magicpeter

Moin Norbert, danke für deinen Kommentar. Ich will nur eine Absicherung bei einem Netzwerkausfall erreichen. Darum auch die 1 Gbit Karte als Standby. Das ist ein alter Kundenserver von 2017 der jetzt auf Windows 2019 upgedatet wird. Server: 2 x Xeon (8 Kerne), 128 GB Ram, 2x4 TB SSD & 2x8 TB HDD, 1 x 10 Gbit NIC & 2 x 1 Gbit NIC Moin Evgenij, das ist aber schade. Aber wenn das so ist werde ich das wohl mal lieber lassen. Danke dir...

Moin, ich würde gerne einen neuen Hyper-V ist Windows 2019 und 2 Netzwerkkarten aufbauen. Der Server hat eine 10 Gbit & eine 1 Gbit Karte diese würde ich jetzt im Hyper-V zu einem Team verbinden. Was ist hierfür jetzt der korrekte Teammodus dafür? Ich hätte jetzt die 1 Gbit Karte als Standbyadapter konfiguriert. Damit hätte ich dann die maximale Performance über die 10 Gbit Karte und im Notfall noch die 1 Gbit Karte. Ich hatte auch mal über Lastenausgleichmodus und Dynamisch nachgedacht, aber dort könnte es dann zu Leistungseinbussen kommen oder? Da die Karten ja unterschiedlich schnell sind. Was meinst Ihr?

Vielen Dank für die Infos. bin zur Zeit etwas im Stress. Vielen Dank für die Infos. bin zur Zeit etwas im Stress.

Ich lieb kurz und knapp. Was sind das denn für Benutzer?

Moin, ich würde gerne meine Exchange Server 2013 etwas aufräumen. Mit folgenden Benutzern kann ich nichts anfangen. Kann ich die deaktivieren oder gar löschen? - SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} - SystemMailbox{bb558c35-97f1-4cb9-8ff7-d53741dc928c} - SystemMailbox{1f05a927-b3bc-4e15-afef-eaaab254716b} - Migration.8f3e7716-2011-43e4-96b1-aba62d229136 - FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042 - Exchange_Online-ApplicationAccount - DiscoverySearchMailbox {D919BA05-46A6-415f-80AD-7E09334BB852} Danke für eure Hilfe.

Moin, danke für euere Antworten. Das habe ich mir schon fast gedacht. Also benötige ich 4 x Windows 2019 Std damit das dann MS Lizenzkonform ist. Das ist eine ganz schöne Abzocke. Da die VM´s ja nicht Produktiv laufen. Also bezahle ich für ein Backup. Bei einem Kunden mit 2 x Hyper-V und 6 VM´s würde das dann 6 x Windows 2019 Std. Lizenz deuten um alle beiden Maschinen korrekt zu lizenzieren. Da Lizenzen ja Geräte gebunden sind läßt sich da glaube ich nichts machen. Was kostet eine SA? Das lohnt sich glaube ich erst bei richtig vielen VM´s oder?

Moin, ich setze meisten 2 Hypes-V Server ein. Einer ist der Server wo sie Vm´s produktiv darauf laufen auf den andern sind nur die REcpliacte die jede Stunde darauf repliziert werden. Wir muss ich jetzt lizenzieren? Beispiel: Ein Hyper-V Windows 2019 Std. mit 4 Vm´s (Windows 2019 Std.) Darauf werden die Vm´s betrieben Dann noch einen Hyper-V Windows 2019 wo nur die VM´s im gestoppten Modus liegen. 3 x Windows 2019 Std. Lizenz Denn eine Windows 2019 Std. Lizenz reicht für 2 VM´s aus. Damit sollte auch alles lizensiert sein oder?

