Visual C++ Runtimes ohne Updates

Erst seit den #Microsoft Visual C++ Runtimes Versionen (2015-2022) sind die Bibliotheken abwärtskompatibel, d.h. wenn man die aktuellen Runtimes (diese enthalten aktuelle Sicherheitsupdates) herunterlädt und auf den PCs und Terminalservern installiert, ist das Zielsystem – was diese Runtimes betrifft, frei von bekannten #Sicherheitslücken – Es ist dann auch nur die eine Version (32 und 64-Bit) installiert.

Für alle älteren Versionen (2005/2008/2012/2013) sind im schlimmsten Fall von gleichen Versionen (gleich Jahreszahl) zig Builds installiert. Für diese Versionen galt bisher: Die alten Builds konnten deinstalliert werden, nur das aktuelle Build (letzte 5 Ziffern der Version zu der Jahreszahl) musste auf dem Windows System, um Anwendungsprogramme, die darauf setzten zu betreiben. Installiert sein muss immer die 64-Bit Version UND die 32-Bit-Version der Runtime.

Keine der oben angegebenen Versionen, einschließlich 2013 bekommt aktuell noch Sicherheitsupdates. Diese Versionen können für Angriffe genutzt werden, wenn sie solche haben und installiert sind.

Ende der Sicherheitsupdates für Visual Studio 2013 war im Januar 2023

Ein aktueller Selbstversuch hat nun gezeigt, dass ich in meinem Umfeld keine Software mehr auf Server und Endgeräten habe, die eine der oben genannten, alten Runtimes braucht. Im Selbstversuch habe ich alle alten Runtimes deinstalliert (das funktioniert ohne Neustart) und danach die komplette, verwendete Software auf Lauffähigkeit überprüft. Ergebnis: Lief noch alles 😎.

Fazit: Zumindest für lokale Rechner mag jeder für sich selbst entscheiden, ob er auch den Feldversuch macht. Sicher ist, das ein so bereinigtes System deutlich sicherer vor Angriffen ist. Wenn im Test eine Software nicht startet, muss man die angezeigte Runtime-Meldung zum Anlass nehmen, doch wieder die 64 und 32-Bit-Version dieser Runtime zu installieren – und bestenfalls den Hersteller nach einer neueren Version fragen.

Microsoft Edge ab März mit Adobe Freemium

Wie Microsoft heute mitteilte, wird der in #Edge integrierte Open-Source PDF-Betrachter ab März 2023 durch ein Adobe PDF Reader Lite Freemium Modul ersetzt und der integrierte PDF-Betrachter dadurch ersetzt. Ähnlich zum installierbaren Adobe Acrobat Reader DC werden dann innerhalb des Moduls die Premium-Funktionen, die es nur im Abo gibt, von Adobe beworben. Microsoft Edge stellt damit Werbung nicht nur für eigene Produkte, sondern Lösungen von Drittanbietern dar. Welche Daten dabei an Adobe Inc. USA übertragen werden, ist noch unklar. Außerdem wächst der Bedarf an Datei- und Arbeitsspeicher für das Produkt und die Dienste (z. B. Adobe Updater) an. (Quelle: Microsoft Website)

Kommentar: Oh, nein!. Da bin ich gerade froh, Adobe Acrobat Reader DC von allen Systemen entfernt zu haben und somit 95% Sicherheitslücken und veraltete Versionen weniger, da baut Microsoft eine Freemium-Version in den eigenen (in weiten Teilen GPL-lizensierten) Browser ein.

Nun haben wir einenj weiteren Grund, Chrome für Enterprise als Standard-Browser zu setzen und ggf. sofern möglich, Edge ganz aus dem System zu entfernen. Dabei ggf. nur die Edge Runtime (die hoffentlich ohne Adobe Reader-Plugin geliefert wird, für einzelne Apps zu verwenden. Ich hoffe, das Vorhaben wird nicht Bestand haben oder eine Option (oder Life-Hack) geben, die PDF-Engine zu deaktivieren.

Ich werde bei Chrome Enterprise und dem integrierten Open-Source PDF-Betrachter in diesem Browser bleiben und überlege, ob ich den Edge rückstandsfrei entfernen kann auf allen betreuten Systemen. Die Aufdringliche Werbung dafür nervt ja eh und dass man laufend dagegen neue Policies aktivieren muss!

Der Kommentar im Kasten spiegelt die Meinung der Redaktion.

Objektiv betrachtet: Man kann geteilter Meinung sein, welchen Browser man am Besten findet. Aber um die höchstmögliche Sicherheit von Windows Systemen zu bekommen eignet sich (denn dabei stehen 0-Day-Updates bereits zwei Stunden nach Bekanntwerden zur Verfügung). Google Chrome Enterprise als Standard-Browser.

Seit Version 109 von Edge gibt es nur die folgende Möglichkeit den Microsoft Edge Browser rückstandsfrei aus Windows 10 und Server 2016/19/22 zu entfernen (wie immer Benutzung auf eigenes Risiko):

• Den Windows Taskmanager starten und alle Prozesse beenden, die mit Microsoft Edge beginnen
• Eine administrative Powershell öffnen und den Befehl
  reg add „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EdgeUpdate“ /v „DoNotUpdateToEdgeWithChromium“ /t REG_DWORD /d 1 -f
  eingeben
• Regedit aufrufen und den Ast:
  HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\
  öffnen. Dann die Schlüssel durchblättern, bis Microsoft Edge beim Display Name auftaucht. Den kompletten Schlüssel löschen
• Windows Explorer öffnen und alle Ordner unter „c:\programme (x86)\microsoft“ entfernen, die mit Edge beginnen (außer Webview2)
• Die Edge Verknüpfungen in Startmenü und Taskleiste löschen
• Zuletzt unter Systemsteuerung Programme&Features den Microsoft Edge Webview2 deinstallieren.. Achtung: Edge Webview2 muss nach jedem Office-Update erneut deinstalliert werden,
• Nun auch den Rest der Ordner unter „c:\programme (x86)\microsoft“ entfernen, die mit Edge beginnen (Edge Updater)
• Die Aufgabenplanung aufrufen und alle Tasks löschen, die mit Edge beginnen!
• Den Rechner neu starten und den freien Platz und rund 600 MB mehr Arbeitsspeicher und weniger Hintergrunddienste genießen

vmware aktuell halten

Angesichts der aktuellen Angriffs-Serie fokussieren sich Cyberkriminelle auf ungepatchte Browseroberflächen in der VCenter Oberfläche von vmware-Versionen, die Weboberfläche von ESX(i)-Server und auch den vmware Workstation Hypervisor.

Dabei reicht es aus, dass das Unheil stiftende Programm im Netzwerksegment ausgeführt wird, wo die Server stehen. Schadprogramme laufen im Benutzerkontext und werden vorzugsweise durch Klicks von Benutzern gestartet.

Das besondere daran ist, dass die Sicherheitslücken bereits 2021 geschlossen wurden. Offensichtlich gibt es viele Kunden, die entweder keinen Wartungsvertrag mehr mit vmware haben (damit keinen Zugriff auf die Patches) oder/und ihre Systeme nicht aktuell sind.

#Wichtig – Wir raten allen Systemkoordinierenden, ihre VMware Installationen auf aktuellem Stand zu halten.

Bezogenes CVE Security Bulletin: CVE-2021-21974

Microsoft 365 Dienststatus abfragen

Kommt selten vor, war aber aber Anfang Februar 2023 der Fall: #Microsoft Online-Dienste sind nicht erreichbar oder extrem langsam. Wenn beispielsweise in Ihrem #Teams kein Video und keine Bildschirmfreigaben mehr funktionieren und der Bildschirm schwarz bleibt – oder sogar Verbindungs-Abbrüche auftreten, kann die Internet-Verbindung schuld sein, es kann aber auch eine Störung in den Onlinediensten vorliegen. #Wichtig – Über einen gängigen Speedtest, wie den von AVM können Sie die Bandbreite Ihres Standorts ermitteln. Sind hier keine Anomalitäten, gibt es weitere Werkzeuge:

Die meisten Syskos haben administrative Rechte im Microsoft 365 (und im Azure)-Portal. Sollte die Störung nicht die Anmeldung im Portal betreffen, können Sie hier zumindest die Ursache eingrenzen und herausfinden, wie der Status der einzelnen Dienste ist:

Melden Sie sich dazu mit Ihrem administrativen Konto „ihrname@ihrefirma.onmicrosoft.com“ an https://admin.microsoft.com an.

1. Um den Dienststatus anzuzeigen, wechseln Sie in der linken Navigationsleiste des Admin Centers zu „Integrität>Dienststatus„, oder wählen Sie die Dienststatus Karte im Dashboard „Start“ aus. Die Dashboardkarte gibt an, ob ein Problem mit einem aktiven Dienst vorliegt, und stellt einen Link zur Seite mit Details zum Dienststatus bereit.
2. Der Status der einzelnen Clouddienste wird auf der Seite Dienstatus in einem Tabellenformat angezeigt.

Microsoft: https://learn.microsoft.com/de-de/microsoft-365/enterprise/view-service-health?view=o365-worldwide

In Microsoft Azure (da wo in IaaS Umgebungen Ihre Server stehen) gelten grundsätzlich höhere Verfügbarkeiten. Sollte es hier Störungen geben, lassen sich diese unter dieser Seite regionsweise einsehen:

https://status.azure.com/de-de/status

Wer es genauer für Azure-Dienste wissen möchte, melde sich im Azure Portal an und filtere auf die Region Germany „West Central“ und „West Europe“.

https://portal.azure.com/#view/Microsoft_Azure_Health/AzureHealthBrowseBlade/~/serviceIssues

Office Lizenzänderungen 2023

#Microsoft macht auf tiefergehende Änderungen in seinen Office #Lizenzen aufmerksam. Dies betrifft im Wesentlichen installierbare Programme (Kauflizenzen, Volumenlizenzen mit und ohne Software-Assurance und auch die Microsoft 365 Pläne mit installierbaren Apps):

#wichtig – Für den Einsatz installierbarer Office Anwendungen gilt seit 1.1.2023:

Für alle Kauflizenzen von Office 20xx (Home&Business, Volumenlizenzen und auch Lizenzen mit mit gültiger Software-Assurance) gilt seit 1.1.2023, dass sie NICHT in Cloud-Server-Mehrbenutzerumgebungen betrieben werden dürfen.

Für Microsoft 365 gilt: Remotezugriff (Einsatz der installierbaren Anwendungen (Apps) auf On-Premises- oder Cloud- Terminalservern oder Azure Virtual Desktop ausschließlich als Bestandteil des M365 Business Premium Plans oder M365 Apps für Enterprise). Ein M365 Apps für Business Plan reicht nicht aus.

Quelle: Microsoft Licensing

Wer einen On-Premises-Terminalserver in der Cloud unterstellen möchte, muss ebenfalls den Business Premium Plan einführen.

Fazit

Kaufversionen von Office nur auf dem lokalen Rechner, oder (Volumenlizenzen mit und ohne SA) auf On-Premises Terminal/oder Citrix-Servern einsetzbar.

Mietversionen von Microsoft 365 benötigen einen Business Premium Plan, um installierbare Apps in Cloud-Terminalservern oder Azure Virtual Desktop einzusetzen

Exchange Server weiterhin großes Risiko

Obwohl seit #Hafnium bekannt ist, dass der Betrieb von #Exchange 2019, 2016 und 2013 oder älteren Servern mit der höchsten Risiko-Klasse verbunden ist, hat eine Studie von Januar 2023 herausgefunden, dass über 60.000 Server weltweit entweder ungepatcht oder eine alte Version wie 2013 oder älter haben. #Wichtig – Große Teile dürften damit bereits unter Kontrolle von Kriminellen sein und zum Identitätsdiebstahl genutzt werden.

Das Schlimme – im Strafrechtlichen Bereich sind Sie als Betreiber oder Lizenznehmer betroffen und müssen im Schlimmsten Fall hohe Bußgelder zahlen oder mit empfindlichen Strafen rechnen. Zudem reduzieren oder verweigern Cyber-Versicherungen die Zahlung mit Berufung auf Vorsätzlichkeit.

https://techcommunity.microsoft.com/t5/exchange-team-blog/protect-your-exchange-servers/ba-p/3726001

Artikel im Techblog von Microsoft, wo nochmal eindringlich auf den aktuellen Patchstand hingewiesen wird.

Sicher ist nur, wer Exchange online gemietet hat, denn für diesen Online-Dienst trägt Microsoft die Verantwortung für die Aktualisierung und das schnelle Schließen von Sicherheitslücken. Das Ganze in Verbindung mit dem Microsoft 365 Business Premium Plan, der gesetzlich vorgeschriebene Dinge wie ein Mailarchiv, den Business Virenschutz und in Verbindung mit dem Exchange Security Paket auch Mail und Spamschutz enthält.

