Jukebox    gru-alarmsound2

seit Di. 10. Okt. 2023, 00:00:00   vor 2 Jahren  

Countdown abgelaufen

Oktober 2023
MO	DI	MI	DO	FR	SA	SO	Kw
						1	39
2	3	4	5	6	7	8	40
9	10	11	12	13	14	15	41
16	17	18	19	20	21	22	42
23	24	25	26	27	28	29	43
30	31						44

Bin ich betroffen?

Server 2012 R2 sind in der Regel erkennbar an der türkisfarbenen Taskleiste mit Startknopf links und dem bildschirmfüllenden Startmenü, das auch unten links den Startknopf hat:

Um herauszufinden, ob Sie noch Server 2012 im Einsatz haben und wie viele mit welcher Software, empfehlen wir unsere IT-Dokumentation. Diese liefert Ihnen nicht nur die 2012er Server, sondern auch ein komplettes Software und Hardware-Inventar und einer IST-Aufnahme nach BSI-Standard 200-1.

Soll die IT-Dokumentation für die Verbandsprüfung oder zur Dokumentation für Versicherungen genutzt werden, empfiehlt sich der IT-Sicherheitscheck, der Ihnen ein Testat nach dem BSI-Standard 200-1 und IDW PS330 liefert. Er wird durch einen TÜV-zertifizierten IT-Security Manager und -Auditor ausgeführt.

Kontaktieren Sie mich gern bei Fragen oder zur Beauftragung über das Kontaktformular des Syskoportals.

Was kann ich tun?

• Neuinstallation der Programme auf Server 2019 bzw. 2022 und Umzug der Daten und Programme sind empfehlenswert. Server 2016 ist auch möglich, die Sicherheitsupdates enden hier aber bereits im September 2025 – also nur zwei Jahre später.
• Bei Verwendung der Server On-Premises müssen dazu meist neue CALS und teure Server-Betriebssystem-Lizenzen (meistens in der Datacenter-Edition) angeschafft werden. Nur wenn Sie Ihre VM-Hosts bereits mit einer Server 2019 oder neuer Lizenz angeschafft haben, ist die Migration auf eines der Betriebssysteme ohne weitere Lizenzkosten. Das gilt auch nur dann, wenn die Windows Server CALS ebenfalls auf eins der neueren Betriebssysteme lauten. Zusätzlich müssen bei Terminalservern die RDS-CALs zum neuen Betriebssystem passen – ansonsten neu angeschafft werden.
• Wenn Sie die betroffenen bereits in Microsoft Azure (IaaS) betreiben, können Sie auf den Server 2012 Betriebssystemen noch weiter drei Jahre Updates installieren, da im Rahmen der Cloud-Miete die sonst kostenpflichtigen ESU Updates bezogen werden können. Eine Modernisierung ist dennoch empfehlenswert, um die Update-Handlungen zu vereinheitlichen. Zumal nur Dienstleistungs- und keine Lizenzkosten dafür anfallen.

Ich habe meine Server On-Premises – wie komme ich in die Cloud?

Beauftragen Sie den Cloud Readiness Check und wir prüfen, welche Schritte notwendig und angezeigt sind, um hochpreisige Hardware-Neuanschaffungen und immer kürzeren Software-Updates Zyklen zu begegnen.

Ihr Ansprechpartner ist Andreas Lübke. Gern können Sie sich auch an die Kontaktpersonen in Ihrer Business Unit wenden.

FAQ

Fortinet Firewalls

Kein Produkt, das wir unterstützen – dennoch kommen Fortinet #Drittanbieter Firewalls häufiger im beobachteten Umfeld (auch als Azure vpn Gateway) vor. Aktuell haben die Fortigate Firewalls und Proxies von Fortinet einige kritische Sicherheitslücken, die es Angreifern ermöglicht, aus der Ferne Zugriff auf die Admin-Oberfläche der Firewalls zu erlangen. Fortinet stuft die Sicherheitslücke als kritisch ein und vergibt einen CVSS-Score von 9.6/10.

Wer ein Fortinet-Produkt administriert, sollte den Fortinet Oktober-Patchday nicht abwarten. Die #Sicherheitslücken sind in FortiOS 7.0.7, 7.2.2, in FortiProxy 7.0.7 und 7.2.1 und in allen neueren Versionen behoben. Ist ein Update kurzfristig nicht möglich, so können Admins einen Workaround einspielen, den Fortinet seinen zahlenden Kunden im Support-Dokument CSB-221006-1 beschreibt.

Da in modernen Azure Umgebungen mit Azure Virtual Desktop statt RDS- oder Citrix-Terminalservern eine On-Premises Firewall nicht ausreicht und erst eine CloudGen-Firewall mindestens der zweiten Generation zu einer guten Absicherung führt, empfehlen wir die Barracuda-Produkte. Diese sind Cloud-zertifiziert und praxiserprobt und bieten einen gemanagten, umfassenden Schutz mit hohem Wirkungsgrad.

Die von unserem Partner NetGo vermarkteten und betreuten Firewalls setzen zudem das sog. TINA Protokoll ein, dass bei Einsatz von Backup-Geräten (z. B. einem LTE-Router) automatisches Fallback und automatisches Fall-Forward auf die Hauptleitung bietet. Fragen Sie gern die Kollegen aus unserem Vertriebsteam Cloud&Technologies für Details. Im Rahmen unseres Cloud-Readiness-Checks erhalten Sie zudem ein Firewall-Konzept.

Unser Firewall-Partner, die NetGo berät Sie hier gern

PDF24 Creator sinkt in Bewertung

Update mit Version 11.10.0: Nun kann man Webview2 bei der Installation abwählen. Ist diese Komponente bereits in Windows aktiv, wird diese verwendet. Das hat den Vorteil, dass die Installation von Microsoft automatisch aktualisiert wird und die Installationsdateien des Edge Browsers verwendet. Es gibt somit keine doppelten Bibliotheken mehr im System. Liebe Entwickler von #PDF24 Creator: Jetzt braucht Ihr nur noch JAVA ebenfalls optional zu machen. Wenn man JAVA abwählt, muss die Verbinden-Funktion wieder QPDF verwenden und am Besten das Toolbox Symbol ausgeblendet werden. Dann habt Ihr auch wieder die Gunst aller Anwender, die so ticken die Redaktion – und unsere 10 Punkte Bewertung wieder.

Seit Version 11.2 wird auch für Funktionen wie die Datei-Tools JAVA genutzt. Löscht man den enthaltenen JRE-Ordner, muss nun Adoptium Temurin JAVA Runtime 19/64-Bit installiert sein und alle drei Monate von Hand aktualisiert werden. Immerhin funktioniert OpenJDK (Adoptium Temurin) und es muss kein lizenzpflichtiges JAVA von Oracle sein. Gleiches gilt für die WebView2 Engine – und das obwohl Microsoft diese, wenn Edge installiert ist, aus demselben Ordner wie den Browser nimmt. Mit PDF24 Creator kommt also nochmal eine Webview Runtime auf das System, die nicht im Rahmen des Browsers automatisch aktualisiert wird.

PDF24Creator auf TerminalServern bzw. in AVD-Umgebungen automatisiert auf dem aktuellen Stand zu halten ist eine besondere Herausforderung und funktioniert ohne Profiwerkzeuge eher mäßig.

Stattdessen die Version 9.x (die noch nicht diesen mächtige Overhead der beiden Runtimes enthielt), ist keine Alternative, da erst mit Version 10 die echte 64-Bit-Umgebung und Bereinigung der 32-Bit-Registry-Einträge erfolgte.

Wer den PDF24-Creator als schlankes Werkzeug zum Zero-Click PDF-Erstellen beim Drucken verwenden möchte und aus der GUI alle Funktionen inklusive verbinden von Dateien, Extrahieren einzelner Seiten, Web-Optimierung, Bilder extrahieren und nicht die Toolbox benötigt, bleibe bitte bei Version 11.1.0.0 und behalte das Changelog im Auge, ob künftige Versionen Sicherheitslücken schließen. Ist das der Fall, wird man ein Riesen-Trümmer zum PDF erstellen auf Rechnern (oder Terminalservern) haben oder sich nach was Anderem umsehen müssen.

Version 11.1.0 kann hier beim Hersteller heruntergeladen werden.

Dieser Artikel ist ein Kommentar mit der Meinung der Redaktion

Erneut Zero-Day Lücken in Exchange - Update

Update vom 12.10.2022: Laut Microsoft wurden die untenstehenden Lücken mit einem aktuellen Patch für Exchange Server zum Oktober-Patchday bereitgestellt. sie sollten umgehend installiert werden. Leider wurde zeitgleich eine weitere Sicherheitslücke bekannt. Für diese 0-Day-Lücke gibt es noch keinen Patch und sie ist ebenfalls kritisch. Der Exchange Server im eigenen Serverraum bleibt damit (vermutlich von Microsoft so gewollt, denn die Cloud-Lösung ist wieder einmal nicht betroffen) ein unsicheres Fahrwasser.

#Hafnium 3.1: Wieder wurden #Sicherheitslücken in #Exchange Servern 2013,2016 und 2019 entdeckt. Betroffen sind mit Sicherheit auch ältere Versionen – dafür werden aber keine Patches mehr bereitgestellt. Microsoft hat die Sicherheitslücken (CVE-2022-41040, CVE-2022-41082) bestätigt.

Hinweis: Die Online-Version im Rahmen von Microsoft 365 / Exchange online ist laut Microsoft nicht betroffen.

Da es aber für die Exchange Server Versionen 2013-19 noch keinen Patch gibt und die Lücken bereits von Kriminellen ausgenutzt werden, stellt Microsoft einen Notfall-Patch bereit, der unbedingt von Administratoren auf betroffenen Servern installiert werden sollten.

https://microsoft.github.io/CSS-Exchange/Security/EOMTv2/

Microsoft Workaround gegen Sicherheitslücke und Anleitung

https://www.microsoft.com/security/blog/2022/09/30/analyzing-attacks-using-the-exchange-vulnerabilities-cve-2022-41040-and-cve-2022-41082/

Erweiterte Anleitung, die Sicherheitslücke zu schließen, da der erste Fix nicht ausreicht

Zeiterfassungspflicht neu aufgewärmt

Bereits im Mai 2019 wurde vom Europäischen Gerichtshof beschlossen, eine Verpflichtung zur #Zeiterfassung für Unternehmen einzuführen. Im September 2022 stützte das Bundesarbeitsgericht diese Entscheidung, indem zur Zeiterfassungs-Pflicht ein eigenes Urteil aussprach.

Grundsätzlich besteht die Pflicht also schon ab 2019, wurde aber jetzt erst in nationales Recht umgesetzt. Viele von Ihnen setzen Software oder Web-Lösungen (und Stempelterminals) zur Zeiterfassung bereits ein, es gibt aber viele Fälle, insbesondre im KMU (kleine und mittelständische Unternehmen), deren Mitarbeitende noch keine Zeiten erfassen.

Zur Einführung (bzw. generell) gilt: Stimmen Sie die weitere Vorgehensweise mit einem Fachanwalt, Ihrem Datenschutzbeauftragten und – sofern vorhanden – Ihrem Betriebsrat ab.

Die einfachste Methode (sofern die o.g. Bedingungen das erlauben) sind „Stundenzettel“, die monatsweise händisch erfasst und dann von der Personalabteilung bzw. den Personalverantwortlichen archiviert werden. Im Zeitalter der Digitalisierung nicht empfehlenswert.

Die (nur) für zertifizierte Syskos kostenlos herunterladbare Excel-Vorlage ermöglicht das Erfassen der Zeiten über ein ganzes Jahr hinweg. Zusätzlich können (müssen aber nicht) Urlaubstage und Gleitzeittage eingetragen werden. Mit Excel-Formeln wird berechnet, wie der Gleitzeitsaldo ist und farblich markiert, wenn gegen gesetzliche Vorgaben verstoßen wird (>10 Stunden etc.). Verwenden Sie dazu bitte dasselbe Kennwort wie für den Zugriff auf Ihre Unterlagen.
Das Plugin bietet Ihnen zusätzlich die Möglichkeit hausinterne Veranstaltungen oder ein eigenes #Desksharing mit Buchungsmöglichkeit für Schreibtische/Arbeitsplätze zu realisieren.

  Mo. 26. Sep. 2022 11:55 vor 3 Jahren570 kB 0s@300MBit6

Programme  

Zeiterfassung – Stempelvorlage/Rechner

Datei herunterladen Mo. 26. Sep. 2022 11:55 vor 3 Jahren

Neu! Jetzt auch als Wordpess Plugin zur Online-Erfassung von Zeiten und Auswertung in Ihrem Intranet. Den Quellcode und den Code-Download finden Sie hier.

Kritische Sicherheitslücke in sophos Firewalls

Kein Produkt, das wir unterstützen – dennoch kommen sophos Drittanbieter-Firewalls häufiger im beobachteten Umfeld vor.

Aktuell haben eine größere Anzahl von sophos Firewalls eine kritische Sicherheitslücke, die es Angreifern ermöglicht, in das Nutzerportal und die Admin-Weboberfläche Schadcode zu injizieren.

Betroffen sind die Sophos Firewalls 9.0 MR1 (19.0.1) und ältere Versionen. Dagegen gibt es von sophos die Hotfixes 19.0 GA, MR1 und MR1-1, 18.5 GA, MR1, MR1-1, MR2, MR3 und MR4, 18.0 MR3, MR4, MR5 und MR6, 17.5 MR12, MR13, MR14, MR15, MR16 und MR17 sowie 17.0 MR10, 18.5 MR5 (18.5.5), 19.0 MR2 (19.0.2) und 19.5 GA .

Für ältere Softwareversionen stellt Sophos laut der Sicherheitsmeldung keine Hotfixes bereit, sondern verweist darauf, dass Administratoren ein (meist kostenpflichtiges und bei den ganz alten Firewalls wegen mangelnder Hardwareausstattung nicht möglich) Upgrade vornehmen müssen.

Zur Absicherung Ihrer Firewalls wenden Sie sich bitte an Ihren Dienstleistenden oder diejenigen, die Ihre sophos Firewalls managen.

Für eine Anbindung an Microsoft Azure (IaaS Cloud) sind ohnehin nur die leistungsfähigeren XG-Modelle von sophos geeignet. Sobald man Azure Virtual Desktop als Nachfolger der Terminalserver/Citrix) einsetzt, benötigt man ohnehin eine CloudGen-Firewall und pro Standort eine kleine VPN-Box zur sternförmigen VPN-Anbindung

Die von unserem Partner NetGo vermarkteten und betreuten Firewalls setzen das sog. TINA Protokoll ein, dass bei Einsatz von Backup-Geräten (z. B. einem LTE-Router) automatisches Fallback und automatisches Fall-Forward auf die Hauptleitung bietet. Fragen Sie gern die Kollegen aus unserem Vertriebsteam Cloud&Technologies für Details. Im Rahmen unseres Cloud-Readiness-Checks erhalten Sie zudem ein Firewall-Konzept.

Neue MDE-Geräte Almex TC601B

Die aktuelle Generation der #ALMEX #MDE Geräte im Rahmen unserer #Kassenschlager ist das Modell TC-601-B. Wie der Vorgänger zeichnet sich das Gerät durch zertifizierte Schlagfestigkeit und Robustheit aus. Der integrierte Barcode-Scanner ist nun von Honeywell und die Display-Größe wächst auf 6 Zoll.

Highlights sind eine Lade/Dockingstation mit integriertem Ladefach für den Akku oder einen Ersatzakku. Der Akku im Gerät ist wechselbar, die Anschlussart USB Typ C mit separaten Schnelladekontakten für die Dockingstation.

Die Betriebsarten sind wie bisher offline und online, d.h. über die Offline App, die Dynamics365 BC App oder über RDP gegen einen Terminalserver (nur alte BC-Versionen bis BC140)

Datenblätter haben wir hier für Sie bereitgestellt.

Die Apps und die Windows-Datenübertragungsprogramme (MDE-Sync) sind nicht kompatibel mit denen der Vorgänger (Almex Ti/Tx und Sykeye.allegro). Auf einem PC lassen sich aber mehrere MDE Syncs betreiben. Achten Sie dann darauf, dass immer das richtige Programm aufgerufen wird oder verwenden Sie verschiedene Entlade-PCs

Sysko-Hinweise MDE

VLC Plus Player – Adware

Neulich entdeckt beim Software-Scan. Es tauchte in der Softwareliste statt des bekannten quelloffenen „VLC Media Player“ von videolan.org ein VLC Plus Player von vlc.de oder andere Varianten und Namen auf.

