de-DEen-GB
rss

Granikos Technology Blog

Thomas Stensitzki | MVP
Thomas Stensitzki | MVP

MVP LogoThomas Stensitzki is a principal technology consultant focusing on the Microsoft messaging and collaboration technologies and the owner of Granikos GmbH & Co. KG.

He was awarded as MVP for Office Apps & Services in 2018.

He holds Master certifications as Microsoft Certified Solutions Master Messaging and as Microsoft Certified Master for Exchange Server 2010. This makes him a subject matter expert for any messaging topic related to Microsoft Exchange, Exchange Online, Office 365 and Hybrid configurations.

Podcast #MVPbuzzChat with Thomas Stensitzki

Follow Thomas on LinkedIn or Twitter

His sessions: https://sessionize.com/thomas-stensitzki

MVP Blog: https://blogs.msmvps.com/thomastechtalk
Personal blog: http://justcantgetenough.granikos.eu
Personal blog (legacy): http://www.sf-tools.net
Personal website: http://www.stensitzki.de 
Thomas' Tech Talk: youtube.com/ThomasStensitzki

Contact Thomas at thomas@mcsmemail.de

 

Neuigkeiten von Microsoft Learning - Ausgabe Januar 2020  

  • Beta-Prüfung: AZ-220: Microsoft Azure IoT Developer
    Mit dem Bestehen dieser Beta-Prüfung gehören Sie zu den ersten, die neue Azure IoT Developer Specialty Zertifizierung erhalten. 
    Die ersten 300 Teilnehmer die diese Beta-Prüfung bis zum 23. Februar absolvieren, erhalten einen 80%-Rabatt auf den Originalpreis der Prüfung.  

    Erfahren Sie mehr im Blog-Artikel von Microsoft Learning.
     
  • Beta-Prüfung: MB-901: Microsoft 365 Dynamics Fundamentals

    Am 21. Januar ändern sich die Inhalte dieser Prüfung. Interessant ist, dass in dieser Dynamics 365-Prüfung auch Inhalte zur Power Platform abgefragt werden.
    • Understand the use of Power Platform in Dynamics 365
      • Power Apps
      • Power BI
      • Power Automate
      • AI Builder
      • Common Data Service
    • Understand the benefits of the Common Data Model •
      • Analytics
      • Extensibility
      • Interoperability
      • Consistency

Erfahren Sie mehr in der Prüfungsbeschreibung.

  • Neues E-Book: Democratizing Automation: The new imperative for the enterprise

    Warum sollte Automatisierung nicht allein in den Händen der IT-Abteilungen liegen?
    Warum ist die Demokratisierung der IT und insbesonder der Automatisierung von Geschäftsprozessen für den Erfolg heutiger Unternehmen so wichtig?

    Antworten auf diese und andere Fragen finden Sie im E-Book Democratizing Automation: The new imperative for the enterprise.
     
  • Microsoft Press - E-Book-Deal der Woche

    Microsoft Press bietet in jeder Woche einen E-Book-Deal für Titel zur Prüfungsvorbereitung an. Die folgenden Titel sind für die nächsten Wochen geplant (Änderungen vorbehalten):
     
    • ab 12. Januar 2020: Exam Ref MD-100 Windows 10
    • ab 19. Januar 2020: Exam Ref AZ-103 Microsoft Azure Administrator
    • ab 26. Januar 2020: Exam Ref MS-100 Microsoft 365 Identity and Services
    • ab 2. Februar 2020: Exam Ref MS-101 Microsoft 365 Mobility and Security

 

 

Links

 

Viel Spaß beim Lernen!

 

 

Weiterlesen »
On Januar 10, 2020
111 Views

Logo PowerShellViele Administratoren verzichten auf die digitale Signierung von eigene PowerShell-Skripten. Um solche PowerShell-Skripte in der lokalen IT-Infrastruktur ausführen zu können wird daher die PowerShell-Ausführungsrichtlinie auf Unrestricted konfiguriert. Diese Konfiguration ist ein großes Sicherheitsrisiko für das gesamte Unternehmen.

 

Wenn das digitale Zertifikat zur Code-Signierung in Ihrem persönlichen Zertifikatsspeicher hinterlegt ist, ist die Signierung besonders einfach.

Wechseln Sie in einer PowerShell_Session in das Verzeichnis, das die zu signierende PowerShell-Datei enthält und signieren Sie die Datei mit den folgenden Befehlen. In diesem Beispiel wird die Datei MyPowerShellScript.ps1 signiert.

