Exchange, Security and Active Directory

Exchange 2007 Sp2 Rollup 1 ist verfügbar

2009-11-20T08:25:00Z

Microsoft hat für Exchange 2007 Service Pack 2 das Rollup 1 zur Verfügung gestellt. Den Download findet ihr unter http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=de91f994-6263-47ef-89d7-6d344997459d im Microsoft Downloadcenter. Der zugehörige KB-Artikel mit der Liste der Änderungen ist unter http://support.microsoft.com/?kbid=971534 verfügbar.

Viel Spass bei der Installation

Viele Grüße

Walter Steinsdorfer

Outlook 2010 zeigt im Active Directory gespeicherte Bilder an

2009-11-18T09:15:00Z

Schon desöfteren habe ich den Wunsch gehört das in der Globalen Adressliste ebenso wie in den eigenen Kontakten Bilder angezeigt werden können. Mit Outlook 2010 Beta besteht diese Möglichkeit endlich. Ilse von Criecking von Microsoft hat einen ausführlichen Blogartikel dazu verfasst. Da die Bilder nicht sehr groß sind dürfte sich auch in größeren Unternehmen die Replikationslast in Grenzen halten. Das Attribut im Active Directory ist übrigens schon länger vorhanden, nur Outlook hat keinen Gebrauch davon gemacht bisher.

Viele Grüße

Walter Steinsdorfer

Office 2010 Beta für Technet und MSDN-Abonnenten verfügbar

2009-11-16T20:47:00Z

Microsoft hat für Technet und MSDN – Abonnenten die Beta-Version von Office 2010 bereitgestellt. Ich arbeite schon einige Zeit mit der Technical Preview und bin begeistert. Mein Download läuft gerade, ich bin sehr gespannt auf die Beta (die es übrigens nur in englischer Sprache gibt momentan).

Update: Die Beta steht inzwischen in deutscher Sprache (und anderen Sprachen) zur Verfügung.

Viele Grüße

Walter Steinsdorfer

Exchange Anti-Spam näher erklärt

2009-11-16T20:32:56Z

Das Exchangeteam hat unter dem Titel “Exchange anti-spam myths revealed” einen sehr interessanten Artikel zum Thema Exchange Anti-Spam veröffentlicht. Es werden dort häufige und interessante Fragen zu dem Thema erläutert, aus meiner Sicht ist der Artikel sehr lesenswert.

Viele Grüße

Walter Steinsdorfer

Schutz vor Zero Day Exploit gegen Windows Netbios bzw. SMB

2009-11-13T07:44:00Z

Wie an mehreren Stellen im Internet zu lesen ist (Silicon, Heise, Blog von Laurent Gaffie) gibt es eine Sicherheitslücke in der Netbios / SMB Schnittstelle von Windows. Die Lücke führt momentan nur dazu das der Rechner stehen bleibt und nur per Stromentzug zum erneuten Mitarbeiten zu bewegen ist. Die Lücke lässt sich von einer infizierten Webseite und auch remote ausnutzen, einen Patch gibt es im Augenblick nicht dagegen. Ein denkbares Angriffsscenario könnte aber sein das man auf einer Webseite ein Script auslöst das per Netbios-Broadcast alle Rechner in dem Segment lahmlegt. Das möchte natürlich niemand. Um die Gefahr zu minimieren bietet es sich an die für die Netbios-Kommunikation notwendigen Ports zu sperren und einen Wins-Server in einem anderen Netzsegment wie die Clients einzusetzen.

Konfiguration der Firewall:

Die Firewalleinstellungen sind unter "Administrative Templates, Network, Network Connections, Windows Firewall, Domain Profile" zu tätigen. Bitte prüfen Sie ob bei Ihnen die vorhandenen Netzwerke in Active Directory, Sites and Services hinterlegt sind. Nur dann erkennen die Clients das das Firewallprofil "Domain Profile" anzuwenden ist.

Um die Firewall einzuschalten sind folgende Einstellungen in den Gruppenrichtlinien zu tätigen:

"Protect all Network connections" enable

"Allow inbound remote administration exeption" disable (damit können zwar keine Clients mehr verwaltete werden über die Konsolen, aber sicher ist sicher. Evtl. können Sie hier ein Geräte bzw. eine Ip eintragen von der aus nicht im Internet gesurft wird).

