Viele Administratoren verzichten auf die digitale Signierung von eigene PowerShell-Skripten. Um solche PowerShell-Skripte in der lokalen IT-Infrastruktur ausführen zu können wird daher die PowerShell-Ausführungsrichtlinie auf Unrestricted konfiguriert. Diese Konfiguration ist ein großes Sicherheitsrisiko für das gesamte Unternehmen.
Unrestricted
Wenn das digitale Zertifikat zur Code-Signierung in Ihrem persönlichen Zertifikatsspeicher hinterlegt ist, ist die Signierung besonders einfach.
Wechseln Sie in einer PowerShell_Session in das Verzeichnis, das die zu signierende PowerShell-Datei enthält und signieren Sie die Datei mit den folgenden Befehlen. In diesem Beispiel wird die Datei MyPowerShellScript.ps1 signiert.
MyPowerShellScript.ps1
# Lesen des Signatur-Zertifikates aus dem persönlichen Zertifikatspeicher # des Anwenders, der die Signierung durchführt $cert=Get-ChildItem -Path Cert:\CurrentUser\My -CodeSigningCert # Lesen eines exportierten Signatur-Zertifikates aus einer PFX-Datei # Wenn der Export mit einem Kennwort geschützt ist, werden Sie nach # dem Kennwort gefragt $cert = Get-PfxCertificate -FilePath C:\SCRIPTS\CERTS\CodeSigningVarunagroup.pfx # Digitale Signierung der Datei MyPowerShellScript.ps1 Set-AuthenticodeSignature -FilePath MyPowerShellScript.ps1 -Certificate $cert
Wissenswert ist, dass das Cmdlet Get-PfxCertificate, im Gegensatz zur Dokumentation bei Microsoft Docs, keinen Parameter -Password verfügt, um das Kennwort als SecureString zu übergeben.
Get-PfxCertificate
-Password
Konfigurieren Sie nach der Signierung Ihrer PowerShell-Skripte die Ausführungsrichtlinie für Ihre Systeme mit Hilfe einer Gruppenrichtlinie.
Viel Spaß mit PowerShell!
Exchange Server war in der Vergangenheit eine Applikation, die sehr strenge Vorgaben für den sicheren und stabilen Betrieb vorgegeben hat. Von den Vorgaben hinsichtlich Server-Hardware, SCSI-Controller u.ä. abzuweichen galt als zu vermeiden. Dies hat sich seit der Einführung von Exchange Server 2010, der Datenbankportabilität und Datenbankverfügbarkeitsgruppen drastisch geändert.
Diesen Umstand hat die Exchange Server Produktgruppe durch zahlreiche Supportfälle zu spüren bekommen und für Exchange Server 2013 die Exchange Server Preferred Architecture, oder kurz, die Exchange PA eingeführt. Die Exchange PA gibt eine Empfehlung, wie man Exchange Server in einer On-Premises IT-Infrastruktur am besten implementiert. Mehr Informationen finden Sie in der Präsentation zum aOS Vortrag: Exchange Server 2019 - Wie macht man es richtig?.
In diesem Beispiel werden in einer Exchange Organisation werden zwei Datenbankverfügbarkeitsgruppen (DAG) betrieben, um primäre Anwender- und Funktionspostfächer von Online-Archivpostfächern zu trennen.
Die virtualisierten Serversysteme sind auf zwei Rechenzentren aufgeteilt und. In Rechenzentrum A werden drei der fünf Server von DAG1 betrieben, in Rechenzentrum B die anderen zwei Server. Für DAG2 ist die Verteilung recht einfach, jeweils eins der beide Serversysteme steht in einem der vorhandenen Rechenzentren. Die beiden Server von DAG2 sind im Load Balancer Pool nicht konfiguriert. Dort sind nur die fünf Server von DAG1 als aktive Zielsysteme konfiguriert.
Das folgende Schaubild verdeutlicht die Konfiguration.
Der Betrieb einer solchen Konfiguration wirft natürlich einige Fragen auf. Nicht alle Fragen konnten während des Analyse der Umgebung beantwortet werden, da die Architekten dieser Betriebsumgebung nicht mehr im Unternehmen angestellt sind.
Die Empfehlungen für diese Exchange Server Umgebung sind:
Viel Spaß mit Exchange Server.
