Für den Versand von E-Mails zu externen Domains/Empfängern ist eine Anpassung des Exchange 2010 Empfangsconectors via Powershell erforderlich.
Niemand hat gerne ein offenes Relay (Versand von E-Mails ohne Authentifizierung) in seinem Netzwerk. In manchen Fällen ist es jedoch erforderlich, dass E-Mails von Systemen über den Exchange per SMTP nach außen (außerhalb der eigenen Domain) zugestellt werden. Dies erfolgt über die Konfiguration und Anpassung eines separaten Empfangsconnectors.
Mit einem einfachen Befehl lässt sich diese Einstellung anpassen und ein Empfangsconnector dafür freischalten.
ACHTUNG – Microsoft hat bei den Powershellbefehlen die Berechtigungen eingedeutscht. So auch beim Befehl ADDPermisssion und funktioniert so nur bei deutschen Exchange-Servern. Im untenstehenden Beispiel wird der Befehl für den „External Relay“ Connector abgesetzt.
# Von der Exchange Powershellkonsole ausführen:
Get-ReceiveConnector "EXTERNAL RELAY" | Add-ADPermission -User "NT-AUTORITÄT\ANONYMOUS-ANMELDUNG" -ExtendedRights "ms-Exch-SMTP-Accept-Any-Recipient"
Anschließend erhaltet ihr aus Ausgabe eine Meldung in der folgenden Art:
[PS] C:\Windows\system32>Get-ReceiveConnector "EXTERNAL RELAY" | Add-ADPermission -User "NT-AUTORITÄT\ANONYMOUS-ANMELDUNG"
-ExtendedRights "ms-Exch-SMTP-Accept-Any-Recipient"
Damit macht ihr aus Eurem Exchangeserver ein „Offenes Relay“. Achtet aus diesem Grund darauf, dass der E-Mail-Server nur für gewünschte Clients/Teilnehmer im Netzwerk erreichbar ist, damit ihr nicht versehentlich zu einem Spamversender werdet.
Nach der erfolgreicher Installation von Redmine eröffnete sich für mich noch die Anforderung, ein git Repository zur Verfügung zu stellen.
Angelehnt an der originalen Anleitung habe ich die Installation vorgenommen. Ich liste hier die Schritte noch mal ergänzt um ein paar Kleinigkeiten auf.
cd /var/www/redmine/plugins
sudo git clone https://github.com/jbox-web/redmine_bootstrap_kit.git
cd redmine_bootstrap_kit/
sudo git checkout 0.2.4
Als nächstes das Git Hosting Plugin klonen:
# Then Redmine Git Hosting plugin
cd /var/www/redmine/plugins
sudo git clone https://github.com/jbox-web/redmine_git_hosting.git
cd redmine_git_hosting/
sudo git checkout 1.2.0
Installiere gems und migriere Datenbank
cd /var/www/redmine/plugins
sudo bundle install --without development test
Als nächstes überprüft ihr das Gemfile des git_hosting Plugins, um sicherzustellen, dass dort der Bereich „Redmine 3.x“ aktiv und der Bereich „Redmine 2.x“ auskommentiert ist.
git_hosting Plugin Gemfile check Version of Redmine
Editiert die .gitolite.rc, so dass sie Hooks akzeptiert
su - git
vi (or nano) .gitolite.rc
## Look for GIT_CONFIG_KEYS and make it look like :
GIT_CONFIG_KEYS => '.*',
## Enable local code directory
LOCAL_CODE => "$ENV{HOME}/local"
Als nächstes meldet wieder ab und erzeugt folgende Datei
Fügt den Gitolite Server zur Liste der bekannten Hosts hinzu:
su - redmine
ssh -i ssh_keys/redmine_gitolite_admin_id_rsa git@localhost info
Anschließend solltet ihre Meldung ähnlich der folgenden erhalten:
Als letztes installiert ihr noch den RUBY-Interpreter, falls er nicht schon auf dem System installiert ist.
sudo apt-get install ruby
An dieser Stelle habt ihr Euer Redmine Git Hosting Plugin erfolgreich installiert!