# Lesen des Signatur-Zertifikates aus dem persönlichen Zertifikatspeicher
# des Anwenders, der die Signierung durchführt
$cert=Get-ChildItem -Path Cert:\CurrentUser\My -CodeSigningCert

# Lesen eines exportierten Signatur-Zertifikates aus einer PFX-Datei
# Wenn der Export mit einem Kennwort geschützt ist, werden Sie nach
# dem Kennwort gefragt
$cert = Get-PfxCertificate -FilePath C:\SCRIPTS\CERTS\CodeSigningVarunagroup.pfx

# Digitale Signierung der Datei MyPowerShellScript.ps1
Set-AuthenticodeSignature -FilePath MyPowerShellScript.ps1 -Certificate $cert

 

Wissenswert ist, dass das Cmdlet Get-PfxCertificate, im Gegensatz zur Dokumentation bei Microsoft Docs, keinen Parameter -Password verfügt, um das Kennwort als SecureString zu übergeben.

 

Signieren Sie eigene PowerShell-Skripte immer, um die IT-Betriebssicherheit in Ihrem Unternehmen sicherzustellen.

Verwenden Sie immer ein Code Signing-Zertifikat eines vertrauenswürdigen Drittanbieters.

 

Konfigurieren Sie nach der Signierung Ihrer PowerShell-Skripte die Ausführungsrichtlinie für Ihre Systeme mit Hilfe einer Gruppenrichtlinie

 

Links

 

Viel Spaß mit PowerShell!

 

 

Weiterlesen »

Exchange Server 2019 LogoExchange Server war in der Vergangenheit eine Applikation, die sehr strenge Vorgaben für den sicheren und stabilen Betrieb vorgegeben hat. Von den Vorgaben hinsichtlich Server-Hardware, SCSI-Controller u.ä. abzuweichen galt als zu vermeiden. Dies hat sich seit der Einführung von Exchange Server 2010, der Datenbankportabilität und Datenbankverfügbarkeitsgruppen drastisch geändert.

Diesen Umstand hat die Exchange Server Produktgruppe durch zahlreiche Supportfälle zu spüren bekommen und für Exchange Server 2013 die Exchange Server Preferred Architecture, oder kurz, die Exchange PA eingeführt. Die Exchange PA gibt eine Empfehlung, wie man Exchange Server in einer On-Premises IT-Infrastruktur am besten implementiert. Mehr Informationen finden Sie in der Präsentation zum aOS Vortrag: Exchange Server 2019 - Wie macht man es richtig?

 

Aktuelles Beispiel

In diesem Beispiel werden in einer Exchange Organisation werden zwei Datenbankverfügbarkeitsgruppen (DAG) betrieben, um primäre Anwender- und Funktionspostfächer von Online-Archivpostfächern zu trennen.

Die virtualisierten Serversysteme sind auf zwei Rechenzentren aufgeteilt und. In Rechenzentrum A werden drei der fünf Server von DAG1 betrieben, in Rechenzentrum B die anderen zwei Server. Für DAG2 ist die Verteilung recht einfach, jeweils eins der beide Serversysteme steht in einem der vorhandenen Rechenzentren. Die beiden Server von DAG2 sind im Load Balancer Pool nicht konfiguriert. Dort sind nur die fünf Server von DAG1 als aktive Zielsysteme konfiguriert.  

Das folgende Schaubild verdeutlicht die Konfiguration.

Diagramm Asymmetrisches DAG-Layout

 

  • DAG1 - Produktive Postfächer für Anwender, Funktionskonten und geteilte Postfächer 
  • DAG2 - Online-Archivpostfächer
Erschwerend für den Betrieb ist dieser Exchange Server Konfiguration ist, dass eine hohe Anzahl an Anwender-Postfächern existieren, die über keinerlei Postfach-Quota verfügen. 

 

Fragen

Der Betrieb einer solchen Konfiguration wirft natürlich einige Fragen auf. Nicht alle Fragen konnten während des Analyse der Umgebung beantwortet werden, da die Architekten dieser Betriebsumgebung nicht mehr im Unternehmen angestellt sind.

  • Warum wurde eine asymmetrische Konfiguration der Exchange-Serversysteme für DAG1 gewählt?
    • Der Hauptgrund für diese asymmetrische Verteilung ist, dass Rechenzentrum B als Backup-Rechenzentrum für den Störungsfall gesehen wird. Dieser Logik folgend, muss diesem Rechenzentrum nicht die gleiche Verfügbarkeit sichergestellt werden, wie im Hauptrechenzentrum.
       
  • Warum wurde eine separate DAG für Online-Archivpostfächer eingerichtet?
    • Die Begründung für eine separate DAG sind die geringeren Anforderungen an die Datensicherung und Verfügbarkeit der Online-Archivpostfächer. Die Postfachdatenbanken von DAG2 werden in einem anderen Sicherungsintervall gesichert, als die Postfachdatenbanken von DAG1. 

