzen und zu strukturieren.

Dabei wird für jede Agenda ein fester Zeitrahmen festgelegt, der nicht überschritten werden darf. Das Ziel ist es, die Effizienz und Produktivität der Besprechungen zu erhöhen und Zeitverschwendung zu vermeiden. Timeboxing erfordert eine gute Planung, Moderation und Disziplin von allen Teilnehmern. Einige Vorteile von Timeboxing sind:

Es fördert eine klare und fokussierte Kommunikation.
Es vermeidet Abschweifungen und Nebendiskussionen.
Es erhöht die Motivation und das Engagement der Teilnehmer.
Es ermöglicht eine bessere Kontrolle und Nachverfolgung der Ergebnisse.

Beispiel Agenda

Ziel: Die Marketingstrategie für das nächste Quartal festlegen
Agenda:

Begrüßung und Einführung (5 Minuten)
Präsentation der Marktforschungsergebnisse (15 Minuten)
Diskussion der Stärken, Schwächen, Chancen und Risiken in 2er Teams (SWOT-Analyse) (20 Minuten)
Brainstorming von möglichen Marketingmaßnahmen (30 Minuten)
Priorisierung und Auswahl der Maßnahmen (15 Minuten)
Festlegung der Verantwortlichkeiten und des Zeitplans (10 Minuten)
Feedback und Abschluss (5 Minuten)

Die richtigen Teilnehmer einladen

Ein weiterer Grund für unproduktive Meetings ist, dass die Teilnehmer nicht relevant oder motiviert sind. Das kann daran liegen, dass sie nichts zum Thema beitragen können oder wollen, dass sie nicht informiert oder vorbereitet sind oder dass sie andere Prioritäten haben.

Um das zu vermeiden, sollte der Meeting-Organisator sorgfältig auswählen, wen er einlädt. Dabei sollte er sich fragen:

Wer ist direkt oder indirekt von dem Thema betroffen?
Wer hat die nötige Expertise oder Erfahrung?
Wer kann Entscheidungen treffen oder umsetzen?
Wer kann neue Perspektiven oder Ideen einbringen?

Die Anzahl der Teilnehmer sollte so klein wie möglich gehalten werden, um eine effektive Kommunikation und Interaktion zu ermöglichen. Eine Faustregel ist die sogenannte „Zwei-Pizza-Regel“, die besagt, dass ein Meeting nicht mehr Teilnehmer haben sollte als mit zwei Pizzen satt werden können.

Beispiel Teilnehmer

Für das Meeting zur Marketingstrategie werden folgende Teilnehmer eingeladen:

Der Marketing-Leiter als Organisator und Moderator
Die Marketing-Mitarbeiter als Experten und Umsetzer
Der Vertriebs-Leiter als Stakeholder und Entscheider
Der Produktmanager als Schnittstelle zum Produktteam
Der Marktforscher als Informationsquelle

Eine positive Atmosphäre schaffen

Ein weiterer Grund für unproduktive Meetings ist, dass die Atmosphäre negativ oder langweilig ist. Das kann daran liegen, dass die Teilnehmer sich nicht wohl oder respektiert fühlen, dass sie keine Lust oder Energie haben oder dass sie keine Beziehung zueinander haben. An dieser Stelle können verschiede „check-in“ oder „warm-up“ Techniken unterstützen. Auch die VEGAS-Regel kann sich als sehr nützlich erweisen.

Fazit

Wenn Sie den ganzen Artikel gelesen haben, sollte bei Ihnen bereits die Erkenntnis „Meetings müssen ausreichend vorbereitet werden“ gereift sein. Nehmen Sie sich die nötige Zeit und entwerfen Sie eine Agenda. Nutzen Sie Techniken wie Timeboxing, check-in, holen Sie sich zum Ende immer ein Feedback aller Beteiligten ein. Nur durch konstruktive Kritik können wir uns und unsere Organisation stetig verbessern.

Exchange Server Security Update März 2023

Kaum ein Monat vergeht ohne neue Sicherheitsupdates! Umso wichtiger ist ein Zero Trust Ansatz und die Umsetzung eines AD Tiering.

