coreknabe
Goto Top

Exchange 2019 CU14 - Was zu beachten ist

Moin,

wieder einmal ein schöner Exchange-Stunt von MS, dieses Mal freundlicherweise mit Vorwarnung.

Ausgangspunkt ist diese kritische Sicherheitslücke:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410

Die Lücke wird durch Installation des CU14 für Exchange 2019 geschlossen. Bestens, AAAABER: Mit der Installation wird die Extended Protection automatisch aktiviert, was je nach Szenario wieder einmal dazu führt, dass diverse Sachen nicht mehr funktionieren. Möchte ich also sicherstellen, dass auch weiterhin alles klappt, sollte ich mir tunlichst das hier durchlesen:
https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installa ...

Also Health Checker laufen lassen und dann ggf. nachkonfigurieren.

Ich muss also einmal wieder rumfrickeln, damit ich auch nach der Installation entspannt weiterarbeiten kann. Vielen Dank!

Gruß

Content-ID: 21000778152

Url: https://administrator.de/forum/exchange-2019-cu14-was-zu-beachten-ist-21000778152.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

Dani
Dani 14.02.2024 aktualisiert um 20:26:51 Uhr
Goto Top
Moin,
wieder einmal ein schöner Exchange-Stunt von MS, dieses Mal freundlicherweise mit Vorwarnung.
euch kann man es auch nicht mehr recht machen. Gibt es keine Vorwarnung und Doku, schreien alle. Gibt es eine Vorwarnung und Doku, ist es auch wieder nicht recht.

Also bei uns werden Leute dafür bezahlt sich um das Produkt Exchange Server zu kümmern - hegen und pflegen. Es sollte jedem ITler im Jahr 2024 mehr als klar sein, dass es inzwischen kein Selbstläufer mehr ist. Sondern wiederkehrend Zeit (und ggf. auch Süßigkeiten) investiert werden muss. Wäre es lieber, dass solche Features nur mit Erscheinen einer neuen Version implementiert werden?

Mit der Installation wird die Extended Protection automatisch aktiviert, was je nach Szenario wieder einmal dazu führt, dass diverse Sachen nicht mehr funktionieren.
Ist ja nicht so, dass es dazu bereits mehrfach Ankündigungen und Terminverschiebungen gegeben hat... Wer erst wieder in letzter Minute aufwacht, läuft was schief. Ob das technischer, organisatorischer Natur ist, sei mal dahingestellt.

Ich muss also einmal wieder rumfrickeln, damit ich auch nach der Installation entspannt weiterarbeiten kann. Vielen Dank!
Ist nicht das erste Mal, dass du dich negative äußerst. Warum kommt ein Produktwechsel für dich nicht in Frage?


Gruß,
Dani
Coreknabe
Coreknabe 14.02.2024 um 22:23:14 Uhr
Goto Top
Moin Dani,

huch, da ist mein Beitrag aber übel aufgestoßen, so extrem negativ sollte das allerdings nicht rüberkommen...

Also bei uns werden Leute dafür bezahlt sich um das Produkt Exchange Server zu kümmern - hegen und pflegen. Es sollte jedem ITler im Jahr 2024 mehr als klar sein, dass es inzwischen kein Selbstläufer mehr ist. Sondern wiederkehrend Zeit (und ggf. auch Süßigkeiten) investiert werden muss. Wäre es lieber, dass solche Features nur mit Erscheinen einer neuen Version implementiert werden?

Absolut korrekt, kein Widerspruch. Nur nervt es mich als Fast-Einzelkämpfer, dass ich mehr und mehr Zeit investieren muss, um solche Sachen abzudecken. Und nebenbei auch noch Infos zum Wie, Was und Warum nachlesen muss. Nicht falsch verstehen, ist nachwievor eine reizvolle Aufgabe. Das mittlerweile ziemlich jeder Patchday bei MS zur Nervenprobe wird, nun ja...
Mit Sicherheit bin ich da nicht der einzige Admin, wahrscheinlich lassen einige das dann aus Frust / Zeitmangel / Ignoranz einfach schleifen. Ob das im Sinne des Erfinders ist, sei dahingestellt. Aber hey, wir können ja alle in die Cloud wechseln, nicht wahr?

Ist ja nicht so, dass es dazu bereits mehrfach Ankündigungen und Terminverschiebungen gegeben hat... Wer erst wieder in letzter Minute aufwacht, läuft was schief. Ob das technischer, organisatorischer Natur ist, sei mal dahingestellt.

Tja, mein Tag hat 24 Stunden und der besteht nicht nur aus Arbeit.

Ist nicht das erste Mal, dass du dich negative äußerst. Warum kommt ein Produktwechsel für dich nicht in Frage?

Die Aussage finde ich jetzt ein wenig polemisch. Negative Äußerungen gibt es hier mehr als genug. Ganz normal, mal berechtigt, mal weniger. Liegt aber auch immer im Auge des Betrachters. Dieser Thread sollte auch der Information dienen, meinen Frust könnte ich leider nicht so gut verbergen, Verzeihung. Die Frage des Produktwechsels ist rhetorischer Natur?

