some random thoughts

Microsoft Graph: Restricting SharePoint access beyond Sites.Selected

2026-01-20T00:00:00+01:00

Least principle all the way

You might already have heard of the Sites.Selected Graph permission scope, to restrict service principal access to individual SharePoint (or OneDrive) sites. But are you aware that you can even go as far as restricting access to library, folder or even item level?

As always, the security principle of least privilege should be the default operating procedure. Reducing access is the first step in reducing the possible attack paths and preventing exposure.

If Sites.Selected is too much permission, we have the following permission scopes to our disposal:

Graph Permission	Description
`Lists.SelectedOperations.Selected`	Allow the application to access a subset of lists on behalf of the signed in user. Note that a list in SharePoint can be anything from a classic SharePoint List, to Libraries, to calendars.
`ListItems.SelectedOperations.Selected`	Allow the application to access a subset of listitems on behalf of the signed in user.
`Files.SelectedOperations.Selected`	Allow the application to access files explicitly permissioned to the application on behalf of the signed in user. This is a more specific case of the `Lists.SelectedOperations.Selected` permission, where only items in libraries can be processed, but not items of all list types (e.g. no access to events in a calendar list).

What might look unusual is the SelectedOperations part. This means that we not only either grant full control or nothing but have more nuanced permission roles available. However, these permissions are not granted in Entra. Instead, they are given directly in SharePoint Online using PowerShell Cmdlets. The permissions are:

Permission Role	Description
Read	Read the metadata and contents of the resource.
write	Read and modify the metadata and contents of the resource.
owner	Represents the owner role.
fullcontrol	Represents full control of the resource.

To the best of my knowledge, and the tests I performed the roles fullcontrol and owner are the same with regards to permissions. If you know any difference leave a comment below.

How to assign Selected permissions

Setting up such permission is only scarcely documented, if at all. So, let’s dive into what we need to make these selected permissions work.

We need to differentiate between two scopes:

The permission giver who has the right to assign permissions.
This can be an admin, but formally it is enough to have full control on the parent scope to give access to a sub-scope.
The selected permission user, who is unprivileged until receiving permissions by the permission giver.

As we have different levels where we can give permissions lets break down what access we need to be a permission giver:

On the site level you always need Sites.FullControl.All as the anchor permission:
For all other levels (list, library, listitem, file) you can also work with the SelectedOperations permission scope and assign the permission giver full control. Then the permission giver can also work with least privilege.

Permissions required to give permissions on a site level (Own Drawing)

Permissions required to give permissions on a list item level (Own Drawing)

A practical example

Imagine the following scenario:

You are an admin at retail operations. Most stores are centrally managed, but select stores are managed individually. All stores report their inventory using a dedicated application which stores CSV-Files in a SharePoint site. You want to limit access for the individually managed stores to a single folder for each store.

In this case you as an admin are the permission giver with full access. You need to create a dedicated application registration for each store to assign dedicated permissions to.

The process to prepare the individual upload application is:

Create a new Application Registration for the restricted file upload
Identify the path you want to make writeable (Library, Folder or Item)
Assign the write permission on the path to the created App Registration

In this example we have FullControl on SharePoint as admin. Then we can do the following in PowerShell Graph (check out my GitHub for a more detailed explanation of the involved steps):

# Connect with high privileged app (e.g. Sites.FullControll.All + Application.ReadWrite.OwnedBy)
Connect-MgGraph -Scopes "Application.ReadWrite.All" -TenantId "contoso.onmicrosoft.com"
$context = Get-MgContext

# Create new low-privileged app
$graphResourceId = "00000003-0000-0000-c000-000000000000"
$FilesSelectedOperationsSelected = @{
    Id   = "bd61925e-3bf4-4d62-bc0b-06b06c96d95c"
    Type = "Role"
}
$ResourceAccess = @{
    ResourceAppId  = $graphResourceId
    ResourceAccess = @($FilesSelectedOperationsSelected)
}
$AppName = "Restricted Inventory Upload - Store 653"

# Create low privileged app registration
$appRegistration = New-MgApplication -DisplayName $AppName `
    -Web @{ RedirectUris = "http://localhost"; } -AdditionalProperties @{}`
    -RequiredResourceAccess $ResourceAccess
Write-Host -ForegroundColor Cyan "App registration created with app ID" $appRegistration.AppId

# Create corresponding service principal
New-MgServicePrincipal -AppId $appRegistration.AppId -AdditionalProperties @{} | Out-Null
Write-Host -ForegroundColor Cyan "Service principal created"
Write-Host

# Generate admin consent URL
$adminConsentUrl = "https://login.microsoftonline.com/" + $context.TenantId + "/adminconsent?client_id=" `
    + $appRegistration.AppId
Write-Host -ForegroundColor Yellow "Please go to the following URL in your browser to provide admin consent"
Write-Host $adminConsentUrl
Write-Host

# As of version 2.32 the Microsoft.Graph.Beta cmdlets are still required to assign Permissions on Lists, ListItems and Files. Install if necessary
# Install-PSResource Microsoft.Graph.Beta

$siteId = "contoso.sharepoint.com,5747c09b-c9e3-43f9-ad9d-518d08b73533,20bd8c53-bc8e-4a6c-8bfc-ef5cec62805e"
$driveId = "b!m8BHV-PJ-UOtnVGNCLc1M1OMvSCOvGxKi_zvXOxigF5YWDUb_H9USKNZDcOFTq09"

$FolderPath = "root:/Inventory/Store 653"
$driveItemID = (Get-MgDriveItem -DriveId $driveId -DriveItemId $FolderPath).Id

# Configure write Permission
$params = @{
    roles = @(
        "write"
    )
    grantedTo = @{
        application = @{
            id = "$($appRegistration.AppId)"
        }
    }
}

# Assign write permission to low privileged app
New-MgBetaDriveItemPermission -DriveId $driveId -DriveItemId $driveItemID -BodyParameter $params

Get-MgBetaDriveItemPermission -DriveId $driveId -DriveItemId $driveItemID

With these steps we have successfully created a low privileged app which can only read and write to a single SharePoint library under the folder path Inventory/Store 653. To complete our example, we just need a script which uploads inventory to the given path:

# Connect with low privileged app with Files.SelectedOperations.Selected Permission
Connect-MgGraph -ClientId 99391266-3b04-4293-a5d7-3836de018b39 -CertificateThumbprint 8D2734DE76F3ADD1552D7E17BCD76BF1DD3D539A -TenantId "contoso.onmicrosoft.com"

$sourceFileLocation = "C:\Inventory\Inventory.csv"

$driveId = "b!m8BHV-PJ-UOtnVGNCLc1M1OMvSCOvGxKi_zvXOxigF5YWDUb_H9USKNZDcOFTq09"
$FolderPath = "root:/Inventory/Store 653"
$targetFileLocation = "$FolderPath/Inventory.csv:"

$file = Get-ChildItem $sourceFileLocation

$uploadedResponse = Set-MgDriveItemContent -DriveId $driveId -DriveItemId $targetFileLocation -InFile $file.FullName -ErrorAction Stop

Get-MgDriveItem -DriveId $driveId -DriveItemId $FolderPath

That’s it. Our low privileged app can successfully upload inventory to SharePoint but cannot even access inventory information of other stores, as access is restricted to the path.

Conclusion

With some extra effort we can effectively restrict application access further than just on a site level. The provided script gives you a starting point for your own adaptations. Further restricting access might prove especially useful for larger sites with many different lists and libraries.

Even though the Graph API did not change for these commands in the past 6 months, we have yet to see a GA version of giving permissions in these scopes.

Practical Graph: How to Delegate Device Management in Entra ID →

2025-11-12T00:00:00+01:00

Die nächste Version von Exchange Server kommt 2025

2024-10-30T00:00:00+01:00

Veröffentlichungshinweis: Dieser Beitrag entstand im Rahmen meiner Tätigkeit bei der SVA System Vertrieb Alexander GmbH. Er erschien zuerst im Blog FOCUS ON IT - Der Expertenblog der SVA am 29. Oktober 2024.

Ihre optimale Vorbereitung auf Exchange Server Subscription Edition (SE)

Bei Microsoft verlieren 2025 viele Produkte Ihren Support. Für Exchange ist der entscheidende Stichtag im Oktober 2025 weniger als 12 Monate entfernt. Also höchste Zeit die anstehenden Änderungen genauer zu beleuchten.

