Windows 10 + 11 Roadmap und Windows 365
Windows 11, build 22000.100 vom 23. Juli 2021 Windows 11, Windows 365 und AVD Im Herbst 2021 erscheinen sowohl Windows 11, als auch das Halbjahresupdate von Windows 10. #Windows 11 ist für neuere Rechner tauglich, die über TPM 2.0, UEFI, Secure Boot und mindestens 4GB RAM verfügen - möglicherweise sogar mindestens einen Prozessor ab der 8. Generation.Das Betriebssystem erhält einmal pro Jahr große Funktionsupgrades (mit Veränderung der Codebasis) - vermutlich immer im Herbst eines JahresDie Codebasis ist (für das Herbst-Update 2021): 22000.x - x ist der PatchlevelPatchday bleibt am zweiten Dienstag im Monat, 19 Uhr ME(S)TKleine Funktionsupdates und Fehlerkorrekturen gibt es am vierten Dienstag im MonatNeue PCs und Notebooks werden von den Herstellern ab Herbst 2021 nur noch mit Windows 11 ausgeliefertDie Bezeichnungen der Editionen bleiben:Windows 11 = Consumer Version (quasi Home ohne Domänenfunktionen, ohne GPOs, mit Werbung)Windows 11 Pro = Business Version mit Domäne, GPOs, Netzwerkintegration, mit WerbungWindows 11 für Workstation = Funktionen von Pro, es werden aber mehr RAM und mehr Cores unterstützt, für High Performance Rechner wie CAD Anwendungen und VideobearbeitungWindows 11 Enterprise = Firmenversion (weitgehend) ohne WerbungNEU: Windows 365 = Miet-Version von Windows 11 (wahlweise auch erst noch Windows 10), Online-Dienst von Microsoft. Windows wird dabei (wenn das so kommt) über eine RDP-Verbindung in der Cloud bereitgestellt und ist eine single Session virtuelle Maschine mit jeweils dem aktuellen Betriebssystem und Patches von Microsoft aus der Cloud. Zentrale Management Features sind eingeschränkt oder in der Einstiegsvariante nicht vorhanden.AVD: derzeit kennen die Microsoft 365 Abonnenten ähnliche Umgebungen schon…
erstes Bild
Kategoriebild
Drucker – die Dritte (HP/Samsung)
viele von Ihnen setzen Drucker von #HP im Unternehmen ein. Für eine größere Anzahl von Modellen wurden nun auch kritische #Sicherheitslücken geschlossen. Schauen Sie bitte im folgenden Artikel ("affected Products" aufklappen) nach, ob ein Drucker aus der Liste bei Ihnen in Betrieb ist. Weil HP die Druckersparte von #Samsung aufgekauft hat, sind auch Geräte dieser Marke betroffen. HP Security Bulletin zur kritischen Lückehttps://support.hp.com/us-en/document/ish_3900395-3833905-16 In der Druckverwaltung auf Ihrem Printserver können Sie sehen, mit welchem Treiber der Drucker betrieben wird. Steht dort NICHT "Universal Printer Driver" - PCL5 oder PCL6, sind Sie von der Sicherheitslücke betroffen und sollten die auf der HP-Seite angebotenen Treiber ersetzen. Die verwendeten HP Universal-Druckertreiber (PCL5 nur für ältere Modelle, sonst PCL6) sollten bei der Gelegenheit ebenfalls überprüft werden, ob sie aktuell sind: PCL6: 61.250.1.24832PCL5: 61.180.1.20062 (wird nicht mehr weiter entwickelt, sollte aber die letzte unterstützte Version sein
Kategoriebild
Sicherheitslücke in HP-Druckertreibern
viele von Ihnen setzen #Drucker von #HP im Unternehmen ein. Für eine größere Anzahl von Modellen wurden nun auch kritische #Sicherheitslücken geschlossen. Schauen Sie bitte im folgenden Artikel („affected Products“ aufklappen) nach, ob ein Drucker aus der Liste bei Ihnen in Betrieb ist. Weil HP die Druckersparte von #Samsung aufgekauft hat, sind auch Geräte dieser Marke betroffen. HP Security Bulletin zur kritischen Lücke https://support.hp.com/us-en/document/ish_3900395-3833905-16 In der Druckverwaltung auf Ihrem Printserver können Sie sehen, mit welchem Treiber der Drucker betrieben wird. Steht dort NICHT „Universal Printer Driver“ – PCL5 oder PCL6, sind Sie von der Sicherheitslücke betroffen und sollten die auf der HP-Seite angebotenen Treiber ersetzen. Die verwendeten HP Universal-Druckertreiber (PCL5 nur für ältere Modelle, sonst PCL6) sollten bei der Gelegenheit ebenfalls überprüft werden, ob sie aktuell sind: PCL6: 61.250.1.24832 PCL5: 61.180.1.20062 (wird nicht mehr weiter entwickelt, sollte aber die letzte unterstützte Version sein
