Diashow Serverräume BSI Grundschutz

Folder Slider Fehler: Verzeichnis nicht gefunden wp-content/uploads/bilder/0000-xx-hardsv-bsi

Checkboxen in Word? lieber doch nicht

In Word aus Microsoft 365 Abonnements kann man die Registerkarte „Entwicklertools“ auch als Non-Developer einschalten. Damit lassen sich ankreuzbare Felder – genannt Checkboxen – im Word-Text unterbringen. So können beispielsweise Checklisten „hübsch“ zum Ankreuzen gestaltet werden:

Ankreuzfeld, schick

Warum das keine gute Idee ist, dieses schon vielfach im Internet von anderen Seiten gezeigte Feature von Word 365 zu nutzen?

• Sortierung

Um Checklisten und Fragenkataloge wirklich barrierefrei zu gestalten, empfehle ich daher, mit den „eckigen Klammern“ zu arbeiten:

[] nicht angekreuztes Feld
[X] angekreuztes Feld

Sieht zwar nicht ganz so schick aus, ist aber sogar mit Wordpad bearbeitbar. Ob man die Boxen noch Fett formatiert, sei jedem überlassen. Ich habe meine Checklisten und Fragenkataloge heute (ohne Fettdruck) auf das ASCII-Art Verfahren umgestellt. Allen, die sich gemeldet haben, vielen Dank für Ihr Feedback.

Microsoft übersetzt Chassis-Typen

Mal was zum Schmunzeln: Mit dem Windows Management Instrumentarium, kurz WMI kann man beinahe alle Informationen über Hardware und Software eines Windows Endgeräts oder -Servers abfragen. Im DOCS Artikel auf den Microsoft-Seiten springt beim Aufruf aus deutschsprachigen Regionen die automatische Übersetzung an und führt zu kuriosen Ergebnissen:

Pizzabox (5), Miniturm (6), Turm (7), Notizbuch (10), Hand gehalten (11), Alles in One (13), Unternotizbuch (14), Platz sparen (15), Mittagessen box (16), Hauptsystem-Gehäuse (17), Buserweiterungs-Chassis (20), Versiegelter PC (24), Tablette (30), Cabrio (31), Trennbar (32)

Mein Lieblings-Gehäuse ist die Mittagessen box, bei schönem Wetter nehme ich natürlich das Cabrio. Wer umweltgerecht unterwegs sein möchte, nimmt das Buserweiterungs-Chassis mit 9-Euro Ticket. und zum Schach spielen Turm oder Mini-Turm. Derzeit arbeite ich allerdings mit einem „Alles in o(h)ne“. Sicher im Internet unterwegs ist man nur mit einem „versiegelten PC“.

Microsoft Docs zur WMI Klasse

https://docs.microsoft.com/de-de/windows/win32/cimwin32prov/win32-systemenclosure

Clipart kostenlos von Microsoft

Seit etwa einer Woche liefert Microsoft neue, animierte 3D-Emojis in Teams aus. Seit längerem lassen sich mit Windows 10 über die Tastenkombination Windows&Punkt Emojis und andere Symbole in E-Mails und andere Anwendungen einfügen.

Neu ist, dass die „FluentUI Design Icons“ unter einer MIT-License (diese ist Open-Souce und hat keine Einschränkungen hinsichtlich der Nutzung, Veränderung oder Verwendung) freigegeben sind.

Es handelt sich um etwa 3.100 Symbole aus allen Bereichen. Dazu zählen nicht nur zahlreiche Emojis und Gesten, sondern auch Symbole aus dem Alltag, die beispielsweise Artikel in einer Internetseite aufwerten bzw. strukturierter lesbar gestalten können. Die Bilder liegen im 256×256 Pixel PNG Format vor.

Wer also die Clipart verwenden möchte, kann dies gern tun.

Github Ressource. Über Code/Download kann die Clipart heruntergeladen werden.

https://github.com/microsoft/fluentui-emoji

August-Patchday schließt 0-Day-Lücken

Der diesjährige August #Patchday von Microsoft verdient besondere Aufmerksamkeit. So wurden am Dienstagabend unter anderem zwei kritische #Sicherheitslücken geschlossen, die als 0-Day-Lücken bezeichnet werden.