Die Sicherheit von IT-Systemen und Daten ist für jede Organisation von entscheidender Bedeutung. Doch die Zahl der Sicherheitsbedrohungen und -verletzungen nimmt stetig zu, und die herkömmlichen Sicherheitsmaßnahmen reichen nicht mehr aus, um einen wirksamen Schutz zu gewährleisten. Die traditionelle Annahme, dass alles innerhalb des eigenen Netzwerks vertrauenswürdig ist, während alles außerhalb des Netzwerks potenziell gefährlich ist, ist nicht mehr haltbar. Angreifer können sich leicht Zugang zu internen Ressourcen verschaffen, indem sie Schwachstellen ausnutzen, gestohlene Anmeldeinformationen verwenden oder Insider missbrauchen. Um dieser Herausforderung zu begegnen, benötigen Organisationen einen neuen Sicherheitsansatz, der auf dem Prinzip des Zero Trust basiert.

Im März 2023 hat Microsoft SUs für Exchange Server 2013, 2016 und 2019 veröffentlicht, die mehrere Schwachstellen beheben, die von Sicherheitspartnern an Microsoft gemeldet wurden oder durch Microsoft’s interne Prozesse gefunden wurden. Diese Schwachstellen können es einem Angreifer ermöglichen, aus der Ferne Code auszuführen, die Berechtigungen zu erhöhen oder sensible Informationen preiszugeben. Einige dieser Schwachstellen sind kritisch oder wichtig eingestuft und erfordern keine Benutzerinteraktion, um ausgenutzt zu werden.

Den originalen Techcommunity-Beitrag finden Sie hier:

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2023-exchange-server-security-updates/ba-p/3764224

Obwohl Microsoft keine aktiven Ausnutzungen dieser Schwachstellen im Internet bekannt ist, empfiehlt Microsoft dringend, diese Updates so schnell wie möglich zu installieren, um Ihre Umgebung zu schützen. Diese Updates sind sowohl als selbstextrahierende und .exe-Pakete als auch als ursprüngliche Update-Pakete (.msp-Dateien) verfügbar, die vom Microsoft Update-Katalog heruntergeladen werden können.

Liste über die einzelnen Schwachstellen:

CVE-2023-23397: Microsoft Office Outlook Escalation of Privilege (Outlook Updates dringend notwendig)
CVE-2023-24880: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete E-Mail sendet.
CVE-2023-24881: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete Anfrage an den Exchange Web Service sendet.
CVE-2023-24882: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete Anfrage an den Exchange Control Panel sendet.
CVE-2023-24883: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete Anfrage an den Exchange Autodiscover Service sendet.
CVE-2023-24884: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete Anfrage an den Exchange Unified Messaging Service sendet.
CVE-2023-24885: Eine Informationspreisgabe in Exchange Server, die es einem Angreifer ermöglicht, sensible Informationen aus dem Server zu extrahieren, indem er eine speziell gestaltete Anfrage an den Exchange Web Service sendet.

Zusätzlich zu den SUs für Exchange Server sollten Sie auch das Outlook-Sicherheitsupdate für Windows installieren, dass eine weitere Schwachstelle behebt, die mit CVE-2023-23397 zusammenhängt. Hierzu haben wir einen eigenen Artikel zur Verfügung gestellt. Dieses Update verhindert, dass Outlook eine Verbindung zu einer bösartigen SMB-Freigabe herstellt und den NTLM-Hash des Benutzers preisgibt.

Hier die Liste der behobenen Probleme:

EWS web application pool stops after the February 2023 Security Update is installed – if you have implemented the workaround in the KB article, you should remove the workaround once the March SU is installed (see the KB article for instructions). Running Health Checker will remind you of the need to remove the workaround.
Exchange Toolbox and Queue Viewer fails after Certificate Signing of PowerShell Serialization Payloa… – this issue has been resolved for servers running the Mailbox role, but this still occurs on servers and workstations that have only the Management Tools role installed.
This release unblocks customers who can’t enable Extended Protection (EP) because they are using a Retention Policy with Retention Tags that perform Move-to-Archive actions. Note: if you worked around this problem using the updated Exchange Server Extended Protection script, you should roll back the applied IP restrictions after installing this SU by following the script documentation.

Wir hoffen, dass Ihnen dieser Blogartikel geholfen hat, mehr über die neuen Exchange-Sicherheitsupdates März 2023 zu erfahren und wie Sie sie installieren können.

Wichtig: Outlook SU CVE-2023-23397

CVE-2023-23397 ist eine kritische Schwachstelle in Microsoft Outlook, die es einem Angreifer ermöglicht, die Windows-Anmeldedaten (NTLM-Hash) eines Opfers zu stehlen, indem er eine speziell gestaltete E-Mail sendet. Der Angreifer kann dann den Hash verwenden, um sich gegen andere Dienste zu authentifizieren. Dies kann zu einem Datenverlust oder einer Kompromittierung des Systems bzw. des kompletten AD’s (Stichwort: Lateral Movement) führen. Die Schwachstelle wurde bereits ausgenutzt von staatlich unterstützten und Ransomware-Akteuren. Microsoft hat ein Sicherheitsupdate für Outlook veröffentlicht, um diese Schwachstelle zu beheben.

