Windows 21H2 wird kleines Update

Microsoft unterscheidet zwischen kleinen und großen Funktions-Updates, die alle 6 Monate an Windows 10 Clients verteilt werden. Ursprünglich war es geplant, dass immer das Herbst (H2) Update ein großes Update und das Frühjahrs- (H1) Update ein kleines. Seit 2020 gibt es nur kleine Updates (die wenige Minuten dauern und genauso funktionieren wie die monatlichen Sicherheitsupdates).

Bei den kleinen Updates erhöht sich quasi nur der sognannte „Build“ um einen Zähler. Die kumulativen Updates lassen sich auf alle nachfolgenden Builds nach dem letzten Update anwenden und tragen die gleiche Versionsnummer:

Das aktuelle Windows hat demnach immer noch Kernkomponenten von Dezember 2019! Mit einem nach jedem kleinen Halbjahres-Update verteilten „Enablement Package“ wurden dann auch jedesmal wenige neue Funktionen „freigeschaltet“ (wie zum Beispiel mit 19042 das „helle“ und das „dunkle“ Design, der Meet Now Button in der Taskleiste (Skype app) und die Deinstallationsmöglichkeit von MSPaint, Internet-Explorer, Mathematik-Funktionen, Gesichtserkennung & Co (19043).

Fazit

Windows 21H2 wird wieder ein kleines Update, das im normalen Betrieb den Admins wenig Arbeit machen dürfte. Windows Version 22H1 soll dann einen 21000er Build bekommen und wieder als großes Update das Betriebssystem ersetzen (Große Updates laden knapp 5 GB herunter und sind quasi eine Neuinstallation mit Datenübernahme, die mindestens 45 Minuten dauert, in denen das Endgerät nicht benutzt werden kann (Offtime).

Internet Explorer Supportende anders

Microsoft New #Edge ist der neue Browser von Microsoft, der den ungeliebten „Edge“ restlos ersetzt. Auf den meisten Windows 10 Systemen wurde der alte Edge mit einem Update deinstalliert und durch den neuen ersetzt. Der „Neue“ basiert genau wie Google Chrome und andere Browser wie Vivaldi auf dem Chromium Open Source Projekt. Im Prinzip ist Edge on Chromium, wie man ihn auch nennt, eine andere Karosserie auf der selben Fahrzeugbaugruppe.

Weil im Neuen Edge auch ein „Internet Explorer Modus“ eingebaut ist, mit dem (die wenigen) Webseiten, die einen Internet-Explorer benötigen, funktionieren, hat man sich entschlossen, in zwei Stufen (erst im März 2022, endgültig am 15. Juni 2022) keine Updates mehr für das Produkt „Internet Explorer“ auszuliefern. Das gilt nur für Windows 10 ab Version 1809 und für Windows 11. Andere Betriebssysteme wie Server 2016, 2019, 2022 und sogar Windows 7 (nur mit kostenpflichtigen ESU Updates) und 8.1 erhalten weiterhin Sicherheits-Updates für den IE11. Für Server 2019 und 2022 gilt: Im neuen Control Panel kann der Internet-Explorer (das aufrufbare Programm) deinstalliert werden. Microsoft New Edge lässt sich auf allen Plattformen nutzen.

2Jahre 11Monate 4Wochen 1Tag
seit Mi. 15. Juni 2022 1.095 Tage

Bereits jetzt lässt sich in den „Einstellungen/Apps/optionale Features“ von Windows 10 auch bei den normalen Versionen der Internet Explorer entfernen*.

Mit einem später geplanten Update im Rahmen des regulären Patchday wird dann die iexplore.exe und die Verknüpfung dazu entfernt. Bereits seit 15. Juni werden Anfragen, die aus der iexplore.exe aufgerufen werden, an den New Edge weitergeleitet und dort ausgeführt.

Empfehlung

Wie schon neulich geschrieben ist unsere Empfehlung weiterhin:

• Google Chrome Enterprise (mit konfigurierten Richtlinien nach Wunsch) als Standard-Browser und PDF-Betrachter
• Microsoft Edge Enterprise (auch Edge für Business genannt) über das Edge Update von Microsoft „drüber installieren“ und auch hier Richtlinien in den Central Store importieren und konfigurieren. Edge wird (noch) nicht Standard-Browser
• Internet-Explorer über Einstellungen / Apps / Optionale Features deinstallieren*. Linkverknüpfung für URLs auf Standardbrowser setzen

Mit den Richtlinien wird Ihre IT-Umgebung nach eigenen Vorstellungen „gehärtet“, Google Chrome für Enterprise bietet derzeit mehr Funktionen und ist deutlich schneller (meist innerhalb von 2 Stunden aktualisiert). Zudem lassen sich mobile Geräte besser synchronisieren. Microsoft holt aber entwicklungsseitig massiv auf, so dass es sein kann, dass Chrome irgendwann entfallen kann.

Nur wenn zwingend nötig: IE-Modus in Edge einschalten

Der IE-Modus lässt sich entweder über Gruppen-Richtlinien oder über das Drei-Punkte-Menü im Edge einschalten: „…“ / Einstellungen / Standard-Browser / „Zulassen, dass Websites im Internet Explorer-Modus  neu geladen werden“.

*) Wer den IE-Modus nutzen muss, darf den Internet-Explorer nicht deinstallieren.