Letztgenanntes Programm basiert zwar auf der aktuellen Version vom VLC Media Player, enthält aber einen anderen Installer und anderes Logowork. Statt des „Baustellen-Pylons“ ist das Symbol ähnlich gefärbt und wie ein Vorfahrtschild gestaltet. Zusätzlich wird Adware im Setup mit ausgeliefert und die Anbieter verstoßen gegen die GPL-Lizenz, indem sie den modifizierten Quell-Code vom Programm und Setup-Skript (.nsis) nicht veröffentlichen. Ublock Origin sperrt mittlerweile diese und andere Webseiten und damit die Downloadmöglichkeit. Als Herausgeber fungiert eine „Aller Media eK“.

Leider bekommt man bei der Google (oder BING) Suche nach „VLC“ immer noch die Fake-Versionen als erstes angeboten. Es gilt jedoch „Finger weg davon“.

Wir warnen ausdrücklich davor, solche Abwandlungen des Originals einzusetzen. Als Media-Player empfehlen wir weiterhin den Download des Originals. Wenn Sie Abarten des Programms in Ihrem Netzwerk finden, deinstallieren Sie diese umgehend. Im schlimmsten Fall reicht das nicht aus, weil der Installer Adware im System mitinstallliert hat. Hier hilft nur das Neu-Aufsetzen der betroffenen Geräte.

https://download.videolan.org/pub/videolan/vlc/last/win64/

Die „.exe“ oder die „.msi“ Zeile sind die möglichen Installationsprogramme. Direkter Download Link der Windows 64-Bit Version vom Original-Projekt

Word – Mustertexte erzeugen

Manchmal benötigt man zum Beispiel für einen Artikelentwurf Fülltext, bevor die richtigen Inhalte eingesetzt werden. So kann man im Vorfeld schon sehen, ob das Bildschirm- oder Drucklayout nachher passt.
Man nennt diese Texte auch „Blindtexte“.

Hierzu kann man in Word drei Möglichkeiten auswählen, welcher Text und wie viel gesetzt wird. Was viele noch nicht wissen (auch das Pseudo-Latein ist möglich):

• lorem(A,S) oder lorem(A)
• rand(A,S) oder rand(A)
• rand.old(A,B) oder rand.old(A)

Dabei sind „A“ die Anzahl der Absätze, die erzeugt werden und (optional) „S“ die Anzahl der Sätze innerhalb jedes Absatzes.

Der Lorem-Text sieht aus wie Latein – ist es aber nicht. Er enthält Fantasiewörter

Bei „rand“ wird ein Text aus der Word-Hilfe (Einbinden von Videos) kopiert (Je nach Sprache von Word in der ausgewählten Landessprache)

Achtung lustig! Nimmt man rand.old, kommt die deutsche Variante von „the quick brown fox jumps over the lazy dog“ zum Einsatz: „Franz jagt im komplett verwahrlosten Taxi quer durch Bayern“. Beides sind Sätze, die alle Buchstaben des Alfabets (A-Z) mindestens einmal enthalten.

Funfacts zu Word, Blindtexte

UEFI-Sicherheitslücke in Notebooks und PCs

vor einigen Monaten sorgte eine kritische Sicherheitslücke in lenovo Consumer Notebooks für Handlungsbedarf. Nun wurden auch Sicherheitslücken in den UEFI (BIOS) anderer Hersteller entdeckt und es sind auch neuere Thinkpads und auch die bekannte Tiny ThinkCentre Reihe betroffen.

Sofern Sie die Windows 10 App „lenovo Vantage“ installiert und in Betrieb genommen haben (Bedingungen bestätigen beim ersten Aufruf), sollte die App über das veerfügbare Sicherheitsupdate informieren und dringend die Installation empfehlen. Wenn nicht, oder wenn nur SystemUpdate installiert ist, aber nicht regelmäßig nach Updates sucht, stehen die betroffenen Modelle in der folgenden Liste (hier gefiltert auf Thinkpads – suchen Sie nach ThinkCentre und Sie finden auch die Tiny Modelle, die aktualisiert werden müssen.

lenovo Multi Vendor BIOS Security Vulnerabiliies Patch Liste

https://support.lenovo.com/de/en/product_security/LEN-94953#ThinkPad

Neuigkeiten und interessante Themen ./.

Etwa seit Windows 11 veröffentlicht wurde, hat Microsoft mit einem Windows 10 Update eine neue Funktion namens „Neuigkeiten und interessante Themen“ in die Taskleiste installiert. Im Hintergrund werden die MSN-Webseiten von Microsoft zahlreich aufgerufen. Angezeigt wird bestenfalls das Wetter in der Taskleiste (Symbol und Temperatur/Zustand).

Seit neuestem wird immer wieder die Wetterzeile in der Taskleiste durch das Word „Nachrichten“ ersetzt. Klickt man darauf, wird eine „Eilmeldung“ angezeigt – und erst, wenn man die wegklickt, erscheint wieder das Wetter. Die Aktualisierung des lokalen standortbezogenen Wetters klappt neuerdings auch nicht mehr zuverlässig. Sow wurde heute nachmittag die Temperatur (und die Mondsichel) von letzter Nacht angezeigt.

Zusätzlich werden in dem Popup viele Nachrichtenquellen heruntergeladen und angezeigt, die mich nicht interessieren. Leider kann man die Nachrichten nicht komplett abschalten (sondern nur einzelne von über 250 Kanälen blockieren) und sich nur auf das Wetter konzentrieren. Daher habe ich mich entschlossen, die Clickzahlen von Microsoft nicht mehr zu sponsern und unerwünschten Inhalt nicht länger zu dulden.

Dazu gibt es einen Registry-Eintrag (auch als Gruppenrichtlinie verfügbar):

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Feeds] "EnableFeeds"=dword:00000000

Einmal gesetzt, wird das Element in der Taskleiste abgeschaltet und lässt sich auch nicht über die rechte Maustaste wieder aktivieren. An sich für Unternehmen gedacht, die Werbung weitgehend unterbinden möchten. Nach ersten Tests funktioniert der Registry Schlüssel auch für die Pro Versionen, nicht nur für Enterprise.

Wer sowieso viel mit einem Chromium-basierten Browser unterwegs ist und die Wetterinfo kostenlos und werbefrei oben rechts in der Erweiterungen-Leiste sehen möchte, aktiviert einfach die Chrome-Erweiterung: UVWeather.

Windows Registry Editor Version 5.00

https://chrome.google.com/webstore/detail/uv-weather/ngeokhpbgoadbpdpnplcminbjhdecjeb?hl=de

Kleiner Fun-Fact am Rande: Wer möchte, kann in Outlook ab Version 2013 bzw. 365 die Wetterleiste im Kalender anzeigen lassen. Diese ist (bis jetzt) werbefrei und zeigt das 5-Tage-Wetter des eingegebenen Standorts an. Dazu muss unter den Optionen/Trustcenter in den Trustcenter-Einstellungen unter Datenschutz „Erfahrungen aktivieren, die Onlineinhalte herunterladen“ aktiviert werden.

IGEL Thin-Client Doku und Azure

Um eine Aufstellung aller verwendeten und in der #Igel Verwaltungssoftware UMS registrierten #Thin-Clients zu bekommen, meldet man sich an der UMS-Oberfläche an und geht mit der rechten Maustaste auf „Views“:

2. Unter Views, einen neuen View erzeugen „Alle-igel“
3. Das Attribut „Arbeitsspeicher“ auswählen – im folgenden Dialog keinen Filter eingeben
4. View fertigstellen
5. Weitere Spalten wie Produkt, Version, Unit-ID, Gerätetyp, CPU-Geschwindigkeit, CPU-Typ,. Flashspeicher, Arbeitsspeicher, Grafikspeicher einblenden (Dreipunktemenü rechts an den Spaltenüberschriften)
6. Rechte Maustaste auf den View „Alle-Igel“ links in der Navigation
7. Als „csv“ Datei abspeichern!
8. Damit sind alle relevanten Informationen in der „csv“ Datei und lassen sich in Excel als Tabelle formatieren

In der Spalte Version (Tabelle in Excel sortieren) lassen sich die für Azure Virtual Desktop #AVD benötigten Mindestfirmware-Versionen 11.04 qualifizieren. Geräte mit älterer Firmware können entweder bei gültigem Wartungsvertrag aktualisiert werden oder sind aufgrund der Hardware nicht für den Einsatz geeignet und müssen ersetzt werden.

Checkpunkt Azure: Futros von Fujitsu sind generell nicht einsetzbar, Igels nur ab Firmware Version 11.03.261 oder neuer
https://kb.igel.com/igelos-11.03.500/en/how-to-connect-igel-os-to-windows-virtual-desktop-28251665.html
Liste der Modelle, die aktualisiert werden können:
https://kb.igel.com/igelos-11.03.500/en/igel-devices-that-can-be-upgraded-to-igel-os-11-27245464.html

https://igel.com

OpenAudit Classic Netzwerke

Das quelloffene Werkzeug für Hard- und Software-Inventur hat einige neue Funktionen bekommen.

• Über das Menü: Administrator / IP-Liste erzeugen kann eine Kommagetrennte Liste von Netzwerken in das Eingabefeld kopiert werden. Daraus wird beim Abschicken automatisch die pc_list_file.txt im scripts Ordner erneuert. Nach dieser Liste geht OpenAudit Classic vor und ermittelt das Inventar
• Herausfinden der Zweigstellen-IP-Kreise: Nachdem der erste OpenAudit Scan gelaufen ist, unter Sonstige Geräte / Printers IPv4 schauen. In der Spalte Port tauchen die IP-Adressen der Standortdrucker auf. Hat man im Active Directory beim Drucker auch den Standort dokumentiert, lassen sich so auch die Standortbezeichnungen ablesen. Diese (IP und Standort) können beispielsweise in die „00-kunde-Netzwerk-ips-leitungen.xlsx“ Datei für Dokumentationen kopiert werden.
• Nach dem ersten Scan wird auch der Windows-Domänenname (meist vollständig als FQDN) in der Systeme Liste angezeigt
• Unter „Sonstige Geräte / Gateways“ kann man herausfinden, auf welchen Wegen das Unternehmen vernetzt ist.
• Der Softwarevergleich hat nun weitere Produkte in der Liste und nimmt eine Bewertung vor: (S) bedeutet, dass die Software auf einem Server gefunden wurde, (c) auf einem Windows 10 Client (oder AVD), bzw. in einer RDS-Sitzung, (x) steht für die Empfehlung, die Software zu deinstallieren oder die Erfordernis, wenn benötigt, Lizenzen dafür vorzuweisen. S,c und x können kombiniert auftreten (sc, sx, cx beispielsweise)
  Disclaimer: Es lassen sich keine Aussagen darüber treffen, ob der Betrieb der Software vom Hersteller als kompatibel eingestuft wird und auch nicht, ob die Software auf einem neueren Betriebssystem lauffähig ist. Meist muss sie dafür kostenpflichtig aktualisiert werden.
• Das aktuelle Release von #OpenAudit Classic geht heute im Laufe des Tages online und ist unter den Downloads zu finden. Dabei wurden auch die Systemkomponenten wie PHP, MariaDB(MySQL) und die Runtimes auf den aktuellen Stand gebracht. Details in der Software-DB.

Diashow Serverräume BSI Grundschutz

Folder Slider Fehler: Verzeichnis nicht gefunden wp-content/uploads/bilder/0000-xx-hardsv-bsi

Checkboxen in Word? lieber doch nicht

In Word aus Microsoft 365 Abonnements kann man die Registerkarte „Entwicklertools“ auch als Non-Developer einschalten. Damit lassen sich ankreuzbare Felder – genannt Checkboxen – im Word-Text unterbringen. So können beispielsweise Checklisten „hübsch“ zum Ankreuzen gestaltet werden:

Ankreuzfeld, schick

Warum das keine gute Idee ist, dieses schon vielfach im Internet von anderen Seiten gezeigte Feature von Word 365 zu nutzen?

• Sortierung

Um Checklisten und Fragenkataloge wirklich barrierefrei zu gestalten, empfehle ich daher, mit den „eckigen Klammern“ zu arbeiten:

[] nicht angekreuztes Feld
[X] angekreuztes Feld

Sieht zwar nicht ganz so schick aus, ist aber sogar mit Wordpad bearbeitbar. Ob man die Boxen noch Fett formatiert, sei jedem überlassen. Ich habe meine Checklisten und Fragenkataloge heute (ohne Fettdruck) auf das ASCII-Art Verfahren umgestellt. Allen, die sich gemeldet haben, vielen Dank für Ihr Feedback.

Microsoft übersetzt Chassis-Typen

Mal was zum Schmunzeln: Mit dem Windows Management Instrumentarium, kurz WMI kann man beinahe alle Informationen über Hardware und Software eines Windows Endgeräts oder -Servers abfragen. Im DOCS Artikel auf den Microsoft-Seiten springt beim Aufruf aus deutschsprachigen Regionen die automatische Übersetzung an und führt zu kuriosen Ergebnissen:

Pizzabox (5), Miniturm (6), Turm (7), Notizbuch (10), Hand gehalten (11), Alles in One (13), Unternotizbuch (14), Platz sparen (15), Mittagessen box (16), Hauptsystem-Gehäuse (17), Buserweiterungs-Chassis (20), Versiegelter PC (24), Tablette (30), Cabrio (31), Trennbar (32)

Mein Lieblings-Gehäuse ist die Mittagessen box, bei schönem Wetter nehme ich natürlich das Cabrio. Wer umweltgerecht unterwegs sein möchte, nimmt das Buserweiterungs-Chassis mit 9-Euro Ticket. und zum Schach spielen Turm oder Mini-Turm. Derzeit arbeite ich allerdings mit einem „Alles in o(h)ne“. Sicher im Internet unterwegs ist man nur mit einem „versiegelten PC“.

Microsoft Docs zur WMI Klasse

https://docs.microsoft.com/de-de/windows/win32/cimwin32prov/win32-systemenclosure

Clipart kostenlos von Microsoft

Seit etwa einer Woche liefert Microsoft neue, animierte 3D-Emojis in Teams aus. Seit längerem lassen sich mit Windows 10 über die Tastenkombination Windows&Punkt Emojis und andere Symbole in E-Mails und andere Anwendungen einfügen.

Neu ist, dass die „FluentUI Design Icons“ unter einer MIT-License (diese ist Open-Souce und hat keine Einschränkungen hinsichtlich der Nutzung, Veränderung oder Verwendung) freigegeben sind.

Es handelt sich um etwa 3.100 Symbole aus allen Bereichen. Dazu zählen nicht nur zahlreiche Emojis und Gesten, sondern auch Symbole aus dem Alltag, die beispielsweise Artikel in einer Internetseite aufwerten bzw. strukturierter lesbar gestalten können. Die Bilder liegen im 256×256 Pixel PNG Format vor.

Wer also die Clipart verwenden möchte, kann dies gern tun.

Github Ressource. Über Code/Download kann die Clipart heruntergeladen werden.

https://github.com/microsoft/fluentui-emoji

August-Patchday schließt 0-Day-Lücken

Der diesjährige August #Patchday von Microsoft verdient besondere Aufmerksamkeit. So wurden am Dienstagabend unter anderem zwei kritische #Sicherheitslücken geschlossen, die als 0-Day-Lücken bezeichnet werden.

Zero-Day-Lücken sind Sicherheitslücken, die schon im Internet von Kriminellen genutzt werden, um Kontrolle über angegriffene Systeme zu bekommen oder Datendiebstahl zu begehen. Dazu müssen sie nicht einmal die Firewall überwinden. Vielfach reicht es aus, auf einer (gehackten) Website Schadcode zu hinterlegen, die der ahnungslose IT-User „ansurft“.

Nur Firewalls der aktuellen Generation mit Advanced Thread protection und SSL-Interception schützen weitgehend davor – aber nur, wenn Sie die Methoden kennen – was bei 0-Day-Lücken nicht immer der Fall ist.

Kontrollieren Sie bitte, dass zeitnah auf Windows 10 (Windows 11 ist auch betroffen, sollte aber, wenn Sie unserer Empfehlung folgen, nicht im Einsatz sein) und den Windows Servern installiert sein. Die Toleranzzeit für Versicherungen beträgt normalerweise 7 Tage (ab Patchday, 2. Dienstag im Monat, 19:00 ME(S)T).

Edge nervt mit Standardbrowser-Popups

wer Google Chrome für Enterprise als Standardbrowser einsetzt (wie empfohlen) und Microsoft Edge als „Ersatzbrowser“ und zur Absicherung des Betriebssystems wird sich sicherlich schon geärgert haben, dass Edge andauernd ein Popup oben einblendet, das empfiehlt, Edge zum Standard-Browser zu machen.

Nein, Microsoft – wenn ich einmal NEIN ankreuze, möchte ich nicht mit jedem Browser-Update wieder diese Meldung haben.