Um sich zu schützen, sollten Sie das Update so schnell wie möglich installieren und überprüfen, ob Sie von der Schwachstelle betroffen sind.

Wichtig: Die Sicherheitslücke ist nicht abhängig von der Exchange Variante. Da es sich um eine Sicherheitslücke im Outlook Client handelt, sind auch Exchange Online Postfächer betroffen.

Wie überprüfe ich, ob ich bereits von der Schwachstelle betroffen bin.

Um zu überprüfen, ob Sie bereits von der Schwachstelle betroffen sind, können Sie ein Skript verwenden, das Microsoft erstellt hat. Das Skript sucht nach verdächtigen E-Mails in Ihrem Postfach und zeigt Ihnen an, ob Sie eine Verbindung zu einem Angreifer-Server hergestellt haben.

Sie können das Skript hier herunterladen:

https://github.com/microsoft/CSS-Exchange/tree/main/Security/CVE-2023-233971

Welche Outlook Versionen sind betroffen?

Die Schwachstelle CVE-2023-23397 betrifft die folgenden Outlook-Versionen:

Microsoft Outlook version 2013
Microsoft Outlook version 2016
Microsoft Outlook Version 2019
Microsoft Office LTSC 2021
Microsoft 365 Apps for Enterprise

Die Sicherheitsupdates finden sie unter: CVE-2023-23397 – Security Update Guide – Microsoft – Microsoft Outlook Elevation of Privilege Vulnerability

Wie führe ich das Skript aus?

Voraussetzungen für die Ausführung des Skripts für Exchange Server

Um dieses Skript in einer lokalen Exchange Server-Umgebung auszuführen, müssen Sie ein Konto mit der Verwaltungsrolle ApplicationImpersonation verwenden. Sie können eine neue Rollengruppe mit den erforderlichen Berechtigungen erstellen, indem Sie den folgenden PowerShell-Befehl in einer erhöhten Exchange Management Shell (EMS) ausführen:

New-ThrottlingPolicy "CVE-2023-23397-Script"
Set-ThrottlingPolicy "CVE-2023-23397-Script" -EWSMaxConcurrency Unlimited -EWSMaxSubscriptions Unlimited -CPAMaxConcurrency Unlimited -EwsCutoffBalance Unlimited -EwsMaxBurst Unlimited -EwsRechargeRate Unlimited
Set-Mailbox -Identity "<UserWhoRunsTheScript>" -ThrottlingPolicy "CVE-2023-23397-Script"

Um das Skript auszuführen, müssen Sie die folgenden Schritte befolgen:

Öffnen Sie eine PowerShell-Konsole als Administrator.
Wechseln Sie in das Verzeichnis, in dem Sie das Skript heruntergeladen haben.
Führen Sie den folgenden Befehl aus: .\CVE-2023-23397.ps1 -Mailbox
Warten Sie, bis das Skript abgeschlossen ist und überprüfen Sie die Ergebnisse.

Wie führe ich das Skript für alle Postfächer aus? (onPrem/lokal)

PS C:\> Get-Mailbox | .\CVE-2023-23397.ps1 -Environment Onprem

Voraussetzungen für die Ausführung des Skripts für Exchange Online

Laden Sie das nuget-Paket herunter von https://www.nuget.org/api/v2/package/Exchange.WebServices.Managed.Api/2.2.1.2
Ändern Sie die Erweiterung der Datei von .nupkg in .zip
Entpacken Sie das Paket.
Verwenden Sie die DLL, die im Paket unter „\lib\net35“ zu finden ist.
Geben Sie beim Ausführen des Skripts den Pfad zur DLL für den Parameter DLLPath an.

Wie führe das Skript für alle Exchange Online Postfächer aus?

Führen Sie das Skript zunächst im „Audit Mode“ als Administrator mit der Rolle Organisationsmanagement aus. Zum Scannen von Online-Postfächern sollte der Umgebungsparameter „Online“ sein.

Für das Scannen von Exchange Online-Postfächern benötigt das Skript eine Azure AD-Anwendung, die über Delegierungsberechtigungen für alle Exchange Online-Postfächer verfügt. Sie können die Anwendung mithilfe des Skripts erstellen. Sobald die Anwendung nicht mehr benötigt wird, können Sie sie ebenfalls mit dem Skript löschen.

