Aktuelle Schulungen

[popular_posts title_link="/tag/schulung/?view=list&orderby=modified&order=DESC&posts-per-page=40" orderby="date" tag="schulung" orderby="rand" posts_per_page=5]

Stellenbeschreibung für Systemkoordinierende

Begriffsdefinition und Schreibweise

• Systemkoordinator (gn*) – geschlechtsneutrale Funktionsbezeichnung
• Systemkoordinierende – Verwendung im Fließtext
• SYSKO – Kurzform, z. B. im Zusammenhang mit „SYSKO zertifiziert“

Was sind Systemkoordinierende?

Systemkoordinierende sind auf Kundenseite benannte verantwortliche Personen, die die organisatorische und technische Koordination der bei der GWS eingesetzten IT-Systeme und Softwarelösungen übernehmen.

Sie fungieren als zentrale Schnittstelle zwischen dem eigenen Unternehmen, der GWS sowie gegebenenfalls weiteren IT-Dienstleistern. Ziel ist es, einen stabilen, sicheren und nachvollziehbaren Betrieb der eingesetzten Systeme zu unterstützen.

Systemkoordinierende sind keine Mitarbeitenden der GWS. Die Rolle ist im Kundenunternehmen angesiedelt und ergänzt bestehende IT-Strukturen.

Server in der Cloud – Aufgaben bleiben bestehen

Auch wenn IT-Systeme nicht mehr lokal betrieben werden, sondern in Cloud-Rechenzentren (z. B. Microsoft Azure), bleiben die Aufgaben der Systemkoordinierenden bestehen.

Verantwortlichkeiten verlagern sich teilweise in andere Werkzeuge oder Verwaltungsoberflächen, die organisatorische Verantwortung für Betrieb, Koordination, Kontrolle und Dokumentation verbleibt jedoch beim Kundenunternehmen.

Warum besteht die Notwendigkeit einer Systemkoordination?

Die Benennung einer systemkoordinierenden Rolle ergibt sich aus organisatorischen, rechtlichen und wirtschaftlichen Anforderungen, unter anderem aus:

• gesetzlichen Vorgaben (z. B. NIS2UmsuCG, DSGVO, BDSG).
• Prüfungs- und Nachweisanforderungen auf Basis ISO/IEC DE 315.
• Anforderungen von Kreditinstituten, Versicherungen oder Wirtschaftsprüfern.
• vertraglichen und lizenzrechtlichen Verpflichtungen.
• dem Erfordernis einer nachvollziehbaren IT-Organisation.

Auch bei ausgelagerten IT-Leistungen verbleiben Organisations-, Kontroll- und Überwachungspflichten grundsätzlich beim Unternehmen.

Aufgaben der Systemkoordinierenden

Art und Umfang der Aufgaben richten sich nach Größe, Struktur und technischer Ausprägung des Unternehmens. Die Rolle wird häufig ergänzend zu anderen Tätigkeiten wahrgenommen.

Reparatur durch „Neubetankung“

Bei Systemstörungen oder inkonsistenten Zuständen erfolgt die Wiederherstellung häufig durch eine Neuinstallation oder ein automatisiertes Deployment (Unattended Installation).

Systemkoordinierende übernehmen hierbei insbesondere:

• organisatorische Vorbereitung von Neuinstallationen.
• Koordination der Bereitstellung notwendiger Installations- und Lizenzinformationen.
• Abstimmung mit internen und externen Beteiligten.

Sicherheitsupdates

Microsoft-Produkte

Systeme werden durch die GWS initial bereitgestellt. Sicherheitslücken entstehen jedoch fortlaufend neu.

Zu den Aufgaben der Systemkoordinierenden gehören daher:

• Planung und Organisation von Sicherheitsupdates.
• Steuerung von Neustarts, insbesondere bei Server-Systemen.
• Berücksichtigung betrieblicher Abhängigkeiten bei Update-Zeitpunkten.

Unkontrollierte automatische Updates auf produktiven Systemen können zu Betriebsunterbrechungen führen und sind daher organisatorisch zu steuern.

Weitere Software

Auch zusätzliche Softwareprodukte (z. B. Browser, PDF-Reader, Laufzeitumgebungen oder Hilfstools) sind regelmäßig zu überprüfen und bei Bedarf zu aktualisieren oder außer Betrieb zu nehmen.

Updates zur Fehlerbehebung

Updates, die der Behebung konkreter Fehler dienen, werden gezielt eingesetzt, wenn sie zur Stabilisierung oder Wiederherstellung des Betriebs erforderlich sind.

Datensicherung (On-Premises)

Bei lokal betriebenen IT-Systemen unterstützen Systemkoordinierende unter anderem:

• Kontrolle der Datensicherungsprozesse.
• Überprüfung der Durchführbarkeit von Rücksicherungen.
• organisatorische Überwachung von Sicherungsmedien.
• Dokumentation der Sicherungskonzepte.

Bei Cloud-Betriebsmodellen beschränkt sich die Aufgabe auf die Kontrolle vorhandener Sicherungs- und Wiederherstellungsmechanismen im vereinbarten Leistungsumfang.

USV-Überwachung (On-Premises)

Bei Einsatz unterbrechungsfreier Stromversorgungen umfasst die Koordination insbesondere die regelmäßige Kontrolle von Status- und Warnmeldungen.

Firewall & VPN

Systemkoordinierende unterstützen die Organisation und Überwachung von:

• Firewall-Konfigurationen.
• VPN-Zugängen und Fernzugriffen.
• erster Einordnung von Verbindungsstörungen.
• Koordination mit externen Dienstleistern oder Managed-Services.

Leitungswege & Zweigstellen

Bei Störungen von Standort- oder Leitungsverbindungen übernehmen Systemkoordinierende vorbereitende Prüfungen und stellen strukturierte Informationen für weitergehende Analysen bereit.

Virenschutz & Malware-Prävention

Die Aufgaben umfassen organisatorisch:

• Einsatz und Überwachung geeigneter Schutzlösungen.
• Kontrolle der Aktualität von Signaturen.
• regelmäßige Überprüfung von Warn- und Statusmeldungen.

First-Level-Support

Systemkoordinierende sind häufig erste Ansprechpersonen bei alltäglichen IT-Problemen, z. B.:

• Drucker- oder Netzwerkprobleme.
• einfache System- oder Bedienungsfragen.
• Vorqualifizierung von Störungen für weiterführenden Support.

Dokumentation & Softwarepflege

Zur Aufgabe gehört die strukturierte Dokumentation der IT-Umgebung, insbesondere:

• Hard- und Software-Inventare.
• wesentliche System- und Konfigurationsänderungen.
• unterstützende Nachweise im Rahmen von Prüfungen gemäß ISO DE 315.

Organisation & Lizenzmanagement

Systemkoordinierende unterstützen das Unternehmen bei:

• der rechtskonformen Nutzung eingesetzter Software.
• der organisatorischen Verwaltung von Lizenzen.
• der Umsetzung interner Regelungen zur Risikominimierung.
• der Abstimmung mit Datenschutz- oder Sicherheitsverantwortlichen.

Muster-Stellenbeschreibung (zur internen Verwendung)

Funktion: Systemkoordinator (gn*)
Einordnung: Koordinierende Rolle auf Kundenseite

Aufgaben:

• organisatorische Koordination des IT-Betriebs.
• Unterstützung bei Update- und Sicherheitsmaßnahmen.
• First-Level-Ansprechperson.
• Mitwirkung bei Datensicherung und Dokumentation.
• Abstimmung mit GWS und weiteren IT-Partnern.

Voraussetzungen:

• grundlegendes IT-Verständnis.
• strukturierte und sorgfältige Arbeitsweise.
• Kommunikations- und Organisationsfähigkeit.

