Das BSI (Bundesministerium für Sicherheit in der Informationstechnik) RDP (Remotedesktop Protokoll) nicht mehr für extern freizugeben, doch nun hat sich die Lage verschlechtert – es ist eine Lücke gefunden wurden, welche eine Remotecode Execution erlaubt OHNE ANMELDUNG!
Es betrifft zwar „nur“ Systeme wie Windows 7 und Server 2008 R2 und diese Lücke wird auch schon über das Windowsupdate geschlossen – jedoch kann jederzeit wieder eine solche Lücke entdeckt werden.
Möglichkeiten zur Sicherheit wären:
RDP deaktivieren
RDP Zugriff nur auf bestimmte Adressen erlauben
RDP erst nach VPN Einwahl erlauben
Eine weitere Möglichkeit wäre jedoch auch bei Nutzung des Sophos UTM mit der Advanced Network Option (VPN Lizenz) den RDP Zugriff nur noch über das sogenannte HTML 5 VPN Portal anzubieten über das Userportal:
Dazu muss erst in der Sophos UTM unter Managemt > User Portal diese eingerichtet und aktiviert werden.
Danach kann man dann unter Remote Access > HTML 5 VPN Portal dieses aktivieren und einen Server wie folgt freigeben (Beispiel):
Die Nextcloud VM kann automatisiert mit einem Cronjob aktuell gehalten werden – jedoch sollten wir zuvor erst einmal einen aktuellen Status erstellen, bevor wir die autmation einrichten.
Bevor ihr nun loslegt, solltet ihr unbeding prüfen ob ihre eine aktuelle Sicherung habt oder einen Snapshot der VM anlegen – sicher ist sicher!
Zuerst aktuallieren wir die Pakete, meldet euch dazu auf der Shell an mit nadmin und gebt folgenden ein:
sudo apt-get update
Danach könnt ihr die Distribution aktualisieren mit:
sudo apt-get dist-upgrade
Nun noch Nextcloud aktualisieren:
sudo bash /var/scripts/update.sh
Wenn alle Updates durch sind, kann man das updaten automatisieren wie folgt:
Solltet ihr eure Daten auf einem SQL Server ablegen und bei der Konfiguration von Docusnap nicht die Zugangsdaten gespeichert werden können mit dem Hinweis, das die Zugangsdaten nicht korrekt sind – könnte das daran liegen, das der Docusnap Dienst mit einem Konto läuft (z.B. lokales System) welches keinen SQL Zugriff hat.
Dies könnt ihr lösen, in dem ihr ein berechtigtes Konto im Assistenten angibt (z.B. SA oder ein anderes SQL eigenes Konto) oder aber in dem ihr ein Konto für den Dienst verwendet, welches Zugriff auf die SQL Datenbank hat.
Leider werden hier ein paar Rechte benötigt, welche der Assistent sich nicht selber geben kann – am einfachsten ist es dann in den Diensteigenschaften (Win + R Taste > Services.msc und Enter> Docusnap Dienst Doppelklick > Account angeben) den Account von Hand zu ändern und den Dienst neuzustarten. Dann kann man auch im Assistenten den entsprechenden Account verwenden.
Heute bin ich über einen interessanten Artikel gestolpert bei networkguy.de. Dort wird OWA (Outlook Web Access bzw. Outlook Web App) und ECP (Exchange Control Panel) mit einer 2FA (2 Factor Authentification) bzw. OTP (One Time Password) geschützt.
Dies wird mit der Sophos UTM Firewall realisiert, da ich diese in der Homeversion einsetze stehen auch mir diese Optionen dafür offen.
Dafür wird in der Lizensiert die WAF (Web Application Firewall) benötigt.
Die Konfiguration stellt sich in 3 Schritten dar:
Umstellen der Sicherheit vom IIS (Internet Information Services) auf Basic und neustarten des Dienstes
Erstellen der WAF Regeln in der Sophos
Aktivieren der OTP Option in der Sophos
Umstellen der Sicherheit:
Melden Sie sich auf dem Exchange Server an
Öffnen Sie den Internetinformationsdienste Manager
Gehen Sie links im Verzeichnisbaum auf SERVERNAME > Sites > Default Web Site > rechts auf Authentifizierung
Wählen Sie bei Standardauthentifizierung auf Aktiviert
Gehen Sie auf Start > Ausführen > und geben Sie iisreset gefolgt von einem Enter ein
Nun kommt der 2. Teil, Erstellen der WAF Regeln:
Da die Grundkonfiguration der WAF/Exchange-anbindung umfangreicher ist, verweise ich hier auf die Anleitung von networkguy.de – dort ist es geschildert: https://networkguy.de/?p=998
Weiter geht es nun nach Webserver Protection > Reverse Authentification > Profiles > Neues Profil erstellen wie folgt:
Jetzt diesem Profil noch 2 Regeln erstellen unter Webserver Protection > Web Application Firewall > Site Path Routing > wie folgt:
Anschließend nun der 3. Teil:
Dazu unter Definitions & Users > Authentification Services > Ine-Time Password > One-Password Service Status aktivieren und wie folgt einrichten:
Anschließend können sich die User im Userportal dann die App einrichten und OWA bzw. ECP gesichert nutzen. Dazu im Userportel anmelden mit den Anmeldedaten, dann mit der Sophos oder Google Authentificator App den QR Code kopieren.