"Do not allow exeptions" enabled Für den Fall das bei Ihnen jemand lokale Adminrechte hat wird ihm damit das Einschalten / Konfigurieren von Ausnahmen in der Firewall verwehrt.

"Define inbound port exeptions" enabled An dieser Stelle bitte nicht die Ports 137,138,139,445 eintragen. Damit heben Sie ansonsten die gegen das Problem getroffene Sicherheitsmaßnahme wieder auf!

Was sich leider nicht schützen läßt:

Domain Controller (Fileshare für Skripte und GPO´s)
Fileserver (Port 445 für SMB)
Printserver (Port 445 für SMB)
Exchange 2007, 2010 (File Distribution Service Exchange OAB, CCR)

Die wichtigste Maßnahme dürfte sein sich möglichst nur auf sicheren Internetseiten zu bewegen und die Benutzer für die Gefahren im Internet zu sensibilisieren.

Noch eine Anmerkung zur Veröffentlichung zu Laurent Gaffie: Normalerweise sollte die Lücke an Microsoft gemeldet und gewartet werden bis ein Patch bereitsteht um die Lücke zu schließen. Die Gefahr das mögliche Schwachstellen ausgenutzt werden vermindert sich so enorm. Leider hat Laurent Gaffie hier gegen ein ungeschriebenes Gesetz verstoßen das möglicherweise viele Admins ausbaden müssen. Sehr schade, für derartige Aktionen habe ich überhaupt kein Verständnis.

Update: Microsoft hat ein Advisory zu dem Problem veröffentlicht: http://www.microsoft.com/technet/security/advisory/977544.mspx

Viele Grüße

Walter Steinsdorfer

Exchange Server Deployment Assistant

2009-11-12T15:04:00Z

Microsoft hat mit dem Deployment Assistent für Exchange 2010 eine Webbasierte Schritt für Schritt - Anleitung herausgebracht. Damit kann man bei Exchange Installationen geordnet der Reihe nach vorgehen und auch die Migrationszenarien von Exchange 2003 auf Exchange 2010 bzw. von Exchange 2007 auf Exchange 2010 werden berücksichtigt. Momentan ist nur der Teil "Upgrade from Exchange 2003" freigeschaltet, die anderen Teile folgen in den nächsten Tagen.

Mehr zum Deployment Assistenten gibt es auf dem Exchange Team Blog.

Viele Grüße

Walter Steinsdorfer

Wie viel Platten brauche ich für meine User?

2009-11-11T11:47:19Z

Unter Exchange 2010 hat Microsoft nochmals deutliche Einsparungen was die benötigten I/O´s für die Mailboxen angeht in der Datenbank umgesetzt. So kann man jetzt auch deutlich mehr Mailboxen auf billigen und großen Sata-Festplatten hosten ohne das die Benutzer eine Outlook-Hinweismeldung erhalten. Die Frage wie viel I/O ich genau benötige wurde bisher durch den von Microsoft angebotenen Storage Calculator genau ausgerechnet. Da sich unter Exchange 2010 die Berechnungsgrundlagen deutlich geändert haben war hier eine Überarbeitung notwendig. Ross Smith IV von Microsoft hat nun auf dem Exchangeteamblog die neue Version mit einer ausführlichen Anleitung veröffentlicht.

Viele Grüße

Walter Steinsdorfer

November Patchday!

2009-11-11T07:23:44Z

Gestern hat Microsoft wieder ein neues Security Bulletin für November herausgebracht. Auch diesen Monat gibt es einige kritische Patche die so bald wie möglich eingespielt werden sollten.