AzureAD Anwendung verwalten:

Mit dieser Syntax wird das Skript zur Erstellung einer Azure-Anwendung ausgeführt:

.\CVE-2023-23397.ps1 -CreateAzureApplication

Mit dieser Syntax wird das Skript ausgeführt, um die vom Skript erstellte Azure-Anwendung zu löschen. (Erst nach der Ausführung des Skriptes notwendig)

.\CVE-2023-23397.ps1 -DeleteAzureApplication

Audit Mode:

Mit dieser Syntax wird das Skript zur Überprüfung aller Postfächer in Exchange Online ausgeführt. Hierzu muss vorher eine Verbindung mit dem Exchange Online in der PowerShell hergestellt werden, da „Get-Mailbox“ sonst nur die OnPremise Postfächer auflistet.

Connect-ExchangeOnline
Get-Mailbox| .\CVE-2023-23397.ps1 -Environment "Online"

Mit dieser Syntax wird das Skript ausgeführt, um alle Postfächer auf Elemente zu prüfen, die in einem bestimmten Zeitraum vorhanden waren.

Get-Mailbox | .\CVE-2023-23397.ps1 -Environment "Online" -StartTimeFilter "01/01/2023 00:00:00" -EndTimeFilter "01/01/2024 00:00:00"

Cleanup Mode:

Mit dieser Syntax wird das Skript ausgeführt, um die problematische Eigenschaft aus den Nachrichten zu löschen.

.\CVE-2023-23397.ps1 -CleanupAction ClearProperty -CleanupInfoFilePath <Path to modified CSV>

Mit dieser Syntax wird das Skript ausgeführt, um Nachrichten zu löschen, die die problematische Eigenschaft enthalten.

.\CVE-2023-23397.ps1 -CleanupAction ClearItem -CleanupInfoFilePath <Path to modified CSV>

Fehler bei der Skriptausführung und Fehlerbehebung

Exchange Server unterstützt die angeforderte Version nicht.

Wenn es Exchange 2013-Server in einer Umgebung mit Exchange 2016 oder Exchange 2019 gibt, kann das Skript möglicherweise keine Postfächer auf Exchange 2013 öffnen und den folgenden Fehler anzeigen:

Wenn der oben genannte Fehler auftritt, führen Sie das Skript mit dem Parameter EWSExchange2013 aus:

Get-Mailbox | .\CVE-2023-23397.ps1 -Environment Onprem -EWSExchange2013

Blockierte Autodiscover-Umleitung:

Wenn Autodiscover aufgrund eines Umleitungsfehlers fehlschlägt und der oben genannte Fehler auftritt, geben Sie die EWS-URL mit dem Parameter EWSServerURL an.

Exchange Server Security Updates Februar 2023

….und täglich grüßt das Murmeltier!

Microsoft hat wieder neue Sicherheitsupdates für Exchange 2013, 2016 und 2019 veröffentlicht. Die SUs vom Februar 2023 schließen Sicherheitslücken, welche von den Sicherheitspartnern von Microsoft gemeldet aber auch durch die internen Prozesse von Microsoft gefunden wurden. Aktuell sind laut Microsoft keine aktiven Exploits im Internet bekannt.

Dennoch empfehlen wir eine asap Aktualisierung der betroffenen Exchange Server.

Details zu den geschlossenen Schwachstellen finden sich hier:

Den offiziellen Artikel des Microsofts Exchange Team Blogs finden Sie hier:

Released: February 2023 Exchange Server Security Updates – Microsoft Community Hub

Bekannte Probleme

Nach der Installation der Sicherheitsupdates und der Aktivierung der Zertifikatssignierung der Powershell werden die Exchange Toolbox und die Funktion „Queue Viewer“ nicht mehr gestartet.

Fehlermeldung:

Unhandled Exception in Managed Code Snap-in

Deserialization fails due to one SerializationException: System.Runtime.Serialization.SerializationException: The input stream is not a valid binary format. The starting contents (in bytes) are: 23-73-69-67-23-72-2A-00-00-00-01-00-00-00-FF-FF-FF …

at System.Runtime.Serialization.Formatters.Binary.SerializationHeaderRecord.Read(__BinaryParser input)

Exception type: System.InvalidCastException
Exception

Workaround 1:

Verwenden Sie die Exchange Management Shell (EMS) und die passenden CMDLETS:

Get-Queue, Suspend-Queue, Get-Message etc.