Zero-Day-Lücken sind Sicherheitslücken, die schon im Internet von Kriminellen genutzt werden, um Kontrolle über angegriffene Systeme zu bekommen oder Datendiebstahl zu begehen. Dazu müssen sie nicht einmal die Firewall überwinden. Vielfach reicht es aus, auf einer (gehackten) Website Schadcode zu hinterlegen, die der ahnungslose IT-User „ansurft“.

Nur Firewalls der aktuellen Generation mit Advanced Thread protection und SSL-Interception schützen weitgehend davor – aber nur, wenn Sie die Methoden kennen – was bei 0-Day-Lücken nicht immer der Fall ist.

Kontrollieren Sie bitte, dass zeitnah auf Windows 10 (Windows 11 ist auch betroffen, sollte aber, wenn Sie unserer Empfehlung folgen, nicht im Einsatz sein) und den Windows Servern installiert sein. Die Toleranzzeit für Versicherungen beträgt normalerweise 7 Tage (ab Patchday, 2. Dienstag im Monat, 19:00 ME(S)T).

Edge nervt mit Standardbrowser-Popups

wer Google Chrome für Enterprise als Standardbrowser einsetzt (wie empfohlen) und Microsoft Edge als „Ersatzbrowser“ und zur Absicherung des Betriebssystems wird sich sicherlich schon geärgert haben, dass Edge andauernd ein Popup oben einblendet, das empfiehlt, Edge zum Standard-Browser zu machen.

Nein, Microsoft – wenn ich einmal NEIN ankreuze, möchte ich nicht mit jedem Browser-Update wieder diese Meldung haben.

Zum Glück gibt es Abhilfe:

edge://flags/#edge-show-feature-recommendations

Dieser Schalter kann auf „disabled“ gesetzt werden und schon ist (hoffentlich dauerhaft) Schluss mit den „Edge zum Standard machen“ Popups.

Zusätzlich sollte die folgende Gruppenrichtlinie aktiviert bzw. der Registry Schlüssel gesetzt werden:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"SmartScreenEnabled"=dword:00000001
"DefaultBrowserSettingEnabled"=dword:00000000

Ich wünsche mit auch einen solchen Schalter für die Teams Free Version und für Onedrive in der kostenlosen Version – denke aber der wird dort nicht kommen 😛

BSI-Werkzeug gegen Telemetrie

Jedes Windows System telefoniert, wenn das nicht bei der Installation, im Assistenten bei der ersten Anmeldung oder per Gruppenrichtlinie verhindert wird, nach Hause. Da das Zuhause in den vereinigten Staaten liegt, könnten die gesammelten Informationen aus datenschutzrechtlichen Gründen kritisch sein. Zu Telemetrie-Daten zählt nicht nur der Standort, sondern auch eine eindeutige ID des Endgerätes, Version, Patchlevel, mitunter sogar Nutzungsverhalten, Fehlerprotokolle und viele Statistik-Daten, die nicht übertragen werden sollten.

Wer das verhindern möchte (Admins oder auch die Anwender am Gerät), bekommt nun Unterstützung vom Bundesamt für Sicherheit und Informationstechnik (kurz: BSI).

Eine Sammlung von Gruppenrichtlinien

Gruppenrichtlinien zur Einschränkung der Telemetrie

System Activity Monitor

BSI-Internetseiten

Auf den Webseiten wird auch die Benutzung erklärt. Wenn Sie das Ganze über die Windows Einstellungen abschalten möchten, finden Sie es unter: Wählen Sie das Menü Start  aus, wählen Sie dann Einstellungen  > Datenschutz aus. Betrachten Sie ALLE Untermenüs und wählen die von Ihnen gewünschten Einstellungen aus (Empfehlung so viel wie nötig und sie es zu Ihrem Komfort gebrauchen, so wenig wie möglich).

Lenovo UEFI Firmware-Lücken nicht in Thinkpads

Wieder einmal haben Sicherheitsforscher in zahlreichen lenovo Notebook-Modellen kritische Sicherheitslücken entdeckt, die durch Firmware-Updates des Herstellers geschlossen wurden.

Die gute Nachricht. Im geschäftlichen Umfeld setzen wir ausschließlich Notebooks der „ThinkPad“ Serien ein, die nicht nur bessere Verarbeitung und Robustheit aufweisen, sondern auch wertige Chipsätze und im Wesentlichen gut verarbeiteter Firmware. Zwar kann bei einem Firmware-Update auch hier was schief laufen – dafür gibt es aber die Zaubertaste, die so manchen Technikereinsatz/Mainboardtausch überflüssig macht.