Warum Exchange Server nicht mehr zeitgemäß sind

Bereits im März und im April wurden in den #Exchange Server Produkten kritische #Sicherheitslücken geschlossen. Die als #Hafnium betitelten Angriffe auf Server weltweit machten Schlagzeilen und sorgten für zahlreiche Schäden und Ausfälle.

Exchange 201x versus Exchange online

Bei Einsatz und Betrieb eines Exchange Servers im eigenen Hause ist der IT-Administrator für das manuelle Installieren der Sicherheitsupdates auf den Servern verantwortlich. Im Gegensatz zu den halbautomatisch (nur installieren und neu starten) durchführbaren Windows Updates erfordert die Installation von Exchange Patches größere Wartungsfenster und sie müssen komplett von Hand heruntergeladen und installiert werden. Vielfach sind mehrere Updates und Neustarts des Exchange Servers erforderlich.

Mit dem Online Dienst „Exchange online“ kümmert sich Microsoft um alle Updates der Plattform. Die Erfahrung hat gezeigt, dass erkannte Sicherheitslücken dort 2-3 Wochen eher geschlossen sind, bevor sie in den Medien publik werden.

Mit Skykick Backup lassen sich auch Langzeit-Sicherungs- und Aufbewahrungs-Szenarien abbilden, so dass auch die Datenmengen in der Bandsicherung von veeam signifikant reduziert werden und die Nachtsicherung schneller fertig ist.

Kritische Sicherheitslücken auch im Mai 2021 geschlossen

Am Dienstag (gestern) um 1900 Uhr war wieder Patchday. Wieder wurden kritische Lücken geschlossen. Wie auch im April gab es KEINE Updates mehr für den Exchange Server 2010. Wer ein solch altes Produkt noch im Einsatz hat, handelt vorsätzlich und Versicherungen kürzen die Leistungen im Schadenfall rigoros.

Die aktuellen Mai-Updates setzen wieder voraus, dass der Exchange Server den Update-Stand von April bereits hat, ansonsten müssen auch die Updates von April zuvor installiert werden. Das sind:

Exchange Server 2013 CU23
Exchange Server 2016 CU19 and CU20
Exchange Server 2019 CU8 and CU9

Quelle: Microsoft Security Blog

Fazit

Das Risiko, Opfer eines Angriffs mit einem Exchange Server im Hause zu werden ist, mit allen Konsequenzen auch im Datenschutz- und strafrechtlichen Bereichs kritisch. Unternehmen sollten umgehend auf Exchange online in Verbindung mit Skykick Langzeitsicherung umstellen. Auch im Mai gilt wieder: Alle Exchange online Kunden sind nicht betroffen. Stellen Sie auf Exchange online um, um die Sicherheit zu erhöhen.

Microsoft Teams auf Terminalservern

Microsoft unterstützt ausdrücklich nur Windows Virtual Desktop Umgebungen für die Teams-Nutzung. Terminalserver (RDS) nicht. Auch bei Verwendung von Citrix Xendesktop oder Xenapp muss es die neuste Version sein (und selbst diese wird auch nicht unterstützt). Da es sich bei Teams um einen Cloud-Dienst handelt und die Nutzung über einen Terminalserver einen Umweg sowie eine weitere Fehlerquelle darstellt, ist zu klären, warum Teams zwingend auf dem Terminalserver genutzt werden soll.

Browser oder installierte Teams App?

Bei Nutzung auf Terminalservern empfehlen wir, den Webclient von Teams (teams.microsoft.com) mit Google Chrome / MS Edge (auf Chromium Basis) zu nutzen, statt den Desktop Client auf einem Terminalserver zu installieren.

Bei Microsoft 365 (Office Apps) lässt sich über eine Richtlinie verhindern, die Teams App zu installieren. Diese Richtlinie muss aktiv angewendet werden, da ansonsten Teams automatisch mit einem Office Update anstelle vom Skype für Business installiert wird.

Risiken und Nebenwirkungen

Grundsätzlich lässt sich die Teams Windows App auf einem Terminalserver installieren. Folgende Aspekte müssen allerdings berücksichtigt werden:

• Die Benutzerprofile werden durch das Cachen von Daten enorm anwachsen (Prüfung Festplattenplatz Fileserver nötig)
• Es muss der „Machine Wide Installer (MSI)“ für die Installation verwendet werden (Autostart deaktivieren optional)
• Bei Nutzung von Audio- Video Funktionalität ist zunächst zu prüfen, ob Teams nicht lokal genutzt werden kann
  • Falls Nein: Anpassung der Terminalserver- / Citrix-Richtlinien erforderlich (Audio- Videosignal Umleitung)
• Für Audio, Video und Desktop Sharing Funktionalität braucht Teams mindestens 1,2Mbit/s
  • Die Qualität wird automatisch angepasst (Je mehr Bandbreite zur Verfügung steht desto höher wird die Qualität der Videoübertragung)
• Teams sollte keinesfalls für alle User auf einem Terminalserver zeitgleich freigeschaltet werden, um die RAM und CPU-Leistung bei zu hoher Auslastung anpassen zu können

Szenarien

Fazit

Teams auf Terminalservern hat so viele Fallstricke, dass es grundsätzlich nicht zu empfehlen ist. Sollte ein Einsatz dennoch gefordert sein, ist im Einzelfall zu prüfen, ob und wie die geplanten Szenarien möglich sind. Die Einrichtung lässt sich demnach nur nach Aufwand durchführen und der Aufwand nicht vorher einschätzen. Generell können wir keine Garantie/Gewährleistung übernehmen.