Moin Winmadness, das klingt doch schon mal sehr gut. Die Lancom Firewall setzt Intrusion Detection / Prevention System („IDS/IPS“) ein das ist so etwas ähnliches. Nur nicht so allgemein sondern sehr spezifisch. Das Intrusion Detection / Prevention System („IDS/IPS“) pflegt eine Datenbank bekannter Bedrohungen, um die Computer in Ihrem Netzwerk vor einem breiten Spektrum von feindlichen Angriffen zu schützen, Warnmeldungen auszugeben, wenn solche Bedrohungen festgestellt werden, und die Kommunikationsverbindung zu feindlichen Quellen zu beenden. Das System zur Erkennung und Bekämpfung von Netzwerkbedrohungen basiert auf Suricata. Seine Bedrohungsdatenbank besteht aus einem von ProofPoint bereitgestellten, ausführlichen Regelsatz. Dieser Regelsatz enthält eine Blacklist mit IP-Adressen, Muster zur Erkennung von Malware in Kommunikationsverbindungen, Muster für Netzwerk-Scans, Muster für Brute-Force-Angriffe und mehr. Im IDS-Modus generiert die IDS / IPS-Vorrichtung lediglich Warnmeldungen, wenn eine Regel auf den Datenverkehr zutrifft. Im IPS-Modus generiert die IDS / IPS-Vorrichtung Warnmeldungen und blockiert bösartigen Datenverkehr zusätzlich. Sobald Sie IDS / IPS aktivieren, sind alle Regeln standardmäßig aktiv. Falls Dienste fälschlicherweise im Netzwerk von IDS / IPS blockiert werden, können Sie die IDS / IPS-Vorrichtung so konfigurieren, dass sie die Regel ignoriert, die den falschen Alarm ausgelöst hat.

Oh, danke für deinen Input. Das mit dem Geo IP Filter zur Blockierung unberechtigter Anfragen find ich sehr interessant. Ich habe direkt einmal eine Support anfragen an Lancom gestellt. Wir setzen vorrangig die UF-200 von Lancom ein. Wie funktioniert bei dir das GeoBlocking? Mit welcher Firewall hast du das realisiert?

Ja, so ist es. Aber oft wird in einem solchen Fall dann auch mal der Server erneuert. Denn Windows Server 2012 mit einem Exchange 2013 sind ja auch nicht mehr die neuesten

OK, das ist auch eine Möglichkeit und auch noch eine sehr sichere.

Danke, dir... das klingt schon einmal nach einen guten Sicherheitskonzept was du da aufgebaut hast, Ich werde jetzt auch alles dicht machen. Dann werde ich mit der Geschäftsleitung über die weitere Optimierung / Vorgehensweise sprechen. Abwägen ob man mit den alten Servern und der eventuell nicht gefundenen Schadsoftware weiter arbeiten will. Das ist allein die Entscheidung der GL. Dann Entscheidung treffen und dann umsetzen: 1. Neuaufbau 1.1 Neuaufbau der Server & PC´s 1.2 Optimierung der Netzwerksicherheit 2. Risiko auf noch vorhandener Schadsoftware in Kauf nehmen 2.1 Weiterbetrieb der Server & PC´s 2.2 Optimierung der Netzwerksicherheit Optimierung der Netzwerksicherheit Exchange Server mit MTA in der Firewall absichern (Malware- & Spam-Proxy) Exchange Server absichern - alle Ports bis auf 25 schließen Passwörter im Active Directory ändern Weitere kontinuierliche automatische Überprüfung der Server E-Mail Anbindung externe Clients (iPhone, PC, etc) nur noch über VPN-Tunnel Malware-AbwehrSoftware erneuern (Malwarebytes für PC´s & Server)

Kennst du die Admin-Kennworte deiner Kunde nicht auswendig?

Das hört sich interessant an, aber ich interessiere mich extra für Malwarebytes weil diese Software alle Malware gefunden und entfernt hat in Zusammenhang mit Hafnium. Wie sieht es bei dir mit Hafnium aus? Hattest du einen entsprechenden Angriff? Hat deine ESET Software die erkannt? Danke für deinen Kommentar.

Danke für deinen Kommentar. Das Angebot habe ich bereits angefordert. Hat jemand Malwarebytes in seinem Netzwerk / Servern im Einsatz?

