Die Datenverschlüsselung in OneDrive forBusiness


Ich werde immer wieder gefragt, wie es denn mit der Sicherheit in SharePoint Online aussehen würde. Microsoft hat dazu ein ganz tolles Video gepostet, dass ihr euch ansehen müsst. Es erklärt, wie extrem die Verschlüsselung von Content ist, der auf SharePoint Online, bzw. OneDrive for Business liegt.

Die Verschlüsselung ist wie folgt aufgeteilt:

  • Als erstes mal SSL Verschlüsselung End to End, ist ja klar 🙂
  • Dann ist jede Harddisk mit ihrem eigenen Key verschlüsselt
  • Jedes Dokument zusätzlich mit seinem eigenen Key
  • Jedes zusätzliche Fragment (siehe shredded storage) bzw. jede Version hat wiederum ihren eigenen key
  • Jedes Dokument, welches >64KB ist, wird in junks aufgesplittet und jeder junk hat wiederum seinen eigenen key
  • Jeder junk wird nach dem Zufallsprinzip auf verschiedene Azure Storage Container verteilt
  • Jeder Container hat wiederum seinen eigenen Zugangsschlüssel, welche wiederum in einem eigenen Key Store aufbewahrt werden
  • Diese schlüssel sind nochmal verschlüsselt und werden in der Content Datenbank gespeichert
  • Nur wer alle Schlüssel hat, kann das Dokument lesen
  • Der Keystore wird mit der neusten dataprotection technologie geschützt und die Keys werden von Zeit zu Zeit ausgetauscht
  • Mehr Infos http://aka.ms/dataencryption

So, jetzt soll mir noch jemand sagen, dass er das ON PREM so hinbekommt, ohne Scheich von Arabien mit eigener Goldmine zu sein (Öl ist ja gerade nicht so in ;))


So long, Samuel

Belohnungsprogramm für das Auffinden von Sicherheitslücken in Microsoft Online


Microsoft startet heute ein neues Belohnungsprogramm für Sicherheitsfirmen, welche Sicherheitslücken in den Microsoft Online Services entdecken.

Microsoft Online Services Bug Bounty Program

Damit stellt sich Microsoft selber aus und will demonstrieren, dass sie Datensicherheit sehr ernst nehmen. Folgende Gründe für diesen Schritt wierden von Microsoft angegeben:

  1. Sicherheitslücken werden von Microsoft sehr ernst genommen. Egal ob die Kunden der Online Services zu den Fortune 500 gehören oder ein kleines Business ist, Microsoft hat gemerkt, dass wir von ihrem Dienst, dessen Verfügbarkeit und Sicherheit abhängig sind (was für eine frühe Erkenntnis!!) Es ist daher eminent wichtig, dass die Kunden Microsoft trauen.
  2. Die Customer Voice hat nach genau so einem Programm gefragt, so kann jeder an der Sicherheitsprüfung der Online Services teilnehmen der will.
  3. Es sei das Richtige, dies für die Kunden zu tun. Microsoft hat Security Teams, die Industrie trends aufnehmen und damit interne wie auch externe Sicherheitstest durchzuführen. Microsoft arbeitet hart daran, ihre Sicherheit auch von externen Stellen zertifizieren zu lassen. Nichts desto trotz wolle Microsoft noch sicherer werden, denn Sicherheit sei ein Weg nicht ein Ziel. Mit dem Bonty Programm will Microsoft die Community noch stärker einbinden und jedem die Möglichkeit geben, Office 365 noch sicherer zu machen.

Damit stellt sich Microsoft wieder einmal in’s Licht. Wenn jemand glaubt, die Cloud sei nicht sicher, darf er ab sofort versuchen, Office 365 offiziell zu hacken und wenn er etwas findet wird er dafür belohnt. Das ist sicher ein Schritt in die richtige Richtung, doch die Diskussionen mit der Homeland Security sind sicher dadurch noch nicht gegessen…

So long, Samuel

Aus dem Alltag: 503 Service Unavailable in der Central Administration


Problem:

Nachdem ich bei einem Kunden erfolgreich SQL Server 2008 R2 und SharePoint Server 2010 installiert hatte, erhielt ich beim erstmaligen Öffnen der Central Administration (Zentraladministration) den folgenden Fehler:

Service Unavailable

——————————————————————————-

HTTP Error 503. The service is unavailable.

 

Die Kontrolle im Windows Log ergab folgende drei Einträge:

Log Name:      System
Source:        Microsoft-Windows-WAS
Date:          17.12.2010 11:40:31
Event ID:      5021
Task Category: None
Level:         Warning
Keywords:      Classic
User:          N/A
Computer:      MyServer
Description:
The identity of application pool SharePoint Central Administration v4 is invalid. The user name or password that is specified for the identity may be incorrect, or the user may not have batch logon rights. If the identity is not corrected, the application pool will be disabled when the application pool receives its first request.  If batch logon rights are causing the problem, the identity in the IIS configuration store must be changed after rights have been granted before Windows Process Activation Service (WAS) can retry the logon. If the identity remains invalid after the first request for the application pool is processed, the application pool will be disabled. The data field contains the error number.

Log Name:      System
Source:        Microsoft-Windows-WAS
Date:          17.12.2010 11:40:31
Event ID:      5057
Task Category: None
Level:         Warning
Keywords:      Classic
User:          N/A
Computer:      MyServer
Description:
Application pool SharePoint Central Administration v4 has been disabled. Windows Process Activation Service (WAS) did not create a worker process to serve the application pool because the application pool identity is invalid.

