MS(x)HTML-Lücke geschlossen - zeitnah patchen

Vor einer Woche entdeckten Sicherheitsforscher eine Lücke in allen Windows Versionen, die Angreifern das Ausführen von Code und das Einschleusen von Schadprogrammen ermöglicht. Betroffen sind der Windows Explorer (Vorschau), sowie der Aufruf von Dokumenten aus Office-Anwendungen. Die Lücke ist also nicht im Office, sondern in Windows.

Neben den Client-Versionen sind auch Windows Server betroffen. Da gestern (14.9.2021, 1900 Uhr) der September-Patchday war und die vorher vorgeschlagenen Workarounds keinen ausreichenden Schutz bieten, ist es aktuell besonders wichtig, ZEITNAH den Patchstand von September 2021 herzustellen. Dies betrifft auch die Server (einschließlich Server 2022).

Java für alle – Adoptium Temurin

Scrollen Sie in der Liste nach unten, bis Sie die folgende Konstellation finden:

Windows x86

jre

(aktuelles Datum) 11 September 2021

.zip (37 MB)

.msi

Wenn Sie die .msi Datei herunterladen, erhalten Sie JAVA mit Setup-Programm. Hier bitte alles ankreuzen und schon ist die aktuelle Java-Version auf Ihrem System. Möchten Sie die von Programmen mitgeführte JAVA Version aktualisieren (meist in einem Unterverzeichnis JRE im Programmordner), laden Sie die ZIP-Datei herunter und ersetzen den Inhalt des JRE Ordners damit. Das funktioniert natürlich nur, wenn JAVA8 und 32-Bit benötigt werden. Ein Beispiel für solche Software ist XMind Classic 3.7.8, die letzte kostenlose Version dieser Software. Letztgenannte wird nicht mehr aktualisiert, man kann aber die enthaltene Java-Version wie oben beschrieben aktualisieren. Sofern Sie andere JAVA-Konstellationen wie 64-Bit oder die LTS Version 16 benötigen, können Sie das auf der Projektseite am Anfang einstellen und laden dann diese Version herunter. Mittlerweile kommen in meinem Umfeld keine kostenpflichtigen Funktionen mehr vor, für die ich Oracle Java benötige.

Aktuelle Schulungen

[popular_posts title_link="/tag/schulung/?view=list&orderby=modified&order=DESC&posts-per-page=40" orderby="date" tag="schulung" orderby="rand" posts_per_page=3]

Windows Eleven oder Vista 2.0?

Mein Kommentar: Microsoft hatte im Juni 2021 beschlossen, die Aussage (Windows 10 ist die letzte Windows Version – wir machen kontinuierliche Updates) zu revidieren. Nunmehr sind das Supportende (und damit die Sicherheits-Updates) im Oktober 2025 und es gibt einen Nachfolger: #Windows 11 #Eleven (altdeutsch für die Weihnachtsmann-Gehilfen).

Das entspricht exakt der lange üblichen LTSC (Long Term Service Channel) Dauer, die Microsoft für alle Produkte vorsah. 10 Jahre Sicherheitsupdates gibt es aktuell nur noch für den gerade erschienenen Server 2022 LTSC. Alle anderen Produkte haben nach 5 Jahren Supportende und nach spätestens 7 Jahren (manchmal auch 5) das Ende der Sicherheits-Updates.

Windows 11 Enterprise LTSC wird einen „lifecycle“ von nur noch 5 Jahren haben, also bis Oktober 2026.

Windows 10 Client LTSC will change to a 5-year lifecycle, aligning with the changes to the next perpetual version of Office. This change addresses the needs of the same regulated and restricted scenarios and devices.

Microsoft

Ebenso konsequent ist die Strategie von Microsoft, das jede zweite Produktversion bei Windows gelinde gesagt „für die Tonne“ ist. Das bestätigen die Verkaufszahlen und das Feedback der Benutzer.

Genau wie nur die ungeraden Service-Packs (als es die noch gab) gut waren, ergibt sich folgende Linie bei Windows:

Windows xp – Windows Vista – Windows 7 – Windows 8 und 8.1 – Windows 10 – Windows 11…

Die rot markierten Versionen sind die, die bisher nicht funktioniert haben (also unbeliebt wegen fehlendem Bedienkomfort und schlechter Usability waren).

Etwa einen Monat vor Release von Windows 11 (ab Oktober werden neue PCs mit diesem Betriebssystem verkauft) zeichnet sich – wenn man den Stimmen der Windows User-Gemeinde und deren heftigen Kommentaren im Feedback Hub und der User Voice glaubt – ein ähnliches Debakel ab. So bleibt zu hoffen, dass die OEM-Hersteller wie Lenovo (mit Tochter Fujitsu) und HP weiterhin das Downgraderecht auf Windows 10 ausgehandelt haben. Damit lassen sich neue PCs zumindest mit einem beliebten OS namens Windows 10 Pro betreiben.

Neben der eingeschränkten "unterstützten" Hardware (bei allen anderen Geräten sind Updates (auch Sicherheitsupdates) nur manuell möglich gibt es Verschlechterungen bei der Bedienung der Oberfläche:

• Warum nicht wie beim Microsoft Launcher, wo man Widgets und App-Shortcuts frei platzieren und kombinieren kann.
• – Windows 11 macht beim Startmenü nur die Appverknüpfungen auf, für die Widgets gibt es nur eine Tastenkombo – das sind schon 2 Taten, die man auch noch kennen muss (Windows und W?)
• Dass in der Taskleiste nur noch Icons zu sehen sind und nicht die Beschreibung einblendbar ist, wenn noch Platz ist, ist auch ein Rückschritt.
• – habe noch keinen Reg-key gefunden, wo man das wieder einschalten kann
• Task Notfication Area Icons: Man muss nun einzeln aktivieren, welche Icons man sehen will, ansonsten gibt’s das Dreieck mit Flyout Menü
• – besser war: Alle Systemsymbole anzeigen

Bei den Enterprise Lizenzen aus dem Volumenlizenzvertrag e-Open und Select bestand auch immer ein Downgraderecht, bei Windows 365 kann man (im Moment noch) wählen, ob man en Cloud-PC mit 10 oder 11 hat.

Ich hoffe die Verkaufszahlen und die geringen Zahlen der Geschäfts (und am Besten auch Privatkunden), die auf Windows 11 (Pro, Enterprise) umsteigen, wird Microsoft bewegen, bei Windows 12, das vermutlich im Herbst 2024 erscheinen wird, wieder eine „gute“ Version rauszubringen. Wie es im Moment aussieht, schreibe ich Windows 11 erstmal ab und bleibe bei Windows 10.

Warum Office kaufen teurer ist, Supportende im November

Am 01. November 2021 funktionieren alte Office-Versionen nicht mehr mit Clouddiensten. Wer dann noch Office-Versionen älter als Version 2013 einsetzt, kann die Dienste nicht mehr (aus Exchange Online) oder eingeschränkt (aus Teams, Sharepoint online und anderen Diensten heraus) nutzen.

Selbst wer Office 2013 als Kaufversion in Betrieb hat, muss auf allen Systemen das Service Pack 1 installieren. Für Office 2013SP1 gibt es noch bis 2022 Sicherheitsupdates. Das Servicepack muss aber "von Hand" installiert werden.

