Java planmäßiges Sicherheitsupdate

und Microsoft zieht Office build 7969 zurück: Oracle hat heute das Update 131 für Java Version 8 veröffentlicht. Darin sind wieder zahlreiche Sicherheitslücken geschlossen. Nachdem nun auch Firefox die Browser-Untersützung für Java entfernt hat, lassen sich Java Webanwendungen nur noch mit dem Internet Explorer öffnen. Außerdem muss Java in 32 Bit installiert sein, ansonsten verweigern viele Apps den Dienst. Nachdem Microsoft vorgestern im Current/RTM Branch den Build 7969 von Office 365 (Click2Run) veröffentlicht hat, sind alle angeschlossenen Systeme etwa einen Tag später wieder auf Build 7820.2038 zurückgesetzt. Derzeit wird in diesem Update-Zweig der letztgenannte Build als aktuell angezeigt. Vermutlich ist Microsoft oder zahlreichen Anwendern mindestens ein Problem aufgefallen und die Veröffentlichung wurde zurückgerufen. Auf den Microsoft Servern liegt allerdings für die Admin-Downloads noch Build 7969 als Current vor. Bitte die Netzwerk-Installationsfreigabe mal ein paar Tage nicht auf den neuen Build aktualisieren lassen. Dazu muss der Server-Aktualisierungs-Task ein paar Tage gestoppt werden. (Post ID:345)

Kaspersky unterstützt das Windows 10 Creators-Upgrade

(Redstone 2) mit der aktuellen Version seines Virenscanners. Anders als bei vorangegangenen Upgrade des Microsoft Betriebssystems soll es dieses Mal keine Probleme geben und man muss keinen Patch einspielen, bevor man das Upgrade durchführt. Zitat: "Latest Kaspersky Endpoint Security 10 SP1 MR3 version supports Windows 10 Creators Update (Redstone 2, Global availability ? April, 2017)". Coming versions of Kaspersky Endpoint Security 10 with Windows 10 Creators Update (Redstone 2): Kaspersky Endpoint Security 10 SP2 for Windows ? April, 2017. Quelle: Kaspersky Supportseiten. (Post ID:340)

Crypto Trojaner können jetzt auch Gruppenrichtlinien erstellen

Daher ist es für die Administratoren dringend notwendig, die Berechtigungen auf Gruppenrichtlinien unternehmensweit zu überprüfen. Ab Werk sind dort nur Domänen-Admins und Enterprise-Admins mit Schreibrechten ausgestattet. Aktuelle Sicherheitsprüfungen ergeben aber vereinzelt, dass auch andere Gruppen dort Schreibrechte haben - oder - noch schlimmer, Benutzer Adminrechte in der Domäne haben. Aktuelle Verschlüsselungs Trojaner können Gruppenrichtlinien erstellen oder schreiben in die "Default Domain Policy - DDP). Dadurch können sie sich bei jedem Login eines Mitarbeiters im Netzwerk verbreiten und infizieren nach und nach alle PCs. Dabei werden wie von Locky schon bekannt, von dort aus alle Daten verschlüsselt, auf die der Benutzer Zugriff hat. Davon ist dann auch der Administrator betroffen (auch dieser meldet sich ja an der Domäne an und zieht die Default Domain Richtlinie). Sobald dieser betroffen ist, sind alle Dateien verschlüsselt und nicht nur diejenigen, wo normale Benutzer Schreibrechte haben. Tipp: Prüfen Sie in der Gruppenrichtlinien-Verwaltung in den Eigenschaften jedes GPO-Objekts, wer dort mehr als Lesezugriff hat. (Post ID:337)