Rechtlicher Hinweis

Die Verantwortung für IT-Betrieb, Datensicherung, Datenschutz und Compliance liegt beim jeweiligen Unternehmen. Leistungen der GWS beziehen sich ausschließlich auf die eigenen Produkte sowie vertraglich vereinbarte Leistungen. Dieser Text stellt keine Rechts- oder Haftungszusage dar.

Prüfung User Awareness für Mitarbeitende

Sie müssen für Ihr Unternehmen Ihre Mitarbeitenden regelmäßig sensibilisieren und die Risiken eines Schadsoftware-Befalls durch unbedachte Handlungen reduzieren. Hinweis für die Mitarbeitenden: Der Test ist für Sie verpflichtend. Bitte geben Sie in das Namensfeld Ihre GWS-Nummer, gefolgt von Ihrem Nachnamen an (Bsp: 20304 Meier).

[personal_quiz items=20 cats="userawareness"]

Cloud-Server und optimale Clients und Peripherie

Während in den meisten Fällen statt der Anschaffung neuer Server-Hardware auf die #Azure #Cloud gesetzt wird (IaaS - der Admin hat weiterhin Domänen-Adminrechte, SaaS - Dienst aus der Cloud ohne Admin-Zugriff auf Server), bekommen die Clients eine besondere Bedeutung. Wir haben im Artikel #Kassenschlager bereits darüber berichtet.

Das gilt insbesondere für die Peripherie. Sie sollte robust, alltagstauglich und ergonomisch sein. Darüber hinaus bleibt der Windows 10 (Pro) Rechner die Plattform mit der größten Flexibilität an einzusetzender Software und Peripherie.
Setzt man auf Thin Clients (beispielsweise IGEL UD3), muss man auf viele Peripheriegeräte und Programme verzichten. Außerdem eignen sich nur die teuren Modell für Mehrbildschirmbetrieb und flüssige Bilddarstellung. Angeschlossene #Peripherie muss durch das auf dem Gerät installierte Linux Betriebssystem nach Windows umgeleitet werden. Das funktioniert schlechter als bei nativem Windows 10.

Möchte man in der Cloud "Azure Virtual Desktop" einsetzen, verlagern sich zwar viele Programme in den virtuellen Rechner im Cloud-Dienst, es wird aber weiterhin Geräte geben, wie mit dem lokalen Windows betrieben werden. Erforderliche Peripherie, die immer ein Windows 10 brauchen, sind unter anderem:

• Chipkarten-Leser (LKW-OBUs, Fahrerkarten).
• NFC Lesegeräte (E-Perso-Ausweisapp).
• Smartphones (Meine Smartphone App).
• MDE-Geräte (insbesondere im Offline-Betrieb zum Entladen der Daten über die Dockingstation).
• Online-Waagen.
• Notfall-Arbeitsplätze (Notbetrieb ohne Netzwerk möglich).
• Unterschriften-Pads (Signopads) für Lieferscheine.
• Dokumenten Scanner für das Archiv (USB-Scanner).
• lokal genutzte Drucker ohne Netzwerk-Interface.

Peripherie-Empfehlungen

• Ultrabook-Tablet: lenovo ThinkPad X13 Yoga GenX (Intel) - 13,3 Zoll, Ultrabook, tablet, mobil, Core Ultra5.
• Notebook (kostengünstig): lenovo ThinkPad L15 (Intel) - 15,6 Zoll, Notebook, Core Ultra5.
• PC (platzsparend): lenovo Thinkcentre Tiny M72Q (Intel) Serie - Core i5.
• Monitore: 24 oder 27 Zoll IIyama B-Serie - Business, Pivot, Standfuß verstellbar.
• Tastatur: Fujitsu KB 955 (Mit Sondertasten speziell für Audio und Teams).
• Maus: Microsoft Ergonomic Mouse (kabelgebunden, USB).
• Headset: Jabra Evolve 65 (oder 75 mit Hardware-Geräuschunterdrückung) - Bluetooth, für Telefonie, Handy, Teams mit Multi-Pairing.
• Freisprech- oder Konferenzlautsprecher: Jabra Speak2 75 (Bluetooth oder USB), auch für Einzelplatz-Umgebungen geeignet, wenn keine weiteren Personen im Raum sind)
• Webcam: Meist ist die Webcam im Notebook nur 720p (also kein Full-HD, an einer nicht optimalen Position im Notebook und nicht hintergrundbeleuchtet) - VITADE 980A (Full-HD 1080p/60fps, Stereo Raummikro mit ANR, Ringlicht LED 3 Stufen).

Windows 11 Update blockieren

Für diejenigen, die in ihrem Unternehmen ein einheitliches Benutzer-Interface haben möchten oder wo die Hardware nicht die Anforderungen für Windows 11 #Eleven  #Win11 erfüllt, können per Gruppenrichtlinie einfach das ab 05. Oktober als optionales Funktions-Upgrade angebotene Funktionsupdate verhindern:

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] "TargetReleaseVersion"=dword:00000001 "ProductVersion"="Windows 10" "TargetReleaseVersionInfo"="22H2"

Diese Registry Datei sorgt dafür, dass es bei Windows 10 (Build 19044) bleibt. Es werden weiterhin 1x pro Monat Sicherheitsupdates und Fehlerkorrekturen installiert.

Natürlich funktioniert das auch über eine Gruppenrichtlinie:

• Richtlinien für Lokaler Computer -> Computerkofiguration -> Administrative Vorlagen -> Windows-Komponenten -> Windows Update -> Manage updates offered from Windows Update
• Hier dann Zielversion des Funktionsupdates auswählen doppelt anklicken
• Hier Windows 10 und darunter dann 22H2 eintragen

OpenAudit Classic unter Azure? Ja

Das Werkzeug #OpenAudit Classic ist ein GPL3 lizensiertes Open-Source Instrument zur Inventarisierung von Hardware, Software, Peripherie und Netzwerk-Komponenten. Es wird auf einem #Windows Server betrieben und zieht sich einmal pro Tag den aktuellen Stand der angeschlossenen und eingeschalteten Geräte. Dazu muss kein Client auf den Endgeräten installiert werden. Die Abfrage erfolgt per WMI oder/und SNMP vom Open-Audit Classic Server aus.

Anforderung von Amts wegen

Verbandsprüfer verlangen nach BSI Grundschutzkatalogen und IDW Prüfungsstandard 330 eine Dokumentation der oben genannten Komponenten einer IT-Umgebung. Diese Aufgabe erfüllt OAClassic weitgehend autark.

Mit dem Umzug oder der Neuinstallation von Servern in der Microsoft Azure Cloud, auch Iaas - Infrastructure as a Service genannt, bleibt die Verpflichtung und Pflege der Server bestehen. Viele Syskos haben die Frage gestellt, ob Open-Audit Classic auch unter Azure auf einem virtuellen Azure Server funktioniert und Inhalte bekommt.

auf Microsoft Azure VMs?

Mit Version 2020.12.30 verwendet Das Inventar-Tool aktuelle .net Framework Runtimes, Apache, MariaDB und PHP8, die von der jeweiligen Community allesamt für die Verwendung unter Azure Windows Servern 2019 und 20H2 angepasst wurden. Die Programmierung (in PHP) wurde ebenfalls an die neuen PHP8 Funktionen angepasst.

Von mir durchgeführte Praxistests belegen, dass Open-Audit Classic auch auf Azure Servern genutzt werden kann.