Das Blog Cumulative Update für Dezember 2019 (CU1219) fasst interessante Themen rund um Cloud Sicherheit, Exchange Server, Office 365, Microsoft Teams und Azure des Monats Dezember 2019 zusammen.
Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer Exchange Server Implementierung oder Migration.
Sie denken über einen vollständigen Wechsel zu Microsoft 365 oder eine Hybrid-Konfiguration mit Office 365 nach? Wir beraten Sie umfassend und neutral über die Möglichkeiten der Office 365 Plattform und Microsoft 365.
Sie möchten mehr über Exchange Server 2019 erfahren? Gerne erläutern wir Ihnen die technischen Änderungen und Chancen für Ihr Unternehmen in einem individuellen Workshop. Bis dahin, werfen Sie doch einen Blick in das Microsoft Exchange Server 2019: Das Handbuch für Administratoren.
Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Website (https://www.granikos.eu) oder Sie kontaktieren direkt unser Vertriebsteam: info@granikos.eu
Um die Antwort direkt vorwegzunehmen, De-Mail ist keine Erfolgsgeschichte.
Mir stellt sich allerdings immer wieder die Frage, warum De-Mail keine Erfolgsgeschichte geworden ist. Die ursprüngliche Idee, verschlüsselte E-Mail-Nachrichten für jeden Bürger zu ermöglichen, um damit die Digitalisierung von Bürgerdiensten voranzutreiben war gut. Im Rückblick auf den Entstehungsprozess und das daraus resultierende De-Mail-Gesetz vom 28. April 2011 kann man nur festhalten, dass eine gute Idee den Kernproblemen im Umgang mit (IT-)Technologie in Deutschland geopfert wurde.
Als Kernprobleme sind insbesondere zu nennen:
Der Anspruch von De-Mail ist, dass jede verwendete E-Mail-Adresse eine verifizierte E-Mail-Adresse ist. Der Nutzer einer solchen E-Mail-Adresse ist somit eineindeutig identifizierbar. Dies gilt für Privatpersonen mit einer persönlichen E-Mail-Adresse ebenso wie für Firmen mit Unternehmens-Adressen für Dienste und Mitarbeiter. Dies steht im direkten Gegensatz zu herkömmlichen E-Mail-Adressen.
Die Ausarbeitung der De-Mail-Infrastruktur erfolgte in einem Elfenbeinturm und das Ergebnis war, im Hinblick auf die einfache Nutzung durch den Bürger, desaströs. Für Unternehmen wiederum war und ist die Anbindung an die De-Mail-Infrastruktur immer noch ein Drama. Die De-Mail-Anbindung von Behörden und deren Erreichbarkeit über eine De-Mail-Adresse ist ähnlich schlecht.
Für die Bundesverwaltung ist die Einführung und Nutzung von De-Mail verpflichtend über das E-Government-Gesetz geregelt. Die Einführung sollte zum 1. Quartal 2016 abgeschlossen sein1. Mit wem möchte die Bundesverwaltung über De-Mail kommunizieren? Die Realität sieht anders aus. Anstatt eine etablierte Lösung zu verwenden, erfolgt die bundesweite E-Mail-Kommunikation über das Netz des Bundes, in dem eine Verschlüsselung des Übertragungsweges (TLS SMTP) als ausreichend betrachtet wird. Eine einheitliche Nachrichtenverschlüsselung für die Kommunikation zwischen Behörden ist nicht verpflichtend geregelt.
In den Ländern und Kommunen sieht es nicht besser aus. De-Mail findet schlichtweg nicht statt.
Die immer angeführten Vorteile und möglichen Einsparpotentiale gegenüber der klassischen Briefpost wurden und werden ignoriert. Vergessen Sie nicht, dass das De-Mail-Gesetz die rechtliche Gleichstellung einer De-Mail-Zustellung mit der klassischen Briefpost regelt. Dies ist übrigens auch der Grund, warum die Post seinerzeit als De-Mail-Anbieter ausgestiegen ist.
Aber war da nicht noch eine andere besondere Lösung zum Austausch von besonders schützenswerten E-Mail-Nachrichten? Sie erinnern sich bestimmt an die andere deutsche Erfolgsgeschichte: Das besondere elektronische Anwaltspostfach (beA).
