Apps & Data Archives - IT-Consulting Blog

Übersicht über Windows LAPS

In diesem Blogbeitrag möchte ich Ihnen eine spannende neue Funktion vorstellen, welche mit dem heutigen Sicherheitsupdate vom 11. April 2023 für die folgenden Windows-Editionen direkt im Betriebssystem enthalten sind:

Windows 11 Pro, EDU, and Enterprise
Windows 10 Pro, EDU, and Enterprise
Windows Server 2022 and Windows Server Core 2022
Windows Server 2019

Windows Local Administrator Password Solution (Windows LAPS) für Azure Active Directory

Native Integration in Windows

Windows LAPS ist sofort einsatzbereit. Sie müssen kein externes MSI-Paket mehr installieren, kein AD-Schema mehr erweitern und keine Gruppenrichtlinien verteilen! Alle zukünftigen Anpassungen, Verbesserungen oder Funktionsupdates werden über die normalen Windows-Patching-Prozesse bereitgestellt.

Was ist Windows LAPS?

Windows LAPS ist eine Windows-Funktion, die bereits für in Windows Server Active Directory eingebundene Geräte verfügbar ist. Sie ermöglicht es Ihnen, die Kennwörter der lokalen Administratorkonten auf Ihren Geräten automatisch zu generieren, zu ändern und zu speichern. Dies erhöht die Sicherheit, da Sie nicht mehr das gleiche Kennwort für alle Geräte verwenden müssen, und vermeidet somit das Risiko von Pass-the-Hash-Angriffen und unterbindet aktiv das sogenannte Lateral Movement.

Windows LAPS bietet einige Vorteile gegenüber anderen Methoden zur Verwaltung von lokalen Administratorpasswörtern, wie z.B.:

Es generiert zufällige und komplexe Passwörter für jedes Gerät und ändert sie regelmäßig nach einem festgelegten Zeitplan.
Es speichert die Passwörter verschlüsselt in einem Active Directory-Attribut, das nur von berechtigten Benutzern oder Gruppen abgerufen werden kann.
Es vermeidet die Verwendung eines gemeinsamen Passworts für alle Geräte oder die manuelle Verfolgung von Passwörtern in einer Excel-Tabelle oder einem anderen Medium.
Es ermöglicht es Administratoren, die Passwörter bei Bedarf schnell zu ändern oder zurückzusetzen, z.B. bei einem Sicherheitsvorfall oder einem Mitarbeiterwechsel.
Es ist einfach zu implementieren und zu verwalten, ohne dass zusätzliche Hardware oder Software erforderlich ist.

Windows LAPS ist eine nützliche Lösung für alle Organisationen, die lokale Administratorpasswörter auf ihren Windows-Geräten effektiv verwalten wollen. Es ist kostenlos und einfach zu verwenden und bietet einen hohen Grad an Sicherheit und Kontrolle.

Windows LAPS unterstützt Azure AD

Windows LAPS für Azure Active Directory erweitert die bestehende Funktion um die Möglichkeit, die Kennwörter der lokalen Administratorkonten in Azure Active Directory zu sichern. Dies hat mehrere Vorteile:

Sie können die gespeicherten Kennwörter über Microsoft Graph abrufen.
Sie können zwei neue Microsoft Graph-Berechtigungen erstellen, um nur die Kennwort-„Metadaten“ (z. B. für Sicherheitsüberwachungs-Apps) oder das sensible Klartextkennwort selbst abzurufen.
Sie können Azure-Richtlinien für rollenbasierte Zugriffssteuerung (Azure RBAC) verwenden, um Autorisierungsrichtlinien für das Abrufen von Kennwörtern zu erstellen.
Sie können das Azure-Verwaltungsportal verwenden, um Kennwörter abzurufen und zu ändern.
Sie können die Funktion über Intune verwalten!
Sie können das Kennwort automatisch ändern, nachdem das Konto verwendet wurde.

Wie kann ich Windows LAPS für Azure Active Directory einrichten?

Um Windows LAPS für Azure Active Directory einzurichten, müssen Sie zunächst einen Mechanismus zur Bereitstellung von Richtlinien auf Ihren Geräten wählen. Die bevorzugte Option ist die Verwendung von Microsoft Intune mit dem Windows LAPS-Konfigurationsdienstanbieter (CSP). Wenn Sie Microsoft Intune nicht verwenden, können Sie auch andere Methoden verwenden, wie z. B. die direkte Änderung der Registrierung oder die Verwendung von Gruppenrichtlinie für lokale Computer.

Exchange 2013 – End of Life

Heute ist der 11. April 2023, das offizielle Support Ende vom Exchange 2013 Server. Das bedeutet, dass Microsoft keine Sicherheitsupdates, Bugfixes oder technischen Support mehr für diese Version anbietet.

