On-Prem vs. Azure IaaS - Vergleich

Welche Voraussetzungen müssen zu einem korrekten 1:1 Vergleich zwischen Azure IaaS #Cloud und On-Prem-Serverbetrieb herangezogen werden?

1. Server-Hardware
   Hochverfügbarkeit (wie in Azure) erfordert mindestens zwei Virtualisierungs-Hosts und einen Backup-Server, sowie ein Backup NAS und Tape Laufwerk mit Bändern
   Ersatz defekter Komponenten: Wartungsvertrag mit Hersteller für 5 Jahre VO 4h Wiederherstellungszeit 24×7
   alle fünf Jahre mindestens drei Server und ein Storage-System neu kaufen
   Erweiterungsmöglichkeiten wärend der Laufzeit oder größer dimensionieren
2. upgradefähige Lizenzen mit Software Assurance
   Windows Server Betriebssysteme und SQL-Lizenzen m üssen als CSP Subscription mit Software-Assurance erworben werden. ROK/OEM-Lizenzen können nach wenigen Jahren wegen Abhängigkeiten zu anderer Software ersetzt werden müssen.
   (Beispiel: Business Central Version 2025 erfordert Windows Server 2022!. Wer ROK/OEM 2019 Datacenter einsetzt, muss komplett neu kaufen)
   SQL und Office 201x ebenso. Kauflizenzen müssen 5 Jahren nach Erscheinen der Version oder nach Softwareabhängikeit vorher ersetzt werden.
3. Unterbrechungsfreie Stromversorgungen
   Die Wartung der Diesel-Generatoren oder der Austausch der Akkus.
4. Netzwerk
   Kabeltrassen zum Serverraum nicht redundant, keine zwie Wege-Führung, Patchfelder, Verkabelung, Switches, Transceiver Module
5. WAN-Leitungen, Showstopper Störung Hauptstelle
   Vernetzung meist sternförmig zur On-Prem Hauptstelle. Fällt dort die Technik oder Leitungen aus, kann kein Standort arbeiten. Bei Cloud sind alle Standorte sternförmig und redundant mit Azure verbunden.
6. Storage
   Eternus oder NetApp benötigt – RAID, Full Flash Server-SSDs, Geschwindigkeit der Datenträger nicht skalierbar!
7. IT-Security
   eine CloudGen Firewall, virtuell, hochverfügbar, Standorte vpn-Router (Verwlatungsaufwand wird wesentlich reduziert).
8. Datensicherung: mindestens 8 Stunden pro Monat
   Backup-Server in einem anderen Brandabschnitt erfordert einen zweiten Serverraum, der die Anforderungen des ersten abreckt.
   Lagerung von passiven Offline-Medien außerhalb des Grundstücks
   Sicherstellung der kontinuierlichen Funktionsweise der Infrastruktur als auch in garantierten Störungsbehebungen im Notfall.
   Arbeitszeit: Syskos benötigen zusätzliche Zeit zum Kontrollieren, Auslagern und Durchführen der #Datensicherung
9. Zwei Serverraüme in zwei Brandabschnitten: Einmalkosten: durchschnittlich 14.000 €
   Serverräume Klimatisierung (und Wartung des Geräts) (Im RZ sind Klimaanlagen zusätzlich redundant)
   Brandfrühesterkennung und Brandlast
   Mindestens T30 Türen, nicht brennbarer Boden, Wände mit F60 Brandschutz
   Löschanlagen (mind. richtig dimensionierten CO2 Löscher und Wartung, Rauchmelder, Brandmeldezentrale mit Alarmierung)
   ISO Zertifizierung nach Rechenzentrum Standards (Sicherheit, (physische oder IT), gegenüber On-Premise deutlich überlegen)
10. Physische Absicherung: bauliche Mängel abstellen, Einmalkosten: rund 8.000 €
    Zutrittskontrolle, Videoüberwachung, Einbruchmeldeanlage, Fenster vergittert, Alarmanlage
11. Stromverbrauch – Energiekosten: > 8 kWh (mind. 4.000 € / Monat)
    Ein kleiner 12qm Serverraum in Mindestkonfiguration hat einen Stromverbrauch von mindestens 6,5 kWh inkl. Klimatisierung) Dazu kommen die Energiekosten für den zweiten (Backup) Raum mit mindestens 3 kW
12. Stromverbrauch – Energiekosten: > 8 kWh (mind. 4.000 € / Monat)
    Ein kleiner 12qm Serverraum in Mindestkonfiguration hat einen Stromverbrauch von mindestens 6,5 kWh inkl. Klimatisierung) Dazu kommen die Energiekosten für den zweiten (Backup) Raum mit mindestens 3 kW