Ich habe mich von Anfang an gefragt, warum die Kommunikation zwischen Anwaltskanzleien und Gerichten nicht per De-Mail erfolgt. Sicher wird nun jemand darauf hinweisen, dass die technische Implementierung der De-Mail-Intrastruktur dem Anspruch zum Schutz der anwaltlichen Daten gerecht wird. Dies ist, aus meiner Sicht, ein fadenscheiniges Argument, da eine technische Anpassung möglich gewesen wäre. De-Mail wäre auf jeden Fall sicherer als die klassische Fallback-Lösung für termingerechte Zustellung an Gerichte, die Fax-Übertragung.
Gerade im Hinblick auf die Zustellung von anwaltlichen E-Mail-Nachrichten an Gerichte möchte ich eine Erfahrung mit Ihnen teilen. In mindestens einem Bundesland erfolgt die E-Mail-Kommunikation zwischen Kanzleien und Gerichten klassisch per SMTP über das Internet. Als Absicherung ist auch hier die Transportverschlüsselung ausreichend, solange eine E-Mail-Nachricht nach technischem Eingang unverändert in das Richter-Postfach zugestellt wird. Eine Nachrichtenverschlüsselung ist nicht erforderlich. Eine Nachrichtenverschlüsselung wird als zu kompliziert erachtet.
Bei der Einführung von De-Mail war besonders wichtig, dass keine De-Mail-Pflicht für die Kommunikation von Bürgern mit Behörden eingeführt wurde. Mit dem Verzicht auf eine De-Mail-Pflicht hätte man sich De-Mail auch sparen können. Eine freiwillige De-Mail-Registrierung haben nur wenige Bürger durchgeführt, nicht zuletzt auch wegen des aufwendigen Prozesses zur Prüfung der Identität. Die strengen Anforderungen zur Prüfung der Identität für De-Mail sind dem BSI anzulasten. Die Eröffnung eines neuen Bankkontos per Video-Ident ist erheblich einfacher.
Aber war da nicht noch etwas?
Was ist mit der inzwischen verpflichtend aktivierten Online-Ausweisfunktion des neuen Personalausweises (eID)?
In der Anfangsphase der Einführung des neuen Personalausweises war die Aktivierung der Online-Ausweisfunktion freiwillig. Völlig unerwartet hat sich gezeigt, dass die Mehrheit der Bürger an der Nutzung dieser Funktion kein Interesse hat. Inzwischen ist die Aktivierung dieser Funktion verpflichtend und soll dazu beitragen, dass wir mehr Bürgerdienste online nutzen. Leider hat die Bundesregierung dabei vergessen, dass die Aktivierung der Online-Ausweisfunktion nicht ausreicht. Jeder Bürger, der diese Funktion nutzen möchte, benötigt entweder ein passendes eID-Lesegerät für den PC/Mac oder aber eine spezielle App für das Mobiltelefon.
Wäre es mit der verpflichtenden Aktivierung der Online-Ausweisfunktion nicht ein genialer Schachzug gewesen, jedem Ausweisinhaber auch eine De-Mail-Adresse zu geben, falls noch keine vorhanden ist? Eine einfachere Prüfung der Identität kann ich mir nicht vorstellen.
So bleibt für den Bürger der fahle Beigeschmack, dass alle Bestrebungen hinsichtlich eGovernment unkoordiniert nebeneinander existieren und eine sinnvolle Integration gar nicht gewollt ist.
Welche einfachen Möglichkeiten gibt es nun, wenn Sie, als Bürger oder Unternehmen, E-Mail-Nachrichten verschlüsseln möchten und De-Mail keine Option ist?
Das kommt ganz darauf an, mit wem Sie kommunizieren möchten.
Die sicherste Methode ist die Verschlüsselung mit Hilfe eines Zertifikates, einem sog. S/MIME-Zertifikat. Solche Zertifikate sind meist kostenpflichtig und es bedarf einiger Kenntnis. um diese richtig ausstellen zu lassen und in der eigenen E-Mail-Software zu integrieren. Daher ist diese Methode auch bei Privatanwender selten in Nutzung. Für Unternehmen besteht die Möglichkeit, die E-Mail-Verschlüsselung mit Hilfe eines Gateways zu realisieren. Eine E-Mail-Verschlüsselung ist jedoch nur möglich, wenn sowohl Absender und Empfänger über ein gültiges Zertifikat verfügen. Der entscheidende Vorteil ist natürlich, dass die Möglichkeit für Absender und Empfänger weltweit zur Verfügung steht.
