Microsoft veröffent­lichte die für März ge­planten kumu­lativen Updates für Exchange 2012 bis 2019 bereits jetzt, um damit zwei Sicher­heits­probleme (CVE-2019-0686 und CVE-2019-0724) zu beheben. Es geht dabei um Push-Benach­richtigungen und AD-Berech­tigungen für Exchange-Server, wenn Shared Permissions verwendet werden.

Web-basierte Tools wie das Admin Center (WAC) eignen sich beson­ders, um Auf­gaben an Stan­dard­benutzer zu dele­gieren. In diesem Fall ist es wich­tig, deren Rechte auf das Nötig­ste zu be­schränken. Das WAC ver­fügt dafür über ein Rollen­konzept auf Basis von JEA, das Nicht-Admins die erfor­derlichen Rechte ein­räumt.

Mit PowerShell lassen sich die Berech­tigungen für Ordner in den Post­fächern zentral ver­walten. Die Namen vieler Ordner sind vom System vor­gegeben, so dass man diese aus dem Gedächtnis an ein Cmdlet über­geben kann. Kennt man die Ordner­namen aber nicht, dann kann PowerShell diese anzeigen.

Zu den Neuerungen von Exchange 2019 gehört ein erweitertes Kalender-Management. Diesem Zweck dient das PowerShell-Cmdlet Remove-CalendarEvents, mit dem Admins Be­sprechungen absagen können. Neu sind auch die Verknüpfung von Out-of-Office mit Kalender-Aktionen. Das Sperren der Weiter­leitung fehlt jedoch.

Auch wenn sich der Zu­griff auf frei­ge­gebene Ord­ner durch Berech­tigungen ein­schränken lässt, so bleiben doch Spiel­räume für Miss­brauch. Daher sollten IT-Verant­wort­liche in der Lage sein, ver­dächtige Aktivi­täten auf einem File-Server zu erkennen und not­falls wissen, wer wann auf welche Dateien zugegriffen hat.

Benutzer sollten nur die Zugriffs­rechte auf Ordner erhalten, die sie unbe­dingt benö­tigen. Ohne geeig­nete Tools lässt sich dieses Prin­zip aber kaum reali­sieren. Die Files­erver Manage­ment Suite sperrt Ver­zeich­nisse gegen einen Rechte­wild­wuchs und erlaubt Mit­arbeitern, Zugriff in einem Workflow zu beantragen.

Bei einer Migration von Exchange 2013 zu 2016 wurde die Anforderung an mich heran­ge­tragen, die öffent­lichen Ordner in Freigabe­post­fächer umzu­wandeln. Dabei sollte nicht nur ihre Struktur inklu­sive der In­halte, sondern auch die Berechti­gungen über­nommen werden. Letzteres erwies sich als der schwierigste Teil der Aufgabe.

Korrekt vergebene Zugriffs­rechte sind ein wichtiger Schutz gegen den Miss­brauch von sen­siblen Infor­mationen. Bei kom­plexen Ver­zeich­nis­struk­turen geben die meisten Bord­mittel dem Admin nicht den benö­tigten Überblick. Der Folder­Security­Viewer (FSV) soll diese Lücke mit vorkonfi­gurierten Reports schließen.

Seit Server 2016 ist es mög­lich, Be­nutzer tem­porär in AD-Gruppen aufzu­nehmen und so ihre Berech­tigungen zeit­lich zu be­schränken. Die Bord­mittel sehen dafür nur Power­Shell vor. Mein hier beschrie­benes Script bietet aber eine GUI, so dass auch tech­nisch nicht versierte User diese Aufgabe über­nehmen können.

Bei LAPS handelt es sich um ein kosten­loses Tool von Microsoft, das für lokale Admin-Konten auf jedem PC ein zufäl­liges Pass­wort erzeugt. Aller­dings kann man nicht so ein­fach erkennen, ob der Mecha­nismus auf jedem Rechner funk­tioniert. Abhilfe schafft hier ein PowerShell-Script, das einen Health-Report erstellt.