Microsoft Entra Password Protection: Ein Muss für die Sicherheit Ihres Unternehmens

In der heutigen digitalen Welt, in der Cybersicherheit von größter Bedeutung ist, bleibt das Passwort ein grundlegender, aber oft übersehener Aspekt der Sicherheitsstrategie eines Unternehmens. Viele Organisationen besitzen bereits Lizenzen für fortschrittliche Sicherheitstools, setzen diese jedoch nicht ein. Ein solches Beispiel ist die Microsoft Entra Password Protection – ein leistungsstarkes Werkzeug, das speziell dafür entwickelt wurde, die Passwortsicherheit zu verbessern, indem es die Verwendung schwacher und häufig genutzter Passwörter verhindert.

Trotz der Verfügbarkeit dieses Tools aktivieren viele Kunden die Funktion nicht. Dieser Artikel dient als Ihre jährliche Erinnerung daran, warum es entscheidend ist, den Microsoft Entra ID Kennwortschutz in Ihrem lokalen Active Directory zu implementieren, vor allem, wenn Sie über die entsprechende Entra ID P1 oder P2 Lizenz verfügen.

Warum Microsoft Entra Password Protection wichtig ist

Viele Unternehmen haben bereits eine Lizenz für Microsoft Entra ID, nutzen aber den Kennwortschutz nicht. Dieses Tool verbessert die Passwortkomplexität im lokalen Active Directory signifikant, indem es bekannte schwache Passwörter und ihre Varianten sowie weitere schwache Begriffe blockiert, die spezifisch für eine Organisation sein könnten.

Die häufigsten Missverständnisse aufgeklärt

Im Laufe der Jahre sind mir einige Missverständnisse begegnet, die dazu führen, dass Organisationen zögern, diese notwendige Sicherheitsmaßnahme zu ergreifen. Hier möchte ich einige dieser Missverständnisse ausräumen:

  1. „Es ist zu kompliziert einzurichten“: Die Implementierung von Microsoft Entra Password Protection ist unkompliziert und erfordert keine Änderungen am AD DS-Schema oder das Öffnen neuer Netzwerkports.
    • Es wird keine spezifische AD Gesamtstrukturebene erfordert
      • Wenn Azure nicht verfügbar ist, hat dies keine Auswirkungen auf das Zurücksetzen Ihrer Kennwörter
      • Erfordert keine neuen Ports, welche auf Ihren DC’s geöffnet werden müssen
      • Es ist nicht erforderlich, dass Ihre DC’s über einen Internetzugang verfügen. Die Passwort-Sperrliste wird von einem Proxyserver/Dienst verteilt
  2. „Unsere Passwörter sind bereits stark genug“: Selbst wenn Ihre Organisation strenge Passwortrichtlinien verfolgt, gibt es immer noch eine Fülle gängiger Passwörter und Variationen, die durch traditionelle Richtlinien nicht abgedeckt werden. Tatsächlich ergänzt Microsoft Entra Password Protection vorhandene Richtlinien durch Hinzufügen einer weiteren Sicherheitsebene gegen schwache Passwörter. Microsoft Entra erweitert Ihren Schutz, indem es eine globale Datenbank schwacher Passwörter und deren Variationen nutzt.
  3. „Es wird die Benutzerfreundlichkeit beeinträchtigen“: Während die Blockierung schwacher Passwörter die Passwortauswahl einschränken kann, dient sie dem größeren Ziel, Konten sicherer zu machen.
    • Die Funktion wird erst wirksam, wenn die Passwörter Ihrer Benutzer das nächste Mal ablaufen bzw. zurückgesetzt werden müssen. Es wird keine Massenzurücksetzung der Passwörter durchgeführt.
  4. „Es ist nur eine weitere unnötige Sicherheitsmaßnahme“: Angesichts der steigenden Zahl von Cyberangriffen, insbesondere Passwort-Spray-Angriffen, ist die Verwendung eines Tools wie Microsoft Entra alles andere als unnötig. Es ist eine essenzielle Schicht in Ihrer Sicherheitsstrategie, die die Schwachstellen, die durch schwache Passwörter entstehen, minimiert.

Mein Aufruf zum Handeln

Die Implementierung des Microsoft Entra ID Kennwortschutzes ist nicht nur eine Best Practice, sondern eine Notwendigkeit in der heutigen von Cyberbedrohungen geprägten Landschaft. Durch die Verbesserung der Passwortkomplexität und die Eliminierung schwacher Passwörter stärken Sie die Verteidigungslinie Ihres Unternehmens gegen unautorisierten Zugriff erheblich.

Wenn Ihre Organisation über eine Lizenz für Microsoft Entra (P1/P2) verfügt, ist es an der Zeit, den Kennwortschutz zu aktivieren. Dies ist ein einfacher Schritt, der die Sicherheit Ihres Unternehmens erheblich verbessern kann. Vermeiden Sie die gängigen Fallen schwacher Passwörter und machen Sie den ersten Schritt in Richtung einer sichereren digitalen Umgebung.

Lassen Sie dieses Jahr nicht ungenutzt verstreichen, ohne die volle Macht der Microsoft Entra Password Protection zu nutzen. Es ist ein einfacher, aber wirkungsvoller Schritt, um die Cybersicherheit Ihres Unternehmens zu stärken.

Skynet im Büro: Die Risiken einer unkontrollierten Einführung von M365 CoPilot

Die Integration von Microsoft 365 CoPilot in die Unternehmenswelt verspricht, durch den Einsatz fortschrittlicher KI die Effizienz, Kreativität und Entscheidungsfindung zu revolutionieren. Doch ohne eine fundierte Governance und Compliance kann diese technologische Innovation schnell zu einem Kontrollverlust führen, ähnlich dem fiktiven Aufstieg von Skynet, der selbstbewussten KI, die in der „Terminator“-Filmreihe die Menschheit bedroht. Die fortschrittlichen Fähigkeiten von CoPilot, Daten und Informationen zu indizieren und zu analysieren, können unbeabsichtigt zu Datenschutzverletzungen und Sicherheitsrisiken führen, wenn die Governance-Strukturen nicht sorgfältig angepasst werden. Leider wurde das Thema bei vielen M365 Einführungen stiefmütterlich behandelt.


