14
Notausschalter für Exchange
Mit dem letzten CU hat Microsofts eine Art Notausschalter für Exchange implementiert, der es MS erlaubt aus der Ferne Exchange vor Zero Day Attacken zu "schützen", in dem bedrohte Bereiche abgeschaltet werden können. Der hierfür nötige Dienst ist per default aktiv.
Inwieweit das jetzt ein Eingriff auf die eigene Serverhoheit oder eine sinnvolle Schutzfunktion ist, muss jeder selbst entscheiden und dann ggfs. den Dienst deaktivieren.
Näheres hier:
https://www.heise.de/hintergrund/Das-bedeutet-Microsofts-neuer-Notaussch ...
Inwieweit das jetzt ein Eingriff auf die eigene Serverhoheit oder eine sinnvolle Schutzfunktion ist, muss jeder selbst entscheiden und dann ggfs. den Dienst deaktivieren.
Näheres hier:
https://www.heise.de/hintergrund/Das-bedeutet-Microsofts-neuer-Notaussch ...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1335400657
Url: https://administrator.de/contentid/1335400657
Printed on: April 23, 2024 at 16:04 o'clock
14 Comments
Latest comment
Hallo Sabines,
Hatte mich schon beim Update auf CU22 gewundert warum aufeinmal URL-Rewrite benötigt wird.
Ich finde es äußerst bedenklich das Microsoft mir sagen kann wann und wie ich in Zukunft meinen Exchange zu nutzen habe. Natürlich ist es für einen Exploit gut und wichtig die Funktion abzuschalten um schaden zu verhindern. Aber viele haben ihren Exchange nach Außen abgesichert mit 2FA oder vorheriger Authentifizierung oder er ist garnicht extern erreichbar. Viele Admins haben glaube ich nach dem März dieses Jahr eine steile und schnelle Lernkurve in Sachen Security bekommen.
Z.b. mein Exchange ist ist für owa und ecp nur per vorheriger LDAP auth erreichbar, händel ich über einen Apache Proxy, vorher kommt noch ein Application Proxy der Watchguard.
Grüße
Niklas
Hatte mich schon beim Update auf CU22 gewundert warum aufeinmal URL-Rewrite benötigt wird.
Ich finde es äußerst bedenklich das Microsoft mir sagen kann wann und wie ich in Zukunft meinen Exchange zu nutzen habe. Natürlich ist es für einen Exploit gut und wichtig die Funktion abzuschalten um schaden zu verhindern. Aber viele haben ihren Exchange nach Außen abgesichert mit 2FA oder vorheriger Authentifizierung oder er ist garnicht extern erreichbar. Viele Admins haben glaube ich nach dem März dieses Jahr eine steile und schnelle Lernkurve in Sachen Security bekommen.
Z.b. mein Exchange ist ist für owa und ecp nur per vorheriger LDAP auth erreichbar, händel ich über einen Apache Proxy, vorher kommt noch ein Application Proxy der Watchguard.
Grüße
Niklas
Moin...
Tja... ich bin hin und hergerissen, super idee.... Aber!!!!!!
wie weit geht der zugriff von MS wirklich?
das mit dem abschalten ist ja gut und schön, aber vorher fragen, willst du das haben, wäre auch ne möglichkeit gewesen!
wenn MS den zugriff hat, dann hat den sich auch bald jeder hans und franz.... so richtig glücklich bin ich da nicht!
Frank
Tja... ich bin hin und hergerissen, super idee.... Aber!!!!!!
wie weit geht der zugriff von MS wirklich?
das mit dem abschalten ist ja gut und schön, aber vorher fragen, willst du das haben, wäre auch ne möglichkeit gewesen!
wenn MS den zugriff hat, dann hat den sich auch bald jeder hans und franz.... so richtig glücklich bin ich da nicht!
Frank
Schöne Idee. Man kann nur hoffen, dass MS den Notfallschalter nicht außen am Gebäude anbringt. Gegenüber vom Spielplatz. 
Moin,
Naja, dann kann man das Feature immer noch abschalten. Wenn man bedenkt, wie viele tausende Server davon betroffen waren, kann man verstehen, dass Microsoft hier handeln muss.
Das sagt man doch nach jeder größeren Zero Day Lücke. Getan hat sich aber gefühlt wenig. Man bekommt dennoch immer wieder solche Artikel präsentiert: https://www.heise.de/security/meldung/Ab-zwei-Dollar-Ueber-70-000-RDP-Se ...