Die Teams App auf einem Windows 10 Pro Endgerät ist in vollem Umfang inklusive angeschlossenen Kameras/Mikrofonen/Headset.
Bei der Nutzung unter Windows Virtual Desktop (dies wird von Microsoft offiziell unterstützt, da sich deutlich weniger Benutzer auf der Multiuser-Hardware tummeln) gibt es Einschränkungen hinsichtlich der Leitungsbandbreite. Aber auch hier gilt: Das Endgerät, wo Peripherie angeschlossen wird, ist vorzugsweise ein Windows 10 Pro PC oder ein Smartphone/tablet (mit der android oder IOS app von Teams)

Monatliche Updates lebenswichtig

Hafnium – die kritischen #Sicherheitslücken in #Exchange Servern im eigenen Hause – waren erst vor einem Monat. Wie wichtig es ist, möglichst zeitnah zum monatlichen #Patchday (2. Dienstag im Monat, 19:00 Uhr) die Sicherheitsupdates zu installieren, zeigt die aktuelle Statistik:

So hat Microsoft laut eigenen Angaben am gestrigen April #Patchday 2021 rund 2.700 Sicherheitslücken geschlossen. Darunter sind auch einige für Exchange Server 2013, 2016 und 2019. Exchange 2010 ist bereits seit Anfang 2020 aus dem Support heraus. Für Hafnium gab es nur den Notfallpatch im März (außerhalb der Reihe).

Es wurden, wie immer auch Lücken in Windows 10 und Office 2013/16/19 und den Office 365 apps geschlossen.

Erneut Exchange Server 2013 16 19

Die folgenden kumulativen Updates sollten ebenfalls (Stand: 13. April) installiert werden:

Microsoft Exchange Server 2019 Cumulative Update 8
Microsoft Exchange Server 2019 Cumulative Update 9
Microsoft Exchange Server 2016 Cumulative Update 19
Microsoft Exchange Server 2016 Cumulative Update 20
Microsoft Exchange Server 2013 Cumulative Update 23

Handlungsbedarf kontinuierlich

Wer nicht innerhalb von einer Woche nach dem Patchday alle Sicherheitspatches installiert hat, erfüllt nicht einmal den BSI Grundschutz-Standard und relevante Versicherungen können im Schadenfall die Leistung empfindlich kürzen, bei Überschreiten von 10 Tagen sogar verweigern.

Geschützt werden müssen alle Endgeräte, alle Server On-Premises (in Ihren Räumlichkeiten) und Cloud-Server – egal ob Housing oder IaaS. Nur bei Online-Diensten wie Exchange online und Microsoft Teams und den Webkomponenten von Microsoft 365 werden die Updates automatisch bereitgestellt.

Um sich zu schützen sollten Sie:

• 1x pro Monat am Patchday, spätestens 1 Woche danach wichtige und kritische Sicherheitsupdates auf den oben genannten Servern und Endgeräten installieren und in einem Wartungsfenster die Geräte neu starten
• alternativ können Sie Managed | Server bei uns buchen und wir übernehmen die Aufgabe für Sie. So müssen Sie sich nur noch um die Client-Endgeräte kümmern
• Dienste wie ein Exchange Server sollten zugunsten von Microsoft Onlinediensten (Exchange Online oder/und Microsoft 365 Abo) migriert werden (Die Updates für die Office 365 Apps auf den Clients führen Sie aber dennoch aus. Dieser Prozess lässt sich aber weitgehend automatisieren)

Für Fragen nehmen Sie gern mit unserem Cloud-Vertriebs-Team Kontakt auf. Andreas Lübke und Sein Team bieten Ihnen gern die sicheren Produkte an.

Telefonanlagen durch Teams ersetzen?

Soll die Telefonanlage durch Microsoft Teams Telefonie ersetzt werden, sind einige Voraussetzungen zu erfüllen. Gibt es mehrere Firmen (ohne Mehrheitsbeteiligung), sollte die Infrastruktur getrennt für jede der Firmen aufgebaut werden. Das Schaubild zeigt das Prinzip einer Azure Anbindung, die auch Teams-Telefonie erlaubt:

• Leitungsanbieter – z.B. Telekom oder vodafone:
  • Internet-Leitung:  Pro Sprachkanal 250 kBit in beiden Richtungen reservieren (z. B. 4 Sprachkanäle = 1 Mbit) – Es wird eine symmetrische Leitung oder Glasfaser-Anbindung ab 100 Mbit empfohlen.
  • Telefonanschluss (All IP, VoIP): SIP-Trunk beim Anbieter mieten mit der o.g. Anzahl Sprachkanälen
  • Migration des Rufnummernblocks zum SIP-Trunk – oder – wenn notwendig neue Telefonnummern. Dies ist notwendig, wenn die Telefonanlage von jemand anders mitgenutzt wird
  • Lieferung und Konfiguration Border Gateway Controller. Der BGP ist die Hardware, die den SIP-Trunk mit den Microsoft Teams Servern verbindet
  • Der Border Controller sollte über Gateways die Anbindung von Analogen Geräten (Faxgeräte) und ISDN-Geräten (Faxrouter) als Nebenstelle unterstützen
  • Konfiguration des BGC im vorhandenen Teams Tenant des Kunden, Einrichtung von Nebenstellen und Richtlinien
• Dienstleister (Softwarehaus, z. B. GWS):
  • Microsoft 365 Lizenzen mit Telefonie und Exchange online (und optional Office) für alle User, die telefonieren müssen. Hierbei kann jeweils eine Teams Telefonie-Lizenz (Microsoft 365 Business Voice) zu einem Microsoft 365 Business Premium Plan zugebucht werden oder aber ein Enterprise-Plan wie M365 E5, der Teams Telefonie enthält, gemietet werden.
  • PC-Endgeräte bzw. Windows-Notebooks, von denen aus telefoniert wird
  • Professionelle Webcam für Konferenzen mit Stereomikrofonen (für PCs erforderlich, alternativ die Notebook Cam benutzen)
  • Konferenzlautsprecher (für PCs erforderlich, bei Notebooks sinnvoll, wenn nicht das Headset benutzt wird )
• Anderer Anbieter oder Leitungsanbieter:
  • Smartphones z.B. von apple mit IOS oder Samsung mit android, wo die Teams app installierbar ist
  • Professionelles Bluetooth Headset. Empfehlung: Jabra Evolve Reihe z.B. Evolve 65 oder 70 –  over ear, Stereo mit digitaler Rauschunterdrückung. Die Jabra Geräte können parallel (Multipairing) mit Smartphone und mit dem Notebook gekoppelt werden, so können wahlweise Gespräche von dem einen oder anderen Gerät entgegengenommen oder geführt werden.

Hinweise zur Funktionaltät: Während Anrufbeanworterfunktionen mit KI-Funktionen (Anruf erscheint als E-Mail mit mp3 Anhang in Outlook und eine Transkription des Inhalts in Textform im E-Mail-Body) und auch automatisierbare Anrufabläufe zur Verfügung stehen, gibt es derzeit eine Funktion noch nicht mit Teams Bordmitteln: Externe Anrufer anhand ihrer Rufnummer in einer Datenquelle nachschlagen und beim Anruf direkt anzeigen. Ruft ein externer Teilnehmer an, sieht man derzeit nur seine Rufnummer z. B. +49 123 4567-223. Nur für angelegte Mitglieder der eigenen Organisation in Teams wird der Name (und das Foto wenn hinterlegt) angezeigt. Mit s.tel Pro, unserer CTI-Lösung wird in Zukunft Teams Telefonie anbindbar sein und liefert im First Screen die hilfreichen Informationen und bietet Links zu Funktionen in der Warenwirtschaft (Auftrag anlegen, Angebot erstellen, Debitoreninfo…)

Neu: Gadget für das Homeoffice

Update: Eine nützliche Erfindung – allerdings nicht am 01. April. Das Gadget ist unser diesjähriger Aprilscherz. Selbstverständlich können Sie unserem Technik-Shop Produkte kaufen – aber nicht dieses.

Kensington, ein Hersteller für PC-Zubehör, Sicherungs-Equipment und Ladestationen hübscht mit einem innovativen High-Tech-Produkt das Homeoffice auf. „Elch21“, so die Produktbezeichnung kombiniert dabei die drahtlose Ladetechnik (QI-Standard) mit künstlicher Intelligenz. Im Korpus des Elchs ist ein Raspberry Pi4 eingebaut, auf dem Microsoft Teams läuft. Die in Teams enthalten künstliche Intelligenz (Stimme von #Cortana) beantwortet daher automatisch alle Anrufe, sobald das Headset auf dem #Elch liegt. Gleichzeitig wird das Headset geladen. Die normale Docking Station entfällt. Im Heckteil ist ein Thunderbolt USB-Anschluss zum Betreiben und Aufladen des Notebooks (kabelgebunden) enthalten. Das sonst übliche Steckerchaos entfällt damit.

Der Elch21 wird mit dem mitgelieferten 120W-Netzteil und einem Thunderbolt USB 3.1 Kabel mit dem Stromnetz verbunden. Erste Tests zeigen, dass die kabellose Ladeleistung problemlos für ein Smartphone (Hier Samsung Galaxy S21 5G), wie auch das für die Videokonferenzen benötigte Headset (s. Abbildung):

Kensington Elch21 Lade- und Collaboration Assistant

Laut Herstellerangaben liegt die unverbindliche Preisempfehlung nur bei 129 €. Für das was das Gadget bietet ein fairer Preis. Bestellbar über unseren Kunden-Shop.

Fazit

Geniales Werkzeug zur Ergänzung und Verschönerung des #Homeoffice.

Home-Office Austattung - Innovation

Update: Eine nützliche Erfindung – allerdings nicht am 01. April. Das Gadget ist unser diesjähriger Aprilscherz. Selbstverständlich können Sie unserem Technik-Shop Produkte kaufen – aber nicht dieses.

