Software-Lösungen, die einen TLS verschlüsselten Kommunikationskanal aufbauen möchten, benötigen Zugriff auf den privaten Schlüssel des zuverwendenden SSL Zertifkates im lokalen Zertifkatsspeicher des Servers. In den meisten Fällen installiert die Software ein selbstsigniertes Zertifkat und konfiguriert für dieses Zertifikat die korrekten Berechtigungen.

Bei der externen Kommunikation ist es aber häufig gewünscht, ein offiziell ausgestelltes SSL/TLS Zertifikat zu verwenden. 

Die nachfolgenden Schritte beschreiben die Konfiguration der Lese-Berechtigung für das E-Mail Security Gateway NoSpamProxy. In diesem besonderen Fall verwendet die Software kein reguläres Dienstkonto, sondern sog. virtuelle Dienstkonten. Diese Konten ermöglichen eine erhöhte Sicherheit beim Ausführen von Windows-Diensten.

Schritt für Schritt Anleitung

Schritt 1

Öffnen Sie den lokalen Zertikatsspeicher mit Hilfe des MMC Snap-Ins.

Schritt 2

Wählen Sie das gewünschte Zertifkat aus und öffnen Sie mit einem Rechts-Klick auf dem Zertifkat das Kontextmenü.

Wählen Sie Manage Private Keys, um die Berechtigungen für den privaten Schlüssel zu verwalten.

Schritt 3

Klicken Sie auf Add und fügen Sie die gewünschten Konten hinzu. In diesem Beispiel ist es notwendig, das lokale Computersystem als Lokation auszuwählen und nicht die Active Directory Domäne. Virtuelle Dienstkonten erforden das Prefix NT Service.

Für NoSpamProxy benötigen die folgenden Konten Lese-Zugriff:

NT Service\NetatworkMailGatewayIntranetRole
NT Service\NetatworkMailGatewayManagementService
NT Service\NetatworkMailGatewayGatewayRole
NT Service\NetatworkMailGatewayPrivilegedService

Klicken Sie anschließend auf Check Names, um die eingegebenen Bentuzerkonten zu prüfen.

Schritt 4

Bei korrekter Auflösung werden die Anzeigename der Dienstkonten im Fenster angezeigt. Klicken Sie anschließend auf OK. 

Schritt 5

Setzen Sie für alle hinzugefügten Dienstkonten die Lese-Berechtigung und klicken Sie anschließend OK.

Um Anschluß kann das nun korrekt konfigurierte Zertifkat durch NoSpamProxy für den Aufbau von TLS Verbindungen verwendet werden.

Link

• Service Accounts Step-by-Step Guide, https://technet.microsoft.com/en-us/library/dd548356(v=ws.10).aspx

Administrative Benutzerkonten in Office 365, die der Rolle Globaler Administrator zugeordnet sind, müssen besonders geschützt werden. Joe Davies, Sr. Content Developer bei Microsoft, hat während des Cloud Adoption Advisory Board Webinars am 31. Mai 2017 einfache und hilfreiche Tipps zur Absicherung dieser Konten gegeben. 

In diesem Zusammenhand ist es wichtig, sich noch einmal zu vergegenwärtigen, dass die Absicherung von Benutzerkonten und anderen schützenswerten Objekten in der Cloud einer Partnerschaft unterliegt. Microsoft stellt als SaaS Anbieter die notwenigen Funktionen zur Verfügung, als Kunde muss ich diese auch konfigurieren und anwenden.

Angreifer haben es natürlich nicht nur auf Standardbenutzerkonten abgesehen, sondern versuchen insbesondere Benutzerkonten mit hohen Privilegien anzugreifen. Denn nur so lässt sich der maximal Schaden anrichten. Dies gesicht im Allgemeinen durch das Sammeln von Informationen und Phishing Attacken.

Es ist für Angreifer ein Leichtes, administrative Benutzerkonten mit intelligenten Phishing E-Mails auszuspähen, nachdem ein Standardbenutzerkonto gehackt wurde. Mit Hilfe des nachfolgenden PowerShell Befehls, ausgeführt im Kontext des Benutzers, können alle Anwender mit der Rolle Globaler Administrator ausgelesen werden.

Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId

Nutzen Sie die nachfolgenden Empfehlungen, damit Ihre Office 365 Umgebung nicht ein leichtes Opfer von Angriffen wird.

