6
Exchange 2019 CU14 - Was zu beachten ist
Moin,
wieder einmal ein schöner Exchange-Stunt von MS, dieses Mal freundlicherweise mit Vorwarnung.
Ausgangspunkt ist diese kritische Sicherheitslücke:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410
Die Lücke wird durch Installation des CU14 für Exchange 2019 geschlossen. Bestens, AAAABER: Mit der Installation wird die Extended Protection automatisch aktiviert, was je nach Szenario wieder einmal dazu führt, dass diverse Sachen nicht mehr funktionieren. Möchte ich also sicherstellen, dass auch weiterhin alles klappt, sollte ich mir tunlichst das hier durchlesen:
https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installa ...
Also Health Checker laufen lassen und dann ggf. nachkonfigurieren.
Ich muss also einmal wieder rumfrickeln, damit ich auch nach der Installation entspannt weiterarbeiten kann. Vielen Dank!
Gruß
wieder einmal ein schöner Exchange-Stunt von MS, dieses Mal freundlicherweise mit Vorwarnung.
Ausgangspunkt ist diese kritische Sicherheitslücke:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410
Die Lücke wird durch Installation des CU14 für Exchange 2019 geschlossen. Bestens, AAAABER: Mit der Installation wird die Extended Protection automatisch aktiviert, was je nach Szenario wieder einmal dazu führt, dass diverse Sachen nicht mehr funktionieren. Möchte ich also sicherstellen, dass auch weiterhin alles klappt, sollte ich mir tunlichst das hier durchlesen:
https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installa ...
Also Health Checker laufen lassen und dann ggf. nachkonfigurieren.
Ich muss also einmal wieder rumfrickeln, damit ich auch nach der Installation entspannt weiterarbeiten kann. Vielen Dank!
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 21000778152
Url: https://administrator.de/contentid/21000778152
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
Also bei uns werden Leute dafür bezahlt sich um das Produkt Exchange Server zu kümmern - hegen und pflegen. Es sollte jedem ITler im Jahr 2024 mehr als klar sein, dass es inzwischen kein Selbstläufer mehr ist. Sondern wiederkehrend Zeit (und ggf. auch Süßigkeiten) investiert werden muss. Wäre es lieber, dass solche Features nur mit Erscheinen einer neuen Version implementiert werden?
Gruß,
Dani
wieder einmal ein schöner Exchange-Stunt von MS, dieses Mal freundlicherweise mit Vorwarnung.
euch kann man es auch nicht mehr recht machen. Gibt es keine Vorwarnung und Doku, schreien alle. Gibt es eine Vorwarnung und Doku, ist es auch wieder nicht recht.Also bei uns werden Leute dafür bezahlt sich um das Produkt Exchange Server zu kümmern - hegen und pflegen. Es sollte jedem ITler im Jahr 2024 mehr als klar sein, dass es inzwischen kein Selbstläufer mehr ist. Sondern wiederkehrend Zeit (und ggf. auch Süßigkeiten) investiert werden muss. Wäre es lieber, dass solche Features nur mit Erscheinen einer neuen Version implementiert werden?
Mit der Installation wird die Extended Protection automatisch aktiviert, was je nach Szenario wieder einmal dazu führt, dass diverse Sachen nicht mehr funktionieren.
Ist ja nicht so, dass es dazu bereits mehrfach Ankündigungen und Terminverschiebungen gegeben hat... Wer erst wieder in letzter Minute aufwacht, läuft was schief. Ob das technischer, organisatorischer Natur ist, sei mal dahingestellt.Ich muss also einmal wieder rumfrickeln, damit ich auch nach der Installation entspannt weiterarbeiten kann. Vielen Dank!
Ist nicht das erste Mal, dass du dich negative äußerst. Warum kommt ein Produktwechsel für dich nicht in Frage?Gruß,
Dani
Moin Dani,
huch, da ist mein Beitrag aber übel aufgestoßen, so extrem negativ sollte das allerdings nicht rüberkommen...
Absolut korrekt, kein Widerspruch. Nur nervt es mich als Fast-Einzelkämpfer, dass ich mehr und mehr Zeit investieren muss, um solche Sachen abzudecken. Und nebenbei auch noch Infos zum Wie, Was und Warum nachlesen muss. Nicht falsch verstehen, ist nachwievor eine reizvolle Aufgabe. Das mittlerweile ziemlich jeder Patchday bei MS zur Nervenprobe wird, nun ja...
Mit Sicherheit bin ich da nicht der einzige Admin, wahrscheinlich lassen einige das dann aus Frust / Zeitmangel / Ignoranz einfach schleifen. Ob das im Sinne des Erfinders ist, sei dahingestellt. Aber hey, wir können ja alle in die Cloud wechseln, nicht wahr?
Tja, mein Tag hat 24 Stunden und der besteht nicht nur aus Arbeit.
