Thursday, October 22, 2020
Hallo zusammen,
Ich bin per Zufall über folgendes PowerShell Modul gestolpert.
Microsoft Compliance Configuration Analyzer (MCCA)
https://github.com/OfficeDev/MCCA
Microsoft Compliance Configuration Analyzer (MCCA) Preview Module
https://www.powershellgallery.com/packages/MCCAPreview/1.2
Find-Module MCCA*
Install-Module -Name MCCAPreview
Den Report führt man folgendermassen aus
Import-Module MCCAPreview
Get-MCAReport
Anschliessend wird der Browser mit dem Report geöffnet. Das Ganze erinnert irgendwie an den O365 ATP Recommendend Configuration Analizer (ORCA)
Grüsse
Andres Bohren
Wednesday, October 21, 2020
Hallo zusammen,
Seit gestern Abend kann man Windows 10 20H2 oder October 2020 Update herunterladen.
Windows 10 October 2020 Update
https://www.microsoft.com/de-de/software-download/windows10
Ich habe mir das MediaCreationTool heruntergeladen
Installation
Das ISO kann anschliessend gemounted werden und die Installation von dort aus gestartet werden.
Nun kommt ein FullScreen mit folgendem Bildschirm
Aber eigentlich ist das nur die Setup App, welche einen Fullscreen macht, wie man in der folgenden Abbildung sieht.
Die ganze Installation. Start vom Setup bis zum Reboot dauert etwa 35-40 Minuten. Danach dauert es nochmals etwa eine halbe Stunde. Insgesamt dauerte die Installation etwa 70 Minuten.
Es war ja ungewiss, wie die Version genau heissen würde "Windows 10 20H2" oder "Windows 10 2010". Mit "winver" sieht man für was sich Microsoft entschieden hat.
Ich dachte eigentlich, dass das Startmenü transparent sein soll. Aber vielleicht liegt das an meiner Grafikkarte oder der CPU mit gewissen Befehlen die nicht unterstützt werden.
Bis auf Outlook haben alle Programme wieder funktioniert.
Aber das kann man sich ja einfach aus M365 wieder installieren.
Liebe Grüsse
Andres Bohren
Tuesday, October 20, 2020
Hallo zusammen,
Den meisten dürfte der Ausdruck "Least Privilege" bekannt sein. Dabei geht es darum, nur die für die Arbeit benötigten Berechtigungen zu besitzen und nicht mehr. Normalerweise werden dazu RBAC Rollen angelegt und der Account zu dieser Gruppe hinzugefügt.
Privileged Identity Management geht hier noch einen Schritt weiter, bei dem es Möglich ist, gewisse Rechte nur temporär zu aktivieren und nicht permanent zugewiesen zu haben. Das alles führt dazu, dass die Angriffsfläche kleiner wird und damit Risiko sinkt. Es können M365 und Azure Rollen darüber verwaltet werden.
What is Azure AD Privileged Identity Management?
https://docs.microsoft.com/en-us/azure/active-directory/privileged-identity-management/pim-configure#:~:text=Privileged%20Identity%20Management%20(PIM)%20is,Microsoft%20365%20or%20Microsoft%20Intune.
Deploy Azure AD Privileged Identity Management (PIM)
https://docs.microsoft.com/en-us/azure/active-directory/privileged-identity-management/pim-deployment-plan
Man benötigt dazu gewisse Lizenzen
-
Azure AD Premium P2
-
Enterprise Mobility + Security (EMS) E5
-
Microsoft 365 Education A5
-
Microsoft 365 Enterprise E5
PIM Berechtigungen anlegen
Um die Rollen anzulegen, welche später ausgewählt und aktiviert werden können muss man in "Manage Access" gehen.
Dort kann man eine Rolle auswählen
Nun kann man ein Assignment hinzufügen
Man muss den Benutzer auswählen, welcher die Rolle aktivieren kann.
Es gibt verschiedene Möglichkeiten. Entweder der Benutzer hat die Rolle immer zugeteilt "Active" oder er kann die Rolle Aktivieren "Eligible".
Oder man kann die Rolle nur für einen bestimmten Zeitraum auswählbar machen.
