Internet Domain .zip lieber sperren

Auch Google ist als Vergabestelle von Internet-Domains (Registrar) am Markt tätig. Seit Mai 2023 ist die Toplevel Domain „.zip“ ohne Einschränkung buchbar. Bereits wenige Tage nach Verfügbarkeit nutzen Betrüger diese Domain, um Benutzer zum Klicken zu animieren und Schadcode zu verteilen.

Damit sind beispielsweise URLs wie: https://packprogramm.zip oder https://neuertreiber.zip oder https://sicherheitsupdate.zip möglich.

Der Betrachter könnte auf die Idee kommen, dass es sich um ein wichtiges Update handelt, das er installieren muss.

Meist erfolgt aber kein Download, sondern man bekommt eine Website angezeigt, wo man erstmal vertrauliche Daten eingeben muss. Alternativ wird die im Browser nachgebildete Oberfläche von Winrar in der Sprache des Besuchers angezeigt und bewirbt das Schadprogramm einen vertrauenswürdigen, virengeprüften Download.

#Wichtig – Sicherheitsforscher raten derzeit, den Zugriff auf Domains unter .ZIP in der Firewall zu sperren. Es ist auch nicht ganz klar, welchen Werbe- und Erkennungseffekt die Endung haben soll (ZIP steht für eine amerikanische Postleitzahl oder für Reißverschluss)

Details im Artikel des Forschers

Systemkoordinierende - sind Sie zertifiziert?

Mit der gevis Einführung und Migration auf neue Versionen, in die IaaS- oder SaaS-Cloud sind immer Pflichtschulungen zur Ausbildung und Zertifizierung von Systemkoordinierenden – kurz SYSKO – erforderlich. Die folgende Checkliste soll Ihnen erleichtern, Ihren Status zu ermitteln. Zertifizierte Systemkoordinierende können viele vorgeschriebene und wiederkehrende Aufgaben in Eigenverantwortung lösen – ohne dafür einen kostenpflichtigen Vorgang bei uns eröffnen zu müssen. Sie sind die Feuerwehr im eigenen Hause und halten den IT-Betrieb am Laufen.

Ermitteln Sie Ihren Status nach folgender Checkliste:

• A ( ) Bei Einführung von gevis (Version 7 bis einschließlich Version BC 140) habe ich die 2-tägige Sysko-Basis-Schulung absolviert (und die Prüfung abgelegt)
• B und: ( ) Bei Migration von gevis (Version 7 bis einschließlich Version BC 140) auf gevis ERP | BC oder gevis ERP | SaaS oder gevis ERP | VEO habe ich etwa 6-stündige Sysko Aktualisierungs-Schulung besucht (und die Prüfung abgelegt)
• C ( ) Wir haben direkt gevis ERP | BC ab Version 15 (Client ausschließlich im Browser) eingeführt und ich habe die habe ich die 2-tägige Sysko-Basis-Schulung absolviert (und die Prüfung abgelegt). Zertifizierte Syskos sind noch noch im Unternehmen
• D oder: ( ) Bei Einführung von gevis (ERP | SaaS oder ERP | VEO) habe ich die 1-tägige Sysko anywhere SaaS Schulung absolviert (und die Prüfung abgelegt)
• E ( ) Ursprüngliche SYSKOs haben das Unternehmen verlassen. Neue Mitarbeitende (mindestens 1) haben die 2-tägige Sysko-Basis-Schulung für neue Mitarbeitende absolviert (und die Prüfung abgelegt)

Kreuzen Sie bitte Zutreffendes an. #Wichtig – nur wenn Sie die folgenden Buchstabenkombinationen erhalten, ist Ihr Unternehmen #zertifiziert und auf dem aktuellen Stand der Sysko-Zertifizierungen:

A+B oder C oder D oder/und E

Wenn nicht, melden Sie sich oder anderen Mitarbeitende im Betrieb bitte zu den noch fehlenden Schulungen an. Mehr Details zu den Syskotätigkeiten hier.