Was 2025 im Microsoft Produktportfolio passiert

Am 14.Oktober 2025 endet der Support für Exchange Server 2016 und 2019. Für beide Produkte endet damit der Lebenszyklus, sie sind an ihrem „End of Life“ (EOL). Dies bedeutet, dass es keine weiteren Updates mehr für diese Versionen geben wird: Weder neue Features noch Sicherheitsaktualisierungen werden im Anschluss verteilt. Es drängt sich die Frage auf: Was kommt danach? Denn noch ist der Nachfolger von Exchange Server nur angekündigt, steht jedoch nicht zur Verfügung.

Mit Exchange Server 2019 CU15 ist ein letztes kumulatives Update für Exchange Server 2019 angekündigt, welches noch in diesem Jahr erscheinen wird. Die wichtigsten Punkte sind dabei die Unterstützung von Windows Server 2025, sowie von TLS 1.3.

Unternehmen bleibt also nicht viel Zeit, um sich auf die anstehenden Änderungen vorzubereiten, gerade wenn man bedenkt, dass im Jahr 2025 weitere zentrale Komponenten im Microsoft Umfeld ihr Verfallsdatum erreichen:

SQL Server 2012 (mit Extended Security Updates)
Windows 10
Office 2016
Office 2019

Sofern Sie noch eine ältere Version von Exchange Server einsetzen, wie bspw. Exchange Server 2013 oder sogar Exchange Server 2010, sollten Sie sofort mit der Planung eines Upgrades auf eine unterstützte Version beginnen, denn in älteren Versionen werden bekannte Sicherheitslücken nicht mehr geschlossen. Hiermit sind Sie einem akuten Risiko ausgesetzt.

Bin ich vom Supportende betroffen?

Sie oder Ihr Unternehmen sind in folgenden Fällen von dem jetzigen Supportende von Exchange Server 2016/2019 betroffen:

Sie betreiben Exchange Server im eigenen Rechenzentrum für Ihre E-Mail-Infrastruktur ohne eine Anbindung an die Microsoft Cloud (Microsoft 365 und Exchange Online). Dies ist unabhängig davon, welche Rolle genau Sie bei Exchange Server verwenden.
Sie betreiben Exchange Server in Kombination mit einem eigenen Microsoft 365 Tenant bzw. Exchange Online in der sogenannten Hybridkonfiguration.
Sie betreiben eine reine Exchange-Online-Umgebung, verwenden jedoch weiterhin Exchange Server für:
1. die Verwaltung von Postfächern in Verbindung mit Entra Connect / Entra Cloud Sync
  - und / oder -
2. das Relay von E-Mails von lokalen Anwendungen und Diensten (bspw. Line-of-Business-Anwendungen oder Scan-to-mail).

In allen genannten Fällen müssen Sie vor dem 14.10.2025 handeln, um weiterhin eine unterstützte Systemumgebung sicherzustellen.

Abbildung 1 Wann ist meine Organisation vom Supportende von Exchange Server 2016 / 2019 betroffen im Überblick

Sofern Sie weiterhin eine Identitätssynchronisation Ihrer Identitäten aus dem lokalen Active Directory zu Entra ID einsetzen (Entra Connect, Entra cloud sync), jedoch bereits den letzten Exchange Server in Ihrer Serverlandschaft heruntergefahren haben, betrifft Sie das Supportende nur am Rande. Die in diesem Fall zur Verwaltung nötige Management-Rolle (Management Tools) sollte auch regelmäßig aktualisiert werden, um von Sicherheitsaktualisierungen zu profitieren. Hierbei wird jedoch lediglich eine Client-Komponente aktualisiert.

Upgrade-Pfade: Diese Optionen haben Sie

Nun sollte klar sein: Viele Unternehmen müssen im kommenden Jahr handeln. Aber was sind eigentlich die Optionen?

Abhängig von Ihrer Ausgangssituation können wir verschiedene Pfade betrachten:

Weiterbetrieb von Exchange Server in der neueren Version (Exchange Server SE)
Weiterbetrieb von Exchange Hybrid bzw. Initialisierung der Hybridstellung^
Kompletter Wechsel in die Cloud-Infrastruktur mit Exchange Online unter Abschaltung der bisherigen Exchange Server

Abbildung 2 Upgrade-Pfade für Exchange Server 2016 und 2019 im Überblick

Beleuchten wir im Folgenden die Optionen:

Upgrade zu Exchange Server SE

Der naheliegendste Schritt ist der 1:1 Ersatz mit der Folgeversion. Die nächste Version heißt Exchange Server Subscription Edition (SE). Diese wirft ihren Schatten bereits seit Monaten, wenn nicht sogar Jahren, voraus. Nach langer Unklarheit über die genauen Details sind nun die wichtigsten Eckpunkte für die kommende Version von Exchange Server verfügbar, womit wir im Folgenden einen genaueren Blick auf Abhängigkeiten und Voraussetzungen werfen können.

Zuallererst: Exchange Server ist in Zukunft nicht mehr ohne ein aktives Abonnement verfügbar. Im Detail bedeutet dies entweder den Abschluss einer Software Assurance (SA) oder den Kauf von Microsoft 365 Lizenzen, wie Microsoft 365 E3/E5 für alle Benutzer.

Auch in Zukunft gilt bei Microsoft das Credo „Cloud First“, womit nur ausgewählte Features, ggf. mit deutlich zeitlichem Verzug, in Exchange Server Einzug halten werden. Nichtsdestotrotz hat sich Microsoft zum Produkt bekannt und arbeitet weiter aktiv an neuen Features und der Unterstützung neuer Betriebssysteme.

Exchange Server SE soll im dritten Quartal 2025 veröffentlicht werden. Von einer Veröffentlichung bis spätestens August ist auszugehen. Damit bleiben Kunden unter Umständen nur wenige Monate für einen Versionswechsel. Entsprechend sollte frühzeitig mit den Planungen begonnen werden.

Exchange Hybrid einrichten

Auch im Falle einer bestehenden Hybridstellung ist die Aktualisierung von Exchange Server unumgänglich, sofern die Hybridstellung weiterhin Bestand haben soll. Wie in der Vergangenheit wird Microsoft mit der Zeit dazu übergehen, ältere Versionen des Exchange Servers, die nicht mehr unterstützt werden, aktiv an der Zustellung von E-Mails zu hindern.

Migration zu Exchange Online

Die von Microsoft wohl als am besten angesehene Lösung ist die vollständige Migration zu Exchange Online unter Abschaltung sämtlicher Exchange Server. Dies ist für Unternehmen jedoch aus unterschiedlichen Anforderungen heraus nicht immer die richtige Lösung. Insbesondere bei der Integration von Archivsystemen, die ein Journalpostfach voraussetzen oder Anwendungen, die noch nicht mit moderner Authentifizierung auf OAUTH-Basis zurechtkommen: Beide Szenarien können eine alleinige Verwendung von Exchange Online verhindern.

Sofern nur noch wenige Postfächer die Abschaltung von Exchange Server verhindern, macht eine Investition, welche die Hinderungsgründe beseitigt, hier ggf. Sinn.

Exchange Server SE – Voraussetzungen und Fallstricke

Die Veröffentlichung von Exchange Server SE im dritten Quartal 2025 erfolgt als Version RTM (Release to manufacturing) und steht für die zum allgemeinen Gebrauch freigegebene Version. Hierbei handelt es sich defacto um ein kumulatives Update von Exchange Server 2019, bei dem neben der Lizensierungsmodalität keine weiteren Features eingeführt werden. Sofern in der bestehenden Umgebung noch ältere Versionen als Exchange Server 2016 installiert sind, blockiert der Installationswizard die Installation von Exchange Server SE RTM.

Ebenfalls angekündigt ist bereits das erste kumulative Update von Exchange Server SE, welches entsprechend als CU1 bezeichnet wird. Mit CU1 werden erstmals neue Features bei Exchange Server SE eingeführt. Dies ist für das vierte Quartal 2025, nach dem Supportende von Exchange Server 2016 / 2019, geplant. Sofern hierbei noch eine Installation von Exchange Server 2016 oder 2019 erkannt wird, wird ebenfalls die Installation blockiert, da CU1 nach dem Supportende von Exchange Server 2016/2019 veröffentlicht wird.

