Microsoft brengt tool uit om Exchange-servers met enkele klik te fiksen

Microsoft heeft een tool beschikbaar gesteld waarmee de kritieke kwetsbaarheden in Exchange-servers met een enkele klik te fiksen zijn. Het gaat om een tijdelijke oplossing die bedoeld is voor kleine bedrijven zonder systeembeheerders.

De One-Click Microsoft Exchange On-Premises Mitigation Tool automatiseert het patchen van de Exchange-kwetsbaarheden en zorgt er ook voor dat eventuele aanpassingen die zijn gemaakt teruggedraaid worden. Volgens Microsoft is de tool bedoeld voor kleine bedrijven die bijvoorbeeld geen eigen IT-beheer hebben en daardoor hun Exchange-servers nog niet hebben gepatcht.

Microsoft heeft de tool getest met Exchange Server 2013, 2016 en 2019. Het bedrijf benadrukt dat het gaat om een tijdelijke oplossing. Na het doorvoeren van de fix moeten de kwestbare Exchange-servers nog geüpdatet worden. Ook waarschuwt Microsoft dat de tool werkt tegen bekende aanvallen die tot dusver zijn waargenomen, maar dat er geen garantie is dat deze ook toekomstige aanvallen kan tegenhouden. Meer technische informatie en richtlijnen voor het gebruik van de tool staan op GitHub.

Begin maart bracht Microsoft patches uit voor zerodays in Exchange. Die kwetsbaarheden hebben geresulteerd in honderdduizenden infecties wereldwijd volgens beveiligingsonderzoekers. Een week na het vrijgeven van de patches was 40 procent van de Exchange-servers in Nederland nog kwetsbaar volgens het NCSC. Nadat er op 10 maart een proof-of-concept is verschenen voor het misbruiken van de kwetsbaarheden, is het risico op infectie verder toegenomen.

Reacties (74)

Keypunchie 16 maart 2021 11:43

Bedrijven zonder (gedegen) systeembeheerders moeten geen eigen Exchange runnen!

Alsjeblieft, gebruik dan een SaaS oplossing, zoals Office 365, Google Apps of een van de andere meer niche partijen...

Alle ellende van patching en infrabeheer wordt je uit handen genomen. Je hebt alleen een functionele admin nodig en je kunt lekker klikken.

Tha Render_2 @Keypunchie • 16 maart 2021 11:54

Ik volg je maar je vergeet 1 detail, als je AD Connect gebruikt om je on-premise AD gebruikers te syncen naar O365, dan heb je volgens Microsoft nog steeds een on-premise hybrid Exchange server nodig, anders zit je in een not-supported omgeving! Dit is iets dat al jaren aangeklaagd wordt bij Microsoft maar ze maar niet willen wijzigen/oplossen. En ja, vele kleine bedrijven hebben gewoon nog een standaard AD omgeving omdat een volledige migratie naar bijvoorbeeld Azure AD only implicaties heeft op hun business applicaties die vaak outdated zijn en niet overweg kunnen met modern authentication. Dus, velen zitten wel op O365/Exchange Online maar hebben nog een hybrid Exchange on-prem draaien voor management & SMTP relay. Nu kan je daar het risico enorm naar beneden halen als je je firewall deftig inregelt, zo'n hybrid Exchange server heeft enkel connectie nodig naar Exchange Online en die IP ranges zijn te vinden in de documentatie van Microsoft waardoor die hybrid Exchange server niet te bereiken valt door kwaadwilligen. Maar goed, we hebben het hier over kleine bedrijven dus die firewall regels heb ik nog niet vaak gezien want .. het werkt toch?

Shinoki @Tha Render_2 • 16 maart 2021 11:57

Ik ben wel even heel benieuwd waar je die requirement ziet staan.

Old Swartly @Shinoki • 16 maart 2021 12:07

https://docs.microsoft.co...-servers-from-on-premises
relevante quote: 'When directory synchronization is enabled for a tenant and a user is synchronized from on-premises, most of the attributes cannot be managed from Exchange Online and must be managed from on-premises. This is not due to the hybrid configuration, but it occurs because of directory synchronization. In addition, even if you have directory synchronization in place without running the Hybrid Configuration Wizard, you still cannot manage most of the recipient tasks from the cloud.'

[Reactie gewijzigd door Old Swartly op 23 juli 2024 15:47]

Arvado @Old Swartly • 16 maart 2021 12:18

Dit is geen requirement. Wij hebben tientallen omgevingen met AD Connect zonder on-prem Exchange. Dit zou het totale nut van AD Connect icm O365 opheffen. Ze zeggen alleen dat je bepaalde zaken van de AD moet regelen.

Dat klopt ook. Aliassen moet je bijvoorbeeld toevoegen door Proxyaddressses te bewerken in de Atribute editor.

Alles werkt maar is soms omslachtiger. Het is meer iets om rekening mee te houden maar het is zeker geen requirement.