War bereits eingerichtet: Exchange Server mit MTA in der Firewall absichern 1. Der MTA ist auf der Firewall (Lancom UF-200) und prüft alle eingehenden E-Mails auf Schadsoftware und Spam. Wird jetzt auf jedem externen Client (PC, Mac, iPhone,etc) eingerichtet: Exchange Server absichern - Ports schließen VPN-Tunnel und iPhone Mail über VPN-Tunnel nutzen 1. Exchange Server Ports bis auf 25 in der DMZ schließen 2. Firewall VPN-Tunnel zum LAN / Exchange Server einrichten VPN-Konfigfile exportieren 3. OpenVPN Connect App auf dem iPhone einrichten kein besonderen Einstellung im VPN-Client/Konfigfile notwendig (DNS, Gateway) VPN-Konfigfile importieren 4. Exchange E-Mail Konto einrichten bestehende E-Mail Konten können weiter genutzt werden Danke dir für einen Kommentar, das hat mir sehr geholfen.

Das war nur ein Test mit dem Admin. Der Admin wird nur für Admin-Aufgaben genutzt. Mach die keine Sorgen, aber Danke trotzdem. Danke für euere Kommentare. Es funktioniert jetzt! Wenn man einen ganz normalen Nutzer nimmt, dann klappt das auch mit den E-Mail (Mail am iPhone durch den VPN-Tunnel) Ich hatte den Admin nur genutzt weil ich das Kennwort auswendig kenne und leider nicht für jeden anderen Benutzer in der Firma Exchange Server absichern - Ports schließen VPN-Tunnel und iPhone Mail über VPN-Tunnel nutzen 1. Exchange Server Ports bis auf 25 in der DMZ schließen 2. Firewall VPN-Tunnel zum LAN / Exchange Server einrichten VPN-Konfigfile exportieren 3. OpenVPN Connect App auf dem iPhone einrichten kein besonderen Einstellung im VPN-Client/Konfigfile notwendig (DNS, Gateway) VPN-Konfigfile importieren 4. Exchange E-Mail Konto einrichten bestehende E-Mail Konten können weiter genutzt werden

Ich habe mir mal den IIS Log angeschaut (%SystemDrive%\inetpub\logs\LogFiles) Werde aber nicht ganz schlau daraus. Es scheint so als wenn der Administrator dabei nicht Funktionieren würde. Ist das korrekt? Ich werde mal ein anderes Konto testen. Danke dir 2021-04-04 07:49:38 fe80::f0a5:a951:d836:dc3a%12 OPTIONS /Microsoft-Server-ActiveSync/Proxy/default.eas &Log=PrxFrom:fe80%3a%3af0a5%3aa951%3ad836%3adc3a%2512_V0_HH:remote.XXXXXXXXX-XXXXXXXXX.de_SmtpAdrs:administrator%40XXXXXXXXX.local_Cpo19000_Fet19031_Error:UserDisabledForSync_Mbx:ServerEX1.XXXXXXXXX.local_Dc:ServerDC1.XXXXXXXXX.local_SBkOffD:L%2f-470_TmRcv07:49:19.3856665_TmCmpl07:49:38.4169219_ActivityContextData:ActivityID%3de5416e58-3a6e-4de5-9e84-19ec43a81102%3bI32%3aATE.C%5bServerDC1.XXXXXXXXX.local%5d%3d2%3bF%3aATE.AL%5bServerDC1.XXXXXXXXX.local%5d%3d0%3bI32%3aADS.C%5bServerDC1%5d%3d2%3bF%3aADS.AL%5bServerDC1%5d%3d1.2466%3bS%3aWLM.Bal%3d480000%3bS%3aWLM.BT%3dEas_Budget:(D)Owner%3aSid%7eXXXXXXXXX%5cAdministrator%7eEas%7efalse%2cConn%3a0%2cMaxConn%3a10%2cMaxBurst%3a480000%2cBalance%3a480000%2cCutoff%3a600000%2cRechargeRate%3a1800000%2cPolicy%3aGlobalThrottlingPolicy%5F17e3e9bc-5a4e-4345-a943-6c8f1e96f21b%2cIsServiceAccount%3aFalse%2cLiveTime%3a00%3a00%3a19.0156514_ 444 XXXXXXXXX\Administrator fe80::f0a5:a951:d836:dc3a%12 Apple-iPhone10C6/1804.70 - 403 0 0 19031 2021-04-03 18:57:49 fe80::f0a5:a951:d836:dc3a%12 OPTIONS /Microsoft-Server-ActiveSync/Proxy/default.eas &Log=PrxFrom:fe80%3a%3af0a5%3aa951%3ad836%3adc3a%2512_V0_HH:remote.XXXXXXXXX-XXXXXXXXX.de_SmtpAdrs:administrator%40XXXXXXXXX.local_Cpo19000_Fet19031_Error:UserDisabledForSync_Mbx:ServerEX1.XXXXXXXXX.local_Dc:ServerDC1.XXXXXXXXX.local_SBkOffD:L%2f-470_TmRcv18:57:30.0992938_TmCmpl18:57:49.130555_ActivityContextData:ActivityID%3df3847cdd-b44e-495c-b5f1-f0187044c685%3bI32%3aATE.C%5bServerDC1.XXXXXXXXX.local%5d%3d2%3bF%3aATE.AL%5bServerDC1.XXXXXXXXX.local%5d%3d8%3bI32%3aADS.C%5bServerDC1%5d%3d2%3bF%3aADS.AL%5bServerDC1%5d%3d1.2015%3bS%3aWLM.Bal%3d480000%3bS%3aWLM.BT%3dEas_Budget:(D)Owner%3aSid%7eXXXXXXXXX%5cAdministrator%7eEas%7efalse%2cConn%3a0%2cMaxConn%3a10%2cMaxBurst%3a480000%2cBalance%3a480000%2cCutoff%3a600000%2cRechargeRate%3a1800000%2cPolicy%3aGlobalThrottlingPolicy%5F17e3e9bc-5a4e-4345-a943-6c8f1e96f21b%2cIsServiceAccount%3aFalse%2cLiveTime%3a00%3a00%3a19.0156511_ 444 XXXXXXXXX\Administrator fe80::f0a5:a951:d836:dc3a%12 Apple-iPhone10C6/1804.70 - 403 0 0 19031