Phase 1 - Dedizierte Administratorkonten

1. Identifizieren Sie mit dem o.g. PowerShell Cmdlet alle Benutzerkonten, die aktuell der Rolle Globaler Administrator zugewiesen sind
2. Erstellen Sie mindestens ein Konto als Globaler Administrator, jedoch nicht mehr als fünf 
3. Verwenden Sie für die neuen Benutzerkonten komplexe Kennworte mit mindestens 12 Zeichen
4. Weisen Sie den neu erstellen Bentuzerkonten die Rolle Globaler Administrator zu
5. Melden Sie sich mit einem der neu erstellen Benutzerkonten am Office 365 Portal an
6. Für jedes in Schritt 1 identifizierte Benutzerkonto führen Sie folgende Schritte durch
   1. Entfernen Sie die Rolle Globaler Administrator
   2. Weisen Sie nur die Office 365 Rollen zu, die der jeweilige Anwender für seine Tätigkeit benötigt

Ergebnis

• Nur die neu erstellten Bentuzerkonten verfügen über die Rollenberechtigung Globaler Administrator
• Alle anderen regulären Benutzerkonten verfügen nur über die notwendigen Office 365 Dienstberechtigungen, um den Office 365 Tenant zu verwalten

Weiterführende Links

• Office 365 Rollen

Phase 2 - Aktivierung von Multi-Faktor Authentifizierung

Wenn Sie nur Cloud-Identitäten nutzen:

1. Aktivieren Sie Multi-Faktor Authentifizierung (MFA) für Ihren Office 365 Tenant
2. Konfigurieren Sie für jedes der neuen Administratorkonten für die Verifikationsmethode Telefonanruf oder Textnachricht

Wenn Sie synchronisierte oder federierte Identitäten nutzen:

1. Aktivieren Sie Multi-Faktor Authentifizierung (MFA) für Ihren Office 365 Tenant
2. Konfigurieren Sie für jedes der neuen Administratorkonten die stärkste Verifikationsmethode, die in Ihrem Unternehmen möglich ist

Natürlich werden Sie auch weiterhin administrative PowerShell Scripte gegen Ihren Office 365 Tenant ausführen wollen. Im Blog Post Connect to Office 365 services with multifactor authentication (MFA) and PowerShell sind die erforderlichen Schritte für die Nutzung der PowerShell mit MFA beschrieben.

Weiterführende Links

• Plan for multi-factor authentication for Office 365 Deployments
• Set up multi-factor authentication for Office 365 users 
• Set up 2-step verification for Office 365
• Multi-Factor Authentication für die Office 365-Entwicklungs-/Testumgebung

Phase 3 - Advanced Security Management 

Die Nutzung von Advanced Security Management (ASM) erfordert eine E5 Lizenz oder aber eine separate ASM Lizenz für Benutzerkonten mit den zugewiesen Rollen Globaler Administrator, Dienstadministrator oder Compliance-Administrator.

1. Aktivieren Sie das Advanced Security Management
2. Konfigurieren Sie Richtlinien zur E-Mail Benachrichtigung bei
   1. Verdächtigen Administratortätigkeiten
   2. Hinzufügen von Rollenmitgliedern

Weiterführende Links

• Opt-in steps for Advanced Security Management
• Create anomaly detection policies in Advanced Security Management
• Advanced Security Management für die Office 365-Entwicklungs-/Testumgebung

CAAB Webinar Mai 2017

Im CAAB Webinar wurden noch weitere interessante Themen behandelt:

• Windows Defender ATP Ransomware Response Playbook
• Isolate SharePoint Online Group Sites in Office 365
• Azure Active Directory B2B Collaboration

Video

PowerPoint

Das Cloud Adoption Advisory Board (CAAB) ist eine excellente Quelle für Informationen rund um die sicher Implementierung von Cloud-Technologien. 

Links

• CAAB - Cloud Adoption Advisory Board
• PowerPoint Präsentation zum CAAB Webinar
• Office 365 Portal

Viel Spaß mit Office 365.

Das Exchange Blog Cumulative Update für Mai 2017 (CU0517) fasst interessante Themen rund um Exchange Server und Office 365 (Exchange Online), Azure und Skype for Business (aka Lync) des Monats Mai 2017 zusammen.

Exchange Server

• Accessing public folder favorites
  https://blogs.technet.microsoft.com/exchange/2017/04/28/accessing-public-folder-favorites/
• Demystifying Certificate Based Authentication with ActiveSync in Exchange 2013 and 2016 (On-Premises)
  https://blogs.technet.microsoft.com/exchange/2017/05/05/demystifying-certificate-based-authentication-with-activesync-in-exchange-2013-and-2016-on-premises/
• Error - 'You cannot have both ArchiveDatabase and ArchiveDomain set.' - when performing a dial tone recovery for mailboxes on-premises that have online archives
  https://blogs.technet.microsoft.com/exovoice/2017/05/09/error-you-cannot-have-both-archivedatabase-and-archivedomain-set-when-performing-a-dial-tone-recovery-for-mailboxes-on-premises-that-have-online-archives/
• August 2013: Recovering public folder information in Exchange 2013
  https://blogs.technet.microsoft.com/exchange/2013/08/23/recovering-public-folder-information-in-exchange-2013/
• Mailbox Automapping forward and reverse map using Autodiscover and PowerShell
  http://gsexdev.blogspot.de/2017/05/mailbox-automapping-forward-and-reverse.html