Wichtige Voraussetzungen

• Azure AD Connect bzw. das VPN zu Azure ist so eingerichtet, dass innerhalb der VPN-Tunnel keine Ports gesperrt sind
• Sowohl die Maschinen im lokalen Netz, als auch die Server in Azure können sich "untereinander und gegenseitig anPINGen und auch die Namensauflösung (DNS) funktioniert
• Die Leitungsbandbreite ist ausreichend (wobei für Open-Audit pro inventarisiertem Gerät im Durchschnitt nur 50 KiloByte als XMLHTTP-Posting übertragen werden - jede Webseite hat heutzutage rund 500 KB und mehr)
• Es sind noch mindestens 2 GB oberhalb der 15% Mindestplatz auf Laufwerk C: des Azure Inventarservers frei
• In der Praxis ist bisher (auch On-Premises) Open-Audit Classic auf dem Archiv-Server (s.dok) installiert. Diese Einordnung gilt auch für die Azure Cloud VMs

Ich möchte Open-Audit einsetzen. Was tun?

Sie können Open-Audit in der Azure-Cloud oder On-Premises (auf einem Server in Ihrem Hause) einsetzen. Nehmen Sie mit mir über das Kontaktformular (oder die gängigen Wege) Kontakt auf und wir installieren gemeinsam per Fernwartung das Werkzeug auf Ihrem Server und nehmen es in Betrieb.

Mobile Geräte mit Bitlocker verschlüsseln

In den BSI-Grundschutz-Katalogen 200-1 und im Prüfungsstandard 330 und auch aus der DSGVO lässt sich ableiten, dass mobile Geräte (Notebooks, Laptops) Daten (insbesondere personenbezogene Daten) verschlüsselt speichern müssen. Unter Windows steht dafür der Bitlocker ab den Pro-Versionen von Windows 10 zur Verfügung.

In diesem etwa 12 Minuten langen Tutorial zeige ich Ihnen anhand einer virtuellen Windows 10 Maschine, Laufwerke verschlüsseln und gegen unberechtigten Zugriff mit einer Systemstart-PIN sichern.

Das Video ist nur für vollständig zertifizierte Syskos verfügbar.

[ddownload id="28495"]

Gruppenrichtlinien

Die Einstellungen für den Bitlocker lassen sich domänenweit über Gruppenrichtlinien festlegen. Die Einstellungen für BitLocker finden sich unter:

Computerkonfiguration => Administrative Vorlagen => Windows Komponenten => BitLocker-Laufwerks-verschlüsselung.

Hier gibt es den Eintrag BitLocker-Wiederherstellungsinformationen im Active Directory Domaindiensten speichern.
Auch lässt sich hier festlegen, ob beim Einschalten eine PIN eigegeben werden muss:

Dazu im Unterordner: „Betriebssystemlaufwerke“ => Zusätzliche Authentifizierung beim Start anfordern

Die minimale PIN-Länge lässt sich mit einer weiteren Richtlinie in dem Ordner auf 4 oder 6 Zeichen setzen (nach BSI Grundschutz ist eine 4-stellige numerische PIN zum Entsperren des Gerätes ausreichend, da damit noch kein Zugriff auf Daten möglich ist (dieser erfolgt erst nach der Windows Domänen-Anmeldung).

Bitlocker aktivieren

Nach Neustart des Rechners und Anmeldung als Domänen-Admin kann über die klassische Systemsteuerung oder den Windows-Explorer der Assistent zur Bitlocker-Laufwerksverschlüsselung gestartet werden.

Hierbei wird der Wiederherstellungsschlüssel zusätzlich auf einem Netzwerklaufwerk oder Speicherstick zu speichern sein.

Wiederherstellungsschlüssel aus AD auslesen

Auf einem der Domänencontroller (dort wo Admins die Schlüssel auslesen wollen) im Server-Manager zwei Features aktivieren: BitLocker Wiederherstellungskennwort - Viewer und Tools zur BitLocker-Laufwerks­verschlüsselung. Danach sollte in Active Directory-Benutzer und -Computer beim Öffnen eines Computer-Objektes ein neuer Reiter mit der Beschriftung BitLocker-Wiederherstellung zu sehen sein. Der Powershell-Befehl lautet:

$computer = Get-ADComputer -Identity CRECOVERY01
$recoveryInformation = Get-ADObject
-Filter {objectClass -eq 'msFVE-RecoveryInformation'}
-SearchBase $computer.DistinguishedName
-Properties *

LOG4J Sicherheitslücke JAVA

Zwei Beispiele: Die vielfach verwendeten Uqibiti WLAN-Access Points der amerikanischen Firma Unifi. Die Controller-Software, um ganze WLAN-Netzwerke zu verwalten, lässt sich auf einer Hardware-Appliance, unter Linux oder unter Windows (-Server) als Dienst betreiben. Nur mit der aktuellen Version sind die Lücken geschlossen. Firmware- bzw. Software-Updates sind unbedingt erforderlich. Als JAVA-Runtime kann das kostenlose Adoptium Temurin eingesetzt werden.

Seccommerce, der Anbieter von Digitalen Signatur-Lösungen (z.B. E-Rechnung mit digitaler Signatur gegen Fake E-Mails) hat veröffentlicht, dass sie kein LOG4J einsetzen in deren Server-Softareprodukten – und am Client Adoptium JRE unterstützen.

Handlungsbedarf

1. Ermitteln Sie den Software-Bestand auf Ihren Servern und Endgeräten (Windows und Linux), sowie auf Hardware-Appliances (wie Kamera-Servern, Zeiterfassungs-Software und Diensten auf Servern). Hierbei kann Open-Audit (audit und nmap scan) insbesondere für die Windows-Umgebung hilfreich sein.
2. Nehmen Sie mit den Herstellern der Software Kontakt auf, und/oder prüfen, ob es aktuelle Versionen oder Firmware Updates gibt.
3. Führen Sie diese Updates durch (oder lassen sie vom Anbieter durchführen).

Scan-Tool (nur für Windows)

Für das Entdecken von Lücken auf der Windows-Plattform (erkennt damit nicht Log4J in Hardwaregeräten oder Linux-Systemen) gibt es auf GitHub ein Befehlszeilen Werkzeug, das man auf jedem Windows-Server oder PC, auf denen JAVA installiert ist, ausführen muss. Es sucht (nur die angegebenen Laufwerke) nach anfälligen Bibliotheken und schreibt einen Bericht darüber. Die Java-Komponente aktualisieren oder entfernen (wenn die Software sie nicht benötigt), muss man immer noch:

Eine Beschreibung wie man das Werkzeug nutzt und der direkte Download sind hier beschrieben. An der administrativen Befehlszeile oder Powershell ist dann: Log4j2-scan c:\ --fix auszuführen und das Ergebnis auszuwerten.

https://github.com/logpresso/CVE-2021-44228-Scanner

Die gängigen Tools finden auch alte (Version 1.x) Bibliotheken von LOG4J. Im Regelfall eignet es sich, solche unbenutzten JAR-Dateien zu isolieren und wenn keine Nebenwirkungen auftreten, dann zeitverzögert zu entsorgen. Lässt sich eine genutzte Software (die diese Bibliotheken und JAVA benötigt) nicht mehr nutzen, wenden Sie sich bitte an den jeweiligen Software-Hersteller.

Ein Leben ohne JAVA ist möglich (und nicht sinnlos)

Ungeachtet der oben genannten Schritte gilt: Wenn möglich und geprüft, JAVA Runtimes komplett deinstallieren oder den Hersteller fragen, ob sich Adoptium Temurin Runtime einsetzen lässt. Hier gibt es regelmäßig Sicherheitsupdates.

