VMware hat Veeam Backup & Replication 9.5 Update 4b nun offiziell für vSphere 6.7 U3 freigegeben. Grundsätzlich wies Anton Gostev von Veeam kürzlich in einem Newsletter daraufhin, dass man sehr häufig Fragen in Richtung „Wird vSphere 6.5 U3 a/b/c/d…. unterstützt“ erhalte.
Die Antwort hier lautet prinzipiell Ja. Alle Builds der gleichen Plattform (z. B. vSphere 6.5 U3) werden immer unterstützt. Gostev vergleicht diese Builds bzw. Hotfixes mit Windows Updates, bei denen auch kein Unterschied gemacht wird. In über zwölf Jahren gab es dank der ausführlichen Tests der Veeam und VMware Teams gerade mal ein einziges Patch, dass zu Problemen führte.
Auf der letzten EUGO wies mich ein Teilnehmer auf die Freeware PingCastlehin. Mit diesem Tool können Administratoren ihre Active Directory Infrastruktur unkompliziert auf potentielle Sicherheitslücken überprüfen.
PingCastle – Ein portables Kommandozeilen-Tool
Das Tool läuft portabel, eine Installation ist nicht notwendig. Du startest das Tool per Kommandozeile, wahlweise gleich mit bestimmten Parametern wie einem bestimmten Scantyp. Somit eignet sich PingCastle auch wunderbar dafür, um in regelmäßigen Abständen innerhalb eines automatisierten Skript-Aufrufs abgearbeitet zu werden.
Anhand verschiedener Testszenarien kannst Du AD Domänen etwa einem Health Check in Bezug auf mögliche Sicherheitseinstellungen unterzogen. Die Ergebnisse des Scans werden am Ende als HTML Datei ausgegeben.
PingCastle: Auswahl möglicher Testszenarien
Prüfpunkte und Report vom PingCastle Scan
Innerhalb der Scan werden unterschiedene Prüfpunkte abgefragt. Dazu gehören unter anderem die Folgenden:
Sind die Sicherheitseinstellungen der Domänen-Controller korrekt gesetzt?
Existieren verwaiste Benutzerkonten?
Befinden Sich noch Windows Server 2003 in der eigenen Infrastruktur?
Existiert eine Password Policy für Serviceaccount?
Nachfolgend werden die einzelnen Prüfpunkte anhand ihres durch PingCastle festgelegten Risikogrades zu einer Gesamtbewertung summiert, welche Dir am Ende anhand von Gauge Charts anschaulich dargestellt werden: Grün bedeutet alles ist ok, spätestens im roten Bereich solltest Du als Admin aktiv werden. Die Grafiken eignen sich also sehr gut für eine Management-Präsentation, um Nicht-Technikern ein Gefühl für das Risiko im eigenen Unternehmen zu geben.
Gleichzeitig ist der Report aber sehr nützlich für Admins: Es wird nicht einfach nur ein Report mit ein paar bunten Bildern generiert. Du erhältst als Admin sehr praxisnah Hinweise für konkrete Maßnahmen und Links zu passenden Artikeln etwa im TechNet.
Für den internen Gebrauch kannst Du PingCastle kostenfrei einsetzen. Auditoren müssen eine kostenpflichtige Lizenz erwerben, die ab 2000 Euro beginnt. Insgesamt ist das Tool also eine Empfehlung, um einen guten Überblick über das eigene Active Directory und sein Umfeld zu bekommen.
An dieser Stelle greife ich einen interessanten Blogbeitrag von Bob Plankers auf, den ich vor einigen Tagen las und in welchem er das Thema Abwesenheitsnotiz als Sicherheitsrisiko thematisiert.
Das Thema an sich ist nicht neu und wurde etwa auch durch das BSI bereits vor Jahren im Maßnahmenkatalog aufgenommen. Dennoch ist es aus meiner Sicht sinnvoll, das Thema erneut zu betrachten und besonders im eigenen Unternehmen das Bewusstsein bei allen Anwendern zu schärfen.
