Patchday Juli – eine Lücke bleibt

Wie üblich, hat Microsoft für seine unterstützten Betriebssysteme und für Office am Dienstag Sicherheitslücken geschlossen. Wer also für Office und Windows die Updates zeitnah installiert, ist sicherer unterwegs. Für die Server müssen laut Richtlinien von BSI und Versicherungen die Patches innerhalb von 7 Tagen installiert sein, ansonsten drohen Kürzungen bei Versicherungsleistungen.

Eine entdeckte Lücke in Office, die bereits ausgenutzt wird, bleibt aber noch ungepatcht: (CVE-2023-36884, CVSS 8.3, hoch). Hierbei kann beim Öffnen eines präparierten Dokuments durch Mitarbeitende Schadcode eingeschleust werden.

Mindestens eine Bande russischer Krimineller nutzt die Lücke bereits in großem Stil aus. Wie Microsoft verlautbart, schützt der Microsoft 365 Defender für Business vor den Attacken. Wer also M365 Business Premium und den enthaltenen Defender für Business einsetzt oder den Defender für Business Plan aktiviert hat, ist sicherer.

#Wichtig – Ein Workaround soll zusätzliche Sicherheit für alle noch unterstützten Office-Versionen bieten:

Windows Registry Editor Version 5.00
[Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION]
"Excel.exe"=dword:00000001
"Graph.exe"=dword:00000001
"MSAccess.exe"=dword:00000001
"MsPub.exe"=dword:00000001
"PowerPnt.exe"=dword:00000001
"Visio.exe"=dword:00000001
"WinProj.exe"=dword:00000001
"WinWord.exe"=dword:00000001
"Wordpad.exe"=dword:00000001 

Da auch Wordpad (Bestandteil von Windows und Windows Server) auftaucht, ist es ratsam den key generell auf alle Systeme auszurollen, da auch damit Word-Dokumente geöffnet werden können.

SPAM in Briefform – IT-Sicherheit

obwohl diese Art der Werbung auch in Briefform schon länger nicht mehr zulässig ist, versucht eine „Firma“ aus Darmstadt immer noch Kunden zu verunsichern.

An die Adresse c/o Geschäftsführung und mit der Anrede Sehr geehrte Geschäftsführung – die schon auf den ersten Eindruck auf einen SPAM-Roboter hindeutet (wer eine Geschäftsbeziehung zu einem Unternehmen unterhält, kennt den Geschäftsführer beim Namen). In der Adresszeile wird die deutsche Flagge angedruckt, was auch offiziellen Charakter haben soll.

In den nächsten Zeilen liest der SPAM-Roboter die DNS-Einträge des Unternehmens aus und erweckt den Eindruck, dass beispielsweise die Internetseiten öffentlich zu präsentieren ein Risiko darstellt.

Danach wird die „Geschäftsführung“ aufgefordert, Kontakt aufzunehmen, um das detaillierte Ergebnis anzufragen.

Dieses Roboter-Schreiben gehört sofort in die Ablage P!

Ungeachtet des Schreibens sollte jedes Unternehmen dennoch den BSI Grundschutz erfüllen und regelmäßig testieren lassen. Dazu gehören auch Firewalls / VPN-Endpunkte der aktuellen Generation und bei Cloud-Einsatz eine CloudGen Firewall.

Bildbearbeitung mit KI

In den Beta-Versionen von Adobe Photoshop gibt es einen Filter, mit dem man ein Bild durch „generative KI“ Bilder breiter machen kann. Möchte man beispielsweise aus einem Bild im Full-HD-Format ein Website-Banner machen (beispielsweise in 1400x200px), wirkt das Bild in der Darstellung mit herkömmlichen Mitteln (Resize) verzerrt.

Praktischer ist es, wenn man das Bild in die Mitte des geplanten Banners legt und dann rechts und links auffüllen lässt, ohne das am Bild etwas verzerrt wird. Das kann der #KI „Generative Fill“ Filter.

Der Haken dabei: Nicht jeder hat Photoshop UND ist auch noch im Beta-Programm angemeldet. Nach Release des Filters wird dieser voraussichtlich nicht im Creative Abonnement enthalten sein.