Die Hardwareanforderungen sind mit denen von Exchange Server 2019 identisch. Entsprechend einfach gestaltet sich die Installation über ein vorhandenes Exchange Server 2019 System. Hierbei lässt sich Exchange Server SE wie ein reguläres kumulatives Update über die bestehende Installation aktualisieren.

Anders gestaltet sich die Sache bei Exchange Server 2016. Hier kann nur mit der klassischen Variante der Einführung einer neuen Version gearbeitet werden. Das bedeutet, dass Exchange Server SE parallel auf neue Server installiert und konfiguriert wird. Im Anschluss werden alle Postfächer auf die neuen Server verschoben. Je nach Größe der Umgebung kann diese Aufgabe schnell die Zeit sprengen, in der Exchange Server SE zur Verfügung steht und Exchange Server 2016 noch unterstützt wird.

Unsere Handlungsempfehlung für Exchange Server 2016

Aufgrund dieser kurzen zeitlichen Überschneidung empfehlen wir dringend schon jetzt aktiv zu werden.

Wenn Sie noch Exchange Server 2016 einsetzen, sollten Sie, statt auf Exchange Server SE zu warten, jetzt schon handeln.

Installieren Sie Exchange Server 2019
Migrieren Sie alle bestehenden Postfächer auf die neuen Server
- und -
Deinstallieren alle Exchange Server 2016 Instanzen.

Dies erleichtert den Umstieg auf Exchange Server SE massiv und reduziert die Risiken eines nicht rechtzeitigen Projektabschlusses erheblich.

Warten Sie nicht auf die Unterstützung für Windows Server 2025!

Zwar unterstützt die kommende Version von Exchange Server 2019 erstmalig Windows Server 2025, dies sollte jedoch kein Grund sein, mit den Planungen und der Ausführung eines Upgrades von Exchange Server 2016 zu warten. Mit Windows Server 2022 wird aktuell ein Betriebssystem unterstützt, welches bis Oktober 2031 Sicherheitsupdates erhält. Ein Upgrade auf neue Betriebssystemversionen wird auch künftig mit einer Neuinstallation von Exchange Server SE verbunden sein.

Und was ist mit SMTP Relay?

Sofern Exchange Server lediglich als Relay verwendet wird, um E-Mails aus dem lokalen Rechenzentrum weiterzuleiten, lässt sich dies auch auf andere Weise lösen. Unter anderem mit der neuen Funktionalität E-Mails mit hohem Volumen für Microsoft 365 (HVE) in Exchange Online oder dem Azure ACS Dienst. Details hierzu beleuchten wir in einem kommenden Blogbeitrag.

Fazit

Exchange Server 2016 geht 2025 nach zehn, Exchange Server 2019 nach sieben Jahren in den Ruhestand. Hiervon sind alle Unternehmen betroffen, die zurzeit Exchange Server einsetzen. Zwei wichtige Punkte sollten Unternehmen daher schon jetzt beachten, um einen möglichst reibungslosen Übergang von den bisherigen Versionen sicherzustellen:

Sofern noch Exchange Server 2016 im Einsatz ist: Sofortiges Upgrade auf Exchange Server 2019 oder Migration zu Exchange Online. Warten Sie nicht länger, beginnen Sie mit der Upgrade-Planung. Ein Parallelbetrieb wird nur sehr kurz möglich sein und kann gerade größere Organisationen schnell in zeitliche Bedrängnis bringen.
Die Anforderung der Software Assurance sowie neuer Lizenzen und CALs in der Budgetplanung berücksichtigen. Ggf. sollten Sie hierzu eine Lizenzberatung einholen, um die optimale Verwendung bestehender Lizenzrechte sicherzustellen.

Mit einer aktuell unterstützten Version von Exchange Server 2019 sind Unternehmen technisch gut auf die neue Version vorbereitet. Organisatorisch sollte der Aufwand für die Aktualisierung bereits eingeplant werden.

Exchange Server - Mehr Sicherheit mit Extended Protection

2022-10-09T00:00:00+02:00

Geschlossene Sicherheitslücken in Exchange Server

Mit dem Patch-Tuesday im August 2022 hat Microsoft auch einen neuen Sicherheitspatch (SU) für Exchange Server 2013, 2016 und 2019 herausgebracht.

Mit dem Installieren ist es aber - wie schon im Mai – nicht getan. Offiziell schließt der Patch sechs verschiedene Sicherheitslücken, wovon drei als kritisch eingestuft werden. Nach der Installation des Sicherheitsupdates wird allerdings nur eine Lücke mit der Einstufung Wichtig direkt geschlossen. Die restlichen Lücken benötigen darüber hinaus die Aktivierung der Extended Protection (EP).

Das Update steht für folgende Versionen von Exchange Server bereit:

Exchange Server 2013 CU23
Exchange Server 2016 CU22 und CU23
Exchange Server 2019 CU11 und CU12

Aufgrund von geringeren Einschränkungen bei der Konfiguration von EP sollten Sie bei Exchange Server 2016 und 2019 erst auf das neueste Cumulative Update (CU) - 2022 H1 aktualisieren.

Was ist Extended Protection?

Der erweiterte Schutz für die Authentifizierung schützt gegen sog. Man-In-The-Middle (MITM)-Angriffe, bei denen die Anmeldeinformationen eines Clients von einem Angreifer abgefangen und an einen Server weitergeleitet werden.

Quelle: docs.microsoft.com (Abgerufen am 08.09.2022)

Die Ursprünge von EP versetzen uns fast in eine andere Zeit. Angekündigt wurde das Feature mit dem Patch Tuesday vom August 2009. Im selben Monat standen die entsprechenden Patches für Betriebssysteme ab Windows XP und Windows Server 2003 bereit. Zwischen der Einführung von Extended Protection in Microsoft Internet Information Services (IIS) und der Unterstützung in Exchange Server liegen somit 13 Jahre.

Der Hintergrund von EP liegt in der Vermeidung von Angriffen im Zuge der Authentifizierung. Es soll verhindert werden, dass sich Angreifende zwischen Client (bspw. Smartphone) und Server (bspw. Exchange) stellen können und die Authentifizierung im Namen des Clients durchführen. So hätte der Angreifende im Anschluss die gleichen Rechte wie der Client und könnte entsprechend auf Daten zugreifen.

Im Windows-Ökosystem unterstützen Clients zumeist automatisch EP. In Serveranwendungen muss die Unterstützung allerdings erst programmatisch eingefügt werden. Dies hat die Exchange-Produktgruppe mit dem SU nun nachgeholt. Was bleibt ist die Aktivierung, der wir uns mit diesen Zeilen widmen.

Voraussetzungen der EP-Aktivierung

Bevor EP für Exchange Server aktiviert werden kann, sind einige Voraussetzungen zu beachten. Diese werden nachfolgend kurz aufgeführt und basierend auf den offiziell bereitgestellten Informationen der Exchange-Produktgruppe erläutert.

Exchange Server Version

Für Exchange Server 2013 muss das aktuelle CU23 vorliegen. Bei Exchange Server 2016 und 2019 wird hingegen neben dem aktuellen CU auch das vorherige CU unterstützt. Bei Exchange Server 2013 ist zudem zu beachten, dass hier keine öffentlichen Ordner-Postfächer gehostet werden dürfen.

Im Falle von Exchange Server 2016 und Exchange Server 2019 müssen öffentliche Ordner-Postfächer, die die Hierarchie halten, in jedem Fall das neuste CU besitzen.

Exchange Version	CU Version	SU Version	Öffentliche Ordner-Postfächer	EP unterstützt?
Exchange 2013	CU23	Aug. 2022 oder neuer	Nein	Ja
Exchange 2016	CU22	Aug. 2022 oder neuer	Keine Postfächer mit Hierarchie	Ja
Exchange 2016	CU23 oder neuer	Aug. 2022 oder neuer	Alle	Ja
Exchange 2019	CU11	Aug. 2022 oder neuer	Keine Postfächer mit Hierarchie	Ja
Exchange 2019	CU12 oder neuer	Aug. 2022 oder neuer	Alle	Ja
Alle anderen Versionen	Jedes andere CU	Jedes andere SU	Alle	Nein

Tabelle 1: Für Extended Protection unterstützte Systemkonfigurationen - Angelehnt an https://microsoft.github.io/CSS-Exchange/Security/Extended-Protection/

Der erweiterte Support von Exchange Server 2013 endet bereits im April nächsten Jahres. Im Anschluss daran werden keine weiteren Sicherheitspatches mehr bereitgestellt. Es bleiben also nur noch 6 Monate, um ein Update auf eine aktuellere Version durchzuführen.