Privileged Identity Management benutzen
Und so sieht es für den Benutzer von Privileged Identity Management aus. Man klickt auf "My Roles"
Schaut sich unter "Eligible assignments" an welche Rollen zur Aktivierung zur Verfügung stehen. Mit "Activate" kann die Rolle aktiviert werden.
Dazu muss man einen Grund angeben. Damit wird es nachvollziehbar. Beispielsweise die Ticketnummer oder den Change.
Die Rolle wird aktiviert
Unter "Active Assignments" sieht man, dass ich nun die Rolle Exchange Administrator für die nächsten 8 Stunden habe
Gleichzeitig erhält man ein Mail mit der Bestätigung, dass die Rolle aktiviert wurde.
Grüsse
Andres Bohren
Hallo zusammen,
Heute wurde ein Security Update für ESXi 6.7 veröffentlicht.
VMSA-2020-0023
https://www.vmware.com/security/advisories/VMSA-2020-0023.html
Vmware Product Patches
https://my.vmware.com/group/vmware/patch#search
Das ZIP File wird über den Datastore Browser auf den ESXi Server raufgeladen.
Da ich einen Single ESXI Server habe, schalte ich erstmal alle VM's aus.
Nun kann der Patch installiert werden.
esxcli software vib install -d /vmfs/volumes/datastore3/ISO/ESXi670-202010001.zip
Nach dem Reboot des ESXi Hosts ist die korrekte Build Nummer 167773714 zu sehen
Dieses mal waren keine VMWare Tools upgrades notwendig.
Grüsse
Andres Bohren
Monday, October 19, 2020
Hallo zusammen,
Kürzlich hatte ich einen Fall, wo jemand mit SMTP Authentication einer Shared Mailbox über Exchange Online Mails versenden wollte.
Dazu müssen jedoch einige Bedingungen erfüllt sein:
- Username, Passwort und UPN der Shared Mailbox sind bekannt
- Passwort läuft nicht ab und muss nicht beim nächsten anmelden geändert werden
- SMTPAuth ist freigeschaltet (Set-CASMailbox)
- AuthenticationPolicy erlaubt SMTPAuth (Falls vorhanden)
- Conditional Access allows Basic Auth (No MFA / No BasicAuth Blocking)
- Shared Mailbox benötigt eine Lizenz
Ich habe mir dazu eine CloudOnly Shared Mailbox angelegt
Das geht natürlich auch mit Powershell
$pwd = "MySecredPassword" | ConvertTo-SecureString -AsPlainText -Force
$MBXName = "cloudservice"
New-Mailbox -Name $MBXName -Password $pwd -PrimarySmtpAddress $MBXName@icewolf.ch -alias $MBXName -LastName $MBXName -Shared
Man beachte, dass die UPN Suffix den Tenantnamen beinhaltet (tenant.onmicrosoft.com)
Das Passwort lässt sich auch über das AzureAD PowerShell Module setzen und dabei gleich die Passwort Policy anpassen.
#Set Password / Disable ForcePasswordChange
Import-Module AzureAD
Connect-AzureAD
Get-AzureADUser -SearchString "cloudservice"
Set-AzureADUserPassword -ObjectId 081deeea-d196-475a-a3cd-9cb6deaac666 -ForceChangePasswordNextLogin $false -EnforceChangePasswordPolicy $false
Diese Settings kann man sich auch mit folgendem Befehl anzeigen lassen - hier im Vergleich mit einer von OnPrem synchronisierten SharedMailbox
Get-AzureADUser -SearchString "cloudservice" | fl pass*
Nun muss der Mailbox SMTP Authentication erlaubt werden
#CAS Mailbox allow SMTPClientAutentication
Get-CASMailbox -Identity cloudservice
Set-CASMailbox -Identity cloudservice -SmtpClientAuthenticationDisabled $false
Falls man wie ich eine AuthenticationPolicy gebaut hat, muss dort SMTP Auth erlaubt sein
Get-AuthenticationPolicy | fl Name
Get-AuthenticationPolicy -Identity AllowBasicAutodiscoverEAS | fl
Diese AuthenticationPolicy muss nun noch dem User zugewiesen werden
Set-User -Identity cloudservice -AuthenticationPolicy "AllowBasicAutodiscoverEAS" -WarningAction SilentlyContinue
Get-User -Identity cloudservice| fl *Auth*
Der nächste Fallstrick kann noch Conditional Access sein. Der Benutzer muss von folgenden Richtlinien ausgeschlossen werden:
-
MFA Authentication Erforderlich
-
Basic Auth / Legacy Protokolle vorboten
-
CombindedSecurityRegistration
Der Einfachheit halber, habe ich mir eine AAD Gruppe angelet, mit den Accounts, welche von den Conditional Access Policies ausgeschlossen werden sollen. So kann ich dann immer die Gruppe als Exclusion angeben.