Zusammen mit der auf 5 Jahre verkürzten Supportzeit und der Tatsache, dass ab Kaufdatum keine Funktionsverbesserungen und Anpassungen an neue Standards erfolgen und der Lizensierung pro Gerät ist die Kaufvariante bereits jetzt im Nachteil gegenüber Microsoft 365 Mietmodellen. Dazu kommt der große Aufwand, Office überall neu zu installlieren und alte Varianten zu entfernen zyklisch alle 5 Jahre.

Wenn im Oktober Office 2021 LTSC als Kaufversion erscheint (es wird die Editionen Home & Business, Standard und Professional Plus geben - letztgenannte zwei nur im Volumenlizenzvertrag), bleiben die Einschränkungen bei verkürzter Lebensdauer.

Zu den betroffenen Office Kaufprodukten gehören auch Microsoft Visio und Microsoft Project

Nachteile Kaufmodell Office 20XX

• keinerlei Funktionsupdates und Fehlerkorrekturen während der gesamten Laufzeit
• Lizensierung ist an das Gerät gebunden und darf zwar, kann (außer bei Volumenlizenzen) aber nur mit technischem Aufwand an ein anderes Gerät übertragen werden
• Support-Ende nach 5 Jahren
• Bei Volumenlizenzen auch mit Software-Assurance nur alle drei Jahre eine neue Version (falls es 2025 auch wieder Kaufversionen geben wird), ansonsten muss sie neu erworben werden
• Neuinstallation nach der Laufzeit erforderlich
• Der komplette Kaufpreis ist am Anfang fällig und muss dann über die AfA über die 5 Jahre abgeschrieben werden

Vorteile Mietmodell Microsoft 365

• Lizensierung nach Benutzer statt Gerät. Ein Benutzer (natürliche Person) darf die Office Apps auf bis zu 15 Geräten (5 PC 5 mobile 5 Tablets) nutzen
• In vielen Plänen ist ein Exchange Online Postfach enthalten und Sicherheit über das Security Paket auch für Onlinedienste
• verbesserte Installation und Rollout mit Office Deployment Toolkit
• monatliche Funktionsupdates, Verbesserungen und Anpassungen an neue IETF Standards
• monatliche Sicherheitsupdates
• automatisierbare Aktualisierung und Updates währen der gesamten Laufzeit
• Sofortabschreibung der Kosten im Mietmodell
• Support während der gesamten Laufzeit
• Eingesetzte Versionen sind und bleiben kompatibel mit Online-Diensten

Mehr Hintergründe: Microsoft Tech Community

https://techcommunity.microsoft.com/t5/microsoft-365-blog/new-minimum-outlook-for-windows-version-requirements-for/ba-p/2684142

Windows Server 2022 veröffentlicht

#Microsoft gab heute den Supportbeginn für Windows #Server 2022 LTSC bekannt. Damit bekommt sollte man, wenn man einen Server kauft, vom Hersteller auch eine passende OEM-Lizenz bekommen (Standard enthält auch hierbei Lizenzen für die Windows Betriebssysteme von 2 virtuellen Maschinen, Datacenter für beliebige viele VMs, die auf dem Host laufen.

Server 2022 ist besser in die Azure Cloud integriert, so dass beispielsweise Hybrid-Szenarien (einige Server lokal, der Rest in der Cloud) vereinfacht wurden.

Zudem setzt die Server GUI etwa auf dem Stand auf, wie Windows 10 Version 21H2. Es steht aber ein neuerer Kernel-Build zur Verfügung (20348). Das für Windows 10 geplante, aber wegen Windows 11 nie veröffentlichte Ferrum Release trägt beim Server noch diesen Namen.

Wenn Volumenlizenzen mit einer Software-Assurance vorliegen, ist ein Inplace Upgrade technisch möglich. Bei dem OEM-Versionen nur dann, wenn man innerhalb von 90 Tage nach Kauf eine SA dazugebucht hat, die aktiv bleiben muss für das Upgrade.

Es ist zu erwarten, dass Microsoft die Installations-Images auch für das Deployment von Servern in Microsoft Azure bereitstellt. Somit können Admins entscheiden, ob Sie in Azure einen neuen Server 2019 oder einen Server 2022 aufsetzen (im IaaS-Betrieb).

Fakten-Überblick:

LTSC-Version (Long Term Service Channel), Sicherheitsupdates 1x pro Monat, Start-build: 20348.169 (ferrum Release). Neue Funktionen, GUI aktualisiert, entspricht etwa Windows 10 21H2. Lizenzmodell wird beibehalten (OEM oder Volumenlizenzen, alles aber nur als LTSC Versionen), Supportzeit auf 5 Jahre verkürzt, Sicherheitsupdates nach wie vor 10 Jahre). Supportende ist: 13.10.2026, Updates bis 14.10.2031

Remote Desktop Connection Manager Wiedergeburt

Getreu dem Motto "Der König ist tot - lang lebe der König" hat die #Microsoft #Sysinternals Entwicklergruppe das Werkzeug "RDCMan" wiederbelebt. Die entdeckte Sicherheitslücke wurde geschlossen und ein paar Cloud-Features und Powershell-Funktionen integriert. Wird ein 64-Bit System festgestellt, ist RDCMan.exe nun eine reinrassige 64-Bit-Anwendung. Die erste neue Version ist: 2.83.1411.0.

Offensichtlich nutzen so viele Admins (auch Microsoft-Mitarbeiter) den #RDCMan, dass man sich entschieden hat, ihn als Werkzeug weiter zur Verfügung zu stellen. Der Leistungsumfang ist ohnehin größer als in der Windows "Remote Desktop"-App aus dem Microsoft Store.

Im Vergleich zu vorher kommt der RDCMan nicht mehr mit einem .MSI-Installer, sondern kann direkt ausgeführt werden. Nicht ganz portable, weil er im Benutzerprofil globale Einstellungen abspeichert, aber direkt aufrufbar. Die Lizenzbedingungen (eula.txt) sind dieselben wie für alle Sysinternals Produkte (wie BGInfo, Process Monitor und die Sysinternals Suite).

Das Speicherformat sind wieder .RDG Dateien, allerdings weist Sysinternals darauf hin, dass sich alte Dateien zwar öffnen lassen, danach aber in einem neuen Format gespeichert wird. Globale einstellungen werden

Das Aussehen und die Bedienung ist wie vorher, d. h. Einstellungen lassen sich von oben vererben und die Server werden als live Thumbnail pro Gruppe oder global alle angezeigt.

Tipp: Wer seine globalen Einstellungen sichern möchte, findet diese nun in der Datei RDCMan.settings im Benutzerprofil.

C:\Users\%username%\AppData\Local\Microsoft\Remote Desktop Connection Manager

RDCMan.settings

Download

https://docs.microsoft.com/en-us/sysinternals/downloads/rdcman

Microsoft Docs Sysinternals Seite

Alternative

Als Alternative (mit der Möglichkeit, nicht nur RDP-Verbindungen, sondern auch VNC, TELNET, HTTP(s) Verbindungen in einer zentralen Oberfläche zu verwalten, gilt mRemoteNG. Das Projekt wurde zuletzt im Juli 2021 aktualisiert. Auch hier ist offensichtlich Bewegung drin. Im Gegensatz zum schlanken RDCMan ist mRemote aber umfangreicher und größer und erfordert eine Installation.