Fake-Angebote auf Amazon

n rn
seit einigen Wochen häufen sich Angebote, die auf der Plattform von seriösen Anbietern gelistet sind. Dabei werden meist vorhandene Artikel des Anbieters zu weniger als der Hälfte des Straßenpreises beworben (und auch bei zahlreichen Suchportalen an erster Stelle angezeigt). rnIm Artikeltext steht nun, dass der Interessent eine E-Mail an Adresse X schreiben soll und nicht über sein Amazon Account bestellen. Danach bekommt man eine Rechnung, die aussieht, als komme sie von Amazon – ist sie natürlich nicht. Hat man das Geld erst überwiesen, bekommt man keine Ware. rnrnDa die Artikel bei namhaften, gelisteten Amazon Verkäufern auftauchen, ist das jeweilige Amazon-Verkaufskonto gehackt worden. rnrnEmpfehlung: Weil Einige von Ihnen die Amazon Verkaufsplattform für den Betrieb nutzen: Bitte ändern Sie Ihre Kennwörter regelmäßig (1x pro Monat) und stellen sicher, dass es sich um ein eindeutiges, komplexes Kennwort handelt. rnHaben Sie ein Amazon Konto als Käufer, gilt das Gleiche, denn auch Ihre Daten können missbraucht werden. rnrnVermeiden Sie, am Amazon Bezahlweg vorbei, Käufe zu tätigen. Vekäufer auf Amazon dürfen keine Zahlungen per E-Mail abwickeln. (Post ID:307)n

Google Chrome Version 53 blockiert Flash

n rn
…das gefährlichste Programm der Welt (Adobe Flash Player). Sobald der Browser erkennt, dass eine Website Videoinhalte auch per HTML5-Stream anbietet, wird der HTML-Player statt Flash benutzt. Zusätzlich ist Flash für einige Werbebanner und Seiten ab Werk deaktiviert, so dass diese Inhalte nicht mehr angezeigt werden. :8 rnrnIn der Optik gleicht Google seinen Browser an die mobilen Versionen an (Stichwort: Material Design), Symbole und Oberflächen wirken klarer in der Darstellung. Einzig die Schriftgröße in der Adressleiste des Browsers ist für meinen Geschmack etwas klein geworden. Das Schöne: Wem das neue Design nicht gefällt, der kann es unter chrome://flags und Suchbegriff „Material Design“ abschalten und sieht die Browser Optik von Version 52. (Letzte Revision: 02.09.2016 15:24:02) (Post ID:305)n

Wie sieht ein Locky Downloader aus

n rn
Derzeit ist neben einer angehängten Word-Datei eine E-Mail vom scanner@meinefirma.de (meinefirma.de entspricht der Firmendomain), der Betreff lautet z.B. mailadressedesmitarbeiters-3409450345890@meinefirma.de.rnrnIm Anhang der E-Mail befindet sich eine ZIP-Datei, die wiederum eine .js-Datei enthält. Wer diese Datei anklickt, ist selbst schuld, denn er hat nun Locky heruntergeladen und ausgeführt und alle Dateien (auch auf Netzlaufwerken mit Schreibzugriff) sind verschlüsselt.rnAls aktuelle Variante wird dabei meist Teslacrypt 4.0 benutzt, das nun auch versteckte Netzwerkfreigaben sucht (und findet) und auch Dateien und Container >4GB verschlüsseln kann. Da der Private Schlüssel 4096 Bit lang ist, ist eine Entschlüsselung unmöglich.rnrnDa Scanner nur PDF-Dateien verschicken und auch nur, wenn der Mitarbeiter vorher etwas gescannt hat, dürfte an sich niemand solche Anhänge öffnen und ausführen. Es wird aber trotzdem geklickt.rnrnAuf der administrativen Seite würde es jetzt helfen, wenn man Downloads in der Firewall blockt. Ist die Downloadadresse aber (wie in diesem Beispiel) eine HTTPS Webseite, hilft nur eine Next Generation Firewall, die auch SSL-Verschlüsselten Inhalt analysiert und blocken kann. Dort werden dann nur echte PDF-Dateien durchgelassen, alle anderen Downloads werden geblockt.rnrnBitte sensibilisieren Sie Ihre Mitarbeiter, keine vermeintlichen Scanner-Anhänge zu öffnen, auch dann, wenn die Absendeadresse vertraut erscheint. Austausch von Dokumenten mit Externen Personen sollten NUR im PDF-Format erfolgen. Bei Office Dokumenten (Word, Excel) besteht ein Risiko, dass diese Makroviren enthalten.rn (Letzte Revision: 22.03.2016 18:17:02) (Post ID:275)n

Ist diese Rechnung WIRKLICH von vodafone

PDF Dokumente mit Digitaler Signatur – Herkunft und Integrität prüfen: Der Adobe Reader ist aktuell nicht in der Lage, zu prüfen, ob eine mit Signatur gesicherte PDF-Datei integer ist. Er zeigt fälschlicherweise an „Mindestens eine Signatur ist nicht gültig“. Diese Falschmeldung kommt, weil der Reader nicht in der Lage ist, online zu prüfen, ob der Aussteller nicht mittlerweile gesperrt ist (OCS Sperrlisten-Abfrage). Das Open-Source Projekt SUMATRAPDF zeigt Ihnen die Signatur hingegen als Sprechblase an.

