Monat: Oktober 2020   2020   6 Ergebnisse

Inhaltsverzeichnis
  1. Cloud Computing für klein und groß 2 - 3
  2. Azure Windows virtual Desktop meist günstiger als Terminalserver 4 - 6
  3. Anforderungen an IT-Betrieb inhouse vs. Cloud 7 - 9
  4. Office 2010 - Ende Gelände... 10
  5. Exchange-Lücke: 40.000 Server ungepatcht 11 - 12
  6. IT-Dokumentation 13 - 14

Cloud Computing für klein und groß

Dass der Betrieb von Servern in eigenen Räumlichkeiten und die bei Veränderungen und Garantie-Ablauf verbundene Ersatz-Investition nicht mehr zeitgemäß und nicht zukunftsweisend ist, hat aktuell auch die deutsche Bahn bewiesen. Das Unternehmen hat auf gesetzt und alle Server in den eigenen Rechenzentren abgeschaltet.
[Quelle: Westfälische Rundschau vom 29.10.2020, Funke Mediengruppe]

Bemerkenswert ist, dass die Umstellung im Gegensatz zu vielen Großprojekten bereits zwei Jahre vor dem geplanten Ende abgeschlossen ist. Als Zielplattform hat man dabei auf Microsoft gesetzt (und weil die Bahn so groß ist, auch Server im AWS Rechenzentrum angemietet.

Wir erkennen derzeit auch im klein- und mittelständischen Kundenumfeld die gleiche Tendenz. Spätestens mit Ablauf der Garantie oder mit Einführung neuer Software muss neu investiert werden – meist im hohen 5-stelligen Bereich. Nahezu jeder Kunde entscheidet sich bei Garantie-Ende seiner Server für die IaaS Lösung. Aus Datenschutz-Gründen werden die Rechenzentren in Frankfurt und bei Berlin bevorzugt, denn die dort betriebenen Windows-Server (für Domänencontroller Dienste, SQL,Service-Tiers, File, Print, s.dok/s.scan Archiv), stehen auf deutschem Grund und Boden. [Anmerkung: Software as-a-Service Dienste (SaaS) können Querschnittsfunktionen wie Azure-AD von Servern in den US&A bereitstellen, laut Datenschutzerklärung von Microsoft liegen aber die Daten und Dokumente im EU-Raum oder Deutschland]

Weil die BSI-Empfehlungen zu eigenen Serverräumen mittlerweile Pflichtprogramm sind und verschärft wurden, muss in vielen Fällen baulich nachgerüstet oder gar ein Serverraum gebaut werden.

Der Cloud Readiness Check ermittelt und entdeckt die zu erfüllenden Maßgaben und ermittelt, welche voraussichtliche und Cloud-Optimierte Serverumgebung in Azure gemietet werden kann, um einen skalierbaren, performanten und bedarfsgerechten IT-Betrieb zu gewährleisten.

Azure Windows virtual Desktop meist günstiger als Terminalserver

Wer keine neue Server kaufen und BSI konform im eigenen Haus betreiben möchte, kann die benötigte Hardware und das Drumherum bei Microsoft mieten. Die Plattform heißt: Microsoft Azure.

RDS- oder Terminalserver (bzw. Citrix-) Farm

Bisher hat man dazu entweder schon Terminalserver eingesetzt oder eingeführt, damit der Zugriff auf die per Internet-VPN erreichbaren Dienste auch bei schwächeren Leitungen performant bedienbar waren. In (bzw. bei aktuellen Betriebssystemversionen spricht man von RDS (Remote Desktop) Diensten.
Zum Betrieb der Dienste muss man also einen oder mehrere Windows Server mit RDS Diensten anmieten. Über einen Session Broker erfolgte die Verteilung der Sessions. Als Betriebssystem kommt ein Multi-Session fähiges Windows Server Betriebssystem zum Einsatz (das ebenfalls monatlich bezahlt werden muss). Zusätzlich wird pro User eine Remote Desktop Zugriffslizenz benötigt – beim Betrieb unter Azure mit Software-Assurance.
Alternativ kann man eine VDI Infrastruktur aufbauen und Windows Desktop-Betriebssysteme virtuell vom Server betreiben oder streamen, die aber wiederum eine Software-Assurance über ALLE Lizenzen erfordert.