Ein alltägliches Beispiel:

Ein Mitarbeiter ist sich nicht bewusst, dass ein Gehaltsdokument versehentlich in einem öffentlich zugänglichen Teamordner abgelegt wurde. Die Sicherheit dieses Dokuments beruht auf dem fehlenden Wissen des Mitarbeiters über seine technischen Berechtigungen und den Standort des Dokuments. Die KI jedoch, die nur die bestehenden Benutzer-Berechtigungen berücksichtigt, kennt den Standort und könnte somit sensibelste Daten freilegen, ohne die Absicht oder das Wissen des Benutzers.

Vielleicht etwas genauer

Ein Aspekt, der nicht allen Benutzern – einschließlich einiger Administratoren – bewusst ist, betrifft die Zugänglichkeit von Inhalten öffentlicher Teams innerhalb der Office 365-Umgebung. Alle Dokumente, die in den öffentlichen Teamordnern abgelegt sind, können über die Office 365-Suche von jedem Benutzer im Unternehmen gefunden werden, unabhängig davon, ob der Suchende Mitglied des jeweiligen Teams ist oder nicht. Diese Dokumente lassen sich nicht nur über die M365-Suche auffinden, sondern auch in SharePoint öffnen und sind ebenso über die Teams-Suche oder Delve zugänglich.

Diese weitreichende Zugänglichkeit eröffnet in Bezug auf M365 CoPilot eine neue Dimension der Datenverarbeitung. CoPilot kann auf sämtliche Inhalte zugreifen, zu denen der Nutzer Berechtigungen besitzt – und somit auch auf alle Inhalte aller öffentlichen Teams. Im Unterschied zur herkömmlichen Suche, die Nutzer vielleicht manuell durchführen, kann M365 CoPilot diese Informationen nicht nur effizienter verlinken, sondern sie auch in seinen Antworten auf eine Weise nutzen, die weit über die einfache Wiedergabe von Suchergebnissen hinausgeht.

Dies bedeutet, dass M365 CoPilot potenziell Zugriff auf eine breitere Palette von Dokumenten und Informationen hat, als den Nutzern möglicherweise bewusst ist. Während dies die Effizienz und Produktivität durch den Zugang zu einer Fülle von Ressourcen steigern kann, unterstreicht es auch die Notwendigkeit einer sorgfältigen Überwachung und Verwaltung von Berechtigungen und Zugriffsrechten innerhalb von Office 365.

Die Sicherstellung, dass nur relevante und angemessene Inhalte öffentlich zugänglich gemacht werden, wird zu einer kritischen Komponente im Management von Informationen und der Gewährleistung der Datensicherheit in einer zunehmend durch KI unterstützten Arbeitsumgebung.

Ein weiteres konkretes Beispiel: Der alte Produktkatalog

Nehmen wir an, ein Vertriebsmitarbeiter bittet M365 CoPilot, die aktuellen Preise für ein bestimmtes Produkt zu nennen. Unbekannterweise basiert die Antwort des CoPilot auf einem veralteten Produktkatalog, der in einem der vielen Ordner des Cloudnetzwerks gespeichert ist. Dieser Katalog, der längst durch neuere Versionen ersetzt wurde, ist immer noch zugänglich, da die Data Governance nicht nachjustiert wurde, um solche veralteten Dokumente zu identifizieren und ihre Sichtbarkeit einzuschränken.

Das Resultat? Der Vertriebsmitarbeiter erhält Informationen, die auf veralteten Preisen oder gar Produkten basieren. Im schlimmsten Fall führt dies zu Angeboten, die weit unter dem aktuellen Marktpreis liegen oder nicht mehr lieferbar sind, was direkte finanzielle Verluste und Vertrauensverlust bei Kunden nach sich ziehen kann. Dieses Szenario verdeutlicht nicht nur die potenziellen Risiken einer unkontrollierten KI-Nutzung, sondern auch die Notwendigkeit eines dynamischen und proaktiven Ansatzes in der Data Governance und im Rechte- und Rollenmanagement.

Die Bedeutung von Data Governance

Diese Beispiele zeigen deutlich, dass Data Governance und das Management von Zugriffsrechten ein stetiger Prozess sein müssen.

Um die Herausforderungen im Zusammenhang mit der Zugänglichkeit und Verwendung von Daten durch fortschrittliche KI-Systeme wie M365 CoPilot zu bewältigen, sind proaktive Lösungsansätze erforderlich. Diese sollten ein robustes Rechte- und Rollenmanagement, die kontinuierliche Schulung von Mitarbeitern sowie die effektive Klassifizierung von Daten umfassen. Es reicht nicht aus, einmalig Berechtigungen zu vergeben; vielmehr müssen Organisationen proaktiv den Zugriff auf Daten und Informationen steuern und sicherstellen, dass nur autorisierte Benutzer auf sensible Daten zugreifen können.

Lösungsansätze

  • Proaktives Rechte- und Rollenmanagement: Die Vergabe von Zugriffsrechten muss auf einer gründlichen Analyse der Notwendigkeit des Zugriffs basieren. Sensible Informationen sollten besonders geschützt und regelmäßig überprüft werden.
  • Kontinuierliche Schulung der Mitarbeiter: Die Sensibilisierung der Mitarbeiter für den sicheren Umgang mit Daten und die Bedeutung des Datenschutzes ist entscheidend, um unbeabsichtigte Sicherheitsrisiken zu minimieren.
  • Einführung von Sensitivity Labels: Microsoft 365 CoPilot ist darauf ausgelegt, innerhalb der Sicherheits- und Compliance-Frameworks von Microsoft 365 zu arbeiten, einschließlich des Umgangs mit Sensitivity Labels und geschützten Inhalten. Sensitivity Labels sind ein zentraler Bestandteil der Microsoft 365 Compliance-Lösung, die es Organisationen ermöglicht, Daten basierend auf ihrer Sensibilität zu klassifizieren und zu schützen. Diese Labels können verwendet werden, um zu steuern, wer Zugriff auf bestimmte Informationen hat, und um Richtlinien für die Aufbewahrung, Verschlüsselung und andere Schutzmaßnahmen zu definieren.

Sensitivity Labels

Integration mit Sensitivity Labels

CoPilot respektiert die durch Sensitivity Labels definierten Zugriffs- und Schutzrichtlinien. Wenn ein Dokument oder eine E-Mail mit einem Sensitivity Label versehen ist, welches bestimmte Schutzmaßnahmen vorschreibt – wie etwa eine Verschlüsselung oder Zugriffsbeschränkungen, werden diese Schutzmaßnahmen auch von CoPilot eingehalten. Das bedeutet, dass CoPilot Inhalte, welche beispielsweise als „vertraulich“ oder mit höheren Schutzstufen gekennzeichnet sind, nicht für Benutzer zugänglich macht, die nicht die entsprechenden Berechtigungen besitzen.