Abwesenheitsnotiz – Licht und Schatten
Grundsätzlich erscheint die Funktion der Abwesenheitsnotiz in der E-Mail Applikation wie bspw. Outlook eine sinnvolle Funktion zu sein, um anderen Personen innerhalb und außerhalb des Unternehmens über die eigene Abwesenheit zu informieren. So soll vermieden werden, dass der Gegenüber auf eine Antwortet wartet, unter Umständen ergebnislos anruft oder schlicht einfach nur informiert wird.
Doch genau hier liegt auch eine Gefahr. Wird die Abwesenheitsnotiz an jeden Sender geschickt (oder besser gesagt „gestreut“), so werden unter Umständen nützliche Informationen an Spammer oder Angreifer preisgegeben. Die erhaltenen Informationen können dann z. B. für Social Engineering Angriffe missbraucht werden.
Welche Informationen werden preisgeben und welche Auswirkungen kann diese haben?
Ich habe schon unterschiedlichste Texte und Konstellationen von Abwesenheitsnotizen gesehen, egal ob von internen Kollegen oder von externen Kontakten. Oft wird es den Personen gar nicht direkt bewusst sein, welchen Informationsgehalt sie einem potentiellen Angreifer tatsächlich preisgeben.
Ich bin derzeit nicht im Büro: Zurzeit verwendet Alice ihren Computer nicht und auch ihre üblicherweise genutzten Benutzerkonten wie E-Mail, Banking etc. überprüft sie nicht. Wenn Trudy sie bzw. ihre Konten angreifen will, ist JETZT der beste Zeitpunkt dafür.
Genauso bietet sich ein Vorwand bei ihren Kollegen bspw. unter Verwendung von Social Engineering Methoden an, um einen Weg ins Unternehmen finden wollen
Ich bin vom 22.02.2019 bis zum 28.02.2019 nicht im Büro: Wie 1.). Darüber hinaus muss Trudy aber nicht befürchten, dass sie den Angriff genau zu dem Zeitpunkt startet, an dem Alice aus dem Urlaub oder von ihrer Dienstreise zurückkehrt. Alice teilt den Zeitraum mit, in welchem Trudy freie Bahn hat und sich ungestört umsehen und austoben kann
Ich wandere derzeit in den Bergen, bin am Meer oder sonst wo: Die Zusatzinfo erzeugt bei den Kontakte und Kollegen von im besten Fall ein „Die hat’s gut“, im schlechteren Fall erzeugt es Neid. Ernstere Folgen sind von der Seite aber vermutlich nicht zu erwarten. Gleichzeitig bietet Alice ihrer Angreiferin Trudy erneut weitere Details. Trudy könnte im Unternehmen anrufen und genau diese Details verwenden, um ihre Identität als Alice gegenüber David vom IT-Support zu untermauern (Alice möchte angeblich remote aus dem Urlaubsort zugreifen, hat aber ein Problem oder Ähnliches). Schließlich können ja nur die Kollegen, Freunde und Familie wissen, wohin es geht. Nö, auch der Angreifer weiß es jetzt J
In dringenden Fällen kontaktieren Sie bitte Frank unter +49 123 4567 oder frank@contoso.comSomit hat Alice nicht nur ihre Informationen preisgegeben, sondern auch noch Daten ihres Kollegen Frank. Trudy hätte im Normalfall nicht unbedingt eine direkte im Unternehmen. Jetzt hat sie aber die direkte Durchwahl von Frank und muss nicht mehr über die Vermittlung oder Zentrale versuchen einen Fuß in die Tür zu bekommen (oft sind die Mitarbeiter in der Zentrale stärker sensibilisiert und erfahrener, ungebetene Anrufer zurückzuweisen). Sie bekommt die Nebenstelle samt Namen auf dem Silbertablett serviert.
Auch hier könnte Trudy erneut per Social Engineering angreifen, sich als eine Kollegin ausgeben, die schnell etwas erledigen soll. Ist es kein direkter Angreifer, sondern „nur“ ein Spammer, kann die Datenbank um den Datensatz von Frank mit Name, E-Mail, Telefonnummer erweitert, benutzt oder verkauft werden.