Stellenbeschreibung für Systemkoordinierende

Begriffsdefinition und Schreibweise

• Systemkoordinator (gn*) – geschlechtsneutrale Funktionsbezeichnung
• Systemkoordinierende – Verwendung im Fließtext
• SYSKO – Kurzform, z. B. im Zusammenhang mit „SYSKO zertifiziert“

Was sind Systemkoordinierende?

Systemkoordinierende sind auf Kundenseite benannte verantwortliche Personen, die die organisatorische und technische Koordination der bei der GWS eingesetzten IT-Systeme und Softwarelösungen übernehmen.

Sie fungieren als zentrale Schnittstelle zwischen dem eigenen Unternehmen, der GWS sowie gegebenenfalls weiteren IT-Dienstleistern. Ziel ist es, einen stabilen, sicheren und nachvollziehbaren Betrieb der eingesetzten Systeme zu unterstützen.

Systemkoordinierende sind keine Mitarbeitenden der GWS. Die Rolle ist im Kundenunternehmen angesiedelt und ergänzt bestehende IT-Strukturen.

Server in der Cloud – Aufgaben bleiben bestehen

Auch wenn IT-Systeme nicht mehr lokal betrieben werden, sondern in Cloud-Rechenzentren (z. B. Microsoft Azure), bleiben die Aufgaben der Systemkoordinierenden bestehen.

Verantwortlichkeiten verlagern sich teilweise in andere Werkzeuge oder Verwaltungsoberflächen, die organisatorische Verantwortung für Betrieb, Koordination, Kontrolle und Dokumentation verbleibt jedoch beim Kundenunternehmen.

Warum besteht die Notwendigkeit einer Systemkoordination?

Die Benennung einer systemkoordinierenden Rolle ergibt sich aus organisatorischen, rechtlichen und wirtschaftlichen Anforderungen, unter anderem aus:

• gesetzlichen Vorgaben (z. B. NIS2UmsuCG, DSGVO, BDSG).
• Prüfungs- und Nachweisanforderungen auf Basis ISO/IEC DE 315.
• Anforderungen von Kreditinstituten, Versicherungen oder Wirtschaftsprüfern.
• vertraglichen und lizenzrechtlichen Verpflichtungen.
• dem Erfordernis einer nachvollziehbaren IT-Organisation.

Auch bei ausgelagerten IT-Leistungen verbleiben Organisations-, Kontroll- und Überwachungspflichten grundsätzlich beim Unternehmen.

Aufgaben der Systemkoordinierenden

Art und Umfang der Aufgaben richten sich nach Größe, Struktur und technischer Ausprägung des Unternehmens. Die Rolle wird häufig ergänzend zu anderen Tätigkeiten wahrgenommen.

Reparatur durch „Neubetankung“

Bei Systemstörungen oder inkonsistenten Zuständen erfolgt die Wiederherstellung häufig durch eine Neuinstallation oder ein automatisiertes Deployment (Unattended Installation).

Systemkoordinierende übernehmen hierbei insbesondere:

• organisatorische Vorbereitung von Neuinstallationen.
• Koordination der Bereitstellung notwendiger Installations- und Lizenzinformationen.
• Abstimmung mit internen und externen Beteiligten.

Sicherheitsupdates

Microsoft-Produkte

Systeme werden durch die GWS initial bereitgestellt. Sicherheitslücken entstehen jedoch fortlaufend neu.

Zu den Aufgaben der Systemkoordinierenden gehören daher:

• Planung und Organisation von Sicherheitsupdates.
• Steuerung von Neustarts, insbesondere bei Server-Systemen.
• Berücksichtigung betrieblicher Abhängigkeiten bei Update-Zeitpunkten.

Unkontrollierte automatische Updates auf produktiven Systemen können zu Betriebsunterbrechungen führen und sind daher organisatorisch zu steuern.

Weitere Software

Auch zusätzliche Softwareprodukte (z. B. Browser, PDF-Reader, Laufzeitumgebungen oder Hilfstools) sind regelmäßig zu überprüfen und bei Bedarf zu aktualisieren oder außer Betrieb zu nehmen.

Updates zur Fehlerbehebung

Updates, die der Behebung konkreter Fehler dienen, werden gezielt eingesetzt, wenn sie zur Stabilisierung oder Wiederherstellung des Betriebs erforderlich sind.

Datensicherung (On-Premises)

Bei lokal betriebenen IT-Systemen unterstützen Systemkoordinierende unter anderem:

• Kontrolle der Datensicherungsprozesse.
• Überprüfung der Durchführbarkeit von Rücksicherungen.
• organisatorische Überwachung von Sicherungsmedien.
• Dokumentation der Sicherungskonzepte.

Bei Cloud-Betriebsmodellen beschränkt sich die Aufgabe auf die Kontrolle vorhandener Sicherungs- und Wiederherstellungsmechanismen im vereinbarten Leistungsumfang.

USV-Überwachung (On-Premises)

Bei Einsatz unterbrechungsfreier Stromversorgungen umfasst die Koordination insbesondere die regelmäßige Kontrolle von Status- und Warnmeldungen.

Firewall & VPN

Systemkoordinierende unterstützen die Organisation und Überwachung von:

• Firewall-Konfigurationen.
• VPN-Zugängen und Fernzugriffen.
• erster Einordnung von Verbindungsstörungen.
• Koordination mit externen Dienstleistern oder Managed-Services.

Leitungswege & Zweigstellen

Bei Störungen von Standort- oder Leitungsverbindungen übernehmen Systemkoordinierende vorbereitende Prüfungen und stellen strukturierte Informationen für weitergehende Analysen bereit.

Virenschutz & Malware-Prävention

Die Aufgaben umfassen organisatorisch:

• Einsatz und Überwachung geeigneter Schutzlösungen.
• Kontrolle der Aktualität von Signaturen.
• regelmäßige Überprüfung von Warn- und Statusmeldungen.

First-Level-Support

Systemkoordinierende sind häufig erste Ansprechpersonen bei alltäglichen IT-Problemen, z. B.:

• Drucker- oder Netzwerkprobleme.
• einfache System- oder Bedienungsfragen.
• Vorqualifizierung von Störungen für weiterführenden Support.

Dokumentation & Softwarepflege

Zur Aufgabe gehört die strukturierte Dokumentation der IT-Umgebung, insbesondere:

• Hard- und Software-Inventare.
• wesentliche System- und Konfigurationsänderungen.
• unterstützende Nachweise im Rahmen von Prüfungen gemäß ISO DE 315.

Organisation & Lizenzmanagement

Systemkoordinierende unterstützen das Unternehmen bei:

• der rechtskonformen Nutzung eingesetzter Software.
• der organisatorischen Verwaltung von Lizenzen.
• der Umsetzung interner Regelungen zur Risikominimierung.
• der Abstimmung mit Datenschutz- oder Sicherheitsverantwortlichen.