Wer die Funktion nicht häufig nutzt, kann mit der kostenlosen Version von clipdrop.co/uncrop 1x pro Tag oder mit der kostenlosen Registrierung auf der Website (eine E-Mail-Adresse reicht, auch Wegwerf-E-Mails werden (noch) akzeptiert) mehrere Bilder am Tag mit KI breit machen:

Die Resultate können nützlich, aber auch lustig ein. Ich habe mal ein KI-Bild aus dem Skype Bing-Chat ins Banner-Format umgewandelt:

Outlook – testen Sie das neue Outlook – Nein

Derzeit erscheint in der Microsoft 365 #Outlook Desktop App oben rechts der Hinweis mit einem Schieberegler „Testen Sie das neue Outlook“. Die Meldung ist so unglücklich platziert, dass man beim Minimieren des Outlook-Fensters leicht den Schieberegler aktiviert.

Die Folge: Aus dem Store wird die neue Outlook App heruntergeladen und als Standardprogramm für E-Mails eingetragen. Diese App ist nichts anderes als ein App-Fenster, wo im Browser unter Zuhilfenahme der Edge Webview2 Runtime (diese muss installiert sein) OWA aufgerufen wird.

Auch aktuell bietet OWA bei weitem noch nicht die Funktionen und den Bedienkomfort wie die Desktop App. So sind beim Bedienen des Kalenders deutlich mehr Mausklicks notwendig um z. B. einen vorhandenen Termin zu bearbeiten oder Flags zu setzen, die bei der Desktop App direkt im Ribbon Menü mit einem Klick erreichbar sind. Auch das Verändern und Verschieben von Terminen mit der Maus ist schwerfälliger in der Browserdarstellung und funktioniert mehr schlecht als recht.

Zudem werden nur Microsoft 365 Konten (bisher) unterstützt. Es gibt aber zahlreiche Kunden, die noch ein Google-Konto oder Post bei einem anderen Provider per IMAP mit abfragen müssen (meist historisch bedingt, aber notwendig).

Abhilfen: Wenn Sie die neue App bereits versehentlich aktiviert haben, müssen Sie den Schieber wieder ausschalten, die Store-App auf Ihrem Rechner deinstallieren und bei Standard-Apps die Outlook Desktop App wieder aktivieren.

#Erfreulich – zum Glück gibt es einen Registry-Schlüssel, den Admins auch per GPO ausrollen können, der die lästige Werbung für die minderwertige App entfernt (Für diejenigen, die mit User-Rechten arbeiten und den Registry-key lokal ausführen müssen – bitte den Registy Ast beginnen lassen mit Users und der SID des Benutzers für den das gelten soll. Dann mit Elevated rights Regedit aufrufen und den veränderten Key ausführen):

Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options\General] "HideNewOutlookToggle"=dword:00000001

oder

[HKEY_USERS\S-1-5-21-222222222-2222222222-2222222222-1153\SOFTWARE\...

CISCO Anyconnect und Secure Clients

Wir möchten Ihnen gerne eine optimale Lösung für die Sicherheit Ihrer IT-Infrastruktur anbieten. Dazu empfehlen wir Ihnen, sich mit unserem Partner NetGo Firewalls von Barracuda Networks zu schützen. Diese Firewalls sind speziell für die Azure IaaS und Azur Virtual Desktop (AVD) Umgebungen sowie für die On-Premises Hauptstandorte konzipiert. Sie ermöglichen eine sichere und flexible Anbindung Ihrer verschiedenen Standorte. Außerdem können Ihre Mitarbeitenden im Außendienst und im mobilen Arbeiten den Software-VPN-Client von Barracuda auf ihren Windows PCs und Notebooks nutzen.

Wir möchten Sie auch darauf hinweisen, dass es bei der Verwendung von CISCO Routern, die im Rahmenvertrag mit der Telekom enthalten sind, zu Sicherheitsproblemen kommen kann. Es gibt eine aktuelle Sicherheitslücke, die den Update-Mechanismus von CISCO betrifft. Wenn Sie einen CISCO Router in der Hauptstelle haben, an dem auch mobile Windows Clients angebunden sind (z.B. für Homeoffice, mobiles Arbeiten oder Außendienst), sollten Sie unbedingt prüfen, ob Ihr CISCO Secure Client oder CISCO Anyconnect vpn Client auf dem neuesten Stand ist. Die aktuellen Updates erhalten Sie nur, wenn Sie bei CISCO oder über die Telekom im Rahmenvertrag eine Wartung für den CISCO Router abgeschlossen haben.