Jetzt aktiviert noch in den Einstellungen das Xitolite bei den Repositories.
Ein einfaches „apt-get install redmine“ reicht nicht mehr, um eine aktuelle Redmine-Installation auf Ubuntu zu installieren. Aus diesem Grund dokumentiere ich hier, wie ich bei mir Redmine installiert habe.
Orientiert an dieser Anleitung poste ich hier meine Arbeitsschritte:
Quelltext von RUBY mittels git herunterladen Apache installieren
cd /var/www
git clone https://github.com/redmine/redmine
Anschließend wird das redmine-repository geklont:
Anschließend wechselt ihr in das redmine-Verzeichnis und wechselt den Branch auf den aktuellen Stable:
cd redmine
git checkout 3.1-stable
Als nächstes bedienen wir uns dem offiziellen „Ruby Paketsystem“, um die Abhängigkeiten für Ruby downzuloaden. Achtet darauf, bei dem Befehl die HTTPS-Verbindung zur Paketquelle anzugeben!
Dafür müssen wir als erstes die Paketquelle in eine Datei schreiben mit dem Befehl:
GEMs Pakete für Redmine installieren
cat << EOF >> /etc/gemrc
In die Datei schreibt ihr die folgenden Zeilen:
:sources:
- https://rubygems.org
EOF
Anschließend wechselt ihr in das Verzeichnis /var/www/redmine und installiert die Pakete „bundler“ und „nokogiri“
cd /var/www/redmine
gem install --no-ri --no-rdoc bundler nokogiri
hash -r
An dieser Stelle weiche ich von der oben genannten englischen Anleitung ab und gebe meinen externen MySQL-Server an, indem ich die Config kopiere und editiere:
cd config
sudo cp database.yml.example database.yml
sudo vim database.yml
Kopiert noch diese Zeilen in die database.yml:
# Clean up the environment
unset REDMINE_PASSWORD
Nutze Bundler zum installieren erforderlicher gems und deaktiviere nicht genutzte:
cd /var/www/redmine
bundle install --without development test postgresql sqlite rmagick
Konfiguration
Um eine MySQL-Datenbank anzulegen, verbindet Euch mit dem MySQL-Server Eurer Wahl oder legt einen lokalen mittelt apt-get install mysql-server an.
Mit den folgenden Befehlen legt ihr eine mysql-Datenbank mit einem zufääligen Passwort an:
REDMINE_PASSWORD=$(openssl rand -base64 33)
mysql -e "CREATE DATABASE redmine CHARACTER SET utf8;"
mysql -e "CREATE USER 'redmine'@'localhost' IDENTIFIED BY '$REDMINE_PASSWORD';"
mysql -e "GRANT ALL PRIVILEGES ON redmine.* TO 'redmine'@'localhost';"
Redmine
Als nächstes legt ihr einen User „redmine“ an:
adduser --quiet --system --group --gecos 'Passenger user for redmine' --shell /usr/sbin/nologin --home /nonexistent --no-create-home redmine
Korrigiert die Berechtigung für die Konfigurationsdatei:
Solltet ihr an dieser Stelle Berechtigungsprobleme erhalten, versucht es nochmal mit sudo -i.
Als nächstes bereitet ihr die Datenbank vor inklusive Beispieldaten:
# Re-run Bundler to automatically install the right DB adapter now that database.yml is populated
cd /var/www/redmine
sudo bundle install --without development test postgresql sqlite rmagick
# Generate a secret token and protect it
sudo rake generate_secret_token
sudo chmod 0640 config/initializers/secret_token.rb
sudo chgrp redmine config/initializers/secret_token.rb
sudo RAILS_ENV=production rake db:migrate
sudo RAILS_ENV=production REDMINE_LANG=en rake redmine:load_default_data
# Encrypt SCM and LDAP passwords
sudo RAILS_ENV=production rake db:encrypt
Ich werde als Aufruf-URL ein https://host/pm konfigurieren. Dafür ergänze ich in der configuration.yml folgende Zeilen:
# Configuration of the autologin cookie.
# autologin_cookie_name: the name of the cookie (default: autologin)
# autologin_cookie_path: the cookie path (default: /)
# autologin_cookie_secure: true sets the cookie secure flag (default: false)
autologin_cookie_name:
autologin_cookie_path: "/pm"
autologin_cookie_secure: true
Anschließend lege ich einen symbolischen Link an:
ln -s public pm
Optional könnt ihr ungenutzte Module entfernen:
a2dismod access_compat alias authz_groupfile autoindex cgid deflate dir env filter negotiation status > /dev/null
Konfiguriert die SSL-Konfiguration des Apache
cat << EOF > /etc/apache2/sites-available/pm.svc.sdeziel.info-ssl.conf
<VirtualHost _default_:443>
ServerName EUER_SERVERNAME
ServerAdmin webmaster@EUREDOMAIN.DE
ErrorLog /var/log/apache2/redmine-error.log
CustomLog /var/log/apache2/redmine.log combined
SSLEngine On
SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
# Passenger user
PassengerUser redmine
# XXX: If NOT using a sub-URI
#DocumentRoot /var/www/redmine/public
# XXX: If using a sub-URI (/pm)
DocumentRoot /var/www/redmine/pm
RailsBaseURI /pm
PassengerAppRoot /var/www/redmine
</VirtualHost>
EOF
Den nachfolgenden Schritt in der Anleitung kann ich nicht nachvollziehen, habe ihn aber dennoch durchgeführt:
„Tweak Passenger performance:“
cat << EOF > /etc/apache2/conf-available/zz-passenger-performance.conf
# Passenger tuning
PassengerMaxPoolSize 2
PassengerMinInstances 1
# XXX: Pick one of those PassengerPreStart
#PassengerPreStart https://pm.svc.sdeziel.info/
#PassengerPreStart https://pm.svc.sdeziel.info/pm
PassengerMaxRequests 5000
PassengerUploadBufferDir /tmp/
# Breaks compatibility with mod_autoindex and mod_rewrite
PassengerHighPerformance on
# Do not reveal too much about the server
ServerTokens Prod
ServerSignature Off
Es empfiehlt sich, nur HTTPS-Verbindungen zuzulassen:
Einmal im Jahr bettelt unser Terminal Server darum, ein neues Zertifikat für die RemoteApps zu erhalten – und jedes Jahr auf’s neue kommt die Frage auf – wie ging das noch mal mit der Zertifikatserneuerung im Active Directory?
Wie erstellt Ihr Euch im Active Directory von Eurer Zertifizierungsstelle (DomänenController) ein neues Zertifikat?
Ganz einfach:
Öffnet Euch eine Management-Konsole und fügt Euch (Strg + M) das SnapIn für „Zertifikate -> Lokaler Computer“ hinzu.
Anschließend geht ihr auf „Eigene Zertifikate“.
Rechte Maustaste –> Alle Aufgaben –> Neues Zertifikat anfordern
Anschließend einfach auf „Weiter“
Wählt die „Active Directory-Registrierungsrichtlinie“ aus
Setzt ein Häkchen auf „Computer“ und klickt auf „Registrieren“. Fertig ist das Zertifikat erstellt.
Jetzt könnt ihr es, sofern dafür benötigt, noch im RemoteApp Manager einbinden:
Das Stichwort „Ransomware“ ist derzeit in aller Munde und auch an mir geht die Aufgabe nicht vorbei, das Netzwerk meines Arbeitsgebers abzusichern. Aus diesem Grund heute aus aktuellem Anlass eine Anleitung, wie man mittels Gruppenrichtlinien im gesamten Unternehmen wirksam verhindert, dass Ransomware auf den Rechner mittels Makroschädling den PC infiziert.
Makros sind nur ein möglicher Infektionsweg von vielen. Täglich werden neue Wege aufgezeigt.
Aus diesem Grund noch mal der Hinweis, dass nur Backups,
welche nicht permanent am PC angeschlossen sind,
vor Ransomware schützen können.