Office 365 bietet Ihnen die Möglichkeit, mit Hilfe der Office 365 Message Encryption (OME), E-Mail-Nachrichten zu verschlüsseln und diese an Empfänger zu senden, die nicht über ein S/MIME-Zertifikat verfügen. Um diese Funktion zu nutzen, benötigen Sie als Unternehmen natürlich ein Office 365/Microsoft 365 Abonnement. Für Privatpersonen ist diese Funktion auch Bestandteil von Office 365 Personal bzw. Office 365 Home. Die Benutzererfahrung als Empfänger einer OME-geschützten Nachricht ist allerdings gewöhnungsbedürftig.
Ist PGP eine Option? Nein.
PGP ist eine fälschungsanfällige Verschlüsselungslösung, die ihre Zeit hatte. Als IT-affiner Anwender ist eine PGP-Integration möglich. Für den Normalanwender ist sie, ebenso wie S/MIME, leider viel zu komplex. Im Gegensatz zur Nutzung von S/MIME erfordert PGP immer die INstallation von zusätzlichen Softwarekomponenten, die oft nur unzureichend in Standard-Mail-Clients integriert sind.
E-Mail-Nachrichten unverschlüsselt zu senden ist grob fahrlässig, insbesondere für Unternehmen (Stichwort: DSGVO). Die technischen Anforderungen an E-Mail-Verschlüsselung sind für Privatpersonen oftmals zu komplex. De-Mail könnte uns hier zwar helfen, ist aber wegen der fehlenden Unterstützung durch Behörden und Unternehmen in Deutschland keine Option. Leider.
Prüfen Sie bei Ihrem E-Mail-Anbieter, ob für Ihr persönliches E-Mail-Konto eine Möglichkeit zur E-Mail-Verschlüsselung zur Verfügung steht.
Als Unternehmen ist eine E-Mail-Verschlüssung alternativlos. Es gibt zahlreiche Lösungen am Markt, mit denen Sie eine Gateway-basierte Verschlüssung zum Schutz persönlicher Daten und Unternehmensinformations umsetzen können.
Wenn Ihr Unternehmen bisher keine De-Mail-Schnittstelle hat, denken Sie sich einmal darüber nach, solch eine Schnittstelle einzurichten.
Der größte Teil der De-Mail-Kommunikation ist übrigens Maschine-zu-Maschine-Kommunikation. Unternehmen tauschen auf diesem Weg, rechtlich abgesichert, automatisch zu verarbeitende Daten zwischen Softwaresystemen aus.
Verschlüsseln Sie Ihre E-Mail-Nachrichten. Wenn Sie bisher Ihre E-Mail-Nachrichten nicht verschlüsseln, fangen Sie noch heute damit an.
In den letzten Monaten sind mir während meiner Beratung in IT-Projekten immer öfter Menschen begegnet, die mit ihrer beruflichen Situation, ihrem Arbeitsalltag oder ihrem persönlichen Arbeitsumfeld unzufrieden sind. Diese Unzufriedenheit wirkte sich bei einigen bereits auf die körperliche Gesundheit aus.
Die Unzufriedenheit im Berufsalltag hat unterschiedliche und oftmals sehr persönliche Gründe. Jeder von uns hat eigene Vorstellungen davon, was der Sinn von Arbeit sein soll und was uns im Inneren antreibt, einer Arbeit nachzugehen.
Diese Liste an Fragen zum Arbeitsumfeld kann beliebig erweitert werden.
Wenn Sie eine der Fragen für sich persönlich mit einem Ja beantworten können, ist die Zeit reif für eine Veränderung des beruflichen Umfeldes.
Eine solche Veränderung erfordert immer eins: Mut.
Eine berufliche Veränderung herbeizuführen, ist für Viele gar nicht so einfach. Solch eine Veränderung wirkt sich schließlich unmittelbar auf alle Bereiche des Lebens und auf das direkte familiäre Umfeld aus. Daher nehmen wir eine mögliche Veränderung des Arbeitsumfeldes oder sogar des Arbeitsverhältnisses als unlösbares Problem war und wählen stattdessen lieber den Weg des geringeren Widerstandes. Es erscheint uns einfacher, im aktuellen Status Quo zu verharren und die tägliche Unzufriedenheit zu ertragen. Der Weg zu einer beruflichen Veränderung erscheint als unüberwindbarer Kraftakt.