Verhalten bei geschützten Inhalten

Für geschützte Inhalte, die durch Technologien wie Azure Information Protection (AIP) gesichert sind, gewährleistet CoPilot, dass die Schutzmaßnahmen beibehalten werden. CoPilot kann solche Inhalte im Rahmen der vom Benutzer zugewiesenen Berechtigungen verarbeiten, aber es wird sichergestellt, dass die Datenverarbeitung den Richtlinien entspricht, die durch die Sensitivity Labels festgelegt sind. Beispielsweise würde CoPilot keine Informationen aus einem als „streng vertraulich“ gekennzeichneten Dokument in einer Antwort verwenden, wenn der anfragende Benutzer nicht die erforderlichen Rechte zum Anzeigen dieses Dokuments besitzt.

Auswirkungen auf die Datensicherheit und Compliance

Durch die Einhaltung der durch Sensitivity Labels festgelegten Richtlinien trägt CoPilot dazu bei, die Datensicherheit und Compliance innerhalb von Microsoft 365 zu verstärken. Organisationen können somit die Vorteile von KI-gestützten Produktivitätswerkzeugen nutzen, ohne Kompromisse bei der Sicherheit sensibler Informationen eingehen zu müssen. Dies unterstreicht die Bedeutung der sorgfältigen Implementierung und Verwaltung von Sensitivity Labels und Schutzrichtlinien, um ein hohes Maß an Sicherheit und Compliance in der digitalen Arbeitsumgebung zu gewährleisten.

Fazit

Die Einführung von Technologien wie M365 CoPilot kann erhebliche Vorteile für Unternehmen bringen, stellt jedoch auch neue Anforderungen an das Management von Rechten und Rollen. Durch die sorgfältige Anpassung von Data Governance-Prozessen können Unternehmen die Risiken minimieren und sicherstellen, dass die Technologie zum Wohl aller Beteiligten eingesetzt wird, ohne ungewollt ein Szenario à la Skynet zu riskieren.

Microsoft Exchange 2016 – Aktivierung der Extended Protection

Mitigation des Exchange CVE-2024-21410

Derzeit stellen sich viele Leute die Frage: Wie kann ich die Sicherheitslücke CVE-2024-21410 in meinem Exchange Server schließen? Hat die Mitigation Auswirkungen auf meine Exchange Organisation?

Nun, das ist nicht so einfach zu beantworten. Grundsätzlich gilt, um das Sicherheitsloch zu schließen muss die sogenannte Exchange Extended Protection aktiviert werden. Diese soll dafür sorgen, dass sogenannte „man-in-the-middle“ Attacken verhindert werden.

Für Exchange 2019 wird die EP mit dem CU14 aktiviert (außer der Nutzer deaktiviert das Feature wissentlich bei der Installation). Doch wie verhält es sich bei Exchange 2016?

Grundsätzlich muss sichergestellt sein, dass ein eventuell vorgeschalteter LoadBalancer kein TLS-Offloading nutzt. Im Normalfall macht ein LoadBalancer ein ReEncrypt oder einfach eine Weiterleitung der Anfragen. Sollte jedoch ein Offloading genutzt werden, wird die Konfiguration zu Problemen führen. Des Weiteren müssen alle Komponenten auf dem Exchange auf aktuellem Stand sein. Das bedeutet, dass auf dem Exchange 2016 das aktuelle CU 23 (Minimum 15.01.2507.012 / Bei Exchange 2013 Build 15.00.1497.040) installiert sein muss und TLS1.2 auf ALLEN Exchange Servern der Organisation aktiviert sein muss. Hier kann der Exchange HealthChecker helfen, um die Konfigurationen auf dem Exchange zu überprüfen.

https://microsoft.github.io/CSS-Exchange/Diagnostics/HealthChecker/

C:\TEMP>.\HealthChecker.ps1 -Server Exchange01,Exchange02,Exchange03

Für die Lesbarkeit sollte über den folgenden Befehl der HTML Report erstellt werden.

C:\TEMP>.\HealthChecker.ps1 -BuildHtmlServersReport

Die TLS Einstellungen auf den Servern sollten dann wie folgt ausgegeben werden (bitte für alle Server prüfen):

Zuerst einmal sollte geprüft werden, ob die EP bereits aktiviert ist. Dafür kann das PowerShell Script aus dem Microsoft GitHub genutzt werden.

https://microsoft.github.io/CSS-Exchange/Security/ExchangeExtendedProtectionManagement/

Wenn dieses Script auf einem Exchange mit dem Parameter -ShowExtendedProtection gestartet wird, werden die entsprechenden Werte ausgelesen und aufgelistet.

Wie hier zu sehen, stehen alle Werte auf „None“. Das bedeutet, dass die EP auf dem Server nicht aktiv ist.

Um nun die Aktivierung der Extended Protection durchzuführen, kann das gleiche Script, ohne einen angegebenen Parameter gestartet werden.

C:\TEMP>.\ExchangeExtendedProtectionManagement.ps1 -ShowExtendedProtection

Das Script prüft nun nochmal die benötigten Einstellungen und aktiviert die benötigten Parameter, damit die EP auf den Virtuellen Verzeichnissen des Exchange aktiviert wird.

Sollte es Problem mit z.B. OutlookAnywhere bei der Ausführung des Scripts geben, muss eventuell das Offloading bei OutlookAnywhere deaktiviert werden. Dies kann wie folgt durchgeführt werden:

[PS] C:>Set-OutlookAnywhere „Exchange-XY\RPC (Default Web Site)“ -SSLOffloading $false

Um den Erfolg des Scripts zu prüfen, kann erneut mit dem Parameter -ShowExtendedProtection die Konfiguration geprüft werden. Diese sollte nun wie folgt aussehen:

Wichtig ist, dass nach der Anpassung die Funktionen geprüft werden. Hierzu sollten überprüft werden ob OWA und ECP sowie die Management-Shell, als auch die Outlook Verbindungen von Intern und Extern funktionieren.

Sollte es zu Problemen kommen, kann die Konfiguration wieder auf den Ursprungszustand zurückgesetzt werden. Dafür können folgenden Befehle genutzt werden:

C:\TEMP\.ExchangeExtendedProtectionManagement.ps1 -RollbackType „RestoreIISAppConfig“

C:\TEMP.\ExchangeExtendedProtectionManagement.ps1 -RollbackType „RestrictTypeEWSBackend“

Diese Befehle setzen die Einstellungen in Front- und BackEnd wieder zurück. Die Sicherheitslücke bleibt allerdings dann auch bestehen.