  Do. 26. Juni 2025 09:17 vor 5 Tagen22 kB 0s@300MBit120

Programme  

Vergleichsrechentabelle Azure IaaS vs. On-Prem

Datei herunterladen Do. 07. Nov. 2024 15:03 vor 8 Monaten

diese Excel-Tabelle erlaubt es Ihnen, eigene Berechnungen zum Cloud IaaS vs. On-Prem Vergleich zu erstellen.

Microsoft hat auch einen TCO-Rechner unter diesem Link.

Wer Äpfel mit Äpfeln vergleichen möchte, (also nicht einen Dacia Spring mit einem VW ID5 vergleicht), berücksichtige die oben genannten Punkte in seiner Vergleichskalkulation.

veeam Sicherheitslücke mit Score 9.9

Kurz notiert, aber #wichtig – Diesmal ist bei der CVS Meldung von veeam die vielfach von Ihnen eingesetzte Backup und Recovery Software gemeint. Darin wurde eine kritische Sicherheitslücke entdeckt und mit Version 12.3.1.1139 geschlossen.

Auch wenn Sie schon die Version 12.3 installiert haben, ist das Update auf die oben angezeigte Version dringend erforderlich – erst recht, wenn ältere Versionen mit noch mehr bekannten Sicherheitslücken installiert und in Betrieb sind.

WSUS Einstellung am 18.04.2025

Microsoft hat nun die Windows Server Update Services auf die Liste der „veralteten Produkte“ gesetzt. Das bedeutet, dass keine Weiterentwicklung dieser als WSUS bekannten Software zur Verteilung von Windows Updates im Firmennetzwerk mehr erfolgt.

Zusätzlich wird das #endoflife des Produkts auf den 18. April 2025 gesetzt. Ab diesem Tag lassen sich in WSUS keine Updates mehr aus dem Software-Katalog importieren.

2Monate 1Woche 6Tage
seit Fr. 18. Apr. 2025 74 Tage

Viele Unternehmen haben bereits heute #WSUS angeschaltet und lassen Updates direkt herunterladen.

Die Installation auf den Endgeräten mit Windows 10 / 11 Pro/Enterprise erfolgt dann automatisch und die Benutzer werden zum Neustart aufgefordert.

Auf Servern erfolgt die Installation meist durch den Unternehmens-Administrator, gefolgt von einem manuellen Neustart der Server. Hiermit wird sichergestellt, dass die Neustarts im definierten Wartungsfenster (max. 10 Tage nach Patchday) liegen. Nach dem Neustart erfolgt eine kurze Funktionsprüfung der wichtigsten Funktionen. Im Bedarfsfall können so fehlerhafte Sicherheitsupdates zurückgezogen werden.

Wir empfehlen das Installieren der Updates am ersten Wochenende nach dem Patchday. Damit hat Microsoft 4 Tage Zeit, Patches, die fehlerhaft sind, wieder zurückzuziehen oder zu reparieren. Zusätzlich liegt man im von Versicherungen bewerteten Zeitfenster (nach mehr als 10 Tagen ohne Updates behalten sich Versicherungen vor, die Leistungen im Schadenfall rigoros zu kürzen).

Wer die Geräte verwalten möchte, dem empfehlen wir Intune. Bereits im Microsoft 365 Business Premium Plan sind wertvolle und nützliche Funktionen aus Intune nutzbar. Für die vollständige Verwaltung aller Geräte kann dann ein auf die vollständigen Intune-Pläne zurückgegriffen werden.

Gruppenrichtlinien – Central Store

Für viele Anwendungen sind Gruppenrichtlinien verfügbar, mit denen man zentral in der Domäne (oder in der AAD-Verwaltung in Azure) Einstellungen für die Software verteilen kann.