      Hier muss zuerst die Frage gestellt werden, ob die Daten in den Archivpostfächern weniger schützenswert sind, als die Daten in den primären Postfächern. Der Betrieb von zwei zusätzlichen Servern nur zu diesem Zweck erhöht den Verbrauch an Ressourcen und die Aufwände für den Betrieb unnötig. Es ist wesentlich einfacher für den täglichen Betrieb, primäre Postfächer und Archivpostfächer in den gleichen Postfachdatenbanken zu betreiben.

 

Empfehlung

Die Empfehlungen für diese Exchange Server Umgebung sind:

  • Rückbau der dedizierten DAG für Online-Archivpostfächer
  • Erweiterung der DAG1 auf ein symmetrisches Server- und Datenbank-Layout
  • Regelmäßige Prüfung der Verteilung der Postfächer in den den Datenbanken, um eine möglichst gleichmäßige Datenbankgrößen zu betreiben
  • Einführung von Postfach-Quota für Anwender-Postfächer

 

Links

 

Viel Spaß mit Exchange Server.

 

 

Weiterlesen »

Photo by Max DeRoin from PexelsDas Blog Cumulative Update für Dezember 2019 (CU1219) fasst interessante Themen rund um Cloud SicherheitExchange ServerOffice 365, Microsoft Teams und Azure des Monats Dezember 2019 zusammen.

Exchange Server

Microsoft 365 | OneDrive | Exchange Online | and more

Microsoft Teams

Skype for Business Server | Communications

Microsoft Azure

Cloud | Cloud Sicherheit

Docs | Knowledge Base | TechNet

Allgemein

Replay

Podcast Empfehlungen

Tools

 


Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer Exchange Server Implementierung oder Migration.

Sie denken über einen vollständigen Wechsel zu Microsoft 365 oder eine Hybrid-Konfiguration mit Office 365 nach? Wir beraten Sie umfassend und neutral über die Möglichkeiten der Office 365 Plattform und Microsoft 365.

Sie möchten mehr über Exchange Server 2019 erfahren? Gerne erläutern wir Ihnen die technischen Änderungen und Chancen für Ihr Unternehmen in einem individuellen Workshop. Bis dahin, werfen Sie doch einen Blick in das Microsoft Exchange Server 2019: Das Handbuch für Administratoren.

Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Website (https://www.granikos.eu) oder Sie kontaktieren direkt unser Vertriebsteam: info@granikos.eu

 

Weiterlesen »

Logo De-MailUm die Antwort direkt vorwegzunehmen, De-Mail ist keine Erfolgsgeschichte. 

Mir stellt sich allerdings immer wieder die Frage, warum De-Mail keine Erfolgsgeschichte geworden ist. Die ursprüngliche Idee, verschlüsselte E-Mail-Nachrichten für jeden Bürger zu ermöglichen, um damit die Digitalisierung von Bürgerdiensten voranzutreiben war gut. Im Rückblick auf den Entstehungsprozess und das daraus resultierende De-Mail-Gesetz vom 28. April 2011 kann man nur festhalten, dass eine gute Idee den Kernproblemen im Umgang mit (IT-)Technologie in Deutschland geopfert wurde.

Als Kernprobleme sind insbesondere zu nennen:

  • Regulierung und Bereitstellung der De-Mail-Infrastruktur durch mehrere Anbieter und dem daraus resultieren Ergebnis des kleinsten gemeinsamen Nenners
  • Rechtliche Begleitung durch ein realitätsfernes De-Mail-Gesetz
  • "German Angst" in Kombination mit Bedenkenträgertum hinsichtlich der technischen Implementierung bei Behörden, Unternehmen und den Bürgern
  • Schlechte Kommunikation in der Promotion von De-Mail als bevorzugtes Kommunikationsmittel mit Behörden

 

Der Anspruch von De-Mail ist, dass jede verwendete E-Mail-Adresse eine verifizierte E-Mail-Adresse ist. Der Nutzer einer solchen E-Mail-Adresse ist somit eineindeutig identifizierbar. Dies gilt für Privatpersonen mit einer persönlichen E-Mail-Adresse ebenso wie für Firmen mit Unternehmens-Adressen für Dienste und Mitarbeiter. Dies steht im direkten Gegensatz zu herkömmlichen E-Mail-Adressen.  