Kategoriebild
Jetzt auch noch HIVE Nightmare
Elm Street lässt grüßen: Beim Schließen der kritischen #Sicherheitslücken in #Windows hat Microsoft die Print Nightmare Lücke nicht vollständig gepatcht. Deshalb kann ein Angreifer, nur wenn er sich bereits im selben IP-Netzwerk befindet, immer noch im System-Kontext Schadprogramme installieren. Die Lücke ist damit nicht mehr ganz so kritisch, aber immer noch vorhanden. Eine andere Lösung, als gänzlich auf das Drucken zu verzichten, gibt es nicht. Zusätzlich wurde vor wenigen Tagen eine weitere Lücke entdeckt: Der so benannte HIVE #Nightmare. Damit kann ein Angreifer Sicherheitsinformationen und Kennwort-Hashes der lokalen Benutzer auslesen und somit sich leichter Adminrechte über das Gerät verschaffen. Betroffen sind die SAM, SYSTEM, and SECURITY registry #hive files, aber auch nur, wenn man die Volumen-Schattenkopien (VSS) nutzt. Ohne diese Schattenkopien bedeutet eine defekte Registry Neuaufsetzen des ganzen Systems. Für die untere Lücke beschreibt Microsoft eine Art Workaround, die zwar die Sicherheitslücke schließt, die Nebenwirkung hat, dass das System nach einem Fehler neu aufgesetzt werden muss. Registry-Fehler lassen sich so nicht mehr über eine Datensicherung restaurieren. Systemkoordinatoren sollten selbst entscheiden, zumal die Lücke auch nur dann genutzt werden kann, wenn man sich im selben Netzwerk befindet, ob sie eine Registry ohne Datensicherung (VSS) oder das Restrisiko eines internen Angriffs in Kauf nehmen. Da die Passwort-Hashes der lokalen Benutzer nicht sonderlich gut verschlüsselt sind, ist es insbesondere bei unsicheren Passwörtern eine Fragen von wenigen Minuten, bis der Angreifer dann lokale Adminrechte über diesen Rechner hat. Domänencontroller und das Active Directory sind von der Lücke nicht betroffen. Laut Microsoft Artikel sind zwar…
Kategoriebild
Print- und HIVE-Nightmare Sicherheitslücken
Die Elm Street und Freddy lassen grüßen: Beim Schließen der kritischen #Sicherheitslücken in #Windows hat Microsoft etwas nicht gepatcht. Deshalb kann ein Angreifer, nur wenn er sich bereits im selben IP-Netzwerk befindet, immer noch im System-Kontext Schadprogramme installieren. Die Lücke ist damit nicht mehr ganz so kritisch, aber immer noch vorhanden. Eine andere Lösung, als gänzlich auf das Drucken zu verzichten, gibt es nicht. Zusätzlich zum #Print-Nightmare wurde vor wenigen Tagen eine weitere Lücke entdeckt: Der so benannte HIVE Nightmare. Damit kann ein Angreifer Sicherheitsinformationen und Kennwort-Hashes der lokalen Benutzer auslesen und somit sich leichter Adminrechte über das Gerät verschaffen. Betroffen sind die SAM, SYSTEM, and SECURITY registry hive files, aber auch nur, wenn man die Volumen-Schattenkopien (VSS) nutzt. Ohne diese Schattenkopien bedeutet eine defekte Registry Neuaufsetzen des ganzen Systems. Für die untere Lücke beschreibt Microsoft eine Art Workaround, die zwar die Sicherheitslücke schließt, die Nebenwirkung hat, dass das System nach einem Fehler neu aufgesetzt werden muss. Registry-Fehler lassen sich