Gruß
Drohnald
Drohnald 15.02.2024 um 08:04:23 Uhr
Goto Top
Aloha,

wenn ich die Hinweise richtig verstanden habe, ist diese extended protection gerade bei Einzelkämpfern nicht wirklich ein Problem. Die diversen Hinweise beziehen sich fast alle auf mehrere Exchange Server innerhalb einer Organisation.
Die üblichen KMUs mit < 100 MA würden hier wohl eher eine einzelne Maschine haben und da passiert quasi nichts.

Einziger Stolperstein den ich sehe: SSL Offloading bei einer WAF und/oder unterschiedliche Zertifikate auf EX und WAF. Franky hat dazu mal was geschrieben:
https://www.frankysweb.de/windows-extended-protection-und-exchange-serve ...

Im Zweifel testen und wenn was nicht klappt wieder abschalten, ist per Powershell ja mit 2 Zeilen erledigt.
Coreknabe
Coreknabe 15.02.2024 um 11:02:14 Uhr
Goto Top
Moin Drohnald,

"Einzelkämpfer" ist eher auf meine Arbeit bezogen, unser Exchange hat über 1200 Postfächer.

Ja, kann man so sehen, da der Angriff nur mit einem gültigen Account möglich ist. Könnte einem Angreifer aber trotzdem helfen, Stichwort "Lateral Movement". Wieder mal ein deutlicher Hinweis, dass 2FA umgesetzt werden sollte, da haben wir auch noch Nachholbedarf.

Einziger Stolperstein den ich sehe: SSL Offloading bei einer WAF und/oder unterschiedliche Zertifikate auf EX und WAF. Franky hat dazu mal was geschrieben:
https://www.frankysweb.de/windows-extended-protection-und-exchange-serve ...

Das ist jetzt auch kein großes Problem, mich nervt einfach nur, dass es wieder einmal nicht reicht, gerade MS-Updates einzuspielen, sondern immer noch parallel nachgearbeitet werden muss, s.a. KB5034441. Hat aber ehrlicherweise etwas mit Tagesform zu tun. Wenn man den Tisch ohnehin schon voll hat und dann sowas liest, ist die Lunte gern mal etwas kürzer face-wink

Gruß
Dani
Dani 15.02.2024 aktualisiert um 16:42:28 Uhr
Goto Top
Moin,
Absolut korrekt, kein Widerspruch. Nur nervt es mich als Fast-Einzelkämpfer, dass ich mehr und mehr Zeit investieren muss, um solche Sachen abzudecken. Und nebenbei auch noch Infos zum Wie, Was und Warum nachlesen muss. Nicht falsch verstehen, ist nachwievor eine reizvolle Aufgabe. Das mittlerweile ziemlich jeder Patchday bei MS zur Nervenprobe wird, nun ja...
Habe ich auch nicht behauptet bzw. darauf wollte ich nicht hinaus. Aber dann wäre es an der Zeit entsprechend Personal einzustellen und die Arbeitslast zu verteilen. Die Erkenntnis sollte dein AG auch haben und Maßnahmen ableiten. Weil nichts ist teurer als wenn jemand geht.

Tja, mein Tag hat 24 Stunden und der besteht nicht nur aus Arbeit.
Ich mach auch nach +-35 Stunden Feierabend. Denn der Job, so gerne ich ihn größten Teils mache, ist nicht alles im Leben.

Die Frage des Produktwechsels ist rhetorischer Natur?
Wollte damit herausfinden, wie groß dein Schmerz ist - nicht mehr, nicht weniger. face-smile Deiner Aussage entnehme ich, dass der Schmerz noch erträglich ist und du dich mit Alternativen nicht beschäftigt hast.


Gruß,
Dani
Coreknabe
Coreknabe 16.02.2024 aktualisiert um 13:52:42 Uhr
Goto Top
Moin Dani,

Aber dann wäre es an der Zeit entsprechend Personal einzustellen und die Arbeitslast zu verteilen. Die Erkenntnis sollte dein AG auch haben und Maßnahmen ableiten. Weil nichts ist teurer als wenn jemand geht.

Ja, das erzähl mal meinem Chef face-wink Ich kann den sogar verstehen, Kosten, Verfügbarkeit freier Mitarbeiter, technisches Unverständnis. Das ist leicht gesagt, aber wenn Du nicht gerade in nem sehr großen Laden sitzt, schwer abzubilden.

Ich mach auch nach +-35 Stunden Feierabend. Denn der Job, so gerne ich ihn größten Teils mache, ist nicht alles im Leben.

So isses, ich hab überhaupt kein Problem damit, mich auch mal abends daran zu machen, etwas umzusetzen. Vollkommen OK, solange es nicht jeder Abend ist. Gibt auch superinteressante Probleme, an denen ich mich gern festbeiße...

Wollte damit herausfinden, wie groß dein Schmerz ist - nicht mehr, nicht weniger. face-smile Deiner Aussage entnehme ich, dass der Schmerz noch erträglich ist und du dich mit Alternativen nicht beschäftigt hast.

Ach Dani, da bin ich ja beruhigt, dass ich nicht häufiger negativ auffalle face-big-smile
Exchange ablösen - Was gilt es zu beachten

Viele Grüße und ein schönes Wochenende!