Bitte prüfen Sie Ihr Software-Inventar, ob Sie in Ihrem Unternehmen CISCO vpn Software einsetzen. Hierbei kann OpenAudit Classic hilfreich sein.

Wenn ja: Beschaffen Sie über Ihren Dienstleister den aktuellen Cisco AnyConnect Secure Mobility Client   5.0.03072 und rollen ihn an alle VPN-Endgeräte aus.

Falls Sie keine Wartung auf die CISCO Geräte haben, aber eine Barracuda Firewall (Cloudgen oder On-Prem), stellen Sie gemeinsam mit der NetGo Ihr CISCO vpn auf Barracuda um. Hier ist der Updatemechanismus der VPN-Clients mit Bordmitteln besser automatisierbar.

Falls Sie keine Barracuda Firewalls einsetzen, sondern Drittanbieter-Geräte von sophos oder Fortinet o.ä., stellen Sie mit Ihrem Dienstleister das vpn auf diese Lösung um und lassen prüfen, ob diese Geräte und Software auf dem aktuellen Stand ist. Allein bei Fortinet gibt es einmal im Monat einen Patchday, der kritische Sicherheitslücken schließt

CISCO Artikel zur aktuellen Sicherheitslücke

End of Life vieler Produkte – Zeitleiste

Wer wissen möchte, wann die eingesetzten Produkt-Versionen keinen Support oder – #wichtig – keine Sicherheitsupdates mehr bekommen, dem sei die folgende Seite empfohlen, die alle End-Daten in einer farblich gestalteten Oberfläche übersichtlich darstellt. Tipp: Windows und Office sind unter ‚M‘ wie Microsoft zu finden:

https://endoflife.date/

Website mit EOL-Daten

Für die wichtigsten Produkte haben wir für Sie diese Zeitleiste zusammengestellt:

Ansicht wechseln
• Sortierung

Kerberos-Protokolländerungen ab Juli 23

Bereits im November 2022 lieferte Microsoft Mechanismen aus, die die Kerberos-Anmeldung sicherer machen können. Es geht dabei um das Anmeldeverfahren, wie sich Drittgeräte und andere Windows Server an einem AD-Domänencontroller anmelden.

Auch dieser Sicherheitspatch war zunächst nur ausgerollt worden, um Administratoren Zeit zu geben, die Sicherheit dieser Anmeldungen zu erhöhen bzw. auf Drittgeräten aktuelle Firmware/Softwareupdates zu machen.

Bereits am 13. Juni 23 mit dem Juni-Patchday hat Microsoft die Kerberos Einstellung auf „Überwachungsmodus“ gesetzt. Die Verbindung ist damit weiterhin möglich, Fehler werden im Ereignisprotokoll aufgezeichnet.

Am 11. Juli 2023 setzt Microsoft die Kerberos-Einstellung mit dem monatlichen Update auf „Erzwingen“. Das bedeutet, das Systeme mit unsicheren Kerberos-Schlüsseln sich nicht mehr anmelden können.

2Jahre 1Monat 1Woche 3Tage
seit Di. 11. Juli 2023 772 Tage

Handlungsempfehlung

#Wichtig – Wie im Microsoft Artikel ausführlich beschrieben, betrifft das Update Windows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions.

Wenn Sie auf Ihren Domänencontrollern Fehler mit der Ereignis-ID 42 finden, oder Geräte erkennen, die keinen gemeinsamen Kerberos-Verschlüsselungstyp aufweisen, indem Sie das Ereignisprotokoll für Microsoft-Windows-Kerberos-Key-Distribution-Center Event 27 anzeigen, lesen Sie bitte: KB5021131: Verwalten der Kerberos-Protokolländerungen im Zusammenhang mit CVE-2022-37966

Nach der Installation des Juni 2023-Updates (auf allen Servern) das Ereignisprotokoll an Ihren Domänencontrollern sichten und nach Fehlern mit der Ereignis-ID 42 suchen und wie im folgenden Artikel beschreiben verfahren (An Ende des Artikels ist eine FAQ):

Microsoft Artikel mit Handlungsanweisungen

Office (Microsoft 365) 32-Bit oder 64-Bit

Heutzutage werden fast ausschließlich Windows Betriebssysteme mit 64-Bit eingesetzt. Ältere Versionen mit 32-Bit werden von vielen Herstellern und Anwendung nicht mehr unterstützt.

