Jukebox    gru-alarmsound2

seit Di. 10. Okt. 2023, 00:00:00   vor 2 Jahren  

Countdown abgelaufen

Oktober 2023
MO	DI	MI	DO	FR	SA	SO	Kw
						1	39
2	3	4	5	6	7	8	40
9	10	11	12	13	14	15	41
16	17	18	19	20	21	22	42
23	24	25	26	27	28	29	43
30	31						44

Bin ich betroffen?

Server 2012 R2 sind in der Regel erkennbar an der türkisfarbenen Taskleiste mit Startknopf links und dem bildschirmfüllenden Startmenü, das auch unten links den Startknopf hat:

Um herauszufinden, ob Sie noch Server 2012 im Einsatz haben und wie viele mit welcher Software, empfehlen wir unsere IT-Dokumentation. Diese liefert Ihnen nicht nur die 2012er Server, sondern auch ein komplettes Software und Hardware-Inventar und einer IST-Aufnahme nach BSI-Standard 200-1.

Soll die IT-Dokumentation für die Verbandsprüfung oder zur Dokumentation für Versicherungen genutzt werden, empfiehlt sich der IT-Sicherheitscheck, der Ihnen ein Testat nach dem BSI-Standard 200-1 und IDW PS330 liefert. Er wird durch einen TÜV-zertifizierten IT-Security Manager und -Auditor ausgeführt.

Kontaktieren Sie mich gern bei Fragen oder zur Beauftragung über das Kontaktformular des Syskoportals.

Was kann ich tun?

• Neuinstallation der Programme auf Server 2019 bzw. 2022 und Umzug der Daten und Programme sind empfehlenswert. Server 2016 ist auch möglich, die Sicherheitsupdates enden hier aber bereits im September 2025 – also nur zwei Jahre später.
• Bei Verwendung der Server On-Premises müssen dazu meist neue CALS und teure Server-Betriebssystem-Lizenzen (meistens in der Datacenter-Edition) angeschafft werden. Nur wenn Sie Ihre VM-Hosts bereits mit einer Server 2019 oder neuer Lizenz angeschafft haben, ist die Migration auf eines der Betriebssysteme ohne weitere Lizenzkosten. Das gilt auch nur dann, wenn die Windows Server CALS ebenfalls auf eins der neueren Betriebssysteme lauten. Zusätzlich müssen bei Terminalservern die RDS-CALs zum neuen Betriebssystem passen – ansonsten neu angeschafft werden.
• Wenn Sie die betroffenen bereits in Microsoft Azure (IaaS) betreiben, können Sie auf den Server 2012 Betriebssystemen noch weiter drei Jahre Updates installieren, da im Rahmen der Cloud-Miete die sonst kostenpflichtigen ESU Updates bezogen werden können. Eine Modernisierung ist dennoch empfehlenswert, um die Update-Handlungen zu vereinheitlichen. Zumal nur Dienstleistungs- und keine Lizenzkosten dafür anfallen.

Ich habe meine Server On-Premises – wie komme ich in die Cloud?

Beauftragen Sie den Cloud Readiness Check und wir prüfen, welche Schritte notwendig und angezeigt sind, um hochpreisige Hardware-Neuanschaffungen und immer kürzeren Software-Updates Zyklen zu begegnen.

Ihr Ansprechpartner ist Andreas Lübke. Gern können Sie sich auch an die Kontaktpersonen in Ihrer Business Unit wenden.

FAQ

Fortinet Firewalls

Kein Produkt, das wir unterstützen – dennoch kommen Fortinet #Drittanbieter Firewalls häufiger im beobachteten Umfeld (auch als Azure vpn Gateway) vor. Aktuell haben die Fortigate Firewalls und Proxies von Fortinet einige kritische Sicherheitslücken, die es Angreifern ermöglicht, aus der Ferne Zugriff auf die Admin-Oberfläche der Firewalls zu erlangen. Fortinet stuft die Sicherheitslücke als kritisch ein und vergibt einen CVSS-Score von 9.6/10.

Wer ein Fortinet-Produkt administriert, sollte den Fortinet Oktober-Patchday nicht abwarten. Die #Sicherheitslücken sind in FortiOS 7.0.7, 7.2.2, in FortiProxy 7.0.7 und 7.2.1 und in allen neueren Versionen behoben. Ist ein Update kurzfristig nicht möglich, so können Admins einen Workaround einspielen, den Fortinet seinen zahlenden Kunden im Support-Dokument CSB-221006-1 beschreibt.