Fazit

Wer Thinkpads (oder Thincentre Tiny) Geräte einsetzt, braucht keine Sicherheitslücken zu schließen und ist von den Lücken nicht betroffen. Wer dennoch die Consumer-Serie (ThinkBook und „Yoga ohne Thinkpad“ einsetzt, kann im folgenden Artikel lesen, was zu tun ist

https://support.lenovo.com/de/de/product_security/len-91369

lenovo Supportseiten für Consumer Geräte

Alte Windows-Server nicht mehr erreichbar

Mit dem Juni 2022 kumulativen Update für alle derzeit unterstützten Windows Server ab Version 2012 R2 aktiviert Microsoft DCOM Server-Sicherheitsfeatures, die die Kommunikation mit Servern, die am Ende der Laufzeit (EOL) für Sicherheitsupdates sind oder ein bereits im Juni 2021! veröffentlichtes Update NICHT installiert haben.

Betroffene Server können beispielsweise von der Datensicherungssoftware nicht mehr erreicht werden, sind also nicht mehr gesichert. Auch Monitoring-Programme können diese Server nicht mehr überwachen. Mehrere andere Programme können die Server nicht mehr erreichen, weil nur eine gesicherte DCOM Kommunikation erlaubt ist.

Workaround währt nicht lange

Derzeit kann man über eine Gruppenrichtlinie für die Server ab 2012 R2 die Kommunikation zwar wieder einschalten, mit dem Patchday im März 2023 wird aber auch dieser Schalter abgestellt. Wie der Workaround funktioniert, ist im verknüpften Microsoft Artikel beschrieben

Nachhaltige Lösung

Wer noch Windows Server 2008 R2 einsetzt, sollte sich Gedanken über die darauf installierte Software machen und diese Produkte ablösen. Auch die Laufzeit von 2008 R2 in der Azure Cloud (und im ESU-Modell) ist mit Ende 2023 fest.

Zum Modernisieren können Server in Microsoft Azure als Mietmodell eingesetzt werden oder neue Hardware mit OEM-Betriebssystem-Lizenzen beschafft werden. In jedem Fall sollten Sie sich kurzfristig von nicht mehr unterstützten Servern trennen und mittelfristig auch von Server 2012 R2 Instanzen. Im letzteren Fall ist die Azure Cloud eine Möglichkeit, zumindest Server 2012 R2 länger als bis September 2023 einzusetzen, falls unbedingt notwendig.

Fazit

• Schaffen Sie Windows Server 2008 R2 Systeme ab und modernisieren diese durch Neuinstallation in Azure oder Neubeschaffung On-Premises.
• Sorgen Sie bei allen Servern ab 2012 R2 für monatlich aktuelle Updates. Versicherungen kürzen die Leistung im Schadenfall, wenn die Patches nicht monatsaktuell (mit Toleranzzeit von einer Woche) installiert sind.
• Übergangsweise können Sie auf den Servern den Registry-Schlüssel setzen. Das verschafft Ihnen Zeit, zu modernisieren

Microsoft-Artikel KB5004442 zu den Sicherheitsänderungen

https://support.microsoft.com/de-de/topic/kb5004442-verwalten-von-%C3%A4nderungen-f%C3%BCr-die-umgehung-von-windows-dcom-server-sicherheitsfeatures-cve-2021-26414-f1400b52-c141-43d2-941e-37ed901c769c

OpenAudit Classic Software-Vergleich

Der aktuelle Build 2022-07-10 von #OpenAudit Classic kann nun die PB Softwareliste über das Admin-Menü importieren und vergleicht installierte Software-Versionen mit der importierten Dateiversion. So lässt sich prüfen, ob die installierte Basis einen mit der importierten Datei aktuellen Stand hat. In der Softwareliste werden alte Versionen rot gekennzeichnet, ist die Version auf dem importierten Stand: grün.

Eine Spalte mit Beschreibungen zu in der importierten Liste gefundenen Produkte, sowie eine Lizenzart-Spalte wurden in der Softwareliste ergänzt. Die Spalten der Hardwareübersicht wurden umsortiert, so dass zuerst die logischen Cores (z.B. einer VM oder eines Azure virtuellen Servers) angezeigt werden, dann Prozessortyp und cpu Sockets und physikalische Cores (vcpu).