Alle Programme, mit denen man signierte Rechnungen überprüft, müssen diese Prüfung können. Außerdem braucht man die PDF zum Prüfen nicht erst öffnen, sondern übergibt den gespeicherten Anhang dem Prüfprogramm (Rechte Maustaste auf die PDF, Secsigner/verifizieren).

Das Prüfprogramm von Seccommerce können Sie kostenlos direkt beim Anbieter herunterladen und nutzen. Können Sie eine solche, signierte PDF-Datei auch nach erfolgreicher Prüfung nicht öffnen? Dann ist sicher, dass Ihr Programm zum PDF betrachten (Acrobat, NitroPDF, Foxit-Reader) unsicher, veraltet ist und mehrere kritische Sicherheitslücken aufweist. Eile ist geboten, es zu aktualisieren.

EU Cookie-Richtlinie

n rn
Wer fühlt sich nicht genervt durch fast alle Webseiten, die ein in der EU vorgeschriebenes „Cookie Accept Banner“ einblenden. Schön dass Webseiten darüber informieren, dass Sie Cookies zur Informationsverarbeitung nutzen. Wer das aber ohnehin weiß (also ziemlich alle, die mit IT zu tun haben), gibt es zum Glück für die Browser Google Chrome und Mozilla Firefox eine Erweiterung, die diese Popups fast in allen Fällen von vornherein entfernt.rnrn“I dont care about cookies“ heisst sie und ist kostenlos. Neben „uBlock origin“ und der MVPS Hosts Tabelle ist das Surfen im Internet (und dank zuletzt genannter auch die Microsoft Apps) weitgehend werbefrei und ohne nervige Popup-Meldungen. (Post ID:263)n

Adobe Redistribution komplizierter

n rn
Seit 16. Januar 2016 muss man eine Adobe-ID (funktioniert nur mit einer zur Firma gehörigen Domain E-Mail-Adresse) anlegen und einmal pro Jahr die Erlaubnis zum Einsatz vom Adobe Reader und von Flash in Unternehmensnetzwerken einholen.rnBitte beachten Sie: Ihre bisherige Redistributionslizenz verfällt oder ist bereits verfallen. Wenn Sie weiterhin den Adobe Reader oder Flash in Firmenumgebungen einsetzen möchten, müssen Sie die oben genannten Schritte einmal alle 12 Monate wiederholen. Dazu ist jeweils das komplette Erlaubnisformular unter Nutzung der neu angelegten Adobe ID zu wiederholen.rnrnFazit bzw. meine Konsequenz: Ich habe Adobe Produkte komplett von allen Rechnern verbannt und nutze ausschließlich Open Source Produkte (MUPDF und SumatraPDF). Das Geschäftsgebaren und der administrative Aufwand, den Adobe verlangt, sowie die Ungewissheit, was in den USA mit meinen Daten geschieht, sind recht fragwürdig und decken sich nicht mit deutschem Datenschutzrecht! (Post ID:262)n

Handeln Sie nach dem IT-Sicherheits-Gesetz

Seit Mai 2015 gibt es das für alle Unternehmen verpflichtende IT-Sicherheitsgesetz. Eine Studie von PricewaterhouseCoopers ergab, dass viele Unternehmen die Gefahren unterschätzen und immer noch das Thema Sicherheit zu wenig behandeln. Darüber hinaus sind viele Firmen unterversichert. Bei einem durchschnittlichen Schaden von 80.000 ? Im Jahr 2015 ist das ein hohes Risiko. Mit unserem IT-Sicherheitscheck (Details erhalten Sie hier oder über die Kachel oben) erstellen wir ein Testat auf Basis von BSI Grundschutz und Prüfungsstandard 330 des IDW und testieren Ihnen Ihren Sicherheitsstatus. Im Workshop erfahren Sie, wie Sie kritische Bereiche besser absichern können.