Die Software, die man unter Windows einsetzt, kann damit 32-Bit oder 64-Bit sein. Lange Zeit hat Microsoft empfohlen, die 32-Bit-Versionen von Office einzusetzen.

#Erfreulich – mittlerweile bieten die 64-Bit-Versionen eine bessere Performance, da kein 32-Bit-Subsystem unter Windows für die Office Apps gestartet werden muss und die Limitierung von 4GB Arbeitsspeicher entfällt. In Excel lassen sich so recht große Datenmengen darstellen und der Import über die Datenquellen ist auch deutlich schneller.

Achtung! Dazu muss allerdings auch der Rechner einen Core I5 mindestens der 8. Generation, 8 GB RAM, besser noch 16 GB Arbeitsspeicher und eine schnelle SSD haben

Insbesondere bei Microsoft Teams muss die Anwendung immer in 64-Bit installiert sein, da ansonsten extreme Performance-Einbußen drohen.

Wann ist für Microsoft 365 (Office) 32-Bit Pflicht?

Wenn Sie Anwendungen auf dem Rechner einsetzen (das gilt auch für Azure Virtual Desktop und Terminal- und Citrix-Server), die nur in der 32-Bit-Version mit Outlook (über OLHANDLER.DLL) kommunizieren können, dürfen Sie nicht die 64-Bit-Version installieren. Einige Beispiele sind:

• Microsoft Dynamics 2009 R2 (Classic) –> gevis Classic bis G/R8
• Microsoft Dynamics NAV bis Version 2018 und Business Central bis Version 14 (BC14)
• Gigaset Quicksync (Synchronisieren von Outlook-Kontakten mit DECT-Handsets)
• GWS MDESync (die Windows Mobilschnittstelle meckert Outlook32 als fehlend an)
• Andere Programme, die die E-Mails erzeugen und dabei MAPI32.dll oder OLHANDLER.dll benutzen

Mit gevis ERP | BC Versionen ab 17.x (Business Central Version ab 17, Client = Google Chrome für Enterprise, 64-Bit) lassen sich beliebige E-Mail-Programme durch Download von .EML-Dateien aufrufen. Die Bit-Tiefe ist dabei unerheblich. Wenn Sie eine unserer SaaS-Lösungen wie gevis ERP | VEO einsetzen, ist die Office-Bit-Tiefe ebenfalls unerheblich.

Wir empfehlen Microsoft 365. So bleiben Sie im Rahmen des Abonnements immer auf dem besten Stand der Sicherheit und die Verteilung der Updates durch die Admins ist auch sehr einfach. Sollten Sie Kaufversionen im Einsatz haben (erkennbar an einer Jahreszahl am Ende) müssen diese Versionen nach Ablauf der Sicherheitsupdates neu gekauft werden. Alle Versionen erhalten nach dem 13. Oktober 2026 keine Sicherheitsupdates mehr.

Aktuell werden für gevis Umgebungen Microsoft 365 (aktueller monatlicher Kanal) für alle Installationsarten und nur für die lokale Installation auf Windows 10 Pro Endgeräten (nicht Terminal-/Citrix/Azure Virtual Desktop) die Kauf-Versionen 2019 und 2021 unterstützt.

Patchday Juni manueller Eingriff erforderlich

#Wichtig – mit dem Patchday Juni 2023 hat Microsoft die #Sicherheitslücke CVE-2023-32019 geschlossen, die zu Datenabfluss und Elevated Rights für authentifizierte Benutzer führen kann. Leider wird der Lückenschluss nicht aktiviert, so dass ein manueller Eintrag in die Windows Registry der Windows 10 PCs erfolgen muss.

Wer Gruppenrichtlinien einsetzt, kann diese natürlich über die Gruppenrichtlinienverwaltung verteilen.

Für Server 2022 und für die Windows 11 Versionen ist der Wert anders, als bei dem im Beispiel aufgezeigten Schlüssel für Windows 10 22H2 (19045).