Office 2021 eol nur 1 Jahr nach Office 2016/2019

Wie viele von uns wissen, werden am 14. Oktober 2025 mit dem Patchday das letzte Mal Sicherheits-Updates für die Kaufversionen sowie die Volumenlizenzen veröffentlicht. Danach ( #endoflife ) ist bei diesen Produkten damit zu rechnen, dass nicht mehr geschlossene Sicherheitslücken für das Einschleusen von Schadsoftware benutzt werden. Zu allem Übel kürzen Cyber-Versicherungen dann rigoros die Leistungen im Schadenfall, weil unsichere Produkte verwendet werden. Im Schlimmsten Fall bleibt die Leistung wegen Vorsätzlichkeit ganz aus.

Was viele noch nicht wussten: Microsoft hat mit den Kauf-Versionen von Office 2021 erneut den erweiterten Support-Zeitraum gekürzt (das ist der Zeitraum, nach dessen Ablauf keine #Sicherheitsupdates mehr erscheinen). Von 7 Jahren bei Office 2019 auf 5 Jahre.

Office 2021 bekommt damit ab 13. Oktober 2026! – knapp ein Jahr nach Office 2019 und 2016 keine Updates mehr.

1Jahr 3Monate 4Wochen
bis Di. 13. Okt. 2026 485 Tage

Jetzt noch Kauflizenzen zu erwerben führt dazu, dass die Anschaffung nicht mal mehr ganz im Rahmen der AfA abgeschrieben werden kann. Insbesondere bei Gebraucht-Lizenzen sei hier noch mal die Warnung formuliert, dass Fälle bekannt sind, wo Microsoft strafrechtlich gegen Käufer = Lizenznehmer vorgegangen sind.

Die für den Administrator komfortabelste und für den Geschäftsführer mit den wenigsten Risiken verbundene Lösung bleiben damit die Microsoft 365 Mietpläne.

Von PetaBytes und Exabytes

Im Bild sieht man den Grund, warum Mozilla Firefox nicht empfohlen wird. Wenn man mal den Platzbedarf sieht, den allein die Firefox-Tracking-Cookies benötigen, machen die 7 Exabyte rund ein Viertel Promille des weltweiten Datenbestands aus. Das waren nach Google-Recherche rund 33.000 Exabytes in 2019.

Als (Standard HDD) Cloudspeicher angemietet kostet das rund 30.000.000 € pro Monat, als (Premium SSD) etwa 4x so viel. Also etwa wie die Porto-Kasse von E. M. 😉

• 8 Bits – also acht binäre Informationen – sind ein Byte.
• 1024 Bytes sind ein Kilobyte (KB, KBbyte).
• 1024 Kilobytes sind ein Megabyte (MB, MByte).
• 1024 Megabytes sind ein Gigabyte (GB, GByte).
• 1024 Gigabytes sind ein Terabyte (TB, TByte).
• 1024 Terabytes sind ein Petabyte (PB, PByte).
• 1024 Petabytes sind ein Exabyte (EB, EByte).
• 1024 Exabytes sind ein Zettabyte (ZB, ZByte).
• 1024 Zettabytes sind ein Yottabyte (YB, YByte, Yobibyte).

Edge Ski wird zum Surfen und Chrome Dinos bleiben

Edge-Update Januar 2023: Statt des Skifahrens hat man nun auf die Wasser-Variante umgestellt. Mit einem Surfer (hier: Pinguin gewählt) gewegt man sich über den Ozean. Statt des Yeti kommt nun der Riesenkrake und versucht einen zu fressen:

Nachdem Google schon seit Jahren ein verstecktes Osterei Spiel im Browser eingebaut hat, gibt auch Microsoft seine jahrelange Tradition nicht auf und hat aktuell passend zur Jahreszeit das SkiFree Spiel aus den 90ern wieder aufleben lassen. Seit der #Edge on Chromium Version 96 lautet die Adress-Zeile: edge://surf und man kann mit der Maus oder mit den Pfeiltasten einen Skifahrer auf einer virtuellen Pixelpiste navigieren. Dabei gilt es Steinen, Bäumen und anderen Skifahrern und weiteren Hindernissen auszuweichen. Vorsicht auch vor dem Yeti, der als Strichmännchen Jagd auf Menschen macht und diese futtert, wenn er sie bekommt.

