Ich werde ja nicht müde (vor allem wegen der aktuellen Hafnium-Nummer), zur Cloud zu raten. Aber nun gab es eine interessante Geschichte mit dem Exchange HCW. Der Hybrid Configuration Wizard hilft ja Administratoren dabei, die Umgebung in einen hybriden Modus zwischen einer Exchange On-Premises-Umgebung und Microsoft 365 zu versetzen. Und weil derzeit diese Attacke tobt, schreckten einige auf, als man las, dass der Exchange HCW ersetzt wurde. (Ja, so habe ich auch geguckt, aber es klärt sich auf.)
Exchange HCW: Was ist der Hybrid Configuration Wizard?
Grob gesagt, handelt es sich beim Exchange HCW um ein Bindeglied zwischen Online-Welt und lokalem Rechenzentrum. Damit alles soweit gut funktioniert, müssen einige Dinge im Vorfeld funktionieren. Ist das der Fall, turnt der Exchange HCW vieles „von allein“ (Deshalb ja Wizard = Zauberer) durch. Erstmal kurz zu den Voraussetzungen:
- Der Microsoft 365 Tenant muss mit Domains eingerichtet sein
- Der lokale Exchange Server muss via Autodiscover und EWS für Microsoft 365 erreichbar sein
- Exchange muss über ein gültiges Zertifikat verfügen
- Um das Mailrouting zu realisieren, muss Exchange via Port 25 mit Microsoft 365 kommunizieren können
- Die Synchronisation muss aktiviert sein
- Exchange muss logischerweise mit dem Internet kommunizieren können (HTTPS und SMTP)
Und was macht dann der Exchange HCW? Naja, so einiges. Und das Schöne ist, dass der im Hintergrund von Microsoft immer wieder aktualisiert wird. Also auch ohne Zutun der Administratoren. Folgende Dinge sind von vornherein beim HCW aktiv:
- Free / Busy Sharing zwischen On-Premises und Online
- MailTips zur Information der User während des Verfassens von Emails
- Online Archive
- OWA-Weiterleitung
- Exchange ActiveSync-Weiterleitung
- Secure Mail
Letztlich kann ich dann den Exchange HCW in verschiedenen Modi betreiben. Und hier kommt die Hybrid Configuration Engine zum Einsatz. All das ist in diesem Artikel ziemlich gut erklärt.
Und was ist nun eigentlich passiert?
Jetzt stellen wir uns also mal vor, wir würden eine Exchange-Organisation nach Microsoft 365 migrieren. Dazu stellen wir eine Hybrid-Stellung mit dem Exchange HCW her. Soweit, so gut. Sicherheitshalber laden wir uns die neueste Version des Tools herunter. Allerdings erhalten wir nicht das, sondern nur eine Textdatei. In dieser wird angeprangert, dass Microsoft niemals die eigenen Binärdateien für Kunden veröffentlicht hätten, wenn ihnen die Sicherheit wichtig wäre. Das ist hier nachzulesen.
Die EXE-Dateien zum Exchange HCW werden doch wohl nicht etwa öffentlich zugänglich sein, also zumindest der Blob-Speicher. Das wäre natürlich fatal. Aber wie hätte es sonst gehen können, dass die Installationsdateien für den HCW durch eine Textdatei ersetzt werden konnten? Microsoft behandelt das Ganze als „Technical Issue“. Also frei nach dem Motto: „Der Techniker ist informiert.“
Es zeigt sich also, dass die Sicherheitsmaßnahmen für die Download-Dateien recht lax sein müssen. Das ist eine nette Art, Microsoft mitzuteilen, dass ein herrlicher Schlamassel passiert ist, und das in einer Zeit, in der jeder ein wenig empfindlich ist, was die Sicherheit angeht. Microsoft hat freilich inzwischen reagiert und die echten Dateien für den Exchange HCW wieder bereitgestellt.
In times like these…
Ja, jetzt könnte man hergehen und das als Lappalie abtun. Allerdings in den heutigen Zeiten, in denen Exchange-Administratoren eh eine etwas kurze Zündschnur haben wegen der ganzen Geschichte rund um die chinesischen Angriffe, trägt das nicht unbedingt zum Vertrauen gegenüber Microsoft bei. Vielleicht wird es Microsoft nun langsam bewusst, dass sie wieder mit etwas mehr Ernsthaftigkeit vorgehen müssen. Ich erinnere mich ja auch gut an diese Nummer hier.
Alles in allem ist also nicht viel passiert. Aber Microsoft muss echt die Augen offenhalten. Ich meine, die Konkurrenz schläft eben nicht. Ich weiß, dass die Produkte von Microsoft jetzt nicht so schlecht sind. Aber der Ruf von Microsoft lässt halt zu Wünschen übrig. Ab und an kommt es während meiner Arbeit dazu, dass mir Kunden ihre ganz eigene Sicht auf Microsoft erzählen. Und ehrlich: Das will der Software-Riese dann lieber nicht hören.