Exchange Hybrid

Falls Exchange im Hybrid-Modus mit Exchange Online gekoppelt ist, gibt es ebenfalls eine Einschränkung zu beachten, sofern man auf eine der Modern Hybrid-Varianten setzt. In diesem Fall läuft ein Agent auf mindestens einem der Exchange Server, der die Notwendigkeit von eingehenden Verbindungen via geöffnetem Port ersetzt. Server mit dem Agenten müssen dann gesondert behandelt werden.

In diesem Fall ist es empfehlenswert, auf die Classic Hybrid-Varianten zu wechseln. Alternativ nennt Microsoft drei Schritte, um Server abzusichern, auf denen der Agent läuft:

Eingehende Verbindungen zu Exchange Servern sollten via Firewall auf Server begrenzt werden, auf denen der Hybrid-Agent läuft.
Es sollten keine Postfächer auf Server gehostet werden, welche einen Hybrid-Agenten haben. Bestehende Postfächer sollten zu anderen Servern umgezogen werden.
EP kann für alle virtuellen Verzeichnisse aktiviert werden, bis auf das EWS-Verzeichnis im Frontend.

Kryptografie

TLS-Versionen

Die TLS-Versionen 1.0 und 1.1 gelten als veraltet und unsicher. Diese sollten daher in jedem Fall abgeschaltet werden. Die EP-Unterstützung ist allerdings trotzdem für die Versionen TLS1.0, TLS1.1 und darüber hinaus für TLS1.2 vorhanden. Für TLS1.3 gilt dies aktuell nicht, da Exchange Server dies bisher in keiner Version unterstützt. Für die Aktivierung von EP muss die TLS-Konfiguration auf allen Servern gleich sein. Die aktivierten Versionen dürfen sich pro Server also nicht unterscheiden.

.NET SchUseStrongCrypto und SystemDefaultTlsVersions

Abhängig von der .NET Version, die von den Exchange Binaries verwendet wird, wird ohne explizit gesetzte Registrierschlüssel ein unterschiedliches Verhalten hinsichtlich des verwendeten TLS-Protokolls angewendet. Entsprechend sollten die Registrierschlüssel explizit für .NET 4.x und .NET 3.5 gesetzt werden, mindestens jedoch für .NET 4.x.

SSL Bridging und Offloading

SSL Offloading, also das Terminieren der TLS-Verschlüsselung an einer vorgeschalteten Station (bspw. dem Loadbalancer) wird nicht unterstützt.

SSL Bridging, das Terminieren der TLS-Verschlüsselung bei anschließender Neuverschlüsselung, wird nur unterstützt, wenn von allen Stellen dasselbe Zertifikat verwendet wird. Es besteht also keine Möglichkeit, am Loadbalancer zu intern ausgestellten Zertifikaten zu wechseln.

NT LAN Manager (NTLMv1)

NLTMv1 gilt ebenfalls als schwach bzw. angreifbar. Entsprechend sollte NTLMv1 grundsätzlich in der kompletten IT-Infrastruktur abgeschaltet werden. Hierzu besteht auch die Möglichkeit, zentral die Anmeldung via NTLMv1 zu überwachen und entsprechende Alt-Anwendungen zu patchen.

Sobald EP aktiviert wird, funktionieren Anmeldungen an Exchange Server mit NTLMv1 nicht mehr. Eine Konfigurationsänderung ist nicht nötig, obwohl sie zu empfehlen ist. Die Konfiguration kann über Gruppenrichtlinien oder die lokale Sicherheitsrichtlinie erfolgen: Die Einstellung “Netzwerksicherheit: LAN Manager-Authentifizierungsebene” sollte auf “Nur NTLMv2-Antworten senden. LM & NTLM verweigern” gesetzt werden (Weiterführende Informationen zu LAN Manager).

Abbildung 1: Einstellungspunkt für die Deaktivierung von NTLMv1

Abbildung 2: Empfohlene Einstellung bei der Konfiguration der LM-Authentifizierungsebene

Dritthersteller Applikationen

Der Markt für Anwendungen, die mit Exchange Server interagieren, ist riesig. Entsprechend divers werden die Produkte auch in Exchange Server eingebunden. Sofern Anwendungen also mit Exchange über die Web-Schnittstellen wie bspw. EWS oder OAB kommunizieren, muss damit gerechnet werden, dass die Produkte ggf. nicht mehr funktionieren. Sofern der Hersteller keine Informationen bereitstellt, lässt sich dies nur durch entsprechendes Testen in einer Testumgebung oder nach der Umstellung im Produktivsystem erproben. Betroffen sind z.B. Sicherheitslösungen auf Endgeräten, die clientseitiges TLS-Bridging betreiben. In den meisten Fällen lässt sich die URL der Exchange Server hier auf eine Ausnahmeliste setzen.

Bekannte Probleme

Passwortabfragen bei Outlook

Sollte es vermehrt zu Passwortabfragen kommen, kann dies an der Einstellung für NTLM liegen. In diesem Fall sollte auf allen Exchange Servern “Netzwerksicherheit: LAN Manager-Authentifizierungsebene” mindestens auf “Nur NTLMv2-Antworten senden.” angehoben werden.

Archivierungsrichtlinie

Aufbewahrungstags mit der Anweisung “In Archiv verschieben” sind aktuell nur mit einem Workaround funktionsfähig. Hierbei wird das EWS-Backend auf die IP-Adressen der anderen Exchange Server zugangsbeschränkt. Mit einem künftigen Sicherheitsupdate soll dieser Workaround aufgelöst werden. Bei zukünftigen Updates sollten also die Patchnotes beachtet werden. In diesen wird auch darauf hingewiesen, dass der Workaround zurückgebaut werden kann.

Test-OutlookConnectivity

In allen Exchange-Server-Versionen kann das Cmdlet Test-OutlookConnectivity für folgende Testmodule fäschlicherweise “fehlgeschlagen” zurückmelden, obwohl bis auf das Testmodul alles funktional ist:

OutlookMapiHttpCtpProbe
OutlookRpcCtpProbe
OutlookRpcDeepTestProbe
OutlookRpcSelfTestProbe
ComplianceOutlookLogonToArchiveMapiHttpCtpProbe
ComplianceOutlookLogonToArchiveRpcCtpProbe

An einem Fix wird seitens Microsoft gearbeitet.

Fragebogen / Checkliste

Abschließend soll folgende Checkliste nochmal der Überprüfung aller nötigen Voraussetzungen dienen. Sofern eine Frage mit Ja beantwortet wurde, sollten Sie sich mit dem entsprechenden Punkt genauer beschäftigen bzw. die Voraussetzungen schaffen, damit EP aktiviert werden kann.

Frage	Ja	Nein
Ist in Ihrer Umgebung ein Exchange Server 2013 vorhanden, welcher öffentliche Ordner-Postfächer hostet oder diese in Koexistenz mit 2016 oder 2019 betreibt?	☐	☐
Ist in Ihrer Umgebung ein Exchange Server 2016 Server mit CU 22 vorhanden, welcher öffentliche Ordner-Hierarchien hostet?	☐	☐
Ist in Ihrer Umgebung ein Exchange Server 2019 Server mit CU 11 vorhanden, welcher öffentliche Ordner-Hierarchien hostet?	☐	☐
Ist bei Ihnen Exchange Hybrid im Modus Modern (Modern Minimal oder Modern Full) eingerichtet?	☐	☐
Haben Sie vor Ihrer Exchange-Umgebung einen Loadbalancer oder eine Web Application Firewall (WAF) implementiert, welche „SSL-Offloading” nutzt?	☐	☐
Haben Sie vor Ihrer Exchange-Umgebung einen Loadbalancer oder eine WAF, welche „SSL Bridging” mit unterschiedlichen Zertifikaten auf LB/WAF und Exchange einsetzt?	☐	☐
Gibt es Inkonsistenzen in den Einstellungen für TLS auf den Exchange-Servern oder existieren Exchange Server, welche noch nicht explizit TLS 1.2 verwenden?	☐	☐
Haben Sie Drittanbieter-Software auf den Exchange-Servern installiert oder an diese angebunden, welche inkompatibel zu den verstärkten Sicherheitskonfigurationen sein könnte (bspw. Signatursoftware, Archivsysteme, u.s.w)?	☐	☐

Tabelle 2: Fragebogen zur sicheren Aktivierung von Extened Protection bei Exchange

Skriptbasierte Konfiguration der Extended Protection

Prüfung des aktuellen Zustands

Gerade bei größeren Umgebungen sind die manuelle Konfiguration und Überprüfung eine mühselige Aufgabe. Microsoft stellt deshalb mit dem Skript ExchangeExtendedProtectionManagement.ps1 eine Möglichkeit bereit, die entsprechenden Aufgaben so weit wie möglich automatisch durchzuführen. Um den aktuellen Zustand von EP in der Exchange Server Farm zu überprüfen, lässt sich das Skript von der Exchange Management Shell als Administrator wie folgt aufrufen:

.\\ExchangeExtendedProtectionManagement.ps1 -ShowExtendedProtection

Im Anschluss wird für jedes virtuelle Verzeichnis der aktuelle Zustand ausgegeben. Zusätzlich bietet auch das HealhChecker Skript entsprechende Prüfungen an. In diesem Falle muss das Skript aber auf jedem Server separat ausgeführt werden, um ein vollständiges Bild zu erhalten.