AVD oder Azure virtual desktop

Der Azure Virtual Desktop Service wird hierbei aus der Cloud bezogen und ausgeführt. Der Administrator lizensiert und konfiguriert einen sogenannten Pool und gibt wie üblich die Nutzungszeit (Stunden pro Monat) an. Für Arbeiten außerhalb der Kernzeit kann ebenfalls eine Anzahl von Maschinen bereitgestellt werden. Um die notwendige Hardware dahinter kümmert sich Microsoft. Man mietet also keine drei Terminalserver an, sondern z. B. 40 WVDs.
Azure stellt Windows 10 Business oder Enterprise (Multisession, das gibt es nur in Azure) zur Verfügung. Der Zugriff erfolgt über das RDP Protokoll.

Der Administrator muss also – wie bei Terminalservern, die Software für alle Clients – wie beim Terminalserver pro Pool nur einmal installieren. Außerdem spart man die RDP-Zugriffslizenzen ein. Die Lizenz für das verwendete Betriebssystem muss über einen passenden Microsoft 365 Plan bereit gestellt werden.

Voraussetzungen

Damit das Ganze funktioniert, werden folgende Dinge benötigt:

  • Ein Microsoft Azure Mandant (Tenant) für das Unternehmen
  • für jeden User (der Office Programme und ein Exchange online Posftfach hat) eine Microsoft 365 Business Premium Lizenz (enthält Exchange Online Postfach, Office, erweiterten Virenschutz, 2-Faktor-Authentifizierung und mehr)
  • Für Benutzer, die keine Office-Programme UND kein Postfach nutzen, kann statt Business Premium ein Windows 10 Enterprise E3 Plan gemietet werden. Dieser enthält die Betriebssystemlizenz für den virtuellen Desktop.
  • Office muss eingerichtet sein und das Active Directory mit dem Azure-AD synchronisiert
  • Ein Windows Virtual Desktop Pool muss in Azure lizensiert (gemietet) und konfiguriert werden. Hat man mehrere Anwendungsszenarien, legt man mehrere Pools an (Beispiel: Desktops mit Office Nutzung und Desktops ohne
  • Andere Azure Server für die restliche Infrastruktur (DC, Print, File, SQL, Service Tiers, Archivserver …)

Zugriff von überall

Ähnlich wie Exchange online sind Desktops von überall im Internet erreichbar. Die notwendigen Gatewaydienste stellt Microsoft zur Verfügung.
Zur Absicherung (Mehr-Faktor-Authentifizierung) kann (nur für die User mit Premium Lizenz) die Microsoft Authenticator App benutzt werden. Alternativ kann (und wird in den meisten Umgebungen) die Azure vpn Einwahl zusätzlich genutzt.

Kostenbetrachtung 40 User Beispiel, Listenpreise

Wer ohnehin Microsoft Office und ein Exchange Postfach benötigt, für den ist WVW günstiger als der Betrieb von Terminalservern in Azure. Dabei kostet ein Pool für das Rechenbeispiel mit 40 Usern etwa das gleiche, wie ein Terminalserver.

Für 40 User braucht man aber mindestens 2 Terminalserver und für jeden User auch nochmal eine RDP User CAL mit Software Assurance:

* Wenn ein typischer Terminalserver rund 450 € kostet pro Monat (also 2 für die 40 User mit 900 € pm), die RDS-Cal 130 € + 30 € pro Jahr (6.400 € im ersten, 1200€ in den Folgejahren), liegt eine typische WVD-Umgebung etwa bei 550 € pro Monat. (Nur ein Rechenbeispiel. Preisangaben ohne Gewähr. Genaue Details müssen ermittelt werden)

Fazit

WVD ist in vielen Fällen die bessere Lösung. Weil ein WVD Desktop ebenfalls das RDP Protokoll verwendet und eine Multi-User-Umgebung ist, gelten die gleichen technischen Voraussetzungen und Einschränkungen wie bei klassischen Terminalservices.
Vereinzelt (sehr selten) wird es Software geben, die feststellt, dass Multiuser-Betrieb unter Client Betriebssystem stattfindet und nicht funktioniert. In dem Fall sind die Hersteller gefragt – oder aber man setzt doch Terminalserver auf.

Im Rahmen eines Cloud Readiness Checks erhalten Sie ein Konzept zur Realisierbarkeit.