Zum Glück gibt es Abhilfe:

edge://flags/#edge-show-feature-recommendations

Dieser Schalter kann auf „disabled“ gesetzt werden und schon ist (hoffentlich dauerhaft) Schluss mit den „Edge zum Standard machen“ Popups.

Zusätzlich sollte die folgende Gruppenrichtlinie aktiviert bzw. der Registry Schlüssel gesetzt werden:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"SmartScreenEnabled"=dword:00000001
"DefaultBrowserSettingEnabled"=dword:00000000

Ich wünsche mit auch einen solchen Schalter für die Teams Free Version und für Onedrive in der kostenlosen Version – denke aber der wird dort nicht kommen 😛

BSI-Werkzeug gegen Telemetrie

Jedes Windows System telefoniert, wenn das nicht bei der Installation, im Assistenten bei der ersten Anmeldung oder per Gruppenrichtlinie verhindert wird, nach Hause. Da das Zuhause in den vereinigten Staaten liegt, könnten die gesammelten Informationen aus datenschutzrechtlichen Gründen kritisch sein. Zu Telemetrie-Daten zählt nicht nur der Standort, sondern auch eine eindeutige ID des Endgerätes, Version, Patchlevel, mitunter sogar Nutzungsverhalten, Fehlerprotokolle und viele Statistik-Daten, die nicht übertragen werden sollten.

Wer das verhindern möchte (Admins oder auch die Anwender am Gerät), bekommt nun Unterstützung vom Bundesamt für Sicherheit und Informationstechnik (kurz: BSI).

Eine Sammlung von Gruppenrichtlinien

Gruppenrichtlinien zur Einschränkung der Telemetrie

System Activity Monitor

BSI-Internetseiten

Auf den Webseiten wird auch die Benutzung erklärt. Wenn Sie das Ganze über die Windows Einstellungen abschalten möchten, finden Sie es unter: Wählen Sie das Menü Start  aus, wählen Sie dann Einstellungen  > Datenschutz aus. Betrachten Sie ALLE Untermenüs und wählen die von Ihnen gewünschten Einstellungen aus (Empfehlung so viel wie nötig und sie es zu Ihrem Komfort gebrauchen, so wenig wie möglich).

Lenovo UEFI Firmware-Lücken nicht in Thinkpads

Wieder einmal haben Sicherheitsforscher in zahlreichen lenovo Notebook-Modellen kritische Sicherheitslücken entdeckt, die durch Firmware-Updates des Herstellers geschlossen wurden.

Die gute Nachricht. Im geschäftlichen Umfeld setzen wir ausschließlich Notebooks der „ThinkPad“ Serien ein, die nicht nur bessere Verarbeitung und Robustheit aufweisen, sondern auch wertige Chipsätze und im Wesentlichen gut verarbeiteter Firmware. Zwar kann bei einem Firmware-Update auch hier was schief laufen – dafür gibt es aber die Zaubertaste, die so manchen Technikereinsatz/Mainboardtausch überflüssig macht.

Fazit

Wer Thinkpads (oder Thincentre Tiny) Geräte einsetzt, braucht keine Sicherheitslücken zu schließen und ist von den Lücken nicht betroffen. Wer dennoch die Consumer-Serie (ThinkBook und „Yoga ohne Thinkpad“ einsetzt, kann im folgenden Artikel lesen, was zu tun ist

https://support.lenovo.com/de/de/product_security/len-91369

lenovo Supportseiten für Consumer Geräte

Alte Windows-Server nicht mehr erreichbar

Mit dem Juni 2022 kumulativen Update für alle derzeit unterstützten Windows Server ab Version 2012 R2 aktiviert Microsoft DCOM Server-Sicherheitsfeatures, die die Kommunikation mit Servern, die am Ende der Laufzeit (EOL) für Sicherheitsupdates sind oder ein bereits im Juni 2021! veröffentlichtes Update NICHT installiert haben.

Betroffene Server können beispielsweise von der Datensicherungssoftware nicht mehr erreicht werden, sind also nicht mehr gesichert. Auch Monitoring-Programme können diese Server nicht mehr überwachen. Mehrere andere Programme können die Server nicht mehr erreichen, weil nur eine gesicherte DCOM Kommunikation erlaubt ist.

Workaround währt nicht lange

Derzeit kann man über eine Gruppenrichtlinie für die Server ab 2012 R2 die Kommunikation zwar wieder einschalten, mit dem Patchday im März 2023 wird aber auch dieser Schalter abgestellt. Wie der Workaround funktioniert, ist im verknüpften Microsoft Artikel beschrieben

Nachhaltige Lösung

Wer noch Windows Server 2008 R2 einsetzt, sollte sich Gedanken über die darauf installierte Software machen und diese Produkte ablösen. Auch die Laufzeit von 2008 R2 in der Azure Cloud (und im ESU-Modell) ist mit Ende 2023 fest.

Zum Modernisieren können Server in Microsoft Azure als Mietmodell eingesetzt werden oder neue Hardware mit OEM-Betriebssystem-Lizenzen beschafft werden. In jedem Fall sollten Sie sich kurzfristig von nicht mehr unterstützten Servern trennen und mittelfristig auch von Server 2012 R2 Instanzen. Im letzteren Fall ist die Azure Cloud eine Möglichkeit, zumindest Server 2012 R2 länger als bis September 2023 einzusetzen, falls unbedingt notwendig.

Fazit

• Schaffen Sie Windows Server 2008 R2 Systeme ab und modernisieren diese durch Neuinstallation in Azure oder Neubeschaffung On-Premises.
• Sorgen Sie bei allen Servern ab 2012 R2 für monatlich aktuelle Updates. Versicherungen kürzen die Leistung im Schadenfall, wenn die Patches nicht monatsaktuell (mit Toleranzzeit von einer Woche) installiert sind.
• Übergangsweise können Sie auf den Servern den Registry-Schlüssel setzen. Das verschafft Ihnen Zeit, zu modernisieren

Microsoft-Artikel KB5004442 zu den Sicherheitsänderungen

https://support.microsoft.com/de-de/topic/kb5004442-verwalten-von-%C3%A4nderungen-f%C3%BCr-die-umgehung-von-windows-dcom-server-sicherheitsfeatures-cve-2021-26414-f1400b52-c141-43d2-941e-37ed901c769c

OpenAudit Classic Software-Vergleich

Der aktuelle Build 2022-07-10 von #OpenAudit Classic kann nun die PB Softwareliste über das Admin-Menü importieren und vergleicht installierte Software-Versionen mit der importierten Dateiversion. So lässt sich prüfen, ob die installierte Basis einen mit der importierten Datei aktuellen Stand hat. In der Softwareliste werden alte Versionen rot gekennzeichnet, ist die Version auf dem importierten Stand: grün.

Eine Spalte mit Beschreibungen zu in der importierten Liste gefundenen Produkte, sowie eine Lizenzart-Spalte wurden in der Softwareliste ergänzt. Die Spalten der Hardwareübersicht wurden umsortiert, so dass zuerst die logischen Cores (z.B. einer VM oder eines Azure virtuellen Servers) angezeigt werden, dann Prozessortyp und cpu Sockets und physikalische Cores (vcpu).

BSI Tipps nicht nur vor dem Urlaub

In einem aktuellen Twitter-Post gibt das Bundesamt für #Sicherheit in der Informationstechnik, kurz #BSI Tipps zur Vorbereitung der digitalen und social Umgebung vor dem Urlaub:

Zitat: „Überprüft die Privatsphäre-Einstellungen eurer Social-Media-Accounts
Schaltet Standortinformationen nur ein, wenn ihr sie braucht
Macht ein Backup eurer Daten und speichert eine Kopie auf einem externen Datenträger
Schützt elektronische Geräte mit einem sicheren Passwort oder PIN-Code
Installiert alle Updates auf euren Geräten“

https://twitter.com/BSI_Bund

Mehr Details auf einer eigenen Seite beim BSI

Diese Empfehlungen kann man nicht nur vor den Ferien beherzigen, sondern grundsätzlich. Da es eher selten vorkommt oder unerwünscht ist, den Laptop mit in den Urlaub zu nehmen und das „Dienstabteil“ im Handy geschlossen/inaktiv sein sollte, werden dienstliche Telefone bei erlaubter privater Nutzung gern verwendet.

Gerade hier sollte die Sicherheit auch ganz oben angesiedelt sein. Denn obwohl in den meisten Fällen die Datenbereiche strikt getrennt sind, ist dennoch die Hardware bei einem Angriff kompromittiert und private Daten verloren.

Für Ihre Mitarbeitenden hat die Redaktion ein kleines Quiz zur Selbsteinschätzung vorbereitet. Hier können sie sich selbst testen, wie gut und sicher sie mit dem Thema umgehehen.

Dynamics 365 BC ab V17 - Chromium Bug

Im Chromium-Projekt, auf dem der empfohlene Browser für gevis ERP | BC (auf Basis von Microsoft Dynamics Business Central ab Version 17): „Google #Chrome für Enterprise“, sowie Microsoft New #Edge aufbauen, ist mit „Stable Release“ Version 103 ein Fehler in der Interpretation von CSS-Dateien (CSS-Rendering) programmiert worden. Damit erscheinen „Schiebeschalter-Elemente“ in Masken im Browser an den falschen Stellen oder sind gar nicht sichtbar.

Das Microsoft Dynamics 365 BC Team hat in seinem BLOG einen Workaround beschrieben:

Gehen Sie dazu mit adminstrativen Rechten auf alle Service Tier Server (NSTx) und öffnen jeweils den Pfad (für „Instance setzen Sie z. B. „bc-180-client-prod“ oder „bc-170-client-test“ – je nach eingesetzter BC Version):

Im Editor öffnen >
"C:\inetpub\wwwroot\“Instance“\wwwroot\Resources\desktopPreview.css"

Beispiel >
"C:\inetpub\wwwroot\BC180-Client-Prod\wwwroot\Resources"

und folgenden Eintrag entfernen (dann vorher die Datei sichern) oder auskommentieren (/* davor und */ dahinter) >
/* .booleancontrol-toggle-switch-container .edit-container .input-wrapper{display:inline-flex;align-items:center;min-height:28px} */

Obwohl Firefox den Fehler nicht hat, ist es nicht zu empfehlen, übergangsweise Firefox als Standardbrowser zu deklarieren. Auch deshalb keine gute Idee, weil s.dok Archiv und s.scan einen Chromium-basierten Browser voraussetzen und mit Firefox das Archiv nicht funktioniert. Immerhin ist der Fehler im Projekt erkannt und ist bereits in der jetzigen „Canary“ Betaversion der beiden Browser Edge und Chrome behoben.

Es ist zu erwarten, das frühestens mit Release 104, spätestens mit Release 105 der Fehler behoben sein wird und dann die Änderung in der CSS-Datei rückgängig gemacht werden kann.

Artikel im Microsoft Blog

Microsoft Blog pages

Windows 10 22H2 kommt im Herbst

Mit dem optionalen Juli-Update erhöht sich der Update-Zähler der Windows 10 Version auf 1865. Zusätzlich gibt Microsoft damit bekannt, dass im Herbst einige aktualisierte Funktionen (welche das sind, ist noch nicht bekannt) auch in Windows 10 implementiert werden.

Das Ganze ist wieder ein „kleines“ Update, das bedeutet neben den monatlichen #Sicherheitsupdates und den Fehlerkorrekturen zwei Wochen danach wird es zum September oder Oktober Patchday wieder ein „Enablement-Package“ geben, dass die dann enthaltenen neuen Funktionen freischaltet und den „Build“ von 19044 auf 19045 anhebt. Diese Maßnahme muss Microsoft machen (das Build-anheben), weil der jeweils aktuelle Build immer nur 18 Monate Support hat und man ältere Versionen von Windows 10 – die man nicht aktualisiert hat – nicht mehr einsetzt.

Der Betriebssystemkern bleibt beim Stand von September 2019 (Codename: Vibranium – wie im Marvel Comic), die volle Versionsangabe ist damit: 19041.1.amd64fre.vb_release.191206-1406/1806.

Wer die 19045 jetzt schon einschalten möchte (damit die Funktionen bei Auslieferung im Patchzyklus automatisch aktiviert werden mit dem .msu Paket „windows10.0-kb5015684-x64-1945enabler.msu“ aus der Microsoft Knowledgebase bei Microsoft tun.

Alternativ kann dies mit der folgenden Befehlsfolge ab Build 1826 (in einer administrativen Powershell oder Eingabeaufforderung) geschehen. Dazu muss es jedesmal nach einem Update die 1826 durch den aktuellen Build angepasst werden.

@echo off
title windows 19045 enabler für build .1826
dism /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-Product-Data-22h2-EKB-Package~31bf3856ad364e35~amd64~de-DE~10.0.19041.1826.mum
dism /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-Product-Data-22h2-EKB-Package~31bf3856ad364e35~amd64~~10.0.19041.1826.mum
dism /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-Product-Data-22h2-EKB-Wrapper-Package~31bf3856ad364e35~amd64~de-DE~10.0.19041.1826.mum
dism /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-Product-Data-22h2-EKB-Wrapper-Package~31bf3856ad364e35~amd64~~10.0.19041.1826.mum
dism /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-UpdateTargeting-ClientOS-22h2-EKB-Package~31bf3856ad364e35~amd64~de-DE~10.0.19041.1826.mum
dism /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-UpdateTargeting-ClientOS-22h2-EKB-Package~31bf3856ad364e35~amd64~~10.0.19041.1826.mum
dism /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-UpdateTargeting-ClientOS-22h2-EKB-Wrapper-Package~31bf3856ad364e35~amd64~de-DE~10.0.19041.1826.mum
dism /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-UpdateTargeting-ClientOS-22h2-EKB-Wrapper-Package~31bf3856ad364e35~amd64~~10.0.19041.1826.mum

Sicherheitslücken in PHP 7 – 8.1

Update: Nach meinen Recherchen haben die führenden Hosting-Provider (all-inkl.com, Strato, ionos…) das PHP-Punktrelease 8.0.20 installiert, so dass diese Plattformen derzeit vor Angriffen gegen diese Lücken abgesichert sind .

In den aktuell von der Community unterstützten Versionen von PHP wurden einige kritische #Sicherheitslücken geschlossen (CVE-2022-31625, CVE-2022-31626). Wer Webserver im Internet betreibt oder wie üblich bei einem Provider hosten lässt, sollte prüfen, ob er die derzeit empfohlene Version 8.0.20 im Einsatz hat, ansonsten auf die Version aktualisieren.

Viele Webseiten basieren auf #Wordpress, dem quelloffenen Content-Management System. Aber auch Joomla oder Typo3 setzen PHP und eine MySQL/MariaDB als Datenbank ein. Durch die Lücken werden diese Webserver angreifbar und könnten unter fremde Kontrolle gebracht werden.

Das quelloffene #OpenAudit Classic setzt ebenfalls PHP und die MariaDB ein. Das Risiko ist hier zwar deutlich geringer, da die Webserver nicht im Internet erreichbar sind, eine Aktualisierung ist aber empfohlen. Auf unseren Downloadquellen ist ab Version 2022-06-xx die aktuelle PHP Version 8.0.20 enthalten. Apache und MariaDB sind ebenfalls auf dem jeweils aktuellen Stand.

Wer noch alte PHP Versionen wie Version 5.x einsetzt, sollte das nicht im Internet tun. In einem Intranet oder Extranet ist das Risiko aufgrund der eingeschränkten Teilnehmerzahl zwar geringer, aber grundsätzlich vorhanden. Angreifer müssten sich dazu zunächst im Intranet/Extranet anmelden.

Lenovo und die Zaubertaste

beim Einspielen eines #Firmware Updates kann es passieren, dass das UEFI/BIOS betroffene Geräte einfach abschaltet (und nicht wieder einschaltet). So hat bei mir das über die lenovo vantage app installierte, kritische „Thunderbolt Firmware Update“ die USB-C-Stecker abgeschaltet (obwohl keine Fehlermeldung zu sehen war). Nach dem Neustart wurde das #lenovo Thinkpad weder aufgeladen, noch funktionierten die USB-C-Anschlüsse. Auch der HDMI-Ausgang war davon betroffen.

Die Auswirkung ist wie bei dem Problem mit „NVM wear-out“ einer alten Firmware, die nach 6 bis 12 Monaten den 8 GB Flash-Speicher im Gerät gehimmelt hat. Das Besondere daran: Das Yoga X13 Gen1 hat nie die fehlerhafte Thunderbolt-Firmware gehabt, die den Speicher schrottet!

Es meldete sich die lenovo Hotline Düsseldorf und nachdem ich dem Techniker die Anamnese (Fehlerbeschreibung) durchgegeben habe, meinte er, das Problem lässt sich ohne Hardwaretausch lösen.