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides]
"4103588492"=dword:00000001

Mehr Details im Artikel bei Microsoft

Cloud Gen Firewall sicherer

Ausgangslage: On-Premises

Glücklicherweise setzen viele Unternehmen auf eine Hardware-Firewall-Appliance, um das lokale Netzwerk in Richtung Internet abzusichern. Viele namhafte Hersteller von Routern (CISCO, Lancom, sogar AVM) schreiben, dass Ihre Router Firewall-Funktionalitäten beinhalten. Das sind allerdings ausschließlich Funktionen der klassischen (1. Generation) Firewalls. Anders gesagt: Es erfolgt keine inhaltliche Prüfung von Daten und E-Mails, es gibt keine Advanced Thread Detection und somit auch keine Cloud-Sandbox zur Simulation. Diese „Firewalls“ erfüllen weder GSI-Grundschutz, noch den Prüfungsstandard 330 des IDW.

Unternehmen mit mehreren Standorten setzen mehrere Router ein, die Verbindung zur Hauptstelle erfolgt sternförmig über die integrierte SSL-VPN-Funktion der Router. Bei Ecotel und Telekom Enterprise Managed Netzwerken werden die (CISCO) Router ausschließlich für die Zweigstellen-Vernetzung und die mobilen VPN-Verbindungen benutzt. In der Hauptstelle steht dann bestenfalls eine „richtige“ Firewall der zweiten Generation.

IaaS Cloud

Mit der Ablösung der On-Premises Server (IaaS statt Hardware-Neukauf) wird entweder ein „Azure vpn Gateway“ bei Microsoft zur Anbindung angemietet (hier werden nur wenige Gen2-Firewalls wie von Barracuda Networks oder neuere Modelle der sophos X-Serie und von Fortinet) unterstützt.

Außerdem sind dann die in IaaS angemieteten Server und die Nachfolger der Citrix oder RDS-Terminalserver: Azure Virtual Desktops nicht mit einer Gen2-Firewall abgesichert und angreifbarer.

In unseren #Firewall Konzeptionen zeigen wir gemeinsam mit unserem Partner NetGo am Beispiel von Barracuda Firewalls die sternförmige Anbindung an die Cloud mit „Internet-Breakout“ in der Cloud auf Gen2-Firewall Stufe. Dazu kommt eine #CloudGen virtuelle Firewall zum Einsatz, die Server und Azure Virtual Desktops absichert. An dem oder den Standort(en) kommt ein VPN-Endgerät – passend zur Bandbreite und Benutzerzahl am Standort (F18 oder F80) zum Einsatz.

Vorteile: #Erfreulich ist, das das Azure VPN-Gateway mit mindestens 165€ pro Monat so entfällt. Jeder Standort braucht nur eine (dynamische) IP-Adresse, ggf. ein DSL-Modem und den Barracuda VPN-Endpunkt. Der Weg zum Server erfordert daher nicht mehr den Umweg über die Hauptstelle.

Fazit

Der Weg zum Internet sollte immer über eine Firewall der zweiten Generation mit ATP und Contentanalyse abgesichert werden. Diese sollte einen Wartungsvertrag auch für Firmware und Antivirus enthalten (vitalizing und Security Updates) und gemanagt sein.

Sobald Azure IaaS im Spiel ist, wird eine sternförmige Anbindung an die IaaS Cloud und Azure Virtual Desktops über eine virtuellen CloudGen Firewall Pflicht. Ob Sie das Musterangebot der NetGo annehmen oder mit Ihrem Firewall Dienstleister ein identisches Konzept konstruieren, bleibt Ihnen überlassen.

Internet Domain .zip lieber sperren

Auch Google ist als Vergabestelle von Internet-Domains (Registrar) am Markt tätig. Seit Mai 2023 ist die Toplevel Domain „.zip“ ohne Einschränkung buchbar. Bereits wenige Tage nach Verfügbarkeit nutzen Betrüger diese Domain, um Benutzer zum Klicken zu animieren und Schadcode zu verteilen.

Damit sind beispielsweise URLs wie: https://packprogramm.zip oder https://neuertreiber.zip oder https://sicherheitsupdate.zip möglich.

Der Betrachter könnte auf die Idee kommen, dass es sich um ein wichtiges Update handelt, das er installieren muss.