Was sind die Folgen für die Nutzer und Administratoren von Exchange 2013 Server und wie können sie sich darauf vorbereiten?

Exchange 2013 Server wurde im Oktober 2012 veröffentlicht und bot damals viele neue Funktionen und Verbesserungen für die E-Mail-Kommunikation in Unternehmen. Dazu gehörten unter anderem eine modernisierte Web-Oberfläche (Outlook Web App), eine bessere Integration mit SharePoint und Lync, eine höhere Skalierbarkeit und Leistung sowie eine vereinfachte Verwaltung und Migration.

Nach mehr als zehn Jahren ist Exchange 2013 Server jedoch veraltet und kann nicht mehr mit den aktuellen Anforderungen an Sicherheit, Compliance und Produktivität mithalten. Zudem ist Exchange 2013 nicht mehr kompatibel mit den neuesten Versionen von Windows Server, Office oder Outlook. Das bedeutet, dass die Nutzer und Administratoren von Exchange 2013 Server ein erhöhtes Risiko für Cyberangriffe, Datenverluste oder Ausfälle haben. Sie sollten daher rechtzeitig auf eine neuere Version umsteigen.

Die empfohlene Lösung für die Nutzer und Administratoren von Exchange 2013 Server ist der Wechsel zu Exchange Online, dem Cloud-basierten E-Mail-Dienst von Microsoft 365.

QakBot sowie andere aktuelle Angriffe und wie diese verhindert werden können!

QakBot ist eine gefährliche Malware, die sich über verschiedene Methoden verbreitet, um Zugriff auf sensible Daten zu erlangen, Passwörter zu stehlen und weitere Schadsoftware nachzuladen. In diesem Blogpost erfahren Sie mehr über die aktuelle QakBot-Kampagne, die OneNote-Dateien als Angriffsvektor nutzt, und wie Sie sich davor schützen können.

Warum OneNote?

OneNote ist eine beliebte Anwendung von Microsoft, die es erlaubt, Notizen zu erstellen, zu organisieren und zu teilen. OneNote hat weltweit Millionen von Nutzern in verschiedenen Bereichen wie Bildung, Arbeit und persönlichem Leben. Leider haben auch Cyberkriminelle das Potenzial von OneNote erkannt und verwenden es als Alternative zu Office-Makros, die von vielen Sicherheitslösungen blockiert werden. Seit Ende Januar 2023 verbreiten Hacker QakBot-Malware über schädliche OneNote-Dateien, die entweder als Anhang oder als Link in Phishing-E-Mails verschickt werden.

Die Phishing-E-Mails sind oft als Antworten auf bestehende Kommunikationen getarnt, um das Vertrauen der Empfänger zu gewinnen. Die OneNote-Dateien enthalten eine Grafik, die den Nutzer auffordert, auf einen „Open“-Button zu klicken, um einen weiteren Anhang aus der Cloud herunterzuladen. Dieser Anhang ist eine HTML-Anwendung im .hta-Format, die die QakBot-Malware von einem entfernten Server lädt und ausführt.

Was macht QakBot so gefährlich?

QakBot ist eine modulare Malware, die verschiedene Funktionen hat, wie zum Beispiel:

Keylogging: QakBot zeichnet alle Tastatureingaben des Opfers auf und sendet sie an den Command-and-Control-Server der Hacker.
Credential Stealing: QakBot stiehlt Passwörter aus Browsern, E-Mail-Clients und anderen Anwendungen.
Banking Trojan: QakBot kann Online-Banking-Sitzungen manipulieren und Geldtransfers durchführen oder sensible Daten abfangen.
Lateral Movement: QakBot kann sich im Netzwerk ausbreiten und weitere Geräte infizieren.
Loader: QakBot kann weitere Schadsoftware nachladen, wie zum Beispiel Ransomware oder Spyware.

Wie können Sie sich vor QakBot und anderen Angriffen schützen?

Die beste Verteidigung gegen QakBot und andere Malware ist eine mehrschichtige Sicherheitsstrategie, die folgende Maßnahmen umfasst:

E-Mail-Sicherheit: Verwenden Sie eine zuverlässige E-Mail-Sicherheitslösung, die Spam-, Phishing- und Malware-E-Mails filtert und blockiert. Achten Sie auch auf verdächtige Absender, Betreffzeilen und Anhänge oder Links in E-Mails. Führen Sie ein Whitelisting für Ihre Anhänge ein. Blocken Sie Dateien mit der Endung .One
Endpoint-Sicherheit: Verwenden Sie eine leistungsstarke Endpoint-Sicherheitslösung, die Ihre Geräte vor bekannten und unbekannten Bedrohungen schützt. Aktualisieren Sie regelmäßig Ihre Betriebssysteme und Anwendungen, um Sicherheitslücken zu schließen.
Netzwerk-Sicherheit: Verwenden Sie eine robuste Netzwerk-Sicherheitslösung, die den Datenverkehr überwacht und verdächtige Aktivitäten erkennt und blockiert. Vermeiden Sie auch den Zugriff auf unsichere oder unbekannte Websites oder Dienste.
Backup-Sicherheit: Verwenden Sie eine zuverlässige Backup-Sicherheitslösung, die Ihre wichtigen Daten regelmäßig sichert und wiederherstellt. Bewahren Sie Ihre Backups an einem sicheren Ort auf, der von Ihrem Netzwerk getrennt ist.
Awareness-Schulung: Sensibilisieren Sie Ihre Mitarbeiter für die Risiken von Cyberangriffen und schulen Sie sie in den besten Praktiken für die E-Mail- und Internetnutzung. Ermutigen Sie sie auch dazu, verdächtige E-Mails oder Vorfälle zu melden.
Zero Trust: Implementieren Sie ein Sicherheitskonzept, welches davon ausgeht, dass alle Netzwerkverbindungen potenziell gefährlich sind. Ihr Leitsatz sollte lauten „Vertrau niemanden, überprüfe alles“. Zero Trust erfordert eine kontinuierliche Überwachung und Validierung aller Aktivitäten im Netzwerk, unabhängig davon, ob sie von innen oder außen kommen. Siehe Zero-Trust-Implementierung mit Microsoft 365
AD Hardening: Implementieren Sie das Active Directory Tiering Modell, um die Sicherheit von Ihrem Verzeichnisdienst zu verbessern. Siehe AD Tiering Struktur – Funktion und Nutzen

Fazit

Sicherheit ist ein Prozess, welcher ständig angepasst und verbessert werden muss. Nur die Kombination aus verschiedensten Sicherheitsansätzen verringert die Angriffsfläche sowie den potenziellen Schaden.

Ziel ist es, Angriffe frühzeitig zu erkennen, den Schaden somit einzugrenzen und die Produktivität des Unternehmens aufrecht zu erhalten. Hierzu gibt es leider keine einfache Software-Lösung. Nur die Kombination aus Erkennungssystemen, gehärteten und isolierten Sicherheitsebenen garantieren einen möglichst geringen Schaden.

Exchange Server Security Update März 2023

Kaum ein Monat vergeht ohne neue Sicherheitsupdates! Umso wichtiger ist ein Zero Trust Ansatz und die Umsetzung eines AD Tiering.

Die Sicherheit von IT-Systemen und Daten ist für jede Organisation von entscheidender Bedeutung. Doch die Zahl der Sicherheitsbedrohungen und -verletzungen nimmt stetig zu, und die herkömmlichen Sicherheitsmaßnahmen reichen nicht mehr aus, um einen wirksamen Schutz zu gewährleisten. Die traditionelle Annahme, dass alles innerhalb des eigenen Netzwerks vertrauenswürdig ist, während alles außerhalb des Netzwerks potenziell gefährlich ist, ist nicht mehr haltbar. Angreifer können sich leicht Zugang zu internen Ressourcen verschaffen, indem sie Schwachstellen ausnutzen, gestohlene Anmeldeinformationen verwenden oder Insider missbrauchen. Um dieser Herausforderung zu begegnen, benötigen Organisationen einen neuen Sicherheitsansatz, der auf dem Prinzip des Zero Trust basiert.

Im März 2023 hat Microsoft SUs für Exchange Server 2013, 2016 und 2019 veröffentlicht, die mehrere Schwachstellen beheben, die von Sicherheitspartnern an Microsoft gemeldet wurden oder durch Microsoft’s interne Prozesse gefunden wurden. Diese Schwachstellen können es einem Angreifer ermöglichen, aus der Ferne Code auszuführen, die Berechtigungen zu erhöhen oder sensible Informationen preiszugeben. Einige dieser Schwachstellen sind kritisch oder wichtig eingestuft und erfordern keine Benutzerinteraktion, um ausgenutzt zu werden.

Den originalen Techcommunity-Beitrag finden Sie hier:

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2023-exchange-server-security-updates/ba-p/3764224

Obwohl Microsoft keine aktiven Ausnutzungen dieser Schwachstellen im Internet bekannt ist, empfiehlt Microsoft dringend, diese Updates so schnell wie möglich zu installieren, um Ihre Umgebung zu schützen. Diese Updates sind sowohl als selbstextrahierende und .exe-Pakete als auch als ursprüngliche Update-Pakete (.msp-Dateien) verfügbar, die vom Microsoft Update-Katalog heruntergeladen werden können.