Aktivieren von Extended Protection

Analog zur Überprüfung lässt sich das Skript auch zur Konfiguration der EP verwenden. Hierbei kann das Skript im Regelfall ohne weitere Parameter aufgerufen werden. Im Anschluss muss die Durchführung der Konfiguration allerdings noch einmal bestätigt werden.

Abbildung 3: Sicherheitsabfrage bei der skriptbasierten Konfiguration von Extended Protection

Danach sollte auch das HealthChecker-Skript bestätigen, dass die Server nicht mehr von den entsprechenden Sicherheitslücken betroffen sind.

Abbildung 4: Ausgabe des HealthChecker-Skripts, wenn alle bekannten Sicherheitslücken gepatched sind.

Sonderfall mit Archivierungsrichtlinie

Wenn wie zuvor beschrieben eine Archivierungsrichtlinie vorhanden ist, müssen in einer Datei zuerst alle IP-Adressen der Exchange-Server eingetragen werden. Hier sind IPv4, IPv6 sowie die Eintragung von Subnetzen (in CDIR Notation, bspw. 10.100.5.1/24) erlaubt.

Abbildung 5: Datei mit den IP-Adressen aller Exchange-Server der Umgebung

Im Aufruf des ExchangeExtendedProtectionManagement-Skripts muss diese dann hinterlegt werden, um die Funktionalität von Archivierungsrichtlinien aufrechtzuerhalten.

.\\ExchangeExtendedProtectionManagement.ps1 -RestrictType \'EWSBackend\' -IPRangeFilePath \'C:\\tmp\\ExchangeServerIPs.txt\'

Sonderfall Modern Hybrid

Im Falle von Modern Hybrid müssen Server mit Agenten von der Konfiguration von EP ausgenommen werden.

.\\ExchangeExtendedProtectionManagement.ps1 -SkipExchangeServerNames HybridServer1, HybridServer2

Rollback

Falls nach der Aktivierung doch noch unvorhergesehene Probleme auftreten, unterstützt auch hier das Skript, indem die IIS-Konfiguration von vor der Änderung zurückgespielt werden kann.

Achtung: Sollten zwischen Aktivierung und Rollback der EP manuelle Änderungen an der applicationHost.config vorgenommen worden sein, so müssen diese im Anschluss erneut angewendet werden. Sobald die entsprechenden Probleme beseitigt wurden, lässt sich EP mit dem Skript erneut aktivieren.

Fazit

Mit der Unterstützung von Extended Protection in Exchange sichert Microsoft die Server besser gegen Man-In-The-Middle-Angriffe ab. Aktuelle Einschränkungen machen allerdings die Verwendung von Workarounds nötig. Diese müssen bei zukünftigen Updates berücksichtigt und ggf. wieder zurückgebaut werden.

Kinderwünsche

2020-04-21T00:00:00+02:00

Wenn man nur wüsste, was in Kinderköpfen alles merkwürdiges vor sich geht.

Mama, ich würde so gerne die tote Katze anschauen. Wir müssen die in Papas Garten ausgraben.

Tochter, 4½ Jahre

R.I.P. Paulchen. Wir lassen dich im Garten ruhen, wie auch die letzten 15 Jahre.

Alles neu macht der Mai

2017-05-23T00:00:00+02:00

marvindickhaus.de läuft seit der initialen Erstellung auf Wordpress. Wordpress hat einige Vorteile, aber auch einige Nachteile. Seit heute nutze ich ein neues Blogsystem zum erstellen und verwalten meiner Beiträge.

Ein neues Blogsystem für marvindickhaus.de

Mit dem heutigen Tag läuft marvindickhaus.de nicht mehr unter Wordpress, sondern nutzt Jekyll und das Whiteglass Theme.

Alle bisher erstellten Beiträge habe ich importiert. Die URLs sollten sich hier nicht verändert haben.

Um zu Verstehen, warum ein Wechsel für mich sinvoll ist, sollten wir einmal die Vor- und Nachteile der Lösungen gegenüberstellen.

Vorteile von Wordpress

Webinterface zum erstellen neuer Beiträge
WYSIWYG-Editor
Android App zum mobilen erstellen neuer Beiträge

Vorteile von Jekyll

Statische seiten, die keinen interpreter benötigen, sondern direkt ausgeliefert werden können
Versionsmanagement mit git
Erstellen von Posts durch leseriches Markdown
Keine Sicherheitslücken, da nur statischer Inhalt ausgeliefert wird. Kein abgreifen von Logindaten möglich.

Nachteile von Wordpress

Baut auf PHP auf und hat einen Haufen Sicherheitslücken
Dynamische Erzeugung der Seiten verlangsamt Aufbau der Seiten im Browser, da erst der php interpreter gestartet werden muss, um im Nutzerkontext die Seite zu generieren und auszuliefern.
Sicherheitslücken in Wordpress möglich.

Nachteile von Jekyll

Mobiles erstellen von Posts fast unmöglich
Längere Einarbeitung nötig
System muss vor dem schreiben von Beiträgen eingerichtet werden.

Dem Charme von statischen Seiten bin ich erlegen. Insbesondere der kurzen Ladezeit wegen. Außerdem ist es natürlich schön, nur wenige Web Requests abzusetzen. Das hat sich deutlich Reduziert, auch da das Theme relativ simpel gehalten ist. Trozdem gab es noch einige Herausvorderungen bei der Migration zu beachten

Auswahl eines Themes
Die Suche gestaltet sich immer schwierig, wenn man viel Auswahl hat. Letztendlich habe ich mich für das recht minimalistisches Whiteglass Theme entschieden.
Migration der Inhalte und Posts
Für mich war klar, dass ich die alten Inhalte nicht auf das Abstellgleich schieben möchte, sondern diese weiterhin eingebunden bleiben sollen. Hierzu habe ich den jekyll-exporter genutzt, der deutlich besser funktionierte als der vom Jekyll-Projekt bereitgestellte jekyll-import Behfehl. Anschließend war bei einigen Artikeln noch Korrekturen im Markdown nötig, genau wie das migrieren anderer Dateien, wie Bilder.
Einbinden von Kommentaren
Da schon auf marvindickhaus.de mancher Kommentar zum Inhalt beigetragen hat, wollte ich dies für meine neue Seite beibehalten. Dafür gibt es bei Jekyll nichts Out-of-the-box, da Kommentare eben dynamisch hinzugefügt werden können. Darum lösen das viele mit Disqus, was für mich jedoch nicht in Frage kam, da der Datenschutz hier wenig geachtet wird. Stattdessen hoste ich einen Kommentarserver einfach selbst. Dazu nutze ich das großartige isso. Ein Import der alten Wordpress Kommentare war ebenfalls möglich, so dass diese weiterhin unter den Artikeln bereitstehen.

N26 verändert Kontoauszüge nachträglich

2016-11-09T01:30:40+01:00

Digital, Banal?

Mit Vereinbarung dieser Sonderbedingungen stellt die Bank dem Kunden digitale Kontoauszüge zur Verfügung.