Da in modernen Azure Umgebungen mit Azure Virtual Desktop statt RDS- oder Citrix-Terminalservern eine On-Premises Firewall nicht ausreicht und erst eine CloudGen-Firewall mindestens der zweiten Generation zu einer guten Absicherung führt, empfehlen wir die Barracuda-Produkte. Diese sind Cloud-zertifiziert und praxiserprobt und bieten einen gemanagten, umfassenden Schutz mit hohem Wirkungsgrad.

Die von unserem Partner NetGo vermarkteten und betreuten Firewalls setzen zudem das sog. TINA Protokoll ein, dass bei Einsatz von Backup-Geräten (z. B. einem LTE-Router) automatisches Fallback und automatisches Fall-Forward auf die Hauptleitung bietet. Fragen Sie gern die Kollegen aus unserem Vertriebsteam Cloud&Technologies für Details. Im Rahmen unseres Cloud-Readiness-Checks erhalten Sie zudem ein Firewall-Konzept.

Unser Firewall-Partner, die NetGo berät Sie hier gern

PDF24 Creator sinkt in Bewertung

[Update 08.06.2024] – es gibt wieder eine aktuelle 9.x Version in 64-Bit und ohne Java/Webview). Seit Version 11.2 stellt der Hersteller der beliebten PDF-Drucker-Software (die mit dem Schaf) einige der in der GUI integrierten Funktionen auf JAVA um. Bis Version 11.1.0 konnte man das JRE- Unterverzeichnis (rund 200 MB), den WebView2-Ordner (rund 400 MB) löschen und viele Funktionen wie die Datei-Tools (im Prinzip alles außer der Toolbox, die für die meisten Nutzer im Umfeld unserer Redaktion keine nennenswerten Zusatzfunktionen enthielt) trotzdem nutzen.

Update mit Version 11.10.0: Nun kann man Webview2 bei der Installation abwählen. Ist diese Komponente bereits in Windows aktiv, wird diese verwendet. Das hat den Vorteil, dass die Installation von Microsoft automatisch aktualisiert wird und die Installationsdateien des Edge Browsers verwendet. Es gibt somit keine doppelten Bibliotheken mehr im System. Liebe Entwickler von #PDF24 Creator: Jetzt braucht Ihr nur noch JAVA ebenfalls optional zu machen. Wenn man JAVA abwählt, muss die Verbinden-Funktion wieder QPDF verwenden und am Besten das Toolbox Symbol ausgeblendet werden. Dann habt Ihr auch wieder die Gunst aller Anwender, die so ticken die Redaktion – und unsere 10 Punkte Bewertung wieder.

Seit Version 11.2 wird auch für Funktionen wie die Datei-Tools JAVA genutzt. Löscht man den enthaltenen JRE-Ordner, muss nun Adoptium Temurin JAVA Runtime 19/64-Bit installiert sein und alle drei Monate von Hand aktualisiert werden. Immerhin funktioniert OpenJDK (Adoptium Temurin) und es muss kein lizenzpflichtiges JAVA von Oracle sein. Gleiches gilt für die WebView2 Engine – und das obwohl Microsoft diese, wenn Edge installiert ist, aus demselben Ordner wie den Browser nimmt. Mit PDF24 Creator kommt also nochmal eine Webview Runtime auf das System, die nicht im Rahmen des Browsers automatisch aktualisiert wird.

PDF24Creator auf TerminalServern bzw. in AVD-Umgebungen automatisiert auf dem aktuellen Stand zu halten ist eine besondere Herausforderung und funktioniert ohne Profiwerkzeuge eher mäßig.

Stattdessen die Version 9.x (die noch nicht diesen mächtige Overhead der beiden Runtimes enthielt), ist keine Alternative, da erst mit Version 10 die echte 64-Bit-Umgebung und Bereinigung der 32-Bit-Registry-Einträge erfolgte.

Wer den PDF24-Creator als schlankes Werkzeug zum Zero-Click PDF-Erstellen beim Drucken verwenden möchte und aus der GUI alle Funktionen inklusive verbinden von Dateien, Extrahieren einzelner Seiten, Web-Optimierung, Bilder extrahieren und nicht die Toolbox benötigt, bleibe bitte bei Version 11.1.0.0 und behalte das Changelog im Auge, ob künftige Versionen Sicherheitslücken schließen. Ist das der Fall, wird man ein Riesen-Trümmer zum PDF erstellen auf Rechnern (oder Terminalservern) haben oder sich nach was Anderem umsehen müssen.