BSI Tipps nicht nur vor dem Urlaub

In einem aktuellen Twitter-Post gibt das Bundesamt für #Sicherheit in der Informationstechnik, kurz #BSI Tipps zur Vorbereitung der digitalen und social Umgebung vor dem Urlaub:

Zitat: „Überprüft die Privatsphäre-Einstellungen eurer Social-Media-Accounts
Schaltet Standortinformationen nur ein, wenn ihr sie braucht
Macht ein Backup eurer Daten und speichert eine Kopie auf einem externen Datenträger
Schützt elektronische Geräte mit einem sicheren Passwort oder PIN-Code
Installiert alle Updates auf euren Geräten“

https://twitter.com/BSI_Bund

Mehr Details auf einer eigenen Seite beim BSI

Diese Empfehlungen kann man nicht nur vor den Ferien beherzigen, sondern grundsätzlich. Da es eher selten vorkommt oder unerwünscht ist, den Laptop mit in den Urlaub zu nehmen und das „Dienstabteil“ im Handy geschlossen/inaktiv sein sollte, werden dienstliche Telefone bei erlaubter privater Nutzung gern verwendet.

Gerade hier sollte die Sicherheit auch ganz oben angesiedelt sein. Denn obwohl in den meisten Fällen die Datenbereiche strikt getrennt sind, ist dennoch die Hardware bei einem Angriff kompromittiert und private Daten verloren.

Für Ihre Mitarbeitenden hat die Redaktion ein kleines Quiz zur Selbsteinschätzung vorbereitet. Hier können sie sich selbst testen, wie gut und sicher sie mit dem Thema umgehehen.

Dynamics 365 BC ab V17 - Chromium Bug

Im Chromium-Projekt, auf dem der empfohlene Browser für gevis ERP | BC (auf Basis von Microsoft Dynamics Business Central ab Version 17): „Google #Chrome für Enterprise“, sowie Microsoft New #Edge aufbauen, ist mit „Stable Release“ Version 103 ein Fehler in der Interpretation von CSS-Dateien (CSS-Rendering) programmiert worden. Damit erscheinen „Schiebeschalter-Elemente“ in Masken im Browser an den falschen Stellen oder sind gar nicht sichtbar.

Das Microsoft Dynamics 365 BC Team hat in seinem BLOG einen Workaround beschrieben:

Gehen Sie dazu mit adminstrativen Rechten auf alle Service Tier Server (NSTx) und öffnen jeweils den Pfad (für „Instance setzen Sie z. B. „bc-180-client-prod“ oder „bc-170-client-test“ – je nach eingesetzter BC Version):

Im Editor öffnen >
"C:\inetpub\wwwroot\“Instance“\wwwroot\Resources\desktopPreview.css"

Beispiel >
"C:\inetpub\wwwroot\BC180-Client-Prod\wwwroot\Resources"

und folgenden Eintrag entfernen (dann vorher die Datei sichern) oder auskommentieren (/* davor und */ dahinter) >
/* .booleancontrol-toggle-switch-container .edit-container .input-wrapper{display:inline-flex;align-items:center;min-height:28px} */

Obwohl Firefox den Fehler nicht hat, ist es nicht zu empfehlen, übergangsweise Firefox als Standardbrowser zu deklarieren. Auch deshalb keine gute Idee, weil s.dok Archiv und s.scan einen Chromium-basierten Browser voraussetzen und mit Firefox das Archiv nicht funktioniert. Immerhin ist der Fehler im Projekt erkannt und ist bereits in der jetzigen „Canary“ Betaversion der beiden Browser Edge und Chrome behoben.

Es ist zu erwarten, das frühestens mit Release 104, spätestens mit Release 105 der Fehler behoben sein wird und dann die Änderung in der CSS-Datei rückgängig gemacht werden kann.

Artikel im Microsoft Blog

Microsoft Blog pages

Windows 10 22H2 kommt im Herbst

Mit dem optionalen Juli-Update erhöht sich der Update-Zähler der Windows 10 Version auf 1865. Zusätzlich gibt Microsoft damit bekannt, dass im Herbst einige aktualisierte Funktionen (welche das sind, ist noch nicht bekannt) auch in Windows 10 implementiert werden.

Das Ganze ist wieder ein „kleines“ Update, das bedeutet neben den monatlichen #Sicherheitsupdates und den Fehlerkorrekturen zwei Wochen danach wird es zum September oder Oktober Patchday wieder ein „Enablement-Package“ geben, dass die dann enthaltenen neuen Funktionen freischaltet und den „Build“ von 19044 auf 19045 anhebt. Diese Maßnahme muss Microsoft machen (das Build-anheben), weil der jeweils aktuelle Build immer nur 18 Monate Support hat und man ältere Versionen von Windows 10 – die man nicht aktualisiert hat – nicht mehr einsetzt.