Windows 10 Zukunfts-Strategie

Bekanntlich endet mit dem Patchday am 15. Oktober 2025 die Updateversorgung für die Kauf-Versionen von Windows 10 und Windows 10 Pro. Wer also keine LTSB oder LTSC oder die IoT-Versionen dieses Betriebssystems mit Software-Assurance gemietet hat, muss sich bis zum genannten Zeitpunkt Gedanken machen, was mit den Endgeräten und Betriebssystemsoftware zu tun ist. Hierbei gelten nur Alt-PCs, die mindestens 8 GB Arbeitsspeicher, eine SSD und mindestens einen Core i5-Prozessor haben, als alltagstauglich.

Ist das PC-Endgerät von vor 2018 (aka. Intel Core-I-Prozessor kleiner als 8. Generation)	PC bis Herbst 2025 weiterbetrieben, dann 2-10 kg Elektronikschrott und ca. 63 kg CO2 produzieren, mindestens 500 € (bei Notebooks mindestens 1000 €) in die Hand nehmen und neuen PC / neues Notebook mit Windows 12 Pro anschaffen
(gilt nicht für Notebooks, nur für kabelgebundene PCs)	oder: IGEL-OS bei IGEL.com mit Wartung anschaffen und auf der vorhandenen Hardware installieren. + Azure Virtual Desktop bei Microsoft anmieten, Clients lizensieren mit oder ohne Office und dann remote arbeiten
Gerät ist neuer (mind. 8Gen Prozessor, TPM 2.0, Secure Boot)	Auf Windows 12 Pro aktualisieren (noch unklar: ggf. kostenlos, kann aber auch eine Lizenz erfordern)
Neues Gerät soll angeschafft werden	jetzt: Windows PC oder Notebook mit Windows 10 Pro (Downgraderecht von Windows 11 Pro in Business PCs führender Hersteller enthalten. ab Herbst 2024: Windows PC oder Notebooks mit Windows 12 Pro erwerben.
Gerät braucht keine lokale Software	HP Thin-Client oder andere Hardware mit IGEL-OS von IGEL.com mit Wartung beschaffen + Azure Virtual Desktop bei Microsoft anmieten, Clients lizensieren mit oder ohne Office und dann remote arbeiten

Der entscheidende Vorteil der IGEL OS Lösung (auch auf anderer Thin-Client Hardware z. B. von HP) besteht darin, dass alle Einstellungen über die zentrale IGEL UMS Oberfläche administriert werden können . Dazu zählen als Hardware auch x86 PCs. Man braucht keine lokalen Eingriffe mehr am Endgerät.

Benötigt ein PC Software, die nur lokal und nicht in Azure Virtual Desktop Windows 10 Umgebungen betrieben werden kann, wird vermutlich die Neuanschaffung eines PCs mit Windows 12 Pro im Herbst 2025 erforderlich sein.

Azure Virtual Desktops erhalten im Rahmen der Miete mindestens bis Herbst 2028 Updates und können vermutlich vorher auch schon auf Windows 12 umgestellt werden, wenn gewünscht.

Deploy und VM-ISOs neu erstellen erforderlich

Mit dem #Patchday Mai 2023 aktualisiert Microsoft mit #Sicherheitsupdates auch den Secure Boot Loader von Windows 10, 11 und Windows Server 2016-2022. Wer also eine ISO-Datei (mit Rufus auf einen USB-Speicher erstellt) verwendet, muss diese ISO-Datei neu erstellen und dabei das Mai-2023 Update integrieren. Die vorhandenen ISOs mit einem älteren Stand werden nicht mehr starten können, da das UEFI die Zertifikate nicht akzeptiert. Das gilt auch dann, wenn man eine solche ISO als externe Reparatur-Hilfe für verunglückte PCs oder Notebooks – oder auch Server verwendet. Zuletzt sollten auch Hyper-V und vmware Vorlagen-Images auf den aktuellen Patch-Stand gebracht oder neu erstellt werden.