Meine erste Paypal Scam!

n rn
Das Deutsch in diesen Mails wird zwar immer besser, daher hat der Antispamfilter die Mail auch durchgelassen, aber endlich habe ich auch mal eine solche Mail bekommen. Zeit, die Mail mal in meiner Sandbox-Umgebung unter die Lupe zu nehmen: Trotz verbessertem Deutsch und Umlauten im Formulartext enthält die Mail Fehler. Und auch wenn Sie in perfektem Deutsch und mein Name richtig geschrieben worden wäre und ich ein PayPal Kont hätte – warum in aller Welt sollte ich überhaupt auf einen Link in einer E-Mail klicken???rnZumal dieser Link auch noch auf eine bit.ly Adresse lautet. Nene! Früher haben die Scammer sich wenigstens noch Mühe gegeben und eine Fake-URL gemietet, die zumindest so ähnlich klang wie diejenige des vorgetäuschten Absenders. rnEin Blick in die E-Mail-Kopfzeilen zeigt dann als X-Mailer schon mal: Smart_Send_3_1_6. Hier wird nicht mal der Mailer verscheiert.rnrnMan rechnet fest damit, dass der User alles anklickt, was ihm unter die Maus kommt! Und es funktioniert! (aber nicht bei mir). rnVor etwa 20 Jahren gab es schon mal das manuelle Virus:rnrnSie abe soeben aine albanische Virus empfangge. Da wir in Albanie tecnologisch noc nict so wait fortgeschritte sind, handele sic um MANUELLE Virus. Bitte lösche Sie alle Dataie auf Ihre Festplatte selber, jezte Sie neme bitte grosse Ammer unde schlage Sie gräftig auf Giste wo ist Festplatte drinn unde leiten Sie diese mail weiter an alle Persone, die sie kenne. Ist voll krass und vunczioniert.rnViele Dank fur Susammenarbeit!rnGruss fo Freier Virusendwiggler DraganrnrnrnGenerelle Empfehlung:Nie Nie Nie und Niemals auf Links in E-Mails klicken (das mit dem Verbot, Anhänge auszuführen, kenne ja schon Einige). Wenn man den Absender kennt, kann man seine Webseite auch über die eigenen Favoriten aufrufen oder in den Browser eingeben. Und KEIN Geldinstitut und kein Shop, wo Geld im Spiel ist, hat eine unverschlüsselte Seite. (Letzte Revision: 07.12.2015 17:09:56) (Post ID:252)n

Ramsomware

n rn
So nennt man die zurzeit häufig auftretenden Verschlüsselungs-Trojaner. Einmal infiziert verschlüsselt sie alle Daten, die sie finden kann, mit einem hochsicheren Schlüssel. Auf den infizierten Rechnern wird dann eine Meldung angezeigt, dass man gegen Zahlung von Bitcoins (meist ca. 500 ?) eine Software erhalte, mit denen man die Daten entschlüsseln kann. Die angebotene Zahlungsmethode stellt sicher, dass das Geld nicht nachverfolgbar ist. Ob es eine Gegenleistung in Form einer funktionierenden Software (die keine Schadstoffe enthält) gibt, ist fraglich. Die Experten vom BSI raten, auf diese Lösegeldforderungen nicht einzugehen!rnrnWie finden viele Infektionen statt?rn* Ein Mitarbeiter erhält eine E-Mail, die einen Internet Link enthält. Klickt der Mitarbeiter auf den Link, wird die Verschlüsselungssoftware installiert und verschlüsselt alle Dokumente im Zugriff. Zusätzlich können die Schadprogramme in einem E-Mail-Anhang versteckt sein oder auf einer Webseite zum Download angeboten werden.rnrnWie können Sie sich speziell gegen Ransomware schützen?rn* Mitarbeiter sensibilisieren (Nicht auf Anhänge und Links in Mails klicken, keine Internet-Downloads von Programmen)rn* Blockieren von Downloads unerwünschter Dateiendungen auf Ihrer w.safe Firewall einrichten (Dateien werden anhand der Endung im Namen blockiert, Dateiinhalte können nicht analysiert werden) rn* Exchange Richtlinie einrichten, die unerwünschte Dateiendungen blockiert (schützt vor E-Mails mit Anhängen)rn* Anzeige von E-Mails in Outlook als „NUR-TEXT“. (HTML-E-Mails können bereits schädliche Javascripts enthalten)rn* Anschaffung einer Next Generation Firewall mit Inhalts- und Anhang-Blockierung: Hierbei kann man konfigurieren, dass Anhänge und das Ausführen von Links in E-Mails und Internet-Downloads blockiert werden.rn* Windows Enterprise mieten. Mit Software-Assurance und Windows Enterprise kann die Applocker Technologie eingerichtet werden. Hier richtet der Admin eine Positivliste ein. Es werden nur Programme gestartet, die auf dieser Liste stehen (hoher Einrichtungsaufwand)rnrnWas müssen Sie ohnehin für den Grundschutz erfüllen?rn* Virenscanner mit laufendem Vertrag und aktuellen Signaturen einsetzen (erkennt Ransomware erst Tage später, da diese wie das medizinische Virus ständig mutiert)rn* Windows Sicherheits-Updates auf aktuellem Stand halten (gilt auch für Adobe Produkte und Java, da hier eine besondere Gefahr besteht)rn* Benutzern Adminrechte entziehen (Ransomware wird allerdings im User-Kontext ausgeführt)rn* Arbeitsanweisung (Mitarbeiter sollen weder auf E-Mail-Anhänge klicken, noch auf Links, die mit E-Mails gesendet werden und nichts aus dem Internet herunterladen)rn* Datensicherung muss BSI Grundschutz erfüllen, d.h. Vollsicherungen mindestens der letzten 2 Wochen (alle Werktage) auf Band. Sicherungen auf Wechselfestplatten können ebenfalls der Verschlüsselung zum Opfer fallen, ein Band nicht. (Post ID:246)n