Anforderungen an IT-Betrieb inhouse vs. Cloud

Die Rahmenbedingungen des Geschäftsbetriebs Ihres Unternehmens werden durch zahlreiche Gesetze, Vorschriften und Anforderungen von Banken und Versicherungen bestimmt. So bedeutet ein schlechtes Rating auch schlechte Kreditkonditionen oder teure Versicherungstarife.
Allein bei der Datensicherung die Geschäftsleitung bei groben Verstößen persönlich (und nicht mit der Einlage) haftbar. Dagegen schützt Sie auch keine DuG Versicherung.

Server-Betrieb im eigenen Hause

Die wichtigsten Anforderungen an den IT-Betrieb, die diese Voraussetzungen erfüllen sind (nur ein Auszug, im Detail sind es deutlich mehr:

  • Serverraum, der BSI-Grundschutz-Ansprüche erfüllt – mit Baulichen Maßnahmen des Raums, Klimatisierung und Entfeuchtung mit hoher Verfügbarkeit, Zugriffsschutz, Brandschutz, Brand-Früherkennung und aktiver Meldung, CO2-Lösch-Anlage, Alarmsicherung
  • Server-Hardware – mit Redundanz (mehrere Server, Spiegelung, Hochverfügbarkeit, Ausfallsicherheit, Spiegelung aller Komponenten), bei starkem Wachstum muss häufig Server-Hardware nachgekauft werden, nach spätestens 5 Jahren (Ablauf der Hersteller-Garantieverlängerung) muss die komplette Server-Landschaft erneuert werden. Zweiter Serverraum für Datensicherung und redundanten Virtualisierungs-Host
  • Datensicherung – Sicherung auf passive Offline-Medien, Zusatz-Sicherung in einem anderen Brand-Abschnitt oder Gebäude, Lagerung von 2 Bändern extern des Grundstücks (mind. 2km entfernt), Mehrere Sicherungsstufen und -Generationen, tägliche Kontrolle der Sicherung und Maßnahmen im Fehlerfall dokumentieren
  • Netzwerk-Infrastruktur – redundant und sicher auslegen (Netzwerk-Switches, Leitungsführung der betriebskritischen Komponenten, Verteilerschränke USV-gepuffert und zugriffsgeschützt)
  • Administration: Organisatorische und technische Maßnahmen wie Software-Aktualisierung, Sicherheits-Updates von Betriebssystemen und Anwendungs-Software – bei Lizenz-Software muss Wartungsvertrag mit Hersteller geschlossen sein
  • Virenschutz: Server-Komponenten und Client Komponenten mit zentral verwalteter Antivirus-Software ausstatten und in Betrieb halten
  • Warenwirtschaft: Nahezu alle Hersteller und der Gesetzgeber bringen 1x pro Jahr Änderungen und Neuerungen heraus. Die Aktualisierung der verbundenen Server- und Client-Komponenten muss zeitnah durchgeführt werden
  • Office: Microsoft hat die Support-Laufzeiten der Kauf-Versionen auf 5+2 Jahre verkürzt. Nach dieser Zeit werden keine Sicherheitslücken mehr geschlossen.

Rechenzentrum in Deutschland im Vergleich

Am Beispiel Microsoft Azure erläutern wir Ihnen die Rahmenbedingungen für die Verlagerung von Diensten in die Cloud:

  • Vertrag mit Microsoft Deutschland GmbH ist nach Datenschutzrecht eine Auftragsverarbeitung
  • Daten lassen sich geolokalisieren und liegen damit auf deutschem Hoheitsgebiet (z. B. Rechenzentren in Frankfurt oder Magdeburg)
  • Daten und Transport erfolgen verschlüsselt, d. h. ein unberechtigter Zugriff durch Dritte wäre eine Straftat
  • Fast alle beim Betrieb im eigenen Hause genannten Tätigkeiten entfallen, insbesondere die hohen Einmalkosten (5-stellig) und Wartungskosten (meist 4-stellig) für den Ausbau/Betrieb der Serverräume, Energiekosten (4-5 stellig/Jahr), Neukauf der Server-Hardware alle 5 Jahre (meist 5- oder 6-stelliger Betrag), Aktualisierung (Lizenzen und Dienstleistungen) von Software (5-6-stellig)

Berücksichtigt man allein diese wichtigsten Stellschrauben, ist unter der Vorgabe, Gesetze erfüllen zu müssen und Risiken ausreichend entgegen zu treten im Vergleich vielfach die Migration in die deutsche Cloud auch kaufmännisch zu argumentieren.