Das Fintech Startup N26 verspricht die bessere Bank zu sein, und soll vor allem junge Leute ansprechen. Das merkt man schon daran, dass man bei jedem Kundenkontakt konsequent geduzt wird. Für mich bei einer Bank eher befremdlich, aber sei es drum. Nicht nur für junge Leute sondern vor allem für Fremdwährungseinsätze im Ausland bietet sich ein Konto bei N26 an. Die Abrechnung erfolgt bei Fremdwährungen laut N26 zum aktuellen Kurs von MasterCard und es wird keine zusätzliche Fremdwährungsgebühr seitens der Bank erhoben.

Jetzt musste ich leider feststellen, dass es bei der Abrechnung nicht immer mit rechten Dingen zugeht.

Exkurs: Die Sache mit den Wechselkursen

Wenn man im Ausland auf Einkaufsbummel geht passieren beim Kauf mit Plastikgeld einige Dinge im Hintergrund: Die Abwicklung einer Transaktion besteht (vereinfacht) aus mehreren Schritten. Zuerst wird die Zahlung durchgeführt. Die Freigabe erfolgt bspw. durch Eingabe der PIN oder Unterschrift. Der Zahlungsdienstleister bestätigt die Zahlung anschließend gegenüber dem Händler. Ab diesem Zeitpunkt taucht die Zahlung auch in den Umsätzen auf. Bis der Zahlungsdienstleister die Transaktion abgeschlossen hat (settlement date) können ein paar Arbeitstage vergehen. Hat man in einer Fremdwährung gezahlt, so ist der am Ende ausschlaggebende Wechselkurs jener, welcher am settlement Termin vom Zahlungsdienstleister vorgegeben wird. Hierdurch kann es zu Schwankungen in der Echtzeit Umsatzanzeige kommen, da sich Wechselkurse täglich ändern. Die Android App macht darauf auch aufmerksam. Auf der Webseite fehlt ein entsprechender Hinweis. Wie es in iOS aussieht weiß ich nicht.

Beispielhafte, nicht abgeschlossene Transaktion in der Android App. Ein Hinweis wird deutlich angezeigt.

Die selbe Transaktion zum selben Zeitpunkt im Web. Ein Hinweis auf die nicht-abgeschlossenheit fehlt.

Buchhaltung

Nach einer ausgiebigen Einkaufstour sollte man seine Ausgaben überprüfen. Hierzu stellt N26, neben der Echtzeit Umsatzanzeige, monatlich Kontoauszüge bereit. Für den laufenden Monat kann man in einen vorläufigen Kontoauszug einblicken. Für vergangene Monate steht ein verbindlicher, finaler Kontoauszug bereit. Soweit die Theorie.

Verbindliche und Unveränderliche Kontoauszüge?

Der Kontoauszug gilt als statisches Dokument. Zum Abschluss eines Monats erhält man von der Bank einen verbindlichen Kontoauszug, der den Saldo ausweist. Im Fall von N26 geschieht dies Online. Soweit unterscheidet sich das jedoch nicht von anderen Online- und Direktbanken. Auch N26 sieht den Kontoauszug als statisches Dokument an. Auf einer extra Seite am Ende eines jeden Kontoauszugs ist zu lesen (Hervorhebung durch mich):

Es kann zu Abweichungen zwischen deinem Kontoauszug und der Anzeige in deiner App oder dem Onlinebanking kommen, da Transaktionen in Echtzeit dargestellt werden, die tatsächliche Durchführung hingegen 1-2 Tage in Anspruch nehmen kann. Auf dem Kontoauszug werden nur vollständig durchgeführte Transaktionen abgebildet.

N26 bildet also nach eigener Aussage nur vollständig abgeschlossene Transaktionen ab. Die Abgeschlossenheit beinhaltet logischerweise auch das settlement, wodurch der endgültige Wechselkurs bei Fremdwährungseinsätzen fest steht. Weiterhin steht bei den Bedingungen für die Nutzung der Kontoauszugsfunktion die N26 bei den AGB verlinkt unter Punkt 4:

4. Unveränderbarkeit der Daten

Die Bank garantiert die Unveränderbarkeit der Daten in der Kontoauszugsfunktion. Diese Garantie gilt nicht, soweit die Daten außerhalb der Kontoauszugsfunktion gespeichert oder aufbewahrt werden. Zu beachten ist, dass aufgrund der individuellen Hard oder Softwareeinstellungen ein Ausdruck nicht immer mit der Darstellung am Bildschirm übereinstimmt. Soweit die Dokumente verändert oder in veränderter Form in Umlauf gebracht werden, übernimmt die Bank hierfür keine Haftung.

Leider trifft beides nicht zu! Da ich eine eigene Buchführung betreibe, trage ich dort die Angaben aus dem Kontoauszug ein. Bei einem Soll/Ist Abgleich des Oktober-Kontoauszuges zwischen dem ausgewiesenen Schlusssaldo des Kontoauszuges und den Geld Ein- und Ausgängen fiel mir ein Fehlbetrag auf. Hierbei kam mir ein erster Verdacht, dass der Kontoauszug aufgrund von Buchungen, die bisher nicht gesettled wurden falsch ist.

Gestern habe ich erneut den Kontoauszug vom Oktober heruntergeladen, und die Vermutung war zutreffend. Inzwischen haben sich Beträge einzelner Positionen verändert. Der Fehlbetrag ist trotzdem gleich geblieben.

Scan des ursprüngliche Kontoauszugs vom 4. November.

Vier Tage später, neuer Kontoauszug. Einige Beträge und die Sortierreihenfolge haben sich geändert.

Eigene Zusagen nicht eingehalten

Zusammenfassend lässt sich sagen, dass N26 hier klar Zusagen, die an die Kunden gemacht werden bricht. Eine rechtliche Einschätzung des Themas wäre sicher interessant. Da ich kein Jurist bin spare ich mir das aber lieber. Ich habe N26 um Stellungnahme bzgl. der veränderlichen Kontoauszüge gebeten, und werde diese hier Veröffentlichen, sobald ich eine Antwort vorliegen habe.

Klimaveränderungen

2016-09-13T15:25:16+02:00

Randall Munroe erklärt die Auswirkungen der jüngsten Menschheitsgeschichte auf das Weltklima und setzt es ins Verhältnis zur Vergangenheit. Und das in einem einfachen Comic. Super Visualisierung, die jeden Klimawandelleugner enttarnt.

Zeichen der Müdigkeit

2015-09-10T12:48:04+02:00

Marcus Rohwetter hat in der Drogerie eine super Creme gefunden. Nur wirken will diese nicht so richtig.

Neulich entdeckte ich in der Drogerie eine Creme von Garnier, die folgende Wirkung versprach: „Zeichen der Müdigkeit verschwinden – schon nach einer Nacht“. Über diesen Satz habe ich lange nachgedacht und wollte ihn nun wissenschaftlich überprüfen.

Netzneutralität und Mobilität

2015-09-07T15:14:19+02:00

Aus allen Ecken der Politik wird ständig gepredigt, dass Spezialdienste die die Netzneutralität verletzen notwendig für die Autos der Zukunft sind.

Auf Nachfrage von Golem konnte jedoch weder die Bundesregierung, noch die EU-Kommision erklären, was für welche Dienste ein Bruch der Netzneutralität notwendig wäre.

Nun bringt es Golem ein weiteres mal auf den Punkt.

Eines scheint zumindest sicher: Um auf den Straßen überholen zu können, brauchen Autos keine Überholspuren im Netz.

Unnötige Dinge

2015-07-30T13:46:57+02:00

Heute: Peer Schader über Gadgets von Discountern im Supermarktblog.

Und wieder ist man sich selbst am nächsten.

2015-07-06T10:10:26+02:00

Über vier Wochen dauerte der Streik der Mitarbeiter der Post. Kernpunkt:

Gleicher Lohn für gleiche Arbeit.

Postler, die in Regionalgesellschaften arbeiten sollen den gleichen Tarifvertrag erhalten wie die Postler im Mutterkonzern.

Anstatt diesen Punkt zu erfüllen, gibt sich ver.di mit einer Lohnerhöhung und der Garantie, dass alte Postler nicht in die Regionalgesellschaften versetzt werden zufrieden. Ungeheuerlich.