Version 11.1.0 kann hier beim Hersteller heruntergeladen werden.

Dieser Artikel ist ein Kommentar mit der Meinung der Redaktion

Kritische Sicherheitslücke in sophos Firewalls

Kein Produkt, das wir unterstützen – dennoch kommen sophos Drittanbieter-Firewalls häufiger im beobachteten Umfeld vor.

Aktuell haben eine größere Anzahl von sophos Firewalls eine kritische Sicherheitslücke, die es Angreifern ermöglicht, in das Nutzerportal und die Admin-Weboberfläche Schadcode zu injizieren.

Betroffen sind die Sophos Firewalls 9.0 MR1 (19.0.1) und ältere Versionen. Dagegen gibt es von sophos die Hotfixes 19.0 GA, MR1 und MR1-1, 18.5 GA, MR1, MR1-1, MR2, MR3 und MR4, 18.0 MR3, MR4, MR5 und MR6, 17.5 MR12, MR13, MR14, MR15, MR16 und MR17 sowie 17.0 MR10, 18.5 MR5 (18.5.5), 19.0 MR2 (19.0.2) und 19.5 GA .

Für ältere Softwareversionen stellt Sophos laut der Sicherheitsmeldung keine Hotfixes bereit, sondern verweist darauf, dass Administratoren ein (meist kostenpflichtiges und bei den ganz alten Firewalls wegen mangelnder Hardwareausstattung nicht möglich) Upgrade vornehmen müssen.

Zur Absicherung Ihrer Firewalls wenden Sie sich bitte an Ihren Dienstleistenden oder diejenigen, die Ihre sophos Firewalls managen.

Für eine Anbindung an Microsoft Azure (IaaS Cloud) sind ohnehin nur die leistungsfähigeren XG-Modelle von sophos geeignet. Sobald man Azure Virtual Desktop als Nachfolger der Terminalserver/Citrix) einsetzt, benötigt man ohnehin eine CloudGen-Firewall und pro Standort eine kleine VPN-Box zur sternförmigen VPN-Anbindung

Die von unserem Partner NetGo vermarkteten und betreuten Firewalls setzen das sog. TINA Protokoll ein, dass bei Einsatz von Backup-Geräten (z. B. einem LTE-Router) automatisches Fallback und automatisches Fall-Forward auf die Hauptleitung bietet. Fragen Sie gern die Kollegen aus unserem Vertriebsteam Cloud&Technologies für Details. Im Rahmen unseres Cloud-Readiness-Checks erhalten Sie zudem ein Firewall-Konzept.

Neue MDE-Geräte Almex TC601B

Die aktuelle Generation der #ALMEX #MDE Geräte im Rahmen unserer #Kassenschlager ist das Modell TC-601-B. Wie der Vorgänger zeichnet sich das Gerät durch zertifizierte Schlagfestigkeit und Robustheit aus. Der integrierte Barcode-Scanner ist nun von Honeywell und die Display-Größe wächst auf 6 Zoll.

Highlights sind eine Lade/Dockingstation mit integriertem Ladefach für den Akku oder einen Ersatzakku. Der Akku im Gerät ist wechselbar, die Anschlussart USB Typ C mit separaten Schnelladekontakten für die Dockingstation.

Die Betriebsarten sind wie bisher offline und online, d.h. über die Offline App, die Dynamics365 BC App oder über RDP gegen einen Terminalserver (nur alte BC-Versionen bis BC140)

Datenblätter haben wir hier für Sie bereitgestellt.

Die Apps und die Windows-Datenübertragungsprogramme (MDE-Sync) sind nicht kompatibel mit denen der Vorgänger (Almex Ti/Tx und Sykeye.allegro). Auf einem PC lassen sich aber mehrere MDE Syncs betreiben. Achten Sie dann darauf, dass immer das richtige Programm aufgerufen wird oder verwenden Sie verschiedene Entlade-PCs

Sysko-Hinweise MDE

VLC Plus Player – Adware

Neulich entdeckt beim Software-Scan. Es tauchte in der Softwareliste statt des bekannten quelloffenen „VLC Media Player“ von videolan.org ein VLC Plus Player von vlc.de oder andere Varianten und Namen auf.