Ob die Firewall gesperrt ist kann man mit folgendem Befehl prüfen
Test-NetConnection -Port 587 -ComputerName smtp.office365.com
Getestet habe ich dann mit folgendem PowerShell Script
###############################################################################
# SMTP Auth via Powershell
###############################################################################
# Sender Credentials
$Username = "cloudservice@icewolfch.onmicrosoft.com"
$Password = "MySecredPassword"
# Sender and Recipient Info
$MailFrom = "cloudservice@icewolf.ch"
$MailTo = "a.bohren@icewolf.ch"
# Server Info
$SmtpServer = "smtp.office365.com"
$SmtpPort = "587"
#Message Stuff
$MessageSubject = "SMTP Auth Test"
$Message = New-Object System.Net.Mail.MailMessage $MailFrom,$MailTo
$Message.IsBodyHTML = $true
$Message.Subject = $MessageSubject
$Message.Body = @'
<!DOCTYPE html>
<html>
<head>
</head>
<body>
This is just a test Message.
</body>
</html>
'@
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
$Smtp = New-Object Net.Mail.SmtpClient($SmtpServer,$SmtpPort)
$Smtp.EnableSsl = $true
$Smtp.UseDefaultCredentials = $false
$Smtp.Credentials = New-Object System.Net.NetworkCredential($Username,$Password)
$Smtp.Send($Message)
Wie man sieht, klappt das nicht
In untenstehendem Artikel steht, dass man für SMTP Auth eine Lizenz braucht. Exchange Online Plan 2 Lizenzen genügen hier.
How to set up a multifunction device or application to send email using Microsoft 365 or Office 365
https://docs.microsoft.com/en-us/exchange/mail-flow-best-practices/how-to-set-up-a-multifunction-device-or-application-to-send-email-using-microsoft-365-or-office-365
Anschliessend muss man sich ein bisschen gedulden, bis die Lizenz aktiv wird. Danach klappt jedoch dann der Mailversand mit SMTP Auth
So sieht die Nachricht aus
Und in den Mailheadern sieht man, dass die Nachricht Authentifiziert versendet wurde.
SCL = -1
X-MS-Exchange-Organization-AuthAs = Internal
Grüsse
Andres Bohren
Hallo zusammen,
Vor etwa einem Monat wurde das neue Teams PowerShell Module V1.1.6 veröffentlicht.
Wie man sieht habe ich bereits ein paar Versionen vom Modul installiert. Geladen wird aber das neuste.
Get-Module MicrosoftTeams -ListAvailable
Get-Module
Find-Module MicrosoftTeams
Mit folgendem Befehl lassen sich die Befehle der Version 1.1.4 anzeigen
Get-Command -Module MicrosoftTeams
Um Module zu installieren, muss die PowerShell als Administator gestartet sein. Da ich ein PowerShell Profil habe, welches die Module beim Start lädt, muss ich die PowerShell als Admin und ohne Profil laden. Das geht am besten über ein als Administrator gestartetes cmd
Cmd (Als Administrator starten)
start powershell -noprofile -nologo
Nun müssen die alten Module deinstalliert werden. So lange, bis keine Module mehr vorhanden sind
Install-Module MicrosoftTeams
Nun kann das neue Modul installiert werden
Install-Module MicrosoftTeams-AllowClobber
Get-Module MicrosoftTeams -ListAvailable
Nun kann die PowerShell wieder als normaler Benutzer gestartet werden
Import-Module MicrosoftTeams
Get-Command -Module MicrosoftTeams
Es sind nur zwei neue Befehle dazugekommen
Wenn das Teams Modul geladen ist, kann man sich damit auch auf SkypeForBusiness Online verbinden. Man sieht, dass es sich dabei um einen REST API Endpunkt von Teams Handelt.