Wie vereinheitlicht man die Office-Makro-Sicherheitseinstellungen seiner Anwender mittels zentraler Anpassung der via Gruppenrichtlinie?
Herunterladen und Bereitstellen der Gruppenrichtlinie
Herunterladen der Administrativen Vorlagen für Microsoft Office (In der Regel heutzutage die 64-Bit Version)
Nach dem Download führen Sie die heruntergeladenen AdminTemplates_32/64.exe -Dateien aus. Sie werden aufgefordert, ein Verzeichnis zu nennen, wohin Sie die Vorlagendateien entpacken möchten. entpacken Sie die Dateien an einen Ort, an den Sie von Ihrem Domänencontroller aus hinkommen
Verbinden Sie sich mit Ihrem Domänencontroller und kopieren Sie die Dateien im Verzeichnis admx in das Verzeichnis %systemroot%\PolicyDefinitions\
Sie brauchen nur die Unterverzeichnisse für de und en, die anderen Sprachen müssen Sie nicht mit kopieren.
Konfigurieren der Gruppenrichtlinie
Erstellen Sie in der Gruppenrichtlinienverwaltung eine neue Gruppenrichtlinie für die Office-Sicherheitseinstellungen. Die zugehörigen Makroeinstellungen finden Sie an der folgenden Stelle:
Office 2013
Hier können Sie gegebenenfalls gleich die komplette VB-Skript-Ausführung deaktivieren:Benutzerkonfiguration \ Administrative Vorlagen \ Microsoft Office 2013 \ Sicherheitseinstellungen \ VBA für office-Anwendungen deaktivieren Diese Richtlinie schalten Sie auf Aktiviert.
Beispiel : Word 2013
Benutzerkonfiguration \ Administrative Vorlagen \Microsoft Word 2013 \ Word-Optionen \ Sicherheit \ Trust-Center \ Einstellungen für VBA-Makrobenachrichtigungen Hier wählen Sie „Alle Makros ohne Benachrichtigung deaktivieren“.Die Einstellungen für die anderen Office-Programme und Word-Versionen befinden sich an den folgenden Stellen:
Programm
GPO-Pfad
Einstellung
Word 2013
Microsoft Word 2013\Word-Optionen\Sicherheit\Trust-Center
Einstellungen für VBA Makrobenachrichtigungen:
Alle Makros ohne Benachrichtigung deaktivieren
Word 2010
Microsoft Word 2010\Word-Optionen-Sicherheit\Sicherheitscenter
Einstellungen für VBA Makrobenachrichtigungen:
Alle Makros ohne Benachrichtigung deaktivieren
Word 2007
Microsoft Office Word 2007\Word-Optionen\Sicherheit\Vertrauensstellungscenter
Einstellungen für VBA Makrobenachrichtigungen:
Keine Warnungen für alle Makros, aber alle Makros deaktivieren
Excel 2013
Microsoft Excel 2013\Excel-Optionen\Sicherheit\Trust-Center
Einstellungen für VBA Makrobenachrichtigungen:
Alle Makros ohne Benachrichtigung deaktivieren
Excel 2010
Microsoft Excel 2010\Excel-Optionen\Sicherheit\Sicherheitscenter
Einstellungen für VBA Makrobenachrichtigungen:
Alle Makros ohne Benachrichtigung deaktivieren
Excel 2007
Microsoft Office Excel 2007\Excel-Optionen\Sicherheit\Vertrauensstellungscenter
Einstellungen für VBA Makrobenachrichtigungen:
Keine Warnungen für alle Makros, aber alle Makros deaktivieren
Die GPO-Pfade für die Makro-Einstellungen der in der Tabelle genannten Programme lassen sich ebenfalls ableiten auf Outlook, Access, Powerpoint und all die anderen Office-Programme. Die Pfade unterscheiden sich bei den Versionen zumeist in der unterschiedlichen Übersetzung des „Trust-Centers“.
Vergessen Sie anschließend nicht, die Gruppenrichtlinie mit der richtigen Organisationseinheit in Ihrem Netzwerk zu verknüpfen, damit diese aktiv wird.