Letztgenanntes Programm basiert zwar auf der aktuellen Version vom VLC Media Player, enthält aber einen anderen Installer und anderes Logowork. Statt des „Baustellen-Pylons“ ist das Symbol ähnlich gefärbt und wie ein Vorfahrtschild gestaltet. Zusätzlich wird Adware im Setup mit ausgeliefert und die Anbieter verstoßen gegen die GPL-Lizenz, indem sie den modifizierten Quell-Code vom Programm und Setup-Skript (.nsis) nicht veröffentlichen. Ublock Origin sperrt mittlerweile diese und andere Webseiten und damit die Downloadmöglichkeit. Als Herausgeber fungiert eine „Aller Media eK“.

Leider bekommt man bei der Google (oder BING) Suche nach „VLC“ immer noch die Fake-Versionen als erstes angeboten. Es gilt jedoch „Finger weg davon“.

Wir warnen ausdrücklich davor, solche Abwandlungen des Originals einzusetzen. Als Media-Player empfehlen wir weiterhin den Download des Originals. Wenn Sie Abarten des Programms in Ihrem Netzwerk finden, deinstallieren Sie diese umgehend. Im schlimmsten Fall reicht das nicht aus, weil der Installer Adware im System mitinstallliert hat. Hier hilft nur das Neu-Aufsetzen der betroffenen Geräte.

https://download.videolan.org/pub/videolan/vlc/last/win64/

Die „.exe“ oder die „.msi“ Zeile sind die möglichen Installationsprogramme. Direkter Download Link der Windows 64-Bit Version vom Original-Projekt

Word – Mustertexte erzeugen

Manchmal benötigt man zum Beispiel für einen Artikelentwurf Fülltext, bevor die richtigen Inhalte eingesetzt werden. So kann man im Vorfeld schon sehen, ob das Bildschirm- oder Drucklayout nachher passt.
Man nennt diese Texte auch „Blindtexte“.

Hierzu kann man in Word drei Möglichkeiten auswählen, welcher Text und wie viel gesetzt wird. Was viele noch nicht wissen (auch das Pseudo-Latein ist möglich):

• lorem(A,S) oder lorem(A)
• rand(A,S) oder rand(A)
• rand.old(A,B) oder rand.old(A)

Dabei sind „A“ die Anzahl der Absätze, die erzeugt werden und (optional) „S“ die Anzahl der Sätze innerhalb jedes Absatzes.

Der Lorem-Text sieht aus wie Latein – ist es aber nicht. Er enthält Fantasiewörter

Bei „rand“ wird ein Text aus der Word-Hilfe (Einbinden von Videos) kopiert (Je nach Sprache von Word in der ausgewählten Landessprache)

Achtung lustig! Nimmt man rand.old, kommt die deutsche Variante von „the quick brown fox jumps over the lazy dog“ zum Einsatz: „Franz jagt im komplett verwahrlosten Taxi quer durch Bayern“. Beides sind Sätze, die alle Buchstaben des Alfabets (A-Z) mindestens einmal enthalten.

Funfacts zu Word, Blindtexte

UEFI-Sicherheitslücke in Notebooks und PCs

vor einigen Monaten sorgte eine kritische Sicherheitslücke in lenovo Consumer Notebooks für Handlungsbedarf. Nun wurden auch Sicherheitslücken in den UEFI (BIOS) anderer Hersteller entdeckt und es sind auch neuere Thinkpads und auch die bekannte Tiny ThinkCentre Reihe betroffen.

Sofern Sie die Windows 10 App „lenovo Vantage“ installiert und in Betrieb genommen haben (Bedingungen bestätigen beim ersten Aufruf), sollte die App über das veerfügbare Sicherheitsupdate informieren und dringend die Installation empfehlen. Wenn nicht, oder wenn nur SystemUpdate installiert ist, aber nicht regelmäßig nach Updates sucht, stehen die betroffenen Modelle in der folgenden Liste (hier gefiltert auf Thinkpads – suchen Sie nach ThinkCentre und Sie finden auch die Tiny Modelle, die aktualisiert werden müssen.

lenovo Multi Vendor BIOS Security Vulnerabiliies Patch Liste

https://support.lenovo.com/de/en/product_security/LEN-94953#ThinkPad

Mobile Geräte mit Bitlocker verschlüsseln

In den BSI-Grundschutz-Katalogen 200-1 und im Prüfungsstandard 330 und auch aus der DSGVO lässt sich ableiten, dass mobile Geräte (Notebooks, Laptops) Daten (insbesondere personenbezogene Daten) verschlüsselt speichern müssen. Unter Windows steht dafür der Bitlocker ab den Pro-Versionen von Windows 10 zur Verfügung.