Am Beispiel von Google Chrome für Enterprise und Microsoft Edge für Business zeige ich kurz die Vorbereitungen, um diese Richtlinien zu benutzen. #FAQ

Laden Sie dazu zunächst die Richtlinien-Pakete herunter und entpacken sie. Im Entpackten finden Sie jeweils einen Ordner ADMX mit Unterordnern. Um die Inhalte der ADMX-Ordnerstruktur geht es.

Wechseln Sie auf einem der Domänencontroller in den folgenden Pfad (meist auch unter c:windowsSYSVOL im Windows Explorer erreichbar):

\domainname.localSYSVOLdomainname.localPoliciesPolicyDefinitions

Gibt es noch keinen Ordner „PolicyDefinitions“, legen sie ihn bitte an.

Alles, was im jeweiligen ADMX Ordner (nicht den Ordner selbst, sondern nur Inhalte und Unterordner) ist, in diesen Ordner kopieren, dabei vorhandene Dateien und Verzeichnisse überschreiben.

Warten, bis die Richtlinien auf alle Domänencontroller gespiegelt wurden.

• Gruppenrichtlinien-Verwaltung auf einem der DCs öffnen
• eine neue Richtlinie erstellen (empfohlen: jeweils eine für Chrome Enterprise und eine für Edge Business)
• die Richtlinien im GP-Editor bearbeiten, dafür die neuen Richtlinien für Chrome und Edge lokalisieren und benutzen.

Temperatur in Server- und Technikräumen

Die #Temperatur im Serverschrank nicht außerhalb des Temperaturbereichs von 18°C bis 24°C liegen.
Auch wenn moderne Server ein verbessertes Abwärmekonzept (wie FUJITSU Cool-Safe) haben, sind nicht alle anderen technischen Geräte immer auf dem neusten Stand, sondern bis zu 6 Jahre alt (oder sogar älter).

Daher sind Server-Hersteller-Empfehlungen, die Server bei 25-27 °C zu betreiben, mit Vorsicht zu betrachten.

Das #BSI empfiehlt keine konkreten Werte, schreibt aber, dass ausreichend Kühlleistung gemessen an der Wärmeleistung der Server vorhanden sein muss, um sicheren Dauerbetrieb der Geräte zu erreichen.
Die Luftfeuchtigkeit sollte bei etwa 45-55% liegen.

Aus Energie-Effizienz-Gründen haben sich de Werte 22°C bei 50% relativer Luftfeuchte etabliert.

Bei dieser Temperatur (messbar und dokumentiert als „Ambient“ im FUJIUSU IRMC oder HP ILO) arbeiten Netzwerkgeräte optimal und haben eine lange Lebensdauer.
(Hintergrund: Muss mehr warme Abluft von den elektronischen Komponenten abgeführt werden, drehen die Lüfter mit bis zu Maximaldrehzahl. Vergleichbar mit einem Turbolader im Auto, der ständig unter Vollast läuft und daher schneller defekt ist.

Elektronische Geräte erzeugen Wärme. Sofern die Wärmeableitung nicht ausreicht und die Luft nicht entweichen kann, sondern sich im Schrank staut, kann es zur Überhitzung kommen. Die Temperatur hat einen direkten Einfluss auf die Leistung und Zuverlässigkeit Ihres Servers und anderer Netzwerkgeräte wie Telefonanlagen, Switches, Router, USV).

Zu hohe Temperaturen können zu Störungen und Ausfällen führen. Eine Temperatur ab 30°C verdoppelt die Ausfallrate. Und ab 40°C ist die Gefahr 4-mal so groß. Zudem können hohe Temperaturen dauerhafte Schäden an den Geräten verursachen.

Windows Server 2025 wird Nachfolger

Nach Server 2022 kommt Server 2025. #Microsoft hat nun auch für Visual Studio Abonnenten die RTM-Version (als Release Preview) bereitgestellt.

Server 2025 wird dabei die gleichen Updates wie #Windows 11 24H2 bekommen. Der Server Build ist damit identisch wie bei der Windows 11 Version – nämlich 26100.xxx (xxx steht für das monatliche Sicherheitsupdate und das optional 2 Wochen später erscheinende Funktionsupdate.