Die Aussage finde ich jetzt ein wenig polemisch. Negative Äußerungen gibt es hier mehr als genug. Ganz normal, mal berechtigt, mal weniger. Liegt aber auch immer im Auge des Betrachters. Dieser Thread sollte auch der Information dienen, meinen Frust könnte ich leider nicht so gut verbergen, Verzeihung. Die Frage des Produktwechsels ist rhetorischer Natur?
Gruß
huch, da ist mein Beitrag aber übel aufgestoßen, so extrem negativ sollte das allerdings nicht rüberkommen...
Also bei uns werden Leute dafür bezahlt sich um das Produkt Exchange Server zu kümmern - hegen und pflegen. Es sollte jedem ITler im Jahr 2024 mehr als klar sein, dass es inzwischen kein Selbstläufer mehr ist. Sondern wiederkehrend Zeit (und ggf. auch Süßigkeiten) investiert werden muss. Wäre es lieber, dass solche Features nur mit Erscheinen einer neuen Version implementiert werden?
Absolut korrekt, kein Widerspruch. Nur nervt es mich als Fast-Einzelkämpfer, dass ich mehr und mehr Zeit investieren muss, um solche Sachen abzudecken. Und nebenbei auch noch Infos zum Wie, Was und Warum nachlesen muss. Nicht falsch verstehen, ist nachwievor eine reizvolle Aufgabe. Das mittlerweile ziemlich jeder Patchday bei MS zur Nervenprobe wird, nun ja...
Mit Sicherheit bin ich da nicht der einzige Admin, wahrscheinlich lassen einige das dann aus Frust / Zeitmangel / Ignoranz einfach schleifen. Ob das im Sinne des Erfinders ist, sei dahingestellt. Aber hey, wir können ja alle in die Cloud wechseln, nicht wahr?
Ist ja nicht so, dass es dazu bereits mehrfach Ankündigungen und Terminverschiebungen gegeben hat... Wer erst wieder in letzter Minute aufwacht, läuft was schief. Ob das technischer, organisatorischer Natur ist, sei mal dahingestellt.
Tja, mein Tag hat 24 Stunden und der besteht nicht nur aus Arbeit.
Ist nicht das erste Mal, dass du dich negative äußerst. Warum kommt ein Produktwechsel für dich nicht in Frage?
Die Aussage finde ich jetzt ein wenig polemisch. Negative Äußerungen gibt es hier mehr als genug. Ganz normal, mal berechtigt, mal weniger. Liegt aber auch immer im Auge des Betrachters. Dieser Thread sollte auch der Information dienen, meinen Frust könnte ich leider nicht so gut verbergen, Verzeihung. Die Frage des Produktwechsels ist rhetorischer Natur?
Gruß
Aloha,
wenn ich die Hinweise richtig verstanden habe, ist diese extended protection gerade bei Einzelkämpfern nicht wirklich ein Problem. Die diversen Hinweise beziehen sich fast alle auf mehrere Exchange Server innerhalb einer Organisation.
Die üblichen KMUs mit < 100 MA würden hier wohl eher eine einzelne Maschine haben und da passiert quasi nichts.
Einziger Stolperstein den ich sehe: SSL Offloading bei einer WAF und/oder unterschiedliche Zertifikate auf EX und WAF. Franky hat dazu mal was geschrieben:
https://www.frankysweb.de/windows-extended-protection-und-exchange-serve ...
Im Zweifel testen und wenn was nicht klappt wieder abschalten, ist per Powershell ja mit 2 Zeilen erledigt.
wenn ich die Hinweise richtig verstanden habe, ist diese extended protection gerade bei Einzelkämpfern nicht wirklich ein Problem. Die diversen Hinweise beziehen sich fast alle auf mehrere Exchange Server innerhalb einer Organisation.
Die üblichen KMUs mit < 100 MA würden hier wohl eher eine einzelne Maschine haben und da passiert quasi nichts.
Einziger Stolperstein den ich sehe: SSL Offloading bei einer WAF und/oder unterschiedliche Zertifikate auf EX und WAF. Franky hat dazu mal was geschrieben:
https://www.frankysweb.de/windows-extended-protection-und-exchange-serve ...
Im Zweifel testen und wenn was nicht klappt wieder abschalten, ist per Powershell ja mit 2 Zeilen erledigt.
1
Moin Drohnald,
"Einzelkämpfer" ist eher auf meine Arbeit bezogen, unser Exchange hat über 1200 Postfächer.
Ja, kann man so sehen, da der Angriff nur mit einem gültigen Account möglich ist. Könnte einem Angreifer aber trotzdem helfen, Stichwort "Lateral Movement". Wieder mal ein deutlicher Hinweis, dass 2FA umgesetzt werden sollte, da haben wir auch noch Nachholbedarf.
Das ist jetzt auch kein großes Problem, mich nervt einfach nur, dass es wieder einmal nicht reicht, gerade MS-Updates einzuspielen, sondern immer noch parallel nachgearbeitet werden muss, s.a. KB5034441. Hat aber ehrlicherweise etwas mit Tagesform zu tun. Wenn man den Tisch ohnehin schon voll hat und dann sowas liest, ist die Lunte gern mal etwas kürzer
Gruß
"Einzelkämpfer" ist eher auf meine Arbeit bezogen, unser Exchange hat über 1200 Postfächer.