Bei Google #Chrome lautet die URL: chrome://dino – hier gilt es mit der Leertaste den Dino über die Hindernisse in der Prärie hüpfen zu lassen. Dies sind meist Kakteen. Beide Microsoft Spiele sind grafisch und in der Spiel-Action dem Chrome 80er-Jahre Style Dinospiel haushoch überlegen. Wenn es um Pausen-Zeitvertreib geht, ist Microsoft hier klar im Vorteil.

Sehr #erfreulich – Wem der Dino in Google nicht reicht, der kann ja Snake in Googlemaps spielen: https://snake.googlemaps.com/

Edge erstellt bei jedem Update Desktoplink

Derzeit erstellt Microsoft #Edge bei jedem Update (in allen Kanälen) erneut eine Desktop-Verknüpfung. Wer das nicht möchte, muss sich mit einer Einstellung in den Edge Gruppenrichtlinien oder mit dem Setzen eines Registry Schlüssels behelfen:

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\EdgeUpdate] "CreateDesktopShortcutDefault"=dword:00000000

CI-Cloud jetzt auch mit Roaming Signatures

Viele von Ihnen setzen das Produkt CI-Cloud von CI Solution ein, um in Outlook servergesteuerte Informationen als E-Mail-Signaturen corporateweit auszurollen. Bisher wurden die Signaturen dabei in ihrem Outlook Profilordner gespeichert. Die Outlook-Web-App ließ sich nicht bedienen.

Der Hersteller informiert uns nun über Neuerungen in Microsoft Exchange online, für die er die akteulle Version seines Produkts angepasst hat:

„Roaming Signaturen“ (Geräteübergreifende E-Mail Signaturen für Postfächer in M365 / Exchange Online) ist bei Microsoft verfügbar und bereits auf vielen Mandanden aktiviert. Die Art und Weise wie zentrale E-Mail Signaturen künftig bereitgestellt werden ändert sich damit grundlegend.

Dieses Feature wurde in den letzten Wochen auch von uns umgesetzt: Roaming Signatures wird ab sofort innnerhalb der CI-Cloud unterstützt. Damit können E-Mail Signaturen weiterhin zentral und zuverlässig verteilt werden – so wie Sie es von unseren Produkte kennen. Gleichzeitig können Sie alle Vorteile von Roaming Signatures nutzen.

Voraussetzungen 

• Anmeldung am CI-Cloud-Portal (kostenfreier Testzeitraum)
• Exchange Online – Microsoft 365 (für den Zugriff werden Tokens benötigt, die im CI-Cloud-Portal verwaltet werden.)
• API Berechtigungen (MS Graph) Basis Zugriff gewährt
• Aktiviertes CI-Sign innerhalb des CI-Cloud-Portals
• Aktive Option “Signaturen in CI-Signature Add-In anzeigen”
• Service-Benutzer mit Mailbox, ohne MFA, sowie Vollzugriff unter Exchange im Kunden-Tenant
• Mindestens eine Anmeldung bei OWA durch den Benutzer

Kontaktieren unseren Kollegen Sylwester Dupik aus unserem Team AVS-Support und lassen sich die Einrichtung gern vom Vetriebsteam anbieten.

Windows 8.1 Nutzende

Drucker mit 14.000 Seiten pro Minute

Mal wieder etwas zum Schmunzeln: Eine große Elektronik-Verbundgruppe vertreibt über Printmedien (Prospektbeilagen) und im Onlinehandel (auch hier ist der Fehler noch präsent) einen (äußerlich) unscheinbaren Tintenstrahldrucker, der es aber in sich hat:

Ein wenig kuriose Mathematik zu dem Rekord-Drucker: Ein Paket Papier enthält 500 Blatt, eine ganze Kiste davon 2.500 Blatt also knapp 6 Kisten pro Minute. Ein Papierfach von etwa 1,80m Höhe würde dann eine Minute reichen. Der sagenhafte Drucker zieht 233! Seiten pro Sekunde ein. Nicht einmal die Offset-Druckmaschine des Zeitungsverlags schafft das. und die ist mindestens 1.000x so teuer. Das Fassungsvermögen einer typischen Papierkassette von Tintenstrahldruckern ist 100 Blatt.

Der Bediener müsste also etwa 2x pro Sekunde Papier ins Papierfach nachlegen.

Übrigens: Die Tinte reicht für rund 3.600 Seiten (in diesem Fall keine Patronen, sondern nachfüllbar) und allein schwarze Farbe muss alle 90 Sekunden komplett nachgefüllt werden.