Software Sicherheitsnachrichten

n rn
Google sichert Chrome mit Version 47 gegen weitere Bedrohungen ab und verstärkt die Sandbox-Funktionen für Programmierer. Aktuell ist Version 47.0.2526.73.rnMicrosoft bringt ein weiteres kumulatives Update für Windows 10 heraus. Der Build ist nun 10586.17 und wurde am 21.11.2015 veröffentlicht.rnOffice 2016 erhält ebenfalls einen kumulativen Stream für die Click-to-Run Versionen. Hat man eine MSI-basierte Volumenlizenz im Einsatz, gibt es nur das monatliche (1GB) kumulative Patch zum hereinkopieren in den Update-Ordner vom Installations-Source. Die C2R-Version ist dagegen komplett mit Patches integriert und damit ein vollständiger Build.rn7-Zip wurde mit der Fähigkeit, aktuelle Formate wie Winrar5.1 zu lesen erweitert und ist als Release Version 15.12 erschienen. (Post ID:251)n

Batchverarbeitung

n rn
(Alle Dateien eines Ordners automatisch als PDF erzeugen): Dazu PDFCreator starten, dann ein Profil „PDFAutosave“ rnrnanlegen:rn[Profile], Druckdialog überspringen, Autosave, Ordner z.B. c: emp vorgeben und Dateinamen=inputfile, Haken PDF anzeigen rausnehmenrn[Anwendungseinstellungen], Drucker/Profil des Druckers auf PDF Autosave umstellenrnrnPDFCreator Befehlszeile aufrufen:rn“C:Program FilesPDFCreatorPDFCreator.exe“ rnrnOder Batchdatei starten, die alle Dateien im Ordner nach PDF konvertiert (Inputordner ist hier c: emppdfin):rnrn@echo offrnfor {d80be7cee5dd99f93bc57e679c380bce542b1ebefaddcfb620c735872c2479ca}{d80be7cee5dd99f93bc57e679c380bce542b1ebefaddcfb620c735872c2479ca}f in (c: emppdfin*.*) do „C:Program FilesPDFCreatorPDFCreator.exe“ „/PrintFile={d80be7cee5dd99f93bc57e679c380bce542b1ebefaddcfb620c735872c2479ca}{d80be7cee5dd99f93bc57e679c380bce542b1ebefaddcfb620c735872c2479ca}f“rnpausern (Post ID:201)n

