blog.icewolf.ch

Let's talk about IT!
posts - 1616, comments - 295, trackbacks - 0

My Links

Archives

Post Categories

icewolf

Thursday, October 22, 2020

Microsoft Compliance Configuration Analyzer (MCCA) Preview Module

Hallo zusammen,

Ich bin per Zufall über folgendes PowerShell Modul gestolpert.

Microsoft Compliance Configuration Analyzer (MCCA)

https://github.com/OfficeDev/MCCA

 

Microsoft Compliance Configuration Analyzer (MCCA) Preview Module

https://www.powershellgallery.com/packages/MCCAPreview/1.2

Find-Module MCCA*
Install-Module -Name MCCAPreview

Den Report führt man folgendermassen aus

Import-Module MCCAPreview
Get-MCAReport

Anschliessend wird der Browser mit dem Report geöffnet. Das Ganze erinnert irgendwie an den O365 ATP Recommendend Configuration Analizer (ORCA)

Grüsse

Andres Bohren

posted @ Thursday, October 22, 2020 10:53 AM | Filed Under [ Powershell O365 ]

Wednesday, October 21, 2020

Windows 10 20H2 GA

Hallo zusammen,

Seit gestern Abend kann man Windows 10 20H2 oder October 2020 Update herunterladen.

Windows 10 October 2020 Update

https://www.microsoft.com/de-de/software-download/windows10

Ich habe mir das MediaCreationTool heruntergeladen

Installation

Das ISO kann anschliessend gemounted werden und die Installation von dort aus gestartet werden.

Nun kommt ein FullScreen mit folgendem Bildschirm

Aber eigentlich ist das nur die Setup App, welche einen Fullscreen macht, wie man in der folgenden Abbildung sieht.

Die ganze Installation. Start vom Setup bis zum Reboot dauert etwa 35-40 Minuten. Danach dauert es nochmals etwa eine halbe Stunde. Insgesamt dauerte die Installation etwa 70 Minuten.

Es war ja ungewiss, wie die Version genau heissen würde "Windows 10 20H2" oder "Windows 10 2010". Mit "winver" sieht man für was sich Microsoft entschieden hat.

Ich dachte eigentlich, dass das Startmenü transparent sein soll. Aber vielleicht liegt das an meiner Grafikkarte oder der CPU mit gewissen Befehlen die nicht unterstützt werden.

Bis auf Outlook haben alle Programme wieder funktioniert.

Aber das kann man sich ja einfach aus M365 wieder installieren.

Liebe Grüsse
Andres Bohren

posted @ Wednesday, October 21, 2020 4:33 PM | Filed Under [ Windows ]

Tuesday, October 20, 2020

Privileged Identity Management

Hallo zusammen,

Den meisten dürfte der Ausdruck "Least Privilege" bekannt sein. Dabei geht es darum, nur die für die Arbeit benötigten Berechtigungen zu besitzen und nicht mehr. Normalerweise werden dazu RBAC Rollen angelegt und der Account zu dieser Gruppe hinzugefügt.

Privileged Identity Management geht hier noch einen Schritt weiter, bei dem es Möglich ist, gewisse Rechte nur temporär zu aktivieren und nicht permanent zugewiesen zu haben. Das alles führt dazu, dass die Angriffsfläche kleiner wird und damit Risiko sinkt. Es können M365 und Azure Rollen darüber verwaltet werden.

What is Azure AD Privileged Identity Management?

https://docs.microsoft.com/en-us/azure/active-directory/privileged-identity-management/pim-configure#:~:text=Privileged%20Identity%20Management%20(PIM)%20is,Microsoft%20365%20or%20Microsoft%20Intune.

 

Deploy Azure AD Privileged Identity Management (PIM)

https://docs.microsoft.com/en-us/azure/active-directory/privileged-identity-management/pim-deployment-plan

Man benötigt dazu gewisse Lizenzen

  • Azure AD Premium P2
  • Enterprise Mobility + Security (EMS) E5
  • Microsoft 365 Education A5
  • Microsoft 365 Enterprise E5

PIM Berechtigungen anlegen

Um die Rollen anzulegen, welche später ausgewählt und aktiviert werden können muss man in "Manage Access" gehen.

Dort kann man eine Rolle auswählen

Nun kann man ein Assignment hinzufügen

Man muss den Benutzer auswählen, welcher die Rolle aktivieren kann.

Es gibt verschiedene Möglichkeiten. Entweder der Benutzer hat die Rolle immer zugeteilt "Active" oder er kann die Rolle Aktivieren "Eligible".

Oder man kann die Rolle nur für einen bestimmten Zeitraum auswählbar machen.