Der Zauberknopf

Macht man das Thinkpad stromlos (Netzteil entfernen) und dreht es um, ist oberhalb der mittleren Schraub auf der linken Seite ein Loch, in das eine SIM-Nadel oder eine kleine Büroklammer passt. Bein Einführen fühlt man, dass ein Mikroschalter ausgelöst wird.

• Die Büroklammer nun über 30 Sekunden lang bei gedrücktem Mikroschalter so halten.
• USB-C Netzteil am hinteren Port (Thunderbolt-Ladeport) anschließen. Wenn die orangefarbene LED leuchtet, wurde das Mainboard „resetted“.
• Es gehen dabei keine Daten verloren, nur abgeschaltete Komponenten werden wieder aktiviert.

Alles funktioniert nun wieder, das Thinkpad lädt und die Thunderbolt-Schnittstellen nebst Dockingstation verbinden sich wieder.

Fazit

Diese wirksame Funktion einer „Selbstheilung“ sollte viel besser bekannt gemacht werden. Wer also auf ein Problem mit seinem Thinkpad stößt, kann gefahrlos erst diese Reset-Methode versuchen. Ist das Problem danach noch persistent, kann immer noch die Hardware getauscht werden.

Sicherheitslücken und Workarounds

Update: Mit dem Patchday Juni 2022 (14.06.2022) wurde zumindest die MSDT (auch als Follina bekannte Sicherheitslücke) geschlossen. Ob die Searchdienst Lücke noch weiter besteht, ist weiter offen. Dennoch kann es nicht schaden, die beiden Dateiklassen-Zuordnungen – wie unten beschreiben – abgeschaltet zu lassen. Die Search Lücke ließe sich mit einigem Aufwand immer noch nutzen, ist aber von der Risiko-Klassifizierung geringer.

In #Windows (prinzipiell sind auch Terminalserver und die anderen Serverkonsolen betroffen, nicht nur Clients) gab es bereits letzte Woche eine kritische #Sicherheitslücke im „MSDTC Handler“ – das ist die Funktion, die Hilfe und Problembehandlung ausführt. Durch geschicktes Manipulieren kann ein Angreifer Code ausführen und somit Malware aus dem Internet ausführen. Wir hatten darüber berichtet. Ist Microsoft Office in einer Kaufversion (2013-2021) installiert, gibt es kein administratives Mittel, die Lücke effektiv zu stopfen.

Allerdings kann man (auch über eine Gruppenrichtlinie) Registrierungsschlüssel setzen (bzw. hier entfernen). Gestern kam eine weiter Lücke dazu, die sich auf den URL-Handler: „ms-search“ bezieht.

Ich selbst kenne keinen, der diese beiden Funktionen in Windows aktiv nutzt, daher habe ich die Schlüssel vorher nicht gesichert, sondern sie einfach entfernt. Das funktioniert wie folgt (bei Risiken und Nebenwirkungen sind Sie natürlich selbst verantwortlich):

reg delete HKEY_CLASSES_ROOT\search-ms /f
reg delete HKEY_CLASSES_ROOT\ms-msdt /f

Die Gruppenrichtlinie zum Abschalten des Problembehandlungsassistenten ist:
Computerkonfiguration/Richtlinien/Administrative Vorlagen/System/Problembehandlung und Diagnose/Skriptdiagnose/Problembehandlung: Zugriff und Ausführung von Problembehandlungs-Assistenten durch Benutzer zulassen -> Deaktivieren

Risiko-Beurteilung Office Kaufversionen

Dass Microsoft die Strategie „Cloud only“ forciert, weiß man seit längerem. Da die Entwicklung und Absicherung primär für die Onlinedienste und Miet-Anwendungen stattfindet, sind Kaufversionen in der #Risiko Einstufung mit einem deutlich höheren Risiko behaftet:

• Microsoft #Office365 erhält alle 14 Tage ein Sicherheitsupdate, alle 14 Tage ein kombiniertes Funktions- und Sicherheitsupdates UND Notfall – Patches außer der Reihe. Wenn Admins die Updates für Office auf den monthly channel gesetzt haben, verteilen sich diese Updates bei Verbindung zum Internet oder zur Installationsquelle im Netzwerk sehr zeitnah
• Es gibt nur hierfür Gruppenrichtlinien, die den Betrieb und die Funktionalität zentral steuerbar machen. So lassen sich Makros und die generelle Ausführung von unsignierten Quellen und Codes abschalten
• Die Kaufversionen 2013, 2016, 2019, 2022 erhalten Sicherheitsupdates nur noch für 5 Jahre, danach müssen diese Versionen neu erworben werden (Ausnahme: Volumenlizenzen mit Software-Assurance)

Aktuell gibt es in allen #Windows Versionen eine Sicherheitslücke im Microsoft Windows Support Diagnostic Tool (MSDT) (CVE-2022-30190, CVSS 7.8, Risiko hoch). Öffnen Mitarbeitende eine Word-Datei mit einer der Kauf-Versionen, lässt sich diese Schwachstelle nutzen, um im schlimmsten Fall Bereiche des Firmennetzwerks, die im Schreibzugriff liegen, zu verschlüsseln.

Wie auch schon bei #Hafnium sind die aktuellen Miet-Versionen von Microsoft 365, aka. Office 365 durch die Richtlinie geschützt. Verschärft man die Richtlinie und entzieht den Benutzenden die Möglichkeit, die Warnung zu deaktivieren (in dem Fall ist die Meldungszeile rot hinterlegt), hat der Angriff mit dem „Trittbrett“ Word keine Chance.

Fazit

Im Rahmen einer Risiko-Einschätzung sind die Miet-Versionen von Office bzw. die Onlinedienste von Microsoft signifikant sicherer, da die Kaufversionen weder über wirksame Gruppenrichtlinien verfügen, noch zeitnah aktualisiert werden können. Auch wenn ein Office 2021 Home & Business auf den ersten Blick sehr günstig erscheint, zahlt man mit hohem Risiko einer Schadprogramm-Infektion. Verbunden mit all den enthaltenen (Online-Diensten) und Sicherheits- und Compliance Funktionen ist die Mietvariante immer zukunftsweisender. Dabei hebt sich insbesondere vom Preis-Leistungsverhältnis der Microsoft 365 Business Premium Plan hervor:
https://m365maps.com/Microsoft%20365%20Business%20Premium.htm

.net Update: Programme starten nicht mehr

Mit den #Microsoft Sicherheitsupdates für das .net-Framework schaltet Microsoft im Rahmen von #Sicherheitslücken einige ältere Funktionen ab. ‎Nach der Installation von KB5012643 starten einige .NET Framework 3.5 Anwendungen nicht mehr. Ursache sind die von den Anwendungs-Herstellern genutzte Funktionen: Windows Communication Foundation (WCF) und Windows Workflow (WWF).‎

Workaround

Wenn Sie von dem Fehler betroffen sind, melden Sie sich mit administrativen Rechten an den betroffenen Rechnern oder Terminalservern an und führen in der administrativen Befehlszeile oder Powershell die folgenden Kommandos aus:

dism /online /enable-feature /featurename:netfx3 /all
dism /online /enable-feature /featurename:WCF-HTTP-Activation
dism /online /enable-feature /featurename:WCF-NonHTTP-Activation

Mit etwas Glück starten dann die Programme wieder. Wenden Sie sich an den Hersteller/Programmierer der Software zwecks Update zu einer Version, die diese Komponenten nicht mehr nutzt. Es ist zu befürchten, dass Microsoft die Funktionen mit dem nächsten .net monatlichen Update erneut entfernt.

Exchange online: Basic Auth wird eingestellt

Ab 01. Oktober 2022 beginnt Microsoft damit, die sogenannte Basic Authentication – Authentifizierung an #Exchange online abzuschalten. Damit ist der Zugang zu dem Online-Dienst mit alten, nicht mehr unterstützten Outlook Programmen nicht mehr möglich. Neuere Outlook Versionen bzw. Outlook aus dem #Microsoft365 Plan sollten durch den Administrator umgestellt werden, dass sie nur noch das neue Verfahren zulassen (Gruppenrichtlinie).

Im Zuge der Analyse stellen wir immer wieder fest, dass mit zu trivialen und nicht geheimen Kennwörtern der Zugang zu den Mailboxen ermöglicht wird. Ist Ihr Unternehmen (aka. Microsoft Tenant) mit Microsoft 365 Business Premium oder E3-Plänen ausgestattet und Ihr Exchange online verfügt über das Sicherheitspaket, können Sie die sogenannte Zweifaktor-Authentifizierung (2FA) einrichten (lassen) und für mobile Mitarbeitende zur Pflicht machen. Auf dem Smartphone des Mitarbeitenden ist dann die Microsoft Authenticator-App installiert, die eine sichere Anmeldung am Microsoft Arbeitskonto ermöglicht. Für administrative Accounts sehe ich die Nutzung von 2FA als unbedingt notwendig, für die Benutzer ist sie zumutbar und bringt ein deutlich höheres Level an Sicherheit.

Zusätzlich sollte (obwohl keine regelmäßige Änderung von Kennworten vorgeschrieben noch sinnvoll ist), EINMAL eine Grundsicherheit der Kennwörter hergestellt werden, um Datenverlust, Hackbarkeit, Verstöße gegen die DSGVO und sogar strafrechtliche Konsequenzen zu vermeiden.

Microsoft wird die Basic Authentication mit einem Sicherheitsupdate auch für die On-Premises Exchange Server entfernen. Wenn Sie den Exchange-Server noch im Hause betreiben, ist der Umstieg in die Online-Variante bereits jetzt umso sinnvoller.

Artikel zur Abkündigung der Basic Authentication (englisch)

Microsoft

Antivirus: Wechsel auf Microsoft Defender

Nachdem #Microsoft sein Lizenzmodell vereinfacht hat und nun auch Lösung für Kunden kleiner 50 Mitarbeiter anbietet, ist es insbesondere in Azure Cloud (IaaS) Szenarien naheliegend, auch einen verwaltbaren #Virenschutz, der in die Plattform integriert ist, zu nutzen. Diese Erweiterung der Sicherheit, die auf dem kostenlosen Virenschutz von Windows 10 und ab Server 2016 aufsetzt, ist in vielen Tests von Fachpublikationen sehr gut beurteilt worden und liefert wenig Nebenwirkungen zu den Serverdiensten und ausgeführter Standardsoftware.

Microsoft 365 Pläne für Clients / AVD

Hinzu kommt der Fakt, dass im „Microsoft 365 Business Premium“ Plan der Endpoint #Defender erweiterte und verwaltbare Virenschutz bereits enthalten ist.

Theken- und Kassen-Mitarbeiter im Azure Virtual Desktop benötigen dann nur einen Windows E3-Plan und den Windows Defender für Business Plan.

Soll dazu nur ein Exchange Postfach im Webbrowser genutzt werden (kein Office, kein Outlook): E3-Plan, Exchange Online Plan 1, Windows Defender für Business

Pläne für Azure Server

Zur Absicherung der Server: Microsoft Defender für Server-Plan 1 (wenn Sie den Virenschutz selbst verwalten, aber die erweiterten Reporting Funktionen nicht nutzen können)

Microsoft Defender für Server-Plan 2 setzen wir nur voraus, wenn Sie uns mit dem Verwalten der Antivirus-Lösung beauftragen oder selbst in der Lage sind, die erweiterten Reportings und Verfahren zu nutzen.

Voraussetzungen

Absichern lassen sich alle Client-Betriebssysteme mit Windows 10 (Pro), Azure Virtual Desktop Pools, Windows Server mit Version 2016, 2019 und 2021.

Sind ältere Betriebssyteme wie Windows 8.1 oder Windows Server 2012 R2 im Einsatz, lässt sich der Virenschutz nicht verwenden. Da aber letztgenannte bald keine Sicherheits-Updates mehr bekommen, ist es ohnehin sinnvoll, auf Windows 10 / Server 2022 zu gehen.

Für Windows 11 und Azure Virtual Desktop auf Windows 11 Basis ist zwar der Virenschutz buchbar und nutzbar, derzeit raten aber alle uns bekannten Software- vom Einsatz ab und Hardware-Hersteller bieten an, wie Windows 11 Pro Lizenz, die mit dem Gerät erworben wurde, mit Windows 10 Pro zu nutzen. Im Azure Virtual Desktop gibt es Sicherheitsupdates für Windows 10 ohnehin bis 2030!

Zusätzliche Literatur

https://aka.ms/switchtomde
Switch to Microsoft Defender for Endpoint – Setup

https://m365maps.com
Microsoft 365 Licensing

DHCP Server herausfinden

Wenn man an einem Endgerät mit fest eingestellter IP-Adresse sitzt oder mit einem Server per RDP-Konsole verbunden ist, wird es schwierig, herauszufinden, welcher der DHCP-Server im Netzwerk verantwortlich ist. In #OpenAudit Classic, speziell in der NMAP-Software gibt es ein Script, das ein vorgegebenes Netzwerk nach DHCP-Servern absucht. Öffnen Sie dazu die Open-Audit-Konsole und wechseln in dem Pfad, in dem #NMAP installiert ist. Führen Sie dann den folgenden Befehl aus (dabei das eigene Netzwerk, das Sie mit IPCONFIG herausfinden können, angeben:

"C:\Program Files (x86)\xampplite\nmap\nmap.exe" -sU -p 67 --script=dhcp-discover 10.10.10.1-254
oder gefiltert: "C:\Program Files (x86)\xampplite\nmap\nmap.exe" -sU -p 67 --script=dhcp-discover 10.10.10.1-254 |find "Identifier"

NMap durchsucht das ganze Netzwerk, ob DHCP-Server vorhanden sind. Steht unter einer IP: dhcps:open, haben Sie den Server in Ihrem Netzwerk gefunden.

Mit echo %logonserver% bekommt man dann noch den Domain Controller heraus, über den man sich angemeldet hat, das gefilterte Domain Controller Suchkommando für NMAP lautet:

nmap -p389 -sV 10.10.10.1-254 |find "Service Info"
nmap -p389 -sV 10.10.10.1-254 |find "389/tcp open"

Elon Musk kauft Twitter

man könnte auch sagen: das war ein „MUSK HAVE“ für ihn. 🙂 Gestern kam allerdings ein Leitartikel in der Tageszeitung: „Was wird aus Musks Twitter?“. Da unser Gehirn automatisch korrigiert, liest es in den meisten Fällen „Was wird aus Murks Twitter?“.

E-Mail Nachricht bei neuen Beiträgen

Eine weitere Möglichkeit neben den RSS-Kanälen, über neue Aktivitäten in diesem Blog informiert zu werden, ist die E-Mail-Benachrichtigung:

Immer, wenn ein neuer Beitrag erscheint, können Sie eine E-Mail-Benachrichtigung erhalten. Geben Sie dazu Ihre E-Mail-Adresse unten ein. Danach erhalten Sie eine Antwort-E-Mail an die angegebene Adresse. Erst nach Bestätigen der Mailantwort (double opt-in) bekommen Sie die Benachrichtigungen. Die E-Mail-Benachrichtigung ist kostenlos und jederzeit wieder abbestellbar. Details siehe Datenschutzerklärung unter „Newsletter“.

Windows Versionen Zeitleiste

die folgende Zeitachse zeigt die Historie der verschiedenen #Windows Client- und #Server – Versionen und von Office Kaufversionen, deren Erscheinungsdatum, Codenamen und das #endoflife (eol) Support-Ende. Rot hinterlegt die unbeliebten Windows-Versionen:

Ansicht wechseln
• Sortierung

Lenovo UEFI-Sicherheitslücken

Im Security Advisory Report „Lenovo Notebook BIOS Vulnerabilities“ führt lenovo drei kritische Sicherheitslücken CVE-2021-3970, CVE-2021-3971 und CVE-2021-3972 auf und empfiehlt betroffenen Anwendern, die UEFI-Firmware ihres Notebooks umgehend zu aktualisieren.

Gute Nachricht: sieht man die Liste durch, tauchen dort keine „Thinkpad“ Modelle auf. Bei den uns bekannten Modellen findet die App „Lenovo vantage“ auch kein Update. Sollten Sie dennoch die Consumer-Serie von Lenovo im Einsatz haben und Ihre Geräte auf der Liste wiederfinden, aktualisieren Sie zeitnah das BIOS/UEFI.

Wenn Sie Thinkpads wie das Thinkpad Yoga X13 oder Thinkcentre Modelle wie das Tiny M70Q einsetzen, ist es dennoch empfehlenswert, über die Vantage App die jeweils aktuellste UEFI-Version und Intel IME Firmware Updates installiert zu haben. Eine „Aktualisierungen-Suche“ in der App schafft Ihnen Klarheit.

