Tech-Nachrichten | Seite 43 | die Informationsquelle der GWS für Systemkoordinierende

Viele von Ihnen, die Windows 10 Pro einsetzen, wird derzeit von Microsoft als Windows Update Meldung angeboten, kostenlos auf das Creators-Upgrade zu aktualisieren.
Eine gute Nachricht hierzu: Kaspersky hat mittlerweile einen Build von Kaspersky Endpoint Security freigegeben, der mit der aktuellen Windows 10 Version 15063 zusammen arbeitet:

Die Windows 10 Clients müssen auf KES Version 10.3.0.6294 aktualisiert sein, bevor das Upgrade angestoßen wird. Ansonsten wird zwar nicht gleich (wie beim ersten Upgrade 2016) der Virenschutz unwirksam, es könnten aber Nebenwirkungen auftreten. Daher ist es immer empfehlenswert, auf die Freigabe durch den Hersteller zu warten.

Das Creators-Upgrade ansonsten eine Empfehlung wert, da es im Administrativen Bereich der Pro-Edition wieder einige zuvor gestrichene Richtlinien-Objekte (GPOs) aktiviert. Microsoft hatte viele Richtlinien nur noch in der Mietversion Windows 10 Enterprise bereitgestellt und rudert mit diesem Upgrade nun zurück. (Post ID:354)

Windows

Windows 10 Bugfix-Release Mai 2017

Microsoft veröffentlicht das Update 10.0.15063.332 ein paar Tage später als geplant. Bekanntlich ist Bugfix-Day 2 Wochen nach dem Patchday jeden Monat.
Mit dem Update wird auch die Microsoft Defender Engine aktualisiert und leistungsfähiger (So kann man über Gruppenrichtlinien oder einen Registry-Schlüssel nun eine erweiterte Verhaltenserkennung aktivieren. Dies konnten bisher nur die Enterprise-Versionen der Virenscanner.

Dennoch bleibt der integrierte Microsoft Virenschutz nur für Testsysteme und Umgebungen, die nicht administrativ verwaltet werden müssen, ein Basis-Virenschutz. Aufgrund der Leistungsfähigkeit, leichten Administrierbarkeit und moderatem Preismodell empfehlen wir weiterhin, Kaspersky Business oder Enterprise Versionen einzusetzen. (Post ID:352)

Windows Exchange

Microsoft .net Framework 4.7 Update

bitte nicht auf #Exchange Servern installieren. Normalerweise wird die Aktualisierung zwar nicht über die kritischen Updates mit verteilt, wer sicher sein will, beachtet beim Installieren der Updates auf Servern, dass es nicht in der zu installierenden Patches auftaucht.
Hintergrund: Meist gibt es Wechselwirkungen und Funktionen des Exchange Servers sind nach dem Update gestört. Im schlimmsten Fall kommen keine E-Mails mehr an.
Bevor Microsoft die Freigabe erteilt, wird es zunächst ein weiteres kumulatives Update für den Exchange Server geben, das zuvor installiert werden muss.

.net Framework 4.7 ist Bestandteil der Windows 7 Creators-Upgrade Version von Windows 10 (Post ID:350)

Hardware

ISDN-Abschaltung und VoIP-Umstellung der Telekom

Bis Ende 2020 möchte die Telekom alle ISDN- und analoge Anschlüsse abgeschaltet haben. Auch wenn die ursprüngliche Aussage der Telekom-Pressestelle war, man wolle nur Mehrgeräte- und Analog-Dienste einstellen, liegen uns Meldungen aus unserem Kundenkreis vor, dass auch Anlagen- und Primärmultiplexanschlüsse gekündigt werden. Letztere werden meist mit Ablösung der Telefon-Anlage auf IP umgestellt. Ob das Vorhaben bis Ende 2017 gelingt, steht auf einem anderen Blatt. Sie sollten aber darauf vorbereitet sein.

Das Schaubild zeigt verschiedene Szenarien, wie es nachher aussehen kann und wie die Firewall in diesen Szenarien weiter betrieben werden kann. Der Bintec-Router (Notfall-Fernwartung) muss, sofern er bisher am ISDN-Anschluss wie das DSL-Modem für die Firewall betrieben wurde, abgeschaltet werden. Die Funktion, bei Internet-Störung Fernwartung über ISDN zu machen, ist nach der Umstellung nicht mehr nutzbar.