Office 365 & Exchange Online

• [STICKY] Office 365-Trust Center
  http://bit.ly/Office365TrustCenter
• [STICKY] Office 365 URLs and IP address ranges
  http://bit.ly/Office365URLsIPaddresses
• Office 365 Support and Recovery Assistant (aka SaRA)
  http://diagnostics.office.com/
• Scripting a Mailbox recovery
  https://blogs.technet.microsoft.com/exovoice/2017/05/01/scripting-a-mailbox-recovery/
• 2nd call for public folders to O365 Groups migrations
  https://blogs.technet.microsoft.com/exchange/2017/05/04/2nd-call-for-public-folders-to-o365-groups-migrations/
• Yes, you can put "toxic" data in Office 365
  https://blogs.technet.microsoft.com/solutions_advisory_board/2017/05/09/yes-you-can-put-toxic-data-in-office-365/
• Introducing OneDrive Files On-Demand and other features making it easy to access files
  https://blogs.office.com/2017/05/11/introducing-onedrive-files-on-demand-and-additional-features-making-it-easier-to-access-and-share-files/
• New in Yammer—building a more connected and engaged organization
  https://blogs.office.com/2017/05/16/new-in-yammer-building-a-more-connected-and-engaged-organization/
• New SharePoint and OneDrive capabilities accelerate your digital transformation
  https://blogs.office.com/2017/05/16/new-sharepoint-and-onedrive-capabilities-accelerate-your-digital-transformation/
• The Truth About Public Folder Synchronization with Azure Active Directory
  http://www.expta.com/2017/05/the-truth-about-public-folder.html
• Office 365 Directory Based Edge Blocking support for on-premises Mail Enabled Public Folders
  https://blogs.technet.microsoft.com/exchange/2017/05/19/office-365-directory-based-edge-blocking-support-for-on-premises-mail-enabled-public-folders/
• Create a custom user role in Exchange Online using RBAC
  https://blogs.technet.microsoft.com/exovoice/2017/05/08/create-a-custom-user-role-in-exchange-online-using-rbac/
• How To Install AD FS 2016 For Office 365 – Part 2
  https://blogs.technet.microsoft.com/rmilne/2017/05/10/how-to-install-ad-fs-2016-for-office-365-part-2/
• How To Install AD FS 2016 For Office 365 – Part 3
  https://blogs.technet.microsoft.com/rmilne/2017/05/14/how-to-install-ad-fs-2016-for-office-365-part-3/
• New Test Lab Guide for an isolated SharePoint Online team site
  https://blogs.technet.microsoft.com/solutions_advisory_board/2017/05/25/new-test-lab-guide-for-an-isolated-sharepoint-online-team-site/
• OWA and Conditional Access: Inconsistent Error Reports
  http://c7solutions.com/2017/05/owa-and-conditional-access-inconsistent-error-reports
• Deep Dive: How Hybrid Authentication Really Works
  https://blogs.technet.microsoft.com/exchange/2017/05/24/deep-dive-how-hybrid-authentication-really-works/

Skype for Business, Lync Server & Communication

• Lync 2013 / SfB 2015 Client Update – May 2017
  https://greiginsydney.com/lync-2013-sfb-2015-client-update-may-2017/

Microsoft Azure

• [STICKY] Microsoft Azure Trust Center
  http://azure.microsoft.com/en-us/support/trust-center
• Azure Architecture Center
  https://docs.microsoft.com/en-us/azure/architecture/
• Azure AD and third-party apps: It’s a bigger deal than you might think!
  https://blogs.technet.microsoft.com/enterprisemobility/2017/05/01/azure-ad-and-third-party-apps-its-a-bigger-deal-than-you-might-think/
• Azure Active Directory at Microsoft Build 2017
  https://blogs.technet.microsoft.com/enterprisemobility/2017/05/10/azure-active-directory-at-microsoft-build-2017/
• Updates for the new Azure Active Directory V2 PowerShell module
  https://blogs.technet.microsoft.com/solutions_advisory_board/2017/05/11/updates-for-the-new-azure-active-directory-v2-powershell-module/
• The new Azure AD Admin Console is GA
  https://blogs.technet.microsoft.com/enterprisemobility/2017/05/15/the-new-azure-ad-admin-console-is-ga/
• Azure AD Privileged Identity Management Approval Workflows are now in Public Preview
  https://blogs.technet.microsoft.com/enterprisemobility/2017/05/24/azure-ad-privileged-identity-management-approval-workflows-are-now-in-public-preview/
• User provisioning from Workday to Azure AD is now in Public Preview
  https://blogs.technet.microsoft.com/enterprisemobility/2017/05/31/user-provisioning-from-workday-to-azure-ad-is-now-in-public-preview/