MS09-63	Vulnerability in Web Services on Devices API Could Allow Remote Code Execution (973565) This security update resolves a privately reported vulnerability in the Web Services on Devices Application Programming Interface (WSDAPI) on the Windows operating system. The vulnerability could allow remote code execution if an affected Windows system receives a specially crafted packet. Only attackers on the local subnet would be able to exploit this vulnerability.	Auf Servern die einen Webservice installiert haben unbedingt installieren!
MS09-64	Vulnerability in License Logging Server Could Allow Remote Code Execution (974783)	Wer den Lizenzserver installiert hat ist gegen diese Lücke anfällig
MS09-65	Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Remote Code Execution (969947) This security update resolves several privately reported vulnerabilities in the Windows kernel. The most severe of the vulnerabilities could allow remote code execution if a user viewed content rendered in a specially crafted Embedded OpenType (EOT) font. In a Web-based attack scenario, an attacker would have to host a Web site that contains specially crafted embedded fonts that are used to attempt to exploit this vulnerability. In addition, compromised Web sites and Web sites that accept or host user-provided content could contain specially crafted content that could exploit this vulnerability. An attacker would have no way to force users to visit a specially crafted Web site. Instead, an attacker would have to convince the user to visit the Web site, typically by getting them to click a link in an e-mail message or Instant Messenger message that takes the user to the attacker's site.	Betrifft praktische alle Windows Versionen. Da es sich um eine Remote ausnutzbare Lücke handelt und es um den Kernel geht sollte der Patch asap eingespielt werden, insbesondere auf den Workstations und Terminalservern. Solange man auf Servern nicht surft dürfte das Problem nur eine geringe Gefahr darstellen.
MS09-66	Vulnerability in Active Directory Could Allow Denial of Service (973309) This security update resolves a privately reported vulnerability in Active Directory directory service, Active Directory Application Mode (ADAM), and Active Directory Lightweight Directory Service (AD LDS). The vulnerability could allow denial of service if stack space was exhausted during execution of certain types of LDAP or LDAPS requests. This vulnerability only affects domain controllers and systems configured to run ADAM or AD LDS.	Denial of Service, die Domänenkontroller oder Rechner mit Adam/AD LDS müssen schnellstens gepached werden. Denkt dabei an den Edge!
MS09-67	Vulnerabilities in Microsoft Office Excel Could Allow Remote Code Execution (972652)	Excel ist verwundbar und ermöglicht Remote code Ausführung. Sollte asap gepached werden.
MS09-68	Vulnerability in Microsoft Office Word Could Allow Remote Code Execution (976307)	Remote ausnutzbare Lücke in Microsoft Word, auch diese sollte asap gepached werden.

Mehr Informationen gibt es in den weiterführenden Links des Security Bulletins oder auf dem Blog des Microsoft Security Response Centers .

Happy Patching

Viele Grüße

Walter Steinsdorfer

Exchange 2010 ist verfügbar

2009-11-10T20:31:02Z

wie Microsoft auf der Teched bekannt gegeben hat ist Exchange 2010 jetzt allgemein verfügbar. Mehr Informationen gibt es zum Beispiel auf Daniel Melanchthons Blog.

Ich durfte die Entwicklung von Exchange 2010 seit einigen Monaten mitverfolgen und finde es ist ein großartiges Produkt geworden. Ich freue mich schon auf die ersten “produktiven” Installationen.

Viele Grüße

Walter Steinsdorfer

Disaster Recovery Konzepte

2009-11-05T18:58:00Z

In der Novemberausgabe des IT-Administrators habe ich einen Artikel über Disaster Recovery Konzepte für Exchange 2003 – 2010 veröffentlichen dürfen. Für alle die schon mal in einer Disaster – Situation waren oder diese gerne vermeiden möchten finden sich dort sicher interessante Anregungen.

Viele Grüße

Walter Steinsdorfer

Exchange 2007 auf Windows Server 2008 R2

2009-11-04T21:10:36Z

Entgegen bisherigen Aussagen wird es nun in Kürze doch Support für eine Installation von Exchange 2007 auf Windows Server 2008 R2 geben. Offensichtlich gab es sehr viele Kunden die sich das von Microsoft gewünscht hatten. Mehr Informationen dazu hält das Exchange Teamblog bereit unter http://msexchangeteam.com/archive/2009/11/04/453026.aspx .

Viele Grüße

Walter Steinsdorfer

Iphones vom Exchange aussperren?