Kensington, ein Hersteller für PC-Zubehör, Sicherungs-Equipment und Ladestationen hübscht mit einem innovativen High-Tech-Produkt das Homeoffice auf. „Elch21“, so die Produktbezeichnung kombiniert dabei die drahtlose Ladetechnik (QI-Standard) mit künstlicher Intelligenz. Im Korpus des Elchs ist ein Raspberry Pi4 eingebaut, auf dem Microsoft Teams läuft. Die in Teams enthaltene künstliche Intelligenz (Stimme von Cortana) schaut in Ihren Exchange online Kalender und beantwortet automatisch alle Anrufe mit der passenden Nachricht, sobald das Headset auf dem Elch liegt. Gleichzeitig wird das Headset geladen, sofern des QI unterstützt. Die normale Headset-USB Docking Station entfällt. Im Heckteil ist ein Thunderbolt USB-Anschluss zum Betreiben und Aufladen des Notebooks (kabelgebunden) enthalten. Das sonst übliche Steckerchaos bleibt daher zusätzlich aus.

Der Elch21 wird mit dem mitgelieferten 120W-Netzteil und einem Thunderbolt USB 3.1 Kabel mit dem Stromnetz verbunden. Erste Tests zeigen, dass die kabellose Ladeleistung problemlos für ein Smartphone (Hier Samsung Galaxy S21 5G), wie auch das für die Videokonferenzen benötigte Headset (s. Abbildung):

Kensington Elch21 Lade- und Collaboration Assistant

Laut Herstellerangaben liegt die unverbindliche Preisempfehlung nur bei 129 €. Für das was das Gadget bietet, ist das unserer Meinung nach ein fairer Preis. Wir haben uns direkt eine Anzahl geliefert. Solange der Vorrat reicht, können Sie exklusiv heute über unseren Kunden-Shop bestellen.

Fazit

Geniales Werkzeug zur Ergänzung und Verschönerung des Homeoffice.

Windows 10 21H2 neue Symbole

Microsoft wird mit Veröffentlichung des nächsten großen Windows 10 Updates im Herbst neue und moderne Symbole für Explorer und die Windows Oberfläche schaffen. Wie die aussehen, können bereits alle Insider in der aktuellen Build 21343 beobachten. Die Release-Version wird sehr wahrscheinlich einen 21xxx build tragen und wird im Juni Feature-complete sein (d. h. bis zum Erscheinen werden nur noch Fehler korrigiert und Sicherheitsupdates implementiert).

Zusätzlich wird der Benachrichtigungsbereich modernisiert und erweitert und der Taskleisten Prozess vom Windows Explorer entkoppelt. Stürzt dann der Windows Explorer ab, bleiben Startmenü und Taskleiste am Leben.

Die abgerundeten Kanten, die es bereits bei Windows 10 X (der Version für ARM Prozessoren und Tablets mit eingeschränktem Umfang) gibt, sind im Windows 10 Strang in der Insider-Variante noch nicht sichtbar. Sie lassen sich bei Bedarf über Geheimcodes aktivieren). Die neue Oberfläche für Windows heisst dann „Fluent Design“, der Projektname „Sun Valley“.

Windows 21H2 neue Symbole

Microsoft wird mit Veröffentlichung des nächsten großen Windows 10 Updates im Herbst neue und moderne Symbole für Explorer und die Windows Oberfläche schaffen. Wie die aussehen, können bereits alle Insider in der aktuellen Build 21343 beobachten. Die Release-Version wird sehr wahrscheinlich einen 21xxx build tragen und wird im Juni Feature-complete sein (d. h. bis zum Erscheinen werden nur noch Fehler korrigiert und Sicherheitsupdates implementiert).

Zusätzlich wird der Benachrichtigungsbereich modernisiert und erweitert und der Taskleisten Prozess vom Windows Explorer entkoppelt. Stürzt dann der Windows Explorer ab, bleiben Startmenü und Taskleiste am Leben.

Die abgerundeten Kanten, die es bereits bei Windows 10 X (der Version für ARM Prozessoren und Tablets mit eingeschränktem Umfang) gibt, sind im Windows 10 Strang in der Insider-Variante noch nicht sichtbar. Sie lassen sich bei Bedarf über Geheimcodes aktivieren). Die neue Oberfläche für Windows heisst dann „Fluent Design“, der Projektname „Sun Valley“.

Exchange DSGVO Meldung?

Am 04. März berichteten wir über die von #Microsoft am 03. März für alle #Exchange Server geschlossene, kritische #Hafnium #Sicherheitslücke. Die Lücke ist sehr gefährlich und wird weltweit massenhaft von Hackern ausgenutzt. Wir hatten darüber auch in einem Sondernewsletter zeitnah informiert.

Betroffen sind alle Betreiber von Exchange Servern im eigenen Hause und Kunden, die Ihren Mailserver in einem Rechenzentrum untergestellt haben (Housing). Leider haben immer noch viele Administratoren nicht reagiert und es gibt weiterhin ungepatchte Server. Nur Kunden mit Exchange online sind nicht betroffen.

Q: Wie finde ich heraus, ob ich schon Exchange online habe?
A: Rufen Sie unten stehende Seite auf und geben Ihren E-Mail-Domainnamen ein. Kommt als Antwort beim Domainnamen mail.protection.outlook.com oder bei der IP-Adresse Microsoft Corporation vor, nutzen Sie den Microsoft Online-Dienst Exchange online. Zusätzlich müssen Sie noch herausfinden, dass bei Ihren Servern im Hause kein Exchange Server in Betrieb ist (möglicher Hybridbetrieb).

https://mxtoolbox.com/SuperTool.aspx

Nun schalten sich die Datenschutzbehörden ein. Nach der Datenschutz-Grundverordnung besteht in vielen Fällen eine Meldepflicht gemäß Art. 33 #DSGVO. Die für den Verzicht auf die Meldung maßgeblichen Feststellungen, d. h. insbesondere die kompletten Untersuchungen des Mail-Servers und seiner Verbindungen ins übrige Netzwerk des Unternehmens sind umfassend zu dokumentieren.