Sicherheitslücke in 7-ZIP

wie mit CVE-2022-29072 bekannt wurde, enthält auch die aktuelle 7-ZIP Version 21.07 kritische #Sicherheitslücken in der Hilfedatei (7-zip.chm). Der Hauptentwickler des Projekts hat sich noch nicht dazu geäußert, der Workaround ist aber recht einfach zu bewerkstelligen:

Löschen Sie die Hilfe-Datei 7-zip.chm. Für die 64-Bit-Version liegt diese im angezeigten Pfad. Wenn Sie 7-zip über eine Stapeldatei installieren, lautet demnach die Unattended-Befehlskette:

echo 7-Zip...
7z2107-x64.exe /S
rem *** Sicherheitslücke von 2022 - Helpdatei löschen
del "C:\Program Files\7-Zip\7-zip.chm" /Q

Da Version 21.07 andere bekannte Sicherheitslücken geschlossen hat, ist die Kombination aus 7-ZIP 21.07 (64-Bit) und dem Löschen der Hilfedatei derzeit die sicherste Möglichkeit, mit gepackten Dateien umzugehen. Das liegt auch daran, dass die im Windows Dateiexplorer integrierte ZIP-Entpackfunktion eine Vorschaufunktion hat, die immer mal wieder Sicherheitsrisiken enthielt. 7-ZIP erkennt auch mehr Formate und ist Open-Source, während WINRAR und WINZIP kostenpflichtig sind. Da die Software ein Open-Source-Projekt ist, dürfte das Risiko, dass der Chef-Entwickler ein Russe ist, gering ausfallen, zumal die Software keinen automatischen Updater hat, der „nach Hause telefoniert“, und schädliche Programmzeilen den anderen Entwicklern und der Community wegen Quellcode-Einsicht sofort auffallen würden.

Entfernen Sie alte Versionen von 7-ZIP, installieren Version 21.07 (64-Bit) und löschen danach die 7-zip.chm Hilfedatei

7-Zip 21.07

DAS Ultrabook für den Außendienst

Wer im Außendienst arbeitet, braucht ein robustes und zuverlässiges Gerät, das gleichzeitig handlich und leicht ist. Außerdem gibt es mittlerweile viele Funktionen, bei denen ein Stift und ein mit den Fingern bedienbarer Bildschirm hilfreich ist. Diese Funktionen in Verbindung mit moderaten Preisen (gegenüber den Topmodellen der Thinkpad Yoga X1-Serie) verbindet #lenovo mit den X13 Modellen.

Ganz neu ist das Yoga X13 der zweiten Generation. Gegenüber Generation 1 sind marginale Unterschiede vorhanden. So ist statt des 10G ein Prozessor der 11. Generation eingebaut.

Mein Vorgänger-Ultrabook, das Thinkpad Yoga 460 hatte zwar mit 14 Zoll ein 0,7 Zoll größeres Display, war aber auch rund 300g schwerer und in den Grundmaßen und der Bauhöhe deutlich größer. Statt des Magnesium Titan Composit-Gehäuses des 460 kommt beim X13 ein Carbongehäuse zum Einsatz. Außerdem ist die Tastatur in einer Mulde und wird nicht mehr mechanisch beim Zuklappen versenkt. Diese Mechanik kann also schon mal nicht mehr zu Tastaturausfällen führen. Leider sind die Tasten flacher als beim Vorgänger und der bekannt gute Druckpunkt geht damit verloren. Das LED-Touch-Display hat eine höhere candela-Zahl, ist also kontrastreicher. Leider hat man auf die Entspiegelung verzichtet, die das 460 noch hatte. Mit gleichzeitig brillianterem Bild sieht man leider nun jeden Fingerabdruck und ein Bildschirmputztuch sollte mitgeführt werden.

Beim Kauf der Geräts muss man sich bereits für den gewünschten Arbeitsspeicher entscheiden, da der Arbeitsspeicher fest auf das Mainbord gelötet ist. 8/16 und 32 GB RAM sind möglich. Power-User sollten 16 oder 32 GB RAM nehmen. Bei der Auswahl der NVMe-SSD-Speicher kann man nachträglich noch umrüsten, da das SSD-Modul gesteckt ist.

SSD und Akku lassen sich also mit etwas Fachverstand nach Lösen der 8 Schrauben und entfernen des Deckels tauschen. Glücklicherweise ist der Akku nicht verklebt. Einen Schnell-Wechselakku indes gibt es nicht.

Homeoffice: Für die Erweiterung gibt es Zubehör von lenovo, aber auch Targus Dockinglösungen mit Thunderbolt USB-C Stecker und supplied Power lassen sich anbinden. Ich habe recht gute Erfahrungen mit der „Raidsonic Icy Box IB-DK2245AC“ Dockinglösung gemacht. Neben den zwei Bildschirmen der Dockinglösung lässt sich dann zusätzlich über den integrierten HDMI-Anschluss im Ultrabook ein dritter Bildschirm anschließen. Klappt man das 13,3 Zoll Display mit auf, sind also vier! Bildschirme in Betrieb.

Braucht man unterwegs einen VGA- oder DVI-Anschluss (z. B. um alte Projektoren anzuschließen), ist ein optionaler Adapter sinnvoll: HDMI-auf-VGA oder HDMI auf DVI-I. Eine Adaption auf einen Displayport-Adapter funktioniert hingegen nicht (benötigt einen teuren Adapter mit Elektronik). Der Mini-Display-Port-Adapter der Vorgänger wurde leider entfernt.

Das X13 hat 2x USB 3.1 Typ-A Buchse, 1x Typ-C-Buchse für das Netzteil oder die Docking Lösung, 1x Thunderbolt-lenovo-Stecker. Letztgenannter ist ein normaler Typ-C-Anschluss. Im gleichen Stecker liegt aber der LAN-Anschluss zum Anbinden von verkabelten Netzwerken mit optionalem lenovo Network adapter. Das bedeutet, eine Intel-Netzwerkkarte ist auf dem Mainboard integriert, der RJ45-Adapter ist aber optional. Hat man ihn eingesteckt, blockiert er gleichzeitig den zweiten Typ C-Anschluss, obwohl dieser nicht genutzt wird dafür.

• Sortierung

Mehr in unserem Shop: Link zum GWS Technik-Shop

Kaspersky bei der NASA

während das FBI seit 2018 die US-Behörden anweist, keine Antivirus-Software des mittlerweile mit Firmensitz in Großbritannien operierenden Unternehmens Kaspersky Labs, Ltd. einzusetzen, kommt im neuen „Werbefilm von Kaspersky und Lexus“ die Software quasi überall zum Einsatz.

Gemeint ist der aktuelle „Blockbuster“ von Roland Emmerich „Moonfall“. In den letzten Jahren finanzieren viele Filmstudios ihre Produktionen durch „Produktplatzierungen“. Offensichtlich sind die #Kaspersky Labs, Ltd. neben Lexus die Hauptsponsoren des Film. Automarken und Chronographen-Hersteller waren bisher die am meisten genutzten Marken in Kinofilmen. Bekannt für diese Art von „Schleichwerbung“ sind „Aston Martin“, zeitweise auch „BMW“ und die Uhrenmarke „Omega“ in James Bond Filmen und Mercedes-Benz in „Men in Black“. Dass in Moonfall beide Marken aber große Teile der Kinoleinwand einnehmen, ist neu.

Aus Marketing-Sicht für Kaspersky ein schöner Effekt, denn im Film schaffen sie es nicht nur auf großformatige LED-Werbetafeln, sondern auch die Gerätschaften (hier: Space Shuttle Endeavour) sind mit Kaspersky Software abgesichert. Und das trotz Verbot des FBI, denn die #NASA ist schließlich eine amerikanische Behörde. Im Rest der Welt und für alles, was keine US-Behörde ist, darf Kaspersky weiterhin vermarktet werden. Die aktuelle Empfehlung des Bundesamts für Sicherheit in der Informationstechnik ist kein Verbot.

Java: Spring4Shell Sicherheitslücke

vor einigen Tagen wurde im #Java Basierten Spring Framework eine kritische #Sicherheitslücke #Spring4Shell entdeckt und mittlerweile auch geschlossen. Nach intensiver Recherche konnten wir keine Software entdecken, die das Framework im uns bekannten Umfeld einsetzt. Außerdem erfordert das Ausnutzen der Lücke eine recht exotische Installationsanordnung. Das bedeutet nicht, dass Sie im eigenen Umfeld diese Konstellation einsetzen könnten.

Diese Lücke zeigt jedoch wieder, dass der Einsatz von Java-basierter Software grundsätzlich ein Risiko darstellt. Da es keine zentrale Liste gibt, die beschreibt, welche JAVA-Bibliotheken eine Software-Anwendung einsetzt und jede Java-Version spätestens nach drei Monaten ohne Updates Sicherheitslücken enthält, bleibt der Einsatz von JAVA kritisch.

Umgang mit Java

• Vorhandene JAVA-Installationen sollten darauf geprüft werden, ob sie noch von Programmen genutzt werden – wenn nicht: entfernen!
• Ist die Java-Installation von Oracle, sollte sie grundsätzlich sofort entfernt und durch Adoptium Temurin ersetzt werden. Möchte man aktuelle Oracle Java Versionen einsetzen, ist ein Abonnement mit der Oracle Corporation pro Gerät erforderlich.
• Im Optimalfall ist keine Software auf JAVA-Basis mehr erforderlich. Damit lassen sich dann auch keine Schwachstellen wie LOG4J oder SPRING4SHELL ausnutzen und die Sicherheitslücken der Java-Runtime entfallen.
• Bleibt noch JAVA-basierte Software im Einsatz, nehmen Sie mit dem Hersteller Kontakt auf und fragen nach Alternativen – oder stellen die Produkte ein. „Ein Leben ohne JAVA ist möglich und nicht sinnlos“.

Spring4Shell has been catalogued as CVE-2022-22965 and fixed in Spring Framework 5.3.18 and 5.2.20, and Spring Boot (which depends on the Spring Framework) 2.5.12 and 2.6.6.“The vulnerability impacts Spring MVC and Spring WebFlux applications running on JDK 9+. The specific exploit requires the application to run on Tomcat as a WAR deployment,” Spring Framework developers have explained.“If the application is deployed as a Spring Boot executable jar, i.e. the default, it is not vulnerable to the exploit. However, the nature of the vulnerability is more general, and there may be other ways to exploit it.”

https://www.helpnetsecurity.com/2022/04/01/cve-2022-22965/

Sicherheitslücke in d.3 Server geschlossen

DV-SEC-2022-02: Schwachstelle in der d.velop documents Komponente d.3 server

Unser Partner d.velop hat außerplanmäßig sein Software-Portfolio einer vollständigen Sicherheitsprüfung unterzogen und dabei eine Schwachstelle identifiziert, über welche wir hier informieren wollen. Der d.3 Server ist beim #s.dok Archiv im Einsatz.

Betroffen von der Schwachstelle sind die Versionen “ d.3 Server 8.1.0.67 und älter“ (also auch die Versionen 6.x, 7.x oder 8.0.x), sowie die Versionen „Current 2022.Q1 Patch 02“ und älter.

Details zur Schwachstelle:

Ein Angreifer mit einer gültigen Benutzersitzung kann…

– über eine „Remote-Code-Execution“-Schwachstelle der API das System potenziell unter seine Kontrolle zu bringen. Bewertung: 9.9 (Critical)
– über eine „SQL-Injection“-Schwachstelle der API Zugriff auf die d.velop documents-Datenbank erhalten. Bewertung: 9.9 (Critical)
– durch eine nicht ausreichende Rechte-Prüfung der API Zugriff auf Dokumenteigenschaften aller Dokumente erhalten. Bewertung: 6.5 (Medium)
– durch eine nicht ausreichende Rechte-Prüfung über mehrere miteinander kombinierte API-Aufrufe Zugriff auf alle Dokumente im System erhalten. Bewertung: 5.3 (Medium)

Die technische Hürde, diese Sicherheitslücke auszunutzen, bewertet d.velop allerdings als sehr hoch: Zum einen sind sehr detaillierte, technische Kenntnisse des d.velop-Systems erforderlich und zum anderen sind die Systeme standardmäßig nicht über Ihr internes Netzwerk hinaus erreichbar: D.h. nur ein Angreifer aus Ihrem Netz wäre in der Lage diese Sicherheitslücke auszunutzen.

Die Sicherheitslücke wurde im Rahmen einer internen Überprüfung entdeckt und nicht von Dritten an d.velop gemeldet. D.velop hat bisher auch keine Ausnutzung der Schwachstellen bei Kunden beobachtet.

Da diese Lücke aber grundsätzlich einen un-autorisierten Zugriff auf die Daten im d.3-System ermöglichen könnte, empfehlen auch wir dieses Fehlverhalten abzustellen.
Für Fragen und Rückmeldungen zu diesem Sachverhalt oder einer Update Beratung wenden Sie sich bitte über das Extranet an den Support. Bitte geben Sie in der Betreffzeile die Kennung „s.dok: DV-SEC-2022-02“ an.

Wichtig: Bitte stellen Sie grundsätzlich immer sicher, Ihre Installation immer auf dem aktuellen Stand zu halten.

Windows Clients und Dynamics Serverplattformen

Der aktuelle Stand ist immer in den „GWS System Requirements“ dokumentiert.

Client-Betriebssysteme

Update vom 04.11.2024 – BC25 Änderungen: Für die Übergabe von Daten an Office wird von den Kaufversionen nur noch Office 2021 (LTSC) unterstützt. Microsoft 365 ist dank Abo-Modell immer unterstützt. Windows Server 2019 wird auch nicht mehr unterstützt, nur noch Windows Server 2022, SQL-Server ab 2019, Office: 2021, Exchange Server: 2019.

https://learn.microsoft.com/en-us/dynamics365/business-central/dev-itpro/deployment/system-requirements-business-central-v25

In den „Business Central Requirements“ ab Version 23 erwähnt Microsoft Windows 11 als Client-Plattform. Dies ist weder eine Empfehlung noch Freigabe.

Für Business Central der Versionen 15-25 (Client = Google Chrome für Enterprise) gelten die Betriebssystem-Anforderungen des Browsers – Microsoft erwähnt Windows 11 nicht.

Für die älteren Versionen von Dynamics NAV Classic und RTC bis BC 140 (alle Versionen mit Client-Anwendung) wird Microsoft keine Windows 11 Kompatibilität mehr ausweisen.

Seit Juni 2024 wird mit neuer PC-Hardware Windows 11 Pro Version 24H2 ausgeliefert. PCs, die die Hardware-Voraussetzungen erfüllen (mindestens Intel Core-I Prozessor der 8. Generation, TPM 2.0 Chip, Secure Boot und weitere…) sollten zum Erhalt weiterer Sicherheitsupdates nach dem 15. Oktober 2025 vorher neu installiert (mit Windows 11 Pro 24H2) oder ersetzt werden.

Fazit: Windows 11 ab 24H2 neu installieren, wenn die Hardware das zulässt und keine gevis Client Anwendung installiert ist, ansonsten bis zum Support-Ende bei Windows 10 Pro – #Win10 bleiben. #endoflife

Wie Sie das kostenlose Upgrade-Angebot von Microsoft auf Windows 11 unterdrücken, erfahren Sie hier.

Browser

Gleichermaßen gilt weiterhin unsere Empfehlung für Google #Chrome für Enterprise als Standard-Browser und zur Nutzung für #gevis ERP | BC und gevis ERP | SaaS und gevis VEO. Den Microsoft Edge für Enterprise installieren Sie bitte NICHT als Standardbrowser, aber zur Absicherung der Betriebssysteme.

Hintergrund: Das Arbeitsspeichermanagement in Google Chrome ist entscheidend besser als beim Edge. Chrome verbraucht bis zu 50% weniger Arbeitsspeicher für gleiche Tätigkeiten. Dennoch sollte mit der Anzahl der gleichzeitig geöffneten Tabs sparsam umgegangen werden.

Azure Virtual Desktops

In den Azure Virtual Desktops besteht bis Oktober 2028 keine Notwendigkeit, auf Windows 11 Business umzustellen.

Microsoft erwähnt keine Betriebssystemvoraussetzungen in ihrem Artikel, in der Praxis sind derzeit aber mehr AVD auf Windows 10 Basis im Einsatz als mit Windows 11.

Da die Unterstützung für Sicherheits-Patches für Windows 10 bis 25. Oktober 2025 gewährt wird, in Azure Virtual Desktop-Umgebungen und im Erweiterten Support sogar bis Oktober 2028 und viele Hersteller das Downgrade bei neuen Systemen auf Windows 10 Pro erlauben, kann für Azure Virtual Desktop Umgebungen weiterhin Windows 10 Pro eingesetzt werden.

Server und Terminalserver (On-Prem)

Die in der Praxis eingesetzten Server-Betriebssysteme ergeben sich aus den System Requirements.

gevis classic Versionen (NAV2009R2)

Für den Classic Client gibt es und wird es keine „Freigabe“ von Microsoft geben. Für den Einsatz auf Endgeräten im lokalen Netzwerkbetrieb empfehlen wir Windows 10 Pro. Unter Windows 11 Pro gibt es Einschränkungen und Funktionsstörungen.

