Sicherheitsbewertung von SBS Umgebungen

Posted by o.sommer

Der SBS hat zwar seit der Version 2008 keinen integrierten ISA Server mehr, weil eine solche Konfiguration (SBS = DC mit mehreren Netzwerkkarten) von Microsoft schlicht nicht mehr unterstützt wird, aber:

der SBS 2008 und alle SBS 2011 haben trotzdem standardmäßig die Windows Server Firewall aktiviert und konfiguriert

  • die ist zwar relativ einfach gestrickt, aber der Erfolg gibt ihr Recht, denn die Windows Firewall hatte, meines Wissens nach, noch nie eine Sicherheitslücke

 

es ist vorgesehen einen SBS hinter einer Firewall bzw. mindestens einem NAT Router zu betreiben, wobei

  • der NAT Router aus Angreifer-Sicht schon einmal sehr viele potenzielle Angriffs-Szenarien unmöglich macht, da der Angreifer kaum eine Chance hat über das NAT (Network Address Translation) direkt an den SBS ranzukommen, außer an den Schnittstellen die dafür vorgesehen und speziell abgesichert sind
  • Diese durch den NAT Router zugänglichen Schnittstellen wären z.B. der Webserver der die Remote Web App Site betreibt, die aus diesem Grund nur Zugriffe erlaubt die sich authentifiziert haben, dasselbe gilt für die Websites die für Outlook Web App und Outlook Anywhere und Co. auf dem SBS betrieben werden, alle erfordern die Eingabe von Benutzernamen und Passwort, bevor man an irgendwelche potenziell verwertbaren Informationen herankommt

Hinzu kommt die securitytechnisch hervorragende Historie der Anwendungen auf dem SBS. AD DS, Exchange und Sharepoint haben wenig bis keine wirklich effektiv ausnutzbaren Sicherheitslücken.

In SBS Umgebungen werden alleine durch die obigen Maßnahmen schon die Sicherheitsfeatures erfüllt, wie Sie auch in vielen Konzern Infrastrukturen als völlig ausreichend bewertet werden.

Nur halt schon out-of-the-box und standardmäßig durch die Assistenten „sicher“ konfiguriert.

Probleme mit companyweb und Datensicherung nach Sharepoint Foundation 2010 SP1

Posted by o.sommer

Die häufigste Lösung zu Problemen nach der Sharepoint 2010 Servicepack 1 Installation ist das Abschließen des SP Setups wie es von Sharepoint vorgesehen ist:

Dazu kan nman erst einmal prüfen, ob ein Update noch auf Abschluss wartet, indem man folgenden Befehl in einer Administrativen Sharepoint Powershell eingibt:

(get-spserver $env:computername).NeedsUpgrade

image

“False” heißt hier das der folgende Teil bereits erledigt wurde, “true” das er noch gemacht werden muss.

image

Falls also “true” angezeigt wird:

1. administrative Eingabeaufforderung öffnen
2. in das Verzeichnis C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\14\BIN wechseln
3. den Befehl PSConfig.exe -cmd upgrade -inplace b2b -force -cmd applicationcontent -install -cmd installfeatures ausführen

weiterführende Links zum Thema:
http://blogs.technet.com/b/sbs/archive/2011/07/06/potential-issues-after-installing-sharepoint-foundation-2010-sp1.aspx
http://social.technet.microsoft.com/Forums/en-US/smallbusinessserver/thread/94c5f178-f020-4d0f-ba7c-11c415d0d862
http://technet.microsoft.com/en-us/library/ff806326.aspx

Sharepoint 2010Nacharbeiten nach Updates

Posted by t.brinkmann

Anders als beim SBS2008 (Windows Sharepoint Services 3.0) muss beim SBS2011 (Sharepoint 2010 Foundation) evtl. manuell ein Datenbank-Update nach Windows-Updates durchgeführt werden. Jede Nacht prüft der “SharePoint Health Analyzer” ob ein Update der Sharepoint-DBs durchgeführt werden muss. Sollte dies der Fall sein, wird die Ereigbis-ID 2137 im Anwendungsprotokoll erzeugt.