Old Swartly @Arvado • 16 maart 2021 12:21

Je hebt gelijk hoor, maar als je een supported omgeving wil is het een requirement. Je kan ook heel AD managen vanuit ADSI edit, maar als het misgaat ben je de pineut. Misschien dat kleinere bedrijven hier sneller mee weg komen doordat ze uberhaupt geen support van MS ontvangen maar de kans dat je iets fout doet wordt veel groter bij handmatig bijhouden van dit soort attributen.

Arvado @Old Swartly • 16 maart 2021 12:35

Dat klopt inderdaad. Maar ik kan me niet herinneren dat we ooit support nodig gehad hebben voor AAD Connect. Zoveel kan er ook niet mis gaan en mocht dat wel zo zijn is het vrij eenvoudig op te lossen. Soms even wat zoeken maar echte serieuze problemen hebben wij er volgens mij nooit mee gehad.

The Zep Man

Besturingssystemen
Networking en security
Microsoft

@Arvado • 16 maart 2021 12:59

Zoveel kan er ook niet mis gaan

Famous last words.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 15:47]

Arvado @The Zep Man • 16 maart 2021 13:02

Ik durf hem aan

Tha Render_2 @Shinoki • 16 maart 2021 12:08

Meerdere docu's van Microsoft maar snel eentje op de smartphone: https://docs.microsoft.co...hange?redirectedfrom=MSDN

Azure AD Connect will synchronize your on-premises credentials with the cloud. If you don't have any on-premises mailbox(es), you can safely decommission most of your exchange server(s), leaving one or more for user management purposes, because the source of authority is still defined as on-premises.

EiT @Tha Render_2 • 16 maart 2021 12:53

Onze IT dienstverlener kwam daar ook mee aankakken toen wij van Citrix naar Azure gingen.
Even een keer hard gelachen en ze vertelt dat dit echt niet ging gebeuren. Wij zitten al jaren op Exchange Online omgeving en dan nu in een keer weer terug de tijd in? Dacht het niet.
Achteraf bleek de noodzaak helemaal niet zo hoog, maar ja “we doen het altijd zo…”

MrJames @Tha Render_2 • 16 maart 2021 12:10

Dit klopt niet. Je kunt met AD connect naar AAD syncen. Daar heb je geen hybrid exchange voor nodig. Je maakt het wel erg prijzig

Tha Render_2 @MrJames • 16 maart 2021 12:13

Lees mijn bericht eens goed, je begrijpt het niet.. Tuurlijk kan je met AD connect syncen naar AAD, daarvoor dient dat product, maar pas maar eens speciale Exchange attributen aan in AAD, hij zal je mooi zeggen dat je dat on-prem moet doen omdat je AD Connect gebruikt en je source of authority on-prem is ... Daarom heb je volgens Microsoft bij AD Connect steeds een hybrid on-prem Exchange nodig voor het management van de Exchange attributen. Je kan dit omzeilen met ADUC, dat weet ik wel, maar volgens Microsoft heb je dan geen supported omgeving meer. En prijzig, een hybrid exchange die geen postvakken host heeft geen licentie nodig.

[Reactie gewijzigd door Tha Render_2 op 23 juli 2024 15:47]

dasiro @Tha Render_2 • 16 maart 2021 12:31

exchange attributes in AD pompen was dan ook de slechtst mogelijke keuze die ze konden maken. Ja bij SBS was dat leuk omdat beiden 1 pakket waren, maar hoeveel overbodige outdated legacy-attributes zijn er wel niet te vinden die overal waar je maar komt de AD's vervuild hebben

Anoniem: 5897 @dasiro • 16 maart 2021 12:53

Lekker belangrijk. Dat heeft echt 0,0 impact.

Anoniem: 5897 @Tha Render_2 • 16 maart 2021 12:55

Klopt helemaal, maar als je geen Exchange hebt onprem dan vervalt dit dus. De stelling: "Je hebt geen Exchange nodig voor AD Connect" klopt gewoon. Pas als je mailenabled objecten hebt die je synct naar AAD gaat het spelen.

Old Swartly @Anoniem: 5897 • 16 maart 2021 14:31

Onjuist. Als je Azure on prem synct met Azure AD en je hebt alleen online mailboxen, kun je alsnog niet zonder Exchangeserver on-prem de exchange-specifieke attributen aanpassen van die users (tenzij je dit via dsa.msc doet, wat niet ondersteund is).

patrickp0078 @Tha Render_2 • 16 maart 2021 17:47

Lees dit eens goed door!

