Exchange Server: Separate OWA Virtual Directory

Während der Installation eines Exchange Servers, werden automatisch zwei virtuelle Verzeichnisse für Outlook on the Web, besser bekannt als Outlook Web App (OWA), angelegt. Eines für die Mailbox-Rolle und eines für den FrontEnd. Letzterer dient als direkter Zugriffspunkt für die Anwender und dieses ist oft gemeint, wenn von OWA die Rede ist. Über das OWA oder besser gesagt das äquivalente ECP Virtual Directory wird auch der Exchange Server verwaltet. Veröffentlicht man das Standard OWA im Internet, veröffentlicht man zwangsläufig auch das Exchange Admin Center (EAC) im Internet. Und die meisten Admins wollen das sicher nicht.

Darüber hinaus kann man mit dem nachfolgend beschriebenen Verfahren eigene OWA mit spezifischen Domänen erstellen, wenn man mehrere öffentliche Domänen hostet.

(mehr …)

Windows Server: Geoblocking mit Windows Firewall und Powershell

Wer seine Webseiten auf verdächtige Aktivitäten überwacht, stellt fest, dass sie permanenten Angriffen ausgesetzt sind. Der Einsatz aktueller Software, (Application) Firewalls und Intrusion Prevention Systeme (IPS) kann in den meisten Fällen vor erfolgreichen Angriffen schützen. Doch es gibt keinen hundertprozentigen Schutz, insbesondere wenn neue oder gänzlich unentdeckte Sicherheitslücken ausgenutzt werden. Nimmt man die Angriffe genauer unter die Lupe, finden sich immer wieder IP-Adressen aus Ländern wie China, Russland oder der Ukraine. Wer einen deutschsprachigen Blog wie ich betreibt, kann davon ausgehen, dass die Besucher eher aus dem deutschsprachigen Raum kommen. Warum also nicht die IP-Adressen anderer Länder sperren und somit den Angriffsvektor der eigenen Webseiten verringern?

(mehr …)

Windows Server: Sicherheit Webserver – IIS

Der Webserver Microsofts wird seit jeher belächelt, und das völlig zu Unrecht. Seit den Anfangsversionen hat sich viel getan. Sowohl in puncto Sicherheit als auch Performance. Er ist nicht ohne Grund unter den Top 3 der weltweit eingesetzten Webservern. Im zweiten Teil des Workshop “Sicherheit Webserver”, werden relevante Technologien des Internet Information Services (IIS), aktuell in Version 10, angesprochen und mit Beispielen näher gebracht, um den IIS abzusichern (Hardening).

(mehr …)

Windows Server: Sicherheit Webserver – Grundlagen

Webserver sind – gemäß ihrer Natur – einer permanenten Gefahr ausgesetzt: dem Internet. Der Server steht an vorderster Front und bildet ein beliebtes Ziel von Attacken aller Art. Man sollte sich der trügerischen Annahme, man sei kein lohnendes Ziel, nicht hingeben. Angreifer nutzen jede Möglichkeit, um ihre Ziele zu verfolgen: Verbreitung von Schadcode, Bildung von Botnetzen, Identitäts- und Datenklau, Erpressung, Spionage, politische Propaganda oder einfach nur Chaos verbreiten… die Liste ist lang. Den Windows Webserver gegen diese Gefahren abzusichern, ist Ziel dieses Workshops. Teil 1: Grundlagen.

(mehr …)

Windows Server: Installation von WordPress, IIS, PHP und MariaDB (MySQL)

Es gibt viele Anleitungen wie man WordPress unter Windows installiert. Viele beschränken sich dabei auf das Nötigste. Performance- und sicherheitsrelevante Hinweise werden dabei in den wenigsten Tutorials erwähnt. Der Begriff Windows besitzt zudem einen faden Beigeschmack: zu unsicher, zu langsam, zu kompliziert, zu fehleranfällig. Doch diese Zeiten sind längst vorbei. In dieser Anleitung wird die grundlegende Installation von WordPress auf einem Windows Server 2016 beschrieben. In nächster Zeit werden weiterführende Beiträge zum Thema Sicherheit und Performance erscheinen, um die Anleitung abzurunden.

(mehr …)

Gültigkeitsdauer Subordinate Certificate Authority

Um in einer Microsoft PKI (Public Key Infrastructure) die Gültigkeit des Zertifikats der untergeordneten Zertifizierungsstelle (Subordinate Certificate Authority, kurz Sub CA) zu ändern, greift man auf das Tool certutil.exe zurück. Es ist auf jedem Windows Server-Betriebssytem vorinstalliert. Die Gründe für eine Änderung können vielfältig sein und gründen auf der Philosophie und Sicherheitsanforderung der jeweiligen Firmen.

Sind besonders hohe Anforderungen gesetzt, kann man die Gültigkeitsdauer, standardmäßig bei 2 Jahre, herab-, bei geringeren Anforderungen, durch Nutzung neuerer Verschlüsselungsalgorithmen (bspw. SHA-2) oder Verwendung einer hohen Schlüssellänge (2048 Bit, 4096 Bit oder mehr) heraufsetzen. (mehr …)