Gemäß dem von uns empfohlenen Sicherheitskonzept auf Basis des BSI Grundschutz benötigt die Firewall weiterhin ihren eigenen Internet-Zugang (der dann auch von der Telefonie entkoppelt sein kann – also ein reiner Internetanschluss mit Flatrate ist).

Für Telefonie/Fax kommt in jedem Fall ein zweiter Anschluss zum Einsatz, der wiederum keinen Internet-Datentarif hat, sondern reine Telefonie-Dienste beinhaltet:
* In kleinen Umgebungen ohne Durchwahl macht dieser zweite Anschluss ausschließlich VoIP (Internet-Telefonie)
* Bestand bisher ein Durchwahlanschluss (Anlagenanschluss oder Primärmultiplexer), kommt ein sogenannter SIP-Trunk (z.B. von ecotel) zum Einsatz, der die Telefonie-Funktionen abbildet.

Je nach Aktualität der Telefonanlage müssen zwischen Anschlussdose und Telefonanlage noch Adapter installiert werden. Ist die Telefonanlage schon zum Amt hin IP-fähig, kann diese direkt angebunden werden.

An der Telefonanlage können dann Faxgeräte, Analog- und Systemtelefone wie bisher weiter genutzt werden. (Letzte Revision: 12.05.2017 16:36:37) (Post ID:253)

Sicherheit

WannaCry-Verschlüsselungs-Trojaner bei der Arbeit

Er legt rund 200.000 Systeme in knapp 100 Ländern lahm. Auch wenn die initiale Infektion durch Klick eines Anwenders auch diesen Trojaner gestartet hat, reicht für den ganzen Rest des jeweiligen Firmen-Netzwerk die Tatsache aus, dass aktuelle Microsoft-Patches nicht installiert sind.
Diejenigen, die Windows XP verwenden, sind dem Trojaner schutzlos ausgeliefert, da erst am 13. Mai 2017 noch ein Notfall-Patch hierfür ausgeliefert wurde. Windows XP wird ansonsten seit 2014 nicht mehr mit Sicherheitsupdates versorgt, ebenso Server 2003 seit 2015.

Bitte sorgen Sie stets dafür, am 2. Dienstag jeden Monat zeitnah alle Windows Systeme und Software wie Microsoft Office, Adobe Flash, Acrobat Reader, Java auf dem jeweils aktuellsten Stand zu haben.

Es liegt nahe, dass WannaCry nur ein erster Versuch der Angriffswelle war. Mit weiteren Groß-Attacken ist daher jederzeit zu rechnen.
(Letzte Revision: 13.05.2017 11:08:47) (Post ID:349)

SYSKO Signopad

Lieferscheine elektronisch unterzeichnen

und sofort archivieren: Sie kennen das vielleicht schon vom Autovermieter. Den Mietvertrag unterschreiben Sie mit einem Touch-Stift auf einem Gerät auf der Theke elektronisch. Das geht schnell, ist sicher und spart Aufwand.
Wir haben in der Kombination mit gevis ERP | NAV und s.dok eine Lösung geschaffen, bei der der Kunde an der Kasse/Beratertheke den Lieferschein elektronisch unterzeichnet, der unterschriebene Beleg wandert automatisch ins Archivsystem und es erfolgt auf Wunsch nur EIN Ausdruck für den Kunden.

* Sie sparen das einscannen und verschlagworten/Archivieren des unterschriebenen Belegs.
* Die Unterschrift ist eine fortgeschrittene Signatur und damit rechtsverbindlich

Sie benötigen nur pro Platz die an USB angeschlossene Signatur-Hardware #Signopad einen vorhandenen Windows 64-Bit Kassen-PC (mindestens Windows 7 Professional SP1, Windows 10 empfohlen), Softwarelizenz der Signatursoftware und den Einrichtungsaufwand für Hard/Softwareinstallation und Implementierung des Workflows.

Bei Fragen wenden Sie sich bitte vertrauensvoll an meinen Kollegen Erhard Hautermann (0251 7000 3997). (Letzte Revision: 08.05.2017 12:58:59) (Post ID:348)

Windows

Microsoft Updatezyklus für Feature Upgrades neu definiert

Ab sofort werden Upgrade-Releases von Windows 10 und Office 365 immer Ende März und Ende September fertig. Die Bezeichnung der jeweiligen Version ist dann beispielsweise: 1703 oder 1709. Diese Release-Versionen werden dann meist mit dem ersten Dienstag des Folgemonats veröffentlicht – also im April oder Oktober.
Upgrades enthalten immer neue Funktionen oder weiterentwickelte Features.