Log Name:      System
Source:        Microsoft-Windows-WAS
Date:          17.12.2010 11:40:31
Event ID:      5059
Task Category: None
Level:         Error
Keywords:      Classic
User:          N/A
Computer:      MyServer
Description:
Application pool SharePoint Central Administration v4 has been disabled. Windows Process Activation Service (WAS) encountered a failure when it started a worker process to serve the application pool.

Grund:

Wie aus den Log Einträgen ersichtlich wird, fehlt dem Application Pool Account die folgende Berechtigung “Logon as a batch job”, welche in den Security Policies definiert werden können. In unserem Fall war diese Einstellung von einer überliegenden Policy auf unser System publiziert worden. Diese Berechtigung wird benötigt, damit der Windows Process Activation Service dem entsprechenden Application Pool einen Worker Process zuordnen kann.

Lösung:

  1. Kontrollieren Sie, ob die “Logon as a batch job” Policy von einer höheren Instanz gesteuert wird.
    1. Klicken Sie auf Start –> ausführen
    2. Geben Sie “secpol.msc” ein und drücken Sie Enter
    3. Navigieren Sie zu Local Policies –> User Rights Assignment –> Log on as a batch job
      image
  2. Ist die “Logon as a batch job” Policy nicht übersteuert, kontrollieren Sie ob IIS_IUSRS berechtigt sind. Wenn nicht, vergeben Sie diese.
  3. Ist die Policy übersteuert (sie können lokal keine Änderungen vornehmen), so bearbeiten Sie die entsprechend übergeordnete Policy:
    1. Erstellen Sie eine Active Directory Gruppe, welcher Sie alle Application Pool User von SharePoint zuordnen (inkl. dem Service User für die Service Applications (SharePoint 2010) oder dem Shared Services Provider (SharePoint 2007) und dem Farm User für die Central Administration)
    2. Fügen Sie die Active Directory Gruppe der die Policy “Logon as a batch job” hinzu

So long, Samuel Zürcher

Spread the Word


Nachdem bereits einige super Vorträge eingegangen sind, möchte ich einen Aufruf an alle SharePoint Begeisterten absetzten. Social Computing ist eines der stärkst wachsenden Segmente in der Internetwelt. Mit ca. 6 Personen ist man im Schnitt mit dem Rest der Welt verbunden. Einer Freundesempfehlung folgt man mehr als einer allgemeinen Werbung. Dies möchten wir uns mit den Collaboration Days zu Nutze machen, doch dafür braucht es die COMMUNITY, als DICH. Wenn Du diesen Eintrag hier liest, gehörst Du bereits dazu, denn aus irgendeinem Grund bist Du ja hier gelandet, nicht?

Jeder einzelne kann diese Schweizer SharePoint Konferenz 2010 erfolgreich machen. Ob als Sprecher/in, als Teilnehmer/in, als Unterstützer/in, als Aussteller/in, als Sponsor/in oder einfach als als die Person, welche den Event an seine/ihre Freunde weitergibt. Du kannst auch Freundschaftswerbung machen, wenn Du selber nicht teilnehmen kannst oder willst. Es reicht, wenn Du jemanden kennst, der die Konferenz ev. interessieren könnte und Du ihm/ihr vom Event erzählst.

Wie kannst Du dich beteiligen?

Lasst uns die Welt erreichen, SPREAD THE WORD

So long, Samuel

Aus dem Alltag: Probleme mit dem Zugriff auf eine SQL Datenbank


Beim Arbeiten mit mehreren Datenbanken und verschiednenen Ownern kann es geschehen, dass folgende Fehlermeldung auftritt:

The server principal „Domain\User“ is not able to access the database „abcDatabase“ under the current security context

Diese indiziert, dass das Cross-Database-Owner-Chaining auf der besagten Datenbank nicht eingeschaltet wurde.
Was ist Corss-Database-Owner-Chaining?
Jedes Objekt einer Datenbank hat per Default einen Owner. Wenn nun eine Referenz von einem Objekt auf ein Anderes gemacht wird, entsteht eine Owner-Chain. Wenn nun eine Applikation auf mehreren Datenbanken basiert, wobei Objekte aus DB1 auf Objekte aus DB2 referenzieren entsteht eine Cross-Database-Owner-Chain.
Cross-Database-Owner-Chaninig ist aber seit SQL 2000 SP3 per default ausgeschaltet, was die Sicherheit erhöht. Damit der Fehler behoben werden kann, muss auf der Datenbank, welche in der Fehlermeldung angezeigt wird, das Cross-Database-Owner-Chaining aktiviert werden. Dies geschieht mit dem Befehl sp_dboption.

  1. Öffnen Sie das SQL Management Studio
  2. Klicken Sie auf <New Query>
  3. Geben Sie das SQL Command <EXEC sp_dboption abcDatabase, ‚db chaining‘, ‚true‘> ein
  4. Klicken Sie auf <Execute>
  5. Es erscheint die Meldung „Command(s) completed successfully

Die Option ist nun gesetzt und erscheint in der Datenbank unter den Propertys der Datenbakn bei Options.

Hier der Link zur detaillierten Erklärung von Microsoft (Englisch): http://support.microsoft.com/kb/810474/en-us