Liste über die einzelnen Schwachstellen:

CVE-2023-23397: Microsoft Office Outlook Escalation of Privilege (Outlook Updates dringend notwendig)
CVE-2023-24880: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete E-Mail sendet.
CVE-2023-24881: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete Anfrage an den Exchange Web Service sendet.
CVE-2023-24882: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete Anfrage an den Exchange Control Panel sendet.
CVE-2023-24883: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete Anfrage an den Exchange Autodiscover Service sendet.
CVE-2023-24884: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete Anfrage an den Exchange Unified Messaging Service sendet.
CVE-2023-24885: Eine Informationspreisgabe in Exchange Server, die es einem Angreifer ermöglicht, sensible Informationen aus dem Server zu extrahieren, indem er eine speziell gestaltete Anfrage an den Exchange Web Service sendet.

Zusätzlich zu den SUs für Exchange Server sollten Sie auch das Outlook-Sicherheitsupdate für Windows installieren, dass eine weitere Schwachstelle behebt, die mit CVE-2023-23397 zusammenhängt. Hierzu haben wir einen eigenen Artikel zur Verfügung gestellt. Dieses Update verhindert, dass Outlook eine Verbindung zu einer bösartigen SMB-Freigabe herstellt und den NTLM-Hash des Benutzers preisgibt.

Hier die Liste der behobenen Probleme:

EWS web application pool stops after the February 2023 Security Update is installed – if you have implemented the workaround in the KB article, you should remove the workaround once the March SU is installed (see the KB article for instructions). Running Health Checker will remind you of the need to remove the workaround.
Exchange Toolbox and Queue Viewer fails after Certificate Signing of PowerShell Serialization Payloa… – this issue has been resolved for servers running the Mailbox role, but this still occurs on servers and workstations that have only the Management Tools role installed.
This release unblocks customers who can’t enable Extended Protection (EP) because they are using a Retention Policy with Retention Tags that perform Move-to-Archive actions. Note: if you worked around this problem using the updated Exchange Server Extended Protection script, you should roll back the applied IP restrictions after installing this SU by following the script documentation.

Wir hoffen, dass Ihnen dieser Blogartikel geholfen hat, mehr über die neuen Exchange-Sicherheitsupdates März 2023 zu erfahren und wie Sie sie installieren können.

Wichtig: Outlook SU CVE-2023-23397

CVE-2023-23397 ist eine kritische Schwachstelle in Microsoft Outlook, die es einem Angreifer ermöglicht, die Windows-Anmeldedaten (NTLM-Hash) eines Opfers zu stehlen, indem er eine speziell gestaltete E-Mail sendet. Der Angreifer kann dann den Hash verwenden, um sich gegen andere Dienste zu authentifizieren. Dies kann zu einem Datenverlust oder einer Kompromittierung des Systems bzw. des kompletten AD’s (Stichwort: Lateral Movement) führen. Die Schwachstelle wurde bereits ausgenutzt von staatlich unterstützten und Ransomware-Akteuren. Microsoft hat ein Sicherheitsupdate für Outlook veröffentlicht, um diese Schwachstelle zu beheben.

Um sich zu schützen, sollten Sie das Update so schnell wie möglich installieren und überprüfen, ob Sie von der Schwachstelle betroffen sind.

Wichtig: Die Sicherheitslücke ist nicht abhängig von der Exchange Variante. Da es sich um eine Sicherheitslücke im Outlook Client handelt, sind auch Exchange Online Postfächer betroffen.

Wie überprüfe ich, ob ich bereits von der Schwachstelle betroffen bin.

Um zu überprüfen, ob Sie bereits von der Schwachstelle betroffen sind, können Sie ein Skript verwenden, das Microsoft erstellt hat. Das Skript sucht nach verdächtigen E-Mails in Ihrem Postfach und zeigt Ihnen an, ob Sie eine Verbindung zu einem Angreifer-Server hergestellt haben.

Sie können das Skript hier herunterladen:

https://github.com/microsoft/CSS-Exchange/tree/main/Security/CVE-2023-233971

Welche Outlook Versionen sind betroffen?

Die Schwachstelle CVE-2023-23397 betrifft die folgenden Outlook-Versionen:

Microsoft Outlook version 2013
Microsoft Outlook version 2016
Microsoft Outlook Version 2019
Microsoft Office LTSC 2021
Microsoft 365 Apps for Enterprise

Die Sicherheitsupdates finden sie unter: CVE-2023-23397 – Security Update Guide – Microsoft – Microsoft Outlook Elevation of Privilege Vulnerability

Wie führe ich das Skript aus?