Derzeit aktuell sind im sogenannten „Current Branch“ die Versionen:
* Windows 10 1703 (build 15063)
* Office 365 1703 (build 7967.2139

Beim Office ist Microsoft nun wieder in der Spur, nachdem man kurzzeitig build 7967.2131 zurückgezogen hatte.

Aus dem bisher bekannten 1 Patchday pro Monat sind nun 2 geworden:
* 2. Dienstag im Monat: Sicherheitskritische Patches
* 4. Dienstag im Monat: Fehlerkorrekturen bestehender Funktionen (Post ID:347)

Windows Creators

Windows 10 Sperrbildschirm

lässt sich wieder deaktivieren. Microsoft führt mit dem Update 250 beim #Creators-Upgrade endlich wieder den Sperrbildschirm-Ausschalter ein. Er lässt sich nun wieder über eine Gruppenrichtlinie oder einen Registrierungseintrag abschalten.

Nachdem man diese Funktion seit dem Juli 2016 Upgrade nur noch in der Enterprise Version für 6 ? Pro User und Monat mieten könnte und sich tausende Anwender und Administratoren darüber beschwert hatten, hat Microsoft nun zugehört. Danke liebe Microsoft Produkt Manager! (Post ID:346)

Sicherheit

Java planmäßiges Sicherheitsupdate

und Microsoft zieht Office build 7969 zurück: Oracle hat heute das Update 131 für Java Version 8 veröffentlicht. Darin sind wieder zahlreiche Sicherheitslücken geschlossen. Nachdem nun auch Firefox die Browser-Untersützung für Java entfernt hat, lassen sich Java Webanwendungen nur noch mit dem Internet Explorer öffnen. Außerdem muss Java in 32 Bit installiert sein, ansonsten verweigern viele Apps den Dienst.

Nachdem Microsoft vorgestern im Current/RTM Branch den Build 7969 von Office 365 (Click2Run) veröffentlicht hat, sind alle angeschlossenen Systeme etwa einen Tag später wieder auf Build 7820.2038 zurückgesetzt. Derzeit wird in diesem Update-Zweig der letztgenannte Build als aktuell angezeigt. Vermutlich ist Microsoft oder zahlreichen Anwendern mindestens ein Problem aufgefallen und die Veröffentlichung wurde zurückgerufen.

Auf den Microsoft Servern liegt allerdings für die Admin-Downloads noch Build 7969 als Current vor. Bitte die Netzwerk-Installationsfreigabe mal ein paar Tage nicht auf den neuen Build aktualisieren lassen. Dazu muss der Server-Aktualisierungs-Task ein paar Tage gestoppt werden. (Post ID:345)

SYSKO

Rahmenbedingungen (Überblick) in einem Netzwerk

nach GWS-Standard. Aufeinander abgestimmte Hard- und Software, die vielfach im Kundenkreis im Einsatz ist, bringen gute Stabilität und nachvollziehbare Prozesse. Diese Zusammenfassung stellt einen Auszug aus der #Architektur-Broschüre dar. Ausfüllbare Form als Arbeitspapier (Excel) hier

Server-Hardware: Fujitsu Primergy Server

Server-Betriebssystem: Windows Server 2016 (Windows Server 2012 R2)
–> SQL-Server, bi1-Server, Service-Tiers, Batchserver, Domänencontroller, File&Print, s.dok Archiv-Server

Virtualisierungs-Hosts: Microsoft Hyper-V (ab 2012R2) oder vmware vSphere ab 5
–> mehrere Hosts und Storage-System per Glasfaser Anbindung für Hochverfügbarkeit (Cluster)

Storage-System: Fujitsu Eternus oder NetApp

SQL-Server (Datenbanken): Microsoft SQL-Server Standard (oder Runtime) 2016 (2014)
–> gevis ERP | BC, bi1, s.dok, NAV Lohn

Terminalserver: Windows Server 2016 (2012 R2) RDP, zusätzlich optional: Citrix XENapp ab 7.6

Webserver für Webclient: Microsoft IIS 10 (oder 8.5)