Moin, danke für deinen Kommentar. Ja, ich nutze die OpenVPN App und der VPN-Server läuft auf einer Lancom UF-200 Firewall. Das OWA läuft bereits und funktioniert auch auf dem iPhone nur die E-Mails per Mail kommen nicht an. Das Konto habe ich bereits neuangelegt. Ändert aber nix. Die IIS Logs werde ich einmal prüfen.

Moin, da wir nach der Hafnium Attacke den Mailserver komplett nach außen zu gemacht haben wollte ich jetzt gerne über einen VPN-Tunnel auf den Exchange Server zugreifen. Kann nicht mit iPhone Mail per OpenVPN auf den ExchangeServer 2013 zugreifen. Leider klappt das noch nicht so ganz. Habe die ovpn-Konfigatrei schon erweitert um den DNS-Server und leite den gesamten Traffic über den VPN. dhcp-option DNS 192.168.30.121 dhcp-option DOMAIN xxxxxx.local redirect-gateway Ich kann bereits per Browser auf den Exchange Zugriefen, aber über das MailProgramm Klappt das noch nicht, Hat einer eine Idee wie ich das hinbekommen könnte. Danke euch

OK, über einen VPN-Tunnel arbeiten ja auch schon einige Benutzer mit Ihren Laptops aber ein iPhone hat bisher noch keinen VPN gehabt, aber warum nicht. Dann können alle Ports aus 25 zu bleiben und die Benutzer können trotzdem E-Mails abholen. Welche VPN-Lösung (App) nutzt du für das iPhone? Ich teste einmal die OpenVPN Connec‪t‬ App und sag euch wie es klappt.