Deploy, Boot-ISOs, Installations- und Reparatur-Datenträger und VM Vorlagen für Windows und Windows Server neu erstellen – mit Patchstand von Mai 2023

Microsoft: KB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus)

Windows 10 auf 22H2 umstellen, Office 2013 entfernen

Wir weisen nochmals darauf hin, dass bereits am 13. Juni 2023 der Support für ältere Windows 10 Versionen endet. Bitte sorgen Sie dafür, dass Ihre Windows 10 Umgebungen unbedingt Version 22H2 (das entspricht Build 19045) haben. Ältere Build-Zahlen sind dann unsicher und es gibt bereits jetzt einige Software, die dann eingeschränkt lauffähig ist.

2Jahre 2Tage
seit Di. 13. Juni 2023 733 Tage

Bereits am 11. April 2023 endete der Support und damit die #Sicherheitsupdates für #Office 2013, Visio 2013, Project 2013, Sharepoint 2013 und Skype für Business 2015. Diese Produkte sollten Sie nicht mehr einsetzen. Als Alternative bieten sich die Mietprodukte von Microsoft 365 an, die im Rahmen der Mietlaufzeit immer aktuell und auf dem bestmöglichen Stand der Sicherheit sind.

Öffnen Sie eine Eingabeaufforderung {Windows-R}, cmd, {Enter} und geben das Kommando: Winver {Enter} ein. Die installierte Windows-Version wird Ihnen angezeigt. Dort muss derzeit 19045.2965 oder neuer stehen. Die Zahl hinter dem Punkt entspricht dabei den Sicherheitsupdates von Mai 2023.
Tipp: Haben Sie bereits Build 19042 oder neuer installiert, ist der Wechsel auf 19045 in wenigen Minuten erledigt. Ist der Build noch eine vierstellige Zahl wie etwa 1802, dauert das Upgrade rund eine Stunde.

In wenigen Wochen wird Microsoft das Update erzwingen. Um die Zeit der Nichtverfügbarkeits der Rechner besser zu planen, sollten Sie vorher handeln und das Update anstoßen – insbesondere, wenn eine vierstellige Version <19041 angezeigt wird.

Microsoft Authenticator App matching numbers

Kurz notiert: Um die Sicherheit zu erhöhen, aktiviert Microsoft neben der MFA Verpflichtung den Mechanismus, eine auf dem Windows-Rechner im Browser angezeigte, zweistellige Zahl in der Authenticator App auf dem Smartphone einzugeben. Bisher musste man Login-Vorgänge nur in der App genehmigen.

Die Änderung gilt für beide Plattformen (IOS und Android) und ist verpflichtend. Wie und ob Microsoft die matching numbers bei den anderen Authentifizierungsverfahren (Telefonanruf und TOTP) realisiert, ist nicht bekannt, bzw. macht bei TOTP auch keinen Sinn, da man dabei meist einen Hardware-Token hat.

Weitere Details zur Zwei-Faktor-Autorisierung haben wir hier für Sie zusammengestellt.

Edge wird von Microsoft erzwungen

Wenn man aktuell in Outlook oder bald auch in der Teams-App (gilt für Windows, Android und IOS) einen Link anklickt, wird dieser – unabhängig von der Standard-Browser-Wahl mit Edge ausgeführt.

Microsoft möchte so erneut (hoffentlich wieder erfolglos wie in der Vergangenheit) den Edge zum Standard-Browser erzwingen. Angesichts der Tatsache, dass dieser nun auch Adobe Reader Freemium als PDF-Betrachter enthält, ist das aus Sicherheitsaspekten keine gute Idee.

Zumal Google spätestens 2 Stunden nach Schließen von Sicherheitslücken im Chromium-Projekt oder im eigenen Programmcode das Sicherheitsupdate verteilt. Bei Microsoft Edge on Chromium dauert es mindestens 24 Stunden bzw. bis zum nächsten Patchday.