Voraussetzungen für die Ausführung des Skripts für Exchange Server

Um dieses Skript in einer lokalen Exchange Server-Umgebung auszuführen, müssen Sie ein Konto mit der Verwaltungsrolle ApplicationImpersonation verwenden. Sie können eine neue Rollengruppe mit den erforderlichen Berechtigungen erstellen, indem Sie den folgenden PowerShell-Befehl in einer erhöhten Exchange Management Shell (EMS) ausführen:

New-ThrottlingPolicy "CVE-2023-23397-Script"
Set-ThrottlingPolicy "CVE-2023-23397-Script" -EWSMaxConcurrency Unlimited -EWSMaxSubscriptions Unlimited -CPAMaxConcurrency Unlimited -EwsCutoffBalance Unlimited -EwsMaxBurst Unlimited -EwsRechargeRate Unlimited
Set-Mailbox -Identity "<UserWhoRunsTheScript>" -ThrottlingPolicy "CVE-2023-23397-Script"

Um das Skript auszuführen, müssen Sie die folgenden Schritte befolgen:

Öffnen Sie eine PowerShell-Konsole als Administrator.
Wechseln Sie in das Verzeichnis, in dem Sie das Skript heruntergeladen haben.
Führen Sie den folgenden Befehl aus: .\CVE-2023-23397.ps1 -Mailbox
Warten Sie, bis das Skript abgeschlossen ist und überprüfen Sie die Ergebnisse.

Wie führe ich das Skript für alle Postfächer aus? (onPrem/lokal)

PS C:\> Get-Mailbox | .\CVE-2023-23397.ps1 -Environment Onprem

Voraussetzungen für die Ausführung des Skripts für Exchange Online

Laden Sie das nuget-Paket herunter von https://www.nuget.org/api/v2/package/Exchange.WebServices.Managed.Api/2.2.1.2
Ändern Sie die Erweiterung der Datei von .nupkg in .zip
Entpacken Sie das Paket.
Verwenden Sie die DLL, die im Paket unter „\lib\net35“ zu finden ist.
Geben Sie beim Ausführen des Skripts den Pfad zur DLL für den Parameter DLLPath an.

Wie führe das Skript für alle Exchange Online Postfächer aus?

Führen Sie das Skript zunächst im „Audit Mode“ als Administrator mit der Rolle Organisationsmanagement aus. Zum Scannen von Online-Postfächern sollte der Umgebungsparameter „Online“ sein.

Für das Scannen von Exchange Online-Postfächern benötigt das Skript eine Azure AD-Anwendung, die über Delegierungsberechtigungen für alle Exchange Online-Postfächer verfügt. Sie können die Anwendung mithilfe des Skripts erstellen. Sobald die Anwendung nicht mehr benötigt wird, können Sie sie ebenfalls mit dem Skript löschen.

AzureAD Anwendung verwalten:

Mit dieser Syntax wird das Skript zur Erstellung einer Azure-Anwendung ausgeführt:

.\CVE-2023-23397.ps1 -CreateAzureApplication

Mit dieser Syntax wird das Skript ausgeführt, um die vom Skript erstellte Azure-Anwendung zu löschen. (Erst nach der Ausführung des Skriptes notwendig)

.\CVE-2023-23397.ps1 -DeleteAzureApplication

Audit Mode:

Mit dieser Syntax wird das Skript zur Überprüfung aller Postfächer in Exchange Online ausgeführt. Hierzu muss vorher eine Verbindung mit dem Exchange Online in der PowerShell hergestellt werden, da „Get-Mailbox“ sonst nur die OnPremise Postfächer auflistet.

Connect-ExchangeOnline
Get-Mailbox| .\CVE-2023-23397.ps1 -Environment "Online"

Mit dieser Syntax wird das Skript ausgeführt, um alle Postfächer auf Elemente zu prüfen, die in einem bestimmten Zeitraum vorhanden waren.

Get-Mailbox | .\CVE-2023-23397.ps1 -Environment "Online" -StartTimeFilter "01/01/2023 00:00:00" -EndTimeFilter "01/01/2024 00:00:00"

Cleanup Mode:

Mit dieser Syntax wird das Skript ausgeführt, um die problematische Eigenschaft aus den Nachrichten zu löschen.

.\CVE-2023-23397.ps1 -CleanupAction ClearProperty -CleanupInfoFilePath <Path to modified CSV>

Mit dieser Syntax wird das Skript ausgeführt, um Nachrichten zu löschen, die die problematische Eigenschaft enthalten.

.\CVE-2023-23397.ps1 -CleanupAction ClearItem -CleanupInfoFilePath <Path to modified CSV>

Fehler bei der Skriptausführung und Fehlerbehebung

Exchange Server unterstützt die angeforderte Version nicht.