Der Betriebssystemkern bleibt beim Stand von September 2019 (Codename: Vibranium – wie im Marvel Comic), die volle Versionsangabe ist damit: 19041.1.amd64fre.vb_release.191206-1406/1806.

Wer die 19045 jetzt schon einschalten möchte (damit die Funktionen bei Auslieferung im Patchzyklus automatisch aktiviert werden mit dem .msu Paket „windows10.0-kb5015684-x64-1945enabler.msu“ aus der Microsoft Knowledgebase bei Microsoft tun.

Alternativ kann dies mit der folgenden Befehlsfolge ab Build 1826 (in einer administrativen Powershell oder Eingabeaufforderung) geschehen. Dazu muss es jedesmal nach einem Update die 1826 durch den aktuellen Build angepasst werden.

@echo off
title windows 19045 enabler für build .1826
dism /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-Product-Data-22h2-EKB-Package~31bf3856ad364e35~amd64~de-DE~10.0.19041.1826.mum
dism /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-Product-Data-22h2-EKB-Package~31bf3856ad364e35~amd64~~10.0.19041.1826.mum
dism /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-Product-Data-22h2-EKB-Wrapper-Package~31bf3856ad364e35~amd64~de-DE~10.0.19041.1826.mum
dism /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-Product-Data-22h2-EKB-Wrapper-Package~31bf3856ad364e35~amd64~~10.0.19041.1826.mum
dism /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-UpdateTargeting-ClientOS-22h2-EKB-Package~31bf3856ad364e35~amd64~de-DE~10.0.19041.1826.mum
dism /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-UpdateTargeting-ClientOS-22h2-EKB-Package~31bf3856ad364e35~amd64~~10.0.19041.1826.mum
dism /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-UpdateTargeting-ClientOS-22h2-EKB-Wrapper-Package~31bf3856ad364e35~amd64~de-DE~10.0.19041.1826.mum
dism /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-UpdateTargeting-ClientOS-22h2-EKB-Wrapper-Package~31bf3856ad364e35~amd64~~10.0.19041.1826.mum

Sicherheitslücken in PHP 7 – 8.1

Update: Nach meinen Recherchen haben die führenden Hosting-Provider (all-inkl.com, Strato, ionos…) das PHP-Punktrelease 8.0.20 installiert, so dass diese Plattformen derzeit vor Angriffen gegen diese Lücken abgesichert sind .

In den aktuell von der Community unterstützten Versionen von PHP wurden einige kritische #Sicherheitslücken geschlossen (CVE-2022-31625, CVE-2022-31626). Wer Webserver im Internet betreibt oder wie üblich bei einem Provider hosten lässt, sollte prüfen, ob er die derzeit empfohlene Version 8.0.20 im Einsatz hat, ansonsten auf die Version aktualisieren.

Viele Webseiten basieren auf #Wordpress, dem quelloffenen Content-Management System. Aber auch Joomla oder Typo3 setzen PHP und eine MySQL/MariaDB als Datenbank ein. Durch die Lücken werden diese Webserver angreifbar und könnten unter fremde Kontrolle gebracht werden.

Das quelloffene #OpenAudit Classic setzt ebenfalls PHP und die MariaDB ein. Das Risiko ist hier zwar deutlich geringer, da die Webserver nicht im Internet erreichbar sind, eine Aktualisierung ist aber empfohlen. Auf unseren Downloadquellen ist ab Version 2022-06-xx die aktuelle PHP Version 8.0.20 enthalten. Apache und MariaDB sind ebenfalls auf dem jeweils aktuellen Stand.

Wer noch alte PHP Versionen wie Version 5.x einsetzt, sollte das nicht im Internet tun. In einem Intranet oder Extranet ist das Risiko aufgrund der eingeschränkten Teilnehmerzahl zwar geringer, aber grundsätzlich vorhanden. Angreifer müssten sich dazu zunächst im Intranet/Extranet anmelden.