Meist erfolgt aber kein Download, sondern man bekommt eine Website angezeigt, wo man erstmal vertrauliche Daten eingeben muss. Alternativ wird die im Browser nachgebildete Oberfläche von Winrar in der Sprache des Besuchers angezeigt und bewirbt das Schadprogramm einen vertrauenswürdigen, virengeprüften Download.

#Wichtig – Sicherheitsforscher raten derzeit, den Zugriff auf Domains unter .ZIP in der Firewall zu sperren. Es ist auch nicht ganz klar, welchen Werbe- und Erkennungseffekt die Endung haben soll (ZIP steht für eine amerikanische Postleitzahl oder für Reißverschluss)

Details im Artikel des Forschers

Systemkoordinierende - sind Sie zertifiziert?

Mit der gevis Einführung und Migration auf neue Versionen, in die IaaS- oder SaaS-Cloud sind immer Pflichtschulungen zur Ausbildung und Zertifizierung von Systemkoordinierenden – kurz SYSKO – erforderlich. Die folgende Checkliste soll Ihnen erleichtern, Ihren Status zu ermitteln. Zertifizierte Systemkoordinierende können viele vorgeschriebene und wiederkehrende Aufgaben in Eigenverantwortung lösen – ohne dafür einen kostenpflichtigen Vorgang bei uns eröffnen zu müssen. Sie sind die Feuerwehr im eigenen Hause und halten den IT-Betrieb am Laufen.

Ermitteln Sie Ihren Status nach folgender Checkliste:

• A ( ) Bei Einführung von gevis (Version 7 bis einschließlich Version BC 140) habe ich die 2-tägige Sysko-Basis-Schulung absolviert (und die Prüfung abgelegt)
• B und: ( ) Bei Migration von gevis (Version 7 bis einschließlich Version BC 140) auf gevis ERP | BC oder gevis ERP | SaaS oder gevis ERP | VEO habe ich etwa 6-stündige Sysko Aktualisierungs-Schulung besucht (und die Prüfung abgelegt)
• C ( ) Wir haben direkt gevis ERP | BC ab Version 15 (Client ausschließlich im Browser) eingeführt und ich habe die habe ich die 2-tägige Sysko-Basis-Schulung absolviert (und die Prüfung abgelegt). Zertifizierte Syskos sind noch noch im Unternehmen
• D oder: ( ) Bei Einführung von gevis (ERP | SaaS oder ERP | VEO) habe ich die 1-tägige Sysko anywhere SaaS Schulung absolviert (und die Prüfung abgelegt)
• E ( ) Ursprüngliche SYSKOs haben das Unternehmen verlassen. Neue Mitarbeitende (mindestens 1) haben die 2-tägige Sysko-Basis-Schulung für neue Mitarbeitende absolviert (und die Prüfung abgelegt)

Kreuzen Sie bitte Zutreffendes an. #Wichtig – nur wenn Sie die folgenden Buchstabenkombinationen erhalten, ist Ihr Unternehmen #zertifiziert und auf dem aktuellen Stand der Sysko-Zertifizierungen:

A+B oder C oder D oder/und E

Wenn nicht, melden Sie sich oder anderen Mitarbeitende im Betrieb bitte zu den noch fehlenden Schulungen an. Mehr Details zu den Syskotätigkeiten hier.

Windows 10 Zukunfts-Strategie

Bekanntlich endet mit dem Patchday am 15. Oktober 2025 die Updateversorgung für die Kauf-Versionen von Windows 10 und Windows 10 Pro. Wer also keine LTSB oder LTSC oder die IoT-Versionen dieses Betriebssystems mit Software-Assurance gemietet hat, muss sich bis zum genannten Zeitpunkt Gedanken machen, was mit den Endgeräten und Betriebssystemsoftware zu tun ist. Hierbei gelten nur Alt-PCs, die mindestens 8 GB Arbeitsspeicher, eine SSD und mindestens einen Core i5-Prozessor haben, als alltagstauglich.

Der entscheidende Vorteil der IGEL OS Lösung (auch auf anderer Thin-Client Hardware z. B. von HP) besteht darin, dass alle Einstellungen über die zentrale IGEL UMS Oberfläche administriert werden können . Dazu zählen als Hardware auch x86 PCs. Man braucht keine lokalen Eingriffe mehr am Endgerät.