Tha Render_2 @patrickp0078 • 16 maart 2021 19:42

Doet totaal niets ter zake, het AD schema is standaard al extended als je Exchange had, die attributen zijn sowieso aanwezig in AD en daar gaat het juist om, je artikel zegt het zelf, je kan na het extenden in AD de attributen aanpassen (in AD) en die syncen dan naar O365, want in O365 kan je die niet aanpassen omdat je source de lokale AD is. Maar waarom heb je dan nog de exchange management console nodig als je de attributen in AD kan aanpassen hoor ik je vragen? Shja, omdat Microsoft dat nodig acht, anders zit je in een non-supported omgeving. Dusja je kan uit de voeten met ADUC en ADSIEDIT maar Microsoft geeft dan steevast aan dat het op je eigen verantwoordelijkheid is.

patrickp0078 @Tha Render_2 • 16 maart 2021 22:48

Jouw beredenering snap ik niet. Als je eigen DC leidend moet blijven dan is het is toch juist super fijn om de extra AD attributen erbij te kunnen installeren? Op deze manier blijven de oude powershell commando's werken, zoals set-aduser msExchHideFrommAddresslist etc

[Reactie gewijzigd door patrickp0078 op 23 juli 2024 15:47]

Tha Render_2 @patrickp0078 • 17 maart 2021 06:36

Maar je hebt die extra AD attributen al, het AD schema wordt standaard extend bij een Exchange installatie die iedereen ooit gedaan heeft, voor een move naar O365. Ik ben niet tegen die extra AD attributen maar tegen het feit dat Microsoft het een non-supported omgeving vindt als je AD gebruikt om die attributen te wijzigen zoals het toevoegen van een email alias en niet de exchange management console.

patrickp0078 @Tha Render_2 • 17 maart 2021 16:55

Het is maar één weg verkeer. De DC dan in dit geval altijd leidend.

En niet iedereen heeft een exchange gehad. Ik heb drie klanten die gebruik hebben gemaakt van andere mail diensten en nu gemigreerd zijn naar Exchange Online.
Daarbij heb ik de instructie gevolgd wat ik eerder heb gestuurd zodat je alsnog achteraf de Exchange attributen hebt.

Groetjes!

[Reactie gewijzigd door patrickp0078 op 23 juli 2024 15:47]

GewoonWatSpulle @Tha Render_2 • 16 maart 2021 12:04

En ja, vele kleine bedrijven hebben gewoon nog een standaard AD omgeving omdat een volledige migratie naar bijvoorbeeld Azure AD only implicaties heeft op hun business applicaties die vaak outdated zijn en niet overweg kunnen met modern authentication. Dus, velen zitten wel op O365/Exchange Online maar hebben nog een hybrid Exchange on-prem draaien voor management & SMTP relay.

Ik snap het klagen op Microsoft voor die vereisten maar het is ook gewoon een klacht op je eigen legacy en daar kan je wél wat aan doen, nu alleen nog die verstokte organisatie er van overtuigen en dat kan soms aanvoelen als meer moeite dan klagen bij Microsoft maar als je het niet doet verandert er gegarandeerd niets.

michelr @Tha Render_2 • 16 maart 2021 12:32

Niet waar; je kunt ook agents inzetten als je met bepaalde beperkingen kunt leven.

Scriptkid @Tha Render_2 • 16 maart 2021 14:09

Classic hybrid - correct,

modern hybrid , nee dan kan je alles opruimen en is juist speciaal voor kleine bedrijven.

Cyberpuppy @Tha Render_2 • 16 maart 2021 18:44

Er is nog veel meer mis. Per de documentatie mag de verbinding tussen Exchange en AD niet gefilterd worden. Ook leuk voor als het toch mis gaat.

Wordt hoog tijd dat er net als bij auto's de fabrikanten eens gehouden worden aan hun verantwoordelijkheden en de kosten mogen gaan betalen van deze grappen.

dasiro @Keypunchie • 16 maart 2021 12:32

meeste van die dingen staan dan ook al te draaien van voor office 365 bestond

SunnieNL

@Keypunchie • 16 maart 2021 13:00

Eerste wat ik denk.. als die bedrijven nu al niemand hebben die zich bekommerd om Exchange, wie gaat er dan deze applicatie draaien? Normaal zou de beheerder dat doen, maar die hebben ze blijkbaar al niet.

Keypunchie @SunnieNL • 16 maart 2021 13:17

Het scenario dat ik me voorstel is dat men wel een generieke 'sysadmin' heeft, bijvoorbeeld voor kantoorautomatisering, maar geen gespecialiseerde beheerder. Ooit heeft een consultant de mailserver opgezet en daarna is het 'beheer' alleen maar user management geweest.

Zoiets. Ik heb het vraagteken ook hoor.