Muster-Stellenbeschreibung (zur internen Verwendung)

Funktion: Systemkoordinator (gn*)
Einordnung: Koordinierende Rolle auf Kundenseite

Aufgaben:

• organisatorische Koordination des IT-Betriebs.
• Unterstützung bei Update- und Sicherheitsmaßnahmen.
• First-Level-Ansprechperson.
• Mitwirkung bei Datensicherung und Dokumentation.
• Abstimmung mit GWS und weiteren IT-Partnern.

Voraussetzungen:

• grundlegendes IT-Verständnis.
• strukturierte und sorgfältige Arbeitsweise.
• Kommunikations- und Organisationsfähigkeit.

Rechtlicher Hinweis

Die Verantwortung für IT-Betrieb, Datensicherung, Datenschutz und Compliance liegt beim jeweiligen Unternehmen. Leistungen der GWS beziehen sich ausschließlich auf die eigenen Produkte sowie vertraglich vereinbarte Leistungen. Dieser Text stellt keine Rechts- oder Haftungszusage dar.

Java - kostenlose Alternative

Seit April 2019 (und Java Version 8 Update 211) dürfen Geschäftskunden #JAVA nur noch verwenden, wenn Sie über eine aktive Subscription (Wartungsvertrag) von Oracle verfügen. Pro "named User" kostet die Java Runtime rund 28 € pro Jahr.

Da Java aber ohne die Oracle Komponenten weiterhin Open Source Projekte sind, gibt es zahlreiche Abspaltungen (forks) aus dem kostenlosen OpenJDK. Das flexibelste Projekt, das sich auch noch über eine .msi Installer Datei einfach verteilen lässt, ist dabei #Adoptium Temurin (ehemals AdoptOpenJDK).

Auf der Projektseite kann man sich dann den passenden Installer herunterladen oder aber bestehen Java-basierte Software aktualisieren, indem man die .ZIP-Datei herunterlädt und in der Software den Inhalt des Unterordners /JRE austauscht.

Praxistipps zu Java

Ermitteln Sie zunächst, welche JAVA-Versionen bei Ihnen in Betrieb sind. Hierbei kann Ihnen das Open Source Inventarwerkzeug "Open-Audit Classic" helfen, das wir im Download Bereich für Sie anbieten.

Varianten: "Hotspot" ist derzeit weiter verbreitet als "OpenJ9". Daher bitte zunächst mit der Hotspot-Variante ausprobieren. Wenn es Fehler beim Aufruf der Software gibt, die OpenJ9 Variante installieren.

Die meisten JAVA-Anwendungen basieren auf JAVA Version 8 in 32-Bit (x86). Auf der Projektseite demnach die Windows x86 Variante herunterladen.

Laden Sie immer das Produkt herunter, wo JRE hinter steht, nicht das JDK. Wir wollen ja nicht in JAVA entwickeln, sondern nur die Runtime nutzen. Die Runtime ist zwischen 30 und 40 MB groß, das JDK über 100 MB.

Im Installationsprogramm dann bitte alles ankreuzen. Nur so werden die Umgebungsvariablen und die Registry-Einstellungen gesetzt, die helfen, dass die Software auch ohne Oracle funktioniert. Silent-Installationen lassen sich über die bekannten .MSI Parameter erstellen. Hierbei müssen die anzukreuzenden Komponenten per Befehlszeile mitgegeben werden:

msiexec /i OpenJDK8-jdk_xxx.msi /qn ADDLOCAL=FeatureMain,FeatureEnvironment,FeatureJarFileRunWith,FeatureJavaHome

Führt die von Ihnen verwendete Software JAVA mit, enthält das Software-Verzeichnis meist einen Unterordner /JRE, den es neu zu befüllen gibt. Laden Sie dazu die JRE 8 in 32 Bit der passenden Variante (meist ist das allerdings OpenJ9 und nicht Hotspot) herunter, entpacken die ZIP Datei und ersetzen den Inhalt des JRE Verzeichnisses Ihrer Software. Normalerweise sollte nun auch die Software den aktuellen Sicherheitsstand von Java haben und funktionieren

Was tun, wenn alles nicht funktioniert?

Lässt sich Ihre JAVA-basierte Software nicht mit den oben genannten Mitteln in Betrieb nehmen, nutzt sie vermutlich Komponenten von Oracle, die nicht Open Source, also lizenzpflichtig sind. In dem Fall nehmen Sie bitte Kontakt mit Ihrem Software-Lieferanten auf, ob er Versionen ohne JAVA oder ohne Oracle Komponenten anbietet. Wenn nicht, muss mit Oracle ein Wartungsvertrag abgeschlossen werden (für alle named User, die diese Software nutzen) und dann das Oracle SETUP mit der aktuellen Version ausgeführt werden.

Warnung: Vermeiden Sie bitte, unlizensierte Oracle Versionen geschäftlich zu nutzen. Da der enthaltene Updater "nach Hause telefoniert", ist es für Abmahn-Anwälte mit Oracle Mandat ein Leichtes, Sie in Regress zu nehmen.

Umzug des AdoptOpenJDK Projekts

Das AdoptOpenJDK Projekt hat angekündigt, zur Eclipse-Foundation zu wechseln. Seit Juli 2021 gibt es auch schon die "neue Seite" im Eclipse Projekt. Dort findet man aber nur das JDK, nicht die JRE Runtime. Ferner wird unter dem neuen Namen "Adoptium" nur die OpenJ9-Variante angeboten.

Wegen des Umzugs sind die aktuellen (Update 302) JRE nur unter den Nightly Builds auf der AdoptOpenJDK Seite zu finden. Die Seite aufrufen, dann "Release Archiv und nächtliche Builds" anklicken, dann "nächtliche Builds"...

https://adoptopenjdk.net/nightly.html?variant=openjdk8&jvmVariant=hotspot

Nun nach Windows suchen und die neuste Kombination als .msi Installer herunterladen:

Windows x86

jre

normal

8 Aug 2021

.zip (37 MB)

.msi

Soll es die ZIP-Datei sein, zuvor oben auf OpenJ9 umstellen.

Windows-OEM-Automatische Installation

Zielsetzung

Vom Hersteller vorinstallierte #Windows 10 Pro Installationen enthalten vielfach nicht benötigte Software-Beigaben und Demoversionen von beworbener Drittsoftware, sowie zahlreiche ungewünschte Werbe-Apps. Mit diesen Unattended Installationsverfahren wird erreicht, dass der Administrator durch Einstecken eines USB-Datenträgers das System löscht und ein bereinigtes, weitgehend werbefreies Windows mit im Firmennetzwerk benötigten Komponenten erhält.

Das Ganze ist anwendbar auf Windows OEM Activated Fujitsu oder lenovo Rechner mit Windows 10 Pro (jeweils in der aktuellen Halbjahres-Version JJMM), bzw. ab Erscheinen Windows 11 Pro.

Wichtiger Lizenz-Hinweis: Wer einen solchen „Betankungs-Stick“ erstellt und einsetzt, muss vorab sicherstellen, dass er über die benötigten Lizenzen für Betriebssystem und Anwendersoftware verfügt.