In der Praxis bedeutet das im Falle Exchange Server 2010/2013/2016/2019:

• Wenn festgestellt wurde, dass eine Kompromittierung und Zugriffe auf die Mailboxen erfolgt ist
• oder wenn die notwendigen Patches nach dem 09. März 2021 installiert wurden
• und wenn nicht dokumentiert werden kann, dass kein erfolgreicher Zugriff erfolgt ist

besteht Meldepflicht und Unternehmen müssen sich quasi selbst anzeigen.

Erste Indizien und Unterstützung zur Dokumentation liefert dieses Microsoft Powershell Script in diesem Zusammenhang. Zusätzlich muss das Microsoft Support Emergency Response Tool heruntergeladen, installiert und ausgeführt werden. Ein aktueller Kaspersky Virenscanner meldet auch einen stattgefundenen Befall. Ob die Werkzeuge ausreichen, um hinreichend gegenüber den Datenschutz-Behörden zu dokumentieren, lässt sich nur von Juristen und Datenschutzbeauftragten beantworten.

Für weitere Details zu den Datenschutz-Themen wenden Sie sich bitte an Ihren verantwortlichen Datenschutz-Beauftragten.

Exchange Server betreiben? Nicht mehr!

Bereits im März und im April wurden in den #Exchange Server Produkten kritische #Sicherheitslücken geschlossen. Die als #Hafnium betitelten Angriffe auf Server weltweit machten Schlagzeilen und sorgten für zahlreiche Schäden und Ausfälle.

Exchange 201x versus Exchange online

Bei Einsatz und Betrieb eines Exchange Servers im eigenen Hause ist der Systemkoordinator für das manuelle Installieren der Sicherheitsupdates auf den Servern verantwortlich. Im Gegensatz zu den halbautomatisch (nur installieren und neu starten) durchführbaren Windows Updates erfordert die Installation von Exchange Patches größere Wartungsfenster und sie müssen komplett von Hand heruntergeladen und installiert werden. Vielfach sind mehrere Updates und Neustarts des Exchange Servers erforderlich.

Mit dem Online Dienst „Exchange online“ kümmert sich Microsoft um alle Updates der Plattform. Die Erfahrung hat gezeigt, dass erkannte Sicherheitslücken dort 2-3 Wochen eher geschlossen sind, bevor sie in den Medien publik werden.

Mit Skykick Backup lassen sich auch Langzeit-Sicherungs- und Aufbewahrungs-Szenarien abbilden, so dass auch die Datenmengen in der Bandsicherung von veeam signifikant reduziert werden und die Nachtsicherung schneller fertig ist.

Kritische Sicherheitslücken auch im Mai 2021 geschlossen

Am Dienstag (gestern) um 1900 Uhr war wieder Patchday. Wieder wurden kritische Lücken geschlossen. Wie auch im April gab es KEINE Updates mehr für den Exchange Server 2010. Wer ein solch altes Produkt noch im Einsatz hat, handelt vorsätzlich und Versicherungen kürzen die Leistungen im Schadenfall rigoros.

Die aktuellen Mai-Updates setzen wieder voraus, dass der Exchange Server den Update-Stand von April bereits hat, ansonsten müssen auch die Updates von April zuvor installiert werden. Das sind:

Exchange Server 2013 CU23
Exchange Server 2016 CU19 and CU20
Exchange Server 2019 CU8 and CU9

Quelle: Microsoft Security Blog

Fazit

Das Risiko, Opfer eines Angriffs mit einem Exchange Server im Hause zu werden ist, mit allen Konsequenzen auch im Datenschutz- und strafrechtlichen Bereichs kritisch. Unternehmen sollten umgehend auf Exchange online in Verbindung mit Skykick Langzeitsicherung umstellen. Auch im Mai gilt wieder: Alle Exchange online Kunden sind nicht betroffen.
Wenden Sie sich gern an unser Team Cloud Vertrieb unter Leitung von Andreas Lübke für ein Angebot für eine Exchange online Migration.

Server in Azure, Clients optimieren

Während in den meisten Fällen statt der Anschaffung neuer Server-Hardware auf die #Azure #Cloud gesetzt wird (IaaS – der Admin hat weiterhin Domänen-Adminrechte, SaaS – Dienst aus der Cloud ohne Admin-Zugriff auf Server), bekommen die Clients eine besondere Bedeutung.

Das gilt insbesondere für die Peripherie. Sie sollte robust, alltagstauglich und ergonomisch sein. Darüber hinaus bleibt der Windows 10 (Pro) Rechner die Plattform mit der größten Flexibilität an einzusetzender Software und Peripherie.
Setzt man auf Thin Clients (beispielsweise IGEL UD3), muss man auf viele Peripheriegeräte und Programme verzichten. Außerdem eignen sich nur die teuren Modell für Mehrbildschirmbetrieb und flüssige Bilddarstellung. Angeschlossene Peripherie muss durch das auf dem Gerät installierte Linux Betriebssystem nach Windows umgeleitet werden. Das funktioniert schlechter als bei nativem Windows 10.