Neus @Keypunchie • 16 maart 2021 12:02

Je hebt helemaal gelijk! Ik heb het beheer van een Exchange 2016 server van een klant geërfd maar die mag ik niet aanraken: het is een advocaten kantoor en ik mag wegens privacy redenen er niks mee doen. Onzin natuurlijk. Migreren naar Office365 willen ze ook niet vanwege dezelfde privacy reden.
Niks aan te beginnen.
Maar als de server plat gaat of gehacked wordt, is het natuurlijk wel mijn schuld... Dus netjes een mail gestuurd dat ik er van af zie - zoek maar iemand anders.

kodak

Networking en security

@Keypunchie • 16 maart 2021 12:09

Wat heeft dat met deze update te maken? Je kan prima gedegen zijn en tijd besparen. Of je trekt de gedegenheid van deze tool in twijfel of je haalt het aan om iets irrelevants te noemen bij dit gemak?

SSH @Keypunchie • 16 maart 2021 13:40

Helaas is er legacy apparatuur dat niet werkt met SaaS oplossingen. Wat vooral vervelend is dat Microsoft deze updates niet mee laat gaan met de reguliere updates. Je kan als MKB-er dus inloggen op de server en dan updates runnen, om vervolgens te denken dat je veilig bent. Maar dat ben je dus niet, onbegrijpelijk dat je dit van MS met de hand moet installeren.

Scriptkid @SSH • 16 maart 2021 14:12

Dat heeft een hele goede reden,

Bij exchange moet je nl al je changes aan je webconfigs zelf handmatig terug zetten.

Als je volledig automatische gaat patch zou je dat dus stuk maken. Denk aan proxy settings, Skype intergratie, customisation. etc..

wica 16 maart 2021 11:22

Als ik de reacties onder de vorige berichten las. Denk ik dat microsoft beter kan uitleggen, hoe je automatisch een exchange server uitrolt en hoe je de configuratie vervolgens kan gebruiken om een restore te kunnen doen.

segil @wica • 16 maart 2021 11:35

Die documentatie is allemaal aanwezig. Maar Exchange is geen setup.exe van 10 mb die je eventjes backuped/restored. Daarvoor is het een te complex product, met integratie in AD.

Anoniem: 30722 @segil • 16 maart 2021 14:46

10mb lijkt me dan ook wat fors voor een mailserver inderdaad...
Eerder de helft

d5stick @wica • 16 maart 2021 11:35

Bij kleinschalige bedrijven waar ze lokaal een Exchange instance hosten kan een automatische uitrol / vervanging niet de oplossing zijn i.v.m. missende resources.

Tjidde @d5stick • 16 maart 2021 11:58

Veel bedrijven kunnen denk ik wel gewoon auto update aan zetten als ze echt klein zijn. Ik betwist hoeveel mail er binnen komt tussen 2 en 3 in de nacht. Mocht je willen email 99%+ uptime willen hebben moet je al meer doen dan enkel een lokale Exchange draaien.

Plus veel mail servers proberen een mail opnieuw te sturen als de mail server niet de mail ontvangen hebben. in Exchange staat die volgens mij op 5 minuten standaard met meerdere pogingen. Met de juiste timing(wat Windows zou kunnen berekenen op basis van de data die binnen komt) kan je goed de updates automatisch doen. Aangezien Microsoft weet hoe lang een update ongeveer duurt.

Ik ben van mening Exchange voor steeds minder bedrijven nodig is. De cloud eigenlijk een betere oplossing is.

Voor een klein bedrijf dat geen kaas gegeten heeft van beheer van een mailserver of iets is 365 een keer laten inregelen veel makkelijker. Updates zijn geen probleem meer. Je hebt er ook meteen een AD plus je office pakket. Gebruiker toevoegen aan je domain is ook eenvoudig. Volgens heb je binnen 20 minuten alles wat je wilt. Plus je back-ups worden geregeld voor je.

Voor grote bedrijven is het ook juist makkelijker door de schaalbaarheid. Geen gezeur met licenties je hebt een account voor je medewerker en goede inrichting van je groepen. Iemand alleen Office nodig eenvoudig. Heeft iemand ook Visual studio nodig zet hem in een groep en alles word geregeld voor je.

Qua kosten zal het voor sommige bedrijven niet veel uitmaken of je de cloud pakt of lokaal. Dan kom je bij de vraag waar wil je data opslaan. Voor een overheid snap ik goed dat ze het liever lokaal hebben want je wilt extreem goed kunnen monitoren wat er gebeurd.

d5stick @Tjidde • 16 maart 2021 12:01

Dat laatste ben ik niet met je eens, de cloud en zeker Microsoft Azure kan vrij duur worden voor een klein bedrijf met 20 personeelsleden. Terwijl lokaal exchange hosten dan een stuk goedkoper is.

Natuurlijk is alles makkelijker in de cloud, je hebt geen omkijken naar IT en alles is zo ingeregeld maar dit komt wel met een prijskaartje die maandelijks terug komt.