Netzwerke - Wireless LAN, WLAN

n rn
und der Nachbar kann mitsurfen, und die Möchtegernhacker können meine Daten stehlen!rnrnGegenwärtig lassen sich WLANs nur effektiv mit WiFi Protected Access,. Kurz „WPA“ und langen bzw. dynamischen Passphrases oder einem neuen Standard namens 802.11i schützen. 802.11i-Hardware ist jedoch teuerer. Mittlerweile haben die neueren Geräte 802.11i implementiert, einge der besseren „Altgeräte“ lassen sich sogar per Firmware-Upgrade aktualisieren. Den 802.11i-Standard bezeichnet man auch als WPA2.rnrnMit MDE/MDT (Mobilen Erfassungsgeräten und Handscannern) auf Windows CE 4.2 Basis ist man etwas mehr eingeschränkt, da die Client-Funkhardware auch WPA resp. WPA2 unterstützen müsste, was die meisten Module aber nicht tun. Oder aber es gibt keine Treiber für Windows CE dafür. Eine Ausnahme bilden Geräte, die Funkwerk (Artem) OEM-Module verbaut haben, wie z.B. das Höft&Wessel Skeye allegro MDT. Hier unterstützt der Windows CE-Treiber auch WPA-Verschlüsselung – allerdings nur mit TKIP-Protokoll.rnrnMehr Details auch in einem Artikel bei Heise Security. Folgende Sicherheitsstufen sollten Sie berücksichtigen:rn* Benutzung von WEP (wenn WPA nicht unterstützt wird) –> unbedingt WEP, offen auswählen, nicht WEP mit Passphrase-Authentisierung WEP64=40Bit bietet für 15 ? 20 Minuten Schutzrn* WEP128=104Bit bietet je nach Datenaufkommen für 1-2 Stunden Schutzrn* Niemandem erzählen, dass Sie ein Wireless LAN haben –> Hacker und ?Warchalker und Wardriver? Werden Sie trotzdem findenrn* €SSID-Broadcast abschalten Kann auch aus anderen WLAN Nachrichten rausgelesen werdenrn* MAC-Adressen Authentifizierung MAC-Adressen können zwar aus der Luft ?ausgelesen? Und kopiert werden, eine Positivliste der MAC-Adressen auf den Accesspoints zu pflegen und nur registrierte MAC hereinzulassen, kann zusätzlich nicht schaden, da jede zusätzliche Hürde das Hacken erschwert.rn* €SSID mit langen Namen und Sonderzeichen keinen Aufschluß über Besitzer oder Standort des Accesspoints geben (RAeMuellerBerlin als Name wäre z.B. sträflich leichtsinnig)rn?Ich benötige keine Sicherheit, ich habe keine sensiblen Daten!? Was meint Ihre Versicherung dazu, wenn etwas passiert?rn O Verlust an Bandbreitern o Vandalismusrn o Haftung für das Hosten von Eindringlingen!rn O Hosting von Spam, DOS Attacken auf andere Unternehmen.rn O Hosting von Datendiebstahl (MP3)rn o Verlust von Reputation rn o ohne Flatrate erhöhte Kosten durch Mitsürferrn* Die Wireless LAN Basisstation sollte NIEMALS im Produktivnetz aufgestellt werdenrn wichtige Daten sind durch eine Firewall geschützt und nicht per WLAN errreichbarrn* Schaffen einer Demilitarisierten Zone (DMZ) mittels einer Firewall Sicherheit durch Firewall, physikalische Netztrennungrn* Zugriff auf das Netzwerk NUR für