Möchte man in der Cloud Windows Virtual Desktop einsetzen, verlagern sich zwar viele Programme in den virtuellen Rechner im Cloud-Dienst, es wird aber weiterhin Geräte geben, wie mit dem lokalen Windows betrieben werden. Erforderliche Peripherie, die immer ein Windows 10 brauchen, sind unter anderem:

• Chipkarten-Leser (LKW-OBUs, Fahrerkarten)
• NFC Lesegeräte (E-Perso-Ausweisapp)
• Smartphones (Meine Smartphone App)
• lokal genutzte Drucker ohne Netzwerk-Interface

Peripherie-Empfehlungen

• Ultrabook-Tablet: lenovo ThinkPad L13 Yoga (Intel) – 13 Zoll, tablet, mobil, Core i5
• Notebook (kostengünstig): lenovo ThinkPad L15 (Intel) – 15 Zoll, Notebook, Core i5
• PC (platzsparend): lenovo Thinkcentre Tiny M70Q (Intel) Serie – Core i5
  • Monitore: 24 oder 27 Zoll IIyama B-Serie – Business, Pivot, Standfuß verstellbar
• Tastatur: Fujitsu KB 955 (Mit Sondertasten speziell für Audio und Teams)
• Maus: Microsoft Ergonomic Mouse (kabelgebunden, USB)
• Headset: Jabra Evolve 65 (oder 75 mit Hardware-Geräuschunterdrückung) – Bluetooth, für Telefonie, Handy, Teams mit Multi-Pairing
• Webcam: Meist ist die Webcam im Notebook nur 720p (also kein Full-HD, an einer nicht optimalen Position im Notebook und nicht hintergrundbeleuchtet) – VITADE 980A (Full-HD 1080p/60fps, Stereo Raummikro mit ANR, Ringlicht LED 3 Stufen)

Cloud-Server und optimale Clients und Peripherie

Während in den meisten Fällen statt der Anschaffung neuer Server-Hardware auf die #Azure #Cloud gesetzt wird (IaaS – der Admin hat weiterhin Domänen-Adminrechte, SaaS – Dienst aus der Cloud ohne Admin-Zugriff auf Server), bekommen die Clients eine besondere Bedeutung. Wir haben im Artikel #Kassenschlager bereits darüber berichtet.

Das gilt insbesondere für die Peripherie. Sie sollte robust, alltagstauglich und ergonomisch sein. Darüber hinaus bleibt der Windows 10 (Pro) Rechner die Plattform mit der größten Flexibilität an einzusetzender Software und Peripherie.
Setzt man auf Thin Clients (beispielsweise IGEL UD3), muss man auf viele Peripheriegeräte und Programme verzichten. Außerdem eignen sich nur die teuren Modell für Mehrbildschirmbetrieb und flüssige Bilddarstellung. Angeschlossene #Peripherie muss durch das auf dem Gerät installierte Linux Betriebssystem nach Windows umgeleitet werden. Das funktioniert schlechter als bei nativem Windows 10.

Möchte man in der Cloud „Azure Virtual Desktop“ einsetzen, verlagern sich zwar viele Programme in den virtuellen Rechner im Cloud-Dienst, es wird aber weiterhin Geräte geben, wie mit dem lokalen Windows betrieben werden. Erforderliche Peripherie, die immer ein Windows 10 brauchen, sind unter anderem:

• Chipkarten-Leser (LKW-OBUs, Fahrerkarten).
• NFC Lesegeräte (E-Perso-Ausweisapp).
• Smartphones (Meine Smartphone App).
• MDE-Geräte (insbesondere im Offline-Betrieb zum Entladen der Daten über die Dockingstation).
• Online-Waagen.
• Notfall-Arbeitsplätze (Notbetrieb ohne Netzwerk möglich).
• Unterschriften-Pads (Signopads) für Lieferscheine.
• Dokumenten Scanner für das Archiv (USB-Scanner).
• lokal genutzte Drucker ohne Netzwerk-Interface.

Peripherie-Empfehlungen

• Ultrabook-Tablet: lenovo ThinkPad X13 Yoga GenX (Intel) – 13,3 Zoll, Ultrabook, tablet, mobil, Core Ultra5.
• Notebook (kostengünstig): lenovo ThinkPad L15 (Intel) – 15,6 Zoll, Notebook, Core Ultra5.
• PC (platzsparend): lenovo Thinkcentre Tiny M72Q (Intel) Serie – Core i5.
• Monitore: 24 oder 27 Zoll IIyama B-Serie – Business, Pivot, Standfuß verstellbar.
• Tastatur: Fujitsu KB 955 (Mit Sondertasten speziell für Audio und Teams).
• Maus: Microsoft Ergonomic Mouse (kabelgebunden, USB).
• Headset: Jabra Evolve 65 (oder 75 mit Hardware-Geräuschunterdrückung) – Bluetooth, für Telefonie, Handy, Teams mit Multi-Pairing.
• Freisprech- oder Konferenzlautsprecher: Jabra Speak2 75 (Bluetooth oder USB), auch für Einzelplatz-Umgebungen geeignet, wenn keine weiteren Personen im Raum sind)
• Webcam: Meist ist die Webcam im Notebook nur 720p (also kein Full-HD, an einer nicht optimalen Position im Notebook und nicht hintergrundbeleuchtet) – VITADE 980A (Full-HD 1080p/60fps, Stereo Raummikro mit ANR, Ringlicht LED 3 Stufen).