In diesem etwa 12 Minuten langen Tutorial zeige ich Ihnen anhand einer virtuellen Windows 10 Maschine, Laufwerke verschlüsseln und gegen unberechtigten Zugriff mit einer Systemstart-PIN sichern.

Das Video ist nur für vollständig zertifizierte Syskos verfügbar.

  Fr. 05. Nov. 2021 16:31 vor 4 Jahren24 MB 0s@300MBit5

Videos und Tutorials  

Windows 10 Bitlocker Tutorial Video

Datei herunterladen Fr. 05. Nov. 2021 16:31 vor 4 Jahren

Gruppenrichtlinien

Die Einstellungen für den Bitlocker lassen sich domänenweit über Gruppenrichtlinien festlegen. Die Einstellungen für BitLocker finden sich unter:

Computerkonfiguration => Administrative Vorlagen => Windows Komponenten => BitLocker-Laufwerks-verschlüsselung.

Hier gibt es den Eintrag BitLocker-Wiederherstellungsinformationen im Active Directory Domaindiensten speichern.
Auch lässt sich hier festlegen, ob beim Einschalten eine PIN eigegeben werden muss:

Dazu im Unterordner: „Betriebssystemlaufwerke“ => Zusätzliche Authentifizierung beim Start anfordern

Die minimale PIN-Länge lässt sich mit einer weiteren Richtlinie in dem Ordner auf 4 oder 6 Zeichen setzen (nach BSI Grundschutz ist eine 4-stellige numerische PIN zum Entsperren des Gerätes ausreichend, da damit noch kein Zugriff auf Daten möglich ist (dieser erfolgt erst nach der Windows Domänen-Anmeldung).

Bitlocker aktivieren

Nach Neustart des Rechners und Anmeldung als Domänen-Admin kann über die klassische Systemsteuerung oder den Windows-Explorer der Assistent zur Bitlocker-Laufwerksverschlüsselung gestartet werden.

Hierbei wird der Wiederherstellungsschlüssel zusätzlich auf einem Netzwerklaufwerk oder Speicherstick zu speichern sein.

Wiederherstellungsschlüssel aus AD auslesen

Auf einem der Domänencontroller (dort wo Admins die Schlüssel auslesen wollen) im Server-Manager zwei Features aktivieren: BitLocker Wiederherstellungskennwort – Viewer und Tools zur BitLocker-Laufwerks­verschlüsselung. Danach sollte in Active Directory-Benutzer und -Computer beim Öffnen eines Computer-Objektes ein neuer Reiter mit der Beschriftung BitLocker-Wiederherstellung zu sehen sein. Der Powershell-Befehl lautet:

$computer = Get-ADComputer -Identity CRECOVERY01
$recoveryInformation = Get-ADObject
-Filter {objectClass -eq 'msFVE-RecoveryInformation'}
-SearchBase $computer.DistinguishedName
-Properties *

Edge nervt mit Standardbrowser-Popups

wer Google Chrome für Enterprise als Standardbrowser einsetzt (wie empfohlen) und Microsoft Edge als „Ersatzbrowser“ und zur Absicherung des Betriebssystems wird sich sicherlich schon geärgert haben, dass Edge andauernd ein Popup oben einblendet, das empfiehlt, Edge zum Standard-Browser zu machen.

Nein, Microsoft – wenn ich einmal NEIN ankreuze, möchte ich nicht mit jedem Browser-Update wieder diese Meldung haben.

Zum Glück gibt es Abhilfe:

edge://flags/#edge-show-feature-recommendations

Dieser Schalter kann auf „disabled“ gesetzt werden und schon ist (hoffentlich dauerhaft) Schluss mit den „Edge zum Standard machen“ Popups.

Zusätzlich sollte die folgende Gruppenrichtlinie aktiviert bzw. der Registry Schlüssel gesetzt werden:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"SmartScreenEnabled"=dword:00000001
"DefaultBrowserSettingEnabled"=dword:00000000

Ich wünsche mit auch einen solchen Schalter für die Teams Free Version und für Onedrive in der kostenlosen Version – denke aber der wird dort nicht kommen 😛