2009-11-03T18:50:37Z

Relativ viele IPhone User werden wohl ihr Iphone wegen der sonst vorhandenen Einschränkungen “Jailbreaken”. Das Problem bei diesen IPhones ist das dort ein SSH-Zugang mit bekanntem Passwort für den root-User installiert wird. Die meisten IPhone – Inhaber sind sich des Problems wahrscheinlich gar nicht bewußt. Greift man nun remote auf ein IPhone per SSH zu ist man dort Admin. Da auf vielen IPhones auch ein Active Sync Konto für Exchange eingerichtet ist kann ein Angreifer sich darüber sehr schnell und einfach Zugang zu allen Emails des betroffenen Benutzers verschaffen. Werden die gleichen Anmeldecredentials auch für den VPN-Zugang verwendet kommt der Angreifen sehr schnell an Firmeninternas. Wie ich gehört habe wird das “schicke” Iphone häufig auch von Vorständen benutzt.

Die einzige sichere Abhilfe zur Zeit: Die externen Zugänge der betroffenen Benutzer sperren, den Jailbreak rückgängig machen, das Passwort des Benutzers ändern und das IPhone neu mit Software bestücken (Natürlich sollte der User sein neues Passwort nicht mehr auf dem IPhone eingeben!)

Der Angreifer braucht übrigens nur einen Portscanner und einen SSH-Client um erfolgreich zu sein. Weil es so einfach ist auf dem Iphone einzudringen werden es wahrscheinlich auch relativ viele “Hacker” versuchen. Etwas mehr Vorsicht in den nächsten Tagen ist also angebracht.

Viele Grüße

Walter Steinsdorfer

E-Book zu Exchange 2010 erschienen

2009-10-27T08:53:00Z

Von Jaap Wesselius, MVP für Exchange Server ist ein englisches E-Book für Exchange 2010 erschienen. Wenn man sich registriert kann man es im PDF-Format kostenlos herunterladen:

http://www.red-gate.com/specials/Exchange/esa_exchange2010.htm?utm_source=simpletalkarticle&utm_medium=weblink&utm_content=2010ebookoct09

Viele Grüße

Walter Steinsdorfer

Support Policy für Database Availability Group geändert!

2009-10-20T21:13:45Z

Letzte Woche wurden in der Newsgroup noch Fragen zur Database Availability Group gestellt. Stand bis heute war das man für eine von Microsoft Pss unter stützte Umgebung mindestens 2 Netzwerke /Netzwerkkarten benötigt. Überraschend hat Microsoft diese Support Policy heute geändert. Für Exchange Database Availability Groups ist ab sofort nur noch eine Netzwerkkarte pro Mailboxserver notwendig! Das bedeutet weniger Streß bei der Konfiguration und eine deutliche Vereinfachung bei der Einrichtung.

Update: Microsoft hat zwischenzeitlich auch die Produktdokumentation im Technet angepasst. Hier kommt ihr zur entsprechenden Seite. Vielen Dank an Marc Jochems für den Hinweis.

Viele Grüße

Walter Steinsdorfer

Adobe Patched Lücke in Acrobat Reader 9.1.x

2009-10-16T13:49:21Z

neben dem Microsoft Patchday gab auch Adobe ein Update für den Adobe Reader heraus. Dieses Update schließt Lücken über die DOS – Angriffe oder verschiedene Buffer overflows ausgeführt werden können. Das Update sollte unbedingt eingespielt werden, der Adobe Reader hat dann die Versionsnummer 9.2.

Viele Grüße

Walter Steinsdorfer

Oktober Patchday!

2009-10-14T10:36:05Z

es ist wieder soweit, Microsoft hat gestern abend wieder einige Sicherheitsupdates freigegeben. Das aktuelle Security Bulletin findet ihr unter http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms09-oct.mspx

Es sind einige kritische Updates vorhanden die Remotecodeausführung verhindern, diese sollten unbedingt eingespielt werden. Insbesondere auf den SMB-Patch möchte ich verweisen, hier gibt es ja bereits Beispielcode wie die Lücke ausgenutzt werden kann. Wer diesen Patch nicht sofort einspielen möchte kann auch per Gruppenrichtlinie SMBv2 ausschalten (siehe Screenshot).

Viele Grüße

Walter Steinsdorfer

Exchange 2010 ist RTM

2009-10-08T21:04:14Z

Let´s party! Die Exchange Produktgruppe hat es gerade auf dem Exchange Team Blog veröffentlicht: Exchange 2010 ist RTM!