PC-Hardware: Fujitsu Esprimo Business PCs, lenovo Tiny-PC M700

Notebook/TaBLET 2in1: Fujitsu Lifebook E/S Serie und lenovo Thinkpad Yoga 460

Windows Clients (Fat Client): Windows 10 Pro (Windows 7 SP1 Professional mit eingeschränkter Funktionalität)

Thin Clients für Terminalbetrieb: IGEL UD3 (mit Linux, 2GB RAM, guter Grafikleistung)

Firewall: Managed | Firewall powered by Barracuda Networks

Monitoring: Managed | Monitoring powered by PRTG

PC-Kassen Hardware: lenovo Tiny M700 ? Kompakt PC mit hoher Leistung
–> Bildschirm ohne Touch
–> Bildschirm mit Touchscreen

Barcode-Scanner drahtlos: Honeywell 1202 ? Kabelloser Lasercanner mit Kondensator statt Akku
–> HP Wireless Barcode Scanner – Barcode und QR-Code Scanner, Bluetooth mit Akku

Barcode-Scanner kabelgebunden: HP Imaging Barcode Scanner

Unterschriften-Tablet: signotec Omega color ? Lieferscheine elektronisch unterzeichnen

Ergonomie am Kassen-Arbeitsplatz: SPACEPOLE – Halterungen für Kassen-Peripherie, Bondrucker, Kundendisplay, EC-Cash-Gerät und Bildschirm

MDE-Geräte: Datalogic Scorpio X3

Bondrucker: Epson TM88 Serie

Etiketten-Drucker: Toshiba TEC SA4TP

Lieferschein/Rechnungsdrucker A4 Laserdrucker von Hewlett Packard oder Kyocera

Mehr Details zu allen Themen sind in der genannten Architektur-Broschüre (hier aufrufbar) nachzulesen.

(Letzte Revision: 10.04.2017 11:29:45) (Post ID:339)

Software

Bildschirm-Recorder, die Dritte

Nun gibt es endlich doch wieder ein GPL-lizensiertes Open Source Projekt, das Bild und Ton einer Bildschirmsitzung aufzeichnet. Format ist MP4 mit AAC-Audio, also ohne Konvertierung Youtube Channel tauglich und in Webseiten mit HTML5 direkt integrierbar. Videos können auf Wunsch direkt hochgeladen werden.
Die Oberfläche des Werkzeugs ist leistungsfähig und dennoch übersichtlich. Es müssen keine zusätzlichen Treiber oder Codecs installiert werden. Ausserdem ist dieses Projekt noch aktiv.
Neben dem #Screen-Recording unterstützt das Programm Bildschirmfotos mit Hotkey (ähnlich wie Greenshot) inklusive der Nachbearbeitung (z.B. Verpixeln) .
Nach ersten Tests ist dies nun das beste Werkzeug für Bildschirm-Aufnahmen (Screenshots und Video) (Letzte Revision: 26.03.2017 14:30:41) (Post ID:341)

Windows

Windows 10 Creators-Upgrade

am 11. April erfordert Neu-Installation. Microsoft erklärte in einer Pressemeldung, dass die Inplace-Upgrades der vergangenen Versionen von Windows 10 eine Vielzahl von Problemen bereitet hatten.
Daher habe man sich entschlossen, die weltweiten Windows 10 User auf eine „saubere“ Installation zu zwingen. Satya Natella, der Vorstandsvorsitzende von Microsoft erklärte, dies sei die einzige Möglichkeit, Struktur in rund 2 Milliarden Installationen zu bringen und daher notwendig.

Innerhalb von 4 Monaten müssen Windows 10 Kunden (Home und Pro Editionen) auf die jeweils aktuelle Version von Windows 10 upgraden (Current Branch Upgrade). Für die Administratoren bedeutet das beim Creators-Upgrade einen Mehraufwand, da sie alle Daten auf den PCs erst sichern müssen, dann eine „Clean Installation“ durchführen und Daten und Programme danach wieder installieren.