Im Terminalbetrieb ist die empfohlene Server-Version Windows Server 2016, es sind aber auch Fälle von 2019 bekannt in Kundenumgebungen. Für Azure Virtual Desktops (Nachfolger der Terminalserver in Azure) sollte der Pool mit Windows 10 eingerichtet werden.

SQL-Server (Runtime mit Maintenance) für Classic On-Premises ist maximal Version 2019, die Minimum-Version sollte aus Update-Gründen 2014 sein im Umlauf, für den Einsatz in Azure Cloud Migrations-Szenarien wird ebenfalls ein Azure Server 2019 eingesetzt und die Lizenzen gemietet.

Microsoft Office 201x (On-Prem) oder Microsoft 365

Es sind Fälle im Kundenkreis bekannt, wo Microsoft 365 Business Premium in Verbindung mit gevis Classic eingesetzt wird. Dabei ist entscheidend, NICHT das neue Outlook, sondern Outlook classic zu verwenden. Bei den Office Kaufversionen sind lokale Installationen von Office 2016 und 2019 bekannt. Generell gilt – in Verbindung mit gevis Classic und RTC gelten alle Szenarien auf eigenes Risiko – eine Aktualisierung von gevis auf „One Version“ (ab BC21 oder SaaS) ist ratsam.

Skeye.allegro MDE Geräte dürfen aus Sicherheitsgründen nur noch offline betrieben werden, da diese nur mit einem 32-Bit -Terminalserver funktionieren.

Nav 2009 R2 Windows compatibility sheet bis Windows Server 2012 R2

NAV 2009 R2 Windows no compatibility für neuere Windows Server

Microsoft Blog

Rechtshinweis: aus Haftungsgründen werden wir keine Empfehlung für diese Plattform aussprechen, sondern nur Best-Practice Erfahrungen abbilden. Der Einsatz erfolgt grundsätzlich auf eigenes Risiko.

Sicherheitslücke in Bibliothek ZLIB

Eine weitere, in vielen weit verbreiteten Programmen und Werkzeugen eingesetzte Bibliothek hat eine jahrzehntelang unbekannte #Sicherheitslücke. Mit der aktuellen Version 1.2.12 von #ZLIB wurde sie am 27.3.2022 geschlossen. Da im Projekt aber nur der Quellcode bereit gestellt wurde, sind die Hersteller und Open-Source-Projekte gefordert, neue Versionen zu liefern. Sobald diese Updates zur Verfügung stehen, sollten Sie Ihre Programme und „Tools“ auf den aktuellen Stand bringen oder nicht mehr genutzte, alte Produkte entfernen.

Betroffene Produkte sind (die Liste erhebt keinen Anspruch auf Vollständigkeit):

• 7-Zip, Versionen älter 21.07 (Version 21.07 hat keine zlib.dll mehr)
• Internet Explorer (wird ab 15. Juni entfernt aus Windows 10, kann aber bereits jetzt deinstalliert werden, sollte ab Server 2019 auch an Servern deinstalliert werden)
• Microsoft (Office) 365 (zlibwapi.dll 1.2.11) (auch im M365 Apps Update 2103 enthalten – Microsoft prüft)
• Apache Webserver 2.x (1.2.11)
• NMap Netzwerkscanner (zlibwapi.dll wie beim Office 1.2.11)
• Microsoft .net Framework 4.5 (1.2.11) > Neuere Versionen verfügbar
• Filezilla FTP Client (1.2.11)
• OBS Studio (1.2.11) – Videobearbeitung > Update 27.2.4 schließt die Lücke
• CISCO Anyconnect VPN Client (1.2.2.0) > Lücke laut CVS Artikel erst ab Version 1.2.2.2)
• PDF24 PDF (keine Version erkennbar) > Version 10.0.7.1 oder neuer einsetzen, alte Versionen deinstallieren
• Audacity (1.2.11)

Fazit

Ungenutzte, alte Softwareprodukte von Ihren Systemen entfernen. Warten, bis Hersteller neue Versionen (mit Stand ab 27.03.2022) herausbringen. Betroffene Softwarepakete aktualisieren.

CVS-Sicherheitseinstufung

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-25032

Windows 12 kommt mit dem 22H2 Update

Nachdem der Erfolg von Windows 11 auf der Strecke geblieben ist (derzeit gehen die Umstellungszahlen von #Win11 zugunsten Windows 10 22H1 zurück), hat Microsoft entschieden, die Version mit dem Update 22H2 (das im Sommer erscheint) in Windows 12 umzubenennen. Dies äußerte Leading Product Evangelist Vincent Waters, der die Windows Entwicklung in Redmond leitet, gegenüber der Redaktion.

Zahlen vom März 2022: Windows 10 21H2 (19044): Zuwachs 28,5 % (+7,5% gegenüber Februar), Windows 11: Zuwachs nur noch 19,4 % (-6,5% gegenüber Februar)

AdDuplex Statistiken von adduplex.com

Nach riesigen Protestwellen der Anwender und Unternehmen werden Funktionen von Windows 10 in Version 12 wieder aktiviert. So hat man (wie in den aktuellen Insider-Versionen derzeit zu erkennen), die zweite Ebene aus den Kontext-Menüs wieder entfernt. Die von Windows 10 bekannte Kontext-Menü Ebene ist also wieder nach einem Mausklick erreichbar.

Auch das Startmenü mit den Live-Kacheln lässt sich in den Einstellungen wieder aktivieren (siehe Screenshot der Preview).

Weitere Funktionen von Win12 sind:

• Direct X 12
• .net Framework Desktop Engine 6.03
• Neue Designs von Windows 11
• abgerundete Ecken
• Customizing virtueller Desktops mit verschiedenen Akzentfarben
• Touch-Optimierte Funktionen von Windows 11

Herkunft: Heinrich IV. soll an einem 1. April im 17. Jahrhundert eine Einladung zu einem Treffen von einem Mädchen aus dem einfachen Volk erhalten haben. Der König soll die Einladung angenommen haben und zu einem abgelegenen Lustschlösschen gereist sein. Dort wartete aber keine künftige Geliebte – sondern der eigene Hofstaat samt Heinrichs Ehefrau.

#Aprilscherz

Digitale Signatur - Mailserver entfernen

Mit der zweiten Novelle des Signaturgesetzes (SigG) wurde die Verpflichtung, die Herkunftskette einer Rechnung nachzuweisen, umformuliert. Demnach muss der Nachweis vom Rechnungsaussteller nachwievor erbracht werden, das Werkzeug dafür muss aber keine „qualifizierte Signatur“ sein.

Einige von Ihnen haben bisher weiter Ausgangsrechnungen per E-Mail signiert, um auf der Kundenseite diese Rechnungen klar von Fake-E-Mails und Phishing-E-Mails abzugrenzen. Die Anderen müssen bei einer Steuerprüfung ihrer Kunden von Hand zahlreiche Ausgangsrechnungen dem Prüfer bereitstellen.

Aufgrund gestiegener Energiepreise haben wir Sie bereits informiert, dass wir den Online-Dienst „Digitale Signatur“ #Digisig zum 30. Juni 2022 einstellen. Damit keine Fehlermeldungen auftreten, müssen Sie rechtzeitig die E-Mail-Einstellungen für alle Belege vom Typ: Rechnung, Gutschrift, Sam-Rg, Sam-GS, sowie individuelle Berichte in Ihrer Umgebung prüfen, dass die Einstellung zum digital Signieren entfernt wird. Die beiden folgenden Bildschirmfotos zeigen, wo die Einstellungen vorzunehmen sind:

Bitte achten Sie darauf, Ihre Mail-Betreffs und Mail-Text Textbausteine anzupassen, dass im Text nicht mehr der Satz steht „Die Rechnung wurde digital signiert“ und auch kein Verweis mehr auf den Download zum Secsigner erfolgt.

Rechner: Download-Speed

Mit diesem #Werkzeug können Sie errechnen, wie lange es dauert, um bei bestimmter Leitungs-Bandbreite eine Datei hoch- oder herunterzuladen. Die Upload-Werte bei asymmetrischen Leitungen stehen in Klammern (*U). Berechnen Sie die #Übertragungszeit für Ihre Datensicherung z.B. nach #Azure in die Cloud.

HP-Drucker – kritische Sicherheitslücken

#HP (Hewlett-Packard) warnt vor kritischen #Sicherheitslücken in über 200 seiner Drucker der Marken #HP und Samsung. Angreifer können mit diesen Lücken Schadprogramme auf den Druckern installieren. Das funktioniert normalerweise nur im lokalen Netzwerk. Da aber dies der Haupt Angriffsvektor ist, sollte umgehen die aktuelle Firmware auf den Druckern installiert werden.

Ein typischer Angriff funktioniert so: Ein Mitarbeiter wird in E-Mails unter einem Vorwand dazu aufgefordert, einen Link auszuführen. Dieser lädt mit Benutzerrechten die erste Software herunter. Diese wiederum durchsucht das lokale Netzwerk nach „Opfergeräten“ mit Sicherheitslücken und installiert dort einen weiteren Download (das Schadprogramm). Auf dem Drucker wird dann das Schadprogramm ausgeführt und verschlüsselt beispielsweise andere Geräte im Netzwerk.

Alternativ schalten Sie bitte in der Druckeroberfläche unter Netzwerk / Erweitert das LLMNR Protokoll aus.

Steht kein Firmwareupdate für Ihr Modell zur Verfügung, empfiehlt es sich, ebenfalls die Cloudprint Funktionen des Druckers über die HP Smart App abzuschalten. Damit kann der Drucker über das Internet erreicht werden und Ausdrucke über eine e-Mail an den Drucker initiiert werden.

https://support.hp.com/us-en/document/ish_5948778-5949142-16/hpsbpi03780

https://support.hp.com/de-de/drivers

HP Supportseiten: (CVE-2022-3942, CVSS 8.4, Risiko kritisch)

HP Supportseiten: (CVE-2022-3942, CVSS 8.4, Risiko kritisch)

OpenAudit Classic Hard-/Software-Inventar App

Mit der quelloffenen Software „OpenAudit Classic“ lassen sich Hard- und Software inventarisieren. Täglich um 11:00 Uhr laufen dabei Aufgaben, die Windows Server und -Endgeräte mit Ihrer kompletten Hardware, sowie installierter Softwarekomponenten automatisiert erfassen. In einem zweiten Scan werden mit NMAP Informationen (Hardware) über nicht Windows Geräte (Drucker, Kameras, TV-Geräte, Managed Switches) und andere IP-Geräte erfasst.

Die Oberfläche ist dabei eine lokale Webseite auf dem OpenAudit-Server, die über Port 4443 mit self-signed SSL-Zertifikat erreicht wird. Bei Bedarf kann sie zusätzlich mit einem Kennwort abgesichert werden.

#OpenAudit Classic inventarisiert nun auch „Windows apps“, die aus dem Microsoft Store installiert wurden (von allen lokalen Benutzern). Zusätzlich werden die im Benutzer-Kontext installierten Programme gelistet, wenn der Scan-User identisch ist (z.B. beim Clientseitigen Scan). Hintergrund: Wenn ein Nutzer sich über den Microsoft Store Windows Apps im Startbereich installiert, können diese nun inventarisiert werden und erscheinen in einer neuen Tabelle von #OpenAudit unter Software/Modern Apps.

Man kann die Version sehen und auf welchen Maschinen die Apps installiert sind. Zusätzlich lässt sich erkennen, ob die Endgeräte Legacy/BIOS oder UEFI gesteuert sind. Ein Bitlockerstatus lässt sich ebenfalls abfragen. Es existieren zahlreiche Auswertungen, die sich mit leichten PHP Kenntnissen erweitern lassen.

Ein weiteres Feature ist der Ordner „softwarelogos“. Legt man hier PNG-Dateien in 16×16 Pixel ab, die den Namen der Software tragen (Die ersten Zeichen bis zum Leerzeichen im Namen, z.B. microsoft.png), werden alle Softwareprodukte, die namentlich so beginnen, im Software-Register und den Softwareauflistungen mit dem Logo versehen.

#Erfreulich – Mi der aktuellen Distribution kommen die aktuellsten „stable“ Versionen von Apache, MariaDB, PHP, PHPMyadmin zum Einsatz. Eine integrierte WordPress Instanz lässt sich bei Bedarf aktivieren und als Intranet nutzen.

Die aktuelle Version erfordert das Entfernen der vorhandenen Installation und eine Neuinstallation, da die Datenbank von Oracle MySQL Community auf MariaDB Community 10.4 umgestellt wurde. Sichern Sie sich zuvor die Datei „pc-list-file.txt“ aus dem scripts Unterordner. Danach muss wieder neu inventarisiert werden. Ist dafür bereits eine Aufgabe im Windows Taskplaner vorhanden, die Aufgabe bearbeiten und die Zugangsdaten des Admin-Benutzers neu eingeben.

Download und Quellcodes

Wir haben Open-Audit als installierbare Version im Downloadbereich. Die Quellcodes sind auf Github abgelegt:

  Di. 17. Sep. 2024 14:41 vor 11 Monaten159 MB 4s@300MBit1,9K

Programme   erfreulich

OpenAudit Classic Inventar HW/SW Setup

Datei herunterladen Fr. 01. Aug. 2025 20:34 vor 3 Wochen

Quelloffene Software, die auf einem Windows Server installiert 1x pro Tag alle Hard- und Software inventarisiert. Enthält die aktuellen Versionen von Apache, PHP, MySQL (MariaDB 10.11 LTS), PHPMyadmin und NMap/NPCap, sowie die benötigten Visual-C++ Runtimes. Kann für WordPress Intranets genutzt…

Quellcodes, Changelog und Projekt Repository sind auf Github abgelegt:

Installation

Systemvoraussetzungen: Windows Server 2016/2019/2022 oder neuer bzw. Windows 10/11 Pro oder Enterprise (auf Server 2012 R2 oder älter lässt sich NMAP zwar teilweise verwenden, da diese Betriebssysteme aber keine Sicherheitsupdates mehr erhalten, ist davon abzuraten).
Die Installation erfolgt über das Entpacken und Installieren des heruntergeladenen Setup-Pakets. Sollte nach der Aktualisierung der Visual-C++ Runtimes ein Neustart des Servers vorgeschlagen werden, ist dieser nicht nötig. Mit „Nein“ antworten und das Setup erneut starten.

Nach der Installation die Oberfläche aufrufen und unter Administrator/IP-Liste erzeugen – Netzwerkliste aller Standortnetze im Format 192.688.1.0/24,172.26.12.0/24 eintragen. (oder erst nur das Hauptstellen-Netz). Die Subnetze zum Nachtragen bekommt man dann unter Sonstige Geräte/Printers IPv4 unter Port. Danach dann alle Netze beim IP-Listen Erzeuger eintragen. (Die durch das Programm erzeugte pc-list-file.txt enthält alle IP-Adressen aller Netzwerke, die OpenAudit Classic erfassen soll. Sie kann auch mit Excel befüllt werden, indem Sie in Zelle A1 z. B. 192.168.1.1 schreiben und dann nach unten bis Zeile 254 ausfüllen. Ab Spalte A255 beginnt dann das zweite Netz (einer Zweigstelle): 192.168.2.1. Wieder bis 254 ausfüllen. Am Ende markieren Sie den kompletten ausgefüllten Inhalt der Spalte A und kopieren ihn in die auf dem OpenAudit Classic Server Desktop liegende pc-list-file.txt Textdatei)

Rufen Sie nun die Windows Aufgabenplanung auf und öffnen unter Aufgabenplanungsbibliothek den Task: „openaudit scan täglich“ und ggf. den NMAP-Scan-Task (für non-Windows Geräte). In beiden Task die Domäne auf Ihre Domäne einstellen und einen Domain-Admin verwenden (z. B. IHREDOMAIN.LOCAL\Administrator).

Für den #NMAP Task müssen Sie im Verzeichnis: „c:/programme (x86)/xampplite/htdocs/openaudit/scripts“ die Datei audit.config in der unteren Hälfte im NMAP-Bereich anpassen und das IP-Netz Ihrer Hauptstelle eintragen (also erste Zeile: 192.168.1. – in der Zeile darunter: 192.168.001.