Es wird zwar noch ein paar Tage dauern bis zur Allgemeinen Verfügbarkeit, aber der erste wichtige Schritt ist getan, es gibt ein zur Produktion fertiges Release. Gratulation an die PG zu einem so guten Produkt!

Viele Grüße

Walter Steinsdorfer

Schema Erweiterung auf Windows Server 2008 R2 bei bestehender Exchange 2003 – Org.

2009-10-08T07:27:23Z

Das war sicher eine der interessantesten Anmerkungen/Fragen auf der gestrigen Launch – Veranstaltung. Bei einer Exchange 2003 – Organisation im Active Directory Forest ist es nicht supportet~~, die Schemaerweiterungen für Active Directory 2008 R2!~~ ~~einzuspielen~~ den Forest Functional Level auf Windows Server 2008 R2 anzuheben. Eine genaue Begründung habe ich dafür noch nicht gefunden, aus der Support Matrix geht aber dieser Punkt genau hervor.

Bevor also das Schema auf Windows Server 2008 R2 upgedatet wird und der Forest Functional Level danach angepasst wird, muß die Exchange-Organisation mindestens auf Exchange 2007 laufen.

Viele Grüße

Walter Steinsdorfer

Rights management Service Connection Point

2009-10-08T07:21:56Z

Auf der gestrigen Launch – Veranstaltung kam unter anderem die Frage nach dem Service Connetion Point von Rights management Services auf. Dieser Connection Point wird dazu verwendet um die Konfiguration von RMS den Clients zugänglich zu machen. Mittels ADSIEdit kann man sich zu der Konfigurationspartition verbinden und unterhalb von Services den Punkt “RightsmanagemenServices” finden.Mittels dieses Eintrags können sich die RMS-Clients (ab Vista onboard und mit Office Professional Plus nutzbar) mit dem Server verbinden und die für die Verschlüsselung und Authentifzierung nötigen xml-Zertifikate am RMS-Server abholen.

Viele Grüße

Walter Steinsdorfer

Online – Mailbox Moves

2009-10-06T07:31:27Z

Mit Exchange 2010 hält ein neues Feature Einzug in der Exchange – Organisation das vor allem die Administratoren begeistern wird die schon desöfteren Nachts oder am (verlängerten) Wochenende massenhaft Mailboxen von einem Exchange-Server auf den nächsten transferiert haben: Online Mailbox Moves.

Wie funktioniert das: Der Inhalt der Mailboxen wird währende der Benutzer auf seiner ursprünglichen Mailbox weiterarbeitet kopiert. Während des Umzuges der Usermailbox eingehende Elemente werden auch auf die neue Mailbox übertragen und sind dort nach dem Umzug sichtbar. Der Benutzer erhält nach dem erfolgreichen Umzug eine kurze Meldung das er bitte Outlook kurz neu starten soll. Mit der neuen Methode können damit Downtimes für den Benutzer (und Nachschichten für den Administrator) auf ein Minimum verkürzt werden.

Welche Versionen supporten den Online – Move: Ursprünglich war angedacht es nur in Exchange 2010 zu unterstützen. Das neue Feature hat es jetzt aber doch in Exchange 2007 Sp 2 geschafft, wie auf der in der Hilfe enthaltenen Tabelle zu ersehen ist:

Moving From - To	Online	Supported
Exchange 2010 to Exchange 2010	Yes	Yes
Exchange 2007 SP2 to Exchange 2010	Yes	Yes
Exchange 2007 SP1 to Exchange 2010	No	Not supportet
Exchange 2003 Sp2 to Exchange 2010	No	Yes
Exchange 2003 Sp1 to Exchange 2010	No	Not supportet
Exchange 2010 to Exchange 2007 SP2	No	Yes
Exchange 2010 to Exchange 2003	No	Yes
Exchange 2010 to Exchange 2003	No	Yes

Wo ist das “move-mailbox” – cmdlet?

Das move – mailbox cmdlet wurde abgelöst. Es wurde durch das cmdlet “new-moverequest” ersetzt. Eine ausführliche Dokumentation wie das Umziehen von Mailboxen funktioniert findet sich im Technet unter http://technet.microsoft.com/de-de/library/dd298174(en-us,EXCHG.140).aspx.

Viele Grüße

Walter Steinsdorfer