Dat er zo slecht wordt omgegaan met updates daargelaten, dat is gewoon verwaarlozing en men houdt zich daar niet mee bezig. Waarom zou men? Het draait toch?

maevian @d5stick • 16 maart 2021 12:29

Die IT'er die je in dienst neemt om die lokale server te beheren heb je ook meegerekend in je budget?
De kansen op klanten en vertrouwensverlies bij een datalek? De stroom, de hardware die moet vervangen worden na verloop van tijd?
Als je echt alles mee rekent, komt het meestal voordeliger uit om naar de cloud te gaan.
Je mag ook niet vergeten dat tijd nog altijd het meest waardevolle goed is, elk uur dat je spendeerd aan je exchange server te fixen, kan je ergens anders geld verdienen als bedrijf.

RoccoS @d5stick • 16 maart 2021 12:24

Dat een lokale Exchange server een stuk goedkoper is durf ik echt te betwijfelen, helemaal als je een externe partij moet inschakelen voor het beheer, patchen of oplossen van problemen zoals dit incident.

Tjidde @d5stick • 16 maart 2021 12:32

Ik denk het wel meevalt. Het is wat anders als je de hardware en alles al hebt. Dan zijn de verhoudingen anders.

Als je morgen een nieuw bedrijf start moet je alle kosten meerekenen hardware/software/energie dat zijn aardig wat kosten bij elkaar. Dan hebben wij het nog niet eens over arbeid voor installeren van hardware en software.

Het voordeel van on-premise is wel je bent maar eens in de 5 jaar kosten kwijt voor licenties. In plaats van maandelijks/jaarlijks

Keypunchie @Tjidde • 16 maart 2021 12:51

Dat is juist een nadeel.

Maandelijkse kosten kan je makkelijker op sturen. Teveel uitgaven -> minder licenties. Of simpelere licenties.

Voor on-prem beheerskosten kun je op zijn hoogst je beheerder ontslaan...

En dan na die 5 jaar, moet je dat geld wel echt opzij gezet hebben en mag je een migratie/upgrade traject in dat hopelijk a) binnen budget blijft b) minimale disruptie brengt.

Als klein bedrijf of start-up, maar ook als grote toko, zou ik het wel weten.

Cyberpuppy @Keypunchie • 16 maart 2021 18:59

Maar heb je dan ook de tijd meegerekend die het kost om al die Cloud omgevingen te beheren.

a) Je bent beperkt in het aantal sessies die je op kunt zetten naar bijv. Office365. Je hebt 3 merken browsers met elk een incognitomodus. Dus na 6 stuks ben je wel klaar. Leuk als je tientallen omgeving tegelijk moet beheren.

b) Ik klik in 10 seconden een mailbox bij elkaar on-prem. Office365. Klik maak gebruiker aan. Wacht tot het account een keer gesynced is (slechtste geval is dat morgenvroeg pas). Dan kun je de overige properties een keer aanpassen. En zo verder. Tusen elke muisklik zitten gewoon meerdere seconden. Lijkt niet veel, maar op een dag tikt dat toch aardig door.

c) Het rechtenmanagement in iets als Teams/Sharepoint is dramatisch . Afhankelijk van de knoppen die een gebruiker indrukt is een complete sharepoint site voor jou als global admin onzichtbaar. Leuk als je wel verantwoordelijk bent voor die data en de backup

d) De cloud brengt continu wijzigingen aan, waardoor zaken van het een op andere moment niet/anders werken.

e) Iedere cloudprovider heeft zijn eigen wereldje gebouwd. Dus je Fusion360 documenten zitten in de Autodesk cloud, de bijbehorende documentatie zit in de Microsoft Cloud, en ga zo maar even verder

Ja cloud is de toekomst, maar op veel gebieden is de cloud er nog niet klaar voor.

Keypunchie @Cyberpuppy • 16 maart 2021 19:53

a) snap ik niet zo goed. Ik heb nu ook meerdere accounts ingelogd staan, daar kan ik gewoon tussen switchen. Ja, ik kies altijd eerst het portal van de verkeerde organisatie, maar meerdere ingelogde accounts is toch geen issue?

De rest zijn valide punten hoor, maar

b) daar heb je juniors voor! Meer serieus, er is geen API?
Tsja, uitbesteden aan HR ofzo, is vast met rechten af te dwingen. En zo niet, dan de troost: zo vaak komen er geen nieuwe werknemers bij. Tenzij het bijzonder goed gaat.

c) nou, on-premise sharepoint is ook geen feestje. Dit is wat mij betreft een dramatisch product. Maar neem gerust Confluence van Atlassian of Google Docs, zou ik zeggen.

d) feature, not a bug

e) Dit probleem heb je on-premise net zo hard, behalve dat je dan nog de data zelf in een datacenter hebt zitten en moet ontsluiten.

Heineken01 @d5stick • 16 maart 2021 18:42

Vergeet niet dan bij Microsoft Office365 je data in 3 datacenters redundant staat, probeer dat maar eens voor elkaar te krijgen met je budget voor aanschaf, dat ga je niet redden.

