Aktuelle Schulungen

Empfehlungen  schulung

IT-Dokumentation

weiterlesen

Erhalten Sie eine detaillierte und strukturierte IT-Dokumentation, so wie es der BSI-Grundschutz und/oder Prüfungsstandard…

Webcast – Security im Wandel

weiterlesen

Unternehmen müssen sich aufgrund aktueller Bedrohungen auf erweiterte, effektive Werkzeuge und Maßnahmen einstellen. Dieser…

Schulung – Lizenzierung und Inventarisierung

weiterlesen

Microsoft führt derzeit verstärkt Lizenzprüfungen durch. Sie werden dabei aufgefordert, eine Plausibilitätsprüfung durchzuführen und…

CISCO Anyconnect und Secure Clients

Wir möchten Ihnen gerne eine optimale Lösung für die Sicherheit Ihrer IT-Infrastruktur anbieten. Dazu empfehlen wir Ihnen, sich mit unserem Partner NetGo Firewalls von Barracuda Networks zu schützen. Diese Firewalls sind speziell für die Azure IaaS und Azur Virtual Desktop (AVD) Umgebungen sowie für die On-Premises Hauptstandorte konzipiert. Sie ermöglichen eine sichere und flexible Anbindung Ihrer verschiedenen Standorte. Außerdem können Ihre Mitarbeitenden im Außendienst und im mobilen Arbeiten den Software-VPN-Client von Barracuda auf ihren Windows PCs und Notebooks nutzen.

Wir möchten Sie auch darauf hinweisen, dass es bei der Verwendung von CISCO Routern, die im Rahmenvertrag mit der Telekom enthalten sind, zu Sicherheitsproblemen kommen kann. Es gibt eine aktuelle Sicherheitslücke, die den Update-Mechanismus von CISCO betrifft. Wenn Sie einen CISCO Router in der Hauptstelle haben, an dem auch mobile Windows Clients angebunden sind (z.B. für Homeoffice, mobiles Arbeiten oder Außendienst), sollten Sie unbedingt prüfen, ob Ihr CISCO Secure Client oder CISCO Anyconnect vpn Client auf dem neuesten Stand ist. Die aktuellen Updates erhalten Sie nur, wenn Sie bei CISCO oder über die Telekom im Rahmenvertrag eine Wartung für den CISCO Router abgeschlossen haben.

Bitte prüfen Sie Ihr Software-Inventar, ob Sie in Ihrem Unternehmen CISCO vpn Software einsetzen. Hierbei kann OpenAudit Classic hilfreich sein.

Wenn ja: Beschaffen Sie über Ihren Dienstleister den aktuellen Cisco AnyConnect Secure Mobility Client   5.0.03072 und rollen ihn an alle VPN-Endgeräte aus.

Falls Sie keine Wartung auf die CISCO Geräte haben, aber eine Barracuda Firewall (Cloudgen oder On-Prem), stellen Sie gemeinsam mit der NetGo Ihr CISCO vpn auf Barracuda um. Hier ist der Updatemechanismus der VPN-Clients mit Bordmitteln besser automatisierbar.

Falls Sie keine Barracuda Firewalls einsetzen, sondern Drittanbieter-Geräte von sophos oder Fortinet o.ä., stellen Sie mit Ihrem Dienstleister das vpn auf diese Lösung um und lassen prüfen, ob diese Geräte und Software auf dem aktuellen Stand ist. Allein bei Fortinet gibt es einmal im Monat einen Patchday, der kritische Sicherheitslücken schließt

CISCO Artikel zur aktuellen Sicherheitslücke

Outlook – testen Sie das neue Outlook – Nein

Derzeit erscheint in der Microsoft 365 #Outlook Desktop App oben rechts der Hinweis mit einem Schieberegler „Testen Sie das neue Outlook“. Die Meldung ist so unglücklich platziert, dass man beim Minimieren des Outlook-Fensters leicht den Schieberegler aktiviert.

Die Folge: Aus dem Store wird die neue Outlook App heruntergeladen und als Standardprogramm für E-Mails eingetragen. Diese App ist nichts anderes als ein App-Fenster, wo im Browser unter Zuhilfenahme der Edge Webview2 Runtime (diese muss installiert sein) OWA aufgerufen wird.

Auch aktuell bietet OWA bei weitem noch nicht die Funktionen und den Bedienkomfort wie die Desktop App. So sind beim Bedienen des Kalenders deutlich mehr Mausklicks notwendig um z. B. einen vorhandenen Termin zu bearbeiten oder Flags zu setzen, die bei der Desktop App direkt im Ribbon Menü mit einem Klick erreichbar sind. Auch das Verändern und Verschieben von Terminen mit der Maus ist schwerfälliger in der Browserdarstellung und funktioniert mehr schlecht als recht.

Zudem werden nur Microsoft 365 Konten (bisher) unterstützt. Es gibt aber zahlreiche Kunden, die noch ein Google-Konto oder Post bei einem anderen Provider per IMAP mit abfragen müssen (meist historisch bedingt, aber notwendig).

Abhilfen: Wenn Sie die neue App bereits versehentlich aktiviert haben, müssen Sie den Schieber wieder ausschalten, die Store-App auf Ihrem Rechner deinstallieren und bei Standard-Apps die Outlook Desktop App wieder aktivieren.

#Erfreulich – zum Glück gibt es einen Registry-Schlüssel, den Admins auch per GPO ausrollen können, der die lästige Werbung für die minderwertige App entfernt (Für diejenigen, die mit User-Rechten arbeiten und den Registry-key lokal ausführen müssen – bitte den Registy Ast beginnen lassen mit Users und der SID des Benutzers für den das gelten soll. Dann mit Elevated rights Regedit aufrufen und den veränderten Key ausführen):

Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options\General] "HideNewOutlookToggle"=dword:00000001

oder

[HKEY_USERS\S-1-5-21-222222222-2222222222-2222222222-1153\SOFTWARE\...

End of Life vieler Produkte – Zeitleiste

Wer wissen möchte, wann die eingesetzten Produkt-Versionen keinen Support oder – #wichtig – keine Sicherheitsupdates mehr bekommen, dem sei die folgende Seite empfohlen, die alle End-Daten in einer farblich gestalteten Oberfläche übersichtlich darstellt. Tipp: Windows und Office sind unter ‚M‘ wie Microsoft zu finden:

https://endoflife.date/

Website mit EOL-Daten

Für die wichtigsten Produkte haben wir für Sie diese Zeitleiste zusammengestellt:

Ansicht wechseln
• Sortierung

Kerberos-Protokolländerungen ab Juli 23

Bereits im November 2022 lieferte Microsoft Mechanismen aus, die die Kerberos-Anmeldung sicherer machen können. Es geht dabei um das Anmeldeverfahren, wie sich Drittgeräte und andere Windows Server an einem AD-Domänencontroller anmelden.

Auch dieser Sicherheitspatch war zunächst nur ausgerollt worden, um Administratoren Zeit zu geben, die Sicherheit dieser Anmeldungen zu erhöhen bzw. auf Drittgeräten aktuelle Firmware/Softwareupdates zu machen.

Bereits am 13. Juni 23 mit dem Juni-Patchday hat Microsoft die Kerberos Einstellung auf „Überwachungsmodus“ gesetzt. Die Verbindung ist damit weiterhin möglich, Fehler werden im Ereignisprotokoll aufgezeichnet.

Am 11. Juli 2023 setzt Microsoft die Kerberos-Einstellung mit dem monatlichen Update auf „Erzwingen“. Das bedeutet, das Systeme mit unsicheren Kerberos-Schlüsseln sich nicht mehr anmelden können.

1Jahr 11Monate 3Tage
seit Di. 11. Juli 2023 704 Tage

Handlungsempfehlung

#Wichtig – Wie im Microsoft Artikel ausführlich beschrieben, betrifft das Update Windows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions.

Wenn Sie auf Ihren Domänencontrollern Fehler mit der Ereignis-ID 42 finden, oder Geräte erkennen, die keinen gemeinsamen Kerberos-Verschlüsselungstyp aufweisen, indem Sie das Ereignisprotokoll für Microsoft-Windows-Kerberos-Key-Distribution-Center Event 27 anzeigen, lesen Sie bitte: KB5021131: Verwalten der Kerberos-Protokolländerungen im Zusammenhang mit CVE-2022-37966

Nach der Installation des Juni 2023-Updates (auf allen Servern) das Ereignisprotokoll an Ihren Domänencontrollern sichten und nach Fehlern mit der Ereignis-ID 42 suchen und wie im folgenden Artikel beschreiben verfahren (An Ende des Artikels ist eine FAQ):

Microsoft Artikel mit Handlungsanweisungen

Office (Microsoft 365) 32-Bit oder 64-Bit

Heutzutage werden fast ausschließlich Windows Betriebssysteme mit 64-Bit eingesetzt. Ältere Versionen mit 32-Bit werden von vielen Herstellern und Anwendung nicht mehr unterstützt.

Die Software, die man unter Windows einsetzt, kann damit 32-Bit oder 64-Bit sein. Lange Zeit hat Microsoft empfohlen, die 32-Bit-Versionen von Office einzusetzen.

#Erfreulich – mittlerweile bieten die 64-Bit-Versionen eine bessere Performance, da kein 32-Bit-Subsystem unter Windows für die Office Apps gestartet werden muss und die Limitierung von 4GB Arbeitsspeicher entfällt. In Excel lassen sich so recht große Datenmengen darstellen und der Import über die Datenquellen ist auch deutlich schneller.

Achtung! Dazu muss allerdings auch der Rechner einen Core I5 mindestens der 8. Generation, 8 GB RAM, besser noch 16 GB Arbeitsspeicher und eine schnelle SSD haben

Insbesondere bei Microsoft Teams muss die Anwendung immer in 64-Bit installiert sein, da ansonsten extreme Performance-Einbußen drohen.

Wann ist für Microsoft 365 (Office) 32-Bit Pflicht?

Wenn Sie Anwendungen auf dem Rechner einsetzen (das gilt auch für Azure Virtual Desktop und Terminal- und Citrix-Server), die nur in der 32-Bit-Version mit Outlook (über OLHANDLER.DLL) kommunizieren können, dürfen Sie nicht die 64-Bit-Version installieren. Einige Beispiele sind:

• Microsoft Dynamics 2009 R2 (Classic) –> gevis Classic bis G/R8
• Microsoft Dynamics NAV bis Version 2018 und Business Central bis Version 14 (BC14)
• Gigaset Quicksync (Synchronisieren von Outlook-Kontakten mit DECT-Handsets)
• GWS MDESync (die Windows Mobilschnittstelle meckert Outlook32 als fehlend an)
• Andere Programme, die die E-Mails erzeugen und dabei MAPI32.dll oder OLHANDLER.dll benutzen

Mit gevis ERP | BC Versionen ab 17.x (Business Central Version ab 17, Client = Google Chrome für Enterprise, 64-Bit) lassen sich beliebige E-Mail-Programme durch Download von .EML-Dateien aufrufen. Die Bit-Tiefe ist dabei unerheblich. Wenn Sie eine unserer SaaS-Lösungen wie gevis ERP | VEO einsetzen, ist die Office-Bit-Tiefe ebenfalls unerheblich.

Wir empfehlen Microsoft 365. So bleiben Sie im Rahmen des Abonnements immer auf dem besten Stand der Sicherheit und die Verteilung der Updates durch die Admins ist auch sehr einfach. Sollten Sie Kaufversionen im Einsatz haben (erkennbar an einer Jahreszahl am Ende) müssen diese Versionen nach Ablauf der Sicherheitsupdates neu gekauft werden. Alle Versionen erhalten nach dem 13. Oktober 2026 keine Sicherheitsupdates mehr.

Aktuell werden für gevis Umgebungen Microsoft 365 (aktueller monatlicher Kanal) für alle Installationsarten und nur für die lokale Installation auf Windows 10 Pro Endgeräten (nicht Terminal-/Citrix/Azure Virtual Desktop) die Kauf-Versionen 2019 und 2021 unterstützt.

Patchday Juni manueller Eingriff erforderlich

#Wichtig – mit dem Patchday Juni 2023 hat Microsoft die #Sicherheitslücke CVE-2023-32019 geschlossen, die zu Datenabfluss und Elevated Rights für authentifizierte Benutzer führen kann. Leider wird der Lückenschluss nicht aktiviert, so dass ein manueller Eintrag in die Windows Registry der Windows 10 PCs erfolgen muss.

Wer Gruppenrichtlinien einsetzt, kann diese natürlich über die Gruppenrichtlinienverwaltung verteilen.

Für Server 2022 und für die Windows 11 Versionen ist der Wert anders, als bei dem im Beispiel aufgezeigten Schlüssel für Windows 10 22H2 (19045).

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides]
"4103588492"=dword:00000001

Mehr Details im Artikel bei Microsoft

Cloud Gen Firewall sicherer

Ausgangslage: On-Premises

Glücklicherweise setzen viele Unternehmen auf eine Hardware-Firewall-Appliance, um das lokale Netzwerk in Richtung Internet abzusichern. Viele namhafte Hersteller von Routern (CISCO, Lancom, sogar AVM) schreiben, dass Ihre Router Firewall-Funktionalitäten beinhalten. Das sind allerdings ausschließlich Funktionen der klassischen (1. Generation) Firewalls. Anders gesagt: Es erfolgt keine inhaltliche Prüfung von Daten und E-Mails, es gibt keine Advanced Thread Detection und somit auch keine Cloud-Sandbox zur Simulation. Diese „Firewalls“ erfüllen weder GSI-Grundschutz, noch den Prüfungsstandard 330 des IDW.

Unternehmen mit mehreren Standorten setzen mehrere Router ein, die Verbindung zur Hauptstelle erfolgt sternförmig über die integrierte SSL-VPN-Funktion der Router. Bei Ecotel und Telekom Enterprise Managed Netzwerken werden die (CISCO) Router ausschließlich für die Zweigstellen-Vernetzung und die mobilen VPN-Verbindungen benutzt. In der Hauptstelle steht dann bestenfalls eine „richtige“ Firewall der zweiten Generation.

IaaS Cloud

Mit der Ablösung der On-Premises Server (IaaS statt Hardware-Neukauf) wird entweder ein „Azure vpn Gateway“ bei Microsoft zur Anbindung angemietet (hier werden nur wenige Gen2-Firewalls wie von Barracuda Networks oder neuere Modelle der sophos X-Serie und von Fortinet) unterstützt.

Außerdem sind dann die in IaaS angemieteten Server und die Nachfolger der Citrix oder RDS-Terminalserver: Azure Virtual Desktops nicht mit einer Gen2-Firewall abgesichert und angreifbarer.

In unseren #Firewall Konzeptionen zeigen wir gemeinsam mit unserem Partner NetGo am Beispiel von Barracuda Firewalls die sternförmige Anbindung an die Cloud mit „Internet-Breakout“ in der Cloud auf Gen2-Firewall Stufe. Dazu kommt eine #CloudGen virtuelle Firewall zum Einsatz, die Server und Azure Virtual Desktops absichert. An dem oder den Standort(en) kommt ein VPN-Endgerät – passend zur Bandbreite und Benutzerzahl am Standort (F18 oder F80) zum Einsatz.

Vorteile: #Erfreulich ist, das das Azure VPN-Gateway mit mindestens 165€ pro Monat so entfällt. Jeder Standort braucht nur eine (dynamische) IP-Adresse, ggf. ein DSL-Modem und den Barracuda VPN-Endpunkt. Der Weg zum Server erfordert daher nicht mehr den Umweg über die Hauptstelle.

Fazit

Der Weg zum Internet sollte immer über eine Firewall der zweiten Generation mit ATP und Contentanalyse abgesichert werden. Diese sollte einen Wartungsvertrag auch für Firmware und Antivirus enthalten (vitalizing und Security Updates) und gemanagt sein.

Sobald Azure IaaS im Spiel ist, wird eine sternförmige Anbindung an die IaaS Cloud und Azure Virtual Desktops über eine virtuellen CloudGen Firewall Pflicht. Ob Sie das Musterangebot der NetGo annehmen oder mit Ihrem Firewall Dienstleister ein identisches Konzept konstruieren, bleibt Ihnen überlassen.

Systemkoordinierende - sind Sie zertifiziert?

Mit der gevis Einführung und Migration auf neue Versionen, in die IaaS- oder SaaS-Cloud sind immer Pflichtschulungen zur Ausbildung und Zertifizierung von Systemkoordinierenden – kurz SYSKO – erforderlich. Die folgende Checkliste soll Ihnen erleichtern, Ihren Status zu ermitteln. Zertifizierte Systemkoordinierende können viele vorgeschriebene und wiederkehrende Aufgaben in Eigenverantwortung lösen – ohne dafür einen kostenpflichtigen Vorgang bei uns eröffnen zu müssen. Sie sind die Feuerwehr im eigenen Hause und halten den IT-Betrieb am Laufen.

Ermitteln Sie Ihren Status nach folgender Checkliste:

• A ( ) Bei Einführung von gevis (Version 7 bis einschließlich Version BC 140) habe ich die 2-tägige Sysko-Basis-Schulung absolviert (und die Prüfung abgelegt)
• B und: ( ) Bei Migration von gevis (Version 7 bis einschließlich Version BC 140) auf gevis ERP | BC oder gevis ERP | SaaS oder gevis ERP | VEO habe ich etwa 6-stündige Sysko Aktualisierungs-Schulung besucht (und die Prüfung abgelegt)
• C ( ) Wir haben direkt gevis ERP | BC ab Version 15 (Client ausschließlich im Browser) eingeführt und ich habe die habe ich die 2-tägige Sysko-Basis-Schulung absolviert (und die Prüfung abgelegt). Zertifizierte Syskos sind noch noch im Unternehmen
• D oder: ( ) Bei Einführung von gevis (ERP | SaaS oder ERP | VEO) habe ich die 1-tägige Sysko anywhere SaaS Schulung absolviert (und die Prüfung abgelegt)
• E ( ) Ursprüngliche SYSKOs haben das Unternehmen verlassen. Neue Mitarbeitende (mindestens 1) haben die 2-tägige Sysko-Basis-Schulung für neue Mitarbeitende absolviert (und die Prüfung abgelegt)

Kreuzen Sie bitte Zutreffendes an. #Wichtig – nur wenn Sie die folgenden Buchstabenkombinationen erhalten, ist Ihr Unternehmen #zertifiziert und auf dem aktuellen Stand der Sysko-Zertifizierungen:

A+B oder C oder D oder/und E

Wenn nicht, melden Sie sich oder anderen Mitarbeitende im Betrieb bitte zu den noch fehlenden Schulungen an. Mehr Details zu den Syskotätigkeiten hier.

Warum ist Libreoffice immer noch keine Alternative zu Microsoft Office

#FAQ: #Libreoffice und andere Open-Source Bürosoftware wie Open-Office bieten keine Schnittstellen zu anderen Microsoft Programmen.

Was geht nicht?

So wird beispielsweise in Microsoft Dynamics 365 Business Central (ehemals Navision) für Office Funktionen eine Microsoft Schnittstelle aufgerufen, über die Daten an Word und Excel übergeben werden, die nur Microsoft Office hat .

Auch die JDBC-Schnittstelle von Libreoffice ist nicht komfortabel und basiert auf Java (J steht für JAVA). Java gehört neben Adobe Flash zu den gefährlichsten Programmen der Welt. Im Übrigen ist Oracle #Java für Unternehmen kostenplfichtig.

Die abweichende Darstellung und Formatierung, sowie fehlende Assistenten machen die freie Software für den täglichen Gebrauch unwirtschaftlich – zumal alle neuen Mitarbeiter schon in der Schule den Umgang mit Microsoft Office lernen.

Ein weiterer, wichtiger Aspekt ist, dass Libreoffice kein Outlook (Mailprogramm) enthält. Outlook und Word als Einzelprogramme lizensiert, sind teurer als ein Office Plan oder eine Boxware für Einzelplatzeinsatz.

Auch für Administratoren bietet Liebreoffice keine Zero-Admin Updateverfahren, die auch in Cloud- und Citrix-Umgebungen funktionieren.

Wer auf all diese Funktionen und den Support für die Büro-Software verzichten möchte, kann (die jeweils aktuelle Version einsetzen) von Libreoffice einsetzen. Etwa einmal alle 2 Monate gibt es Sicherheits-Updates, die installiert werden sollten.
Am Rande gibt es auch Positives von Libeoffice ab Version 6 zu berichten – daher werden einige Administratoren das Produkt parallel zum Microsoft Office installieren möchten. Der SWriter (Schreibprogramm vom Libreoffice) kann ausfüllbare #PDF-Formulare erstellen. Man nehme eine Word-Datei und füge im Swriter Form-Felder zu. Gespeichert als PDF und jemand bereitgestellt, kann dieser die PDF am Bildschirm ausfüllen und mit Inhalten zuschicken. Das spart es, auf Webseiten Formulare zu programmieren.

Fazit

Im Firmen-Umfeld sind aktuell die Microsoft 365 Apps die professionelle Variante mit den meisten Vorteilen. Auch betriebswirtschaftlich und im Namen der Sicherheit ist es wichtig, immer auf dem aktuellen Stand zu sein. Die Funktionalität muss mit den Geschäfts-Anforderungen mitwachsen.

Internet Domain .zip lieber sperren

Auch Google ist als Vergabestelle von Internet-Domains (Registrar) am Markt tätig. Seit Mai 2023 ist die Toplevel Domain „.zip“ ohne Einschränkung buchbar. Bereits wenige Tage nach Verfügbarkeit nutzen Betrüger diese Domain, um Benutzer zum Klicken zu animieren und Schadcode zu verteilen.

Damit sind beispielsweise URLs wie: https://packprogramm.zip oder https://neuertreiber.zip oder https://sicherheitsupdate.zip möglich.

Der Betrachter könnte auf die Idee kommen, dass es sich um ein wichtiges Update handelt, das er installieren muss.

Meist erfolgt aber kein Download, sondern man bekommt eine Website angezeigt, wo man erstmal vertrauliche Daten eingeben muss. Alternativ wird die im Browser nachgebildete Oberfläche von Winrar in der Sprache des Besuchers angezeigt und bewirbt das Schadprogramm einen vertrauenswürdigen, virengeprüften Download.

#Wichtig – Sicherheitsforscher raten derzeit, den Zugriff auf Domains unter .ZIP in der Firewall zu sperren. Es ist auch nicht ganz klar, welchen Werbe- und Erkennungseffekt die Endung haben soll (ZIP steht für eine amerikanische Postleitzahl oder für Reißverschluss)

Details im Artikel des Forschers

Deploy und VM-ISOs neu erstellen erforderlich

Mit dem #Patchday Mai 2023 aktualisiert Microsoft mit #Sicherheitsupdates auch den Secure Boot Loader von Windows 10, 11 und Windows Server 2016-2022. Wer also eine ISO-Datei (mit Rufus auf einen USB-Speicher erstellt) verwendet, muss diese ISO-Datei neu erstellen und dabei das Mai-2023 Update integrieren. Die vorhandenen ISOs mit einem älteren Stand werden nicht mehr starten können, da das UEFI die Zertifikate nicht akzeptiert. Das gilt auch dann, wenn man eine solche ISO als externe Reparatur-Hilfe für verunglückte PCs oder Notebooks – oder auch Server verwendet. Zuletzt sollten auch Hyper-V und vmware Vorlagen-Images auf den aktuellen Patch-Stand gebracht oder neu erstellt werden.

Deploy, Boot-ISOs, Installations- und Reparatur-Datenträger und VM Vorlagen für Windows und Windows Server neu erstellen – mit Patchstand von Mai 2023

Microsoft: KB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus)

Windows 10 Zukunfts-Strategie

Bekanntlich endet mit dem Patchday am 15. Oktober 2025 die Updateversorgung für die Kauf-Versionen von Windows 10 und Windows 10 Pro. Wer also keine LTSB oder LTSC oder die IoT-Versionen dieses Betriebssystems mit Software-Assurance gemietet hat, muss sich bis zum genannten Zeitpunkt Gedanken machen, was mit den Endgeräten und Betriebssystemsoftware zu tun ist. Hierbei gelten nur Alt-PCs, die mindestens 8 GB Arbeitsspeicher, eine SSD und mindestens einen Core i5-Prozessor haben, als alltagstauglich.

Der entscheidende Vorteil der IGEL OS Lösung (auch auf anderer Thin-Client Hardware z. B. von HP) besteht darin, dass alle Einstellungen über die zentrale IGEL UMS Oberfläche administriert werden können . Dazu zählen als Hardware auch x86 PCs. Man braucht keine lokalen Eingriffe mehr am Endgerät.

Benötigt ein PC Software, die nur lokal und nicht in Azure Virtual Desktop Windows 10 Umgebungen betrieben werden kann, wird vermutlich die Neuanschaffung eines PCs mit Windows 12 Pro im Herbst 2025 erforderlich sein.

Azure Virtual Desktops erhalten im Rahmen der Miete mindestens bis Herbst 2028 Updates und können vermutlich vorher auch schon auf Windows 12 umgestellt werden, wenn gewünscht.

Windows 10 auf 22H2 umstellen, Office 2013 entfernen

Wir weisen nochmals darauf hin, dass bereits am 13. Juni 2023 der Support für ältere Windows 10 Versionen endet. Bitte sorgen Sie dafür, dass Ihre Windows 10 Umgebungen unbedingt Version 22H2 (das entspricht Build 19045) haben. Ältere Build-Zahlen sind dann unsicher und es gibt bereits jetzt einige Software, die dann eingeschränkt lauffähig ist.

2Jahre 1Tag
seit Di. 13. Juni 2023 732 Tage

Bereits am 11. April 2023 endete der Support und damit die #Sicherheitsupdates für #Office 2013, Visio 2013, Project 2013, Sharepoint 2013 und Skype für Business 2015. Diese Produkte sollten Sie nicht mehr einsetzen. Als Alternative bieten sich die Mietprodukte von Microsoft 365 an, die im Rahmen der Mietlaufzeit immer aktuell und auf dem bestmöglichen Stand der Sicherheit sind.

Öffnen Sie eine Eingabeaufforderung {Windows-R}, cmd, {Enter} und geben das Kommando: Winver {Enter} ein. Die installierte Windows-Version wird Ihnen angezeigt. Dort muss derzeit 19045.2965 oder neuer stehen. Die Zahl hinter dem Punkt entspricht dabei den Sicherheitsupdates von Mai 2023.
Tipp: Haben Sie bereits Build 19042 oder neuer installiert, ist der Wechsel auf 19045 in wenigen Minuten erledigt. Ist der Build noch eine vierstellige Zahl wie etwa 1802, dauert das Upgrade rund eine Stunde.

In wenigen Wochen wird Microsoft das Update erzwingen. Um die Zeit der Nichtverfügbarkeits der Rechner besser zu planen, sollten Sie vorher handeln und das Update anstoßen – insbesondere, wenn eine vierstellige Version <19041 angezeigt wird.

Windows 10 – 22H2 letzte Version

Microsoft hat heute verlautbart, dass die Version 22H2 (Build 19045) das letzte Funktionsupdate für Windows 10 #Win10 ist. Man werde nur noch #Sicherheitsupdates bis zum Ende der Laufzeit bereitstellen. Das würde bedeuten, dass die vorhandene Regel (Build 19046 nach 18 Monaten erforderlich) gebrochen ist.

{Update 12.05.2023} Es gibt offensichtlich weiterhin auch Fehlerkorrekturen (die bisher immer am vierten Dienstag im Monat als optionales Update verteilt wurden). Die Änderungen des optionalen Updates werden immer mit dem nachfolgenden Patchday verteilt. Während der Patchday Mai 2023 Build 2965 hat, bekommen Insider Build 3030 mit etwa einer Seite Fehlerkorrekturen.

Für Endverbraucher (Consumer) ist das Ende der Sicherheitsupdates im Oktober 2025, für Enterprise-Kunden und die LTSC 2019-Version erst 2029 (LTSC-Versionen erhalten für 10 Jahre Updates, die letzte LTSC war 2021. Dies erhält aber nur 5 Jahre Updates, also bis 2026).

Kunden mit den Miet-Versionen wie Windows 10 Enterprise LTSC und Azure Virtual Desktop auf Windows 10 Basis müssen also die nächsten Jahre keinen größeren Aufwand betreiben und auch keine Hardware neu kaufen.

Mein Kommentar (Die folgenden Aspekte spiegeln die Meinung der Redaktion):

1) Unternehmen, die Windows 10 Pro und Enterprise einsetzen werden wohl kaum neue Hardware (Laptops alle 4-5 Jahre nach Abschreibung davon mal ausgenommen) ersetzen, nur damit ein unkomfortableres Windows 11 #Eleven darauf offiziell unterstützt wird.
2) keine Funktionsupdates mehr für Windows 10? Gut, weil bisher jedes Funktionsupdate nur mehr Werbung in Windows reingemogelt hat. Ich möchte nichts von BING, keine BING-Suche, keine Werbung, keine BING-Nachrichten und keine Websuche und Suchvorschläge damit auf meinem Rechner. Auch keinen Edge mit der sicherheitsanfälligen Adobe Reader Freemium Version integriert! Wenn ich ChatGPT ausprobieren möchte, installiere ich mir dafür Skype Desktop. Dafür kann ich komplett auf Edge verzichten und habe nur für Office die Edge Runtime mit im Gepäck, aber keine 25 Edge Browserprozesse im Hintergrund laufen.
3) Viele PC-Endgeräte werden nur noch zum Hochfahren benutzt, um dann einen Azure Virtual Desktop zu nutzen. Bei AVD bekommen wir bis 2031 (im Rahmen der Miete) erweiterte Sicherheitsupdates und müssen die Pools nicht auf Win11 umstellen.
4) Das zentral verwaltbare IGEL Thin-OS läuft wunderbar auch auf alter PC-Hardware und die Lizenz mit Wartung kostet nicht die Welt. Der AVD-Client unter diesem Linux wird offiziell von Igel und Microsoft supportet
5) Wenn ich das nicht falsch verstanden habe, lässt sich die 10 Pro-Version für einen monatlichen Betrag in eine Enterprise Version umwandeln – und schon gelten wieder erweiterte Supportzeiten.
6) Die Mitarbeitenden finden sich in einem einheitlichen Bedienkonzept wieder – selbst die Laptop-Benutzer fahren ein Windows 10 hoch und auf dem Terminalserver (2022) sieht es genauso aus. Ebenso bei Azure Virtual Desktop. Warum sollten sie sich mit zwei UIs anfreunden?
7) Ich befürchte, dass diesmal Windows 12 dann im Herbst 2024 nicht wieder das bessere Windows im gut/schlecht Rhythmus sein wird. Wenn doch, muss lediglich die Hardware-Beschränkung (mindestens Core i 8. Generation) gelockert werden.

Das die Bedienung der Nachfolgebetriebssysteme wieder besser wird, zeigt sich schon in den aktuellen Moment-Updates von Windows 11. Ich lasse mich gern eines Besseren belehren und bleibe solange wie möglich bei Windows 10 Enterprise (LTSC). Was noch fehlt, ist dass die ganze Werbung und das BING-Geraffel zunächst ausgeschaltet sein sollte und bei Bedarf über GPOs angeschaltet werden kann. Derzeit muss man rund drei Seiten voll GPOs sich mühsam zusammensuchen und dann verteilen (die Hoffnung stirbt bekanntlich zuletzt).

Fazit: Ich befürworte das IaaS Cloudkonzept (und da wo möglich ist auch SaaS). Außerdem bin ich überzeugt von den Vorteilen des Azure Virtual Desktops und den anderen Onlinediensten wie Exchange Online, Sharepoint, Teams und Onedrive for Business. Auf der Client-Seite und mit dem Einbringen von Werbung und Störfunktionen in der Pro-Version von Windows 10/11 hat sich Microsoft keinen Gefallen getan. ChatGPT als Onlinedienst zu nutzen, kann durchaus produktiv sein – auch in der Bezahlversion, eine zwangsweise Integration in ein Client-Betriebssystem ist aber m. E. unangebracht.

Meinung der Redaktion von tech-nachrichten.de

Microsoft Authenticator App matching numbers

Kurz notiert: Um die Sicherheit zu erhöhen, aktiviert Microsoft neben der MFA Verpflichtung den Mechanismus, eine auf dem Windows-Rechner im Browser angezeigte, zweistellige Zahl in der Authenticator App auf dem Smartphone einzugeben. Bisher musste man Login-Vorgänge nur in der App genehmigen.

Die Änderung gilt für beide Plattformen (IOS und Android) und ist verpflichtend. Wie und ob Microsoft die matching numbers bei den anderen Authentifizierungsverfahren (Telefonanruf und TOTP) realisiert, ist nicht bekannt, bzw. macht bei TOTP auch keinen Sinn, da man dabei meist einen Hardware-Token hat.

Weitere Details zur Zwei-Faktor-Autorisierung haben wir hier für Sie zusammengestellt.