OWA und ECP mit Sophos per 2FA bzw. OTP zusätzlich schützen

Heute bin ich über einen interessanten Artikel gestolpert bei networkguy.de. Dort wird OWA (Outlook Web Access bzw. Outlook Web App) und ECP (Exchange Control Panel) mit einer 2FA (2 Factor Authentification) bzw. OTP (One Time Password) geschützt.

Dies wird mit der Sophos UTM Firewall realisiert, da ich diese in der Homeversion einsetze stehen auch mir diese Optionen dafür offen.

Dafür wird in der Lizensiert die WAF (Web Application Firewall) benötigt.

Die Konfiguration stellt sich in 3 Schritten dar:

  • Umstellen der Sicherheit vom IIS (Internet Information Services) auf Basic und neustarten des Dienstes
  • Erstellen der WAF Regeln in der Sophos
  • Aktivieren der OTP Option in der Sophos

Umstellen der Sicherheit:

  • Melden Sie sich auf dem Exchange Server an
  • Öffnen Sie den Internetinformationsdienste Manager
  • Gehen Sie links im Verzeichnisbaum auf SERVERNAME > Sites > Default Web Site > rechts auf Authentifizierung
  • Wählen Sie bei Standardauthentifizierung auf Aktiviert
  • Gehen Sie auf Start > Ausführen > und geben Sie iisreset gefolgt von einem Enter ein

Nun kommt der 2. Teil, Erstellen der WAF Regeln:

  • Da die Grundkonfiguration der WAF/Exchange-anbindung umfangreicher ist, verweise ich hier auf die Anleitung von networkguy.de – dort ist es geschildert: https://networkguy.de/?p=998
  • Weiter geht es nun nach Webserver Protection > Reverse Authentification > Profiles > Neues Profil erstellen wie folgt:
  • Jetzt diesem Profil noch 2 Regeln erstellen unter Webserver Protection > Web Application Firewall > Site Path Routing > wie folgt:

Anschließend nun der 3. Teil:

  • Dazu unter Definitions & Users > Authentification Services > Ine-Time Password > One-Password Service Status aktivieren und wie folgt einrichten:

Anschließend können sich die User im Userportal dann die App einrichten und OWA bzw. ECP gesichert nutzen. Dazu im Userportel anmelden mit den Anmeldedaten, dann mit der Sophos oder Google Authentificator App den QR Code kopieren.

Dann auf Fortsetzen, beim erneuten Anmelden dann jedoch hinten an dem Passwort noch den Code aus der Authentificator App einfach anhängen (sonst landet man wieder beim QR Code).

Nun ist alles eingerichtet und erfolgreich getestet – jetzt können Sie sich am OWA oder ECP anmelden.

Weitere Links:

Hinweis: Sichern Sie vorher unbedingt ihre Server, mindestens jedoch ein Backup der Sophos runterladen und beim IIS die Metabase sichern – besser sind jedoch Vollbackups. Achten Sie auch darauf, das wenn sie 2FA oder OTP denn Zugriff zum Webadmin beschränken, in gewissen Situationen keinen Zugriff mehr haben wenn die App oder das Gerät verloren geht!!


iPhone im Urlaub mit Telekom Vertrag

Ich nutze ein iPhone mit Telekom Vertrag. Da dies die Stream On Option hat (Musik und Video) habe ich natürlich alles so eingestellt, das es auch über Mobilfunk genutzt werden kann. Weiterhin ist WLAN Call aktiv.

Im Urlaub kann dies jedoch teuer werden, da bei WLAN Call jeder Anruf aus Deutschland geführt wird. Im EU Roaming sind zwar die Anrufe vom Ausland ins Ausland und nach Deutschland enthalten, jedoch nicht die Anrufe von Deutschland INS Ausland. Deswegen ausschalten.

Auch gilt zwar das Datenvolumen wie in Deutschland, jedoch greifen nicht die Stream On Optionen und Streaming wird voll vom Datenvolumen abgezogen.