Wenn es Exchange 2013-Server in einer Umgebung mit Exchange 2016 oder Exchange 2019 gibt, kann das Skript möglicherweise keine Postfächer auf Exchange 2013 öffnen und den folgenden Fehler anzeigen:

Wenn der oben genannte Fehler auftritt, führen Sie das Skript mit dem Parameter EWSExchange2013 aus:

Get-Mailbox | .\CVE-2023-23397.ps1 -Environment Onprem -EWSExchange2013

Blockierte Autodiscover-Umleitung:

Wenn Autodiscover aufgrund eines Umleitungsfehlers fehlschlägt und der oben genannte Fehler auftritt, geben Sie die EWS-URL mit dem Parameter EWSServerURL an.

Microsoft 365 Dienstprobleme (MO502273) – Stand 25.01.2023

[Update 11:35 Uhr] – Auch Intune und Defender for Cloud Apps scheinen betroffen zu sein. Es scheint, dass eine Änderung des WAN Routings seitens Microsoft zu den Problemen führt.

[Update 10:50 Uhr] – Microsoft meldet, dass der Fehler möglicherweise auf getätigte Änderungen der Netzwerkinfrastruktur zurückzuführen ist. Derzeit wird daher ein Rollback der Netzwerkeinstellungen durchgeführt.

Microsoft meldet derzeit Probleme mit ihren M365 Diensten. Der Incident mit der Bearbeitungsnummer MO502273 führt zu Problemen beim Zugriff auf diverse M365 Produkte.

Auch der Zugriff auf die Administrationsportale scheint problematisch zu sein. Laut Microsoft sind folgende Dienste betroffen:

Microsoft Teams
Exchange Online
Outlook
SharePoint Online
OneDrive for Business
Microsoft Graph
PowerBi
M365 Admin Portal
Microsoft Intune
Microsoft Defender for Cloud Apps, Identity and Endpoint.

Microsoft arbeitet derzeit an der Lösung des Problems.

Wir informieren euch über den aktuellen Stand auch auf unserem Twitter Account: https://twitter.com/consulting_blog oder auf der Statusseite von Microsoft: https://status.office365.com/

Exchange Server Security Updates Januar 2023 (Release 10.01.2023)

Am 10.01.2023 hat Microsoft ein weiteres Sicherheitsupdate für Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 veröffentlich. Durch dieses Update werden einige Sicherheitslücken auf den Systemen geschlossen.

Das Update ist für folgende Versionen freigegeben:

Exchange Server 2013 CU23
Exchange Server 2016 CU23
Exchange Server 2019 CU11 and CU12

Microsoft hat dazu folgenden Artikel veröffenlticht:

Released: January 2023 Exchange Server Security Updates

Auch das BSI hat dazu eine Informationsseite bereitgestellt.

[WID-SEC-2023-0058] Microsoft Exchange Server: Mehrere Schwachstellen

Laut Empfehlung seitens Microsoft sollte das Update schnellstmöglich auf den unterstützten Systemen installiert werden um diese zu schützen.

Bekannte Probleme

Active Directory-Topologie Dienst

Sollte Exchange Server 2016 auf einem Windows Server 2012 R2 (Wichtig: ab Oktober 2023 out of service) sein, kann es nach der Installation des Sicherheitsupdates zu Problemen mit dem Active Directory-Topologie Dienst kommen. Dieser startet nach einem Neustart des Serversystems nicht automatisch bzw. erst zu spät und führt somit zu Problemen bei den anderen Exchange Diensten.

OWA Webseitenvorschau

Im OWA kann es ebenfalls zu Problemen kommen. Hier kann es vorkommen, dass die Seitenvorschau von im OWA geteilten Webseiten nicht sauber dargestellt werden kann.

Workarounds

OWA

Für die OWA Webseitenvorsschau ist derzeit kein Workaround bekannt. Microsoft arbeitet an einem Patch für das Problem.

Active Directory-Topologie Dienst:

Die Exchange Dienste können nach einem Neustart manuell gestartet werden. Dazu kann folgender Befehl PowerShell Befehl genutzt werden:

Get-Service -Name „MSExchange*“ | Start-Service

Ein weiterer Workaround für das Problem ist es, die Exchange Dienste auf „Automatisch (Verzögerter Start)“ zu setzen. Hier können folgenden CMD Befehle auf dem System ausgeführt werden.