Warum Microsoft Azure? Da unsere Warenwirtschaft auf Microsoft Software basiert und deren Plattform „Azure“ auch deutsche Datenhaltung erlaubt, empfehlen wir diese Plattform, um mit Ihrer Warenwirtschaft für monatliche Kosten fern ab von hohen wiederkehrenden Investitionen.

Cloud oder Server im Hause – was ist jeweils erforderlich?

Konzept 2-Stufig: Die oben genannten Themen sind nur die Spitze vom Eisberg. Mit dem Cloud Readiness Check | Azure ermitteln wir gemeinsam vor Ort Ihre Anforderungen im Detail und dokumentieren und beschreiben, für welche Plattform Sie sich kurz- und mittelfristig ausrichten müssen. Hierbei steht im Vordergrund, zu ermitteln, wo bereits jetzt beim Betrieb im eigenen Hause gesetzliche Vorschriften nicht erfüllt und der Grundschutz nach BSI nicht erreicht werden. Wir definieren Maßnahmen und Schritte, was Sie auf jeden Fall tun müssen:

Stufe 1: (Remote) Erfassung, Dokumentation und Bewertung Ihrer IT-Umgebung nach Standards. Ermittlung, welche Plattform für welches Verfahren technisch die Beste ist

Stufe 2: (GWS-Mitarbeiter) Kaufmännische Betrachtung und Gegenüberstellung On Premises, Hybrid, IaaS, SaaS (für GWS-Produkte)
(Ihr Systemkoordinator) – Angebote von Drittanbietern (Klima, Elektrik, bauliche Anforderungen) einholen

Ergebnisse: (Remote, Telefonkonferenz) Zusammenfassung, Abstimmung GWS mit Systemkoordinator und Präsentation der Ergebnisse für die Geschäftsleitung

Mehr Details, Nutzen-Argumente, sowie Anmeldemöglichkeit zum Cloud Readyness-Check hier.

Office 2010 - Ende Gelände...

Wegen der Pandemie hatte Microsoft das Supportende und damit das Ende der Sicherheitspatches vertagt. Nun gibt es seit 13. Oktober 2020 keine Sicherheits-Patches mehr. ist die wirtschaftliche Alternative.

  Jukebox    gru-alarmsound2
Office 2010 keine Sicherheitspatches mehr seit Di. 13. Okt. 2020, 00:00:00   vor 5 Jahren  
Oktober 2020
MODIMIDOFRSASOKw
1
2
3
4
40
5
6
7
8
9
10
11
41
12
13
14
15
16
17
18
42
19
20
21
22
23
24
25
43
26
27
28
29
30
31
44

Exchange-Lücke: 40.000 Server ungepatcht

Bereits im Februar 2020 hat Microsoft eine kritische im Server geschlossen. Sie ermöglicht es Angreifern, das System über das Internet (per Web App bzw. die Push-E-Mail-Schnittstelle) komplett zu übernehmen. Die Lücke betrifft alle Exchange Server ab 2003. Patches stehen jedoch nur für die noch unterstützten Exchange Versionen: 2013, 2016 und 2019 zur Verfügung. Außerhalb der Reihe auch noch ein Notfallpatch für Exchange 2010 (hier war der offizielle Support bereits im Februar 2020 beendet).

Weil die Sicherheitsforscher immer 90 Tage nach einem Patch die Funktionsweise von Sicherheitslücken veröffentlichen, besteht ein hohes Risiko. Internet-Analysen haben bestätigt, dass (Stand gestern) über 40.000 Server weltweit nicht gepatcht sind.

Handlungsbedarf

Im Dokument zur CVE-2020-0688 ist beschrieben, was zu tun ist. Wer noch Exchange 2010 im Einsatz hat, sollte sich zusätzlich zeitnah überlegen, nach Exchange online zu migrieren (Listenpreis pro User/Postfach/Monat rund 4,20 €). Die Miete von Exchange ist unter Betrachtung der Leistungsmerkmale und Sicherhit/Verfügbarkeit haushoch überlegen gegenüber dem Neukauf aller Lizenzen und der Aufrüstung der Server. Zudem entfällt der hohe Migrationsaufwand dann nach vollendeter Exchange Online-Migration für die Zukunft.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688

Systemkoordinatoren, die neuere Versionen einsetzen, haben neben dem Installieren des Sicherheitpatches erst wieder Handlungsbedarf, wenn die Hardware Garantie abläuft. Dann wird die Online Migration auch für diese Szenarien wirtschaftlich und interessant.