Voller Funktionsumfang nur noch bei Microsoft 365 und Office 2019

Die Anschaffung eines neuen #Exchange-Servers oder die Aktualisierung des Produkts ist im Durchschnitt mit sehr hohen Investitionen im 5-stelligen Bereich verbunden. Ein Exchange online Postfach ist hingegen schon für rund 4 Euro pro Monat erhältlich.
Microsoft hält den Server dann immer auf dem neusten Stand und auch die Administration erfolgt über ein Web-Interface. Der Zugriff auf das Postfach kann im Browser (z.B. Google Chrome Enterprise oder dem neuen Microsoft Edge Enterprise) erfolgen.
Wer mehr Komfort haben möchte, verwendet #Outlook. Das wiederum funktioniert am Besten, wenn man einen der Microsoft 365 Pläne mietet.

Möchte man vorhandene #Office oder Outlook-Versionen nutzen, haben aktuell nur noch Microsoft 365 und Version 2019 die volle Funktionalität. Ansonsten wird man immer 5 Jahre nach Erscheinen mit Einschränkungen leben müssen, d. h. es funktioniert nicht mehr alles. Schlimmstenfalls ist keine Verbindung zum Online-Dienst oder dem Exchange-Server im Hause mehr möglich.

Fazit und Empfehlung

Nur Microsoft 365 und Office bzw. Outlook 2019 funktionieren ohne Einschränkungen.

• Minimum: Exchange Online beauftragen (Einrichtung, Onboarding, Datenübernahme, SSL-Zertifikat (jährlich), Microsoft 365 Defender ATP (Einrichtung und monatlich) und monatlich ab ca. 4 €). Zugriff über Webbrowser.
• Komfort und maximale Flexibilität: Exchange online wie oben + Microsoft 365 Business Premium Plan (enthält auch überall installierbare und verwendbare Office Apps und die Betriebssystem-Lizenz für virtual Desktops )

Unabhängig davon, ob man den Microsoft 365 Plan nutzt, oder Office 2019 einsetzt, sollte der Update-Mechanismus 1x im Monat für Sicherheits-Updates (und bei 365) auch für nützliche neue Funktionen und die Nutzung der Funktionen ohne Einschränkungen erlauben.

Quellennachweise

„Microsoft 365 works with any version of Outlook that is in mainstream support […] Only those that have extended support may continue to work with Microsoft 365, although with reduced functionality.“

https://docs.microsoft.com/de-de/officeupdates/outlook-updates-msi

Für Outlook 2016 gilt seit Oktober 2020 schon eine eingeschränkte Funktionalität mit Exchange Online! Es gibt bis 14.10.2025 nur noch Sicherheitsupdates.

https://docs.microsoft.com/de-de/lifecycle/products/outlook-2016

Für Outlook 2013 war der Mainstream-Support bereits April 2018 beendet. Bis 11.04.2023 sind nur noch Sicherheitsupdates verfügbar.

https://docs.microsoft.com/de-de/lifecycle/products/outlook-2013

Exchange Server kritische Sicherheitslücke

Eine akute #Sicherheitslücke in #Exchange Servern 2010, 2013, 2016 und 2019 ermöglicht es Angreifern, Kontrolle über das System zu bekommen und Schadsoftware einzuschleusen. Die Lücke ist nach einer chinesischen Hackergruppe #Hafnium benannt.

Microsoft hat für die Lücke einen Patch bereit gestellt, der unbedingt zeitnah installiert werden muss.

Die Microsoft Cloud-Dienste (Exchange online) sind nicht von der Lücke betroffen bzw. wurde der Patch dort schon von Microsoft installiert.

Aktionen / Maßnahmen

Wenn Sie noch einen Exchange Server im eigenen Hause in Betrieb haben, installieren Sie unbedingt den Patch mit Stand vom 03. März 2021. Die gepatchten Versionen tragen folgende Nummern:

• Exchange Server 2010 (RU 31 for Service Pack 3)
• Exchange Server 2013 (CU 23)
• Exchange Server 2016 (CU 19, CU 18)
• Exchange Server 2019 (CU 8, CU 7)

Quelle: Microsoft Security Update Guide

https://msrc.microsoft.com/update-guide/releaseNote/2021-Mar

Ein Microsoft-Mitarbeiter hat auf GitHub ein Powershell Script öffentlich zur Verfügung gestellt, um den Verwundbarkeits-Status zu prüfen. Exchange 2010 wird vom Script allerdings nicht unterstützt. Gleichwohl gibt es für diesen Server ohne Support auch einen Notfallpatch.

Microsoft Exchange Prüfscript auf Github

https://github.com/dpaulson45/HealthChecker#download

Qualifizierte Unterstützung

Wenn Ihnen das hier beschriebene zu kompliziert erscheint, beauftragen Sie gern unsere technischen Kollegen über einen Supportvorgang. Wir freuen uns auf Ihren Auftrag