Produktmatrix und Status

Produkt	enthält unsicheres LOG4J 2.x	Empfehlung
w.safe Firewall	Nein	abschalten und durch Managed | Firewall ersetzen, Supportende der ubuntu Version erreicht, nur 1Gen Firewall
Blackbox alt	Nein	durch Managed | VPN Access ersetzen, da Supportende der ubuntu Version erreicht
Managed | Firewall und Managed | vpn Access	Nein	neue 2. Generation Firewall und Blackbox mit Azure Cloud Option
Seccommerce Secsigner Server und Komponenten	Nein	verwendet JAVA (Adoptium), Logging ist aber anders gelöst
Uqibiti Controller Firmware/Software	Ja	Update verfügbar. Version auf 6.5.55 aktualisieren, ab dieser Version keine Gefährdung mehr. Mit dem 55er Update wurde auch die in LOG4J 2.15 entdeckte zweite Lücke niedrigen Grades geschlossen.
Fujitsu IRMC	unbekannt	Vorsorglich aktuelle Firmware-Version einsetzen, Konsole auf HTML5 umstellen (Einstellungen, Dienste, erweiterte Videoumleitung - AVR)
Fujitsu ServerView Suite	Ja	Problem noch nicht gelöst, kritische Komponente enthalten, Die ServerView-Suite, wenn Sie auf Ihren Server installiert ist, sowie die dazugehörige JAVA Plattform deinstallieren! PDF Advisory von FTS
Fujitsu RAID Manager	Ja	Auch wenn laut Fujitsu eine nicht betroffene Version eingesetzt wird: Deinstallieren, sowie die alten JAVA-Versionen unter Windows, die diese Software mit sich führt. Die RAID Konfiguration lässt sich auch im UEFI/BIOS des Servers verändern.
s.dok d.3 Presentation Server	Nein	JAVA wird verwendet, LOG4J laut d.velop nur wenn individuelle Webdienste dies nutzen und mitbringen. Wir haben keine solchen Webdienste im Einsatz in s.dok.*
d.velop documents (d.3ecm) ab Version 2020.07	Nein	Betrifft nicht direkt log4j, ist aber eine andere Sicherheitslücke, über die der Hersteller informiert. Patch verfügbar von d.3, Das Risiko eines Angriffs wird als sehr niedrig vom Hersteller eingestuft, der Patch sollte aber installiert werden.
s.dok d.3 andere Komponenten	Nein	Aus unserer Sicht sind keine der betroffenen Module in unseren s.dok Installationen installiert oder in Verwendung. Hersteller-Information hier: https://kb.d-velop.de/s/article/000001798?language=de*
s.scan Verify	Nein	The following products do not use Log4J: IRISXtract
Managed | Monitoring	Nein	Paessler PRTG Network Monitor ist nicht betroffen
IGEL UMS Software (Thin Clients)	Ja	Patch verfügbar. Update to UMS 6.09.120, which contains Log4j version 2.17. Details hier: https://kb.igel.com/securitysafety/en/isn-2021-11-ums-log4j-vulnerability-54086712.html
E/D/E Multishop	Nein	Der Multishop ist von der aktuellen Bedrohung nicht betroffen. Präventiv wurden zusätzliche Schutz-Maßnahmen durch unseren Hosting-Partner ergriffen. Darüber hinaus wird die aktuelle Bedrohungslage überwacht. Der Dienst "Elasticsearch", wurde entsprechend der Empfehlungen der Elastic-Entwickler, abgesichert.
Syntellect CT-Connect CTI (end of life)	Ja	Noch vorhandene Installationen auf (alten) Servern sollten ebenso wie alte JAVA-Versionen gelöscht werden, da diese Middleware sowohl JAVA, als auch die Bibliothek verwendet. Diese Middleware war bei der GWS Telefonsteuerung in den 2000ern im Einsatz.Hierbei ist nur die Serverkomponente, nicht der Client betroffen. Mittlerweile gibt es das Unternehmen nicht mehr. Als Nachfolge-Middleware kommen CATS und CATSpro von Spuentrup Software zum Einsatz.
s.tel und s.tel Pro bzw. CATS und CATSpro	Nein	Keine Versionen der CATS – Software nutzen das Modul Log4J. Die CATS Server sind somit generell nicht betroffen. Java-Code wird nur in CATS/3 Servern eingesetzt, wenn sie auf der TAPI Schnittstelle aufsetzen. Auch hier wird Log4J nicht verwendet.
w.shop, w.info, Managed|Transfer	Nein	Sofern in den Server-Komponenten das LOG4J Modul von uns entdeckt wurde, ist es entweder nicht von den Sicherheitslücken betroffen oder wurde zeitnah auf aktuelle Versionen, die nicht von der Lücke betroffen sind, aktualisiert, bzw. die betreffende JAVA-Klasse entfernt
gevis (classic und ERP | BC) Azure Plattform	Nein	In unserer Warenwirtschaft und dem darunter liegenden Microsoft Dynamics 365 Business Central bzw. Dynamics NAV werden keine LOG4J Komponenten eingesetzt. Kein Handlungsbedarf. Details: https://msrc-blog.microsoft.com/2021/12/11/microsofts-response-to-cve-2021-44228-apache-log4j2/

Eine weitere Sammlung von Softwareprodukten und Hersteller-Erklärungen ist auf Gist zu finden. Allerdings unterscheidet die Liste nicht, ob das Produkt ein verwundbares LOG4J enthält oder nicht. Wenn Sie die von Ihnen verwendeten Produkte in der Liste durchklicken, erfahren Sie, ob Ihre Produkte betroffen sind oder gar kein LOG4J enthalten.

https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Internet-Revolution: Gasfaser für alle!

Gestern im ntv Ratgeber Technik: Glasfaser war vorgestern. Die neue Variante „Gasfaser“ ist deutlich günstiger und senkt den CO2-Ausstoß um nahezu 70%. Das funktioniert nur, weil das verwendete Gas „Xeon“ nicht verbrannt wird, sondern in den Intel-Fabriken zu Fasern verpresst und dann die Daten mit 2-facher Luftgeschwindigkeit überträgt (600 MilliBit pro Sekunde). Im „Ludicrous“ mode oder mit XEON Gold Gas sogar doppelt so schnell. Da wird Internet zur wahren Freude und man tut was Gutes für die Umwelt:

Vermutlich hat der Mediendesigner, der das Stock Foto im Hintergrund gebastelt hat, nur ein „l“ vergessen. Peinlich ist das aber trotzdem und gehört daher in die Sammlung der Kuriositäten. Schade, dass kein erster April ist.

Print Nightmare außerplanmäßiges Update

Nachdem mit dem November-Patch zu den bestehenden #Print-Nightmare Fehlern noch Kerberos Authentifizierungsprobleme an Domänen-Controllern auftraten, hat #Microsoft nun einen außerplanmäßigen Patch bereitgestellt. Dieser wird allerdings nicht automatisch an alle Endgeräte und Server verteilt, sondern muss von den Admins von Hand installiert werden. Damit sollen auch bei installiertem November-Patch diese beiden Probleme gelöst sein.

• Update KB5008602 (Microsoft Update Catalog): Windows Server 2019 (und Windows 10 Enterprise 2019 LTSC)
• Update KB5008601 (Microsoft Update Catalog): Windows Server 2016 (und Windows 10 Version 1607)
• Update KB5008603 (Microsoft Update Catalog): Windows Server 2012 R2
• Update KB5008605 (Microsoft Update Catalog): Windows Server 2008 R2

Quelle: Microsoft Security Bulletins

Bemerkenswert ist, dass es auch ein Update für den seit Januar 2020 nicht mehr unterstützten Server 2008 R2 gibt. Davon ungeachtet sollten Sie jedoch diese alten Server möglichst schnell migrieren - am Besten nach #Azure, wo derzeit Windows Server 2019 verbreitet ist. Aufgrund der Lizensierung per Miete, können zukünftig aber (Inplace-Upgrade) ohne Lizenzen neu kaufen zu müssen, Server auf Windows Server 2022 oder neuer gebracht werden - sollte dies eine Software benötigen.