Benötigt ein PC Software, die nur lokal und nicht in Azure Virtual Desktop Windows 10 Umgebungen betrieben werden kann, wird vermutlich die Neuanschaffung eines PCs mit Windows 12 Pro im Herbst 2025 erforderlich sein.

Azure Virtual Desktops erhalten im Rahmen der Miete mindestens bis Herbst 2028 Updates und können vermutlich vorher auch schon auf Windows 12 umgestellt werden, wenn gewünscht.

Deploy und VM-ISOs neu erstellen erforderlich

Mit dem #Patchday Mai 2023 aktualisiert Microsoft mit #Sicherheitsupdates auch den Secure Boot Loader von Windows 10, 11 und Windows Server 2016-2022. Wer also eine ISO-Datei (mit Rufus auf einen USB-Speicher erstellt) verwendet, muss diese ISO-Datei neu erstellen und dabei das Mai-2023 Update integrieren. Die vorhandenen ISOs mit einem älteren Stand werden nicht mehr starten können, da das UEFI die Zertifikate nicht akzeptiert. Das gilt auch dann, wenn man eine solche ISO als externe Reparatur-Hilfe für verunglückte PCs oder Notebooks – oder auch Server verwendet. Zuletzt sollten auch Hyper-V und vmware Vorlagen-Images auf den aktuellen Patch-Stand gebracht oder neu erstellt werden.

Deploy, Boot-ISOs, Installations- und Reparatur-Datenträger und VM Vorlagen für Windows und Windows Server neu erstellen – mit Patchstand von Mai 2023

Microsoft: KB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus)

Windows 10 auf 22H2 umstellen, Office 2013 entfernen

Wir weisen nochmals darauf hin, dass bereits am 13. Juni 2023 der Support für ältere Windows 10 Versionen endet. Bitte sorgen Sie dafür, dass Ihre Windows 10 Umgebungen unbedingt Version 22H2 (das entspricht Build 19045) haben. Ältere Build-Zahlen sind dann unsicher und es gibt bereits jetzt einige Software, die dann eingeschränkt lauffähig ist.

2Jahre 2Monate 1Woche 1Tag
seit Di. 13. Juni 2023 800 Tage

Bereits am 11. April 2023 endete der Support und damit die #Sicherheitsupdates für #Office 2013, Visio 2013, Project 2013, Sharepoint 2013 und Skype für Business 2015. Diese Produkte sollten Sie nicht mehr einsetzen. Als Alternative bieten sich die Mietprodukte von Microsoft 365 an, die im Rahmen der Mietlaufzeit immer aktuell und auf dem bestmöglichen Stand der Sicherheit sind.

Öffnen Sie eine Eingabeaufforderung {Windows-R}, cmd, {Enter} und geben das Kommando: Winver {Enter} ein. Die installierte Windows-Version wird Ihnen angezeigt. Dort muss derzeit 19045.2965 oder neuer stehen. Die Zahl hinter dem Punkt entspricht dabei den Sicherheitsupdates von Mai 2023.
Tipp: Haben Sie bereits Build 19042 oder neuer installiert, ist der Wechsel auf 19045 in wenigen Minuten erledigt. Ist der Build noch eine vierstellige Zahl wie etwa 1802, dauert das Upgrade rund eine Stunde.

In wenigen Wochen wird Microsoft das Update erzwingen. Um die Zeit der Nichtverfügbarkeits der Rechner besser zu planen, sollten Sie vorher handeln und das Update anstoßen – insbesondere, wenn eine vierstellige Version <19041 angezeigt wird.

Microsoft Authenticator App matching numbers

Kurz notiert: Um die Sicherheit zu erhöhen, aktiviert Microsoft neben der MFA Verpflichtung den Mechanismus, eine auf dem Windows-Rechner im Browser angezeigte, zweistellige Zahl in der Authenticator App auf dem Smartphone einzugeben. Bisher musste man Login-Vorgänge nur in der App genehmigen.

Die Änderung gilt für beide Plattformen (IOS und Android) und ist verpflichtend. Wie und ob Microsoft die matching numbers bei den anderen Authentifizierungsverfahren (Telefonanruf und TOTP) realisiert, ist nicht bekannt, bzw. macht bei TOTP auch keinen Sinn, da man dabei meist einen Hardware-Token hat.

Weitere Details zur Zwei-Faktor-Autorisierung haben wir hier für Sie zusammengestellt.