Vorteil der Aktion: Die Systeme laufen danach deutlich stabiler und schneller als bei vorigen Versionen.
Alternative: Für rund 6? Im Monat pro Benutzer können Sie Windows 10 Enterprise mieten und aus einer Pro Edition von Windows 10 eine Enterprise Version machen. Hier gibt es rund 70 Gruppenrichtlinien mehr und bei Einsatz der LTSB-Version können Sie bis 10 Jahre bei der Version bleiben und erhalten nur Sicherheits-Updates. (Letzte Revision: 01.04.2017 11:11:22)
Update: Gestern war bekanntlich der erste #April und damit fällt dieser Artikel natürlich unter Aprilscherze. (Post ID:343)

Software RDP

mRemote NG lebt wieder – Clipboard

Das beliebte Werkzeug zum Verwalten von #RDP Sitzungen, VNC, SSH, HTTP Verbindungen wird nun weiterentwickelt. Auf Github ist der aktuelle Quellcode zu finden und die Portable Version (alternativ auch ein MSI Installer) auf der Website mremoteng.org zu finden. Außer das das Werkzeug im Gegensatz zum Microsoft Remote Desktop Connection Manager, keine Voransichten (Thumbnails) der verbundenen Server liefert, sondern die Server auf TABs abbildet, ist das Werkzeug eine interessante Alternative zum ebenfalls kostenlosen Microsoft Tool. (Post ID:342)

Sicherheit

Kaspersky unterstützt das Windows 10 Creators-Upgrade

(Redstone 2) mit der aktuellen Version seines Virenscanners. Anders als bei vorangegangenen Upgrade des Microsoft Betriebssystems soll es dieses Mal keine Probleme geben und man muss keinen Patch einspielen, bevor man das Upgrade durchführt.

Zitat: „Latest Kaspersky Endpoint Security 10 SP1 MR3 version supports Windows 10 Creators Update (Redstone 2, Global availability ? April, 2017)“.
Coming versions of Kaspersky Endpoint Security 10 with Windows 10 Creators Update (Redstone 2):
Kaspersky Endpoint Security 10 SP2 for Windows ? April, 2017.
Quelle: Kaspersky Supportseiten. (Post ID:340)

Windows Creators

Windows 10 Build 15063

soll laut Microsoft Insider Team der finale Build für das #Creators-Upgrade sein. Kleinere bugs werden in den nächsten Tagen noch behoben, ab nächster Woche soll die offizielle ISO für Partner und PC-Hersteller zur Verfügung stehen. Der Veröffentlichungs-Termin wurde auf den 11. April verschoben (nach dem April-Patchday von Microsoft).
Das Creators Upgrade ist die dritte Version von Windows 10 und enthält insbesondere im Update-Verfahren deutliche Verbesserungen (ein kleineres Differenzpaket statt kumulativem Update monatlich). Windows Update prüft dabei, welchen Updatestand der PC hat und stellt live das passende Paket zum Download zusammen. (Post ID:338)

Sicherheit

Crypto Trojaner können jetzt auch Gruppenrichtlinien erstellen

Daher ist es für die Administratoren dringend notwendig, die Berechtigungen auf Gruppenrichtlinien unternehmensweit zu überprüfen. Ab Werk sind dort nur Domänen-Admins und Enterprise-Admins mit Schreibrechten ausgestattet. Aktuelle Sicherheitsprüfungen ergeben aber vereinzelt, dass auch andere Gruppen dort Schreibrechte haben – oder – noch schlimmer, Benutzer Adminrechte in der Domäne haben.

Aktuelle Verschlüsselungs Trojaner können Gruppenrichtlinien erstellen oder schreiben in die „Default Domain Policy – DDP). Dadurch können sie sich bei jedem Login eines Mitarbeiters im Netzwerk verbreiten und infizieren nach und nach alle PCs. Dabei werden wie von Locky schon bekannt, von dort aus alle Daten verschlüsselt, auf die der Benutzer Zugriff hat.

Davon ist dann auch der Administrator betroffen (auch dieser meldet sich ja an der Domäne an und zieht die Default Domain Richtlinie). Sobald dieser betroffen ist, sind alle Dateien verschlüsselt und nicht nur diejenigen, wo normale Benutzer Schreibrechte haben.

Tipp: Prüfen Sie in der Gruppenrichtlinien-Verwaltung in den Eigenschaften jedes GPO-Objekts, wer dort mehr als Lesezugriff hat. (Post ID:337)

Pflichtfeld	(Pflichtfeld: kann nicht abgewählt werden. Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche ermöglichen. Die Webseite kann ohne diese Cookies nicht funktionieren. )
Komfort	(Optional: Komfort-Cookies ermöglichen unserer Webseite, sich an Informationen zu erinnern, wie sich die Seite verhält, z. B. dass Sie bereits für eine Umfrage oder einen Termin abgestimmt haben.)