Darf ich aus Neugierde fragen wozu der Apache Proxy gut ist, wenn voher eh noch eine WAF steht?
MfG
Natürlich ist es für einen Exploit gut und wichtig die Funktion abzuschalten um schaden zu verhindern. Aber viele haben ihren Exchange nach Außen abgesichert mit 2FA oder vorheriger Authentifizierung oder er ist garnicht extern erreichbar.
Naja, dann kann man das Feature immer noch abschalten. Wenn man bedenkt, wie viele tausende Server davon betroffen waren, kann man verstehen, dass Microsoft hier handeln muss.
Viele Admins haben glaube ich nach dem März dieses Jahr eine steile und schnelle Lernkurve in Sachen Security bekommen.
Das sagt man doch nach jeder größeren Zero Day Lücke. Getan hat sich aber gefühlt wenig. Man bekommt dennoch immer wieder solche Artikel präsentiert: https://www.heise.de/security/meldung/Ab-zwei-Dollar-Ueber-70-000-RDP-Se ...
Z.b. mein Exchange ist ist für owa und ecp nur per vorheriger LDAP auth erreichbar, händel ich über einen Apache Proxy, vorher kommt noch ein Application Proxy der Watchguard.
Darf ich aus Neugierde fragen wozu der Apache Proxy gut ist, wenn voher eh noch eine WAF steht?
MfG
Moin...
spannend wird es, wenn etwas abgeschaltet wird, wie das benachrichtigt wird!
wir haben alleine im Forum 95% Exchange Admins, die sich kaum zu helfen wissen, und jetzt kommt MS und schaltet Dienste oder den ganzen App Pool des Exchange ab....
und von den 95% werden etwa 30% kein englisch lesen können.... das wird ja lustig
Frank
URL-Rewrites: Das blockiert den (HTTP-)Zugriff auf bestimmte Exchange-Funktionen
Deaktivieren von Diensten: Das legt bestimmte Exchange-Dienste lahm
App Pools deaktivieren: Das schaltet einen ganzen App Pool des Servers abspannend wird es, wenn etwas abgeschaltet wird, wie das benachrichtigt wird!
wir haben alleine im Forum 95% Exchange Admins, die sich kaum zu helfen wissen, und jetzt kommt MS und schaltet Dienste oder den ganzen App Pool des Exchange ab....
und von den 95% werden etwa 30% kein englisch lesen können.... das wird ja lustig
Frank
2
Mahlzeit!
Ich fürchte mich mehr davon, dass ggfs. vergiftete Mitigations an die Server ausgerollt werden und danach alles stillsteht. Dass Microsoft hinsichtlich seiner Updatequalität in meinen Augen mehr ### liefert, als Gutes, macht diese Lösung da für mich nicht besser. Für mich ist das sogar ein Schalter, um eine geplante Obsoleszenz besser durchzudrücken. Aber die Welt steht drauf - zumindest habe ich diesen Eindruck.
Ich finde diesen Kommentar eigentlich nur bedauerlich.
Ich fürchte mich mehr davon, dass ggfs. vergiftete Mitigations an die Server ausgerollt werden und danach alles stillsteht. Dass Microsoft hinsichtlich seiner Updatequalität in meinen Augen mehr ### liefert, als Gutes, macht diese Lösung da für mich nicht besser. Für mich ist das sogar ein Schalter, um eine geplante Obsoleszenz besser durchzudrücken. Aber die Welt steht drauf - zumindest habe ich diesen Eindruck.
Zitat von @Vision2015:
wir haben alleine im Forum 95% Exchange Admins, die sich kaum zu helfen wissen, und jetzt kommt MS und schaltet Dienste oder den ganzen App Pool des Exchange ab....
und von den 95% werden etwa 30% kein englisch lesen können.... das wird ja lustig
wir haben alleine im Forum 95% Exchange Admins, die sich kaum zu helfen wissen, und jetzt kommt MS und schaltet Dienste oder den ganzen App Pool des Exchange ab....
und von den 95% werden etwa 30% kein englisch lesen können.... das wird ja lustig
Ich finde diesen Kommentar eigentlich nur bedauerlich.
Zitat von @Vision2015:
und von den 95% werden etwa 30% kein englisch lesen können.... das wird ja lustig
und von den 95% werden etwa 30% kein englisch lesen können.... das wird ja lustig
Und von den restlichen 70% werden gefühlt nur 10% verstehen, was sie lesen.
lks
Zitat von @beidermachtvongreyscull:
Mahlzeit!