CITRIX bzw. Microsoft Terminal Services, Verwenden der höchstmöglichen Verschlüsselung von Citrix bzw. RDP Zusätzliche Sicherheitsschranke, da Kommunikation nur über einen Port. Kein direkter LAN-Zugriff ohne Authentifizierungrn* WPA oder WPA2 Verschlüsselung auswählen (wenn möglich auf AES begrenzen) zweithöchster Schutz mit WPA2-PSK und AES und 63stelliger Komplex-Passphrasern* Radius-Server (Windows Internet Authentication Service, im Server enthalten) installieren und nutzen 802.1X Authentifizierung durch viele Access Points unterstützt. Enterprise-Sicherheitsmechanismus. Mit WPA2/AES und Zertifikaten die höchste SicherheitsstufernrnEinsatz (kleinere Umgebungen, Büros) unter Windows und HardwareempfehlungenrnUnter Windows werden softwareseitig (Clientseitig) WPA-Verschlüsselungsverfahren unterstützt. Am sichersten ist dabei die Verschlüsselung nach dem AES Verfahren, die meisten WLAN-Basisstationen (Access Points) unterstützen momentan jedoch nur „TKIP“ als Encryption Suite.rnFür den Einsatz in Besprechungsräumen oder kleineren Umgebungen sind die Office-Connect Geräte von 3Com gut geeignet.rn* der Office Connect 54G Access Point ist handlich, platzsparend, hat eine austauschbare Antenne und kostet etwa 100 Euro. Features wie WPA2 (incl. WPA2 Enterprise) werden unterstützt.rn* Möchte man mit 3Com-Client-Hardware mit bis zu 108MBit/s funken, muss man den Office Connect a/b/g Access Point nehmen. Dieser unterstützt aber kein WPA2, sondern nur WPA/TKIP und WPA Enterprise.rnrnDer Access-Point bekommt nach Einstöpseln erstmal via DHCP eine eigene IP. Ein Discovery-Tool auf der mitgelieferten CD (das man nicht installieren, sondern direkt von der CD starten kann), durchsucht das Netzwerk nach Access Points. Danach läßt sich der AP über Port 80 mit dem normalen Browser über eine gut verständliche Weboberfläche administrieren.rnDabei ändert man als Erstes das Adminpasswort und kann dem AP eine feste IP, Netzmaske und Default Gateway vergeben.rnWenn der Nachbar die Kommunikation stört, so liegt das daran, das er auf dem gleichen Kanal funkt oder eine Mikrowelle an hat (Kanal 11 wird von Mikrowellen ausgestrahlt). Wählen Sie daher, wenn Sie Störungen vermeiden möchten – auch dann, wenn Sie mehrere Access Points einsetzen, immer unterschiedliche Funkkanäle. Zwischen den Kanälen von 2 Access-Points müssen immer 5 Kanäle frei sein.rnMöglich sind demnach die Kanäle: 1,6,11 oder 2,7,12 oder 3,8,13 (in Japan auch Kanal 14). Die maximale Sendeleistung eines Access Points darf 100mW betragen, das sind 20dB. Wenn Sie externe Antennen verwenden, die einen Gewinn bringen, müssen Sie die Sendeleistung des Access Points verringern, um diesen gesetzlich vorgeschriebenen Wert nicht zu überschreiten. (Letzte Revision: 23.02.2015 11:21:35) (Post ID:192)n

Virenschutz und Systemsicherheit Windows

n rn
Um die vorgeschriebenen Mindestanforderungen für ein sicheres System zu bekommen, sollten Sie die folgenden Punkte befolgen:rn* Benutzeranmeldekonto: Arbeiten Sie NICHT als lokaler Administrator, sondern NUR mit Benutzerrechten. Entscheidend sind hier die Rechte auf dem PC (lokale Rechte)rn* Verwenden Sie sichere Kennwörter zur Anmeldungrn* Installieren Sie einen Virenschutz, der so häufig wie möglich aktualisiert wird (Virussignaturen)rn* Aktivieren Sie den Dienst „Automatische Updates“, um Microsoft-Patches zu erhaltenrn* Verwenden Sie einen aktuellen Internet Explorer (z.B. Version 11) oder Googole Chrome für Business und deinstallieren Adobe Flash (Beide genannten Browser haben Flash integriert).rn* Befolgen Sie die organisatorischen Anweisungen unten im Text und reagieren nicht auf HOAXESrnrnVorsorgemaßnahmen und OrganisatorischesrnMail und Internet:rn* Öffnen Sie keine E-Mail-Anhänge, die Sie nicht angefordert haben. Bei unverlangt erhaltenen Anhängen den Absender kontaktieren und fragen, ob dieser eine Datei mit der Dateigröße x und dem Namen y als Anhang verschickt hat.rn* Meiden Sie fragwürdige Seiten, klicken NICHT auf irgendwelche BANNERrn* Reagieren Sie nicht auf Mails, die persönliche Informationen, von Ihnen haben möchten (PINs, Passwörter, Geburtsdatum, TANs, Zugangsdaten allgemein).rn* Banking: Kontrollieren Sie, ob sie eine gesicherte Verbindung zum Bankserver haben (grünes Schloß in der Adressleiste). Durch Doppelklick auf das Schloß wird angezeigt, von wem das Zertifikat ausgestellt wurde und für wen. Wenn eben möglich, verwenden Sie zum Banking NUR HBCI mit einer Chipkarte!rn* Vermeiden Sie das Weiterleiten von Virenscherzen und Ketten-Emails (sog. Hoaxes). Mehr Info zum Thema weiter untenrnrnAnwendungen:rn* Verwenden Sie eine aktuelle Microsoft Office Version oder abonnieren Office 365rn* Verwenden Sie den Adobe Reader in der aktuellen Version und aktualisieren Sie die Sicherheitsupdatesrn* Aktualisieren Sie die SUN Java Engine regelmäßig. Auf java.sun.com finden Sie die Updates.rnrnDaten: Sensible Daten legen Sie nur auf externen Datenträgern ab. Am Besten zusätzlich verschlüsseln. Dazu gibt es Software, die ganze Datenträger (z.B. Memory Sticks) verschlüsselt – oder aber Sie verwenden die Dokument-Verschlüsselung vom Office (aber nur, wenn es Office 2003 ist UND Sie unter Optionen den Schlüssel auf mindestens RSA 128-bit eingestellt haben!)rnrnAntivirus-Software: Stellen Sie bitte jederzeit sicher, dass das Symbol Ihres Antivirusprogramms stets unten rechts in der Taskleiste zu sehen ist. Es darf nicht rot durchgestrichen sein. Aktualisieren Sie Ihre Virussignaturen so häufig wie möglich. Verfolgen Sie auch die Tagespresse. Wird dort vor einem Virus gewarnt, sollten die Signaturen außerhalb der Reihe aktualisiert werden. rnrnDFÜ-Einwahl und Firewall: Sichern Sie alle DFÜ-Internetverbindungen (z.B. über UMTS und im öffentlichen WLAN) mit der Verbindungsfirewall ab. Wenn Sie ein Netzwerk verwenden, schützen Sie dieses durch eine effektive FirewallrnrnBenutzerkonto und AnmeldungrnAuf jedem PC gibt es mit Rechter Maustaste auf „Arbeitsplatz“ die Auswahl „Verwalten“. Dort finden Sie „Lokale Benutzer und Gruppen“, Gruppen.rnSchauen Sie per Doppelklick auf die Gruppen „Hauptbenutzer“, dass dort NIEMAND Mitglied ist und bei „Administratoren“, dass dort nur „Administrator“ und „admin“ Mitglieder sind.rnEinträge wie „Domänen-Benutzer“ oder „Benutzer“ haben in diesen Gruppen nichts mehr zu suchen.rnDie oben genannte Richtlinie gilt unabhängig davon, ob Sie in einer Domäne anmelden oder lokal am System. Bei lokaler Anmeldung muss selbstverständlich ein lokaler Benutzer angelegt sein (z.B. KASSE1). Dieser ist aber nur Mitglied der Gruppe „Benutzer“.rnrnVerwenden Sie sichere Passwörter zum Schutz gegen Eindringlinge. Machen Sie es den Datendieben nicht zu einfach.rnrnBetriebssystem Version und Patchesrn rn:J Die monatliche Sicherheits-Aktualisierung bei Microsoft schließt bekannt gewordene Sicherheitslücken und erscheint immer am 2. Mittwoch im Monat. Bitte installieren Sie regelmäßig die erschienenen Sicherheitsfixes. Sie können den Prozess automatisieren, indem Sie den Dienst „Automatische Updates“ aktivieren und konfigurieren.rnrnHOAXES – schlechte ScherzernVirus-Meldungen (Hoaxes, elektronische „Enten“)rnMittels E-Mail werden seit Jahren häufig „Virus-Meldungen“ verschickt, die vor einem „ganz neuen, gefährlichen“ Virus warnen, der schon beim bloßen Lesen einer E-Mail aktiviert wird und sofort Daten löscht oder die Festplatte formatiert.rnDie Meldungen stimmen jedoch nicht, sie sollen nur ungeschulte Computernutzer bei ihrer Hilfsbereitschaft und Gutmütigkeit ansprechen und zu schädlichen Aktionen veranlassen.rnrnDer Anwender kann Hoaxes an vier charakteristischen Merkmalen erkennen:rn- Es wird dazu aufgefordert, die Meldung an möglichst viele andere Nutzer zu verteilen.rn- Es handelt sich um einen Virus der so neu ist, daß kein Anti-Viren-Programm in momentan findet, und er löscht schon beim Lesen der E-Mail sofort Daten.rn- Die Information stammt von einer Autorität. (Beispiele: Microsoft, AOL, Polizei, Rundfunk)rn- Die originale E-Mail-Adresse des ursprünglichen Absenders oder eine konkrete WWW-Adresse ist nicht vorhanden.rn (Letzte Revision: 22.02.2015 14:49:05) (Post ID:191)n