Sollte beim Rollback ein Fehler auftreten aufgrund fehlender Backup-Files, kann per folgendem Befehl ein kompletter Rollback durchgeführt werden.

.\ExchangeExtendedProtectionManagement.ps1 -DisableExtendedProtection

Fazit:

Vor Aktivierung der Extended Protection sollten alle Voraussetzungen geprüft werden (TLS-Einstellungen, Updatestand, TLS-Offloading auf Loadbalancer, etc.). Wenn diese alle passen, sollte es bei der Aktivierung keine Probleme geben. Sollten dennoch Probleme auftreten, kann die Einstellungen relativ schnell wieder zurückgesetzt werden. Aufgrund der derzeitigen Sicherheitslücke empfehlen wir allerdings, die Extended Protection schnellstmöglich zu aktivieren!

Release: Kumulative Update 14 für Exchange Server 2019

In diesem Blog-Artikel werfen wir einen Blick auf das im ersten Halbjahr 2024 veröffentlichte kumulative Update (CU) für Exchange Server 2019. Die wichtigsten Punkte dieses Updates umfassen verschiedene Verbesserungen und Sicherheitsupdates, einschließlich:

  1. Wichtig: Erweiterten Schutz (EP): Mit CU14 wird der Windows Extended Protection (EP) standardmäßig aktiviert, um die Sicherheit zu erhöhen. Nutzer haben die Möglichkeit, diese Funktion bei der Installation zu deaktivieren, falls ihre Systeme noch nicht dafür vorbereitet sind. Es wird dringend geraten, EP zu aktivieren.
  2. .NET Framework 4.8.1 Unterstützung: CU14 führt Unterstützung für das .NET Framework 4.8.1 ein, allerdings gilt dies nur für Windows Server 2022.
  3. Verschiebung der TLS 1.3 Unterstützung: Die Unterstützung für TLS 1.3 wird auf CU15 verschoben, um die Qualität und Kompatibilität sicherzustellen.
  4. CVE-2024-21410: Dieses Sicherheitsupdate behebt spezifische Sicherheitslücken und wird dringend empfohlen.

Zudem wird betont, dass CU14 bestimmte Voraussetzungen erfüllen muss, insbesondere wenn es um den erweiterten Schutz und SSL-Offloading geht. Es ist wichtig, dass Organisationen ihre Systeme entsprechend vorbereiten, um Probleme zu vermeiden.

Extended Protection enabled by default


Wenn Ihre Server noch nicht für die Verwendung von Extended Protection (EP) bereit sind, z.B. wegen SSL-Offloading oder Konfigurationsunterschieden bei TLS zwischen Client und Server, und Sie sich während der Einrichtung nicht gegen die EP-Aktivierung entscheiden, kann es nach der Installation von CU14 zu Funktionsstörungen kommen. In solchen Fällen müssen Sie entweder die notwendigen Konfigurationsänderungen vornehmen, um die Voraussetzungen für EP zu erfüllen (empfohlen), oder EP mit einem Skript nach der Einrichtung deaktivieren. Exchange Server unterstützt EP seit August 2022; falls noch nicht aktiviert, wird empfohlen, dies nun zu tun, um die Sicherheit zu erhöhen. Es gibt weitere Informationen in der Dokumentation sowie einen Entscheidungsflussdiagramm zur Vorgehensweise.

CVE-2024-21410 Information

Um die Schwachstelle CVE-2024-21410 zu beheben– aktivieren Sie bitte die Extended Protection (EP) auf Ihren Exchange 2019 Servern. Bei allen anderen Versionen von Exchange, die EP unterstützen, hilft die Aktivierung von EP gegen diese CVE. Weitere Informationen finden Sie unter Konfigurieren von Windows Extended Protection im Exchange Server.

Für Server, die die Voraussetzungen für Extended Protection (EP) nicht erfüllen, gelten folgende Maßnahmen:

Szenarien, welche EP nicht unterstützen:Maßnahmen
SSL-Offloading für Outlook AnywhereMuss deaktiviert werden. Bei Aktivierung von EP über Exchange Server CU14 wird die Installation SSL-Offloading für Outlook Anywhere deaktivieren.
SSL-Offloading auf Load BalancernWird nicht unterstützt. Stattdessen soll SSL-Bridging mit dem gleichen SSL-Zertifikat wie auf dem Exchange Server IIS-Frontend verwendet werden.
Öffentliche Ordner auf Exchange Server 2013, 2016 CU22 (oder älter) oder 2019 CU11 (oder älter)Alle öffentlichen Ordner müssen auf aktuell unterstützte Versionen verschoben und Exchange Server 2013, der nicht mehr unterstützt wird, außer Betrieb genommen werden.
Modern Hybrid Agent zur Veröffentlichung des Exchange Servers im Internet in einem Hybrid-Szenario:Identifizieren Sie die Server, die über den Modern Hybrid Agent veröffentlicht werden, und führen Sie das CU14-Setup im unbeaufsichtigten Modus durch, wobei der Schalter /DoNotEnableEPFEEWS verwendet wird, um EP für das EWS-Frontend nicht zu aktivieren.

Beachten Sie, dass CVE 2024-21410 auch für Exchange Server 2016 gilt. Für Exchange 2016-Server folgen Sie der Konfiguration von Windows Extended Protection in Exchange Server, falls EP in Ihrer Organisation noch nicht aktiviert ist.

Dieses Update markiert auch den Übergang von Exchange Server 2019 in den erweiterten Support, wobei nur noch ein weiteres CU (CU15) geplant ist. Microsoft empfiehlt allen Nutzern, Updates in einer Testumgebung zu evaluieren, bevor sie in einer Produktionsumgebung implementiert werden, und unterstreicht die Bedeutung des Aktualisierens auf die neueste Version, um weiterhin Sicherheitsupdates zu erhalten.

Insgesamt zielt das CU darauf ab, die Sicherheit und Zuverlässigkeit von Exchange Server 2019 zu verbessern und gleichzeitig die Grundlage für zukünftige Updates und Supportrichtlinien zu legen.