Ich fürchte mich mehr davon, dass ggfs. vergiftete Mitigations an die Server ausgerollt werden und danach alles stillsteht. Dass Microsoft hinsichtlich seiner Updatequalität in meinen Augen mehr ### liefert, als Gutes, macht diese Lösung da für mich nicht besser. Für mich ist das sogar ein Schalter, um eine geplante Obsoleszenz besser durchzudrücken. Aber die Welt steht drauf - zumindest habe ich diesen Eindruck.
Ich finde diesen Kommentar eigentlich nur bedauerlich.
Mahlzeit!
Ich fürchte mich mehr davon, dass ggfs. vergiftete Mitigations an die Server ausgerollt werden und danach alles stillsteht. Dass Microsoft hinsichtlich seiner Updatequalität in meinen Augen mehr ### liefert, als Gutes, macht diese Lösung da für mich nicht besser. Für mich ist das sogar ein Schalter, um eine geplante Obsoleszenz besser durchzudrücken. Aber die Welt steht drauf - zumindest habe ich diesen Eindruck.
Zitat von @Vision2015:
wir haben alleine im Forum 95% Exchange Admins, die sich kaum zu helfen wissen, und jetzt kommt MS und schaltet Dienste oder den ganzen App Pool des Exchange ab....
und von den 95% werden etwa 30% kein englisch lesen können.... das wird ja lustig
wir haben alleine im Forum 95% Exchange Admins, die sich kaum zu helfen wissen, und jetzt kommt MS und schaltet Dienste oder den ganzen App Pool des Exchange ab....
und von den 95% werden etwa 30% kein englisch lesen können.... das wird ja lustig
Ich finde diesen Kommentar eigentlich nur bedauerlich.
Ja, der ist zu optimistisch.
Zitat von @Lochkartenstanzer:
Und von den restlichen 70% werden gefühlt nur 10% verstehen, was sie lesen.
lks
Zitat von @Vision2015:
und von den 95% werden etwa 30% kein englisch lesen können.... das wird ja lustig
und von den 95% werden etwa 30% kein englisch lesen können.... das wird ja lustig
Und von den restlichen 70% werden gefühlt nur 10% verstehen, was sie lesen.
lks
Ist halt der Klassiker und nicht nur auf Fremdsprachen bezogen. Selbst wenn die Anleitung in der Muttersprache erstellt wurde, verstehen viele "Fachkräfte" nur Bahnhof.
Zitat von @beidermachtvongreyscull:
Mahlzeit!
Ich fürchte mich mehr davon, dass ggfs. vergiftete Mitigations an die Server ausgerollt werden und danach alles stillsteht. Dass Microsoft hinsichtlich seiner Updatequalität in meinen Augen mehr ### liefert, als Gutes, macht diese Lösung da für mich nicht besser. Für mich ist das sogar ein Schalter, um eine geplante Obsoleszenz besser durchzudrücken. Aber die Welt steht drauf - zumindest habe ich diesen Eindruck.
Ich finde diesen Kommentar eigentlich nur bedauerlich.
echt... ich nicht!Mahlzeit!
Ich fürchte mich mehr davon, dass ggfs. vergiftete Mitigations an die Server ausgerollt werden und danach alles stillsteht. Dass Microsoft hinsichtlich seiner Updatequalität in meinen Augen mehr ### liefert, als Gutes, macht diese Lösung da für mich nicht besser. Für mich ist das sogar ein Schalter, um eine geplante Obsoleszenz besser durchzudrücken. Aber die Welt steht drauf - zumindest habe ich diesen Eindruck.
Zitat von @Vision2015:
wir haben alleine im Forum 95% Exchange Admins, die sich kaum zu helfen wissen, und jetzt kommt MS und schaltet Dienste oder den ganzen App Pool des Exchange ab....
und von den 95% werden etwa 30% kein englisch lesen können.... das wird ja lustig
wir haben alleine im Forum 95% Exchange Admins, die sich kaum zu helfen wissen, und jetzt kommt MS und schaltet Dienste oder den ganzen App Pool des Exchange ab....
und von den 95% werden etwa 30% kein englisch lesen können.... das wird ja lustig
Ich finde diesen Kommentar eigentlich nur bedauerlich.
Die Wahrheit tut manchmal weh...
Frank
Die Wahrheit ist es nicht, die weh tut.
Es ist der negative, herablassende und in meinen Augen in einem Hilfeforum fehlplazierte Tenor, der da mitschwingt.
Dafür sucht man Hilfe. Egal wie gut man sich auskennen mag, so kann man wohl nicht alles wissen und auch nicht immer sofort nach dem Richtigen suchen.