Office 365 – Bedienoberfläche anders

Mit #Office aus #Microsoft365 Plänen ist man stets auf dem aktuellen Stand der Software – auf Wunsch sogar monatlich. Im sogenannten „Current Channel“ hat Microsoft im November 2021 die Benutzeroberfläche „aufgehübscht“ und dabei verändert.

Im Bild sieht man schon die von mir gemachten Einstellungen. Wer bisher die Schnellstartleiste benutzt hat, wird diese als eigene Zeile mit Textbeschriftungen UNTER dem Menüband wiederfinden. Zudem ist das Menüband auf zwei Zeilen reduziert. Für den schnellen Zugriff auf Menüpunkte ist es einfacher, Menüband eiogeblendet und die Schnellstartsymbole wie bisher oben links zu haben (ohne Textbeschriftung in eigener Zeile). Über das Kontextmenü der neuen Schnellstartleiste kann man das einstellen. Leider bleibt der Bereich „Automatisches Speichern ( O)“ immer eingeschaltet und kostet wertvollen Platz in der Leiste. Bisher habe ich noch keine Möglichkeit gefunden, diesen Bereich auszublenden.

 

Während Access und Publisher und auch OneNote das neue Layout erben, sind Visio und Project noch auf dem "alten" Stand der optischen Darstellung. Hier sind auch die Schnellstartleiste oben und die Ecken nicht rund.

Update vom 04.12.2021: Derzeit rollt Microsoft das neue Design testweise auch auf die neusten Kaufversionen (Office 2021) aus. Es bleibt aber abzuwarten, ob das offiziell für alle Versionen kommt oder den Abo-Modellen vorbehalten bleibt. Bekanntlich gibt es ja keine Funktions-Updates für die Kauf-Versionen und man kann auch mit denen nicht am Insider-Programm teilnehmen.

Neulich in Outlook

Wie der „Kudnenservice“ der Sparkasse mitteilt, ist es unbedingt erforderlich, auf den Link in der E-Mail zu klicken. Durch das neue Verfahren S-CERT leert sich dann Ihr Girokonto, nachdem Sie alle Zugangsdaten eingegeben haben, automatisch 😉 und Sie sparen das vielfach erhobene Verwahrentgelt.

Mittlerweile machen die kriminellen Organisationen auch recht wenig Rechtschreibfehler. Dennoch wird es immer wieder Mitarbeitende geben, die in solchen E-Mails (mal abgesehen davon, dass hier der Spamfilter erfolgreich markiert hat) auf die enthaltenen Links klicken. Die E-Mail selbst enthält zusätzlich 1-Pixel Elemente, die dem Absender melden, dass die von ihm gewählte E-Mail-Adresse existiert (in dem Fall mein Spam honeypot).

Dennoch kann man nicht oft genug wiederholen: Weder ein Geldinsitut, noch ein namhafter Lieferant schickt einen Link in einer E-Mail, geschweige denn eine Rechnung als Word-Datei oder einen Anhang, der bösartigen Code enthält. Selbst wenn Sie von einem Ihnen bekannten Absender eine Excel- oder Word-Datei erwarten, öffnen Sie diese nicht und aktivieren Sie keinesfalls Makros darin (Bei Microsoft 365 können Admins per Richtlinie alle Makros und Weblinks in solchen Dokumenten blockieren, bei den Kaufversionnen wie Office 2021 Home & Business geht das nicht)

Fazit

Sensibilisieren Sie Ihre Mitarbeitenden REGELMÄßIG im Umgang und Verhalten mit E-Mails. E-Mails, die HTML-Code und Links enthalten, sollten gar nicht erst geöffnet, sondern ungesehen gelöscht werden.

Hören Sie mehr dazu in unserem kostenlosen Webcast im November.

OpenAudit Classic neue Funktionen

Die neuste Version von #OpenAudit Classic fragt nun ab, nach welchem Standard die Platten partitioniert sind. Steht dort etwas mit GPT, ist der Rechner auf UEFI-Boot eingestellt und nicht Legacy (BIOS).

Zusätzlich – wenn man das Audit-Script mit höchsten Privilegien (als Administrator) im Task oder der admin-Befehlszeile laufen lässt, wird der Bitlocker Status der Laufwerke angezeigt (Bitlocker ist die Bordeigene Festplattenverschlüsselung von Windows 10 oder neuer). Dazu die Open-Audit-Konsole mit rechter Maustaste, als Administrator ausführen. In der Windows Aufgabe „Open-Audit PC-Scan“ muss die Schaltfläche „Höchste Privilegien“ angekreuzt sein.

Der Aufruf der Liste ist über Hardwareliste/alle Partitionen möglich oder für das einzelne Gerät in der Hardwareauflistung darunter.

Für ein Upgrade müssen vorher die Datenbank (mysql/data Ordnerstruktur) und die pc-list-file.txt aus dem scripts Verzeichnis gesichert und nach dem Upgrade restauriert werden.

Zusätzlich müssen in PHPMyadmin die beiden Spalten in der Datenbank openaudit angelegt werden:

ALTER TABLE `partition` ADD `partition_type` VARCHAR(30) NULL DEFAULT NULL;
ALTER TABLE `partition` ADD `partition_bitlocker` VARCHAR(10) NULL DEFAULT NULL;

Das aktuelle Setup finden Sie in unserem Download-Bereich, den Quellcode auf Github.

[ddownload id="3071"]

Drucken oder nicht – Novemberpatch und Typ4-Treiber

November Patch Nightmare = Oktober Patch Nightmare

(Update vom 14.11.2021: In Kürze kommt ein Patch von Microsoft heraus, der auch die RPC-Druckfehler im Rahmen des #Print-Nightmare beseitigen soll)
Mit dem #Patchday Oktober 2021 werden die unten genannten Registry keys als Gruppenrichtlinie installiert und/oder in der Registry der Wert 1 gesetzt. Das bedeutet, nach Neustart der Druckserver und Terminalserver kann wieder nicht mehr gedruckt werden, wenn man kein Domain Admin ist. Die Forderung von BSI und Versicherungen, Sicherheitsupdates innerhalb von 7 Tagen zu installieren, bleibt bestehen. Wer das Update installiert, wird die untenstehenden Registry-Einstellungen bzw. GPOs wieder auf Wert Null setzen und einen erneuten Restart der Server hinlegen müssen. Vom Oktober Fehler waren auch Typ4-Treiber betroffen. So konnte ein Client zwar drucken, es wurden aber nur rudimentäre Standard Eigenschaften des Point&Print Compatibility Treibers angezeigt (also quasi Notlauf). Mit dem November Patch wurde letztgenannter Typ4-Fehler behoben.

Microsoft Patchday Oktober Änderungen

https://support.microsoft.com/en-us/topic/october-12-2021-kb5006669-os-build-14393-4704-bcc95546-0768-49ae-bec9-240cc59df384

Microsoft Known Issues November – man wird auf einen „Patch vom Patch“ warten müssen, wenn man betroffen ist

https://docs.microsoft.com/en-us/windows/release-health/status-windows-10-21h1#1724msgdesc

Sofortmaßnahmen: Registry und Powershell

Print Nightmare geht mit dem Oktober-Patch in die siebte Runde: Wer seine Systeme bestmöglich absichern möchte, kann das November-Update installieren. Damit weiterhin gedruckt werden kann, müssen vorher zwei Registry Schlüssel gesetzt werden. Außerdem müssen alle beteiligten Server und Endgeräte mindestens den August 2021 Patchlevel haben. Danach die betreffenden Systeme neu starten und dann erst das Update installieren. Laut Meldungen in der Microsoft Community (und empirischen Beweis in eigener Umgebung) kann danach wieder auf Netzwerkdrucker im LAN gedruckt werden. Das Installieren des Patches ist unter Risikoaspekten deshalb empfehlenswert, weil eine viel kritischere Lücke (MSxHTML) geschlossen wurde, die das Ausführen von Schadcode bereits in der Vorschauansicht des Windows Explorers erlaubte.