Der manuelle Start der Tasks lautet in der Open-Audit Konsole:

• cscript audit.vbs oder optional cscript audit.vbs 192.168.1.23 [username] [passwort]
• cscript nmap.vbs oder optional csctipt audit.vbs 154 (=IP-Endnummer des Geräts)

Offline- und Clientside Scans

Manchmal sind PCs so konfiguriert, dass sie nicht vom OpenAudit Classic Server erreicht und somit inventarisiert werden können (PULL-Verfahren). Außerdem sind möglicherweise Geräte außerhalb der Domäne vorhanden, die in das Inventar sollen. In diesen Fällen gibt es zwei Möglichkeiten, diese dennoch in die Datenbank zu übernehmen. Das PUSH-Verfahren sendet die Daten direkt vom Desktop des Clients an den Server (OA Clientside Scan) oder erstellt eine Textdatei auf dem Rechner, die dann über die OpenAudit Classic Oberfläche importiert werden kann. Anleitungen (howto) sind im jeweiligen Unterordner abgelegt. Laden Sie dazu die ZIP-Datei herunter und entpacken Sie.

Bevor Sie eine der enthaltenen Methoden verwenden, können Sie noch das Öffnen der Windows-Firewall versuchen:

• Wechseln Sie am OpenAudit Classic Server in der Verzeichnis „C:/Program Files (x86)/xampplite/htdocs/openaudit/scripts“
• Kopieren Sie die Datei 00-kunde-firewall-win10-open-oa.cmd auf jeden PC (z.B. auf den Desktop) und führen sie „als Administrator ausführen“ aus
• Öffnen Sie am Server die „Openaudit Classic Konsole“ und führen einen Testscan aus: CSCRIPT AUDIT.VBS {IP-Adresse des Client-Rechners}

Möglicherweise funktioniert der serverseitige Scan nun und der PC ist nun in der Liste. Wenn nicht, wechseln Sie am OpenAudit Classic Server in das Verzeichnis in den Unterordner offline-scan oder oa-clientside-scan und verfahren Sie wie in der jeweiligen howto beschrieben:

  Di. 17. Sep. 2024 14:41 vor 11 Monaten3 MB 0s@300MBit1,0K

Programme   OpenAudit

OpenAudit Classic Offline- und Clientside Scans

Datei herunterladen Fr. 25. Juli 2025 12:29 vor 4 Wochen

Manchmal sind PCs so konfiguriert, dass sie nicht vom OpenAudit Classic Server erreicht und somit inventarisiert werden können (PULL-Verfahren). Außerdem sind möglicherweise Geräte außerhalb der Domäne vorhanden, die in das Inventar sollen. In diesen Fällen gibt es zwei Möglichkeiten, diese…

Alternativ finden Sie die Ordnerstruktur aus dem Download auf Ihrem OpenAudit Classic Server unter:
C:/Program Files (x86)/xampplite/htdocs/openaudit/all-tools-scripts/

Methode 1: mit Setup (Unterordner OA-Clientside-Scan)

• aus dem Unterordner OA-CLIENTSIDE-SCAN die „openaudit-clientscan-setup.exe“ ausführen und auf dem zu erfassenden PC installieren (erfordert Adminrechte)
• Die Datei „audit.config“ mit dem Editor öffnen und in der Zeile audit_host=“http://openaudit:888″ statt „openaudit“ den Servernamen oder die IP-Adresse des OpenAudit Classic Servers eintragen
  (alternativ: Für den Openaudit-Server im DNS-Server einen (A) Alias Eintrag erzeugen namens „openaudit“)
• In die Windows Aufgabenplanung, die Aufgabe „Openaudit-Clientside-Scan“ bearbeiten und
  und einen administrativen Benutzer auswählen zur Ausführung

oder Methode 2 (von Hand):

• Den Inhalt des Unterordners OA-CLIENTSIDE-SCAN auf den Rechner kopieren (z.B. auf den Desktop)
• Die Datei „audit.config“ mit dem Editor öffnen und in der Zeile audit_host=“http://openaudit:888″ statt „openaudit“ den Servernamen oder die IP-Adresse des OpenAudit Classic Servers eintragen
  (alternativ: Für den Openaudit-Server im DNS-Server einen (A) Alias Eintrag erzeugen namens „openaudit“)
• Die Aufgabe „openaudit-clientscan.xml“ in die Windows Aufgabenplanung importieren
  und einen administrativen Benutzer auswählen zur Ausführung
  (sie startet täglich um 11:00 Uhr liefert an den OpenAudit Classic Server ab)

oder OFFLINE-SCAN (nur falls Clientdside-Scans nicht funktionieren)

• Den Inhalt des Ordners: offline-scan vom Openauditserver auf einen Speicherstick kopieren.
• „offline.cmd“ vom Speicherstick ausführen –> //pcname//.txt entsteht auf dem Stick.
• //pcname//.txt von C:/ mit dem Editor vom Stick öffnen und Inhalt in die Zwischenablage kopieren.
• Die OpenAudit Classic Oberfläche im Browser aufrufen https://openauditserver:4443/openaudit.
• Menü „Admin“ / „Add system“ aufrufen.
• Den Inhalt der Zwischenablage in das Eingabefeld dort einfügen und „Save/Speichern“ drücken.

Tipps & Tricks

Kleine #FAQ dazu: Wenn die UAC an der Server-Konsole aktiv ist, wird dort die OA-Konsole im non-elevated-rights Modus gestartet. Soll der Bitlockerstatus der Notebooks dokumentiert werden, muss die Konsole „als Administrator“ ausgeführt werden, bevor der cscript audit.vbs Lauf gestartet wird. Wenn Sie die OpenAudit Classic Console mit elevated rights als Verknüpfung anlegen möchten, erstellen Sie die folgende Verknüpfung:

C:\Windows\system32\cmd.exe /k pushd "C:\Program Files (x86)\xampplite\htdocs\openaudit\scripts"

OpenAudit Classic Konsole (ADMIN)

WMI-Fehler beim Verbinden lösen

Manchmal sind die Windows Rechner so konfiguriert (insbesondere, wenn sie nicht in der Domäne sind, manchmal aber auch in der Domäne), dass sie keinen WMI Remote-Zugriff zulassen. Die Lösung muss auf den Zielrechnern ausgeführt werden:

Rechte Maustaste auf Arbeitsplatz, Verwalten
Unter Benutzer den lokalen Administrator aktivieren und ihm das Kennwort des Domänen-Admins geben, der am OA Clasic Server das Inventar erstellt.
Dienste&Anwendungen / WMI-Steuerung (rechte Maustaste, Eigenschaften)
Reiter Sicherheit / Root anklicken
Button Sicherheit drücken
Lokalen (oder einen Domain Admin) hinzufügen
Erweitert anklicken, Doppelklick auf den gewählten Administrator
anwenden auf: "Dieser und untergordnete Namespaces" wählen
Alles ankreuzen (Berechtigungen nur für... Haken aber nicht setzen)
Viermal auf OK klicken, bis alle Dialoge zu sind
Computerverwaltung schließen

veeam Sicherheitsupdate erforderlich

Insbesondere wegen der aktuellen weltpolitischen Lage erfordert die Sicherheitsbetrachtung und das Schließen von Sicherheitslücken besondere Beachtung. Wer die Software „veeam Backup & Recovery“ einsetzt und einen aktiven Wartungsvertrag hat, sollte schnellstens auf die aktuelle Version aktualisieren. Hintergrund ist eine kritische Sicherheitslücke im Produkt, die Angreifern aus dem lokalen Netzwerk volle Kontrolle über den veeam Server ermöglicht. Bekanntlich funktionieren die meisten Angriffe mit Schadsoftware durch das Klicken eines Mitarbeitenden auf einen Link. Danach erfolgt im Hintergrund ein Download einer Software, die mit Benutzerrechten ausgeführt wird und im lokalen Netzwerk gezielt nach Produkten mit Sicherheitslücken sucht. Erlangt es über eine solche Lücke administrative Rechte, ist das Ausmaß des zu erwartenden Schadens signifikant höher als ohne. Die empfohlene Version erhöht sich dadurch auf build 11.0.1.1261 P20220302

 Artikel aus der veeam Knowledge Base zu den Lücken mit Downloadlinks: kb4288, kb4289 und kb4290

veeam Software – Supportseiten

Sicherheitsbetrachtung Kaspersky Antivirus

viele von Ihnen haben die #Kaspersky #Virenschutz Produkte (managed und unmanaged) im Einsatz. Einige von Ihnen fragen sich, wie sicher die Verwendung der Software ist und ob es Alternativen gibt. Am Ende müssen Sie die Entscheidung für sich selbst treffen. Die folgenden Fakten, die wir für Sie zusammengestellt haben, sollen Ihnen diese Risiko-Analyse erleichtern.

{Update August 2023: Links hinzugefügt. Die Einschätzung bleibt unverändert}

Umfrage

Risikobetrachtung

• Sortierung

Alternativen

Microsoft bietet (ganz aktuell) im Rahmen der Microsoft 365 Mietpläne mittlerweile einen managebaren Virenschutz auch für kleinere Unternehmen an Microsoft Defender für Business. Lizenzen sind für die Clients mit Microsoft 365 Business Premium Plänen inkludiert. Eine Umstellung von Kaspersky ist möglich, es können keine alten Betriebssysteme abgesichert werden.

Die Schutzwirkung ist vergleichbar mit den Kaspersky Produkten. Daher haben wir Support- und Produktmanagement aufgebaut, um Sie professionell bei einer Migration auf die Microsoft Defender für Business und Azure Defender Lösung unterstützen können. So lange laufen die meisten Kaspersky-Subscriptions.

Wenn Sie in Eigenverantwortung auf eine andere Drittanbieter-Antivirus Lösung umstellen möchten, gelten die folgenden Anregungen:

• Leistungsumfang und Schutzwirkung müssen mindestens auf dem Level angesiedelt sein wie bei Kaspersky
• Nebenwirkungen mit der auf den Servern und Clients betriebene Software sollten vermieden werden (insbesondere im Hinblick auf Performance und Datenintegrität)
• Der Anbieter sollte Ihr vollstes Vertrauen genießen. Manche Anbieter haben Ihren Firmensitz bzw. die Dachgesellschaften in Ländern wie der Slowakei, Rumänien, Slowenien, Pakistan, wo andere Datenschutzgesetze gelten, als in der EU.
• Die Vertragsbeziehung sollte immer mit einer deutschen Tochtergesellschaft des Herstellers erfolgen.
• Server, von denen die Daten/Signaturen verteilt werden, sollten innerhalb der EU oder in einem neutralen Land stehen (Schweiz).
• Kein Support durch die GWS: Systemkoordinierende sind für Drittanbieter-Produkte in voller Eigenverantwortung

Fazit

Die Einstufung der amerikanischen FCC (Telekommunikations-Regulierer) wie auch die BSI-Warnung von März 2022 vor dem Einsatz von Kaspersky geben als Begründung Risiken an, die für nahezu jede Antivirus-Software gelten. Entgegen beiden Artikeln hat die Kaspersky Dachgesellschaft „Kaspersky labs, Ltd.“ den Sitz in Großbritannien, nicht in Russland. Kaspersky ist einer der Weltmarktführer, daher wird das Risiko entsprechend hoch bewertet. Das Bundesamt rät ausdrücklich davon ab, den Virenschutz abzuschalten oder zu verschlechtern.

Im Moment sprechen viele Vorteile zunächst für den Weiterbetrieb von Kaspersky Antivirus. Der aufgezeigten Risiken sollte sich jede Führungskraft bewusst sein. Schlagartig auf einen anderen Virenschutz umzustellen, verschlechtert jedoch die Schutzwirkung für Altsysteme. In den von uns durchgeführten Risiko-Analysen nach BSI-Standard wird das allgemein gestiegene Risiko von Cyber-Sicherheits-Produkten bewertet. Dabei ist irrelevant, von welchem Hersteller der Virenschutz ist.

Wir sprechen uns damit aktuell weder für noch gegen Kaspersky Antivirensoftware aus. Mittelfristig – etwa bei Ablauf der Subscription – regen wir an, nach jeweils im Einzelfall zu erfolgender Risiko- und Vorteils- /Nachteilsabwägung, auf das integrierte Microsoft Produkt umzustellen. Dazu müssen alte Betriebssysteme modernisiert sein.

Kurzfristig empfehlen wir: Investieren Sie in Mitarbeiter-Awareness-Schulungen, um das Risiko für Angriffe zu verringern und kontrollieren Sie laufend die Berichte und Aktualität Ihres Virenschutzes und der Firewall-Infrastruktur. Erfahren Sie mehr hierzu in einem eigenen Artikel hier im Portal.

Pressemeldungen

Für Interessierte: Pressereview und Maßnahmen, die Kaspersky Labs zur Absicherung im Rahmen der SOC2-Zertifizierung der Software eingebaut hat:

https://www.kaspersky.com/about/compliance-soc2
https://www.kaspersky.com/about/iso-27001
https://www.faz.net/aktuell/wirtschaft/unternehmen/softwareanbieter-kaspersky-unter-verdacht-17867952.html
https://www.itmagazine.ch/artikel/seite/76682/0/.html
https://tarnkappe.info/artikel/nb65-riesen-blamage-mit-falschem-kaspersky-source-code-leak-216923.html
Stellungnahme von Kaspersky zum BSI-Artikel – PC-Welt am 15.03.2022
https://www.kaspersky.de/blog/kaspersky-statement-zur-warnung-des-bsi/28282/
https://www.silicon.de/41693219/usa-stufen-kaspersky-als-sicherheitsbedrohung-ein – FCC Meldung
https://community.beck.de/2022/04/28/bei-virenschutzprogrammen-bestehen-schon-aufgrund-ihrer-funktionsweise-sicherheitsluecken-ovg-nrw-zur-warnung – Einschätzung des OVG-Urteils durch Fachjuristen
BSI-Warnung war politisch motiviert – Artikel aus „legal Tribune online“

Cyber-Versicherung möchte mehr Geld

Einige Kunden sind verunsichert aufgrund der Aufforderung einer Versicherung die aktuelle Virenschutzlösung bekannt zu geben. Die Konsequenz, sofern es sich um eine Lösung des Herstellers Kaspersky handelt, ist die Erhöhung der Selbstbeteiligung und die Aufforderung die Lösung zu ersetzen.

Viele andere Versicherungen sehen „im Rahmen und Umfang der Verträge die Nutzung von Kaspersky aktuell nicht als Gefahrerhöhung an“. Falls Sie betroffen sein sollten, lassen Sie Ihre Situation durch einen Fachanwalt individuell prüfen.

Windows 11 Spam verhindern

obwohl zahlreiche Partner und auch Microsoft-Abteilungen die Verwendung von Windows 11 nicht freigeben, verwendet Microsoft nun sogar in den Windows 10 Enterprise-Versionen das „Wichtige Updates verfügbar“ Symbol in der Taskleiste mit einem blauen Punkt, um Benutzer aufzufordern, auf #Win11 zu aktualisieren. Selbst wenn man mit der rechten Maustaste darauf klickt, kann man die Meldung nicht vollständig abstellen, sondern „später erinnern“.

Bei einigen Systemen erscheint auch ein Vollbild-Hinweise nach der Anmeldung und bevor der Desktop freigegeben wird.

Geht man danach in die Systemsteuerung, Updates und Sicherheit, Windows Update, wird erneut mit einem prominent platzierten Banner Windows 11 beworben. Auch hier kann man nur „vorerst noch nicht“ auswählen.

Domänen Admins können diese Meldungen (falls die GPO noch funktioniert) diese Meldung verhindern (die GPOs müssen dazu mindestens die ADMX-Templates von September 2021 haben):

Computerkonfiguration
> Administrative Vorlagen
 > Windows-Komponenten
  > Windows Update
   > Windows Update für Unternehmen"
Im Schlüssel "Zielversion des Funktionsupdates auswählen"

Dort muss der Wert für das Produkt: „Windows 10“ enthalten und die Version auf „21H2“ gesetzt werden. Sollte Microsoft für Windows 10 doch eine 22H2 Version herausbringen (19045.x), ist dieser Wert zu setzen.

Hier noch der passende Registrierungsschlüssel (statt der GPO):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"TargetReleaseVersion"=dword:00000001
"TargetReleaseVersionInfo"="21H1"

SQL-Server 2012 Supportende Mitte 2022

Viele von Ihnen setzen in Verbindung mit gevis ERP | BC, gevis ERP | NAV und gevis Classic die sogenannte ISV-Runtime des Microsoft SQL-Servers ein. Mit einer jährlich zu verlängernden „Maintenance“ (Wartung) wird Ihnen das Recht gewährt, auf eine neuere Version vom SQL-Server zu aktualisieren. Darüber ist, solange Sie nur unsere Produkte (gevis, s.dok, BI1, NAV Lohn) auf diesen SQL-Servern einsetzen) die Lizenz deutlich günstiger als ein vollwertiger SQL-Server Standard.

Ab Mitte Juli 2022 gibt es keine Sicherheits-Updates mehr für #SQL Server 2012. #Sicherheitslücken sind damit vorprogrammiert.

