Windows/IIS: TLS absichern

Windows/IIS: TLS absichern

Bei der Prüfung eines alten Windows 2008 R2 Servers mit Greenbone Security Assistent wurden mir mehrere Probleme ausgegeben, da der Windows Server 2008 R2 einige Optionen nutzt, die als nicht mehr sicher gelten.

Diese kann man per Registry de- bzw. aktivieren, was jedoch sehr unkomfortabel ist. Einfacher geht es mit dem IIS Crypto Tool 2.0 – dies bietet alle Optionen an und dies sogar noch mit komfortablen Templates.

Die Sicherheit kann man anschließend mit dem SSL Lab Test verifizieren.

Benötigt man ein Offline Tool, da der Server nicht von extern erreichbar ist, kann man ein Tool von Github nutzen, welches auch für Windows existiert.

Anschließend noch SMTP mit TLS testen.

In größeren Umgebungen (hier in dem Beispiel zwei Exchange Server die über Windows Clusterdienste NLB für CAS und Hubtransport zur Verfügung stellen) sollte man behutsam umgehen, ich bin wie folgt vorgegangen:

  • Entfernen EXCHANGE1 aus dem NLB (ca. 5 Sekunden unterbrechung, evtl. kommt kurz bei Clients das Anmeldefenster – wenn zuvor auf dem EXCHANGE1 verbunden gewesen)
  • Warten bis die Warteschlange geleert wurde und kontrollieren, das diese nicht mehr füllt
  • Erstellen Snapshot, falls was schief laufen sollte
  • Erstellen Security-Übersicht
  • Anpassen der Security
  • Kontrolle der Security-Einstellungen
  • Einbinden wieder in den NLB
  • Anpassen der Security-Einstellungen wie auf EXCHANGE1 auf dem EXCHANGE2
  • Testen von Extern mit ausgiebigem Sicherheits-Bericht
  • Besprechen ob Einstellungen anwendbar
  • Testen mit Penetrationstool
  • Wenn alles sauber funktioniert, bereinigen der Snapshots

Quellen:

 


Exchange: Einheitliche Signatur/Disclaimer erstellen über Transportregel

Oft werden Signaturen von Hand erstellt und verteilt. Dabei ist das Design/CI nicht einheitlich oder Informationen sind nicht aktuell, da sie nicht zentral verwaltet werden.

Damit Änderungen nur noch an einer Stelle gemacht werden und auch die Signaturen einheitlich sind, bietet es sich an im Exchange dies direkt Zentral über Transportregeln zu verwalten.

Melden Sie sich dazu im Exchange Control Panel (ECP) an mit einem Administrativen Account unter https://servername/ecp .

Gehen Sie nun nach Nachrichtenfluss > Regeln. Anschließend auf das Pluszeichen und wählt dort den Punkt Haftungsausschlüsse anwenden …

Vergebt den Namen Signatur/Disclaimer und wählt unter Diese Regel anwenden, wenn … die Option Der Absender ist … und wählt dort die Benutzer oder Gruppen aus, auf die die Regeln angewendet werden soll (z.B. falls vorhanden All Users).

Wählen Sie in dem Punkt darunter Folgendermaßen vorgehen … die Option Haftungsausschluss anfügen … aus und bearbeitet den Text mit dem gewünschtem Text (ein Beispiel folgt unten).

Bei Eigenschaften dieser Regel stellen Sie Priorität 0 ein und bei Diese Regel mit folgenden Schweregrad überwachen stellen sie Nicht angegeben ein.

Unter dem Punkt Modus für diese Regel auswählen, wählen Sie bitte Erzwingen.

Beispiel für eine Signatur:

<br><br>
<font face=verdana, tahoma, arial size=2 color=black>%%CustomAttribute1%%<br><br>
<b>%%displayname%%</b></font><br><br>
<font face=verdana, tahoma, arial size=2 color=silver>
%%street%%, %%zipcode%% %%city%%, %%country%%<br>
Telefon: %%phonenumber%%, Fax: %%faxnumber%%, Mobil:
%%mobilenumber%%<br>
Internet: www.leibling.de, Email: %%email%%
</font>

Wenn Sie unter Empfänger > Postfächer die Informationen unter Allgemein und Kontaktinformationen eingegeben haben, können Sie auf diese zurückgreifen (z.B. Anzeigename = %%displayname%%).

Sollten Sie Informationen benötigen, die sie dort nicht hinterlegt haben (z.B. i.A. oder ppa), dann können Sie diese unter Empfänger > Postfächer > Allgemein > Weitere Optionen > Benutzerdefinierte Attribute > Stiftsymbol drücken > In entsprechender Spalte eintragen. Auf diese Werte kann dann mit %%CustomAttribute1%% (Nummer bitte Analog zur Spalte angeben) zurückgegriffen werden – ich habe dort z.B. personalisierte Grußformeln hinterlegt.