Dann auf Fortsetzen, beim erneuten Anmelden dann jedoch hinten an dem Passwort noch den Code aus der Authentificator App einfach anhängen (sonst landet man wieder beim QR Code).
Alternativ kann man sich ein Template einrichten, wo man das eigene Design und auch andere Felder – bei mir habe ich Passwort und PIN in eigene Felder gepackt:
Weiterhin muss im ECP noch unter Server > Virtuelle Verzeichnisse > einmal unter OWA und einmal unter ECP Doppelklick > Authentifizierung > Mindestens ein Standardauthentifizierungsverfahren verwenden > Standardauthentifizierung auswählen.
Anschließend mit iisreset den Webserver neustarten.
Nun ist alles eingerichtet und erfolgreich getestet – jetzt können Sie sich am OWA oder ECP anmelden.
Hinweis: Sichern Sie vorher unbedingt ihre Server, mindestens jedoch ein Backup der Sophos runterladen und beim IIS die Metabase sichern – besser sind jedoch Vollbackups. Achten Sie auch darauf, das wenn sie 2FA oder OTP denn Zugriff zum Webadmin beschränken, in gewissen Situationen keinen Zugriff mehr haben wenn die App oder das Gerät verloren geht!!
Ich nutze ein iPhone mit Telekom Vertrag. Da dies die Stream On Option hat (Musik und Video) habe ich natürlich alles so eingestellt, das es auch über Mobilfunk genutzt werden kann. Weiterhin ist WLAN Call aktiv.
Im Urlaub kann dies jedoch teuer werden, da bei WLAN Call jeder Anruf aus Deutschland geführt wird. Im EU Roaming sind zwar die Anrufe vom Ausland ins Ausland und nach Deutschland enthalten, jedoch nicht die Anrufe von Deutschland INS Ausland. Deswegen ausschalten.
Auch gilt zwar das Datenvolumen wie in Deutschland, jedoch greifen nicht die Stream On Optionen und Streaming wird voll vom Datenvolumen abgezogen.
Deswegen im iPhone (und natürlich auf iPad oder Apple Watch wenn diese eine eSIM haben) in die Einstellungen > Telefon > Rufnummer (bei Dual SIM) auswählen > WLAN-Anrufe > WLAN-Anrufe auf iPhone deaktivieren.
Dann in Einstellungen > Dienstname > Mobile Daten > Deaktivieren.
Meine Dienste waren:
iTunes und App Store sowie Apple Music (eigener Eintrag)
Netflix
Amazon Music / Video / Photos
Plex
Fotos
Nextcloud
Spotify
Dann als nächstes direkt in den entsprechenden Apps schon Medien für unterwegs runterladen.
Veeam hat seine Backup and Replication Sicherungssoftware als Community Edition freigegeben – diese ist nun kostenlos zu haben und das dazu noch mit ein paar richtig Interessanten Features, die gerade in kleinen bis Home Netzwerken äußerst interessant sind:
Sicherung kommt zwar ohne vCenter aus und kann Single Host alleine sichern – jedoch benötigt dieser weiterhin eine Lizenz um die Backup API zu nutzen.
Sichern als Veeam Datei und nicht mehr als VeeamZIP – somit auch Vollsicherung UND inkrementielle Sicherungen möglich.
Sichert nun auch Zeitgesteuert über die Oberfläche und nicht über Umwegen wie Windows Tasks.
Sichert virtuelle sowie Physische Server.
Sichert auf auf einfache SMB Drives wie z.B. von NAS oder lokal angeschlossene Platten wie USB Platten.
Sicherung sowie Replikation möglich.
Beschränkt auf 10 VMs.
Kann jederzeit auf Lizenz umgestellt werden, ohne Neuinstallation usw.