Dümmer als die Polizei erlaubt

2015-06-28T15:24:23+02:00

Es ist immer wieder herrlich, was für Perlen sich in Pressemitteilungen der Polizei befinden. Ein aktuelles Beispiel der Wiesbadener Polizei: Einbrecher steckte in der Lüftung

Als die Polizisten jedoch auf eine Leiter vor einem Lüftungsrohr aufmerksam wurden, unter der auch noch eine Kappe und herausgerissene Dämmwolle lag, war klar: Der Täter steckt in der Lüftung. […] Während der Suche drangen plötzlich Geräusche und Taschenlampenschein durch die Ritzen der Lüftungsanlage. Der Täter war lokalisiert – kam aber von selbst nicht aus dem Rohr hinaus. […]

Aus gegebenem Anlass

2015-04-01T14:52:46+02:00

Wei es schon letztes Jahr so lustig war: Kabelverstopfung: Telekom ändert Strategie gegen Skin-Effekt

Job des Tages

2015-03-31T19:42:33+02:00

Der Job des Tages heute: Polizeipfarrer

Die junge Frau war am Wochenende im Beisein einer Polizeipfarrerin von Beamten befragt worden.

Hintergrund.

Geschützt: Unsere Hochzeit

2014-12-18T01:14:48+01:00

Am 25. Juli 2014 war es so weit. Ich habe geheiratet. Nach über sieben Jahren in einer festen Beziehung mit Nica war es Zeit für den nächsten Schritt. Wer hätte das schon gedacht, als ich Sie mit gerade einmal siebzehn Jahren kennen lernte?

Wie alles begann…

Die ersten Eindrücke waren sicherlich nicht die wichtigsten, sonst hätte sich Nica bestimmt nie auf mich eingelassen. 😉

Nica beim Filmdreh. Einer der ersten Tage, die wir uns kannten.

An meinem 18. Geburtstag

Unschuldslämmer

Wir waren jung und ineinander verliebt und fuhren schon bald das erste mal gemeinsam in den Urlaub. Zum Beispiel nach Oslo.

Unser Doppelbett. 😉

Oder nach Ibiza:

Und schließlich führte auch ein Urlaub nach Tunesien. Dort hatten wir auch ein schönes Hotelzimmer. 😉

Und schließlich war es in Tunesien auch soweit. Ich traute mich, die entscheidende Frage zu stellen.

Nica, willst du meine Frau werden?

Wie ihr euch sicherlich denken könnt, fiel die Antwort positiv aus. Und wie es der Zufall so will, lernten wir im Urlaub einen Fotografen kennen, der uns noch schnell ein paar wunderschöne Verlobungsfotos schoss.

Ein Jahr später, und schwupps war es soweit… Aber halt, davor kam ja noch der Junggesellenabschied. Hier zwei peinliche Bilder, wie ich in Darmstadt rumlaufen durfte. Es war trotzdem ein riesen Spaß und ein hervorragend organisierter Tag, mit Schnitzeljagd, Lasertag, verschiedenen Aufgaben die ich erfüllen musste und einem angenehm ausklingenden Abend.

Peinlich

Ein Knicks darf im Tutu nicht fehlen.

Der Hochzeitstag

Die Nacht vor der Hochzeit verbrachten wir getrennt bei unseren Eltern. Ich habe den Tag ganz ruhig angehen lassen. Wie es bei Nica zuging kann ich mir nur vorstellen. In meiner Phantasie läuft sie wild schreiend zum Friseur.

Nachdem ich mich fertig gemacht hatte, machte ich mich auf den Weg, um Nica bei ihren Eltern abzuholen. Unsere Familien begaben sich derweil schonmal zum Standesamt. Ein erster Anruf, als ich gerade das Ortsschild von Wiesbaden passierte, ließ nichts gutes verheißen…

Oh Gott, fahr bloß langsamer. Ich bin ja noch beim Friseur

Wie durch ein Wunder war Nica nicht mehr beim Friseur, als ich bei ihr vor der Tür stand. Nur Gwendo, unsere Trauzeugin hatte es beim Friseur noch nicht gepackt. Wir fuhren aber lieber schonmal in Richtung Rathaus. Nach einer kleinen Begrüßung hatte es auch die letzte Nachzüglerin (Gwendo) bis zum Rathaus geschafft, und los ging es ins Standesamt.

Flankiert von unseren unersetzbaren Trauzeugen nahmen wir am Tisch platz. Unsere Standesbeamtin war noch sehr jung, und hatte bisher weniger als 30 Trauungen vollzogen, was der Sache einen ganz eigenen Charme verlieh. Nach einer kleinen Rede, was die Ehe für uns bedeutet, ging es hinüber zum wichtigsten Moment des Tages: Das Ja-Wort und die rechtlich bindende Unterschrift.

Nach meiner beherzten Unterschrift, die für die nächsten 20 Jahre in das Holz des Trautisches geritzt wurde, ging Nica die Sache etwas vorsichtiger an. Nun also gilt es. Unser beides Ja-Wort wurde von der Familie beruhigt aufgenommen, und eine erste kleine Feier stand an, bevor wir uns auf den Weg in die Kirche machten.

Während ich also mit meiner Familie schon mal die Kirche schmückte, und später dann unsere Gäste in Empfang nahm, ging es bei Nica hektisch zu, damit das Hochzeitskleid bei der kirchlichen Trauung auch sitzt. Kurz vor 13:30 machte sich dann auch Nica auf den Weg zur Kirche.

Während es bei Nica in Wirklichkeit also ganz gemächlich zuging, machte ich mir leichte Sorgen, ob Sie denn auch pünktlich ankommen würde.

Alle Sorgen waren unbegründet, und die Trauung fing pünktlich um 13:30 mit dem Einzug der Braut an. Nica betrat mit einem umwerfenden Brautkleid die Kirche und war die schönste Braut der Welt. Neben drei Gemeindeliedern zum mitsingen gab unser Pfarrer eine schöne Rede, in die er Anekdoten einbaute, die er in unserem Vorgespräch bereits erfahren hatte. Weil er schon in Urlaubsstimmung war (am nächsten Morgen ging es für ihn los) kam er mit seinen Zetteln und Notizen etwas durcheinander, was ihn Schlussendlich aber nicht aus dem Konzept bringen konnte. Das ganze lockerte die Trauung auf und zauberte jedem ein Lächeln auf die Lippen.

Den Ringtausch hatten wir uns bis hier aufgehoben. Und so gaben wir uns auch hier im Beistand von unseren Trauzeugen, unseren Familien und unseren Freunden das Ja-Wort vor Gott und uns selbst, worauf wir die Ringe tauschten und uns natürlich auch einen Kuss gaben. Zum Schluss noch ein letztes Lied, bevor wir gemeinsam, als Mann und Frau, aus der Kirche auszogen.

Jetzt waren natürlich erstmal Glückwünsche angesagt, über die wir uns alle sehr freuten.

Neben den Glückwünschen gab es eine Überraschung für uns. Wir durften gemeinsam weiße Tauben fliegen lassen, die uns für unsere gemeinsame Zukunft Glück bringen sollten. Nica musste sich erst einmal mit den Tauben anfreunden, so dass eine Taube verfrüht gen Himmel davon flog. Beim zweiten Versuch klappte es dann und wir ließen unsere weißen Vögel gemeinsam fliegen.

Mit diesem schönen Moment verließen wir die Kirche und machten uns mit viel Getöse (und Blechdosen) auf in den Rheingau zu unserer Partylocation, dem Weintempel in Geisenheim.

Dort mussten wir, um Eintritt zu erhalten, erst einmal mit Nagelscheren ein Riesenherz aus einem Bettlacken ausschneiden. Natürlich trug ich Nica anschließend hindurch.

Es gab einige Spiele, fabelhaftes Essen & Trinken, Musik und jede Menge schönen Unterhaltungen. Natürlich darf bei einer Hochzeit auch die Torte und dessen obligatorischer Anschnitt nicht fehlen. An dieser Stelle noch einmal der Dank für all die netten Gaben zum Fest, über die wir uns sehr gefreut haben.

Wer die Hand oben hat, hat angeblich die Hosen an in der Beziehung

Der Gabentisch

Zusätzlich haben wir die Zeit im Rheingau auch für unsere Fotos genutzt, auf denen uns Sebastian und Firuze gut herausgeputzt haben, und die Rafael vorzüglich in den Kasten bekam.

Und ab in die Flitterwochen

Gefeiert wurde noch bis in die Nacht. Ein langer Tag lag damit hinter uns. Eine lange Reise liegt nun vor uns. Wenn wir euch einmal wieder sehen, freuen wir uns einen Teil dieser Reise auch mit euch zu bestreiten. Vielen Dank an alle, die uns unterstützt, beschenkt und dieses Fest möglich gemacht haben.

Die Hochzeitsgesellschaft

Die Flitterwochen

Abschließend noch ein Blick in die Flitterwochen.

Miami Beach

Schwimmen mit Delfinen

Nica mit Luis

Marvin mit Cayo

Dry Tortugas NP

Der südlichste Punkt der USA

Fröhliche Weihnachten

Unikinos in Deutschland

2014-11-15T00:18:36+01:00

Während meines Studiums engagiere ich mich schon lange ehrenamtlich und intensiv im Studentischen Filmkreis an der TU Darmstadt e. V. Vor etwa einem halben Jahr wurde ich dazu von Björn Schneider interviewed. Das ganze ist jetzt in einem Artikel auf Spiegel Online publiziert worden. Ich bin in Teil 2 zu sehen.

Rechnungen mit einer Webapp verwalten – InvoicePlane auf dem Uberspace

2014-10-24T02:34:08+02:00

Diese Anleitung bezieht sich auf Uberspace 6, welches nicht weiter aktualisiert wird und Ende 2020 sein End of life (EOL) erreicht. Für neue Deployments solltet ihr Uberspace 7 nutzen. Anleitungen gibt es jetzt einheitlich und mit Support der Ubernauten im Uberspace Lab.

Viele kleine und mittlere Unternehmen schreiben nicht sehr viele Rechnungen. Für die wenigen, die Sie schreiben, wäre ein Einheitlicher Auftritt sowie eine leichte Erstellung sehr wünschenswert. Kosten sollen für das schreiben von Rechnungen natürlich nicht entstehen.

Gibt’s dafür auch ne’ App?

Wie für viele andere Dinge, so gibt es auch für die Aufgabe der Rechnungsstellung und Verwaltung eigene Apps. Sobald es aber zu FOSS Anwendungen kommt, die auf dem eigenen Server laufen können wird die Auswahl leider stark eingegrenzt. Im Grunde gibt es diese fünf Apps:

SimpleInvoices – Basiert auf php, sehr wenig aktive Entwicklung, kein HTML5.
BambooInvoice – Entwicklung im Januar 2014 eingestellt.
FusionInvoice – Seit November 2013 kostenpflichtig. Letzte freie Version 1.3.4, HTML5.
InvoicePlane – Fork von FusionInvoice, aktive Entwicklung, HTML5.
Invoice Ninja – Mehr als SaaS gedacht, jedoch Open Source. HTML5.

Scheint wohl ein Trend bei Rechnungsanwendungen zu sein, seinen Namen als Binnenversal zu schreiben. 😉

Nachdem mir SimpleInvoices nicht zusagte, begab ich mich auf auf eine längere suche nach Alternativen, die mich schließlich per Zufall zu InvoicePlane brachte. InvoicePlane sieht vielversprechend aus, und hat einige aktive Entwickler, die in Version zwei auch das komplette Framework (von CodeIgniter zu Laravel) wechseln, um aktuelle php-Versionen zu unterstützen.

InvoicePlane is a self-hosted open source application for managing your invoices, clients and payments.

For more information visit InvoicePlane.com or take a look at the demo

Im folgenden möchte ich euch die Installation auf einem Uberspace näher bringen.

Installation auf dem Uberspace

Hinweis: Diese Anleitung bezieht sich auf InvoicePlane Version 1.x.x. Version 2, welche auf einem neuen Framework aufbaut befindet sich in Entwicklung.

Zuerst verbinden wir uns per ssh zu unserem Uberspace. Ich beschreibe die Installation von InvoicePlane in einem Unterordner. Genausogut kann man es aber auch im DocumentRoot installieren.

Los geht es mit dem wechsel des Verzeichnisses und dem herunterladen der Anwendung.

$ cd ~/html
$ git clone https://github.com/InvoicePlane/InvoicePlane.git ip
$ cd ip
$ git checkout v1.0.2

Mit git checkout v1.0.2 nutzen wir den letzen Release. Bitte prüft bei der vorher, was die aktuellste Version ist. Hier hilft ein git tag um euch alle Tags anzeigen zu lassen. Das sieht beispielsweise so aus

$ git tag
0.9beta
v1.0.0
v1.0.1
v1.0.2

Standardmäßig ist die Deutsche Sprache nicht dabei, was wir nun ändern möchten.

$ wget http://translations.invoiceplane.com/download/project/fusioninvoice.zip
$ unzip fusioninvoice.zip de*
$ cp -r de/* .
$ rm fusioninvoice.zip de/ -r

Jetzt sollte InvoicePlane auch Deutsch sprechen. Weiter geht es mit dem generellen Setup. Wir müssen noch die RewriteBase der .htaccess-Datei anpassen. Dazu benutzt ihr euren Lieblingseditor.

$ ${EDITOR} .htaccess

Bitte fügt nach RewriteEngine On eine Zeile mit RewriteBase /ip ein. Jetzt können wir die Installationsseite aufrufen. Bei euch z.B. unter https://<user>.<server>.uberspace.de/ip/setup

Bevor wir allerdings die Installation abschließen können benötigen wir noch eine Datenbank für InvociePlane

$ mysql -e "CREATE DATABASE ${USER}_invoiceplane CHARACTER SET utf8"

Bei der Installation könnt ihr nun auf der Datenbank-Seite folgende Daten angeben:

Host: 127.0.0.1
Username: Euer Name bei Uberspace
Password: Das Passwort, aus $ cat ~/.my.cnf
Database: <name>_invoiceplane

Während ihr einige Male weiter drückt, werden neue Tabellen erzeugt, usw. Schließlich könnt ihr euch einen neuen Benutzer erstellen, und euch anschließend anmelden.

Fertig

Das wars. InvoicePlane läuft auf eurem Uberspace. Ab hier werden die Anforderungen wohl recht unterschiedlich. Darum sei für die Einrichtung auf das Wiki und das Community Forum verwiesen.

Sicherheitshinweise

Die Seite https://<user>.<server>.uberspace.de/ip/setup kann von jedem aufgerufen werden! Laut dem Entwicker kann hierdurch zwar nichts kaputt gehen, trotzdem muss das ja nicht sein. Deswegen fügen wir als erste Zeile in unsere .htaccess-Datei folgende Zeile ein:

#Redirect from /setup to home
Redirect /ip/setup /ip

Damit werden alle Anfragen die an setup gehen sollen sofort umgeleitet.

Weiterhin solltet ihr dafür sorgen, dass https erzwungen wird. Sonst gehen beispielsweise die Passwörter beim Login im Klartext durchs Internet. Wie das geht, erklären ebenfalls die Ubernauten hier.

InvoicePlane aktualisieren

Eine Aktualisierung gestaltet sich mit git recht einfach.

$ cd ¨/html/ip
$ git stash
$ git pull origin master
$ git stash pop

Wenn nun ein neuer tag dabei ist könnt ihr auf die neue Version aktualisieren indem ihr git checkout v.1.X.Y aufruft mit der entsprechenden version.

Anschließend muss noch https://<user>.<server>.uberspace.de/ip/setup besucht werden um das Update zu vervollständigen. Solltet ihr dem Sicherheitshinweis gefolgt sein, müsst ihr dazu natürlich die Redirect-Zeile in eurer .htaccess auskommentieren (mit einer # vor der Zeile) und anschließend wieder einkommentieren.

Bruchstücke

2014-10-23T16:52:22+02:00

Berlin setzt in Zukunft wieder auf MS Office. Begründung: Man wolle

den heutigen Ansprüchen an Informationstechnik und Informationssicherheit vollumfänglich entsprechen

Informationssicherheit. Dass ich nicht lache.

Außerdem

Eine DDoS Maleware breitet sich derzeit ungehindert aus. Erst nur auf Linuxservern, nun auch auf Windows.

Die Angreifer nutzen sogar übernommene Rechner als C&C-Server, […] sogar einen Server eines US-Unternehmens, das Maßnahmen gegen DDoS-Angriffe anbietet.

Shit happens.

Das blüht Deutschland mit Smart Metern

2014-10-18T10:48:14+02:00

Wenn die Hersteller schon so geizig sind, dass der ROM nicht für ein Firmware Update reicht, sind solche Artikel nun wirklich kein Wunder. Ich kann nur hoffen, dass Deutschland von Smart Metern in der einzelnen Wohnung Abstand nimmt, und das höchstens auf Straßenblock-Ebene realisiert.