Workaround 2:

Deaktivieren Sie die Funktion „Certificate Signing of PowerShell Serialization Payload“, bis ein Update zur Verfügung steht. Führen Sie dazu die folgenden Befehle in einer erhöhten Instanz der Exchange Management Shell aus:

Get-SettingOverride -Identity "EnableSigningVerification" | Remove-SettingOverride 

Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh 

Restart-Service -Name W3SVC, WAS -Force

PS: Am 11. April 2023, also in weniger als 60 Tagen, erreicht Exchange Server 2013 das End of Support!

Nach dem 11ten April wird Microsoft folgenden Support nicht mehr anbieten:

Technischen Support bei Problemen
Fehlerbehebungen für entdeckte Probleme
Sicherheitsbehebungen für entdeckte Schwachstellen, welche den Server anfällig für Sicherheitslücken machen können

Exchange Server 2013 läuft natürlich auch nach diesem Datum weiter; aufgrund der oben genannten Risiken empfehlen wir Ihnen jedoch dringend, so bald wie möglich von Exchange Server 2013 zu einem aktuellen Exchange Server/Online zu migrieren. Wenn Sie noch nicht mit der Migration von Exchange Server 2013 zu Exchange Online oder Exchange Server 2019 begonnen haben, sollten Sie jetzt unbedingt damit beginnen!

Ivy Lee Methode: Effiziente Zeitmanagement-Technik

Die Ivy Lee Methode ist eine bewährte Technik für Zeitmanagement und Produktivität, die bereits vor über 100 Jahren entwickelt wurde. Sie hilft, Prioritäten zu setzen und sich auf die wichtigsten Aufgaben zu konzentrieren, um ein erfolgreiches und erfülltes Arbeitsleben zu führen.

Wie funktioniert die Ivy Lee Methode?

Die Methode ist einfach und kann jederzeit und überall angewendet werden.

Folgende Schritte sind notwendig:

Schreibe alle Aufgaben auf, die am nächsten Tag erledigt werden müssen.
Sortiere diese Aufgaben nach Priorität und arbeite die wichtigste Aufgabe als erstes ab.
Fahre fort mit der nächstwichtigsten Aufgabe und so weiter, bis alle Aufgaben abgearbeitet wurden.
Überprüfe am Ende des Tages, ob alle Aufgaben erledigt wurden und plane für den nächsten Tag.

Warum funktioniert die Ivy Lee Methode?

Die Methode funktioniert, weil sie es ermöglicht, sich auf die wichtigsten Aufgaben zu konzentrieren, anstatt sich durch eine lange Liste unbedeutender Aufgaben zu arbeiten. Durch die Fokussierung auf die wichtigsten Aufgaben wird die Produktivität gesteigert und es bleibt mehr Zeit für andere Dinge.

Wie wende ich die Methode in meinem Alltag an?

Die Ivy Lee Methode ist ein wichtiger Bestandteil meiner festen Routinen, weil sie effektiv ist – aber eben auch effizient. Die konsequente Anwendung fördert die Resilienz und hilft mir somit trotz Stress gesund zu bleiben. Wenn wir anstehende Aufgaben möglichst genau aufschreiben, beunruhigen sie uns weniger. So können wir besser einschlafen. Und gesunder Schlaf stärkt wiederum unsere Widerstandskraft gegenüber Stress.

Ich besitze eine Terminserie mit dem Namen „Fokuszeit“ – Jeden Tag zwischen 16:30-17:00 widme ich mich der Sortierung und Priorisierung meiner Aufgaben
Ich nutze Planner und „To Do“ als Sammel-Todo-Liste für meine Aufgaben. Für E-Mails nutze ich die „Zur Nachverfolg“ Funktion, diese erstellt automatisch eine passende Aufgabe für mich. Aus meiner kumulierten Liste aus Planner und „To Do“ Aufgaben picke ich mir dann täglich die wichtigsten oder dringendsten für die Tagesplanung und ergänze diese durch spontan hinzugekommene Aufgaben.

Outlook Planner und To Do

Sobald ich etwas Zeit habe, priorisiere ich meine E-Mails vor. Hierzu nutze ich die Funktion „Zur Nachverfolgung“.

Während meiner „Fokuszeit“ rufe ich die „To Do“ App auf. Dies tue ich entweder über mein Outlook oder über Teams.

Microsoft Outlook mit „To Do“

Microsoft Teams mit der App „Task von Planner und To Do“

In der App finde ich nun alle Aufgaben aus Planner sowie „To Do“ und kann nun die Ivy-Lee-Methode perfekt umsetzen. E-Mails, welche ich für heute gekennzeichnet habe, erscheinen automatisch in den Listen „Mein Tag“ und „Gekennzeichnete E-Mail“.