Privileged Identity Management benutzen

Und so sieht es für den Benutzer von Privileged Identity Management aus. Man klickt auf "My Roles"

Schaut sich unter "Eligible assignments" an welche Rollen zur Aktivierung zur Verfügung stehen. Mit "Activate" kann die Rolle aktiviert werden.

Dazu muss man einen Grund angeben. Damit wird es nachvollziehbar. Beispielsweise die Ticketnummer oder den Change.

Die Rolle wird aktiviert

Unter "Active Assignments" sieht man, dass ich nun die Rolle Exchange Administrator für die nächsten 8 Stunden habe

Gleichzeitig erhält man ein Mail mit der Bestätigung, dass die Rolle aktiviert wurde.

Grüsse
Andres Bohren

posted @ Tuesday, October 20, 2020 10:42 PM | Filed Under [ Security O365 Azure ]

ESXi670-202010001

Hallo zusammen,

Heute wurde ein Security Update für ESXi 6.7 veröffentlicht.

VMSA-2020-0023

https://www.vmware.com/security/advisories/VMSA-2020-0023.html

 

Vmware Product Patches

https://my.vmware.com/group/vmware/patch#search

Das ZIP File wird über den Datastore Browser auf den ESXi Server raufgeladen.

Da ich einen Single ESXI Server habe, schalte ich erstmal alle VM's aus.

Nun kann der Patch installiert werden.

esxcli software vib install -d /vmfs/volumes/datastore3/ISO/ESXi670-202010001.zip

Nach dem Reboot des ESXi Hosts ist die korrekte Build Nummer 167773714 zu sehen

Dieses mal waren keine VMWare Tools upgrades notwendig.

Grüsse
Andres Bohren

posted @ Tuesday, October 20, 2020 9:56 PM | Filed Under [ Virtualisation ]

Monday, October 19, 2020

Exchange Online - Send Mail with SMTP Auth from a Shared Mailbox

Hallo zusammen,

Kürzlich hatte ich einen Fall, wo jemand mit SMTP Authentication einer Shared Mailbox über Exchange Online Mails versenden wollte.

Dazu müssen jedoch einige Bedingungen erfüllt sein:

  • Username, Passwort und UPN der Shared Mailbox sind bekannt
  • Passwort läuft nicht ab und muss nicht beim nächsten anmelden geändert werden
  • SMTPAuth ist freigeschaltet (Set-CASMailbox)
  • AuthenticationPolicy erlaubt SMTPAuth (Falls vorhanden)
  • Conditional Access allows Basic Auth (No MFA / No BasicAuth Blocking)
  • Shared Mailbox benötigt eine Lizenz

Ich habe mir dazu eine CloudOnly Shared Mailbox angelegt

Das geht natürlich auch mit Powershell

$pwd = "MySecredPassword" | ConvertTo-SecureString -AsPlainText -Force

$MBXName = "cloudservice"

New-Mailbox -Name $MBXName -Password $pwd -PrimarySmtpAddress $MBXName@icewolf.ch -alias $MBXName -LastName $MBXName -Shared

Man beachte, dass die UPN Suffix den Tenantnamen beinhaltet (tenant.onmicrosoft.com)

Das Passwort lässt sich auch über das AzureAD PowerShell Module setzen und dabei gleich die Passwort Policy anpassen.

#Set Password / Disable ForcePasswordChange
Import-Module AzureAD
Connect-AzureAD
Get-AzureADUser -SearchString "cloudservice"
Set-AzureADUserPassword -ObjectId 081deeea-d196-475a-a3cd-9cb6deaac666 -ForceChangePasswordNextLogin $false -EnforceChangePasswordPolicy $false

Diese Settings kann man sich auch mit folgendem Befehl anzeigen lassen - hier im Vergleich mit einer von OnPrem synchronisierten SharedMailbox

Get-AzureADUser -SearchString "cloudservice" | fl pass*

Nun muss der Mailbox SMTP Authentication erlaubt werden

#CAS Mailbox allow SMTPClientAutentication
Get-CASMailbox -Identity cloudservice
Set-CASMailbox -Identity cloudservice -SmtpClientAuthenticationDisabled $false

Falls man wie ich eine AuthenticationPolicy gebaut hat, muss dort SMTP Auth erlaubt sein

Get-AuthenticationPolicy | fl Name

Get-AuthenticationPolicy -Identity AllowBasicAutodiscoverEAS | fl

Diese AuthenticationPolicy muss nun noch dem User zugewiesen werden

Set-User -Identity cloudservice -AuthenticationPolicy "AllowBasicAutodiscoverEAS" -WarningAction SilentlyContinue
Get-User -Identity cloudservice| fl *Auth*

Der nächste Fallstrick kann noch Conditional Access sein. Der Benutzer muss von folgenden Richtlinien ausgeschlossen werden:

  • MFA Authentication Erforderlich
  • Basic Auth / Legacy Protokolle vorboten
  • CombindedSecurityRegistration

Der Einfachheit halber, habe ich mir eine AAD Gruppe angelet, mit den Accounts, welche von den Conditional Access Policies ausgeschlossen werden sollen. So kann ich dann immer die Gruppe als Exclusion angeben.