Deswegen im iPhone (und natürlich auf iPad oder Apple Watch wenn diese eine eSIM haben) in die Einstellungen > Telefon > Rufnummer (bei Dual SIM) auswählen > WLAN-Anrufe > WLAN-Anrufe auf iPhone deaktivieren.

Dann in Einstellungen > Dienstname > Mobile Daten > Deaktivieren.

Meine Dienste waren:

  • iTunes und App Store sowie Apple Music (eigener Eintrag)
  • Netflix
  • Amazon Music / Video / Photos
  • Plex
  • Fotos
  • Nextcloud
  • Spotify

Dann als nächstes direkt in den entsprechenden Apps schon Medien für unterwegs runterladen.


Veeam Community Edition (Freeware)

Veeam hat seine Backup and Replication Sicherungssoftware als Community Edition freigegeben – diese ist nun kostenlos zu haben und das dazu noch mit ein paar richtig Interessanten Features, die gerade in kleinen bis Home Netzwerken äußerst interessant sind:

  • Sicherung kommt nun ohne vCenter aus und kann Single Host alleine sichern.
  • Sichern als Veeam Datei und nicht mehr als VeeamZIP – somit auch Vollsicherung UND inkrementielle Sicherungen möglich.
  • Sichert nun auch Zeitgesteuert über die Oberfläche und nicht über Umwegen wie Windows Tasks.
  • Sichert virtuelle sowie Physische Server.
  • Sichert auf auf einfache SMB Drives wie z.B. von NAS oder lokal angeschlossene Platten wie USB Platten.
  • Sicherung sowie Replikation möglich.
  • Beschränkt auf 10 VMs.
  • Kann jederzeit auf Lizenz umgestellt werden, ohne Neuinstallation usw.

Download:
https://www.veeam.com/de/virtual-machine-backup-solution-free.html


Windows 10 ohne Spiele und Werbung

Im Netzwerk mit Active Directory:

Melden Sie sich auf auf einem DC an und erstellen Sie Erstellen Sie über die Gruppenrichtlinienverwaltung eine neue Regel (z.B. WIN10-NO-BLOATWARE) und gehen Sie mit der rechten Maustaste auf Bearbeiten (unter Gruppenrichtlinenverwaltung > Gesamtstruktur AD-NAME > Domänen > AD-NAME > Gruppenrichtlinienelemente) unter Benutzerkonfiguration > Einstellungen > Windows-Einstellungen > Registrierung > Neues Registrierungselement mit den folgenden Werten:

  • Aktion: Aktualisieren
  • Schlüsselpfad: Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager
  • Name: SilentInstalledAppsEnabled
  • Wert: REG_DWORD
  • Wertdaten: 0000000

Dann diese Regel noch der Benutzer OU zuordnen.

Einzelplatzrechner:

Sollten Sie jedoch kein Active Directory haben und die Einstellung auf einen Einzelplatzrechner haben, können Sie auch die Einstellung am Rechner selber vornehmen – leider jedoch muss diese pro Rechner vorgenommen werden, da die Einstellung leider nur pro Benutzer und nicht für den Rechner (also alle Benutzer) vorgesehen hat.

Gehen Sie dazu wie folgt vor:

  • Start > Ausführen > Regedit
  • Bei Rückfrage der UAC bestätigen
  • Gehen Sie in den Pfad HKEY_LOCAL_USER\Software\Microsoft\Windows\Current Version\ContentDeliveryManager
  • Machen Sie einen Doppelklick auf den Eintrag SilentInstalledAppsEnabled und stellen Sie den Wert von 1 auf 0
  • Deinstallieren Sie alle Anwendungen und starten ihren Rechner neu
  • Windows wird nun keine Anwendungen mehr selber installieren, auch nicht nach einem Update auf das nächste Build.