Ich bin nicht mehr im Unternehmen beschäftigt, wenden Sie sich künftig an Frank. Diese Art von Abwesenheitsnotizen kann hin und wieder auch beobachtet werden. Einerseits hinterlässt solch eine Nachricht irgendwie einen faden Beigeschmack z. B. bei Kunden. Andererseits kann ein Trudy auch diese Information nutzen, die Identität der ehemaligen Mitarbeiterin Alice verwenden und in einem zweiten Standort des Unternehmens anrufen. Vielleicht hat die Personalabteilung die Information über Alice Unternehmensaustritt noch nicht an alle Abteilungen und Standorte weitergeben. Ein Kollege in einem anderen Standort weiß somit gar nicht, dass Alice nicht mehr im Unternehmen beschäftigt ist – nimmt aber gleichzeitig weiter Telefonanrufe von Trudys „Alice“ entgegen.
Welche Lösungsmöglichkeiten sind denkbar?
Auf den ersten Blick erscheint die Abwesenheitsnotiz als probates Mittel zur guten Organisation. Auf den zweiten Blick birgt die Funktion zahlreiche Sicherheitsrisiken.
Aus diesem Grund solltest Du in Deinem Unternehmen (aber auch privat) folgende Punkte beherzigen und auch Deine Anwender immer und immer wieder sensibilisieren:
Die Abwesenheitsnotiz sollte an den kleinstmöglichen Empfängerkreis gesendet werden. Selten erfordert eine eingehende E-Mail eine umgehende Antwort. Viele Mails können theoretisch auch Tage später beantwortet werden. Und die wichtigsten Kollegen sollten ohnehin über die Abwesenheit Bescheid wissen und sich somit nicht wundern, wenn keine direkte Antwort folgt.
Outlook bietet eine praktische Möglichkeit, erstens zwischen internen und externen Sendern zu unterscheiden. Eine Möglichkeit wäre etwa den Abwesenheitsagenten ausschließlich auf die Option Innerhalb meiner Organisation zu setzen. Externe Sender erhalten dann gar keine Nachricht.
Sollte das nicht möglich sein, bietet Outlook unter Außerhalb meiner Organisation die Möglichkeit, das Senden auf Nur meine Kontakte zu beschränken. Jenes sollte die meines Erachtens maximale Schwelle sein, die noch akzeptiert werden kann. Unter keinen Umständen sollte die Abwesenheitsnotiz an alle Sender gehen
Outlooks Abwesenheitsnotiz (Out-Of-Office Message): Halte den Versand so restriktiv wie möglich
Halte Dich an das „Principle of least privilege“ Egal welchen Grad Du, wie unter 1.) vorgeschlagen, wählst, die Abwesenheitsnachricht sollte so wenig Informationen wie nur irgend möglich enthalten. D. h. keine Informationen darüber preisgeben, wie lange Du abwesend bist oder wo Du bist. Auch sollten keinerlei interne Daten wie Namen von Kollegen, Nebenstellen oder E-Mail Adressen weitergeben werden.
Frage Dich, was ein Angreifer mit den Daten anfangen könnte. Hier würde ich maximal allgemeine Kontaktdaten wie die zentrale Telefonnummer der Zentrale (steht vermutlich eh im Telefonbuch) oder auf der Webseite ersichtliche E-Mail Adressen wie vertrieb@contoso.com
Bei längeren Abwesenheiten mit Postfachberechtigungen oder Weiterleitungen arbeiten Müssen E-Mails auch bei kürzeren Abwesenheiten bearbeitet werden (z. B. Vertrieb, Einkauf…), könnte eine denkbare Lösung auch sein, gar keine Abwesenheitsnotizen zu aktivieren. Stattdessen ist ein direkter Vertreter benannt, der das Aufgabengebiet des Abwesenden abdecken kann. In seinen Namen beantwortet der Vertreter dann alle (wichtigen) Mails an Kunden, Abteilungsleiter usw.
Zwei Bonus-Tipps im Allgemeinen – besonders für IT-Administratoren und abseits vom Sicherheitsrisikogerade für IT-Admins
Urlaub ist Urlaub. Für diesen Satz gibt es sicherlich Widerspruch, gerade wir IT-Admins sind oft bemüht, auch im Urlaub auf Mails zu antworten und unseren lieben Anwendern zu helfen. Hier kann ich mich dem Vorschlag nur anschließen, auf Mails außerhalb des eigenen Teams nie direkt zu antworten. Oft folgt dann auf die Antwort noch eine Mail und noch eine und noch eine.