Da kann man dankbar sein (und in meinen Augen sind das viele, die nach Hilfe suchen), wenn hin und wieder ein vorbehaltloser Augenöffner, ein gutgemeinter Ratschlag oder der Fingerzeig in die richtige Richtung einem einen guten, haltbaren Weg offenbaren.
Es ist der negative, herablassende und in meinen Augen in einem Hilfeforum fehlplazierte Tenor, der da mitschwingt.
Dafür sucht man Hilfe. Egal wie gut man sich auskennen mag, so kann man wohl nicht alles wissen und auch nicht immer sofort nach dem Richtigen suchen.
Da kann man dankbar sein (und in meinen Augen sind das viele, die nach Hilfe suchen), wenn hin und wieder ein vorbehaltloser Augenöffner, ein gutgemeinter Ratschlag oder der Fingerzeig in die richtige Richtung einem einen guten, haltbaren Weg offenbaren.
Zitat von @beidermachtvongreyscull:
Die Wahrheit ist es nicht, die weh tut.
Es ist der negative, herablassende und in meinen Augen in einem Hilfeforum fehlplazierte Tenor, der da mitschwingt.
Die Wahrheit ist es nicht, die weh tut.
Es ist der negative, herablassende und in meinen Augen in einem Hilfeforum fehlplazierte Tenor, der da mitschwingt.
Den Tenor interpretierst Du hinein. Tatsache ist, wie erst letztens in einen Threads festgestellt, daß manche Leute das Gelesene (in Deutsch!) anscheinend nicht verstehen und noch eine Weile rumeiern, bis sie irgendwann die Lösung "selbst finden", was genau dem entspricht, was die Forenteilnehmer demjenigen schon mehrmals geschrieben haben. Da darf man schonmal sarkastisch sein.
lks
Moin...
Dafür sucht man Hilfe. Egal wie gut man sich auskennen mag, so kann man wohl nicht alles wissen und auch nicht immer sofort nach dem Richtigen suchen.
ich denke, du hast nicht ansatzweise verstanden, was ich geschrieben habe, und warum!
Da kann man dankbar sein (und in meinen Augen sind das viele, die nach Hilfe suchen), wenn hin und wieder ein vorbehaltloser Augenöffner, ein gutgemeinter Ratschlag oder der Fingerzeig in die richtige Richtung einem einen guten, haltbaren Weg offenbaren.
ja.. und genau das mache ich ja auch... oder Installierst, bzw. flickst Du auch regelmäßig Exchange Server von Foren User zusammen, und das nebenbei und kostenlos? ich mache das regelmäßig, und das nebenbei in meiner Firma, wo wir für solche arbeiten Geld nehmen! und das wir sowiso in arbeit untergehen brauche ich nicht erwähnen!
aber ich mache es gerne... da brauchst du nicht rumzuzicken, denn ich glaube du hast wirklich nicht verstanden, warum ich das geschrieben habe!
Frank
Zitat von @beidermachtvongreyscull:
Die Wahrheit ist es nicht, die weh tut.
Es ist der negative, herablassende und in meinen Augen in einem Hilfeforum fehlplazierte Tenor, der da ich weiß nicht was bei dir so mitschwingt, es ist jedenfalls nicht das richtige!
ja.. es ist ein Hilfeforum, und es kann auch gut sein, du du mich doof findest, oder meine art nicht dein anklang findet, aber das ich hier nicht helfe, kann mir echt keiner nachsagen! nicht mal du!Die Wahrheit ist es nicht, die weh tut.
Es ist der negative, herablassende und in meinen Augen in einem Hilfeforum fehlplazierte Tenor, der da ich weiß nicht was bei dir so mitschwingt, es ist jedenfalls nicht das richtige!
Dafür sucht man Hilfe. Egal wie gut man sich auskennen mag, so kann man wohl nicht alles wissen und auch nicht immer sofort nach dem Richtigen suchen.
Da kann man dankbar sein (und in meinen Augen sind das viele, die nach Hilfe suchen), wenn hin und wieder ein vorbehaltloser Augenöffner, ein gutgemeinter Ratschlag oder der Fingerzeig in die richtige Richtung einem einen guten, haltbaren Weg offenbaren.
aber ich mache es gerne... da brauchst du nicht rumzuzicken, denn ich glaube du hast wirklich nicht verstanden, warum ich das geschrieben habe!
Frank
*Spoiler* Im nächsten CU kommt ein KiPo-Scanner und TPM 2.0 wird Voraussetzung.
1