Lektionen aus dem Angriff auf Südwestfalen-IT: Prävention und Schutzmaßnahmen

Der Angriff auf Südwestfalen-IT durch die Ransomware-Gruppe „Akira“ im Oktober 2023 bietet wertvolle Einsichten in Cybersicherheitsrisiken und Präventionsstrategien. Dieser Blogbeitrag analysiert die einzelnen Schritte der Angreifer und diskutiert, wie diese hätten vermieden werden können. Als Quelle fungierte der öffentliche forensische Bericht.

Schritt 1: Identitäten absichern und Sicherheitsupdates einspielen

Schwachstelle in der VPN-Lösung: Der Angriff begann mit dem Ausnutzen einer Schwachstelle (CVE-2023-20269) in der VPN-Lösung ohne Multi-Faktor-Authentifizierung (MFA).

Warum Kennwörter unsicher sind und selbst MFA nicht immer ausreichend ist!

Die angebliche Zero-Day Schwachstelle, welche von der Akira Ransomware Gruppe ausgenutzt wurde, wurde bereits am 24ten August von Cisco in einem Blog Artikel erwähnt. Von einer Zero-Day Attacke (CVE-2023-20269) kann bei 55 Tagen nach Bekanntgabe daher nun wirklich keine Rede sein. Ein passendes Sicherheits-Update wurde am 11ten September zur Verfügung gestellt. Erste identifizierte Angriffe wurden am 18ten Oktober identifiziert werden.

Akira Ransomware Targeting VPNs without Multi-Factor Authentication – Cisco Blogs

Prävention: Die Implementierung von einer sicheren MFA hätte den Zugriff deutlich erschwert. Außerdem sollte bei Bekanntgabe von CVE’s immer eine direkte Bewertung sowie passende Maßnahmen umgesetzt werden. Die Einrichtung von Systemen zur Erkennung verdächtiger Aktivitäten, wie ungewöhnliche Anmeldeversuche oder auffällige Netzwerkbewegungen, hätte die frühzeitige Erkennung des Angriffs ermöglichen können.

Schritt 2: Ausbreitung

Erhalten administrativer Berechtigungen: Nach dem Zugang zum Netzwerk erlangten die Angreifer administrative Rechte.

Die Angreifer konnten das Administrator-Kennwort ausnutzen, weil es seit 2014 in einem Gruppenrichtlinienobjekt in entschlüsselbarer Textform hinterlegt war. Jeder Angreifer mit gültigen Domänen-Zugangsdaten konnte dadurch das Kennwort auslesen. Unter Verwendung eines von Microsoft bereitgestellten AES-Schlüssels ließ sich das Kennwort entschlüsseln, was den Angreifern ermöglichte, ihre Zugriffsberechtigungen auf das Niveau eines Domänen-Administrators zu erhöhen, ohne dabei typische forensische Anzeichen für Privilege Escalation oder Lateral Movement zu hinterlassen.

Prävention: Striktere Zugriffskontrollen und regelmäßige Überprüfungen der Berechtigungen hätten dies verhindern können. Sie sollten regelmäßig ihre Identity und Access Management Systeme auditieren.

Schritt 3: Verbreitung der Ransomware

Verbreitung der Ransomware: Die Ransomware wurde innerhalb der Windows-Domäne verbreitet. Die Verteilung der Ransomware erfolgte gezielt und anscheinend mittels Zugriffen auf das C$-Netzwerkshare der einzelnen Server. Es wurde angenommen, dass die Ransomware von Zielsystemen durch diese Zugriffe ausgeführt wurde. Diese Annahme stützt sich darauf, dass keine Spuren gefunden wurden, die auf andere Verteilungsmethoden hindeuten. Außerdem wurde festgestellt, dass die Ransomware w.exe selbst Logfiles schrieb, welche dokumentierten, welche Aktionen durch die Schadsoftware durchgeführt wurden und welche Fehler beim Verschlüsseln auftraten.

Es wurden 961 Systeme identifiziert, auf denen die Ransomnote akira_readme.txt vorzufinden war. Zum Glück wurden keine GPO’s, wie bei anderen Ransomware Gruppen üblich, verwendet. Andernfalls wären ca. 4200 Clients und 800 Server betroffen.

Prävention: Bessere Netzwerksegmentierung, ein AD Tiering, eine klassische Server Härtung und strengere Zugangskontrollen hätten die Ausbreitung eingedämmt.

AD Tiering Struktur – Funktion und Nutzen

Schritt 4: Verschlüsselung von Daten

Die Ransomware verschlüsselte das Dateisystem von Südwestfalen-IT, indem sie einen rekursiven Ansatz verfolgte. Das Programm durchlief das gesamte Dateisystem und verschlüsselte jedes Verzeichnis einzeln, beginnend mit dem angegebenen Startpfad. Interessanterweise nutzte die Ransomware, benannt als w.exe, eine Blacklist, um bestimmte Dateitypen, Dateiendungen und Verzeichnisse von der Verschlüsselung auszunehmen. Nachdem die Verschlüsselung in einem Verzeichnis abgeschlossen war, platzierte die Ransomware in jedem betroffenen Verzeichnis eine Erpressungsnachricht mit dem Namen „akira_readme.txt“​

Prävention: Regelmäßige Backups und ein effektiver und regelmäßig erprobter Disaster-Recovery-Plan hätte zudem eine schnellere Wiederherstellung der Systeme ermöglicht.

Schlussfolgerung:

Das Fazit aus dem Angriff auf Südwestfalen-IT durch die Ransomware-Gruppe „Akira“ unterstreicht die Wichtigkeit einer umfassenden und proaktiven Cybersicherheitsstrategie. Die Schlüsselerkenntnisse sind:

  1. Bedeutung von Multi-Faktor-Authentifizierung: Die Abwesenheit von MFA, insbesondere bei kritischen Zugangspunkten wie VPNs, kann Türöffner für Cyberangriffe sein. MFA ist ein wesentlicher Bestandteil zur Verstärkung der Sicherheitsmaßnahmen.
  2. Wichtigkeit regelmäßiger Sicherheitsaudits: Die Identifizierung und Behebung von Schwachstellen, wie z.B. schlecht gesicherte Passwörter, ist entscheidend, um potenzielle Angriffsvektoren zu minimieren.
  3. Notwendigkeit von Netzwerksegmentierung und strengen Zugriffskontrollen: Diese Maßnahmen können die Bewegungsfreiheit von Angreifern im Netzwerk begrenzen und die Ausbreitung von Malware verhindern oder zumindest einschränken.
  4. Proaktive Überwachung und Anomalie-Erkennung: Frühzeitige Erkennung von verdächtigen Aktivitäten und Angriffsversuchen ist entscheidend, um Eindringlinge abzuwehren, bevor sie ernsthaften Schaden anrichten können.
  5. Bewusstsein und Schulung der Mitarbeiter: Da Menschen oft das schwächste Glied in der Sicherheitskette sind, ist es wichtig, das Bewusstsein und die Wachsamkeit der Mitarbeiter zu stärken.
  6. Robuste Backup- und Disaster-Recovery-Strategien: Diese sind unerlässlich, um die Resilienz gegen Ransomware-Angriffe zu erhöhen und die Geschäftskontinuität im Falle eines Datenverlusts sicherzustellen.
  7. Einsatz fortschrittlicher Sicherheitslösungen: Der Einsatz moderner Antivirus- und Endpunkt-Schutzlösungen kann dazu beitragen, Bedrohungen frühzeitig zu erkennen und zu neutralisieren.

Der Vorfall zeigt einmal mehr, dass Cybersicherheit ein kontinuierlicher Prozess ist, der ständige Aufmerksamkeit und Anpassung erfordert, um mit den sich ständig weiterentwickelnden Bedrohungen Schritt zu halten.

Abschließend lässt sich sagen, dass der Angriff auf Südwestfalen-IT die Notwendigkeit eines Zero-Trust-Ansatzes in der Cybersicherheit unterstreicht. Zero-Trust bedeutet, grundsätzlich keinem Akteur innerhalb oder außerhalb des Netzwerks zu vertrauen, sondern jede Anfrage als potenzielle Bedrohung zu behandeln. Dieser Ansatz fordert eine kontinuierliche Überprüfung und Authentifizierung, um Sicherheit in einer immer komplexeren und vernetzteren digitalen Welt zu gewährleisten. Der Vorfall zeigt deutlich, dass der Übergang zu einem Zero-Trust-Modell für Unternehmen unerlässlich ist, um sich gegen fortgeschrittene und sich ständig weiterentwickelnde Cyberbedrohungen zu schützen.

Exchange Hybrid: Neuer Assistent für die Hybridkonfiguration (HCW)

Heute möchte ich euch über die neueste Version des Hybrid Configuration Wizard (HCW) berichten, die Microsoft am 24ten Januar 2024 veröffentlicht hat. Der HCW ist ein nützliches Tool, um eine Hybrid-Konfiguration zwischen Exchange Server und Exchange Online einzurichten und zu verwalten.

Neuer HCW

Was ist neu am HCW?

Die wichtigste Neuerung ist die Möglichkeit, bei einem erneuten Ausführen des HCW explizit auszuwählen, welche Konfigurationen durchgeführt werden sollen. Bisher konnte es passieren, dass der HCW einige Einstellungen, die manuell angepasst wurden, auf die Standardwerte zurücksetzte. Dies war vor allem bei der wichtigen Einstellung „Centralized Mail Transport“ ein kritischer Punkt. Denn die zuvor gesetzte Einstellung wurde bei einem erneuten Ausführen des Assistenten immer deaktiviert. Was gravierende Auswirkungen auf dem Mail-Fluss zur Folge hatte.

Das ist nun vorbei, denn der HCW erlaubt es, gezielt die gewünschten Konfigurationen anzuhaken. Das ist besonders praktisch für wiederkehrende Aufgaben wie das Zertifikatsmanagement.

Einfachere Aktualisierung der Zertifikate

Eine weitere neue Funktion ist die Option “Update Secure Mail Certificate for connectors”. Diese findet man im Bereich “Configure Mail Flow”. Damit kann man das TLS-Zertifikat, welches für den Mail-Fluss zwischen Exchange Server und Exchange Online verwendet wird, erneuern oder ersetzen. Nachdem man das neue Zertifikat installiert hat, muss man nur noch den HCW ausführen, die Option ankreuzen und auf “Update” klicken. Der HCW kümmert sich dann um die nötigen Anpassungen der Konnektoren.

Änderungen der notwendigen Berechtigungen

Außerdem hat Microsoft Anforderungen der Berechtigungen, die für die Durchführung von Hybrid-Konfigurationen in Microsoft 365 erforderlich sind, angepasst. 

Diese Anpassungen reduzieren die Szenarien, in denen Globale Admin-Berechtigungen erforderlich sind, wenn man den HCW ausführt, um Änderungen an einer bestehenden Hybrid-Konfiguration vorzunehmen.

Organisationsverwaltungs-Berechtigungen in Exchange On-Premises und Exchange Online sind nun für die häufigsten Szenarien ausreichend

Bitte beachten Sie, dass für eine erste Hybrid-Einrichtung weiterhin Globale Admin-Berechtigungen in Microsoft 365 erforderlich sind!

Was sind die Vorteile des HCW?

Der HCW erleichtert die Einrichtung und Verwaltung einer Hybrid-Konfiguration zwischen Exchange Server und Exchange Online. Er führt automatisch die erforderlichen Schritte aus, um eine sichere und zuverlässige Verbindung zwischen den beiden Umgebungen herzustellen. Er unterstützt auch verschiedene Szenarien, wie z.B. die Migration von Postfächern, die gemeinsame Nutzung von Kalendern und Kontakten, die Verwendung von Teams oder die Einhaltung von Compliance-Anforderungen.

Wo kann man mehr über den neuen HCW erfahren?

Microsoft hat die Dokumentation des HCW aktualisiert, um die neuesten Änderungen und die Szenarien, in denen die neue Funktion “Exchange Hybrid-Konfiguration auswählen” verwendet werden kann, zu erklären. Man kann die Dokumentation hier finden.

Fazit

Der HCW ist nun flexibel und anpassbar. Er ermöglicht es, die Hybrid-Konfiguration nach den eigenen Bedürfnissen und Präferenzen zu gestalten. Er bietet die Möglichkeit, die Konfiguration jederzeit zu ändern oder zu aktualisieren, ohne die bestehende Funktionalität zu beeinträchtigen.

Wie muss ich mit meiner Exchange on-premises Umgebung umgehen? Jetzt wo Microsoft alte Exchange Server blockt?

Bereits im Mai 2023 hat Microsoft ein neues Transport-Enforcement-System für Exchange Online angekündigt, welches darauf abzielt, die Kunden vor den Risiken von veralteten oder ungepatchten Exchange-Servern zu schützen und somit die Sicherheit der Cloud zu erhöhen. Das System wird in mehreren Stufen eingeführt und betraf zunächst nur Exchange 2007/2010 Server, welche über einen OnPremises-Connector E-Mails an Exchange Online senden.  Seit Dezember 2023 betrifft dies auch Exchange 2013 Server.