Simon Weel @Tjidde • 16 maart 2021 13:18

Ik ben van mening Exchange voor steeds minder bedrijven nodig is. De cloud eigenlijk een betere oplossing is.

Beter weet ik niet? Wat betreft beheer wel iets makkelijker; technisch onderhoud wordt voor je gedaan. Functioneel onderhoud moet je nog steeds zelf doen.
De reden dat wij een eigen Exchange server hebben is simpel; we zijn graag baas over eigen data. Zodra je iets in de cloud doet ben je geen baas meer over je data. Natuurlijk hebben de cloud-providers allerlei beveiligingen ingebouwd. En natuurlijk is 99,99% van alle data het beveiligen niet waard. En natuurlijk wordt naar aanleiding van dit lek geroepen dat de cloud veeel veilger is. En natuurlijk durven de mensen die dat roepen niet te garanderen dat bijv. Exchange Online 100% waterdicht is.

Uiteindelijk is alles mensenwerk. En die maken fouten of misbruiken hun bevoegdheden. En zoals dat gaat met dit soort zaken; de overeenkomst met een cloudprovider legt ongetwijfeld zo'n beetje alle verantwoordelijkheid voor het functioneren van een dienst bij andere partijen - zelf zijn ze niet, of beperkt aansprakelijk bij een calamiteit. Dan toch maar liever iemand die je op z'n donder kan geven....

kodak

Networking en security

16 maart 2021 11:28

Is het niet gemakkelijk kunnen updaten hier wel het probleem? Ik lees namelijk niet terug wat de redenen zijn dat veel bedrijven toch snel konden updaten. Ook staat nergens dat de bedrijven die niet snel updaten dat om andere redenen (zoals weinig aandacht voor beveiligingsproblemen hebben) zouden doen.

segil @kodak • 16 maart 2021 11:34

Niet makkelijk kunnen, of niet willen, of niet de urgentie van in zien. Allemaal mogelijk.

Imo moet je geen Exchange gebruiken als je geen actief beheer erop kunt/wilt doen. Het is niet een eenmalige installatie en vervolgens vergeten.

mkools24 @segil • 16 maart 2021 11:48

Helaas gebeurt dat laatste wel, zelfs bij grote bedrijven. Rollups worden zelden of nooit geïnstalleerd. Vooral omdat Exchange zo fragiel is en altijd beschikbaar moet zijn. Men ziet de noodzaak niet van patchen, het kan enkel dingen breken.

Daarom is het imo ook beter om Exchange online te gebruiken. Laat MS dat lekker zelf allemaal doen.

Minisculus @mkools24 • 16 maart 2021 12:15

Eens, ik werk bij een dienstverlener en hoewel 90% van onze klanten inmiddels gelukkig in Exchange Online hangt zijn er een aantal die door wat voor reden dan ook nog niet die stap hebben kunnen/willen maken. Alles goed en wel, maar wij voeren bij klanten contractueel periodiek onderhoud af, minimaal 2 keer per jaar, liefst 4. Daarbij houden wij alles, dus ook Exchange indien van toepassing, zo veel mogelijk up to date. Ik merk wel dat klanten die eventueel bij een andere dienstverlener vandaan komen aangeven dat dat voorheen niet of bijna niet gebeurde en het gevoel speelt dat onze dienstverlening in ieder geval in deze regio in het MKB vrij uniek daarin in. We bieden updates buiten werktijden aan voor de klanten die begrijpelijkerwijs niet overdag uit kunnen. Heb je een serveromgeving maar ben je absoluut niet bereid om ons volgens contract onderhoud te laten uitvoeren, dan past onze dienstverlening niet bij het bedrijf.

Dat maakt dat wij in dit geval de enkeling die nog op Exchange On-prem draaide binnen aanzienlijke tijd naar de laatste security rollup hebben kunnen trekken.

Geen idee of andere dienstverleners dat ook zo doen.

segil @mkools24 • 16 maart 2021 13:54

Alleen dat beeld dat Exchange frafiel is, klopt niet meer... het is al jaaaaren een stabiel product, waarbij CU's ook 99% v/d tijd probleemloos geïnstalleerd kunnen worden.

crazyboy01 @segil • 16 maart 2021 11:51

Zeker eens, maar dat geldt eigenlijk ook voor alle alternatieven in eigen beheer. Zelfs als het meeste in die omgeving geautomatiseerd is. Ik heb al te veel bedrijven gezien die achter de schermen het beheer in veel dingen verwaarlozen, die zouden toch beter af zijn met de uitbestede diensten van een derde partij, ook al is dat niet altijd wenselijk.