Moin, nach der ganzen Hafnium Attacke hat uns Malwarebytes sehr gut geholfen die Malware wieder los zu werden. Kein anderes AniVirenprogramm von 7 getestet hat auch nur das gefunden was Malwarebytes gefunden und entfernt hat. Ich denke darüber nach jetzt auch auf unseren Servern auf Malwarebytes Endpoint Protection for Servers umzusteigen - Wer nutzt es und wer hat Erfahrung damit? Auf den PC´s nutze ich seit Jahren Malwarebytes und bin damit sehr zufrieden. Was kostet es, 20 PCs und einen Server mit 4 virtuellen Servern mit Malwarebytes zu schützen? Ich werde aus der Preisliste nicht ganz schlau. OK, Malwarebytes Endpoint Detection and Response für 20 Geräte kostet 1699,80 $ pro Jahr https://www.malwarebytes.com/pricing/business/ Endpoint Detection and Response for Servers kostet für einen Server 299.99 $ pro Jahr https://www.malwarebytes.com/business/edr/server-security/ Ich habe habe aber ingesamt 5 Server (1 HyperV und 4 VM´s) das wären dann ja 1499,95$ pro Jahr Das wären dann 1699,80 + 1499,95 = 3199,75€ pro Jahr Liege ich da richtig?

Moin, ja aber wenn der Kunde iPhones und Outlook auf seinem PC nutzen möchte sieht das schon schlecht aus oder? Gibt es da auch eine sichere Lösung? Patchen ist schon sehr wichtig. Wie erfährt man dann wenn neue Patches rauskommen? Wir Patchen einmal pro Monat alle Kunden durch. Das könnte aber schon zu spät sein bei einem Angriff wie Hafnium! Mein du so etwas wie Admin Tiers? https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sicherheit-teil-1/

Moin, so das Thema Hafnium haben wir ja jetzt vollständig durch oder? Mein Hafnium Post - war das ein Erlebnis!!! Nein, haben wir nicht! Was kann man tun, damit so etwas nicht mehr auftritt oder was kann man an der aktuellen Situation verbessern? Was sagt oder besser empfehlt ihr eueren Kunden? Da bin ich jetzt mal gespannt.

So alle Server laufen wieder und die Malware ist weg. Danke an alle für Ihre konstruktiven Eingaben War halt wie immer. Hier meine Vorgehensweise. Vielleicht hilft es ja jemanden bei der gleichen Aufgabenstellung / Bedrohung. Datensicherung aller Server - Veeam B&R Einspielen der MS Sicherheitsupdates - KB5000871 Überprüfung ob Angriff stattgefunden hat - Test-ProxyLogon.ps1 Isolierung Ihres Exchange Servers - Ports auf der Firewall geschlossen (443, 80, 987) Anwendung des MS Tool - Exchange On-Premises Minderungstool (EOMT) Überprüfen und Bereinigung des Aufgabenplaners Automatische Scripte erstellt - DNS-Updater, MS Safety Scanner, Malware Deleter Informationsschreiben erstellt und an alle betroffenen Kunden verschickt Systemüberprüfung auf Hacker & Malware - Thor Lite Scanner Monitoring-Tool installiert und system überwacht - Sysmon Überprüfung Active Directory - Benutzerberechtigung und - Änderung - repadmin Server mit Virus Removal Tool geprüfen und bereinigen - Sophos Removal Tool Server mit Virus Removal Tool prüfen und bereinigen - Kaspersky Removal Tool Server mit Virus Removal Tool prüfen und bereinigen - Microsoft Removal Tool Server mit Virus Removal Tool prüfen und bereinigen - ESET Removal Tool Server mit Virus Removal Tool prüfen und bereinigen - McAfee Removal Tool Server mit Virus Removal Tool prüfen und bereinigen - Norton Removal Tool Server mit Virus Removal Tool prüfen und bereinigen - Malwarebytes (hat die meisten Schädlinge gefunden und entfernt!!!!) Windows Firewall auf blockierte Ports & Veränderungen (Port 135 & 445) überprüfen VM mit Recovery Tool überprüft und bereinigt E-Mail Informationsspeicher auf Bedrohung überprüft Passwörter im Active Directory ändern sobald die Malware entfernt wurde Tägliche Überprüfung der Server auf weitere Bedrohung Weltweite permanente Recherche - Internet, Foren, Expertengruppen, Herstellerseiten, Kollegen, News Auswertung, Fachgespräche