Später wird es auf alle Versionen von Exchange Server und alle E-Mails, die in Exchange Online eingehen, ausgeweitet.

Was bedeutet dies genau?

Das Transport-Enforcement-System hat drei Hauptfunktionen: Berichterstattung, Drosselung und Blockierung.

Microsoft begründet diese Maßnahme mit der dringenden und zunehmenden Sicherheitsbedrohung für Kunden, die nicht unterstützte oder ungepatchte Software verwenden. Veraltete oder ungepatchte Exchange-Server sind anfällig für Sicherheitslücken, Malware, Hacking, Datenexfiltration und andere Angriffe. Microsoft verwendet das Zero Trust Sicherheitsmodell für seine Cloud-Dienste, welches erfordert, dass sich verbindende Geräte und Server als gesund und verwaltet beweisen. Server, die nicht unterstützt oder nicht gepatcht werden, sind dauerhaft verwundbar und können demnach nicht vertraut werden.

Kurzum bedeutet das, Microsoft wird Nachrichten von älteren, nicht unterstützten Exchange-Servern blockieren. Wenn diese über einen eingehenden Connector von einem nicht unterstützten Exchange-Server zu Exchange Online gesendet werden. Die Exchange-Server, die den Connector hosten, müssen somit auf eine unterstützte Version von Exchange 2016 oder Exchange 2019 aktualisiert und regelmäßig gepatcht werden.

Stufenweiser Rollout: Microsoft führt einen stufenweisen Rollout durch, um den Administratoren Zeit zu geben, ihre Server zu überprüfen und zu aktualisieren. Die Durchsetzung beginnt mit einer 30-tägigen Berichtsphase, gefolgt von einer zunehmenden Drosselung und Blockierung des Nachrichtenflusses. Wenn die Server innerhalb von 90 Tagen nach dem ersten Bericht nicht aktualisiert werden, wird der gesamte Nachrichtenfluss über den Connector blockiert.

Timeline

Verlängerungsmöglichkeit: Microsoft ermöglicht es den Administratoren eine Verlängerung zu beantragen, wenn sie mehr Zeit benötigen, um Updates zu testen. Wichtig: Sie können die Verlängerung maximal für 90 Kalendertage vornehmen.

Exchange On-Premises vs. Exchange Online: Microsoft wird weiterhin sowohl Exchange On-Premises als auch Exchange Online vollständig unterstützen. Microsoft ist bewusst, dass viele Kunden noch eine Exchange-Hybridkonfigurationen benötigen.

Nächste Schritte:

Sie sollten nun ihre Hybrid-Exchange-Konfiguration überprüfen und entscheiden, ob sie Exchange On-Premises behalten oder komplett zu Exchange Online wechseln wollen.

Wie nutze ich die Verlängerungsmöglichkeit?

Verwenden Sie hierzu das Exchange Admin Center (EAC)

  • Navigieren Sie zu Reports -> Mail flow -> Out-of-date connection on-premises Exchange servers
  • Klicken Sie im Report auf Enforcement Pause

Wählen sie Anschluss die Anzahl der Tage aus (maximal 90 Kalendertage)

Bin ich bereits betroffen?

Wenn Ihre veralteten lokalen Exchange Server gedrosselt oder blockiert werden, werden Sie mindestens einen der folgenden Fehler in Ihren lokalen E-Mail-Protokollen sehen:

4.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online throttled for n mins/hr.
5.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online blocked for n mins/hr. 

Exchange 2013 – End of Life

Heute ist der 11. April 2023, das offizielle Support Ende vom Exchange 2013 Server. Das bedeutet, dass Microsoft keine Sicherheitsupdates, Bugfixes oder technischen Support mehr für diese Version anbietet.

Was sind die Folgen für die Nutzer und Administratoren von Exchange 2013 Server und wie können sie sich darauf vorbereiten?

Exchange 2013 Server wurde im Oktober 2012 veröffentlicht und bot damals viele neue Funktionen und Verbesserungen für die E-Mail-Kommunikation in Unternehmen. Dazu gehörten unter anderem eine modernisierte Web-Oberfläche (Outlook Web App), eine bessere Integration mit SharePoint und Lync, eine höhere Skalierbarkeit und Leistung sowie eine vereinfachte Verwaltung und Migration.

Nach mehr als zehn Jahren ist Exchange 2013 Server jedoch veraltet und kann nicht mehr mit den aktuellen Anforderungen an Sicherheit, Compliance und Produktivität mithalten. Zudem ist Exchange 2013 nicht mehr kompatibel mit den neuesten Versionen von Windows Server, Office oder Outlook. Das bedeutet, dass die Nutzer und Administratoren von Exchange 2013 Server ein erhöhtes Risiko für Cyberangriffe, Datenverluste oder Ausfälle haben. Sie sollten daher rechtzeitig auf eine neuere Version umsteigen.

Die empfohlene Lösung für die Nutzer und Administratoren von Exchange 2013 Server ist der Wechsel zu Exchange Online, dem Cloud-basierten E-Mail-Dienst von Microsoft 365.

Exchange Server Security Update März 2023

Kaum ein Monat vergeht ohne neue Sicherheitsupdates! Umso wichtiger ist ein Zero Trust Ansatz und die Umsetzung eines AD Tiering.

Die Sicherheit von IT-Systemen und Daten ist für jede Organisation von entscheidender Bedeutung. Doch die Zahl der Sicherheitsbedrohungen und -verletzungen nimmt stetig zu, und die herkömmlichen Sicherheitsmaßnahmen reichen nicht mehr aus, um einen wirksamen Schutz zu gewährleisten. Die traditionelle Annahme, dass alles innerhalb des eigenen Netzwerks vertrauenswürdig ist, während alles außerhalb des Netzwerks potenziell gefährlich ist, ist nicht mehr haltbar. Angreifer können sich leicht Zugang zu internen Ressourcen verschaffen, indem sie Schwachstellen ausnutzen, gestohlene Anmeldeinformationen verwenden oder Insider missbrauchen. Um dieser Herausforderung zu begegnen, benötigen Organisationen einen neuen Sicherheitsansatz, der auf dem Prinzip des Zero Trust basiert.