Luc45 16 maart 2021 11:24

Als je nu nog geen patches hebt aangebracht, kun je het net zo goed niet doen. Dan kun je beter je infrastructuur opnieuw gaan opbouwen, omdat je vrijwel zeker kwaadwillenden binnen hebt zitten.

raptorix @Luc45 • 16 maart 2021 11:32

Ja, en dat is nu precies het probleem, de gene die nu gehacked zijn kennen waarschijnlijk het woord infrastructuur niet eens. Wat Microsoft moet doen is een soort noodslot inbouwen dat wanneer een systeem bewust onveilig is, dat het automatisch word uitgeschakeld.

kodak

Networking en security

@raptorix • 16 maart 2021 12:32

Hoe denk je dat het eenzijdig afsluiten door Microsoft redelijk is als daarmee de zaken en vrijheid van nog veel meer afhankelijke gebruikers van die mailsystemen daardoor beperkt of zelfs ontnomen is?
We hebben het hier over gebruikers die geen relatie met Microsoft hebben maar met een bedrijf of mensen waarmee ze communiceren. Microsoft heeft daar niets over te zeggen. Daarbij is het nemen van verantwoordelijkheid niet alleen een kwestie van de eigen belangen maar belangrijker vinden voor een ander. Als microsoft wil dat hun producten alleen gebruikt worden onder veilige omstandigheden hadden ze dat moeten afspreken bij de verkoop.

raptorix @kodak • 16 maart 2021 12:39

Je zou de optie bij installatie kunnen aanbieden, daarnaast is het godgeklaagd dat allerlei bedrijven geen geld wensen uit te geven voor veilige software, je brengt niet alleen je zelf schade toe, maar vooral heel veel anderen die het wel goed doen.

kodak

Networking en security

@raptorix • 16 maart 2021 12:56

Er een optie van maken klinkt beter, want dan ligt de keuze bij de eigenaar zelf. Maar daarmee is het probleem nog niet weg en ik betwijfel of een bedrijf even makkelijk een keuze neem om af te sluiten als die het niet makkelijk aan kan zetten.

Ik snap dat het vervelend is dat door niet op tijd updaten er risico is voor anderen, en zelfs heel groot risico kan zijn afhankelijk van de mogelijkheden. Maar is dan niet eerder het probleem dat de veroorzakers daar niet open over zijn naar die mensen? Als Microsoft weet welke klanten welke software gebruiken, is het dan niet eerder hun verantwoordelijkheid om het publiek via die exchange services in te lichten dat het systeem dat ze gebruiken onveilig zou zijn?

Anoniem: 30722 @Luc45 • 16 maart 2021 11:45

1600 servers in NL alleen al

Dus nog best de moeite lijkt me...

kodak

Networking en security

@Luc45 • 16 maart 2021 12:38

Dat maakt het ook zorgelijk als Microsoft het wel makkelijk maakt om te updaten maar niets doet om het werkelijke probleem te verhelpen.

Het probleem is niet alleen dat de update nog niet is gedaan maar daarbij waarschijnlijk criminelen al van de service gebruik hebben gemaakt. Het lijkt er nu op dat het Microsoft meer te doen is om alleen het makkelijk kunnen patchen en niet het hele probleem.

DDX 16 maart 2021 11:27

En waarom zouden bedrijven zonder systeembeheerders dit nu wel uitvoeren en de simpele windows update actie niet ?

YoMarK @DDX • 16 maart 2021 11:50

Exchange updaten gaat in 80% van de gevallen probleemloos, en in 20% van de gevallen niet. Je die servertjes in een testomgeving, daar gaat het altijd wel goed, maar in productieclusters is het toch wel fijn als je een beetje weet wat je doet.
Meer dan eens heb ik issues gehad. Uiteraard zijn de gevolgen voor organisaties groot als ze geen mail meer hebben.

Tjidde @DDX • 16 maart 2021 11:37

Ik denk veel bedrijven zonder sysadmins geen idee hebben dat dit een probleem is binnen haar organisatie. Al denk ik bedrijven zoals dit auto update gewoon aan moet staan. Zeker als je het door een extern bedrijf is gedaan en zeker als die ook een lokale back-up hebben verzorgt. Wat denk ik voor veel bedrijven voldoende is. Niet optimaal maar dat is iets anders.

Als ik morgen een bedrijf zou adviseren zou ik zelf kiezen voor een 365 voor bedrijven oplossing. Schaalbaar en eenvoudig te beheren. Plus heb je meteen ook je officepakket wat toch 90% van de bedrijven gebruikt als het niet meer is.

YoMarK @Tjidde • 16 maart 2021 11:51

Exchange auto update? Zou mooi zijn, maar is niet werkbaar.

Tjidde @YoMarK • 16 maart 2021 12:11

Securty updates zijn toch niet zo'n ramp?

Al zou je eerder jezelf moeten afvragen als bedrijf wil je verantwoordelijk zijn voor je eigen mail server? Of ga je dit juist uitbesteden. Je mail hosten bij een bedrijf dat goed in het vandaal staat. Zeker als klein bedrijf zou ik daar eerder voorgaan. "Mijn mail werkt niet" zonder sysadmin is lastig op te lossen als het lokaal staat. Heb je een externe heb je vaak gewoon een helpdesk.