Darüberhinaus gelten in der dann gestarteten Browser-Sitzung nicht die Einstellungen, die sich der Anwender im Browser seiner Wahl gemacht hat. Auch die Drittanbieter-Extensions sind vielfach nicht installiert und aktiviert im Edge (ublock origin), so dass der Anwender wieder mit Werbung zugemüllt wird!

Wer unter android die Edge App nicht installiert hat, wird zwar beim Anklicken eines Links dazu aufgefordert und „Öffnen mit Edge“ ist als Standard ausgewählt – bisher kann man aber noch „Standard-Browser öffnen“ anklicken und darunter den Schieber auf „als Standard“ setzen

Unter Windows habe ich das Verhalten noch nicht nachvollziehen können, Outlook 365 mit aktuellem April-Funktionsupdate fragt mich nicht, Edge zu installieren, es bleibt aber zu befürchten, das das noch kommt. Schauen Sie dann in Teams unter Einstellungen und „Link Behandlung“, ob Sie dort eine Einstellung setzen können – bzw. in Outlook bei den Optionen.

Seit einiger Zeit installiert Office die Edge Webview2-Runtime mit. Bisher ist es mir mit den passenden GPOs bzw. Registry-Einträgen gelungen, Edge vom System fernzuhalten (durch die Runtime ist zwar auch der Browser im System, die Registry-Einstellungen verhindern aber bisher, dass er als Browser tätig wird und die werbelastige GUI aufruft.

Microsoft verlangt 2-Faktor in Microsoft 365

In letzter Zeit verschickt Microsoft E-Mails zu sogenannten „Sicherheitsstandards“. Man weist Sie darauf hin, zu einem bestimmten Datum diese Sicherheitsstandards für Ihren Microsoft 365 Tenant zu aktivieren. Der Microsoft Tenant wird für alle Online-Anwendungen verwendet. Dazu zählen: Exchange online, Office, Sharepoint, Teams, Dynamics 365, gevis ERP | VEO, gevis ERP | SaaS, Power-BI, Microsoft CRM 365 und Weitere.

Siehe hierzu: Bereitstellen eines Standardsicherheitsniveaus in Azure Active Directory – Microsoft Entra | Microsoft Learn

Teil dieser Sicherheitsstandards ist die Aktivierung von #MFA (Multi-Faktor-Authentifizierung) für jeden Benutzer. Aus diesem Anlass gibt es ein paar wichtige Punkte, auf die wir Sie gerne hinweisen möchten.

Während derzeit nur rund 37% der Unternehmenskunden überhaupt MFA verwenden – ein großer Anteil sogar nur für administrative Konten, plant Microsoft so schnell wie möglich, den Faktor auf 100% und alle Benutzer zu steigern.

MFA ist ein Sicherheitsverfahren beim Anmelden, bei dem ein Benutzer neben seinem Benutzername und Kennwort einen weiteren Faktor zur Anmeldung benötigt, damit die Anmeldung genehmigt wird. Dieser Faktor ist im Falle der Sicherheitsstandards die Authenticator App von Microsoft, die auf dem Smartphone des Mitarbeiters installiert wird. Dort muss die Anmeldung bei Microsoft 365 zusätzlich genehmigt werden, was die Sicherheit vor Account Diebstahl deutlich erhöht.

Siehe hierzu: Azure AD Multi-Factor Authentication – Übersicht – Microsoft Entra | Microsoft Learn

Neben der App werden auch weitere Faktormethoden unterstützt wie Telefonanruf oder Hardwaretoken.