Weitere Informationen: https://docs.microsoft.com/en-us/exchange/policy-and-compliance/mail-flow-rules/conditions-and-exceptions?view=exchserver-2019

Informationen für iOS Benutzer:

iOS versendet – wenn in einer Mail keine Formatierung vorhanden ist als Text, somit wird die automatisch erstellt Signatur auch als nur Text angehangen und hat keine Formatierungen. Soll die Formatierung erhalten bleiben, so könnte man in der Signatur auf dem Gerät einfach ein Leerzeichen setzen und dies als Fett markieren. Dann würde die Mails als HTML gesendet und somit blieben die Formatierungen erhalten. Leider entstellte sich bei den Tests jedoch damit das Schriftbild der eigentlichen Mail (es wurde eine Standardschriftart verwendet – leider kann man die Schriftart bei einem iOS Gerät nicht einstellen). Ich habe mich dann dazu entschieden die Mail als nur Text zu lassen (sprich: nicht den Signaturtrick auf dem Gerät anzuwenden), da ich diese dann vom Gesamtbild schicker fand als mit verschiedenen Schriftarten.

Einschränkungen:

  • Wird eine Mail intern weitergeleitet, so wird keine Signatur angehangen – dies ist normal, da die Mail ja nicht über den Transportweg nach außen geht und somit nicht verarbeitet wird. Bei einem internen Weiterleiten, wird die Mail direkt im Postfach abgelegt.
  • Die Signatur kann immer nur an den Anfang gestellt oder ans Ende der Mail angehangen werden – nicht ans Ende einer Nachricht. Wird auf einer Mail geantwortet, so ist die Signatur nicht am Ende des neu geschrieben Textes, sondern am Ende der Mail!

Exchange: TLS Testen

Ein Exchangeserver verwendet wenn möglich TLS (muss auf dem Sende- und Empfangsconnector eingerichtet sein).

Möchte man gerne die Verbindungen kontrollieren, dann kann man OpenSSL installieren und mit dem folgenden Befehl die Verbindung kontrollieren:

openssl s_client -connect remote.leibling.de:25 -starttls smtp

Outlook 2016 kann sich nicht anmelden an Exchange

Ich habe einen Kunden der zwei Standorte hat. Der eine Standort hat Exchange 2010 und alle Rechner vor Ort sind noch mit Outlook 2010 eingerichtet. Diese hatten kein Problem auf den lokalen Exchange Server zuzugreifen, da diese durch das AD konfiguriert werden konnten und nicht über Autodiscover konfiguriert waren.

In dem anderen Standort war „nur“ ein Essentials Server, Exchange wurde über VPN im anderem Standort mitbenutzt. Die Clients hatten ebenfalls noch Outlook 2010 und wurden manuell einrichtet.

Nun kam jedoch ein neuer Client mit Office 2016 dazu im entferntem Stadndort und konnte wegen dem fehlenden Autodiscover nicht eingerichtet werden.

Da der Server jedoch noch Windows Server 2008 R2 war kam einrichten einer weitern Bindung im IIS für Autodiscover (mit SNI) nicht in betracht.

Ich habe dazu dann auf dem DNS im Netz mit dem Exchange eine neue Zone für die Emaildomain eingerichtet und dort einen Servicerecord für Autodiscover erstellt:

  • Start > ausführen > dnsmgmt.msc
  • Forward-lookup-Zone > Neue Zone erstellen (emaildomain)
  • Rechte Maustaste > weitere Einträge erstellen > Dienstidentifizierung (SRV) > Eintrag erstellen
  • Dienst: _autodiscover
  • Protokoll: _tcp
  • Port: 443
  • Host: URL des Exchangeserver

Dazu noch in dem anderen Netz im DNS eine bedingte Weiterleitung eingerichtet für die Emaildomain welche auf den DNS im Exchange Standort zeigt.

Hinweis:

Eine andere Alternative (welche ich jedoch nicht ausprobiert habe) wäre es, wenn man statt einem Servicerecord einen Alias erstellt mit namen autodiscover auf dem Exchange Server.

Sollte eine Anmeldung erfolgen, so bitte unbedingt als Anmeldenamen domain\user verwenden und nicht die Emailadresse.

Vergesst bitte nicht im DNS auch die anderen Adressen anzulegen welche im echten DNS sind (z.B. Exchange URL, www usw.).

Wenn eine Rückfrage kommt, ob die Weiterleitung erlaubt ist diese zulassen und denn Hacken machen bei nicht mehr Rückfragen. Dann erscheint die Rückfrage in Zukunft nicht mehr.