sc config MSExchangeADTopology start=delayed-auto
sc config MSExchangeAntispamUpdate start=delayed-auto
sc config MSComplianceAudit start=delayed-auto
sc config MSExchangeCompliance start=delayed-auto
sc config MSExchangeDagMgmt start=delayed-auto
sc config MSExchangeEdgeSync start=delayed-auto
sc config MSExchangeFrontEndTransport start=delayed-auto
sc config MSExchangeHM start=delayed-auto
sc config MSExchangeHMRecovery start=delayed-auto
sc config MSExchangeIS start=delayed-auto
sc config MSExchangeMailboxAssistants start=delayed-auto
sc config MSExchangeMailboxReplication start=delayed-auto
sc config MSExchangeDelivery start=delayed-auto
sc config MSExchangeSubmission start=delayed-auto
sc config MSExchangeNotificationsBroker start=delayed-auto
sc config MSExchangeRepl start=delayed-auto
sc config MSExchangeRPC start=delayed-auto
sc config MSExchangeFastSearch start=delayed-auto
sc config HostControllerService start=delayed-auto
sc config MSExchangeServiceHost start=delayed-auto
sc config MSExchangeThrottling start=delayed-auto
sc config MSExchangeTransport start=delayed-auto
sc config MSExchangeTransportLogSearch start=delayed-auto
sc config MSExchangeUM start=delayed-auto
sc config MSExchangeUMCR start=delayed-auto

Effektive Passwortrichtlinien für Ihr Unternehmen mit FGPP: Tipps für die erfolgreiche Umsetzung

Die „Fine-Grained Password Policies“ (FGPP) sind ein Feature von Active Directory (AD), das es Administratoren ermöglicht, die Passwortrichtlinien für bestimmte Benutzer oder Benutzergruppen innerhalb einer Domäne zu konfigurieren. Mit FGPP können Administratoren unterschiedliche Passwortrichtlinien für verschiedene Benutzergruppen definieren, anstatt eine einzige Passwortrichtlinie für die gesamte Domäne zu verwenden.

FGPP ermöglicht es Administratoren, verschiedene Passwortrichtlinien auf der Grundlage von Attributen des Benutzers zu erstellen, z.B:

Mindestlänge des Passworts
Verwendung von Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen
Passwortdauer und Anzahl der erlaubten Passwortänderungen
Passworthistorie

Diese Funktion kann helfen die Sicherheit zu erhöhen, da es ermöglicht die Passwortrichtlinien entsprechend dem Risiko der Benutzer oder Gruppen anzupassen. Zum Beispiel kann für administrative Accounts eine höhere Passwortkomplexität erforderlich sein als für normale Benutzer.

Es ist wichtig, dass Passwortrichtlinien regelmäßig überprüft und angepasst werden, um sicherzustellen, dass sie den aktuellen Sicherheitsbedürfnissen entsprechen und die Sicherheit nicht beeinträchtigt wird.

Im Zusammenhang mit der AD Tiering Struktur können so für die unterschiedlichen Tiers verschiedene Kennwortrichtlinien angewendet werden.

Im Folgenden werden wir eine typische Empfehlung umsetzen:

Alles, was wir hierzu benötigen, ist eine Powershell samt Active Directory Module.

Erstellung einer „PSO 190 days“ Richtlinie für Service-Accounts:

New-ADFineGrainedPasswordPolicy -Name "PSO 190 days" -Precedence 500 -ComplexityEnabled $true -Description "Password Policy for service accounts 190 days" -DisplayName "PSO 190 days service accounts" -LockoutDuration "0.12:00:00" -LockoutObservationWindow "0.00:15:00" -LockoutThreshold 2 -MaxPasswordAge "190.00:00:0" -MinPasswordAge "1.00:00:00" -MinPasswordLength 15 -PasswordHistoryCount 5 -ReversibleEncryptionEnabled $false

Erstellung einer „PSO 180 days“ Richtlinie für normale Benutzer:

New-ADFineGrainedPasswordPolicy -Name "PSO 180 days" -Precedence 500 -ComplexityEnabled $true -Description "Password Policy for Office Users 180 days" -DisplayName "PSO 180 days Office Users" -LockoutDuration "0.00:30:00" -LockoutObservervationWindow "0.00:15:00" -LockoutThreshold 5 -MaxPasswordAge "180.00:00:0" -MinPasswordAge "1.00:00:00" -MinPasswordLenght 10 -PasswordHistoryCount 5 -ReversibleEncryptionEnabled $false

Erstellung einer „PSO 90 days“ Richtlinie für T-0 sowie T-1 Administratoren:

New-ADFineGrainedPasswordPolicy -Name "PSO 90 days" -Precedence 500 -ComplexityEnabled $true -Description "Password Policy for administrative Users 90 days" -DisplayName "PSO 90 days administrative Users" -LockoutDuration "0.12:00:00" -LockoutObservationWindow "0.00:15:00" -LockoutThreshold 5 -MaxPasswordAge "90.00:00:0" -MinPasswordAge "1.00:00:00" -MinPasswordLength 12 -PasswordHistoryCount 5 -ReversibleEncryptionEnabled $false

Die Zuweisung der einzelnen Richtlinien erfolgt über Gruppenmitgliedschaften. Hierzu erstellen wir 3 globale Gruppen im AD.