Alternativ können Sie die folgende Datei herunterladen, entpacken und ausführen: Win10-ohne-Bloatware.zip


Office 365 mit Active Directory verbinden

Um Office 365 mit dem AD zu verbinden (um z.B. Exchange- oder Sharepoint Online zu verwenden oder einfach nur Anmeldeprobleme bei Outlook zu beheben) geht ihr bitte wie folgt vor:

  • Die Domain der Emailadresse im AD als UPN einzurichten (DC > Active Directory Domänen und Vertrauensstellungen > Links den obersten Punkt rechte Maustaste > Eigenschaften > Benutzerprinzipalnamen Suffixe die Domain hinzufügen – z.B. domain.de).
  • Den Benutzern im AD den Anmeldenamen an die Emailadresse anpassen (DC > Active Directory Benutzer und Computer > Benutzer Eigenschaften öffnen > Register Konto > Benutzeranmeldename so Einstellen das er zusammen mit der Domain aus der Drop Down Box die Emailadresse ergibt).
  • Unter admin.microsoft.com eine eigene Domain erstellen (bitte dazu eine nicht verwendete Adresse verwenden wie administration oder so – die echten Adressen werden nachher syncronsiert werden mit dem AD) – z.B. sollte euer AD beispiel.local heißen, dann die Domain beispiel.onmicrosoft.com erstellen (wählt den Namen sorgfälltig, er kann im nachhinein nicht geändert werden).
  • Fügt nun die echte Domain hinzu unter admin.microsoft.com > Setup > Domänen (hierzu könnt ihr einen DNS TXT Eintrag erstellen, damit wird verifiziert das die Domain euch gehört), wenn ihr Exchange usw. lokal (ON Premise) nutzt, erstellt bitte nicht die MX Einträge usw.
  • Nun auf dem DC im AD eine OU erstellen für die Office 365 Benutzer und diese dorthin verschieben (DC >Active Directory Benutzer und Computer).
  • Auf einem Memberserver (DCs werden nicht unterstützt) noch die Software Azure AD Connect installieren und einrichten mit den Daten des Kontos das ihr erstellt habt, gebt auch direkt die OU an mit euren Office 365 Benutzern, damit diese nun übertragen werden.
  • Anschließend könnt ihr die User anpassen unter admin.microsoft.com > Benutzer > Aktive Benutzer und diesen bei Bedarf die entsprechende Lizenz oder Dienste zuordnen.




Exchange: Ordnerzugriffe per Shell

Sollte ein Anwender krank sein und jemand muss auf seine Ordner zugreifen, so kann dies der Administrator auch per Shell erledigen.

Hier dazu der Microsoftartikel:

https://docs.microsoft.com/en-us/powershell/module/exchange/mailboxes/add-mailboxfolderpermission?view=exchange-ps

Der Powershell Befehl lautet z.B. wie folgt:

Add-MailboxFolderPermission -Identity <inhaber>:\Mailbox -User <vertretung> -AccessRights Editor -SharingPermissionFlags Delegate

Rechte:
Editor (erstellen)
Reviewer (nur lesen)

Rechtevorgabe Beispiel:
Calender: Editor
Tasks: Reviewer
Inbox: Reviewer

Vorlage:

Add-MailboxFolderPermission -Identity <inhaber>:\Calendar -User <vertretung> -AccessRights Editor
Add-MailboxFolderPermission -Identity <inhaber>:\Tasks -User <vertretung> -AccessRights Reviewer
Add-MailboxFolderPermission -Identity <inhaber>:\Inbox -User <vertretung> -AccessRights Reviewer


Docusnap: Sicherheit Webserver

In der Standardkonfiguration bietet Docusnap einen Webserver, der komfortabel alle Informationen bietet (lesend), welche Docusnap inventarisiert hat.

Jedoch ist auch in der Standardkonfiguration die Benutzerverwaltung deaktiviert.

Eine der ersten Tätigkeiten sollte sein, die Benutzerverwaltung zu aktivieren und die Benutzer einzurichten unter Docusnap > Administration > Docusnap Benutzer.