3Jahre 1Monat 1Woche 2Tage
seit Di. 12. Juli 2022 1.136 Tage

Die Notwendigkeit, ein SQL-Versions-Upgrade auszuführen, tritt immer dann ein, wenn das Supportende des installierten Produkts abläuft oder eine neue gevis Version/Architektur eingesetzt wird (wie im Rahmen einer gevis ERP | BC Migration). Das Upgrade ist immer genau auf die Version mit dem kumulative Upgrade möglich, die von der verwendeten NAV-Version unterstützt wird.

So kann man mit Dynamics NAV 2017 maximal auf SQL-Server 2017 mit einem der ersten kumulativen Updates (CU) aktualisieren, nicht auf SQL-Server 2019. Zusätzlich gibt es eine Abhängigkeit zum verwendeten Server-Windows-Betriebssystem. Alte SQL-Server Versionen können nicht auf Windows Servern der Version 2019 oder 2022 installiert werden.

Handlungsbedarf

• Stellen Sie Ihre gevis Version fest und die darunterliegende Version von Microsoft Dynamics NAV bzw. Microsoft Dynamics 365 Business Central.
• Ermitteln Sie im SQL-Server Management Studio die Version Ihres SQL-Servers (z.B. 12.0.2034.21234)
• Dokumentieren Sie die Windows-Version Ihres SQL-Servers (und der NSTs/Batchserver)
• Prüfen Sie, ob Sie die SQL-Server Maintenance immer verlängert haben und aktuell ein Wartungsvertrag vorliegt.

Wenn eine aktive SQL-Server-Maintenance und die Umgebungsbedingungen dies erlauben, können Sie die Durchführung des Upgrades unter Einlieferung der oben genannten Ergebnisse bei uns beauftragen. Wir berechnen dann nur die Dienstleistung-Stunden, die wir per Fernwartung für das Durchführen der Aktualisierung benötigen, zum jeweils gültigen Stundensatz.

Liegt keine aktive Maintenance vor, müssen Sie zusätzlich die SQL-Server Lizenzen leider neu lizensieren (oder im Rahmen einer Cloud-Migration in Microsoft Azure anmieten). Auch hier bieten wir Ihnen die SQL-ISV-Runtime Lizenzen gern an.

Ihr Ansprechpartner für die Angebote ist Andreas Lübke.

IT-Sicherheit – erhöhtes Risiko von Cyberangriffen

derzeit verweisen Verbände auf ein Schreiben vom Verfassungsschutz Baden-Württemberg: „Warnung Kritischer Infrastrukturen vor dem Hintergrund der aktuellen Entwicklungen im Ukrainekonflikt“, in dem der Verfasser #Bedrohungen auflistet und Handlungsempfehlungen gibt.

Grundsätzlich ist festzustellen, dass die Zielgruppe des Schreibens nicht das klassische Handelsunternehmen ist, sondern die zur kritischen Infrastruktur gehörenden Energieversorger, Krankenhäuser, IT-Rechenzentren, Behörden und Verwaltungen.

Dennoch gelten die im Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI Standard 200-1) für die aktuelle weltpolitische Lage genau wie vor dem Krieg. Einzig das Risiko, angegriffen zu werden ist deutlich erhöht. Die Grundsätze der verwendeten Angriffsmethoden und die Maßnahmen, sich dagegen zu schützen, sind auch die gleichen wie vorher (DDOS-Angriffe, Verschlüsselungstrojaner und Ransomware). Das höchste Risiko besteht dabei durch die Mitarbeitenden. Organisatorische Maßnahmen können durch technische Aktualität ergänzt werden, es wird immer ein Restrisiko bleiben.

Ist Ihr Systemkoordinator zertifiziert und die Ausbildung nicht älter als 2 Jahre?

Unternehmen, die Systemkoordinierende zertifiziert haben, kennen aus der Schulung und Zertifizierung, welche Pflichtaufgaben selbst oder durch externe Dienstleister übernommen werden müssen.

Kunden ohne zertifizierte Syskos (oder wo die Zertifizierung älter ist als 2 Jahre) sollten eine Nachschulung beauftragen oder müssen sich das Wissen selbst aneignen. Dabei unterstützen die Inhalte des technischen und IT-Sicherheits-GWS BLOG (aka. Sysko-Portal oder tech-nachrichten.de).

• Wenn Sie noch keine Basis-Schulung absolviert haben, können Sie die 2-tägige Remote-Schulung hier beauftragen.
• Für die Auffrischungs-Schulung (Basis-Zertifizierung liegt mehr als 2 Jahre zurück) ist der Schulungsumfang (ebenfalls Remote) im Rahmen von ca. 6h und hier zu beauftragen

Ihren Erfüllungsgrad zum #BSI #Grundschutz dokumentieren wir im IT-Sicherheitscheck (1 Tag Remote mit der Unterstützung Ihrer Systemkoordinierenden) und schlagen Maßnahmen vor, wie Sie bei Mängeln reagieren können.

Jedes Unternehmen muss einen IT #Notfallplan haben, der die Risiken einschätzt und Maßnahmen im Störfall beschreibt. Notfallplan und Risikoanalyse: Haben Sie einen aktuellen und dokumentierten Notfallplan mit Risiko-Analyse? Das Produkt setzt einen IT-Sicherheitscheck voraus und kann hier beauftragt werden.

Beispiele für Handlungsempfehlungen und Must-Haves (nach BSI-Grundschutz)

• IT-Infrastruktur: Sind alle Router, Firewalls, Switches, Kameras, Server, IRMC, USVs, NAS-Geräte, Drucker und andere Geräte mit einer aktuellen Hersteller-Firmware ausgestattet?
• Firewall: Setzen Sie eine Firewall der aktuellen Generation mit SSL-Interception, Advanced Threat Protection, Content-Analyse auf den gesamten ein- und ausgehenden Traffic, zwei integrierten Gateway Virenscannern ein?
• Software: Microsoft Windows: Sind alle Server und Endgeräte mit Microsoft Windows Betriebssystemen auf dem aktuellen Stand (Sicherheitslevel vom letzten Patchtag)
• Software: Linux: Wenn Sie Linux-Server einsetzen – wird eine aktuell unterstützte LTS Variante eingesetzt (z.B. Ubuntu 18.04) mit allen Sicherheitspatches?
• Software: Anwendungen: Haben alle Anwendungen die aktuellen Sicherheitspatches? (Beispiele: Acrobat Reader, 7-ZIP, BGInfo, RDCMAN, Notepad++, weitere Tools
• Software: Browser: Setzen Sie ausschließlich Google Chrome für Enterprise in der aktuellen Version und Microsoft Edge für Enterprise, beide mit aktivierten Gruppen-Richtlinien ein, mit Google Chrome für Enterprise als Standardbrowser (schnellere Aktualisierung gegen Sicherheitslücken)
• Organisation, physischer Zugriff und Datenschutz: Sind alle Mitarbeiter im Umgang mit der IT insbesondere mit den Gefahren und aktuellen Bedrohungen geschult, Zugriffe eingeschränkt und dokumentiert?

IT-Sicherheit: und sie klicken doch

weil viele Spam Filter und Mitarbeiter, die immer noch gern alles anklicken englische E-Mails löschen, sind seit einiger Zeit Mails mit #Schadsoftware Schaltfläche auf deutsch im Umlauf. Diese drohen dem Empfänger mit fürchterlichen Folgen, wenn er nicht auf den Link klickt. Ein besonders schlechtes Beispiel wird zwar von guten SPAM-Filtern kassiert, aber dennoch dazu führen, das ein geringer Prozentsatz auf den Link klickt:

Erinnert mich stark an das albanische, manuelle Virus aus den Anfängen der 90er Jahre. Die SPAM-Mails vermeintlicher Banken haben meist keine Rechtschreib-Fehler, allen gemeinsam ist aber, dass eine E-Mail mit einem Link darin verschickt wurde. Ein Beispiel:

Maßnahmen dagegen

• Verwenden Sie eine Firewall der aktuellen Generation mit Content-Filtering, SSL-Interception und Advanced Threat Protection
• Blockieren Sie unerwünschte Inhalte/Inhaltstypen auf Basis von Content Filtering
• Verwenden Sie eine Microsoft 365 Office-Variante und sperren per Gruppenrichtlinie die Ausführung von Makros (
  Achtung: bei den Kauf-Versionen wie Office 2021 Home & Business ist das nicht möglich!)
• Verwenden Sie einen aktuellen und zentral verwalteten Virenschutz wie Azure Defender oder Windows Defender mit Advanced Security Package und Intune zur Verwaltung
• Schulen Sie Ihre Mitarbeiter regelmäßig, weder auf Links in einer E-Mail zu klicken, noch Anhänge zu öffnen. Mittlerweile gibt es sichere Methoden, Excel und Word-Dateien bereitzustellen. Auch PDF-Anhänge sind mit Vorsicht zu genießen

BSI Maßnahmenkatalog Ransomware

Das Bundesamt für Sicherheit in der Informationstechnik, kurz #BSI hat einen neuen Maßnahmenkatalog zum präventiven Schutz gegen Verschlüsselungs-Trojaner veröffentlicht. Das Dokument ist als Ergänzung zum BSI-Grundschutz zu verstehen und ersetzt diesen nicht.

Maßnahmenkatalog gegen Ransomware

BSI-Website

Teams, Microsoft 365 und Umfragen

Wer einen Microsoft 365 Plan hat, kann entweder aus Office (Sharepoint) oder aus #Teams heraus sehr einfach Umfragen erstellen. Wir gehen heute kurz auf die simple Möglichkeit ein, das aus Teams heraus zu tun:

Das Praktische dabei: Man muss nicht erst mühsam die Umfrage in einem Formular ausfüllen, um sie zu erstellen, sondern lädt stattdessen die Forms App in das Gespräch oder den Kanal ein:

@Forms Frage? Antwort 1, Antwort 2, Antwort 3, Antwort 4

Beispiel: @Forms Wie hoch ist der Eiffelturm? 124m, 182m, 334m, 500m

Schickt man die Zeile ab in der Chateingabezeile, wird sofort die Umfrage erstellt und erscheint im Kanal bzw. im Chat für die anderen Teilnehmer. Alternativ kann man den Link (über das … Menü, Rechte Maustaste) kopieren und an andere Mitarbeiter der Organisation bzw. Personen, die auf den Chat zugriff haben, weitergeben.

Voraussetzung, damit das funktioniert: Über die Teamsleiste oben im Chat das PLUS Symbol drücken und nach FORMS suchen. FORMS auswählen und speichern. Nun ist Forms Teilnehmer im Chat und die Umfrage kann wie oben beschrieben über den Erstell-String gestartet werden.

So kann man sich die wichtigsten Umfragen nicht nur im Sharepoint anlegen (und dann aufrufen über die GUI), sondern über Einspeisung Textzeile beispielsweise Schulungsfeedback im Kanal platzieren.

Hinweis: Bei den Umfrage-Apps wird auch Polly von polly.io angeboten. Diese App lässt es zu, genauso Umfragen zu erstellen. Allerdings lässt der kostenlose Plan nur maximal 25 Umfrage-Antworten pro Monat zu. Die Forms-App von Microsoft hingegen lässt sich im Rahmen der Microsoft 365 Pläne kostenlos nutzen. Die M365 Pläne bekommen Sie hier.

Alles hat ein Ende – Internet Explorer

Microsoft Fenster

Auch moderne Web-Interfaces bekommen immer wieder mal Übersetzungen in Landessprache spendiert. Während einige Oberflächen von #Microsoft wie die modernisierte Exchange online Admin-Oberfläche noch englisch sind, hat Microsoft an der Übersetzung im Azure Preisrechner gearbeitet:

Ich bleibe bis 2025 erstmal Fan von Fenster 10 Enterprise (im LangZeit WartungsKanal) 😉

s.dok (d.3 ECM) jetzt patchen

Sicherheitsupdates gibt es nicht nur wegen LOG4J. Während bei Microsoft am 2. Dienstag im Monat Patchday ist und der Chrome-Browser für Enterprise tagaktuell Sicherheitslücken schließt, hat unser Partner d.velop eine Sicherheitslücke informiert.

Handlungsbedarf für Sie?

Unser Partner d.velop hat im Rahmen einer internen Überprüfung eine potenzielle Sicherheitslücke in einer Komponente von d.3ecm identifiziert, wodurch unter Umständen unberechtigte Zugriffe auf Daten in Ihrem s.dok-System erfolgen könnten. Die Lücke wird von d.velop als kritisch eingestuft. Betroffen sind d.3ecm Versionen ab d.3ecm Current 2020.07 (8.02). 

Die technische Hürde, diese Sicherheitslücke auszunutzen, bewertet d.velop als sehr hoch. Zum einen sind sehr detaillierte, technische Kenntnisse des d.velop-Systems erforderlich und zum anderen sind die Systeme standardmäßig nicht über Ihr internes Netzwerk hinaus erreichbar. Da diese Sicherheitslücke aber potenziell zu einem Datenschutzvorfall führen könnte empfehlen auch wir, dieses Fehlverhalten unmittelbar abzustellen. 

Was müssen Sie tun? 

Prüfen Sie bitte, welche d.3ecm Version installiert ist und ob diese Version von der Sicherheitslücke  betroffen ist: 

1. Melden Sie sich mit Windows-Remotedesktop am d.3-Server an. 

2. Öffnen Sie auf dem d.3-Server den „d.velop logfile viewer“ (d.3 logview). 

3. Suchen Sie im Log mit STRG+F nach dem Begriff „server-version:“ 

Beispiel für d.3ecm Current 2020.07: server-version: Current 2020.07 (08.02.00.R38) 

Welche Versionen sind betroffen? 

Current	server-version im LogViewer
Current 2020.07	08.02.00.R38
Current 2020.08	08.02.00.R39
Current 2020.09	08.02.00.R40
Current 2020.10	08.02.00.R41
Current 2020.11	08.02.00.R42
Current 2020.12	08.02.00.R43
Current 2020.13	08.02.00.R44
Current 2021.Q1	08.02.00.R45
Current 2021.Q2 Preview 01	08.02.00.R46
Current 2021.Q2 Preview 02	8.3.0
Current 2021.Q2	8.3.1
Current 2021.Q2 Patch 01	8.3.2
Current 2021.Q2 Patch 02	8.3.3
Current 2021.Q3 Preview 01	8.4.0
Current 2021.Q3 Preview 02	8.5.0
Current 2021.Q3 Preview 03	8.6.0
Current 2021.Q3 Preview 04	8.7.0
Current 2021.Q3	8.7.1
Current 2021.Q3 Patch 01	8.7.2
Current 2021.Q3 Patch 02	8.7.3
Current 2021.Q3 Patch 03	8.7.4
Current 2021.Q4 Preview 01	8.8.0
Current 2021.Q4 Preview 02	8.9.0
Current 2021.Q4 Preview 02 Patch 01	8.9.1
Current 2021.Q4 Preview 03	8.10.1
Current 2021.Q4	8.11.0
Current 2021.Q4 Patch 01	8.11.1
Current 2021.Q4 Patch 02	8.11.2
Current 2021.Q4 Patch 03	8.11.2
Current 2022.Q1 Preview 01	8.12.0
Current 2022.Q1 Preview 02	8.13.0
Current 2022.Q1 Preview 03	8.14.0

Setzen Sie eine der o.a. Versionen ein Installieren Sie bitte den Patch „SECURITY PATCH Current 2020.07 – 2022.Q1 Preview 03“

Ungültige-Download-ID.

Installation des Sicherheitsupdates

1. Melden Sie sich mit Windows-Remotedesktop (mstsc /admin) an Ihrem s.dok-Server an. 

2. Laden Sie das Update über die o.a. Verknüpfungen herunter 

3. Führen Sie die im Paket enthaltene EXE-Datei aus und folgen den Anweisungen: 

Um die Installation für Sie so einfach wie möglich zu gestalten, reicht die alleinige Ausführung des Sicherheitspatches aus. Sie brauchen vorher keine Programme oder Dienste zu beenden oder nach der Installation ein Skript auszuführen. Eine Sicherung Ihrer Daten ist vor der Installation nicht erforderlich. Der Sicherheitspatch wurde so gestaltet, dass nur wenige Komponenten ausgetauscht werden. Nach Abschluss der Installation wird Ihnen ein Dialog angezeigt, der Ihnen mitteilt, ob die Installation erfolgreich war. Falls Sie nicht sicher sind, ob Ihr d.velop documents-System bereits gepatcht wurde, führen Sie die Installation ein weiteres Mal aus. Eine wiederholte Ausführung ist unkritisch. 

Wichtig: Bitte stellen Sie grundsätzlich immer sicher, Ihre Installation immer auf dem aktuellen Stand zu halten. 

Für Fragen und Rückmeldungen zu diesem Sachverhalt oder wenn Sie Unterstützung benötigen, erstellen Sie bitte einen Support-Vorgang über das Extranet.