Ik ben van menig dat je het beheerdeel van een softwarepakket altijd bij iemand moet leggen die er echt iets van af weet en er dagelijks mee bezig is. Zeker als het critical is voor je bedrijf wat mail vaak is. Heb je niet het geld om die in dienst te nemen zou ik gaan kijken hoe duur het is om het helemaal weg te leggen bij iemand.

Als je lokale instance van Exchange crashed of erger corrupt raakt en je hebt geen kennis van het pakket ben je al snel een dag of wat kwijt voor het gefixt is. Iets wat bij kleine bedrijven(10- personen) toch wel een risico is. Want geen onderhoud aan de server, slechte backups. Want het kost geld omdat op te zetten en te draaien. Zonder dat men door heeft hoe groot het risico is of de impact.
Al ben ik wel van mening dit niet volledig bij die bedrijven ligt maar ook bij de bedrijven die de servers aanbieden en installeren. Die moeten er gewoon eerlijk en open in zijn en duidelijk meerdere keren aangeven de gekozen strategie niet optimaal is. Ook al wil de klant het misschien niet horen, je hebt dan wel je plicht gedaan door goed en duidelijk uit te leggen waarom je bepaalde keuze wel zou moeten maken. Security, dataloss & uptime zijn hier groot onderdeel van.

YoMarK @Tjidde • 16 maart 2021 12:21

Hele andere discussie. Ik zeg alleen maar dat je Exchange niet zomaar kunt(wil) auto updaten.

jeroenk13 @DDX • 16 maart 2021 11:38

Misschien denken de meesten wel: If its not broke dont fix it omdat ze mogelijk problemen ondervinden als ze altijd automatisch updaten ?

Anoniem: 30722 @DDX • 16 maart 2021 11:46

Als je geen sysadmin hebt, moet je al helemaal geen exchange hebben...

Rataplan_ @DDX • 16 maart 2021 11:58

Exchange fixed krijg je niet met Windows Update...

Metalfreak 16 maart 2021 12:10

Kan deze ook gebruikers fiksen? Aan die optie heb ik nu al jaren behoefte

Maar is Microsoft hier in dit geval niet een beetje te laat mee? Als je nu nog met die kwetsbaarheid zit, ben je waarschijnlijk ook niet bezig met een feature als deze, of denk ik nu verkeerd?

eltweako 16 maart 2021 12:22

Denk dat dit heel duidelijk aangeeft hoe ernstig het lek is.
Zelf ben ik blij met deze tool, hoe minder vatbare servers hoe beter.

Zoals hier al meer mensen zeggen is een Exchange server niet geschikt als je een kleine organisatie bent zonder systeembeheerder. Feit is dat veel organisaties in de afgelopen jaren flink gekrompen zijn en hierbij veel personeel hebben moeten laten gaan.
De meeste kleine organisatie waar ik kom met een Exchange server hebben een doorstart gemaakt met 10% van het personeel of hebben door div. redenen afscheid moeten nemen van veel personeel. Vaak is hierbij IT uitbesteed aan een lokale IT-partij die vervolgens geen ervaring heeft met Exchange servers of is Henk van de administratie de IT gaan doen.
Wat vaak vergeten wordt door deze partijen is dat Exchange server zich vaak niet update via Windows Update. De CU's moet je bij Microsoft downloaden en als admin installeren.

Dat is waar deze tool dus nu uitkomst bied, je kunt je server beschermen terwijl je een geschikte partij zoekt om het probleem goed op te lossen. Mijn advies is bij de meeste organisaties dan ook om naar de Cloud te gaan als je geen partij hebt welke in staat is om de server goed te onderhouden.

HellBeast @eltweako • 16 maart 2021 16:15

Je kunt Microsoft Update aanzetten op je server. Hierdoor zijn de Exchange updates/CU's wel binnen te hengelen via Windows Updates.

GeleFles 16 maart 2021 12:38

Leuk dat ze nu zo'n one-button lek-fix hebben, maar wat als je inmiddels al geinfecteerd bent?
Als ze toegang hadden tot je exchange server, dan kunnen er inmiddels meerdere backdoors geïnstalleerd zijn, en deze tool gaat dat niet opruimen...

De gemiddelde systeembeheerder die de lek nu pas doorheeft, denkt dat ie met het installeren van deze tool gelijk klaar is, terwijl er inmiddels misschien wel meerdere backdoors opengezet zijn.
Dan is het wachten tot de hacker over een paar maanden toeslaat door alle data te encrypten, waarbij alle backups inmiddels gesloopt zijn. (want die worden toch niet gecontroleerd)

Op dit item kan niet meer gereageerd worden.

Microsoft brengt tool uit om Exchange-servers met enkele klik te fiksen

Lees meer

Reacties (74)

Sorteer op:

Weergave: