März 2024 | Tech-Nachrichten

Inhaltsverzeichnis
Windows Server LSASS-Memory-Leak geschlossen 2 - 3
Chrome 2023 Refresh abschalten 4
Windows 11 statt Windows 10 5 - 6
Windows 11 Tricks 7 - 8
Outlook – Support-Ende 2026 9 - 10
IT-Sicherheit und NIS2- Ihre Meinung bitte 11

Windows Server LSASS-Memory-Leak geschlossen

#Erfreulich – mit dem #Patchday März 2024 schließt Microsoft eine kritische Sicherheitslücke in der Kerberos Authentifizierung von Domänen-Controllern. Leider hat man dabei einen Speicherfresser (Memory Leak) kodiert, der dazu führt, dass mancher (nicht alle) Domänencontroller 2016/2019 und 2022 nach einiger Zeit (zwischen 12 und 24 Stunden) so viel Speicher auf den Prozess LSASS.EXE alloziert, dass der DC entweder keine Aufgaben mehr wahrnimmt oder sogar eigenständig neu startet.

Update 23.3.2024: Microsoft hat ein Out-of-band Update für Windows Server 2022 (KB5037422), Windows Server 2016 (KB5037423) und Windows Server 2012 R2 (KB5037426) herausgegeben. Windows Server 2019 folgt noch in den nächsten Tagen. #Warnung – diesen Patch bitte zeitnah installieren auf betroffenen Servern.

Update 26.03.2024: Nun ist auch das Update für Windows Server 2019 erschienen. Die unterstützten Server sollten dann nach Installation und Neustart wieder frei vom Speicherloch sein und nicht mehr abstürzen.

Microsoft Knowledge Base

Einige Admins berichten, dass das Problem bei ihnen gar nicht auftritt, andere starten die DC zeitversetzt 1x pro Tag neu als Workaround. Da DCs in Azure aus Kostengründen meist noch andere Aufgaben (1 File, 1 Print/Apps) übernehmen, lässt sich ein Neustart nur außerhalb der normalen Arbeitszeiten realisieren.

Generell ist es aber keine gute Idee, das Update wegzulassen, da eine kritische Lücke mit einem Score von 9 von 10 geschlossen wurde.

Microsoft hat das Problem bestätigt und arbeitet an einem Hotfix, der kurzfristig ausgerollt werden soll. Aus Sicherheitsgründen kann man hier nur abwarten.

Übrigens: Ältere Server wie Server 2012 R2, die On-Premises keine Sicherheitsupdates bekommen, haben zwar nicht das Speicherproblem, aber dennoch die Sicherheitslücke. Werden sie in Azure betrieben, gibt es einen Patch, der auch für diese Server die Sicherheitslücke schließt und auch das Speicherproblem mit sich bringt. Wer noch Windows Server 2008 R2 einsetzt, hat ganz andere Sicherheitsprobleme, da es auch im ESU gegen Bezahlung keine Sicherheitsupdates mehr gibt.

Chrome 2023 Refresh abschalten

Chrome hat Ende 2023 ein neues Design namens #Chrome refresh eingeführt. Es resultiert in unscharfen Ordnern in der Lesezeichenleiste und ebenso fettgedrucker, unscharfer Schrift in den Lesezeichen und Menüs.
Außerdem passen wegen der größeren Abstände weniger Lesezeichen auf den Bildschirm, so dass vielfach gescrollt werden muss. Zu allem Übel kommt auch, dass auch im Kontextmenü in Chrome je nach Bildschirmauflösung gescrollt werden muss. Bei Touch-enabled devices sind außerdem die Adressleiste und das Menü bei Windows 11 viel zu groß. Der Touch Disabled Parameter schafft Abhilfe.

Mit dem Update auf Chrome 123 muss man nun zwei (bei Touch sogar drei) Sachen abschalten (auf Disabled setzen) bei den Chrome flags, um wieder das besser lesbare und für Desktopdarstellung besser geeignete Design zu erhalten:

chrome://flags#chrome-refresh-2023
chrome://flags#customize-chrome-side-panel
chrome://flags#top-chrome-touch-ui

Schauen wir mal, wie lange Google das bessere, alte Design noch im Code lässt 😮

Windows 11 statt Windows 10

Wir werden immer wieder gefragt, welches Client- und Server-Betriebssystem eingesetzt werden kann. Aus Haftungsgründen werden wir zwar keine Empfehlungen und keine Freigaben aussprechen, die folgende Faktensammlung hilft Ihnen, die anstehenden Aufgaben zu ermitteln:

Windows 10 bekommt ab 15. Oktober 2025 keine Sicherheitsupdates mehr. Ein Upgrade auf Windows 11 wird erforderlich!
Seit dem Funktionsupgrade Windows 11 24H2 funktioniert Windows 11 mit vielen Produkten.
Teilweise Unterstützung für den Einsatz von Windows 11 im Dynamics 365 Business Central Umfeld wurde von Microsoft erst mit Business Central Version 23 Wave 2 beschrieben. Setzt man ältere BC Versionen unter Windows 11 ein, können allein wegen der geänderten Systemfonts auch im Browser Darstellungsfehler entstehen.
Ältere gevis Versionen: Classic, RTC (NAV 2013R2 bis BC 140) haben möglicherweise funktionsbezogene Einschränkungen unter Windows 11 oder lassen sich nicht installieren. Notfall-Arbeitsplätze dieser Versionen werden von Microsoft nicht unter Windows 11 unterstützt!
Umwelt schonen, Admin-Aufwand reduzieren: ältere Client-Hardware (etwa älter als 5 Jahre) unterstützt kein Windows 11. Statt funktionierende PCs zu verschrotten, können diese in Verbindung mit Azure Virtual Desktop mit IGEL-OS statt Windows weiterbetrieben werden
Hardware-Anforderungen für Windows 11 mindestens TPN/CoreI5 8Gen/16 GB RAM/SSD/schnelle GPU
Software testen: Betrachten Sie grundsätzlich auch andere Software, sofern sie auf dieser Plattform betrieben werden soll. So müssen manche Drittanbieterprodukte kostenpflichtig auf die neuste Version umgestellt werden, um unter Windows 11 unterstützt zu werden.

Windows 10 Ende der Sicherheitsupdates 4Monate 1Tag
bis Mi. 15. Okt. 2025 123 Tage

Browser: Auch wenn andere Browser mit BC23ff. grundsätzlich unterstützt werden, setzen Sie schon wegen deutlich geringerem Speicherverbrauch: Google Chrome für Enterprise ein. Auch hier ist der Microsoft Edge Browser von Nachteil.

Neue Outlook app: Vom Einsatz der neuen Outlook-App raten wir solange ab, bis alle Features der Win32-App realisiert wurden. In Microsoft 365 Abos wird der Einsatz der Win32-App bis 2029 unterstützt.

Fazit: Seit Juni 2024 wird mit neuer PC-Hardware Windows 11 Pro Version 24H2 ausgeliefert. PCs, die die Hardware-Voraussetzungen erfüllen (mindestens Intel Core-I Prozessor der 8. Generation, TPM 2.0 Chip, Secure Boot und weitere…) Alle Win11 tauglichen Bestandsgeräte sollten zum Erhalt weiterer Sicherheitsupdates nach dem 15. Oktober 2025 umgehend neu installiert (mit Windows 11 Pro 24H2) oder als Inplace Upgrade migriert werden.

Für alle Windows-Hardware, die nicht Windows 11 konform ist (alle Rechner ohne TPM2 und mit Prozessor kleiner Core i5 der 8. Generation) eignet sich Azure Virtual Desktop Win 11 in Verbindung mit IGEL-OS (das ist ein leicht administrierbares Linux Derivat mit Wartung/Updates).

Für Azure Virtual Desktops besteht ebenfalls Handlungsbedarf bis Oktober 2025, diese auf Windows 11 Enterprise Multiuser umzustellen. Hierbei unterstützt Microsoft nicht die Inplace-Migration der AVD10 VMs auf Windows 11 Enterprise Multiuser. Ein Inplace-Upgrade geschieht demnach auf eigenes Risiko. Bei Scheitern oder Nebenwirkungen müssen AVD-Pool und die VMs mit Windows 11 neu erstellt werden.

Redaktioneller Beitrag #Win11

Windows 11 Tricks

Am 15. Oktober 2025 wird Microsoft für Endgeräte mit Windows 10 Pro das letzte Sicherheitsupdate verteilen. Bekanntlich (wir haben bereits darüber berichtet) werden dadurch weltweit mehrere Millionen PCs zu Elektronikschrott – nämlich alle, die einen älteren Prozessor als Intel der 8. Generation (oder vor 2018 erschienene AMD Prozessoren im Rechner haben. Rechner, die noch einen Intel Core Prozessor vor der i-Generation haben, starten nicht mal mehr nach dem Update (z.B. Core2Quad und Core2Duo), obwohl viele Rechner für den Betrieb von #Win11 je nach Anwendungszweck schnell genug wären.

Wer über aktuelle Hardware verfügt, muss sich mit einem miserablen Startmenü, Werbung, Nag-Screens und einem zweistufigen Kontextmenü herumärgern (mindestens zwei Mausklicks mehr, bevor man den Kontext erreicht, der bei Windows 10 direkt erscheint. Zusätzlich erscheinen bei Mouseover oben rechts im Fenster (oder Vollbild) Vorschläge, wie man das Fenster mit Anderen auf dem Bildschirm anordnen kann (das Flyout/Snapbar verdeckt den halben Bildschirm).

Was zunächst nach einem geheimen Hack aussah, funktioniert jedoch auch mit der aktuellen Release Version von Windows 11, der 23H2, die im Herbst erschienen ist. So kann man das „klassische“ Kontextmenü durch setzen eines Registry-Schlüssels (oder einer GPO) wieder aktivieren. Ferner kann man die Werbewidgets abschalten und den Startknopf wieder an den linken Bildschirmrand schicken. Offene Programme werden wieder mit Titel in der Taskleiste angezeigt, solange Platz ist und dann erst gruppiert.

Achtung: Der Einsatz der Einstellungen erfolgt auf eigenes Risiko. Nebenwirkungen könnten auftreten!

Hiermit wird für den aktuellen Benutzer das klassische Kontektmenü wieder (nach einem Reboot) aktiviert.

Windows Registry Editor Version 5.00
; widgets auschalten [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Dsh] "AllowNewsAndInterests"=dword:00000000
; Snapbar aus [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SnapBar"=dword:00000000 [HKEY_CURRENT_USER\Control Panel\Desktop] "WindowArrangementActive"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "EnableSnapAssistFlyout"=dword:00000000
; Startknopf links [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "taskbarAl"=dword:00000000
; altes Kontextmenü [HKEY_CURRENT_USER\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32]

Diese Einstellungen, als Administrator in Regedit importiert machen ein paar Komforteinstellungen und das System besser bedienbar.

Die folgenden Einstellungen machen Windows 10/24H2 (seit Juni RTM und bei Neukäufen vorinstalliert) komfortabler und sind über GPO/reg.keys einstellbar:

Startmenü wieder nach links,

Über GPO/reg.keys einstellbar

Bei den Empfehlungen alle Schalter auf aus, außer bei Dateiverlauf

Im Startmenü unten weitere Symbole (Settings, eigene Dateien einschalten)

klassisches Kontextmenü

Taskleistensymbole erst gruppieren, wenn voll

Widget-Bereich und Copilot (Symbol in Taskleiste) ausschalten

Nur dass alle Symbole in der TNA angezeigt werden hab ich noch nicht hinbekommen, die muss man bei Bedarf einzeln aus dem ^ Menü wegschalten, nachdem das zugehörige Programm einmal gelaufen ist.

Outlook – Support-Ende 2026

Bereits heute kann mit der #Outlook Win32 App aus den Office Versionen 2016 keine Verbindung mehr mit einem Exchange online (Microsoft 365) aufgebaut werden. Auch der offizielle Support von Exchange 2019 ist bereits im Oktober 2023 beendet worden. Zwar bekommen beide Office Versionen noch Sicherheitsupdates, die Verbindungsmöglichkeit mit M365 kann aber auch jeden Tag eingestellt werden.

Für lokale Installationen von Office oder Volumenlizenzen der Kaufversionen auf Terminalservern gilt daher: Möchte man von diesen beiden Plattformen auf sein Exchange online Konto mit der Outlook Win32 App zugreifen, wird das nur mit Office 2021 (LTSC) unterstützt!

#Endoflife – am 14. Oktober 2025 wird das letzte Sicherheitsupdate für Office 2016, 2019 ausgerollt. Gleichzeitig endet auch für Die Outlook Win32 App der Support und Verbindungen zu Microsoft 365 lassen sich nur noch mit der neuen Outlook App aufbauen. Diese ist quasi OWA in eine Windows-Store-App eingepackt, funktioniert nur mit einer Internetverbindung und hat keinen Offline-Speicher. Darüberhinaus werden bei Einbindung von Drittanbieterkonten (GMX,Web.de,gmail) die Zugangsdaten zu den IMAP/POP3 Konten an Microsoft übertragen und Inhalte dort gespeichert.

Anmerkung: Wer derzeit noch die kostenlosen Windows 10+ Apps „Mail, Kalender und Kontakte“ benutzt, der wird im Laufe des Jahres 2024 auf die Outlook App in der werbeverseuchten Free-Variante umgestellt. (verwendet man die neue Outlook App mit einem kostenlosen Microsoft-Konto, ist immer die erste Mail im Ordner eine gefakte Werbemail, die aussieht wie eine andere E-Mail) Das „Update“ erfolgt automatisch über de Microsoft Store.

Am 13. Oktober 2026 enden dann auch die #Sicherheitsupdates für Office 2021.

Im Sommer 2024 soll nochmal eine Kaufversion „Office 2024“ erscheinen (Das Paket enthält nicht mehr die Teams 2.1 App, außerdem wird der Microsoft Publisher (Programm zum Entwerfen von Publikationen und Grußkarten) entfernt. Mit 5 Jahren Sicherheitsupdates, wenn es dabei bleibt. Support/Updates-Ende ist dafür dann Juni 2029.

Fazit: Eine Verbindung von Outlook Kaufprodukten mit Microsoft 365 wird jetzt schon nur für Version 2021 offiziell unterstützt. Version 2019 kann jederzeit die Verbindung einstellen. Outlook (Win32 App mit Offline-Cache) wird bis Oktober 2026 eingestellt – dann funktioniert nur noch die neue Outlook Online-Webapp.

Die Einstellung von Outlook betrifft grundsätzlich auch Geschäftskunden mit Microsoft 365 Lizenzen!
Update 8.3.2024: Microsoft hat die Einstellung des klassischen Outlook nochmal revidiert. Wer ab Oktober 2025 M365 neu installiert, bekommt die neue App installiert. Diese enthält auch keinen Schieberegler mehr zurück zu Classic. Bestehende Installationen werden bis maximal 2029! von Microsoft unterstützt und mit Sicherheitsupdates versorgt, erhalten aber nach 2026 keine Funktionsupdates.

Quelle: https://techcommunity.microsoft.com/t5/outlook-blog/new-outlook-for-windows-a-guide-to-product-availability/ba-p/4078895

IT-Sicherheit und NIS2- Ihre Meinung bitte

Wie eine aktuelle Auswertung der Allianz Versicherungsgruppe von Januar 2024 zeigt, sind die meisten Schadenfälle im Bereich Cyber-Kriminalität zu verzeichnen. Wir möchten gern Ihre Meinung (anonym) erfassen und auswerten, um einzuschätzen, wie wir Sie zukünftig dabei unterstützten können. #Erfreulich – das Ausfüllen dauert nicht mal eine Minute und hilft uns sehr. Dazu haben wir, wie im aktuellen GWS-Newsletter erwähnt, eine kleine Umfrage vorbereitet :

Forms-Umfrage IT-Sicherheit und NIS2

Vielen Dank für Ihre Mühe im Voraus! Gern können Sie auch in diesem Beitrag kommentieren.

Notwendige	(Pflichtfeld: kann nicht abgewählt werden. Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche ermöglichen. Die Webseite kann ohne diese Cookies nicht funktionieren. )
Komfort	(Optional: Komfort-Cookies ermöglichen unserer Webseite, sich an Informationen zu erinnern, wie sich die Seite verhält, z. B. dass Sie bereits für eine Umfrage oder einen Termin abgestimmt haben.)