Lenovo und die Zaubertaste

beim Einspielen eines #Firmware Updates kann es passieren, dass das UEFI/BIOS betroffene Geräte einfach abschaltet (und nicht wieder einschaltet). So hat bei mir das über die lenovo vantage app installierte, kritische „Thunderbolt Firmware Update“ die USB-C-Stecker abgeschaltet (obwohl keine Fehlermeldung zu sehen war). Nach dem Neustart wurde das #lenovo Thinkpad weder aufgeladen, noch funktionierten die USB-C-Anschlüsse. Auch der HDMI-Ausgang war davon betroffen.

Die Auswirkung ist wie bei dem Problem mit „NVM wear-out“ einer alten Firmware, die nach 6 bis 12 Monaten den 8 GB Flash-Speicher im Gerät gehimmelt hat. Das Besondere daran: Das Yoga X13 Gen1 hat nie die fehlerhafte Thunderbolt-Firmware gehabt, die den Speicher schrottet!

Es meldete sich die lenovo Hotline Düsseldorf und nachdem ich dem Techniker die Anamnese (Fehlerbeschreibung) durchgegeben habe, meinte er, das Problem lässt sich ohne Hardwaretausch lösen.

Der Zauberknopf

Macht man das Thinkpad stromlos (Netzteil entfernen) und dreht es um, ist oberhalb der mittleren Schraub auf der linken Seite ein Loch, in das eine SIM-Nadel oder eine kleine Büroklammer passt. Bein Einführen fühlt man, dass ein Mikroschalter ausgelöst wird.

• Die Büroklammer nun über 30 Sekunden lang bei gedrücktem Mikroschalter so halten.
• USB-C Netzteil am hinteren Port (Thunderbolt-Ladeport) anschließen. Wenn die orangefarbene LED leuchtet, wurde das Mainboard „resetted“.
• Es gehen dabei keine Daten verloren, nur abgeschaltete Komponenten werden wieder aktiviert.

Alles funktioniert nun wieder, das Thinkpad lädt und die Thunderbolt-Schnittstellen nebst Dockingstation verbinden sich wieder.

Fazit

Diese wirksame Funktion einer „Selbstheilung“ sollte viel besser bekannt gemacht werden. Wer also auf ein Problem mit seinem Thinkpad stößt, kann gefahrlos erst diese Reset-Methode versuchen. Ist das Problem danach noch persistent, kann immer noch die Hardware getauscht werden.

Sicherheitslücken und Workarounds

Update: Mit dem Patchday Juni 2022 (14.06.2022) wurde zumindest die MSDT (auch als Follina bekannte Sicherheitslücke) geschlossen. Ob die Searchdienst Lücke noch weiter besteht, ist weiter offen. Dennoch kann es nicht schaden, die beiden Dateiklassen-Zuordnungen – wie unten beschreiben – abgeschaltet zu lassen. Die Search Lücke ließe sich mit einigem Aufwand immer noch nutzen, ist aber von der Risiko-Klassifizierung geringer.

In #Windows (prinzipiell sind auch Terminalserver und die anderen Serverkonsolen betroffen, nicht nur Clients) gab es bereits letzte Woche eine kritische #Sicherheitslücke im „MSDTC Handler“ – das ist die Funktion, die Hilfe und Problembehandlung ausführt. Durch geschicktes Manipulieren kann ein Angreifer Code ausführen und somit Malware aus dem Internet ausführen. Wir hatten darüber berichtet. Ist Microsoft Office in einer Kaufversion (2013-2021) installiert, gibt es kein administratives Mittel, die Lücke effektiv zu stopfen.

Allerdings kann man (auch über eine Gruppenrichtlinie) Registrierungsschlüssel setzen (bzw. hier entfernen). Gestern kam eine weiter Lücke dazu, die sich auf den URL-Handler: „ms-search“ bezieht.

Ich selbst kenne keinen, der diese beiden Funktionen in Windows aktiv nutzt, daher habe ich die Schlüssel vorher nicht gesichert, sondern sie einfach entfernt. Das funktioniert wie folgt (bei Risiken und Nebenwirkungen sind Sie natürlich selbst verantwortlich):

reg delete HKEY_CLASSES_ROOT\search-ms /f
reg delete HKEY_CLASSES_ROOT\ms-msdt /f

Die Gruppenrichtlinie zum Abschalten des Problembehandlungsassistenten ist:
Computerkonfiguration/Richtlinien/Administrative Vorlagen/System/Problembehandlung und Diagnose/Skriptdiagnose/Problembehandlung: Zugriff und Ausführung von Problembehandlungs-Assistenten durch Benutzer zulassen -> Deaktivieren