Das hier benutzte Verfahren ist KEIN RE-IMAGING, sondern basiert auf einer „Entrümpelung“  der frei herunterladbaren Datenträger aus dem Media Creation Toolkit von Microsoft. Es ist daher mit den Nutzungsbedingungen von Microsoft vereinbar. Im Gegensatz dazu bedeutet „Re-Imaging“: Die Lizenzierung bleibt OEM, es wird aber ein Volumenlizenzdatenträger und –Schlüssel zur Installation verwendet (nur dann zulässig, wenn der Lizenznehmer über einen aktiven eOPEN oder SELECT Vertrag mit aktivem Betriebssystempool verfügt).

Werkzeugkiste für Entwickler der Tankstelle

• Media Creation Toolkit – Website von Microsoft zum Herunterladen der .ISO Betriebssystem-Datenträger
• Deploy-admin-tools.zip – Sammlung von BATCH- und Powershell- Skripten zum „Debloaten“ und Erstellen eines optimierten Installationsdatenträgers (.ISO)
• Treiber und kumlative Updates .MSU (zum Herunterladen aus dem Microsoft Update Katalog)

oder optional

• Windows ADK (Assessment and Deployment Kit) installieren auf Windows 10 Admin-Rechner
• DISM verwenden, um Treiber einzubinden
• WSIM verwenden, um autounattended.xml anzupassen
• ggf. SYSPREP verwenden, wenn ein maschinenspezifisches Image erstellt werden soll, das bereits Software und Tools enthält. Danach mit ImageX eine install.wim aufzeichnen

und optional

• die lenovo vantage app aus dem Microsoft Store installieren und Systemaktualisienurg starten.

Werkzeuge für Mitarbeiter, die betanken und Anleitung zum Erstellen der Sticks

• RUFUS – Kostenlose, quelloffene Software zum Erstellen von startfähigen USB-Sticks aus der oben genannten ISO-Datei.
• vom Admin erstelltes, optimiertes ISO-Image (win10-autoinstall.iso)
• USB-Stick (USB3 empfohlen) mit mindestens 8 GB Speicherkapazität

Stick einstecken in vorhandenen PC, Rufus aufrufen, ISO-Datei in Rufus auswählen, Stick erstellen.

Windows 10 Installation am Beispiel eines lenovo Thinkpad

1. Vom USB-Stick starten (F12 beim Kaltstart des zu betankenden Gerätes), damit Windows installiert werden kann. Direkt nach dem Starten die Leertaste drücken, um das Löschen und Setup zu starten
2. Wenn Installation beendet, den lokalen Administrator mit dem bekannten Kennwort anmelden (lokale Anmeldung am Gerät)
3. Gerätenamen ändern und Gerät in die Domäne bringen (domain join)
4. Weitere Software aus dem Deploy Depot installieren
5. System neu starten und nun als designierter Benutzer anmelden (vorausgesetzt, dieser wurde schon im Active Directory angelegt)
6. Über \\printservername per Doppelklick alle Drucker anklicken, die der Benutzer verwenden soll und einen davon zum Standarddrucker machen. Die Checkbox „Windows verwaltet Standarddrucker automatisch“ rausnehmen.
7. Über den Microsoft Store die „lenovo vantage app“ installieren und Systemaktualisierung ausführen

Datensicherungs-Richtlinien

Bedeutung der Datensicherung

Wie wichtig eine effiziente #Datensicherung ist, merkt man leider erst dann, wenn es schon zu spät ist. Erst mit der entsprechenden Vorsorge und den für den Bedarfsfall angepassten Tools können Sie ruhiger schlafen.

Datenverluste drohen Ihnen z.B. bei:

• Virenbefall
• Hardwareschäden
• Überspannung
• Diebstahl
• Alterung
• Feuer
• Wasser

EDV-Anwendung ohne Datensicherung ist wie Fahren ohne Bremsen!

Gesetzliche Grundlagen

Auszug aus den Verlautbarungen des Institutes der Wirtschaftsprüfer

Datensicherungs- und Auslagerungsverfahren sind Voraussetzungen für die Funktionsfähigkeit der Datenverarbeitung und zudem Voraussetzung zur Sicherung der Vollständigkeit und Verfügbarkeit der Daten und Programme. Sie sind erforderlich, um den Anforderungen nach Lesbarmachung der Daten –auch i. S .e. ordnungsmäßigen Buchführung- gerecht zu werden.

Auszug aus GoDV (Grundsätze ordnungsmäßiger Datenverarbeitung im Rechnungswesen).

Die in der Datenverarbeitung ruhenden Manipulations- und Zerstörungsrisiken hat der Buchführungspflichtige durch geeignete Sicherungsmaßnahmen abzuwehren. Die räumliche und personelle Organisation soll bieten:

• durch Datenbeständeschutz, auch gegen Katastrophenfälle.

Hinweise aus der deutschen Rechtsprechung

In einem Urteil des LG Karlsruhe vom 13.07.1989 (80 101/89) wird auf die Pflicht zur täglichen oder gar häufigere Datensicherung hingewiesen. Wer die gebotene Sorgfalt in eigenen Angelegenheiten nicht beachtet, nimmt etwaige Datenverluste billigend in Kauf und handelt grob fahrlässig.

Grundsätze einer funktionsfähigen und tauglichen Datensicherung

• Alle unternehmensrelevanten und computergespeicherten Daten werden regelmäßig auf externe Medien gesichert.

• Die Daten werden nach jedem abgelaufenen Arbeitstag komplett gesichert (montags bis freitags oder montags bis samstags, ausgenommen Feiertage).

• Für jeden Wochentag gibt es ein anderes externes Medium (z.B. Streamer Band). Die Medien (Bänder) für die letzte Sicherung werden frühestens nach einer Woche wieder überschrieben. Die Medien für die letzte Sicherung einer Woche werden frühestens nach vier Wochen überschrieben.

• Mehrere Medien (Bänder) werden außerhalb des Betriebsgebäudes aufbewahrt.

• Die Vollständigkeit und Lesbarkeit der Medien (Bänder) wird regelmäßig stichprobenweise überprüft.

• Für jede Datensicherung gibt es ein schriftliches Protokoll, welches Auskunft über den Erfolg oder Misserfolg der Datensicherung gibt. Dieses Protokoll wird täglich am Tag nach der Datensicherung geprüft. Die Person, die es prüft, ist in der Lage fehlerhafte bzw. nicht erfolgreiche Datensicherungen zu erkennen.

• Es existiert mindestens eine unternehmenseigene Person, die für die ordnungsgemäße Abwicklung der Datensicherung zuständig ist. Für den Fall von Urlaub oder Krankheit gibt es mindestens eine geschulte Ersatzperson.