Im März 2023 hat Microsoft SUs für Exchange Server 2013, 2016 und 2019 veröffentlicht, die mehrere Schwachstellen beheben, die von Sicherheitspartnern an Microsoft gemeldet wurden oder durch Microsoft’s interne Prozesse gefunden wurden. Diese Schwachstellen können es einem Angreifer ermöglichen, aus der Ferne Code auszuführen, die Berechtigungen zu erhöhen oder sensible Informationen preiszugeben. Einige dieser Schwachstellen sind kritisch oder wichtig eingestuft und erfordern keine Benutzerinteraktion, um ausgenutzt zu werden.

Den originalen Techcommunity-Beitrag finden Sie hier:

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2023-exchange-server-security-updates/ba-p/3764224

Obwohl Microsoft keine aktiven Ausnutzungen dieser Schwachstellen im Internet bekannt ist, empfiehlt Microsoft dringend, diese Updates so schnell wie möglich zu installieren, um Ihre Umgebung zu schützen. Diese Updates sind sowohl als selbstextrahierende und .exe-Pakete als auch als ursprüngliche Update-Pakete (.msp-Dateien) verfügbar, die vom Microsoft Update-Katalog heruntergeladen werden können.

Liste über die einzelnen Schwachstellen:

  • CVE-2023-23397: Microsoft Office Outlook Escalation of Privilege (Outlook Updates dringend notwendig)
  • CVE-2023-24880: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete E-Mail sendet.
  • CVE-2023-24881: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete Anfrage an den Exchange Web Service sendet.
  • CVE-2023-24882: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete Anfrage an den Exchange Control Panel sendet.
  • CVE-2023-24883: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete Anfrage an den Exchange Autodiscover Service sendet.
  • CVE-2023-24884: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete Anfrage an den Exchange Unified Messaging Service sendet.
  • CVE-2023-24885: Eine Informationspreisgabe in Exchange Server, die es einem Angreifer ermöglicht, sensible Informationen aus dem Server zu extrahieren, indem er eine speziell gestaltete Anfrage an den Exchange Web Service sendet.

Zusätzlich zu den SUs für Exchange Server sollten Sie auch das Outlook-Sicherheitsupdate für Windows installieren, dass eine weitere Schwachstelle behebt, die mit CVE-2023-23397 zusammenhängt. Hierzu haben wir einen eigenen Artikel zur Verfügung gestellt. Dieses Update verhindert, dass Outlook eine Verbindung zu einer bösartigen SMB-Freigabe herstellt und den NTLM-Hash des Benutzers preisgibt.

Hier die Liste der behobenen Probleme:

Wir hoffen, dass Ihnen dieser Blogartikel geholfen hat, mehr über die neuen Exchange-Sicherheitsupdates März 2023 zu erfahren und wie Sie sie installieren können.

Exchange Server Security Updates Januar 2023 (Release 10.01.2023)

Am 10.01.2023 hat Microsoft ein weiteres Sicherheitsupdate für Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 veröffentlich. Durch dieses Update werden einige Sicherheitslücken auf den Systemen geschlossen.

Das Update ist für folgende Versionen freigegeben:

  • Exchange Server 2013 CU23 
  • Exchange Server 2016 CU23
  • Exchange Server 2019 CU11 and CU12 

Microsoft hat dazu folgenden Artikel veröffenlticht:

Released: January 2023 Exchange Server Security Updates

Auch das BSI hat dazu eine Informationsseite bereitgestellt.

[WID-SEC-2023-0058] Microsoft Exchange Server: Mehrere Schwachstellen

Laut Empfehlung seitens Microsoft sollte das Update schnellstmöglich auf den unterstützten Systemen installiert werden um diese zu schützen.

Bekannte Probleme

Active Directory-Topologie Dienst

Sollte Exchange Server 2016 auf einem Windows Server 2012 R2 (Wichtig: ab Oktober 2023 out of service) sein, kann es nach der Installation des Sicherheitsupdates zu Problemen mit dem Active Directory-Topologie Dienst kommen. Dieser startet nach einem Neustart des Serversystems nicht automatisch bzw. erst zu spät und führt somit zu Problemen bei den anderen Exchange Diensten.

OWA Webseitenvorschau

Im OWA kann es ebenfalls zu Problemen kommen. Hier kann es vorkommen, dass die Seitenvorschau von im OWA geteilten Webseiten nicht sauber dargestellt werden kann.

Workarounds

OWA

Für die OWA Webseitenvorsschau ist derzeit kein Workaround bekannt. Microsoft arbeitet an einem Patch für das Problem.

Active Directory-Topologie Dienst:

Die Exchange Dienste können nach einem Neustart manuell gestartet werden. Dazu kann folgender Befehl PowerShell Befehl genutzt werden:

Get-Service -Name „MSExchange*“ | Start-Service

Ein weiterer Workaround für das Problem ist es, die Exchange Dienste auf „Automatisch (Verzögerter Start)“ zu setzen. Hier können folgenden CMD Befehle auf dem System ausgeführt werden.

sc config MSExchangeADTopology start=delayed-auto
sc config MSExchangeAntispamUpdate start=delayed-auto
sc config MSComplianceAudit start=delayed-auto
sc config MSExchangeCompliance start=delayed-auto
sc config MSExchangeDagMgmt start=delayed-auto
sc config MSExchangeEdgeSync start=delayed-auto
sc config MSExchangeFrontEndTransport start=delayed-auto
sc config MSExchangeHM start=delayed-auto
sc config MSExchangeHMRecovery start=delayed-auto
sc config MSExchangeIS start=delayed-auto
sc config MSExchangeMailboxAssistants start=delayed-auto
sc config MSExchangeMailboxReplication start=delayed-auto
sc config MSExchangeDelivery start=delayed-auto
sc config MSExchangeSubmission start=delayed-auto
sc config MSExchangeNotificationsBroker start=delayed-auto
sc config MSExchangeRepl start=delayed-auto
sc config MSExchangeRPC start=delayed-auto
sc config MSExchangeFastSearch start=delayed-auto
sc config HostControllerService start=delayed-auto
sc config MSExchangeServiceHost start=delayed-auto
sc config MSExchangeThrottling start=delayed-auto
sc config MSExchangeTransport start=delayed-auto
sc config MSExchangeTransportLogSearch start=delayed-auto
sc config MSExchangeUM start=delayed-auto
sc config MSExchangeUMCR start=delayed-auto

Cookie Consent mit Real Cookie Banner