Nach der Aktvierung der Sicherheitsstandards von Microsoft, hat jeder Benutzer 14 Tage Zeit die App einzurichten. Nach Ablauf funktioniert die Anmeldung, ohne die App eingerichtet zu haben, nicht mehr. Eine nachträgliche Einrichtung ist aber weiterhin möglich. Falls Sie aktuell nicht über die nötigen Mittel verfügen, die Authenticator App bei jedem Benutzer zu installieren, empfehlen wir Ihnen folgende Möglichkeiten:

Einrichtung von Conditional Access

Die Authenticator App von Microsoft, dürfen Sie bereits bei Erstellung des Tenants sofort nutzen. Sie ist kostenlos als zusätzlicher Faktor und kann lizenzunabhängig eingerichtet werden. Neben der Authenticator App bietet Microsoft aber auch andere Möglichkeiten an, die Sicherheit durch einen weiteren Faktor zu erhöhen. Hier kommt Conditional Access zum Einsatz. Conditional Access kann andere Faktoren wie Standort, Betriebssystem, Geräte oder Gruppen nutzen, um den Zugriff für einen Benutzer zu gewähren. So kann sich der Mitarbeiter beispielsweise nur Anmelden, wenn er sich an einem der von Ihnen vorher definierten Standort befindet.

 Siehe hierzu: Was ist der bedingte Zugriff in Azure Active Directory? – Microsoft Entra | Microsoft Learn

Conditional Access ist lizenzpflichtig und wird nur bei einem EntraID Plan1 freigeschaltet, der alle Mitarbeitenden, die Conditonal Access nutzen sollen, lizenziert werden muss. Die EntraID Plan1 Lizenz ist bereits in dem Abonnement Microsoft 365 Business Premium enthalten.

Wenn MFA für die Benutzer aktiviert wurde, muss MFA auch für die Benutzer eingerichtet werden. Das gilt auch, wenn Conditional Access so eingerichtet ist, dass keine MFA-Anmeldung erforderlich ist.

Sicherheitsstandards wieder deaktivieren?

Update 12.12.2023 – Mittlerweile lassen sich die Richtlinien auch nicht mehr deaktivieren. Die Sicherheitsstandards können nach der Aktivierung von Microsoft auch wieder über Azure Active Directory #EntraID deaktiviert werden. Wir weisen an dieser Stelle klar darauf hin, dass wir das nicht empfehlen.

Die Deaktivierung sollte nur erfolgen, falls noch mehr Zeit für die Organisation benötigt wird, MFA Unternehmensweit einzuführen. Eine langfristige Deaktivierung kann der Sicherheit Ihrer Microsoft 365 Umgebung schaden.

Siehe hierzu: https://learn.microsoft.com/de-de/azure/active-directory/fundamentals/concept-fundamentals-security-defaults#disabling-security-defaults

Falls Sie noch Rückfragen zu dem Thema der Microsoft Sicherheitsstandards haben, können Sie jederzeit einen Vorgang eröffnen und wir beraten Sie gerne.

Fazit – AVD mit Office ist günstiger als ohne

MFA kann nur mandantenweit (ganzer Tenant) aktiviert werden. Wenn Sie vermeiden möchten, dass auch an Theken und Kassen-Arbeitsplätzen das Handy mit der Authenticator-App gezückt werden muss, benötigen Sie entweder einen Microsoft 365 Business Premium Plan oder bei anderen Plänen wie Windows E3 (für Azure virtual Desktop (AVD) ohne Office und ohne E-Mail) den Microsoft EntraID Plan 1. Diese beiden Zusammenstellungen erlauben auch Geräte-ID oder IP-Adresse des Geräts als zweiten Faktur zuzulassen. Die Nutzung der Authenticator App kann damit vermieden werden.

#Wichtig – Nutzer, die bisher einen Exchange online Plan 1 nebst Mailvirenschutz, Endpunkt-Virenschutz und AVD Zugriff nutzten, sollten auf den Microsoft 365 Business Premium Plan umstellen, sobald möglich, da die Summe der Einzel-Pläne den Preis des Premium-Plans überschreitet. Oder anders gesagt: Das Gesamtpaket mit Office ist günstiger als AVD mit Postfach und Schutz und MFA.

Microsoft Preisliste – nachgerechnet