Erreicht einen eine dringende Mail etwa von einem Abteilungsleiter oder Geschäftsführer, sollte die Mail an den Vertreter im eigenen Team mit der Bitte um Bearbeitung weitergeleitet werden. Dem Kollegen wird es vermutlich nur darum gehen, dass sein Problem gelöst wird. Und Du musst nicht stundenlang in Deinem Urlaub Mails tippen – im schlimmsten Fall auch noch auf dem Smartphone.
Dokumentationen überarbeiten. Wenn Du im Urlaub bist, läuft nix? Lass Deine Kollegen eine Liste erstellen, welche Aufgaben während Deiner Abwesenheit nicht erledigt werden konnten. Wie Bob Plankers in seinem Blogposting schreibt, bietet dies doch eine tolle Gelegenheit für Cross-Training im Team oder die Dokumentationen zu überarbeiten J
Fazit
Wie das leidige Thema mit Fake-Rechnungen musst Du als IT-Administrator oder IT-Verantwortlicher auch bei dem Sicherheitsrisiko Abwesenheitsnotiz die Anwender immer und immer wieder sensibilisieren. Vielfach sind sich die (oft nicht so IT-affinen) Kollegen den Risiken nicht bewusst.
Sie können nicht einschätzen, welche Tragweite die Weitergabe von derartigen Informationen durch die Verwendung von Social Engineering Techniken haben können. Mancher wird den Begriff Social Engineering nicht einmal gehört haben. Bekanntlich nützen am Ende alle technischen Raffinessen und Hürden wenig, wenn der Risikofaktor Mensch als schwächstes Glied in der Kette bleibt.
Nachdem das Update 4 von Veeam Backup & Replication 9.5 für VCSP-Partner bereits seit circa drei Wochen bereitsteht, stellte Veeam heute die finale Version vor.
Im Rahmen einer Keynote präsentierte das Team auf der Velocity 2019 in Orlando die neuen Funktionalitäten. Inklusive Live-Vorführung einzelner Features. Obgleich Live-Vorführungen immer ein kleines Wagnis sind (man erinnere sich an den Windows 98 USB Fail 🙂 ), klappte alles ohne Probleme. Ich habe mir die Vorträge über den Livestream auszugsweise angeschaut und einige Funktionalitäten sehen wirklich vielversprechend aus. Unter dem Motto Expanding Leadership in Cloud Data Management verwischen den Grenzen zwischen On-Premises und Cloud-Datenhaltung immer mehr.
Richtig cool war unter anderem das Instant Recovery einer virtuellen Maschinen, die direkt aus einem Backup in einem AWS S3 Storage gestreamt wurde. Neben dem bereits erwähnten neuen Feature Veeam Cloud Tier stellte Veeam DataLabs ein Highlight für mich da.
Einerseits unterstützt Veeam Administratoren dabei, ihre Backups DGSVO-konform zu halten (Recht auf Vergessen). Andererseits werden Funktionalitäten geboten, um etwa schlafende Ransomware effektiv unschädlich zu machen. Vor einem Restore wird das Backup-File mittels einer AntiVirus-Lösung auf verdächtige Schädlinge geprüft. Unterstützt werden aktuell die Engines vom Microsoft Windows Defender, Symantic Protection Engine und ESET NOD32.
Das waren für mich die Haupt-Highlights des heute veröffentlichten Update 4. Sämtliche Änderungen kannst Du in den Release Notes und dem What’s New Dokument nachlesen.
Auch für Veeam ONE wurden neue Features vorgestellt und das Update 4 heute veröffentlicht. Ein interessantes Feature für die Systemüberwachung ist die Möglichkeit, sich Heatmaps anzeigen zu lassen und somit potentielle Engpässe zu evaluieren. Für Veeam ONE gibt es ebenfalls Release Notes und ein What’s New Dokument.
Insgesamt ist auch dieses Update wieder vielversprechend. Mit jeder Version haut Veeam immer coolere Features raus. Kein Wunder also, dass man inzwischen ein wichtiger Partner von Microsoft und Amazon AWS ist, die sich im Rahmen der Keynote beide kurz zu Wort meldeten.
PingCastle liefert management-taugliche Gauge-Grafiken