Installiert man also aus der ISO 26100.1, erfolgt kurz darauf ein Update auf Version .560. Da ich in der virtuellen Maschine kein TPM aktiviert habe, funktioniert die Installation im Gegensatz von Windows 11 ohne Tricks. Die Voraussetzung, dass der Prozessor SSE 4.2 unterstützen muss und somit alte Core2Duo und Core2Quad Prozessoren nicht lauffähig sind, vermuten wir, können es aber weder dementieren, noch beweisen. Es wird aber wohl kaum jemand so alte Client-Hardware zum Betrieb von Servern einsetzen. Wie alt ein XEON-Prozessor in einem Server 2025 sein darf, ist noch herauszufinden. Da die meisten bei On-Prem-Einsatz ihre Windows Server (Std oder Datacenter) Lizenzen mit einem Server als OEM Version lizenzieren, dürfte auch das nicht relevant sein.

Wer ein VS Prem oder VS Professional Abonnement hat, kann die Server-Version schon in einer isolierten Umgebung testen (z. B. in einer Client Hyper-V Umgebung).

Zur automatisierten Installation (Unattended, deployment) dürfen folgende Schlüssel verwendet werden (für die Lizenzierung muss nachher ein gültiger Lizenz-Schlüssel eingegeben werden).

Windows Server 2025 Standard. TVRH6-WHNXV-R9WG3-9XRFY-MY832
Windows Server 2025 Datacenter. D764K-2NDRG-47T6Q-P8T8W-YP6DF

Windows-Updates für die Server 2025 Version wird es voraussichtlich bis September 2034 geben – Bisher waren Server immer LTSC mit 10 Jahren Laufzeit. Sofern Microsoft nicht auf den „Modern Life Cycle mit 5 Jahren“ wie beim Office umstellt. bleibt das dabei.

Testbericht Server 2025 / 26100

Mit den o.g. Installationsschlüsseln lässt sich eine Unattend Vorlage bauen, so dass eine VM auf Knopfdruck innerhalb von 5 Minuten mit GUI installiert ist (und das nur im Client-Hyper-V unter Windows 10). Das ist gegenüber Server 2022 eine deutliche Beschleunigung.

Der Installationsprozess ist noch nicht modernisiert – man findet in der SETUP-GUI immer noch das Aussehen von Windows 7 😀 .

Das Aussehen von Windows Server 2025 ist – Überraschung! – identisch mit Windows 11 (24H2). Kein Wunder, denn es ist ja dieselbe Code-Basis und derselbe Kernel. Wer also die RDS-Services aktiviert, bekommt auf den Terminalservern die GUI von Windows 11 präsentiert. Gruppenrichtlinien, die man von Windows 11 kennt, lassen sich auch anwenden.

Der Server-Manager und auch Active Directory Benutzer&Computer, sowie die anderen Verwaltungs-Tools sind unverändert verfügbar, es wird aber wieder Werbung für ADAC gemacht (Active Directory Admin Center). Außerdem ist wieder AzureArc – wie nach einem Windows Update von Server 2022 an Bord und fährt im Autostart mit hoch. Wer keine Server in Azure hat (Hybrid), sondern eine reine On-Prem-Umgebung, der kann im Task-Manager unter Autostart (ja, der Menüpunkt ist nun auch auf dem Server vorhanden) das Tray-Icon deaktivieren.

Wie die Hardware-Anforderungen sind, wird leider nicht klar ausgedrückt (siehe oben). Eins ist sicher: Auf meiner Test-VM habe ich in den Einstellungen NICHT den TPM des Hosts aktiviert. Die Installation der Gen2 VM läuft problemlos durch und Server 2025 startet auch danach fehlerfrei. Meine Vermutung ist aber, dass es neben der Windows 11 Prozessorliste (alles ab Core i der 8. Generation) auch eine Positivliste für XEON-Prozessoren gibt. Lediglich die IoT-LTSC Version von Server 2025 hat geringere Hardware-Anforderungen (sie hat aber auch keine grafische Benutzeroberfläche, wenn sie auf einer Smart-Fliese im Bad betrieben wird).

Exchange gefällig? – gefährlich?

Eine aktuelle Analyse im Internet zeigt: Von etwa 45.000 Microsoft-Exchange-Servern in Deutschland, die über das Internet via Outlook Web Access (OWA) erreichbar sind, gibt es leider immer noch viele veraltete und unsichere Versionen.