so nicht mehr über eine Datensicherung restaurieren. Systemkoordinatoren sollten selbst entscheiden, zumal die Lücke auch nur dann genutzt werden kann, wenn man sich im selben Netzwerk befindet, ob sie eine Registry ohne Datensicherung (VSS) oder das Restrisiko eines internen Angriffs in Kauf nehmen. Da die Passwort-Hashes der lokalen Benutzer nicht sonderlich gut verschlüsselt sind, ist es insbesondere bei unsicheren Passwörtern eine Fragen von wenigen Minuten, bis der Angreifer dann lokale Adminrechte über diesen Rechner hat. Domänencontroller und das Active Directory sind von der Lücke nicht betroffen. Laut Microsoft Artikel sind…
Kategoriebild
Windows 10 und 11 Roadmap, Windows 365
Windows 11, build 22000.100 vom 23. Juli 2021 Windows 11, Windows 365 und AVD Im Herbst 2021 erscheinen sowohl Windows 11, als auch das Halbjahresupdate von Windows 10. #Windows 11 ist für neuere Rechner tauglich, die über TPM 2.0, UEFI, Secure Boot und mindestens 4GB RAM verfügen – möglicherweise sogar mindestens einen Prozessor ab der 8. Generation. Das Betriebssystem erhält einmal pro Jahr große Funktionsupgrades (mit Veränderung der Codebasis) – vermutlich immer im Herbst eines Jahres Die Codebasis ist (für das Herbst-Update 2021): 22000.x – x ist der Patchlevel Patchday bleibt am zweiten Dienstag im Monat, 19 Uhr ME(S)T Kleine Funktionsupdates und Fehlerkorrekturen gibt es am vierten Dienstag im Monat Neue PCs und Notebooks werden von den Herstellern ab Herbst 2021 nur noch mit Windows 11 ausgeliefert Die Bezeichnungen der Editionen bleiben: Windows 11 = Consumer Version (quasi Home ohne Domänenfunktionen, ohne GPOs, mit Werbung) Windows 11 Pro = Business Version mit Domäne, GPOs, Netzwerkintegration, mit Werbung Windows 11 für Workstation = Funktionen von Pro, es werden aber mehr RAM und mehr Cores unterstützt, für High Performance Rechner wie CAD Anwendungen und Videobearbeitung Windows 11 Enterprise = Firmenversion (weitgehend) ohne Werbung NEU: Windows 365 = Miet-Version von Windows 11 (wahlweise auch erst noch Windows 10), Online-Dienst von Microsoft. Windows wird dabei (wenn das so kommt) über eine RDP-Verbindung in der Cloud bereitgestellt und ist eine single Session virtuelle Maschine mit jeweils dem aktuellen Betriebssystem und Patches von Microsoft aus der Cloud. Zentrale Management Features sind eingeschränkt oder in der Einstiegsvariante…
erstes Bild
Kategoriebild
Crypto-Angriffe – wenn nur noch eine Datensicherung hilft
Wenn ein Crypto Angriff erfolgt, ist trotz technischer Sicherungsmaßnahmen meist ein Mitarbeiter Schuld, der auf Links oder Anhänge klickt, die nicht das enthalten, was sie vorgeben. Ein Restrisiko bleibt also trotz aktuellem Virenscanner und einer Gen2 Firewall mit SSL-Interception und Content Filtering. Hat man eine #Datensicherung - egal auf welchem Medium - würde diese aber auch schon verschlüsselte Daten wegsichern. Die meisten Trojaner installieren sich zunächst und legen dann zeitverzögert los. Sie verschlüsseln Dokumente und machen sie unbrauchbar, die im Schreibzugriff des Benutzers liegen oder verschaffen sich über Zero-Day-Lücken Adminrechte. Wer dann eine Bandsicherung von der Zeit vor dem Befall hat, kann man in der Regel noch unversehrte Dateien rücksichern. Entscheidend ist also die letzte erfolgreiche Datensicherung, bevor Daten verschlüsselt wurden. Generell gibt die Faustformel 3 - 2 - 1 für Datensicherungen, d.h. auf einem Band, auf einem Datenträger und in der Cloud oder auf einem Offline-Medium in anderem Brandabschnitt). Zusätzlich gilt: Nach BSI sind erfüllen nur Offline-Sicherungen (physikalisch getrennt) auf passive Medien (Geräte ohne Elektronik wie LTO-Bänder) den Grundschutz.Ferner müssen die Daten ordnungsgemäß und sicher gelagert und beide Stufen der Datensicherung (SQL-Backup und Veeam Backup Reports) täglich kontrolliert werdenZusätzlich müssen regelmäßige Bandsicherungsprüfungen (Proberücksicherungen auf anderem Gerät) durchgeführt werden, um sicher zu sein, dass das, was gesichert wurde, auch wiederherstellbar ist. Den Check Ihrer #Datensicherung (Bandprüfungen) können Sie bei uns hier beauftragen. Im Dutzend etwas günstiger.Wenn Sie das komplette Szenario und die Anforderungen nach BSI Grundschutz testiert haben möchten, buchen Sie bitte unseren IT-Sicherheitscheck. Dieser liefert Ihnen ein mit Prüfungsverbänden…
Kategoriebild
Juli Patchday findet trotzdem statt
Obwohl Microsoft letzte Woche wegen der #Print-Nightmare Lücke das kumulative Update eine Woche vor dem regulären Patchday verteilt hat, findet der Juli #Patchday dennoch statt. Bei Windows 10 (Version 21H1/20H2/2004) erhöht sich der Patchlevel auf Build 1110. Da mit diesem Build auch andere, nicht so prominente Sicherheitslücken geschlossen wurden, installieren Sie bitte auch diese regulären Patches in Ihrem dafür 1x im Monat geplanten Wartungsfenster.
Kategoriebild
Datenübertragungen richtig verschlüsseln
Lange Zeit gab es verschiedene Verschlüsselungsverfahren, um Daten sicher von A nach B zu übertragen. Einige davon (SSL 3.0, TLS 1.0 und 1.1 und #Verschlüsselung mit RC4-Hashwerten) sind so alt, dass Sie leicht zu entschlüsseln sind. Viele Provider haben daher längst die alten Verfahren abgeschaltet. Versucht man nun Daten zu übertragen, kommt eine Fehlermeldung und die Verbindung kommt nicht zustande. Viele - fast alle - Schnittstellen und Programme basieren dabei auf der Programmierschnittstelle "Microsoft .net Framework". Da je nach verwendeter .net Version unterschiedliche Fehler auftreten, sollte auf allen Systemen mit einem Registry-Schlüssel dafür gesorgt werden, dass nur noch sichere Verfahren ausgewählt werden. Zusätzlich muss natürlich die versendene Software überhaupt in der Lage sein, nach TLS 1.2 Standard zu verschlüsseln. Ein Beispiel: Seit das frühere s.net "Managed Transfer" heißt, unterstützt es nur noch die sicheren Standards. Dennoch sollte auch hier der Registry-Schlüssel gesetzt werden: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client] „DisabledByDefault“ = dword:00000000 Sollten die Schlüssel „TLS 1.1“ und „TLS 1.2“ und „Client“ noch nicht existieren, dann bitte anlegen. Damit .NET das Systemdefault-TLS-Protokoll verwendet, müssen die folgenden Schüssel gesetzt werden: Hier für x64 bzw. Eine 64-Bit .NET-Anwendung [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727] "SystemDefaultTlsVersions" = dword:00000001 "SchUseStrongCrypto" = dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions" = dword:00000001 "SchUseStrongCrypto" = dword:00000001 und für x86 bzw. eine 32-Bit .NET-Anwendung [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727] "SystemDefaultTlsVersions" = dword:00000001 "SchUseStrongCrypto" = dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions" = dword:00000001 "SchUseStrongCrypto" = dword:00000001
Kategoriebild
Windows Print Nightmare Lücken – geschlossen