Ob die Firewall gesperrt ist kann man mit folgendem Befehl prüfen

Test-NetConnection -Port 587 -ComputerName smtp.office365.com

Getestet habe ich dann mit folgendem PowerShell Script

###############################################################################
# SMTP Auth via Powershell
###############################################################################
# Sender Credentials
$Username = "cloudservice@icewolfch.onmicrosoft.com"
$Password = "MySecredPassword"

# Sender and Recipient Info
$MailFrom = "cloudservice@icewolf.ch"
$MailTo = "a.bohren@icewolf.ch"

# Server Info
$SmtpServer = "smtp.office365.com"
$SmtpPort = "587"

#Message Stuff
$MessageSubject = "SMTP Auth Test"
$Message = New-Object System.Net.Mail.MailMessage $MailFrom,$MailTo
$Message.IsBodyHTML = $true
$Message.Subject = $MessageSubject
$Message.Body = @'
<!DOCTYPE html>
<html>
<head>
</head>
<body>
This is just a test Message.
</body>
</html>
'@

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
$Smtp = New-Object Net.Mail.SmtpClient($SmtpServer,$SmtpPort)
$Smtp.EnableSsl = $true
$Smtp.UseDefaultCredentials = $false
$Smtp.Credentials = New-Object System.Net.NetworkCredential($Username,$Password)
$Smtp.Send($Message)

Wie man sieht, klappt das nicht

In untenstehendem Artikel steht, dass man für SMTP Auth eine Lizenz braucht. Exchange Online Plan 2 Lizenzen genügen hier.

 

How to set up a multifunction device or application to send email using Microsoft 365 or Office 365

https://docs.microsoft.com/en-us/exchange/mail-flow-best-practices/how-to-set-up-a-multifunction-device-or-application-to-send-email-using-microsoft-365-or-office-365

Anschliessend muss man sich ein bisschen gedulden, bis die Lizenz aktiv wird. Danach klappt jedoch dann der Mailversand mit SMTP Auth

So sieht die Nachricht aus

Und in den Mailheadern sieht man, dass die Nachricht Authentifiziert versendet wurde.

SCL = -1

X-MS-Exchange-Organization-AuthAs = Internal

 

Grüsse
Andres Bohren

posted @ Monday, October 19, 2020 5:32 PM | Filed Under [ Exchange ]

New Teams PowerShell Module 1.1.6 includes Skype for Business Online

Hallo zusammen,

Vor etwa einem Monat wurde das neue Teams PowerShell Module V1.1.6 veröffentlicht.

Wie man sieht habe ich bereits ein paar Versionen vom Modul installiert. Geladen wird aber das neuste.

Get-Module MicrosoftTeams -ListAvailable

Get-Module

Find-Module MicrosoftTeams

Mit folgendem Befehl lassen sich die Befehle der Version 1.1.4 anzeigen

Get-Command -Module MicrosoftTeams

Um Module zu installieren, muss die PowerShell als Administator gestartet sein. Da ich ein PowerShell Profil habe, welches die Module beim Start lädt, muss ich die PowerShell als Admin und ohne Profil laden. Das geht am besten über ein als Administrator gestartetes cmd

Cmd (Als Administrator starten)

start powershell -noprofile -nologo

Nun müssen die alten Module deinstalliert werden. So lange, bis keine Module mehr vorhanden sind

 Install-Module MicrosoftTeams

Nun kann das neue Modul installiert werden

Install-Module MicrosoftTeams-AllowClobber
Get-Module MicrosoftTeams -ListAvailable

Nun kann die PowerShell wieder als normaler Benutzer gestartet werden

Import-Module MicrosoftTeams
Get-Command -Module MicrosoftTeams

Es sind nur zwei neue Befehle dazugekommen

  • New-CsOnlineSession
  • Get-CsOnlinePowerShellEndpoint

Wenn das Teams Modul geladen ist, kann man sich damit auch auf SkypeForBusiness Online verbinden. Man sieht, dass es sich dabei um einen REST API Endpunkt von Teams Handelt.