Tipps zur täglichen Datensicherung

• Keine Mehrarbeit
  Datensicherungen sollten keine Überstunden kosten- sonst werden sie vergessen.
• Prüfung der Datensicherung
  Prüfen Sie täglich den korrekten Ablauf der Sicherung (gilt für jede Datensicherung). Das BSI empfiehlt regelmäßige Rücksicherungen monatlich. Hierbei werden Daten vom Band restauriert und eine Konsistenzprüfung der Datenbank(en) durchgeführt.
  Die GWS bietet mit s.dat eine Datensicherungs-Bandprüfung zum Festpreis an, die o.g. Dinge prüfungstauglich testiert und zusätzlich die Rücksicherung auf einem anderen Streamer bescheinigt. (siehe „Bestellschein-dasibandcheck“ hier im Portal
• Aufbewahrung der Datensicherungsbänder
  Eine ordnungsgemäße feuer- und entwendungssichere Lagerung der Bänder wird empfohlen. Bei Lagerung in einem Panzerschrank bitte Brandschutz-Datenkassetten verwenden. Auslagerung von mindestens 2 aktuellen Bändern außerhalb des Betriebsgeländes in der Bank oder durch Mitnahme des Systemkoordinators (Aufbewahrung zu Hause) obligatorisch.
• Anzahl der Sicherungsbänder
  Es gibt für jeden Werktag je ein Band in zwei Generationen (gerade und ungerade Kalenderwoche, d.h. bei 5 Werktagen 10 aktive Bänder). Es gibt Ersatzbänder, welche benutzt werden können, wenn festgestellt wird, dass ein Band defekt ist. Dadurch wird vermieden, dass sich eine am Tage nachzuholende Datensicherung verzögert, weil erst ein Band gekauft werden muss. Empfohlen wird zusätzlich eine Wochen-, Monats- und Jahressicherung (sofern die Anforderung besteht, auf gelöschte Daten zuzugreifen, die vor mehr als 14 Tagen gelöscht wurden). Auf eine ordentliche Beschriftung sollte großen Wert gelegt werden (Beschriften Sie die Bänder mit Wochentag/gerade oder ungerade, z.B. „MI ungerade“).
• Reinigung
  Reinigen Sie jede Woche das Datensicherungsgerät mit einem Reinigungsband.
• Austausch der Sicherungsbänder
  Bänder sind Verschleißartikel und die Lebensdauer ist begrenzt. Wechseln Sie alle 12 Monate den kompletten Satz aus.
• Protokolle der Datensicherungsjobs
  Hilfreich für die Überprüfung der Datensicherungsprotokolle, ist die Einrichtung einer E-mail an den Systemkoordinator bei Fehlern. Bitte mit der GWS-Technik die Voraussetzungen abstimmen.
• Verhalten bei Fehlern
  Informieren Sie die GWS. Wir versuchen schnellst möglich zu helfen.

Es ist im Interesse aller Beteiligten, dass eine Funktionskontrolle der Datensicherung stattfindet und protokolliert wird.

Haftungsausschluss

Die Angaben, die in diesem Artikel zur Verfügung gestellt werden, dienen ausschließlich der allgemeinen Information und dienen nicht der Beratung des Kunden im konkreten Einzelfall. Die GWS hat diese Informationen gewissenhaft zusammengestellt, übernimmt jedoch keine Haftung für Aktualität, Korrektheit, Vollständigkeit oder Qualität der bereitgestellten Informationen. Haftungsansprüche gegen die GWS, die sich auf Schäden materieller oder ideeller Art beziehen, welche durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw. durch die Nutzung fehlerhafter und unvollständiger Informationen verursacht wurden, sind ausgeschlossen.

Drucker - die Dritte (HP/Samsung)

viele von Ihnen setzen Drucker von #HP im Unternehmen ein. Für eine größere Anzahl von Modellen wurden nun auch kritische #Sicherheitslücken geschlossen. Schauen Sie bitte im folgenden Artikel ("affected Products" aufklappen) nach, ob ein Drucker aus der Liste bei Ihnen in Betrieb ist. Weil HP die Druckersparte von #Samsung aufgekauft hat, sind auch Geräte dieser Marke betroffen.

HP Security Bulletin zur kritischen Lücke

https://support.hp.com/us-en/document/ish_3900395-3833905-16

In der Druckverwaltung auf Ihrem Printserver können Sie sehen, mit welchem Treiber der Drucker betrieben wird. Steht dort NICHT "Universal Printer Driver" - PCL5 oder PCL6, sind Sie von der Sicherheitslücke betroffen und sollten die auf der HP-Seite angebotenen Treiber ersetzen.

Die verwendeten HP Universal-Druckertreiber (PCL5 nur für ältere Modelle, sonst PCL6) sollten bei der Gelegenheit ebenfalls überprüft werden, ob sie aktuell sind:

• PCL6: 61.250.1.24832
• PCL5: 61.180.1.20062 (wird nicht mehr weiter entwickelt, sollte aber die letzte unterstützte Version sein

Sicherheitslücke in HP-Druckertreibern

viele von Ihnen setzen #Drucker von #HP im Unternehmen ein. Für eine größere Anzahl von Modellen wurden nun auch kritische #Sicherheitslücken geschlossen. Schauen Sie bitte im folgenden Artikel („affected Products“ aufklappen) nach, ob ein Drucker aus der Liste bei Ihnen in Betrieb ist. Weil HP die Druckersparte von #Samsung aufgekauft hat, sind auch Geräte dieser Marke betroffen.

HP Security Bulletin zur kritischen Lücke https://support.hp.com/us-en/document/ish_3900395-3833905-16

In der Druckverwaltung auf Ihrem Printserver können Sie sehen, mit welchem Treiber der Drucker betrieben wird. Steht dort NICHT „Universal Printer Driver“ – PCL5 oder PCL6, sind Sie von der Sicherheitslücke betroffen und sollten die auf der HP-Seite angebotenen Treiber ersetzen. Die verwendeten HP Universal-Druckertreiber (PCL5 nur für ältere Modelle, sonst PCL6) sollten bei der Gelegenheit ebenfalls überprüft werden, ob sie aktuell sind:

• PCL6: 61.250.1.24832
• PCL5: 61.180.1.20062 (wird nicht mehr weiter entwickelt, sollte aber die letzte unterstützte Version sein

Jetzt auch noch HIVE Nightmare

Elm Street lässt grüßen: Beim Schließen der kritischen #Sicherheitslücken in #Windows hat Microsoft die Print Nightmare Lücke nicht vollständig gepatcht. Deshalb kann ein Angreifer, nur wenn er sich bereits im selben IP-Netzwerk befindet, immer noch im System-Kontext Schadprogramme installieren. Die Lücke ist damit nicht mehr ganz so kritisch, aber immer noch vorhanden. Eine andere Lösung, als gänzlich auf das Drucken zu verzichten, gibt es nicht. Zusätzlich wurde vor wenigen Tagen eine weitere Lücke entdeckt: Der so benannte HIVE #Nightmare. Damit kann ein Angreifer Sicherheitsinformationen und Kennwort-Hashes der lokalen Benutzer auslesen und somit sich leichter Adminrechte über das Gerät verschaffen. Betroffen sind die SAM, SYSTEM, and SECURITY registry #hive files, aber auch nur, wenn man die Volumen-Schattenkopien (VSS) nutzt. Ohne diese Schattenkopien bedeutet eine defekte Registry Neuaufsetzen des ganzen Systems. Für die untere Lücke beschreibt Microsoft eine Art Workaround, die zwar die Sicherheitslücke schließt, die Nebenwirkung hat, dass das System nach einem Fehler neu aufgesetzt werden muss. Registry-Fehler lassen sich so nicht mehr über eine Datensicherung restaurieren. Systemkoordinatoren sollten selbst entscheiden, zumal die Lücke auch nur dann genutzt werden kann, wenn man sich im selben Netzwerk befindet, ob sie eine Registry ohne Datensicherung (VSS) oder das Restrisiko eines internen Angriffs in Kauf nehmen. Da die Passwort-Hashes der lokalen Benutzer nicht sonderlich gut verschlüsselt sind, ist es insbesondere bei unsicheren Passwörtern eine Fragen von wenigen Minuten, bis der Angreifer dann lokale Adminrechte über diesen Rechner hat. Domänencontroller und das Active Directory sind von der Lücke nicht betroffen. Laut Microsoft Artikel sind zwar auch Server 2019 betroffen, sowie Windows 10 (ab Version 1809) und Windows 11, es geht aber nur um die lokalen Benutzer und nciht die Active Directory Datenbank. Ein Angreifer kann damit nicht die Domain admin Rechte hacken.