Ja, kann man so sehen, da der Angriff nur mit einem gültigen Account möglich ist. Könnte einem Angreifer aber trotzdem helfen, Stichwort "Lateral Movement". Wieder mal ein deutlicher Hinweis, dass 2FA umgesetzt werden sollte, da haben wir auch noch Nachholbedarf.
Einziger Stolperstein den ich sehe: SSL Offloading bei einer WAF und/oder unterschiedliche Zertifikate auf EX und WAF. Franky hat dazu mal was geschrieben:
https://www.frankysweb.de/windows-extended-protection-und-exchange-serve ...
https://www.frankysweb.de/windows-extended-protection-und-exchange-serve ...
Das ist jetzt auch kein großes Problem, mich nervt einfach nur, dass es wieder einmal nicht reicht, gerade MS-Updates einzuspielen, sondern immer noch parallel nachgearbeitet werden muss, s.a. KB5034441. Hat aber ehrlicherweise etwas mit Tagesform zu tun. Wenn man den Tisch ohnehin schon voll hat und dann sowas liest, ist die Lunte gern mal etwas kürzer
Gruß
1
Moin,
Deiner Aussage entnehme ich, dass der Schmerz noch erträglich ist und du dich mit Alternativen nicht beschäftigt hast.
Gruß,
Dani
Absolut korrekt, kein Widerspruch. Nur nervt es mich als Fast-Einzelkämpfer, dass ich mehr und mehr Zeit investieren muss, um solche Sachen abzudecken. Und nebenbei auch noch Infos zum Wie, Was und Warum nachlesen muss. Nicht falsch verstehen, ist nachwievor eine reizvolle Aufgabe. Das mittlerweile ziemlich jeder Patchday bei MS zur Nervenprobe wird, nun ja...
Habe ich auch nicht behauptet bzw. darauf wollte ich nicht hinaus. Aber dann wäre es an der Zeit entsprechend Personal einzustellen und die Arbeitslast zu verteilen. Die Erkenntnis sollte dein AG auch haben und Maßnahmen ableiten. Weil nichts ist teurer als wenn jemand geht.Tja, mein Tag hat 24 Stunden und der besteht nicht nur aus Arbeit.
Ich mach auch nach +-35 Stunden Feierabend. Denn der Job, so gerne ich ihn größten Teils mache, ist nicht alles im Leben.Die Frage des Produktwechsels ist rhetorischer Natur?
Wollte damit herausfinden, wie groß dein Schmerz ist - nicht mehr, nicht weniger. Deiner Aussage entnehme ich, dass der Schmerz noch erträglich ist und du dich mit Alternativen nicht beschäftigt hast.Gruß,
Dani
Moin Dani,
Ja, das erzähl mal meinem Chef Ich kann den sogar verstehen, Kosten, Verfügbarkeit freier Mitarbeiter, technisches Unverständnis. Das ist leicht gesagt, aber wenn Du nicht gerade in nem sehr großen Laden sitzt, schwer abzubilden.
So isses, ich hab überhaupt kein Problem damit, mich auch mal abends daran zu machen, etwas umzusetzen. Vollkommen OK, solange es nicht jeder Abend ist. Gibt auch superinteressante Probleme, an denen ich mich gern festbeiße...
Ach Dani, da bin ich ja beruhigt, dass ich nicht häufiger negativ auffalle
Exchange ablösen - Was gilt es zu beachten
Viele Grüße und ein schönes Wochenende!
Aber dann wäre es an der Zeit entsprechend Personal einzustellen und die Arbeitslast zu verteilen. Die Erkenntnis sollte dein AG auch haben und Maßnahmen ableiten. Weil nichts ist teurer als wenn jemand geht.
Ja, das erzähl mal meinem Chef
Ich kann den sogar verstehen, Kosten, Verfügbarkeit freier Mitarbeiter, technisches Unverständnis. Das ist leicht gesagt, aber wenn Du nicht gerade in nem sehr großen Laden sitzt, schwer abzubilden.Ich mach auch nach +-35 Stunden Feierabend. Denn der Job, so gerne ich ihn größten Teils mache, ist nicht alles im Leben.
So isses, ich hab überhaupt kein Problem damit, mich auch mal abends daran zu machen, etwas umzusetzen. Vollkommen OK, solange es nicht jeder Abend ist. Gibt auch superinteressante Probleme, an denen ich mich gern festbeiße...
Wollte damit herausfinden, wie groß dein Schmerz ist - nicht mehr, nicht weniger. face-smile Deiner Aussage entnehme ich, dass der Schmerz noch erträglich ist und du dich mit Alternativen nicht beschäftigt hast.
Ach Dani, da bin ich ja beruhigt, dass ich nicht häufiger negativ auffalle
Exchange ablösen - Was gilt es zu beachten
Viele Grüße und ein schönes Wochenende!