Import-Module MicrosoftTeams
New-CsOnlineSession -OverrideAdminDomain icewolfch.onmicrosoft.com
Get-PSSession | fl Name, Computername

Importiert man allerdings beide Module (Teams und Skype4B) - so hat das Command New-CsOnlineSession des Skype4Business Moduls Vorrang.

Import-Module MicrosoftTeams

Import-Module SkypeOnlineConnector

Get-Module

Get-Command New-CsOnlineSession

Grüsse
Andres Bohren

posted @ Monday, October 19, 2020 4:53 PM | Filed Under [ Powershell Teams ]

Saturday, October 17, 2020

Exchange 2016 CU18 Security Update KB4581424

Hallo zusammen,

Diese Woche wurde am Microsoft Patchday ein Security Update für Exchange 2016 CU18 veröffentlicht.

Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: October 13, 2020

https://support.microsoft.com/en-us/help/4581424/description-of-the-security-update-for-exchange-server-october-2020

 

Security Update For Exchange Server 2016 CU18 (KB4581424)

https://www.microsoft.com/en-us/download/details.aspx?id=102162

Das CU muss als Administrator ausgeführt werden. Ich starte dafür eine CMD (Als Administrator ausführen).

cmd
cd <DownloadDirectoryOfMSI>
Exchange2016-KB4581424-x64-en.msp

Grüsse
Andres Bohren

posted @ Saturday, October 17, 2020 1:13 AM | Filed Under [ Exchange ]

Friday, October 16, 2020

Detect and Block forwarded Mails from PowerAutomate and Flow

Hallo zusammen,

Über Flow habe ich eine Art Weiterleitung meiner Mails erstellt.

Die Regel ist relativ einfach. Wenn ein Mail in die Inbox kommt, erstelle ein neues Mail und sende das an die angegebene Emailadresse. Das ist zwar kein echtes Forwarding, kommt dem aber funktional eigentlich ziemlich nahe.

Wie man sieht funktioniert das. Egal was in den Forwarding Einstellungen von Exchange eingestellt ist.

 

Block forwarded Email from Power Automate

https://docs.microsoft.com/en-us/power-platform/admin/block-forwarded-email-from-power-automate

Schaut man sich die Nachrichtendetails an, so sieht man die X-Header für PowerAutomate und Flow. Anders als im obenstehenden Link steht da nicht "Forward", sondern "Send".

x-ms-mail-application: Microsoft Power Automate
x-ms-mail-operation-type: Forward / Send 

Mit einer Exchange Transportregel kann man diese Mails zwar abfangen, aber es ist nicht ersichtlich ob das effektiv Forwardings sind oder eben legitime Notifications an externe Adressen aus einem Flow.

Der Schandensbericht mit der Kopie des Mail landet im angegebenen Postfach. Das sieht dann so aus.

Und das angehängte Mail sieht dann so aus. Man sieht darin leider nicht, dass es weitergeleitet wurde und von wem das Mail ursprünglich gekommen ist.

Fazit:

Es ist schon mal gut, dass ausgehende Nachrichten von Flow über den Exchange des Tenants versendet werden. So hat man überhaupt eine Chance die Nachrichten zu prüfen und allenfalls abzufangen.

Schwierig wird es weitergeleitete Nachrichten zu erkennen und diese zu blockieren.

Liebe Grüsse
Andres Bohren

posted @ Friday, October 16, 2020 2:55 PM | Filed Under [ Exchange O365 ]

Thursday, October 15, 2020

Office Online Server Security Update KB4486674

Hallo zusammen,

Diese Woche wurde am Microsoft Patchday wieder einmal ein Security Update für den Office Online Server veröffentlicht.

Grüsse
Andres Bohren

Description of the security update for Office Online Server: October 13, 2020

https://support.microsoft.com/en-us/help/4486674/security-update-for-office-online-server-october-13-2020

 

Security Update for Microsoft Office Online Server (KB4486674)

https://www.microsoft.com/en-us/download/details.aspx?id=102182

posted @ Thursday, October 15, 2020 12:15 AM | Filed Under [ Office ]

Tuesday, October 13, 2020

M365 What's my tenant id?

Hallo zusammen,

Manchmal braucht man rasch die TenantId eines Microsoft 365 Tenants. Beispielsweise um die WellKnownFolders auf OneDrive zu migrieren. Der schnellste weg dazu ist hier:

https://www.whatismytenantid.com/

Grüsse
Andres Bohren

posted @ Tuesday, October 13, 2020 5:28 PM | Filed Under [ O365 ]

Powered by:
Powered By Subtext Powered By ASP.NET