Cloud Themen & Cloud Sicherheit

• [STICKY] Microsoft Security TechCenter
  http://technet.microsoft.com/de-DE/security/dd252948
• Get the new Federated Authentication for Office 365 in Azure Deployment Kit
  https://blogs.technet.microsoft.com/solutions_advisory_board/2017/05/05/get-the-new-federated-authentication-for-office-365-in-azure-deployment-kit/
• Use Enterprise Threat Detection to find "invisible" cyberattacks
  https://blogs.microsoft.com/microsoftsecure/2017/05/10/use-enterprise-threat-detection-to-find-invisible-cyberattacks/
• Announcing new Adversary Detection and Compromised Recovery services
  https://blogs.microsoft.com/microsoftsecure/2017/05/16/announcing-new-adversary-detection-and-compromised-recovery-services/
• How the Microsoft Cloud can accelerate your GDPR compliance for the EU
  https://blogs.microsoft.com/on-the-issues/2017/05/24/microsoft-cloud-can-accelerate-gdpr-compliance-eu

Knowledge Base & TechNet

• Network ports for clients and mail flow in Exchange 2016
  https://technet.microsoft.com/en-us/library/bb331973(v=exchg.160).aspx
• KB2647048: How to update or repair the settings of a federated domain in Office 365, Azure, or Intune
  https://support.microsoft.com/en-us/help/2647048/how-to-update-or-repair-the-settings-of-a-federated-domain-in-office-365,-azure,-or-intune
• Configure Office 365 Groups with on-premises Exchange hybrid
  https://technet.microsoft.com/en-us/library/mt668829(v=exchg.150).aspx

Allgemein

• Mind the air gap: Network separation's cost, productivity and security drawbacks
  https://blogs.microsoft.com/microsoftsecure/2017/05/01/mind-the-air-gap-network-separations-cost-productivity-and-security-drawbacks/

Replay

• Oktober 2015: Client Connectivity in an Exchange 2016 Coexistence Environment with Exchange 2013
  https://blogs.technet.microsoft.com/exchange/2015/10/28/client-connectivity-in-an-exchange-2016-coexistence-environment-with-exchange-2013/
• März 2008: Updated Exchange Public Folder Guidance
  https://blogs.technet.microsoft.com/exchange/2008/03/31/updated-exchange-public-folder-guidance/
• Februar 2013: Exchange, Firewalls, and Support… Oh, my!
  https://blogs.technet.microsoft.com/exchange/2013/02/18/exchange-firewalls-and-support-oh-my/
• Juli 2014: Exchange: Automating a Welcome Email to New Users
  https://blogs.msdn.microsoft.com/emeamsgdev/2014/07/23/exchange-automating-a-welcome-email-to-new-users/
• April 2017: How To Install AD FS 2016 For Office 365
  https://blogs.technet.microsoft.com/rmilne/2017/04/28/how-to-install-ad-fs-2016-for-office-365

Podcast Empfehlungen

• Exchange Exposed
  http://bit.ly/ExchangeExposedPodcast

Tools

• Mailscape 365 - Exchange Online Monitoring und Reporting
  http://www.granikos.eu/de/mailscape365
• Mailscape - Exchange Monitoring und Reporting
  http://www.granikos.eu/de/mailscape
• Uniscope - Lync Monitoring und Reporting
  http://www.granikos.eu/de/uniscope
• Compass - Active Directory Monitoring und Reporting
  http://www.granikos.eu/de/compass
• ForeSite - SharePoint Monitoring und Reporting
  http://www.granikos.eu/de/foresite
• ISESteroids - PowerTheShell
  http://www.powertheshell.com/isesteroids/

Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer Exchange Server Implementierung oder Migration.

Sie denken über einen vollständigen Wechsel zu Office 365 oder eine Hybrid-Konfiguration mit Office 365 nach? Wir beraten Sie umfassend und ausführlich über die Möglichkeiten der Office 365 Plattform.

Sie möchten mehr über Exchange Server 2016 erfahren? Gerne erläutern wir Ihnen die technischen Änderungen und Chancen für Ihr Unternehmen in einem persönlichen Workshop.

Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Website (https://www.granikos.eu) oder Sie kontaktieren direkt unser Vertriebsteam: info@granikos.eu