Außerdem sollte darauf geachtet werden, dass die Druckertreiber der verwendeten Drucker auf dem aktuellen Stand sind. Hierzu müssen sie auf dem Druckserver aktualisiert werden. Mit den Registry-Einstellungen sollte dann auch der User auf einem Terminalserver mit dem neuen Treiber versorgt werden, ohne dass es zu einer Fehlermeldung kommt. Hier die Codezeilen der .reg-Datei:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print]
"RpcAuthnLevelPrivacyEnabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint] "RestrictDriverInstallationToAdministrators"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides] 
"713073804"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides] 
"1921033356"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides] 
"3598754956"=dword:00000000

Zusätzlich zu den Registry-Einstellungen und dem Neustart muss der folgende Befehl an einer administrativen Powershell eingegeben werden:

Get-ScheduledTask -TaskName "ReconcileFeatures" | Start-ScheduledTask

Aktualisierung der Druckertreiber auf V4-Benutzermodus

Da nicht sicher ist, ob Microsoft die oben genannten Registry-Einstellungen weiter beibehalten wird, ist eine nachhaltige Lösung, sofern möglich, die Umstellung der Windows-Drucker-Treiber auf sogenannte V4-Treiber. Im Regelfall finden sich in der Druckerverwaltung überwiegend V3-Druckertreiber. Diese stellen dann langfristig ein latentes Problem dar.

• Rufen Sie dazu die Windows Druckverwaltung am Printserver auf
  • Drucker: in der Liste ist erkennbar, ob der Treiber Typ3-Benutzermodus oder schon Typ4 ist
  • Ist er Typ 3, bitte auf die Herstellerseite gehen und nach dem Treiber für das angezeigte Modell suchen
  • Unter Basistreiber in der Auflistung tauchen (z.B. beim HP Laserjet-M402) dann ein V3-Treiber und ein V4-Treiber auf. Den V4-Treiber herunterladen
  • Unter Treiber, Treiber hinzufügen diesen in die Liste bringen
  • Unter Drucker bei jedem Drucker in die Eigenschaften, unter Erweitert, Treiber den neuen V4-Treiber auswählen
  • Danach in den Eigenschaften unter Allgemein (Einstellungen), Erweitert (Standardwerte) die Schacht- und sonstige Einstellungen neu setzen, ggf. bei Geräte-Einstellungen die anderen Schächte ausschalten
• Verbinden Sie dann an allen Clients und/oder Terminalservern die Drucker neu, damit diese den neuen Treiber verwenden
  • Je nach Druckerhersteller reicht es dazu, sich am Endgerät/Terminalserver als Domain Admin anzumelden und alle Drucker zu verbinden. Dadurch werden maschinenweit die neuen Treiber gezogen.
  • Ggf. müssen für jede Sitzung (jeden Benutzer) die Druckerverknüpfungen erneuert werden (dazu haben viele Kunden für jeden Benutzer die „Druckerverknüpfungen“. Der Benutzer kann dann alle Drucker rauslöschen und sie erneut verbinden und einen zum Standarddrucker machen.
• Drucktest machen

Gibt es für von Ihnen verwendete Drucker keinen V4-Treiber vom Hersteller (das ist insbesondere bei älteren Modellen der Fall, bleibt das Risiko, dass irgendwann die Registry-Schlüssel nicht mehr funktionieren und diese Drucker ersetzt werden müssen. Dazu haben wir in unserem Technik-Shop das Model M404 von HP und das Modell Kyocera ECOSYS P2040dn. Für beide sind V4-Treiber erhältlich.

Wenn alles nicht hilft - Checkliste

Die von Microsoft genannten "Workarounds" beschreiben bestimmte Voraussetzungen. Prüfen Sie, ob Sie alle erfüllen:

• Welche Drucker (Hersteller, Modelle) sind betroffen?
• Welchen Updatestand haben die (alle) Terminalserver (Mindestens Update von August 2021 muss drauf sein.
• oder Welchen Softwarelevel haben die Windows 10 Clients (muss mindestens 19043.1288 sein)
• Sind die beiden Registry-Schlüssel überall gesetzt? (Druckserver, Terminalserver, AVD-Pools) - vorsichtshalber diese Schlüssel VOR dem Neustart nach dem November Update nochmal setzen bzw. die GPO kontrollieren.
• Sind die über den Druckserver verbundenen Drucker im selben Netzwerk oder per vpn (Clientdrucker im Homeoffice)? Clientdruck wird in einigen Fällen nicht funktionieren.

Unterstützung durch die GWS

Sie trauen sich das nicht selbst zu? Erstellen Sie dazu bitte einen Support-Vorgang im Extranet. Wir melden uns schnellstmöglich und stimmen alles weitere mit Ihnen ab.

Drucken oder nicht – Novemberpatch und Typ4-Treiber

November Patch Nightmare = Oktober Patch Nightmare

(Update vom 14.11.2021: In Kürze kommt ein Patch von Microsoft heraus, der auch die RPC-Druckfehler beseitigen soll) Mit dem #Patchday #Oktober 2021 werden die unten genannten Registry keys als Gruppenrichtlinie installiert und/oder in der Registry der Wert 1 gesetzt. Das bedeutet, nach Neustart der #Druckserver und Terminalserver kann wieder nicht mehr gedruckt werden, wenn man kein Domain Admin ist. Die Forderung von BSI und Versicherungen, Sicherheitsupdates innerhalb von 7 Tagen zu installieren, bleibt bestehen. Wer das Update installiert, wird die untenstehenden Registry-Einstellungen bzw. GPOs wieder auf Wert Null setzen und einen erneuten Restart der Server hinlegen müssen. Vom Oktober Fehler waren auch Typ4-Treiber betroffen. So konnte ein Client zwar drucken, es wurden aber nur rudimentäre Standard Eigenschaften des Point&Print Compatibility Treibers angezeigt (also quasi Notlauf). Mit dem November Patch wurde letztgenannter Typ4-Fehler behoben.

Microsoft Patchday Oktober Änderungen https://support.microsoft.com/en-us/topic/october-12-2021-kb5006669-os-build-14393-4704-bcc95546-0768-49ae-bec9-240cc59df384

Microsoft Known Issues November – man wird auf einen „Patch vom Patch“ warten müssen, wenn man betroffen ist https://docs.microsoft.com/en-us/windows/release-health/status-windows-10-21h1#1724msgdesc

Sofortmaßnahmen: Registry und Powershell

Print #Nightmare geht mit dem Oktober-Patch in die siebte Runde: Wer seine Systeme bestmöglich absichern möchte, kann das November-Update installieren. Damit weiterhin gedruckt werden kann, müssen vorher zwei Registry Schlüssel gesetzt werden. Außerdem müssen alle beteiligten Server und Endgeräte mindestens den August 2021 Patchlevel haben. Danach die betreffenden Systeme neu starten und dann erst das Update installieren. Laut Meldungen in der Microsoft Community (und empirischen Beweis in eigener Umgebung) kann danach wieder auf Netzwerkdrucker im LAN gedruckt werden. Das Installieren des Patches ist unter Risikoaspekten deshalb empfehlenswert, weil eine viel kritischere Lücke (MSxHTML) geschlossen wurde, die das Ausführen von Schadcode bereits in der Vorschauansicht des Windows Explorers erlaubte.