Import-Module MicrosoftTeams
New-CsOnlineSession -OverrideAdminDomain icewolfch.onmicrosoft.com
Get-PSSession | fl Name, Computername
Importiert man allerdings beide Module (Teams und Skype4B) - so hat das Command New-CsOnlineSession des Skype4Business Moduls Vorrang.
Import-Module MicrosoftTeams
Import-Module SkypeOnlineConnector
Get-Module
Get-Command New-CsOnlineSession
Grüsse
Andres Bohren
Saturday, October 17, 2020
Hallo zusammen,
Diese Woche wurde am Microsoft Patchday ein Security Update für Exchange 2016 CU18 veröffentlicht.
Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: October 13, 2020
https://support.microsoft.com/en-us/help/4581424/description-of-the-security-update-for-exchange-server-october-2020
Security Update For Exchange Server 2016 CU18 (KB4581424)
https://www.microsoft.com/en-us/download/details.aspx?id=102162
Das CU muss als Administrator ausgeführt werden. Ich starte dafür eine CMD (Als Administrator ausführen).
cmd
cd <DownloadDirectoryOfMSI>
Exchange2016-KB4581424-x64-en.msp
Grüsse
Andres Bohren
Friday, October 16, 2020
Hallo zusammen,
Über Flow habe ich eine Art Weiterleitung meiner Mails erstellt.
Die Regel ist relativ einfach. Wenn ein Mail in die Inbox kommt, erstelle ein neues Mail und sende das an die angegebene Emailadresse. Das ist zwar kein echtes Forwarding, kommt dem aber funktional eigentlich ziemlich nahe.
Wie man sieht funktioniert das. Egal was in den Forwarding Einstellungen von Exchange eingestellt ist.
Block forwarded Email from Power Automate
https://docs.microsoft.com/en-us/power-platform/admin/block-forwarded-email-from-power-automate
Schaut man sich die Nachrichtendetails an, so sieht man die X-Header für PowerAutomate und Flow. Anders als im obenstehenden Link steht da nicht "Forward", sondern "Send".
x-ms-mail-application: Microsoft Power Automate
x-ms-mail-operation-type: Forward / Send
Mit einer Exchange Transportregel kann man diese Mails zwar abfangen, aber es ist nicht ersichtlich ob das effektiv Forwardings sind oder eben legitime Notifications an externe Adressen aus einem Flow.
Der Schandensbericht mit der Kopie des Mail landet im angegebenen Postfach. Das sieht dann so aus.
Und das angehängte Mail sieht dann so aus. Man sieht darin leider nicht, dass es weitergeleitet wurde und von wem das Mail ursprünglich gekommen ist.
Fazit:
Es ist schon mal gut, dass ausgehende Nachrichten von Flow über den Exchange des Tenants versendet werden. So hat man überhaupt eine Chance die Nachrichten zu prüfen und allenfalls abzufangen.
Schwierig wird es weitergeleitete Nachrichten zu erkennen und diese zu blockieren.
Liebe Grüsse
Andres Bohren
Thursday, October 15, 2020
Hallo zusammen,
Diese Woche wurde am Microsoft Patchday wieder einmal ein Security Update für den Office Online Server veröffentlicht.
Grüsse
Andres Bohren
Description of the security update for Office Online Server: October 13, 2020
https://support.microsoft.com/en-us/help/4486674/security-update-for-office-online-server-october-13-2020
Security Update for Microsoft Office Online Server (KB4486674)
https://www.microsoft.com/en-us/download/details.aspx?id=102182
Tuesday, October 13, 2020
Hallo zusammen,
Manchmal braucht man rasch die TenantId eines Microsoft 365 Tenants. Beispielsweise um die WellKnownFolders auf OneDrive zu migrieren. Der schnellste weg dazu ist hier:
https://www.whatismytenantid.com/
Grüsse
Andres Bohren