Quelle: Microsoft Security Bulletin https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

Print- und HIVE-Nightmare Sicherheitslücken

Die Elm Street und Freddy lassen grüßen: Beim Schließen der kritischen #Sicherheitslücken in #Windows hat Microsoft etwas nicht gepatcht. Deshalb kann ein Angreifer, nur wenn er sich bereits im selben IP-Netzwerk befindet, immer noch im System-Kontext Schadprogramme installieren. Die Lücke ist damit nicht mehr ganz so kritisch, aber immer noch vorhanden. Eine andere Lösung, als gänzlich auf das Drucken zu verzichten, gibt es nicht.

Zusätzlich zum #Print-Nightmare wurde vor wenigen Tagen eine weitere Lücke entdeckt: Der so benannte HIVE Nightmare. Damit kann ein Angreifer Sicherheitsinformationen und Kennwort-Hashes der lokalen Benutzer auslesen und somit sich leichter Adminrechte über das Gerät verschaffen.

Betroffen sind die SAM, SYSTEM, and SECURITY registry hive files, aber auch nur, wenn man die Volumen-Schattenkopien (VSS) nutzt. Ohne diese Schattenkopien bedeutet eine defekte Registry Neuaufsetzen des ganzen Systems.

Für die untere Lücke beschreibt Microsoft eine Art Workaround, die zwar die Sicherheitslücke schließt, die Nebenwirkung hat, dass das System nach einem Fehler neu aufgesetzt werden muss. Registry-Fehler lassen sich so nicht mehr über eine Datensicherung restaurieren.

Systemkoordinatoren sollten selbst entscheiden, zumal die Lücke auch nur dann genutzt werden kann, wenn man sich im selben Netzwerk befindet, ob sie eine Registry ohne Datensicherung (VSS) oder das Restrisiko eines internen Angriffs in Kauf nehmen.

Da die Passwort-Hashes der lokalen Benutzer nicht sonderlich gut verschlüsselt sind, ist es insbesondere bei unsicheren Passwörtern eine Fragen von wenigen Minuten, bis der Angreifer dann lokale Adminrechte über diesen Rechner hat.

Domänencontroller und das Active Directory sind von der Lücke nicht betroffen. Laut Microsoft Artikel sind zwar auch Server 2019 betroffen, sowie Windows 10 (ab Version 1809) und Windows 11, es geht aber nur um die lokalen Benutzer und nciht die Active Directory Datenbank. Ein Angreifer kann damit nicht die Domain admin Rechte hacken.

Quelle: Microsoft Security Bulletin

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

Windows 10 und 11 Roadmap, Windows 365

Windows 11, Windows 365 und AVD

Im Herbst 2021 erscheinen sowohl Windows 11, als auch das Halbjahresupdate von Windows 10.

• #Windows 11 ist für neuere Rechner tauglich, die über TPM 2.0, UEFI, Secure Boot und mindestens 4GB RAM verfügen – möglicherweise sogar mindestens einen Prozessor ab der 8. Generation.
• Das Betriebssystem erhält einmal pro Jahr große Funktionsupgrades (mit Veränderung der Codebasis) – vermutlich immer im Herbst eines Jahres
• Die Codebasis ist (für das Herbst-Update 2021): 22000.x – x ist der Patchlevel
  • Patchday bleibt am zweiten Dienstag im Monat, 19 Uhr ME(S)T
  • Kleine Funktionsupdates und Fehlerkorrekturen gibt es am vierten Dienstag im Monat
• Neue PCs und Notebooks werden von den Herstellern ab Herbst 2021 nur noch mit Windows 11 ausgeliefert
• Die Bezeichnungen der Editionen bleiben:
  • Windows 11 = Consumer Version (quasi Home ohne Domänenfunktionen, ohne GPOs, mit Werbung)
  • Windows 11 Pro = Business Version mit Domäne, GPOs, Netzwerkintegration, mit Werbung
  • Windows 11 für Workstation = Funktionen von Pro, es werden aber mehr RAM und mehr Cores unterstützt, für High Performance Rechner wie CAD Anwendungen und Videobearbeitung
  • Windows 11 Enterprise = Firmenversion (weitgehend) ohne Werbung
  • NEU: Windows 365 = Miet-Version von Windows 11 (wahlweise auch erst noch Windows 10), Online-Dienst von Microsoft. Windows wird dabei (wenn das so kommt) über eine RDP-Verbindung in der Cloud bereitgestellt und ist eine single Session virtuelle Maschine mit jeweils dem aktuellen Betriebssystem und Patches von Microsoft aus der Cloud. Zentrale Management Features sind eingeschränkt oder in der Einstiegsvariante nicht vorhanden.
  • AVD: derzeit kennen die Microsoft 365 Abonnenten ähnliche Umgebungen schon schon als Azure virtual Desktop (ehemals Windows Virtual Desktop). AVD wird es weiter geben, sozusagen als Profiversion von Windows 365. AVD arbeitet wie ein Terminalserver im Multi-Session-Betrieb.
• Die LTSC (Long Term Service Channel) Enterprise Version auf Basis Windows 11 erscheint erst 2024. Bis dahin werden die LTSC Versionen auf der Windows 10 Basis 190xx bleiben. LTSC-Versionen erhalten keine Funktionsupdates, sondern nur die monatlichen Sicherheitsupdates.

Windows 10 – bis 2025

• Windows 10 wird nur noch bis September 2025 mit Sicherheitsupdates versorgt. Das gilt auch für die LTSC, Enterprise und Education Versionen dieses Betriebssystems.
• Funktionsupgrades soll es keine mehr geben. Das bedeutet, dass die Zahl vor dem Punkt sich alle sechs Monate um eins erhöht.
• Die Basis bleibt auf dem Stand vom 06.12.2019 (19041). Durch die Funktionsupdates sind wird derzeit bei 21H1 (19043), im Herbst dann bei (19044).
  • Patchday bleibt am zweiten Dienstag im Monat, 19 Uhr ME(S)T
  • Kleine Funktionsupdates und Fehlerkorrekturen gibt es am vierten Dienstag im Monat
• Azure Virtual Desktop – #AvD – soll zunächst bei Windows 10 bleiben. Wer Windows 11 aus der Cloud mieten möchte, wählt dazu den Windows 365 Plan. Für Azure Virtual Desktop ist entweder ein Windows E3 Plan oder Microsoft 365 Business Premium erforderlich.