Exchange 2016: Bereinigen da sich Platte füllt

Dieser Artikel ist noch im Aufbau und ist noch nicht komplett ausgeschrieben.

IIS Logs bereinigen:
http://chilltimes.de/2015/02/06/exchange-iis-log-dateien-regelmaessig-loeschen/

Mail Queue wächst und bereinigt sich nicht selber:
C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\data\Queue
ToDo: http://www.admin-enclave.com/en/articles/exchange/296-resolved-exchange-hub-transport-mail-que-file-large-in-size.html

AntiSpam Agent speichert jede Mail zwischen:
C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\data\Temp\UnifiedContent
ToDo: https://www.frankysweb.de/exchange-2016-verzeichnis-transportrolesdatatempunifiedcontent-muellt-festplatte-zu/

Sende- und Empfangconnectoren Logging ausschalten:
ECP > Nachrichtenfluss > Sende- und Empfangsconnectoren Tabs jeden Connector durchgehen und prüfen ob auf der ersten Seite das Logging auf deaktiviert ist.

Mehrere OWA vorhanden:
Normalerweise sollte unter C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\prem nur ein Ordner sein mit dem aktuellsten Build (ECP > Server > Version wird auf der rechten Seite angezeigt) – mir werden dort jedoch dort auch noch aktuellere angezeigt. Wird noch geklärt!


Exchange: Organisationsweit Formulare verwenden

Auf dem Exchange Server in der Exchange Mangement Shell den folgenden Befehl eingeben:

New-PublicFolder -Path "\NON_IPM_SUBTREE\EFORMS REGISTRY" -Name "Organizational Forms Library"

In der Exchange Mangement Console unter Toolbox > Öffentliche Ordner Verwaltungskonsole wie folgt: Öffentliche Ornder – Servername > Öffentliche Systemordner > EFORMS REGISTRY auf der linken Seite anklicken.

Auf der rechten Seite dann Organizational Forms Library mit rechter Maustaste auf Eigenschaften und die Rechte anpassen (z.B. Public: Keine, Administratoren: Besitzer, Standard:  Prüfer).

Dann in ExFolders die Standard Datenbank für öffentliche Ordner öffnen und links im Baum auswählen System Folders > EFORMS REGISTRY > Organizational Forms Library.

Dann rechte Maustaste Properties > Property > Add Property to view > 0x6707001E > ok.

Denn Eintrag PR_URL_NAME markieren (Achtung: Mir wurde manchmal 0x6707001F statt 0x6707001E angezeigt, später wurde es jedoch richtig angzeigt) und rechte Maustaste > Edit Value und bei Value „/NON_IPM_SUBTREE/EFORMS REGISTRY“ (ohne die “ natürlich) eintragen und mit Ok bestätigen.

Dann MFCMAPI.exe starten und unter Logon eine Verbindung herstellen (hierzu muss eine MAPI Verbindung auf dem Server eingerichtet sein!).

Dann im linken Baum den entsprechenden neuen Ordner öffnen (Public Root > NON_IPM_SUBTREE > EFORMS REGISTRY > Organizational Forms Library).

Dann rechte Maustaste > Edit give Property > Select Property Tag > PR_EFORMS_LOCAL_ID auswählen > Ok.

Dann in der Auswahl PR_EFORMS_LOCAL_ID editieren und dort in Unsignes Decimal 1031 einsetzen (andere Locale IDs sind hier zu finden) und mit Ok schließen.

Anschließend auf er rechten Seite > rechte Maustaste > Save Changes klicken.

Danach Outlook neu starten und Enticklertools aktivieren in den Einstellungen.

Nun können Formulare erstellt und im Ordner Bibliothek für organisatorische Formulare gespeichert werden und nach einiger Zeit (Replikation) bei den anderen in den Outlookeinstellungen unter Erweitert > Benutzerdefinierte Formulare > Formulare verwalten heruntergeladen werden.

Die Formulare können dann anschließend einem öffentlichen Ordner zugewiesen werden.

Weitere Quellen:

 

 


Netzwerk Monitoring mit PRTG

Hier der Status meines Hausnetzes in Echtzeit:


Sophos: Umstellung von UTM auf XG

Wenn man Jahrelang mit der Sophos UTM gearbeitet hat und dann auf eine Sophos XG umstellt, steht man erst mal wie der Ochs vorm Berge (so zumindest ich), da die XG einen ganz anderen Ansatz verfolgt als die UTM.

Die XG ist ein zugekauftes Produkt und es wurde noch einige Jahre Support und gar Weiterentwicklung für UTM Produkte von Sophos zugesagt.

Sollte man eine UTM 9 Lizenz haben, so kann man diese zu einer XG Lizenz upgraden (Achtung: Dieser Vorgang ist laut Hinweismeldung nicht Reversible).