Das Bundesamt für Sicherheit in der Informationstechnik hat festgestellt, dass rund 12 % dieser Server noch mit #Exchange 2010 bzw. 2013 laufen, für die seit Oktober 2020 bzw. April 2023 keine Sicherheitsupdates mehr erhältlich sind. Außerdem sind ungefähr 28 % der Server mit den neueren Versionen Exchange 2016 oder 2019 nicht auf dem neuesten Stand und haben daher eine oder mehrere kritische Sicherheitslücken, die es einem Angreifer von außen ermöglichen, beliebige Programme auf dem angegriffenen System auszuführen (Remote Code Execution, RCE). #Wichtig – das entspricht rund 25 % aller Exchange-Server in Deutschland.

Wer Exchange Server 2010 oder 2013 einsetzt ODER Exchange Server 2016 oder 2019 nicht mit allen verfügbaren Patches einsetzt, ist entweder schon unter Kontrolle der kriminellen Banden, hat Datenabfluss und Kompromittierung nur noch nicht bemerkt oder hat ein kritisches Risiko, gehackt zu werden.

Auch wenn alle Patches auf einem Exchange Server 2019 installiert sind, bleibt das Betriebs-Risiko wegen Zero-day-Lücken immer bis zum nächsten Patchday kritisch (also bis zu einem Monat!)

Cyber-Versicherungen lassen sich entweder gar nicht erst abschließen oder verweigern die Leistung im Schadenfall. Insbesondere weil mit Rechtswirksamkeit von NIS2 auch viele KMU-Unternehmen in die KRITIS Klasse 2 fallen, ist zusätzlich mit hohen Geldbußen und Strafen zu rechnen.

BSI Veröffentlichungen

Was ist zu tun?

Windows Server LSASS-Memory-Leak geschlossen

#Erfreulich – mit dem #Patchday März 2024 schließt Microsoft eine kritische Sicherheitslücke in der Kerberos Authentifizierung von Domänen-Controllern. Leider hat man dabei einen Speicherfresser (Memory Leak) kodiert, der dazu führt, dass mancher (nicht alle) Domänencontroller 2016/2019 und 2022 nach einiger Zeit (zwischen 12 und 24 Stunden) so viel Speicher auf den Prozess LSASS.EXE alloziert, dass der DC entweder keine Aufgaben mehr wahrnimmt oder sogar eigenständig neu startet.

Update 23.3.2024: Microsoft hat ein Out-of-band Update für Windows Server 2022 (KB5037422), Windows Server 2016 (KB5037423) und Windows Server 2012 R2 (KB5037426) herausgegeben. Windows Server 2019 folgt noch in den nächsten Tagen. #Warnung – diesen Patch bitte zeitnah installieren auf betroffenen Servern.

Update 26.03.2024: Nun ist auch das Update für Windows Server 2019 erschienen. Die unterstützten Server sollten dann nach Installation und Neustart wieder frei vom Speicherloch sein und nicht mehr abstürzen.

Microsoft Knowledge Base

Einige Admins berichten, dass das Problem bei ihnen gar nicht auftritt, andere starten die DC zeitversetzt 1x pro Tag neu als Workaround. Da DCs in Azure aus Kostengründen meist noch andere Aufgaben (1 File, 1 Print/Apps) übernehmen, lässt sich ein Neustart nur außerhalb der normalen Arbeitszeiten realisieren.

Generell ist es aber keine gute Idee, das Update wegzulassen, da eine kritische Lücke mit einem Score von 9 von 10 geschlossen wurde.

Microsoft hat das Problem bestätigt und arbeitet an einem Hotfix, der kurzfristig ausgerollt werden soll. Aus Sicherheitsgründen kann man hier nur abwarten.

Übrigens: Ältere Server wie Server 2012 R2, die On-Premises keine Sicherheitsupdates bekommen, haben zwar nicht das Speicherproblem, aber dennoch die Sicherheitslücke. Werden sie in Azure betrieben, gibt es einen Patch, der auch für diese Server die Sicherheitslücke schließt und auch das Speicherproblem mit sich bringt. Wer noch Windows Server 2008 R2 einsetzt, hat ganz andere Sicherheitsprobleme, da es auch im ESU gegen Bezahlung keine Sicherheitsupdates mehr gibt.