image

Um das Datenbank-Update auszuführen müssen folgende Befehle von einer administrativen CMD ausgeführt werden:

cd "Program Files\Common Files\Microsoft Shared\Web Server Extensions\14\BIN"

PSConfig.exe -cmd upgrade -inplace b2b -force -cmd applicationcontent -install -cmd installfeatures

Das Update kann (je nach Datenbankgröße) einige Zeit in Anspruch nehmen. Während das Update läuft steht die Sharepoint-Website NICHT zur Verfügung.

Installation von Office Web Apps auf SBS 2011

Posted by T.Redelberger

Hinweis: Aktuell gilt der offizielle Standpunkt, dass Office Web Apps NICHT auf einem Domain Controller supportet ist (s. http://technet.microsoft.com/en-us/library/ff431682.aspx). Die aktuelle Empfehlung lautet, durch das SBS 2011 Premium-Add-On diese Funktion auf eine separate Instanz auszulagern, solange kein offizielles Statement seitens des SBS-Produkt und Support Teams oder ein vergleichbarer Support-Artikel vorhanden ist.

Volumen Lizenzen Kunden von Office 2010 Standard bzw. Office 2010 Professional Plus haben die Möglichkeit die nur über dieses Lizenz-Programm erhältlichen Office Web Apps zu installieren:

Microsoft Office Web Apps-Bereitstellung
http://technet.microsoft.com/de-DE/office/ee815687.aspx

Die zugehörige Installationsanleitung findet man hier:

Installieren und Konfigurieren von Office Web Apps auf einem vorhandenen eigenständigen SharePoint-Server
http://technet.microsoft.com/de-de/library/ff431687.aspx#bkmk_ins_exis_sa

Um nun eine fehlerfreie Installation (zu Demo Zwecken – s. Hinweis oben) auch auf einem Domain-Controller wie einem SBS 2011 zu gewährleisten (s.a. http://technet.microsoft.com/de-de/library/ff431682.aspx), müssen noch folgende Powershell-Commands in der "SharePoint 2010 Management Shell" (als Administrator ausführen!) ausgeführt werden:

Englische Version:

# English
#
#Enable Word Web App:
$e = Get-SPServiceApplication | where {$_.TypeName.Equals("Word Viewing Service Application")}
$e.WordServerIsSandboxed = $false

#Enable PowerPoint Web App, you need to answer "Y" after each command:
Get-SPPowerPointServiceApplication | Set-SPPowerPointServiceApplication -EnableSandboxedViewing $false
Get-SPPowerPointServiceApplication | Set-SPPowerPointServiceApplication -EnableSandboxedEditing $false

#Don't forget to do a iisreset after those commands!

Deutsche Version:

# Deutsch
#
#Enable Word Web App:
$e = Get-SPServiceApplication | where {$_.TypeName.Equals("Word-Anzeigedienstanwendung")}
$e.WordServerIsSandboxed = $false

#Enable PowerPoint Web App, you need to answer "Y" after each command:
Get-SPPowerPointServiceApplication | Set-SPPowerPointServiceApplication -EnableSandboxedViewing $false
Get-SPPowerPointServiceApplication | Set-SPPowerPointServiceApplication -EnableSandboxedEditing $false

#Don't forget to do a iisreset after those commands!

Source: http://gallery.technet.microsoft.com/ScriptCenter/44ac3193-e7cc-4428-ae14-98177b5feab2/

Danach auf jeden Fall ein "iisreset /noforce" oder am Besten ein kompletter Neustart des Servers.

Es gibt auch schon einige Microsoft Updates zu "Office Remote Apps". Diese lassen sich ganz einfach mittels der Microsoft Upate-Funktion einspielen und sollte nach der eigentlichen Installation und in regelmässigen Abständen überprüft werden.