Windows Extended Protection


Am 06.03.2023 wurde Windows Extended Protection wurde für Outlook Verbindungen aktiviert. Somit wird verhindert, dass die verschlüsselten Verbindungen aufgebrochen werden wie das beispielsweise bei "Man in the Middle (MITM)"-Attacken (https://de.wikipedia.org/wiki/Man-in-the-Middle-Angriff) geschieht.

Wenn Sie seitdem immer wieder Passwortabfragen von Outlook erhalten und Sie deshalb Probleme haben eine Verbindung zu unseren Servern aufzubauen, gehen Sie bitte folgendermaßen vor:

  1. Starten Sie Outlook bzw. Ihren Rechner neu
  2. Bitte überprüfen Sie, welchen Virenscanner Sie einsetzen
    Wenn Sie als Virenscanner Bit Defender oder Kaspersky einsetzen, beachten Sie bitte nachfolgende Hinweise
  3. Bitte überprüfen Sie ob Ihr Rechner noch NTLMv1 verwendet

Mögliche Ursachen: 

Antivirensoftware bricht die Verbindung auf

Ihr Antivirensoftware bricht die Verbindung zum Exchange Server auf. Deswegen verhindert die Windows Extended Protection die Anmeldung.

Bei folgende Antivieren Programmen sind Probleme und Lösungen bekannt. 

Kaspersky 

  • Klicken Sie auf das Zahnradsymbol um die Einstellungen zu öffnen.
  • Wählen Sie "Gefahren und Ausnahmen" aus der Seitenleiste aus.
  • Klicken Sie auf "Vertrauenswürdige Programme angeben".
  • Wählen Sie dort "Hinzufügen" aus um dort den Programmpfad von Outlook anzugeben. 
    • C:\Program Files\Microsoft Office\root\Office16
  • Wählen Sie im Fenster "Ausnahmen für das Programm" die Option "Verschlüsselten Datenverkehr nicht untersuchen".
  • Klicken Sie auf "OK" und anschließend auf "Speichern", um die Einstellungen zu speichern.

Bit Defender

  • Wählen Sie im Navigationsmenü "Schutz" aus.
  • Klicken Sie im Bereich "Online-Gefahrenabwehr" auf Einstellungen.
  • Klicken Sie auf "Ausnahmen verwalten".
  • Wählen Sie dort "Ausnahme hinzufügen" aus und geben Sie dann "xmail.mwn.de" ein.
  • Klicken Sie auf den Schalter neben "Online-Gefahrenabwehr".
  • Klicken Sie auf Speichern, um die Änderungen zu speichern.
  • Anschließend schließen Sie Outlook und starten es neu.

Ihr Client verwendet NTLMv1 

Falls Sie trotz Ausnahme in Ihrer Antivierensoftware weiterhin wiederholt aufgefordert werden, Ihr Kennwort einzugeben, verwendet Ihr Client möglicherweise die veraltete Authentifizierungsmethode NTLMv1. Diese ist unsicher und sollte deshalb generell nicht mehr verwendet werden. 

Überprüfen Sie ob folgender Registry Key vorhanden ist:

Registry key: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Registry value: LmCompatibilityLevel

Wenn der Key nicht gesetzt ist, wird der System Default verwendet. Falls der Key vorhanden ist, muss der Wert mindestens auf 3 oder höher gesetzt sein (am besten auf 5 gesetzt). Ist der Wert kleiner 3, ändern Sie den Wert oder löschen Sie den Key.


Für technisch Interessierte:

https://microsoft.github.io/CSS-Exchange/Security/Extended-Protection/

https://learn.microsoft.com/de-de/iis/configuration/system.webserver/security/authentication/windowsauthentication/extendedprotection/