Die Ausarbeitung der De-Mail-Infrastruktur erfolgte in einem Elfenbeinturm und das Ergebnis war, im Hinblick auf die einfache Nutzung durch den Bürger, desaströs. Für Unternehmen wiederum war und ist die Anbindung an die De-Mail-Infrastruktur immer noch ein Drama. Die De-Mail-Anbindung von Behörden und deren Erreichbarkeit über eine De-Mail-Adresse ist ähnlich schlecht. 

Für die Bundesverwaltung ist die Einführung und Nutzung von De-Mail verpflichtend über das E-Government-Gesetz geregelt. Die Einführung sollte zum 1. Quartal 2016 abgeschlossen sein1. Mit wem möchte die Bundesverwaltung über De-Mail kommunizieren? Die Realität sieht anders aus. Anstatt eine etablierte Lösung zu verwenden, erfolgt die bundesweite E-Mail-Kommunikation über das Netz des Bundes, in dem eine Verschlüsselung des Übertragungsweges (TLS SMTP) als ausreichend betrachtet wird. Eine einheitliche Nachrichtenverschlüsselung für die Kommunikation zwischen Behörden ist nicht verpflichtend geregelt.

In den Ländern und Kommunen sieht es nicht besser aus. De-Mail findet schlichtweg nicht statt. 

Die immer angeführten Vorteile und möglichen Einsparpotentiale gegenüber der klassischen Briefpost wurden und werden ignoriert. Vergessen Sie nicht, dass das De-Mail-Gesetz die rechtliche Gleichstellung einer De-Mail-Zustellung mit der klassischen Briefpost regelt. Dies ist übrigens auch der Grund, warum die Post seinerzeit als De-Mail-Anbieter ausgestiegen ist.

Aber war da nicht noch eine andere besondere Lösung zum Austausch von besonders schützenswerten E-Mail-Nachrichten? Sie erinnern sich bestimmt an die andere deutsche Erfolgsgeschichte: Das besondere elektronische Anwaltspostfach (beA).

Ich habe mich von Anfang an gefragt, warum die Kommunikation zwischen Anwaltskanzleien und Gerichten nicht per De-Mail erfolgt. Sicher wird nun jemand darauf hinweisen, dass die technische Implementierung der De-Mail-Intrastruktur dem Anspruch zum Schutz der anwaltlichen Daten gerecht wird. Dies ist, aus meiner Sicht, ein fadenscheiniges Argument, da eine technische Anpassung möglich gewesen wäre. De-Mail wäre auf jeden Fall sicherer als die klassische Fallback-Lösung für termingerechte Zustellung an Gerichte, die Fax-Übertragung.

Gerade im Hinblick auf die Zustellung von anwaltlichen E-Mail-Nachrichten an Gerichte möchte ich eine Erfahrung mit Ihnen teilen. In mindestens einem Bundesland erfolgt die E-Mail-Kommunikation zwischen Kanzleien und Gerichten klassisch per SMTP über das Internet. Als Absicherung ist auch hier die Transportverschlüsselung ausreichend, solange eine E-Mail-Nachricht nach technischem Eingang unverändert in das Richter-Postfach zugestellt wird. Eine Nachrichtenverschlüsselung ist nicht erforderlich. Eine Nachrichtenverschlüsselung wird als zu kompliziert erachtet.

 

E-Mail-Sicherheit für Bürger

Bei der Einführung von De-Mail war besonders wichtig, dass keine De-Mail-Pflicht für die Kommunikation von Bürgern mit Behörden eingeführt wurde. Mit dem Verzicht auf eine De-Mail-Pflicht hätte man sich De-Mail auch sparen können. Eine freiwillige De-Mail-Registrierung haben nur wenige Bürger durchgeführt, nicht zuletzt auch wegen des aufwendigen Prozesses zur Prüfung der Identität. Die strengen Anforderungen zur Prüfung der Identität für De-Mail sind dem BSI anzulasten. Die Eröffnung eines neuen Bankkontos per Video-Ident ist erheblich einfacher.

Aber war da nicht noch etwas?

Was ist mit der inzwischen verpflichtend aktivierten Online-Ausweisfunktion des neuen Personalausweises (eID)?

In der Anfangsphase der Einführung des neuen Personalausweises war die Aktivierung der Online-Ausweisfunktion freiwillig. Völlig unerwartet hat sich gezeigt, dass die Mehrheit der Bürger an der Nutzung dieser Funktion kein Interesse hat. Inzwischen ist die Aktivierung dieser Funktion verpflichtend und soll dazu beitragen, dass wir mehr Bürgerdienste online nutzen. Leider hat die Bundesregierung dabei vergessen, dass die Aktivierung der Online-Ausweisfunktion nicht ausreicht. Jeder Bürger, der diese Funktion nutzen möchte, benötigt entweder ein passendes eID-Lesegerät für den PC/Mac oder aber eine spezielle App für das Mobiltelefon. 