Oftmals fehlt es uns auch einfach an Selbstvertrauen in die eigenen Fähigkeiten. Dazu besteht absolut kein Grund.
Für jeden ist der Weg und die notwendige Zeit zur beruflichen Veränderung unterschiedlich. Was jedoch für alle gleich ist, ist der Umstand, sich der eigenen Fähigkeiten und persönlichen beruflichen Interessen bewusst zu werden. Mit diesem Bewusstsein haben Sie direkt den Grundstein für Ihr Selbstvertrauen gelegt. Hierauf können Ihre Gedanken zur beruflichen Veränderung aufbauen.
Eine berufliche Veränderung bedeutet nicht, dass Sie den gleichen Job nur bei einem anderen Arbeitgeber wahrnehmen sollen. Stellen Sie sich die Frage, was Sie besonders gut können, was Ihnen besonders viel Spaß macht und worin Sie Ihre ganz persönliche Erfüllung finden. Dies kann bedeutet, dass Sie in ein gänzlich anderes Berufsbild wechseln und so mehr Spaß an der Arbeit haben. Es kann auch bedeuten, dass Sie aus einer abhängigen Beschäftigung in die Selbstständigkeit wechseln und so in die Lage versetzt werden, Ihre Arbeitszeiten selbst einzuteilen.
Gerade im Bereich der IT und dem aktuellen Trend zu Cloud-Technologien stehen Ihre persönlichen Chancen gut. Allen Unternehmen fehlen spezialisierte Fachleute, um die sich schnell weiterentwickelnden Technologien zu verstehen, zu implementieren und zu betreiben. Die Unternehmen sind auf Sie angewiesen. Hier liegt Ihre Chance.
Trauen Sie sich! Ihr Mut zur Veränderung wird belohnt.
Es wäre naiv zu denken, dass Scheitern unmöglich wäre. Aus persönlicher Erfahrung kann ich Ihnen sagen, dass Scheitern etwas Gutes ist. Leider wird Scheitern in unserem Kulturraum als etwas Negatives wahrgenommen. Lösen Sie sich von dieser negativen Assoziation, bevor Sie sich auf den Weg machen und versichern Sie sich des Rückhalts in Ihrem persönlichen Umfeld.
Die wichtigste Erfahrung bei einem Scheitern ist, sich des Scheiterns bewusst zu werden und es nicht zu verdrängen. Je länger Sie es Verdrängen, desto größer wird der eigene emotionale Schmerz und, vielleicht schlimmer, der finanzielle Schaden. Hören Sie auf Meinungen aus dem familiären Umfeld und gönnen Sie sich das Recht, eine einmal getroffene Entscheidung abzuändern.
Scheitern zuzulassen, ist eine Stärke.
Natürlich liegt mein Themenschwerpunkt im Bereich der IT und hier besonders im Bereich der Microsoft-Technologien für On-Premises- und Cloudlösungen.
Wenn Sie Fragen zur beruflichen Veränderung haben, ein Mentoring oder eine Begleitung bei der beruflichen Veränderung suchen, sprechen Sie mich an. Gerne teile ich meine persönlichen Erfahrungen aus der Zeit der abhängigen Beschäftigung und dem Wechsel in die Selbstständigkeit. Sie finden mich bei LinkedIn und Twitter.
Microsoft hilft Ihnen beim Erlernen neuer Fähigkeiten und bei der Erweiterung vorhandenen Wissen. Gerade erst wurde Microsoft Learn auf eine neue Plattform gebracht, um das Lernen noch einfacher zu ermöglichen. Mit dem Wandel zu cloudbasierten Produkten und Diensten wandeln sich auch die Anforderungen an das Wissen. In Zukunft ist ein Wissensspektrum, basierend auf einer Job-Rolle wichtiger als ein Wissenssilo zu einem einzelnen Produkt. Reines Produktwissen gehört der Vergangenheit ein.
Schauen Sie sich einmal die Übersicht der Lernangebote für die unterschiedlichen Job-Rollen bei Microsoft Learn in Ruhe an und überlegen Sie sich dann, wie Ihre berufliche Zukunft aussehen soll.