Auch hier gibt es eine kostenlose Version für den nicht kommerziellen Betrieb, welcher bis 100 Adressen unterstützt – in dieser Version ist fast alles aktiviert, bis auf die Sandstorm funktion (wie auch bei der UTM Home).

  • Dennoch könnte bei den folgenden Punkten der Umstieg interessant sein:
  • Umfangreicheres Muticast Routing
  • Umfangreiche Möglichkeiten bei der Webserververöffentlichung
  • In der kostenlosen Homeversion werden bei der XG 100 Adressen statt wie bei der UTM nur 50 Adressen unterstützt

Da ich einige Probleme mit dem Multicast Routing habe und mir eine Besserung bei diesem Problem erhoffe, habe ich mir die Lösung mal näher angeschaut.

Ich setze folgende Funktionen ein:

  • WLAN Intern und Gästenetz (mit eigenen Accesspoints)
  • Im Gästenetz Hotspot mit Vouchersystem
  • VPN Netze ins RZ und die Firma (unter anderem für Onlinebackup ins RZ)
  • VPN Einwahl
  • NAT / Firewall
  • Emailprotection
  • Webprotection
  • IPS
  • Öffentliches SSL Zertifikat für die Firewall und das Userportal

Die Umstellung hat ca. 8 Stunden gedauert.

Da  die XG einen anderer Ansatz verfolgt als bei der UTM habe ich mich mit der Umstellung schwer getan und mir hier alle Informationen zusammengeschrieben:

*: Bei den SMTP Regeln steht nicht drin, das unter Administration > Device Access > SMTP Relay noch das entsprechende Netz (z.B. WAN) noch aktiviert werden muss.

*: Bei VPN mit SSL zu einer UTM steht nicht dabei, das die Einstellungen anders sind, diese können unter VPN > SSL > Advanced angepasst werden. Bitte dabei jedoch beachten, das dies auf alle SSL Tunnel gilt.

Ich hoffe der Beitrag hilft den einem oder anderem.


Windows Server 2016: Mehrere SSL Zertifikate auf einer IP

Mehrere SSL Zertifikate mit mehreren verschiedenen Namen und Zertifikaten auf der selben Seite zu verwenden (statt z.B. einem SAN Zertifikat für Exchange Server) kann man in dem Windows Server 2016 bequem über den Internetinformationdienste (IIS) – Manager einrichten.

Dazu gehen Sie wie folgt vor:

  • Starten Sie den Internetinformationdienste (IIS) – Manager.
  • Gehen Sie links auf den Servernamen.
  • Rechts klicken Sie auf Serverzertifikate und rechts dann auf Zertifikatsanforderungen.
  • Besorgen Sie sich nun ein Serverzertifkat (z.B. PSW.net oder SSLs.com) und spielen Sie dies ein.
  • Gehen Sie nun links auf die entsprechende Site mit der rechten Maustaste und wählen Bindungen aus.
  • Gehen Sie nun auf Hinzufügen und wählen Sie https aus, geben die neue URL ein, Port 443 und das entsprechende Zertifikat, bitte unbedingt auch den Haken bei SNI setzen.
  • Speichern Sie nun die Einstellungen und testen Sie diese, sollte es nicht klappen können Sie den IIS mit iisreset in einer privilegierten CMD Console neustarten .

Exchange 2016: Zugriff auf OWA funktioniert, jedoch keine Anmeldung an mobile Geräte möglich

In einem Falle konnten einige User mit mobilen Geräten auf ihr Postfach zugreifen und andere wiederum nicht.

Somit konnte es kein generelles- oder Firewall Problem sein, sondern musste mit der Benutzerkonfiguration zu tun haben.

Das seltsame war, das auf dem iPhone das Konto eingerichtet werden konnte, doch wenn man das Postfach nutzen wollte, meldete ein Fehler „Senden und Empfangen nicht möglich“.

Ich erhielt auf dem Exchange folgende Meldungen in der Ereignisanzeige:

  • 1031: MSExchange ActiveSync
  • 1053: MSExchange ActiveSync
  • 1107: MSExchange ActiveSync

Natürlich hatten die Benutzer die ActiveSync-Nutzung erlaubt.

Bei Recherchen fand ich dann die Lösung im Web:
Dem Benutzer fehlten Rechte im AD um ActiveSync Container zu erstellen.

Die Lösung ist recht einfach:
Auf dem DC im DSA.msc in den User Eigenschaften auf Sicherheit und dann die Vererbung aktivieren. Nach ein paar Minuten konnten dann die entsprechenden User ihre Mobilgeräte nutzen.

Quelle:

https://forums.slipstick.com/threads/56324-administrator-account-cant-sync-phone-disabled/