Nun verknüpfen wir die Richtlinien mit den neuen globalen Gruppen:

Add-ADFineGrainedPasswordPolicySubject "PSO 180 days" -Subjects k_PSO_180days
 
Add-ADFineGrainedPasswordPolicySubject "PSO 90 days" -Subjects k_PSO_90days
 
Add-ADFineGrainedPasswordPolicySubject "PSO 190 days" -Subjects k_PSO_190days

Nun ordnen wir sämtlichen Benutzeraccounts eine Richtlinie zu. Hierzu nehmen wir den Benutzer Julian.Schuetz mit in die Gruppe „k_PSO_180days“ mit auf. Den Benutzer T0-pad-jschuetz nehmen wir in die Gruppe „k_PSO_90days“ mit auf. Und den Service-Account T1-SVC-Sophos, Sie ahnen es sicherlich schon, nehmen wir in die Gruppe „k_PSO_190days“ mit auf.

Mit dem folgenden Befehl können wir nun die Anwendung der neuen Kennwortrichtlinie validieren:

Get-ADUserResultantPasswordPolicy -Identity julian.schuetz

Es empfiehlt sich für sämtliche Service-Accounts ein Verzeichnis zu pflegen:

#	Service Account	SOP	Interval
1	KRBTGT	PWChange_KRBTGT.docx	Alle 3 Monate
2	Azureadssoacc	PWCHange_AzureADCCOACC.docx	Alle 30 Tage
3	T1-SVC-Sophos	PWCHange_T1-SVC-Sophos.docx	k_PSO_190days
4	Ergänzen und Pflegen

Service-Account Verzeichnis

Der Vorteil liegt auf der Hand, durch die Pflege von einem Verzeichnis, können regelmäßige Kennwortänderungen für die Service-Accounts in den Administratoren Alltag leicht integriert werden. Jede Applikation erhält somit einen eigenständigen Account und eine passende Anleitung für den regelmäßigen Kennwortwechsel.

Für die kritischen Administratoren Gruppen im Active Directory sollten Break Glass Accounts eingerichtet. Die Passwörter für diese Accounts sind entsprechend lang und schützenswert und müssen ebenfalls in regelmäßigen Abständen geändert werden.

Data Protection

Microsoft 365 umfasst Features wie Microsoft Information Protection und Microsoft Defender for Cloud Apps (früher Cloud App Security), welche Ihre Daten sowohl innerhalb als auch außerhalb von Microsoft 365 schützen können.

Wenn Sie sich auf den Schutz Ihrer Daten konzentrieren, sollten Sie sicherstellen, dass Ihre Informationen sicher sind, unabhängig davon wo sie gespeichert sind.

Sie sollten einen Governance-Ansatz für Ihre Informationen über den gesamten Lebenszyklus verfolgen.

Discovery
Classification
Protection
Monitoring

Microsoft Information Protection verschlüsselt die Informationen und Daten transparent und erfordert für den Zugriff eine gültige Authentifizierung.

Beispiel:

Ein wichtiges klassifiziertes Dokument wird aus der sicheren Umgebung, zum Beispiel SharePoint Online entfernt. Das Dokument behält die mit dem Dokument verbundene MIP-Labels bei.

Das Dokument kann über eine Vielzahl von weiteren Methoden – E-Mail, Freigabe von OneDrive usw. – an jeden Empfänger gesendet werden.

Nach dem Empfang können trotzdem nur diejenigen, die Zugriff auf das MIP-Label haben, den Inhalt der Datei öffnen und anzeigen.

Selbst wenn der Betrachter beschließt, das Dokument an andere Benutzer weiterzuleiten, können die anderen Empfänger das Dokument nicht ohne die entsprechenden Berechtigungen öffnen. Die Berechtigungen können jederzeit geändert oder widerrufen werden.

Das Ziel ist demnach, dass Informationen und Daten, selbst wenn diese Ihre Umgebung auf einem gestohlenen Gerät verlassen, ohne eine ordnungsgemäße Benutzerauthentifizierung unlesbar werden.

Selbst Mitarbeitende, welche das Unternehmen verlassen, verlieren somit den Zugriff auf die Daten. Unabhängig davon, wo die Daten und Informationen abgelegt wurden. Ohne gültige Authentifizierung sind die Daten nicht lesbar.

In kommenden Artikeln werden wir etwas genauer auf die Features MIP und Defender for Cloud Apps eingehen.