Exchange Server unbedingt patchen

#Wichtig – die zuletzt für #Exchange Server 2016 und 2019 geschlossenen, kritischen #Sicherheitslücken aus CVE-2024-21410, mit denen Angreifer leichtes Spiel haben, Exchange Server unter ihre Kontrolle zu bringen und Schadsoftware einzuschleusen, werden derzeit aktiv ausgenutzt.

Sollten Sie noch Exchange Server 2016 oder 2019 im Einsatz haben, ist das Installieren der Patches überlebenswichtig, da es sonst nur eine Frage der Zeit ist, wann Ihr Server übernommen wird.

Mehr Details und welcher Patch für welche Exchange Version installiert sein muss, finden Sie im unten verknüpften Artikel.

Kunden mit Microsoft 365 / Exchange online sind wieder einmal nicht betroffen, da Microsoft dort die Sicherheitslücken selbst und vor Veröffentlichung geschlossen hat.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410

veeam – Sicherheitslücke – V12 erforderlich

Eine Datensicherungssoftware muss immer den aktuellen Stand haben, denn bei einem Befall aufgrund einer Sicherheitslücke in der Software wären im schlimmsten Fall ein Datenverlust oder Datendiebstahl verbunden.

Bei veeam hat die Sicherheitslücke, vor der die CISA derzeit warnt, ein Ranking von 7.5 von 10 auf der Schadensskala. Problem ist der Prozess Veeam.Backup.Service.exe, der auf TCP-Port 9401 reagiert. Angreifer können verschlüsselte Anmeldeinformationen herausbekommen und Zugriffe auf Backup-Infrastruktur-Hosts stattfinden, schreiben die Entwickler von veeam.

Neu dabei ist, dass man nun auch Version 11 mit aktuellem Patchlevel auf Version 12 anheben muss. Erst mit Version Build 12.0.0.1420 P20230223 oder neuer ist diese Lücke sicher geschlossen.

#Wichtig – Bitte aktualisieren Sie Ihre veeam-Installationen auf die aktuelle 12er Version oder lassen sie aktualisieren.

https://www.veeam.com/kb4424

Update 07.11.2023: veeam Software schickt aktuell auch E-Mails, die auf die Sicherheitslücke hinweisen. Bitte klicken Sie nicht auf Links in der E-Mail, sondern melden sich durch Eingabe der URL auf https://veeam.com mit Ihrem veeam-Konto an und laden den Patch. Da bei der Installation einiges beachtet werden muss, empfehlen wir, die Installation als Vorgang/Ticket bei uns in Auftrag zu geben.

veeam.com – Meldung zur Sicherheitslücke

Windows Server 2012 R2 Supportende

Nur zur Erinnerung – #endoflife. Mit dem Patchday am 10. Oktober 2023 liefert Microsoft die letzten #Sicherheitsupdates für Windows Server 2012 R2 aus, die nicht in der Azure Cloud betrieben werden (also für alle Kauf-Versionen ungeachtet, ob Sie eine Software-Assurance mitgebucht haben oder nicht.

1Jahr 8Monate 3Wochen 1Tag
seit Di. 10. Okt. 2023 630 Tage

Oktober 2023
MO	DI	MI	DO	FR	SA	SO	Kw
						1	39
2	3	4	5	6	7	8	40
9	10	11	12	13	14	15	41
16	17	18	19	20	21	22	42
23	24	25	26	27	28	29	43
30	31						44

Der Betrieb von 2012 R2 Servern ist damit ein potenziell deutlich höheres Risiko, die Gefahr einer Infektion und Ausbreitung von Schadsoftware damit gegeben. Spätestens, wenn zum Patchday November 2023 für neuere Betriebssysteme Lücken geschlossen werden.

Modernisieren Sie vorhandene Server 2012 R2 auf neuere Server-Betriebssysteme (2016, 2019 oder 2022) oder bringen die Server in die Microsoft Azure IaaS Cloud, falls Sie Software weiterbetreiben müssen, die nur auf dieser 10 Jahre alten Plattform lauffähig ist. Für die Beurteilung Ihrer Cloudfähigkeit lassen Sie bitte einen Cloud Readiness Check durchführen.