Melden Sie sich auf auf einem DC an und erstellen Sie Erstellen Sie über die Gruppenrichtlinienverwaltung eine neue Regel (z.B. WIN10-NO-BLOATWARE) und gehen Sie mit der rechten Maustaste auf Bearbeiten (unter Gruppenrichtlinenverwaltung > Gesamtstruktur AD-NAME > Domänen > AD-NAME > Gruppenrichtlinienelemente) unter Benutzerkonfiguration > Einstellungen > Windows-Einstellungen > Registrierung > Neues Registrierungselement mit den folgenden Werten:
Sollten Sie jedoch kein Active Directory haben und die Einstellung auf einen Einzelplatzrechner haben, können Sie auch die Einstellung am Rechner selber vornehmen – leider jedoch muss diese pro Rechner vorgenommen werden, da die Einstellung leider nur pro Benutzer und nicht für den Rechner (also alle Benutzer) vorgesehen hat.
Gehen Sie dazu wie folgt vor:
Start > Ausführen > Regedit
Bei Rückfrage der UAC bestätigen
Gehen Sie in den Pfad HKEY_LOCAL_USER\Software\Microsoft\Windows\Current Version\ContentDeliveryManager
Machen Sie einen Doppelklick auf den Eintrag SilentInstalledAppsEnabled und stellen Sie den Wert von 1 auf 0
Deinstallieren Sie alle Anwendungen und starten ihren Rechner neu
Windows wird nun keine Anwendungen mehr selber installieren, auch nicht nach einem Update auf das nächste Build.
Alternativ können Sie die folgende Datei herunterladen, entpacken und ausführen: Win10-ohne-Bloatware.zip
Um Office 365 mit dem AD zu verbinden (um z.B. Exchange- oder Sharepoint Online zu verwenden oder einfach nur Anmeldeprobleme bei Outlook zu beheben) geht ihr bitte wie folgt vor:
Die Domain der Emailadresse im AD als UPN einzurichten (DC > Active Directory Domänen und Vertrauensstellungen > Links den obersten Punkt rechte Maustaste > Eigenschaften > Benutzerprinzipalnamen Suffixe die Domain hinzufügen – z.B. domain.de).
Den Benutzern im AD den Anmeldenamen an die Emailadresse anpassen (DC > Active Directory Benutzer und Computer > Benutzer Eigenschaften öffnen > Register Konto > Benutzeranmeldename so Einstellen das er zusammen mit der Domain aus der Drop Down Box die Emailadresse ergibt).
Unter admin.microsoft.com eine eigene Domain erstellen (bitte dazu eine nicht verwendete Adresse verwenden wie administration oder so – die echten Adressen werden nachher syncronsiert werden mit dem AD) – z.B. sollte euer AD beispiel.local heißen, dann die Domain beispiel.onmicrosoft.com erstellen (wählt den Namen sorgfälltig, er kann im nachhinein nicht geändert werden).
Fügt nun die echte Domain hinzu unter admin.microsoft.com > Setup > Domänen (hierzu könnt ihr einen DNS TXT Eintrag erstellen, damit wird verifiziert das die Domain euch gehört), wenn ihr Exchange usw. lokal (ON Premise) nutzt, erstellt bitte nicht die MX Einträge usw.
Nun auf dem DC im AD eine OU erstellen für die Office 365 Benutzer und diese dorthin verschieben (DC >Active Directory Benutzer und Computer).
Auf einem Memberserver (DCs werden nicht unterstützt) noch die Software Azure AD Connect installieren und einrichten mit den Daten des Kontos das ihr erstellt habt, gebt auch direkt die OU an mit euren Office 365 Benutzern, damit diese nun übertragen werden.
Anschließend könnt ihr die User anpassen unter admin.microsoft.com > Benutzer > Aktive Benutzer und diesen bei Bedarf die entsprechende Lizenz oder Dienste zuordnen.
In der Standardkonfiguration bietet Docusnap einen Webserver, der komfortabel alle Informationen bietet (lesend), welche Docusnap inventarisiert hat.
Jedoch ist auch in der Standardkonfiguration die Benutzerverwaltung deaktiviert.
Eine der ersten Tätigkeiten sollte sein, die Benutzerverwaltung zu aktivieren und die Benutzer einzurichten unter Docusnap > Administration > Docusnap Benutzer.
Anschließend kann man die Einstellung wie folgt für Docusnap vornehmen unter Docusnap > Optionen > Docusnap Server > Im Assistenten Tab 4. Server API (natürlich mit euren eigenen Daten):
Eine andere Alternative (auf die ich hier jedoch nicht eingehe),wäre es – die Windowsfirewall entsprechend anzupassen, das nur erlaubte Server/Rechner auf den Port zugreifen können.
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.
Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.EinverstandenWeiterlesen