Bei Fragen nach einem Exchange Angebot hilft Ihnen unser technischer Vertrieb rund um Teamleiter Andreas Lübke.
Für Unterstützung bei der Installation eröffnen Sie bitte einen Supportvorgang.

Sorgenfrei gepatcht mit Managed | Server

Wußten Sie schon: Mit Managed | Server übernehmen wir das Patchen und Testen dder Patches zu einem vereinbarten Wartungsfenster für Sie und Sie müssen nicht tätig werden. Infos zu den Managed Services gibt’s im Team von Marco Klenner.

Kontakt gern auch über das Kontaktformular hier.

IT-Dokumentation

Erhalten Sie eine detaillierte und strukturierte IT-Dokumentation, so wie es der BSI-Grundschutz und/oder Prüfungsstandard 330 es von jedem Unternehmer verlangt. Remote / Analyse.

Seminarinhalte (Auswahl) Im Grundschutzkatalog 200-1 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und im Prüfungsstandard 330 des Instituts der deutschen Wirtschaftsprüfer wird eine detaillierte IT-Dokumentation von Software Hardware und Netzwerk gefordert. Die Dokumentation und die Inventarwerkzeuge dienen zum Einschätzen und Beurteilen von Risiken und der Ableitung von Maßnahmen durch Ihren Systemkoordinator.

* Auflistung der Geräte einer Domäne Server / PCs / Drucker / Switches.
* Auflistung der IP-Adressen und Mac-Adressen.
* Auflistung der installierten Software.
* Auflistung von Betriebssystemen mit Versionen und Buildnummern.(Microsoft®-Betriebssysteme).
* Übersicht der Netzwerkarchitektur mit IP-Ranges und VLANs.
* Übersicht aller Benutzer und Sicherheitsgruppen im AD.
* Auflistung der Gruppenrichtlinien (GPOs).
* Liste der Exchange-Postfächer (und Größen falls Exchange vorhanden).
* Liste der Exchange online Postfächer (wenn Portal Adminzugang vorhanden).
* Liste der Microsoft 365 Benutzer (wenn Portal Adminzugang vorhanden).
* Detaillierte Informationen zur Hardware von Servern / PCs.
* Liste der netzwerkfähigen Drucker und deren Freigaben, Modelle, Treiber.
* Inventarisierung verteilter Umgebungen (Zweigstellen) sofern Geräte online/erreichbar.
* Dokumentation von Virtualisierungsumgebungen (Hyper-V, VM-Ware).
* Dokumentation des Storage, Inventarisierung vorhandener USVs und IP-fähiger Geräte.
Zielgruppe | Max. Tln Systemkoordinatoren | 1
Voraussetzungen Grundwissen technische Architektur.
Zeitrahmen Dauer : ca. 1 Tag, 09:00 bis 17:00 Uhr.
Bemerkungen Erfassung und Dokumentation Ihrer IT Umgebung Remote.
Checkliste Remoteschulung (Schulung oder Workshop via Fernwartung)
Fernwartung via Managed vpn betriebsbereit
Administrativer Zugriff auf die Server und PCs
Zugangsdaten zu den Microsoft Online-Portalen

IT-Dokumentation (Onsite)
Administrativer Zugriff auf die Server und PCs
Zugang zum Netzwerk, Remotezugriff auf die PC-Systeme
Zugangsdaten zu den Microsoft Online-Portalen
Kaffee/Tee und Kaltgetränke
Preisinformation 1.925 € zzgl. MwSt
Festpreis unabhängig von der Teilnehmerzahl, der Leistungen wie Vorbereitung, Unterlagen, Prüfung enthält.
Onsite-Zuschlag (Durchführung vor Ort) 960 € zzgl. MwSt
Bei Durchführung in Ihren Räumlichkeiten werden die obenstehende Pauschale und Reisekosten wie Fahrtzeit/Pkwkm/Parkgebühren zusätzlich in Rechnung gestellt.
Mustervorlage: VB-079399