Kerberos-Protokolländerungen ab Juli 23

Bereits im November 2022 lieferte Microsoft Mechanismen aus, die die Kerberos-Anmeldung sicherer machen können. Es geht dabei um das Anmeldeverfahren, wie sich Drittgeräte und andere Windows Server an einem AD-Domänencontroller anmelden.

Auch dieser Sicherheitspatch war zunächst nur ausgerollt worden, um Administratoren Zeit zu geben, die Sicherheit dieser Anmeldungen zu erhöhen bzw. auf Drittgeräten aktuelle Firmware/Softwareupdates zu machen.

Bereits am 13. Juni 23 mit dem Juni-Patchday hat Microsoft die Kerberos Einstellung auf „Überwachungsmodus“ gesetzt. Die Verbindung ist damit weiterhin möglich, Fehler werden im Ereignisprotokoll aufgezeichnet.

Am 11. Juli 2023 setzt Microsoft die Kerberos-Einstellung mit dem monatlichen Update auf „Erzwingen“. Das bedeutet, das Systeme mit unsicheren Kerberos-Schlüsseln sich nicht mehr anmelden können.

1Jahr 11Monate 3Wochen
seit Di. 11. Juli 2023 721 Tage

Handlungsempfehlung

#Wichtig – Wie im Microsoft Artikel ausführlich beschrieben, betrifft das Update Windows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions.

Wenn Sie auf Ihren Domänencontrollern Fehler mit der Ereignis-ID 42 finden, oder Geräte erkennen, die keinen gemeinsamen Kerberos-Verschlüsselungstyp aufweisen, indem Sie das Ereignisprotokoll für Microsoft-Windows-Kerberos-Key-Distribution-Center Event 27 anzeigen, lesen Sie bitte: KB5021131: Verwalten der Kerberos-Protokolländerungen im Zusammenhang mit CVE-2022-37966

Nach der Installation des Juni 2023-Updates (auf allen Servern) das Ereignisprotokoll an Ihren Domänencontrollern sichten und nach Fehlern mit der Ereignis-ID 42 suchen und wie im folgenden Artikel beschreiben verfahren (An Ende des Artikels ist eine FAQ):

Microsoft Artikel mit Handlungsanweisungen

Microsoft macht alten Exchange die Tür zu

Wie aktuelle Statistiken beweisen, sind noch zigtausende alte #Exchange Server im Internet erreichbar und versenden (da solche Server meist schon – auch ohne das der Betreiber es merkt – unter der Kontrolle Krimineller sind) E-Mails und Spams.

Da nur noch Exchange Server mit Version 2016 und 2019 #Sicherheitsupdates bekommen, stellen die alten Versionen 2007, 2010 und 2013 ein hohes Risiko dar. Microsoft hat daher beschlossen, auf seinen Onlinediensten (Exchange Online/Microsoft 365) den Empfang von Mailservern der unsicheren Art zu verhindern, indem dort der absendende Server aus den E-Mail-Kopfzeilen ausgelesen wird und bei feststellen von einem Exchange 2007/10/13 die E-Mail abgewiesen (gebounct) wird.

Die Block-Regel für Exchange Server 2007 wird kurzfristig aktiviert, 2010 und 2013 sollen dann sukzessive folgen.

#Wichtig – wer noch einen Exchange Server 2007, 2010 oder 2013 betreibt, sollte umgehend handeln (Version 2019 lizensieren (Ende der Sicherheitsupdates ist bereits am 14.Okt 2025 und einen Nachfolger kann man nur noch mieten!) oder besser: auf Exchange online umstellen) oder damit rechnen, dass er viele seiner Kunden und Lieferanten (alle Empfänger, die bereits Microsoft Online-Diente nutzen) nicht mehr erreichen können wird.

Quelle: Microsoft Artikel – https://aka.ms/BlockUnsafeExchange

veeam neue kritische Sicherheitslücken

Werden diese #Sicherheitslücken (CVE-2023-27532 „hoch“) ausgenutzt, können Angreifende Kontrolle über den Backup-Server erlangen. Veeam Software hat Anfang März 2023 Sicherheitsupdates zur Verfügung gestellt, mit denen die Lücken geschlossen werden können.