Updates verfügbar: 07.07.2021 Microsoft hat außerplanmäßig das Update KB5004945 und andere Updates bereitgestellt. Stand 8.7. auch für Server 2016 und alte Windows 10 Versionen. Diese schließen die Print Nightmare Lücke. Die Updates werden allerdings nur für alle Produkte, die noch nicht „end of life“ sind, unterstützt (auch wenn in der Liste Fixes für ältere Betriebssysteme gelistet werden). Windows 7 PCs und Server 2008 R2 bleiben damit grundsätzlich ungeschützt, es sei denn man hat das ESU (extended Support Abo) gebucht. Auf diesen Systemen sollte kein Druckdienst gestartet sein. Wer Sitzungsdrucker unter RDP oder Citrix über den Windows Druckserver auf Server 2008 R2 Basis betreibt, sollte jetzt erst recht über eine Cloud Migration (bei IaaS Installation auf Azure 2019 Servern) nachdenken. Denn dort werden in der Regel nur Betriebssysteme eingesetzt, die aktuell bzw im erweiterten Support sind. Zusätzlich wichtig (weil sich die Lücke sonst trotz Patches ausnutzen lässt): In der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint sicherstellen, dass die folgenden Einträge nicht vorhanden – standardmäßig der Fall – beziehungsweise deaktiviert sind: NoWarningNoElevationOnInstall = 0 (DWORD) oder nicht vorhanden UpdatePromptSettings = 0 (DWORD) oder nicht vorhanden In allen #Windows Betriebssystemen (für Clients und Server) steckt eine neue #Sicherheitslücke, die bisher noch nicht geschlossen wurde. Betroffen sind alle Server und auch PCs und Notebooks, wo der Dienst „Druckwarteschlange“ gestartet ist. Damit kann ein Angreifer ohne Adminrechte schadhafte Bibliotheken und Schadcode in das System schleusen (und ausführen). Microsoft stuft die Lücke als kritisch ein und empfiehlt den #Druckspooler (Druckwarteschlange) Dienst zu deaktivieren – was nicht zielführend ist. Schließlich kann dann nicht mehr über den Server gedruckt…
Kategoriebild
Windows Druckserver Exploit – Print Nightmare (gefixt)
Updates verfügbar: 07.07.2021 Microsoft hat außerplanmäßig das Update KB5004945 und andere Updates bereitgestellt. Stand 8.7. auch für Server 2016 und alte Windows 10 Versionen. Diese schließen die #Print-Nightmare Lücke. Die Updates werden allerdings nur für alle Produkte, die noch nicht "end of life" sind, unterstützt (auch wenn in der Liste Fixes für ältere Betriebssysteme gelistet werden). Windows 7 PCs und Server 2008 R2 bleiben damit grundsätzlich ungeschützt, es sei denn man hat das ESU (extended Support Abo) gebucht. Auf diesen Systemen sollte kein Druckdienst gestartet sein. Wer Sitzungsdrucker unter RDP oder Citrix über den Windows Druckserver auf Server 2008 R2 Basis betreibt, sollte jetzt erst recht über eine Cloud Migration (bei IaaS Installation auf Azure 2019 Servern) nachdenken. Denn dort werden in der Regel nur Betriebssysteme eingesetzt, die aktuell bzw im erweiterten Support sind. Zusätzlich wichtig (weil sich die Lücke sonst trotz Patches ausnutzen lässt): In der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint sicherstellen, dass die folgenden Einträge nicht vorhanden – standardmäßig der Fall - beziehungsweise deaktiviert sind: NoWarningNoElevationOnInstall = 0 (DWORD) oder nicht vorhandenUpdatePromptSettings = 0 (DWORD) oder nicht vorhanden In allen #Windows Betriebssystemen (für Clients und Server) steckt eine neue #Sicherheitslücke, die bisher noch nicht geschlossen wurde. Betroffen sind alle Server und auch PCs und Notebooks, wo der Dienst "Druckwarteschlange" gestartet ist. Damit kann ein Angreifer ohne Adminrechte schadhafte Bibliotheken und Schadcode in das System schleusen (und ausführen). Microsoft stuft die Lücke als kritisch ein und empfiehlt den Druckspooler (Druckwarteschlange) Dienst zu deaktivieren - was nicht zielführend ist. Schließlich kann…
Kategoriebild