Anschließend kann man die Einstellung wie folgt für Docusnap vornehmen unter Docusnap > Optionen > Docusnap Server > Im Assistenten Tab 4. Server API (natürlich mit euren eigenen Daten):

Eine andere Alternative (auf die ich hier jedoch nicht eingehe),wäre es – die Windowsfirewall entsprechend anzupassen, das nur erlaubte Server/Rechner auf den Port zugreifen können.


Docusnap: Fehler bei der Inventarisierung

Wenn ihr ein System nicht über den Agent inventarisieren könnte, prüft bitte folgendes:

Stellt sicher, das ihr den UPN (benutzer@domain.local) statt dem Prä-Win 2000 Logon (DOMAIN\Benutzer) verwendet.

Prüft ob ihr die entsprechenden Firewall ausnahmen eingerichtet habt (z.B. zum testen, die Firewall ausschalten – klappt dann das Inventarisieren, dann bitte entsprechend die Ausnahmen anpassen). Geht dabei wie hier beschrieben vor: https://media.docusnap.com/media/doc/howto/Docusnap_HowTo_Windows-Firewall-Ausnahmen_DE.pdf

Prüft bitte auch ob WMI funktioniert (testen könnt ihr dies vom Server aus mit wbemtest.exe in Richtung des Clients). Hier gibt es weitere Informationen: https://media.docusnap.com/media/doc/howto/DocusnapX_WMIZugriffsprobleme.pdf


Docusnap: System manuell Inventarisieren

Hier erläutere ich euch, wie ich vorgehe um ein System manuell zu inventarisieren:

Server:

  • Auf dem Server im Installationsordner gibt es einen Unterordner mit dem Namen Tools, dort bitte die Datei DocusnapScript.exe kopieren und bereitstellen.
  • Weiterhin habe ich einen Ordner erstellt mit dem Namen Reports und diesen als DocusnapReports freigegeben (Vollzugriff!). Dort kann man die Reports reinkopieren.
  • Im Docusnap kann man unter Intenvar > Script Import einen Import Job erstellen und diesen auch periodisch (z.B. jeden Tag um 18 Uhr) automatisch in Docusnap importieren lassen.

Client:

Auf dem Client habe ich die oben genannte EXE Datei in den Ordner C:\INSTALL kopiert und eine Verknüpfung dazu erstellt mit (docusnapscript.exe -O C:\INSTALL). Beim Aufruf wird im Hinergrund eine XML Datei erstellt, welche in den Reports Ordner kopiert werden kann. Diese Anwendung benötigt nur Userrechte – kann somit sogar vom Anwender selber durchgeführt werden und die XML eingeschickt werden (bitte vorher Zippen – wenn ich mich recht entsinne sperrt Outlook XML Dateien).

Weitere Infos:

https://media.docusnap.com/media/doc/howto/Docusnap_HowTo_Skriptbasierte-Inventarisierung_DE.pdf


Docusnap: Client local einrichten

Kategorie: Allgemein

Sofern noch nicht geschehen, geben Sie den Ordner DOCUSNAP frei. Auf dem Client ziehen Sie das Icon von \\<Servername>\DOCUSNAP\Docusnap.exe auf den Desktop.

Dann auf dem Server im Docusnap in der Administration den Windowsbenutzer hinzufügen.

Gehen Sie anschließend auf den Server in das SQL Management Studio und geben Sie dem Benutzer Zugriff auf die Datenbank (z.B. Name = <AD>\<User>, Rolle = public, Datenbank = <DOCUSNAP DATENBANKNAME>). Anschließend in der Datenbank noch unter <Datenbankname> > Sicherheit > Benutzer > <Benutzername> > Doppelklick > Tab Mitgliedschaft > db_datareader und db_datawrtier aktivieren.

Gehen Sie in den SQL Server Configuration Manager und aktivieren Sie TCP/IP und Named Pipes, starten Sie danach den SQL Dienst neu.

Nun können Sie den Docusnap Client direkt über Netzwerk auf einer Arbeitsstation starten, geben Sie die Lizenzinformationen, sowie die SQL Informationen als auch die Verschlüsselungsdatei an.

Anschließend steht Docusnap auf dem Client bereit.