#Wichtig – Wie aus dem Security-Bulletin des Herstellers hervorgeht, müssen alle veeam-Versionen (9,10 und auch Version 11) auf Version 12.0 aktualisieren.

Hierzu ist ein aktiver Wartungsvertrag erforderlich (Anmerkung: Eine Backup-Software ohne Wartung bzw. mit Sicherheitslücken zu betreiben, führt bei vielen Versicherungen zur Kürzung von Leistungen im Schadenfall. Vielfach ist die Datensicherung auch der einzige Rettungsanker, wenn ein Verschlüsselungstrojaner gewütet hat). Die Vertrags-Rest-Laufzeit wird im Startbild von veeam oder im „Info über“ Dialog unter „Support expiration date“ im Hamburger-Menü angezeigt. Ist der Support nicht „expired“, dürfen Sie upgraden. Zum Herunterladen der aktuellen Patches melden Sie sich mit Ihrem veeam Konto auf veeam.com an, laden das Update herunter und installieren es. Dabei müssen auch die Agents auf den physikalischen Maschinen aktualisiert werden. Nach einem Neustart des Backup-Servers ist die Sicherheitslücke geschlossen und Sie haben die aktuelle 12er Version von veeam im Einsatz.

auch veeam Version 11.01 Versionen müssen aktualisiert werden

Sie wissen nicht, wie Sie das Update ausführen? Erstellen Sie bitte einen technischen Support-Vorgang im Extranet der GWS.

veeam Knowledgebase

vmware aktuell halten

Angesichts der aktuellen Angriffs-Serie fokussieren sich Cyberkriminelle auf ungepatchte Browseroberflächen in der VCenter Oberfläche von vmware-Versionen, die Weboberfläche von ESX(i)-Server und auch den vmware Workstation Hypervisor.

Dabei reicht es aus, dass das Unheil stiftende Programm im Netzwerksegment ausgeführt wird, wo die Server stehen. Schadprogramme laufen im Benutzerkontext und werden vorzugsweise durch Klicks von Benutzern gestartet.

Das besondere daran ist, dass die Sicherheitslücken bereits 2021 geschlossen wurden. Offensichtlich gibt es viele Kunden, die entweder keinen Wartungsvertrag mehr mit vmware haben (damit keinen Zugriff auf die Patches) oder/und ihre Systeme nicht aktuell sind.

#Wichtig – Wir raten allen Systemkoordinierenden, ihre VMware Installationen auf aktuellem Stand zu halten.

Bezogenes CVE Security Bulletin: CVE-2021-21974

Exchange Server weiterhin großes Risiko

Obwohl seit #Hafnium bekannt ist, dass der Betrieb von #Exchange 2019, 2016 und 2013 oder älteren Servern mit der höchsten Risiko-Klasse verbunden ist, hat eine Studie von Januar 2023 herausgefunden, dass über 60.000 Server weltweit entweder ungepatcht oder eine alte Version wie 2013 oder älter haben. #Wichtig – Große Teile dürften damit bereits unter Kontrolle von Kriminellen sein und zum Identitätsdiebstahl genutzt werden.

Das Schlimme – im Strafrechtlichen Bereich sind Sie als Betreiber oder Lizenznehmer betroffen und müssen im Schlimmsten Fall hohe Bußgelder zahlen oder mit empfindlichen Strafen rechnen. Zudem reduzieren oder verweigern Cyber-Versicherungen die Zahlung mit Berufung auf Vorsätzlichkeit.

https://techcommunity.microsoft.com/t5/exchange-team-blog/protect-your-exchange-servers/ba-p/3726001

Artikel im Techblog von Microsoft, wo nochmal eindringlich auf den aktuellen Patchstand hingewiesen wird.

Sicher ist nur, wer Exchange online gemietet hat, denn für diesen Online-Dienst trägt Microsoft die Verantwortung für die Aktualisierung und das schnelle Schließen von Sicherheitslücken. Das Ganze in Verbindung mit dem Microsoft 365 Business Premium Plan, der gesetzlich vorgeschriebene Dinge wie ein Mailarchiv, den Business Virenschutz und in Verbindung mit dem Exchange Security Paket auch Mail und Spamschutz enthält.