Außerdem sollte darauf geachtet werden, dass die Druckertreiber der verwendeten Drucker auf dem aktuellen Stand sind. Hierzu müssen sie auf dem Druckserver aktualisiert werden. Mit den Registry-Einstellungen sollte dann auch der User auf einem Terminalserver mit dem neuen Treiber versorgt werden, ohne dass es zu einer Fehlermeldung kommt. Hier die Codezeilen der .reg-Datei:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print]
"RpcAuthnLevelPrivacyEnabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint] "RestrictDriverInstallationToAdministrators"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides] 
"713073804"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides] 
"1921033356"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides] 
"3598754956"=dword:00000000


Zusätzlich zu den Registry-Einstellungen und dem Neustart muss der folgende Befehl an einer administrativen Powershell eingegeben werden:

Get-ScheduledTask -TaskName "ReconcileFeatures" | Start-ScheduledTask

Aktualisierung der Druckertreiber auf V4-Benutzermodus

Da nicht sicher ist, ob Microsoft die oben genannten Registry-Einstellungen weiter beibehalten wird, ist eine nachhaltige Lösung, sofern möglich, die Umstellung der Windows-Drucker-Treiber auf sogenannte #V4-Treiber. Im Regelfall finden sich in der Druckerverwaltung überwiegend V3-Druckertreiber. Diese stellen dann langfristig ein latentes Problem dar.

• Rufen Sie dazu die Windows Druckverwaltung am Printserver auf
  • Drucker: in der Liste ist erkennbar, ob der Treiber Typ3-Benutzermodus oder schon Typ4 ist
  • Ist er Typ 3, bitte auf die Herstellerseite gehen und nach dem Treiber für das angezeigte Modell suchen
  • Unter Basistreiber in der Auflistung tauchen (z.B. beim HP Laserjet-M402) dann ein V3-Treiber und ein V4-Treiber auf. Den V4-Treiber herunterladen
  • Unter Treiber, Treiber hinzufügen diesen in die Liste bringen
  • Unter Drucker bei jedem Drucker in die Eigenschaften, unter Erweitert, Treiber den neuen V4-Treiber auswählen
  • Danach in den Eigenschaften unter Allgemein (Einstellungen), Erweitert (Standardwerte) die Schacht- und sonstige Einstellungen neu setzen, ggf. bei Geräte-Einstellungen die anderen Schächte ausschalten
• Verbinden Sie dann an allen Clients und/oder Terminalservern die Drucker neu, damit diese den neuen Treiber verwenden
  • Je nach Druckerhersteller reicht es dazu, sich am Endgerät/Terminalserver als Domain Admin anzumelden und alle Drucker zu verbinden. Dadurch werden maschinenweit die neuen Treiber gezogen.
  • Ggf. müssen für jede Sitzung (jeden Benutzer) die Druckerverknüpfungen erneuert werden (dazu haben viele Kunden für jeden Benutzer die „Druckerverknüpfungen“. Der Benutzer kann dann alle Drucker rauslöschen und sie erneut verbinden und einen zum Standarddrucker machen.
• Drucktest machen

Gibt es für von Ihnen verwendete Drucker keinen V4-Treiber vom Hersteller (das ist insbesondere bei älteren Modellen der Fall, bleibt das Risiko, dass irgendwann die Registry-Schlüssel nicht mehr funktionieren und diese Drucker ersetzt werden müssen. Beispiele sind das Model M404 von HP und das Modell Kyocera ECOSYS P2040dn. Für beide sind V4-Treiber erhältlich.

Wenn alles nicht hilft – Checkliste

Die von Microsoft genannten „Workarounds“ beschreiben bestimmte Voraussetzungen. Prüfen Sie, ob Sie alle erfüllen:

• Welche Drucker (Hersteller, Modelle) sind betroffen?
• Welchen Updatestand haben die (alle) Terminalserver (Mindestens Update von August 2021 muss drauf sein.
• oder Welchen Softwarelevel haben die Windows 10 Clients (muss mindestens 19043.1288 sein)
• Sind die beiden Registry-Schlüssel überall gesetzt? (Druckserver, Terminalserver, AVD-Pools) – vorsichtshalber diese Schlüssel VOR dem Neustart nach dem November Update nochmal setzen bzw. die GPO kontrollieren.
• Sind die über den Druckserver verbundenen Drucker im selben Netzwerk oder per vpn (Clientdrucker im Homeoffice)? Clientdruck wird in einigen Fällen nicht funktionieren.

Webcast - Security im Wandel

Unternehmen müssen sich aufgrund aktueller Bedrohungen auf erweiterte, effektive Werkzeuge und Maßnahmen einstellen. Dieser Webcast gibt Ihnen einen Überblick über diese neuen Risiken, das Grund-Fundament von #CyberSecurity. Erfahren Sie über die Möglichkeiten, diesen Gefahren optimal zu begegnen, diese Systemkoordinator-Aufgaben selbst zu lösen oder zu delegieren. Video und Folien sind kennwortgeschützt, das Kennwort wird/wurde im Namen der Veranstaltung übermittelt.

Seminarinhalte (Auswahl) und Ziele	#Webcast bzw. die Online #Schulung mit den Themen (Auszug aus der Agenda): • Aktuelle Sicherheitslage und Gefahrenklassen. • Welche Mindest-Anforderungen stellen Gesetzgeber, Versicherungen und Verbände?. • Typische Angriffs-Szenarien. • Maßnahmen dagegen. • BSI-Grundschutz-Empfehlungen IDW Prüfungsstandard ISA DE 315. • Notfallplan und Risiko-Analyse. • selber machen oder Aufgaben delegieren. • Datensicherung, Hybrid oder Cloud.
Zielgruppe	Geschäftsleitung und Entscheider
Voraussetzungen	Interesse an IT-Sicherheit für Ihr Unternehmen
Zeitrahmen	Dauer: 1 Stunde (ca. 45 Minuten Vortrag und 15 Minuten Diskussion)
Kosten	die Teilnahme ist kostenfrei
Bemerkungen	Remote via Teams Sitzung (Link und Anleitung nach Anmeldung)
Prüfung	Testen Sie auch Ihre Mitarbeitenden auf User Awareness

Unterlagen

[ddownload id="28348"]

Video

[ddownload id="28541"]

IGEL Firmware Lizenz Änderungen

Die #IGEL Technology GmbH ist ein führender Hersteller von Thin-Clients. Diese wiederum sind eine kostengünstige für Systemkoordinierende benutzerfreundliche Alternative, ein Endgerät mit Linux mit Azure Virtual Desktops, RDS-Terminalservern oder Citrix Xen Desktop zu verwenden. Das Ganze funktioniert am Besten mit UD3-Modellen der LX-Serie. Diese haben genug Grafikleistung und Arbeitsspeicher/Flash um performant mit 2 FHD oder UHD Monitoren die Sitzung darzustellen.

Zu Hardware gehört immer Firmware #Lizenzen, um die Erweiterungen von IGEL im Rahmen einer Software-Maintenance auf dem aktuellen Stand zu halten. Über die sogenannte UMS-Oberfläche können dann ganze Scharen von Endgeräten verwaltet und aktualisiert werden.

Aktiviert man die Firmware nicht, kann das Gerät (bzw. die Firmware) nicht genutzt werden. Verlängert man die Maintenance nicht, muss man bei Veränderungen, die eine Aktualisierung erfordern, die Firmware neu kaufen.
Ein Beispiel: Für die Verwendung als Endgerät für Azure Virtual Desktop muss die Firmware der IGELs auf 11.03 oder neuer aktualisiert werden (In UMS registrierte IGEL: Das Firmware-Upgrade beinhaltet 12 Monate Software-Maintenance und sollte dann verlängert werden).