Weiterführende Literatur

Zu Windows 365 im Vergleich zu Azure Virtual Desktop (AVD) gibt es einen interessanten Fachartikel im Internet (auf englisch):

https://getnerdio.com/academy-enterprise/microsoft-windows-365-vs-azure-virtual-desktop-avd-comparing-two-daas-products/

Windows 10 + 11 Roadmap und Windows 365

Windows 11, Windows 365 und AVD

Im Herbst 2021 erscheinen sowohl Windows 11, als auch das Halbjahresupdate von Windows 10.

• #Windows 11 ist für neuere Rechner tauglich, die über TPM 2.0, UEFI, Secure Boot und mindestens 4GB RAM verfügen - möglicherweise sogar mindestens einen Prozessor ab der 8. Generation.
• Das Betriebssystem erhält einmal pro Jahr große Funktionsupgrades (mit Veränderung der Codebasis) - vermutlich immer im Herbst eines Jahres
• Die Codebasis ist (für das Herbst-Update 2021): 22000.x - x ist der Patchlevel
  • Patchday bleibt am zweiten Dienstag im Monat, 19 Uhr ME(S)T
  • Kleine Funktionsupdates und Fehlerkorrekturen gibt es am vierten Dienstag im Monat
• Neue PCs und Notebooks werden von den Herstellern ab Herbst 2021 nur noch mit Windows 11 ausgeliefert
• Die Bezeichnungen der Editionen bleiben:
  • Windows 11 = Consumer Version (quasi Home ohne Domänenfunktionen, ohne GPOs, mit Werbung)
  • Windows 11 Pro = Business Version mit Domäne, GPOs, Netzwerkintegration, mit Werbung
  • Windows 11 für Workstation = Funktionen von Pro, es werden aber mehr RAM und mehr Cores unterstützt, für High Performance Rechner wie CAD Anwendungen und Videobearbeitung
  • Windows 11 Enterprise = Firmenversion (weitgehend) ohne Werbung
  • NEU: Windows 365 = Miet-Version von Windows 11 (wahlweise auch erst noch Windows 10), Online-Dienst von Microsoft. Windows wird dabei (wenn das so kommt) über eine RDP-Verbindung in der Cloud bereitgestellt und ist eine single Session virtuelle Maschine mit jeweils dem aktuellen Betriebssystem und Patches von Microsoft aus der Cloud. Zentrale Management Features sind eingeschränkt oder in der Einstiegsvariante nicht vorhanden.
  • AVD: derzeit kennen die Microsoft 365 Abonnenten ähnliche Umgebungen schon schon als Azure virtual Desktop (ehemals Windows Virtual Desktop). AVD wird es weiter geben, sozusagen als Profiversion von Windows 365. AVD arbeitet wie ein Terminalserver im Multi-Session-Betrieb.
• Die LTSC (Long Term Service Channel) Enterprise Version auf Basis Windows 11 erscheint erst 2024. Bis dahin werden die LTSC Versionen auf der Windows 10 Basis 190xx bleiben. LTSC-Versionen erhalten keine Funktionsupdates, sondern nur die monatlichen Sicherheitsupdates.

Windows 10 - bis 2025

• Windows 10 wird nur noch bis September 2025 mit Sicherheitsupdates versorgt. Das gilt auch für die LTSC, Enterprise und Education Versionen dieses Betriebssystems.
• Funktionsupgrades soll es keine mehr geben. Das bedeutet, dass die Zahl vor dem Punkt sich alle sechs Monate um eins erhöht.
• Die Basis bleibt auf dem Stand vom 06.12.2019 (19041). Durch die Funktionsupdates sind wird derzeit bei 21H1 (19043), im Herbst dann bei (19044).
  • Patchday bleibt am zweiten Dienstag im Monat, 19 Uhr ME(S)T
  • Kleine Funktionsupdates und Fehlerkorrekturen gibt es am vierten Dienstag im Monat
• Azure Virtual Desktop - #AvD - soll zunächst bei Windows 10 bleiben. Wer Windows 11 aus der Cloud mieten möchte, wählt dazu den Windows 365 Plan. Für Azure Virtual Desktop ist entweder ein Windows E3 Plan oder Microsoft 365 Business Premium erforderlich.

Weiterführende Literatur

Zu Windows 365 im Vergleich zu Azure Virtual Desktop (AVD) gibt es einen interessanten Fachartikel im Internet (auf englisch):

https://getnerdio.com/academy-enterprise/microsoft-windows-365-vs-azure-virtual-desktop-avd-comparing-two-daas-products/

Crypto-Angriffe - wenn nur noch eine Datensicherung hilft

Wenn ein Crypto Angriff erfolgt, ist trotz technischer Sicherungsmaßnahmen meist ein Mitarbeiter Schuld, der auf Links oder Anhänge klickt, die nicht das enthalten, was sie vorgeben. Ein Restrisiko bleibt also trotz aktuellem Virenscanner und einer Gen2 Firewall mit SSL-Interception und Content Filtering.

Hat man eine #Datensicherung - egal auf welchem Medium - würde diese aber auch schon verschlüsselte Daten wegsichern. Die meisten Trojaner installieren sich zunächst und legen dann zeitverzögert los. Sie verschlüsseln Dokumente und machen sie unbrauchbar, die im Schreibzugriff des Benutzers liegen oder verschaffen sich über Zero-Day-Lücken Adminrechte.

Wer dann eine Bandsicherung von der Zeit vor dem Befall hat, kann man in der Regel noch unversehrte Dateien rücksichern. Entscheidend ist also die letzte erfolgreiche Datensicherung, bevor Daten verschlüsselt wurden.

Generell gibt die Faustformel 3 - 2 - 1 für Datensicherungen, d.h. auf einem Band, auf einem Datenträger und in der Cloud oder auf einem Offline-Medium in anderem Brandabschnitt).

• Zusätzlich gilt: Nach BSI sind erfüllen nur Offline-Sicherungen (physikalisch getrennt) auf passive Medien (Geräte ohne Elektronik wie LTO-Bänder) den Grundschutz.
• Ferner müssen die Daten ordnungsgemäß und sicher gelagert und beide Stufen der Datensicherung (SQL-Backup und Veeam Backup Reports) täglich kontrolliert werden
• Zusätzlich müssen regelmäßige Bandsicherungsprüfungen (Proberücksicherungen auf anderem Gerät) durchgeführt werden, um sicher zu sein, dass das, was gesichert wurde, auch wiederherstellbar ist.

Den Check Ihrer #Datensicherung (Bandprüfungen) können Sie bei uns hier beauftragen. Im Dutzend etwas günstiger.

Wenn Sie das komplette Szenario und die Anforderungen nach BSI Grundschutz testiert haben möchten, buchen Sie bitte unseren IT-Sicherheitscheck. Dieser liefert Ihnen ein mit Prüfungsverbänden abgestimmtes Dokument und zeigt potenzielle Mängel auf.