Wäre es mit der verpflichtenden Aktivierung der Online-Ausweisfunktion nicht ein genialer Schachzug gewesen, jedem Ausweisinhaber auch eine De-Mail-Adresse zu geben, falls noch keine vorhanden ist? Eine einfachere Prüfung der Identität kann ich mir nicht vorstellen.

So bleibt für den Bürger der fahle Beigeschmack, dass alle Bestrebungen hinsichtlich eGovernment unkoordiniert nebeneinander existieren und eine sinnvolle Integration gar nicht gewollt ist.

 

Alternativen

Welche einfachen Möglichkeiten gibt es nun, wenn Sie, als Bürger oder Unternehmen, E-Mail-Nachrichten verschlüsseln möchten und De-Mail keine Option ist? 

Das kommt ganz darauf an, mit wem Sie kommunizieren möchten.

Die sicherste Methode ist die Verschlüsselung mit Hilfe eines Zertifikates, einem sog. S/MIME-Zertifikat. Solche Zertifikate sind meist kostenpflichtig und es bedarf einiger Kenntnis. um diese richtig ausstellen zu lassen und in der eigenen E-Mail-Software zu integrieren. Daher ist diese Methode auch bei Privatanwender selten in Nutzung. Für Unternehmen besteht die Möglichkeit, die E-Mail-Verschlüsselung mit Hilfe eines Gateways zu realisieren. Eine E-Mail-Verschlüsselung ist jedoch nur möglich, wenn sowohl Absender und Empfänger über ein gültiges Zertifikat verfügen. Der entscheidende Vorteil ist natürlich, dass die Möglichkeit für Absender und Empfänger weltweit zur Verfügung steht.

Office 365 bietet Ihnen die Möglichkeit, mit Hilfe der Office 365 Message Encryption (OME), E-Mail-Nachrichten zu verschlüsseln und diese an Empfänger zu senden, die nicht über ein S/MIME-Zertifikat verfügen. Um diese Funktion zu nutzen, benötigen Sie als Unternehmen natürlich ein Office 365/Microsoft 365 Abonnement. Für Privatpersonen ist diese Funktion auch Bestandteil von Office 365 Personal bzw. Office 365 Home. Die Benutzererfahrung als Empfänger einer OME-geschützten Nachricht ist allerdings gewöhnungsbedürftig.

Ist PGP eine Option? Nein.

PGP ist eine fälschungsanfällige Verschlüsselungslösung, die ihre Zeit hatte. Als IT-affiner Anwender ist eine PGP-Integration möglich. Für den Normalanwender ist sie, ebenso wie S/MIME, leider viel zu komplex. Im Gegensatz zur Nutzung von S/MIME erfordert PGP immer die INstallation von zusätzlichen Softwarekomponenten, die oft nur unzureichend in Standard-Mail-Clients integriert sind.

 

Fazit

E-Mail-Nachrichten unverschlüsselt zu senden ist grob fahrlässig, insbesondere für Unternehmen (Stichwort: DSGVO). Die technischen Anforderungen an E-Mail-Verschlüsselung sind für Privatpersonen oftmals zu komplex. De-Mail könnte uns hier zwar helfen, ist aber wegen der fehlenden Unterstützung durch Behörden und Unternehmen in Deutschland keine Option. Leider.

Prüfen Sie bei Ihrem E-Mail-Anbieter, ob für Ihr persönliches E-Mail-Konto eine Möglichkeit zur E-Mail-Verschlüsselung zur Verfügung steht.

Als Unternehmen ist eine E-Mail-Verschlüssung alternativlos. Es gibt zahlreiche Lösungen am Markt, mit denen Sie eine Gateway-basierte Verschlüssung zum Schutz persönlicher Daten und Unternehmensinformations umsetzen können.

Wenn Ihr Unternehmen bisher keine De-Mail-Schnittstelle hat, denken Sie sich einmal darüber nach, solch eine Schnittstelle einzurichten.

 

Anmerkung

Der größte Teil der De-Mail-Kommunikation ist übrigens Maschine-zu-Maschine-Kommunikation. Unternehmen tauschen auf diesem Weg, rechtlich abgesichert, automatisch zu verarbeitende Daten zwischen Softwaresystemen aus.

 

Links

 

Verschlüsseln Sie Ihre E-Mail-Nachrichten. Wenn Sie bisher Ihre E-Mail-Nachrichten nicht verschlüsseln, fangen Sie noch heute damit an.

 

 

Weiterlesen »