Veränderte Aktivierung seit 01. Oktober 2021

Kauft man neue Thin-Clients oder muss die Firmware von vorhandenen Geräten aktualisiert/neu gekauft werden, muss man sich seit Oktober im IGEL-Portal registrieren (über Registrieren) und kann dann (nachdem Igel Technologies die bestellten Geräte zugeordnet hat (dauert mindestens 48 Stunden), die neue Geräte-Firmware für die gekauften Geräte aktivieren. Zusätzlich muss die Lizenz-ID aus der UMS-Verwaltungssoftware (Token) in das Aktivierungsportal eingetragen werden.

Bei Fragen wenden Sie sich gern an unseren technischen Vertrieb, Patrick Jablonski, für technische Unterstützung eröffnen Sie einen Support-Vorgang im Extranet.

IT-Strategie und Windows 11 vereinbar?

Admins, die mehrheitlich diese Tätigkeit als Nebenaufgabe ausführen (neben ihrer Haupttätigkeit als Buchhalter, Verkäufer, Einkäufer, Geschäftsführer…) haben das Ziel, eine möglichst homogene IT-Umgebung in ihrem Unternehmen einzusetzen. Die Motivationen sind unterschiedlich.

• Geschäftsführer wollen das Haftungsrisiko reduzieren
• Die operativen Mitarbeiter, die auch IT-Support machen, müssen den Aufwand reduzieren

Homogenisierung

Bis heute konnte man relativ einfach auf das Ziel hinarbeiten, ohne größere Einmal-Investitionen zu tätigen:

• Windows 7 (Professional) Rechner (Core i5 mit 4 oder 8 GB RAM) mit kleinen SSDs ausstatten und unter Einsatz des aufgedruckten Lizenzschlüssels auf Windows 10 Pro bringen. Nach Datenübernahme konnten die Festplatten ausgebaut werden
• Statt Neukauf von Servern:
  • Windows #Server in die Azure Cloud (Microsoft Deutschland) verlagern
  • Mailserver auf Exchange online und Office auf Business Premium Plan umstellen
  • Lokale Software auf #Azure Virtual Desktop migrieren (eigener Windows 10 Umgebung in Azure) via RDP
• Statt Ersatzkauf von defekten PCs: Thin-Client IGEL UD3 ab Firmware 11.3 anschaffen
• Neu anzuschaffende Notebooks und Tablets haben ebenfalls Windows 10 Pro
• Wenn man nicht selbst Updates und Sicherheitspatches installieren möchte, kann man die Aufgabe über Care-Packs an den IT-Dienstleister auslagern

Fazit: Das gesamte Netzwerk (die Domäne) lässt sich zentral verwalten. Viel wichtiger: Anwender (und Admins) arbeiten mit einem einheitlichen Erscheinungsbild (Startmenü, Windows Umgebung)

Was bewirkt Windows 11?

Ab 05. Oktober 2021 werden neue PCs mit Windows 11 #Win11 #Eleven ausgeliefert.

Bestehende PCs, Notebooks, Ultrabooks lassen sich nur aktualisieren, wenn sie jünger als drei Jahre sind und über einen TPM 2.0 Chip verfügen (nicht alle Business PCs, die in den letzten Jahren verkauft wurden, haben diesen Chip). Außerdem wurde die Speicheranforderung auf mindestens 4GB RAM erhöht. 99% aller PCs, die mit 4GB RAM ausgestattet sind, haben aber einen Grafik-Chip, der mindestens 128 GB RAM vom Speicher verwendet. Diese Systeme haben demnach nur 3,9 GB RAM für Windows verfügbar und scheitern so.

Die Oberfläche, Startmenü, Taskleiste sehen anders aus und sind anders zu bedienen. An vielen Stellen sind mehr Mausklicks notwendig, um den gewünschten Menüpunkt zu erreichen:

• Das Kontextmenü erhält Untermenüs, in dem weitere Menüpunkte versteckt sind.
• Netzwerk und Soundeinstellungen sind in einem Menü zusammengefasst, Netzwerkwechsel erfordert zusätzliche Mausklicks, ebenso wie Soundeinstellungen
• Die Taskleiste erlaubt nicht mehr, den Anwendungs/Dokumententitel anzuzeigen (Gruppieren, bis Taskleiste voll). Hat man drei Exceltabellen geöffnet, muss man erst mit der Maus auf das Gruppen-Symbol fahren und dann in den Popup-Vorschaubildern mit einer Lupe interpretieren, welches Dokument man ins Bild haben möchte.
• Im Startmenü kann man die Kachelgöße nicht verändern. Auch die Größe des Startmenüs ist fix. Stattdessen gibt es mehrere Unterseiten, auf denen jeweils 20 Programmverknüpfungen zu sehen sind.
  • Livekacheln fehlen, stattdessen gibt es nur einen vom Startmenü getrennten Widgets-Bereich mit fester Größe, der mit der Maus oder mit Windows-W (also mindestens 2Tasten) und nicht über den Startknopf gestartet werden kann. Die Widgets lassen sich nicht ins Startmenü integrieren
  • Alle Apps werden nicht als Scoll-Liste links neben den Verknüpfungen angezeigt, sondern müssen über einen zusätzlichen Klick aufgerufen werden
  • Die untere Hälfte der Fläche im Startmenu ist ungenutzt, wenn man den Dokumentverlauf abschaltet

Einheitliche Zukunfts-Strategie

Eine IT-Strategie mit einheitlicher Oberfläche (User Interface) lässt sich nur dann erreichen, wenn die PC-Hersteller (in unserem Dunstkreis Fujitsu und lenovo) neue Business-PCs und Business-Notebooks wahlweise mit Windows 10 Pro anbieten und/oder mit der ausgelieferten Windows 11 Pro OEM-Lizenz auch Windows 10 Pro auf dem Endgerät installiert und aktiviert werden kann und darf. Das ist laut aktuellem Kenntnisstand der Fall.

Das optionale Upgrade auf Windows 11 Pro (sofern aktuelle Hardware ab Core i 8Gen im Einsatz ist und der Anwender auf das angebotene Upgrade klickt) lässt sich über eine Gruppenrichtlinie oder einen Registry Schlüssel verhindern.

Weil selbst der jüngst erschienene Server 2022 LTSC auch die Windows 10 Benutzeroberfläche hat funktioniert die IT-Strategie sowohl unter Einbindung von Microsoft Azure, als auch On-Premises, wenn man bei Windows 10 bleibt.

On-Premises erhalten Endgeräte mit Windows 10 Sicherheitsupdates bis Oktober 2025, ebenso Server 2016. Neuere Server (inklusive Version 2022 LTSC ebenfalls für 10 Jahre)

Bei Microsoft Azure (Azure Virtual Desktop) kommt für die Windows 10 Plattform die LTSC Version 2019 zum Einsatz, die bis Ende 2029 Sicherheitsupdates bekommt.

Server in Azure (IaaS) bekommen (Azure Server 2019) ebenfalls 10 Jahre Updates.

Fazit

• Clients (wenn noch nicht geschehen) auf Windows 10 Pro und SSD hochrüsten
• Neuanschaffungen von Clients/Hardware-Ersatz-Invest:
  • Neue Thin Clients IGEL UD3 einsetzen (Wenn Azure Virtual Desktop genutzt)
  • Notebooks/Ultrabooks (oder auch Rechner) neukaufen und (wenn verfügbar) Downgraderecht auf Windows 10 Pro für Neuinstallation nutzen
• Ersatzinvest für Server: Microsoft Azure (IaaS) Ressourcen anmieten, keine hohe Einmalinvest, lange Zeit Sicherheitspatches verfügbar
• Ersatzinvest für Office und Exchange Server: Microsoft 365 Business Premium mieten