Security Information and Event Management

Das "Security Information and Event Management", kurz #SIEM sammelt sicherheitsrelevante Vorkommnisse und Ereignisse auf, konsolidiert sie und stelle sie in Auswertungen zusammen. Bei Bedarf können je nach Produkt und Geldbeutel Alarme generiert oder auch automatische Aktionen eingeleitet werden.

Es gibt zahlreiche Anbieter von SIEM Lösungen für On-Premises Betrieb. Die Preise sind Premium, weil bisher nur große Konzerne oder Banken und Rechenzentralen SIEM einsetzen.

https://www.computerwoche.de/a/die-besten-siem-tools,3551487

Server in der #Azure IaaS Cloud - Für alle. die statt Hardware-Servern in die Azure IaaS Cloud wechseln oder bereits signiert sind, gibt es von Microsoft eine SIEM-Cloudlösung in Azure.

Da wir zu dem Thema aber so gut wie keine Anfragen bekommen (haben), leisten wir für diese Module auch keinen Support und es benötigt eine gewisse kritische Masse (Kundenzahl), um hier zu investieren.

https://azure.microsoft.com/de-de/pricing/details/azure-sentinel/

Fazit: Wir bieten keine SIEM-Lösungen für On-Prem-Betrieb an. Für Azure IaaS wäre der Vertrieb eines Azure Moduls möglich (reiner CSP-Vertrieb), wir leisten aber keinen Support und keine Dienstleistungen zur Einrichtung.

Azure und Onlinedienste - Backup Fakten

#Wichtig - nach dem totalen Datenverlust eines norwegischen Cloud-Anbieters, hier die Fakten, was und wie bei Microsoft in ISO-zertifizierten Rechenzentren gesichert wird:

• SaaS: (z.B. gevis SaaS, ECM (Archiv) SaaS, BI1 SaaS) - Microsoft bzw. AWS führt einmal täglich einen Snapshot der Datenbanken aus. Dieser wird 30 Tage vorgehalten.
• IaaS: virtuelle Server, die Sie bei Microsoft in Azure betreiben, sind standardmäßig mit 1 Snapshot aller VMs pro Tag, 14 Tage lang und 10 Jahressicherungen gesichert. Wer mehr möchte, kann Wochen und Monatssicherungen zusätzlich mieten
• Online-Dienste: Exchange online, Sharepoint online, Teams, Onedrive für Business werden nicht gesichert. Diese Dienste verfügen nur über einen Papierkorb, der 30 Tage Datenrestauration (allerdings auch nur für Onedrive und Exchange Postfächer, nicht für Teams Chats und Teams Einstellungen). Wir empfehlen für die Sicherung dieser Dienste den Onlinedienst "Artikel A0002613 ConnectWise Full Cloud Backup".
• Mailarchiv: In den Microsoft 365 Business Premium Plänen ist ein Mailarchiv enthalten, das eingerichtet werden kann. Alternativ ein Drittprodukte mit Ihrem Dienstleister einsetzen - z.B. Mailstore als Onlinedienst.

Wir haben für Sie typische Fragen (und Antworten) zur #Datensicherung in der #Microsoft #Azure IaaS Cloud in dieser #FAQ zusammengefasst:

[faq]Was wird über Azure Backup gesichert?|=|Azure Backup macht sogenannte Snapshots von allen in Azure IaaS angelegten und zur Sicherung ausgewiesenen Servern. Hierbei wird die gesamte Windows oder Linux-Maschine mit allen Inhalten, Betriebssystem und Daten (Storage) komplett gesichert. Liegen auf einer Dateifreigabe die Dokumente (aka. Laufwerke P:, Q:, R:, S:), werden diese mitgesichert.
||Wie werden Daten in Azure Backup verschlüsselt?|=|Azure Backup verschlüsselt alle Ihre gesicherten Daten automatisch, wenn sie in der Cloud mit Azure Storage-Verschlüsselung gespeichert werden. Dies hilft Ihnen, Ihre Sicherheits- und Complianceverpflichtungen zu erfüllen. Ruhende Daten werden mit der AES-256-Verschlüsselung verschlüsselt (einer der stärksten verfügbaren Blockchiffren, die mit dem FIPS 140-2-Standard konform ist). Zusätzlich werden alle Ihre Sicherungsdaten während der Übertragung über HTTPS übertragen. Sie bleiben immer im Azure-Backbone-Netzwerk.
||Wieviele Backups der Datensicherung werden erstellt (Generationen)?|=| Die empfohlene Standardeinstellung (und Best-Practice) ist:

• [X] 14 Tages Sicherungen (1 x pro Tag)
• keine 5 Wochen Sicherungen (da deutlich teurer)
• keine 12 Monats-Sicherungen (da deutlich teurer)
• [X] 10 Jahres-Sicherungen

Hierbei ist entscheidend, dass Daten und Datenbanken, die älter als 14 Tage sind, keinen nennenswerten wirtschaftlichen Vorteil bieten. Für die Langzeitsicherung wird 1x pro Jahr eine Sicherung für 10 Jahre aufbewahrt.
||Wo wird die Datensicherung gespeichert (an anderen Orten oder anderer Cloud)?|=|Aus wirtschaftlichen Überlegungen (GRC ist mind. doppelt so teuer) ist die Datensicherung als LRC gebucht, d.h. sie findet am Standort des gewählten Rechenzentrums (Frankfurt, Berlin, Dublin, Amsterdam) statt.||Ist die Datensicherung gegen Eventualitäten eines Ransomware-Angriffs vorbereitet?|=| Hierzu gibt es eine Liste von Empfehlungen von Microsoft. Ob diese von den Syskos auch eingesetzt werden, muss dieser selbst prüfen.
||Kann ich die gevis Datenbank zusätzlich Offline-Sicherung On-Premises erstellen?|=|Rechnen Sie die Datenmenge des SQL-Backup-Ordners und teilen sie durch Ihren Downstream Ihrer Internet-Leitung. Wenn die benötigte Zeit ausreicht, könnten Sie ein NAS z.B. von Synology bei sich aufstellen und über den integrierten Mechanismus den Ordner darauf kopieren. Zusätzlich - wegen notwendiger OFFLINE-Sicherungen müssen regelmäßig auf an das NAS angeschlossene USB-Platten Sicherungskopien erstellt werden, die dann an einem anderen Ort gelagert werden.
||Wie kann ein Wiederherstellungstest durchgeführt werden?|=|Das BSI schreibt regelmäßige Rücksicherungstests vor. Best practice ist hierbei 1x pro Monat. Analog zum Datensicherungs-Band-Check (On-Premises) bieten wir auch für das Azure Backup Rücksicherungsprüfungen an. Der Bestellschein kann hier heruntergeladen werden.
||Wie werden Daten aus Teams, Sharepoint, Exchange online und Onedrive for Business gesichert?|=|Wenn Sie keine optional anzumietenden Lösungen wie Connectwise Full Backup einsetzen, werden diese Dokumente und Daten nicht gesichert. Über de Papierkorb-Funktion der Onlinedienste lassen sich Dokumente nur max. 30 Tage restaurieren. Wird der Papierkorb gelöscht, sind die Dokumente fort. Mit dem Einsatz von Connectwise Full Backup werden mehrere Snapshots der Dokumente am Rechenzentrum des Connectwise Onlinedienstes gesichert.
||Wie werden E-Mails archiviert?|=|Nur wenn im Rahmen des Microsoft 365 Business Premium Plans das E-Mail-Archiv auf den Postfächern aktiviert und bei den anderen Plänen lizensiert und aktiviert wird, erfolgt eine Archivierung von E-Mails. Alternativ kann unsere Archivlösung oder ein Barracuda Mailarchiv lizensiert und eingerichtet werden. Fremdarchiv-Onlinedienste sind ebenfalls denkbar, müssen aber vom Anbieter eingerichtet werden.[/faq]

Rechner: Download-Speed

Mit diesem #Werkzeug können Sie errechnen, wie lange es dauert, um bei bestimmter Leitungs-Bandbreite eine Datei hoch- oder herunterzuladen. Die Upload-Werte bei asymmetrischen Leitungen stehen in Klammern (*U). Berechnen Sie die #Übertragungszeit für Ihre Datensicherung z.B. nach #Azure in die Cloud.

Print Nightmare außerplanmäßiges Update

Nachdem mit dem November-Patch zu den bestehenden #Print-Nightmare Fehlern noch Kerberos Authentifizierungsprobleme an Domänen-Controllern auftraten, hat #Microsoft nun einen außerplanmäßigen Patch bereitgestellt. Dieser wird allerdings nicht automatisch an alle Endgeräte und Server verteilt, sondern muss von den Admins von Hand installiert werden. Damit sollen auch bei installiertem November-Patch diese beiden Probleme gelöst sein.

• Update KB5008602 (Microsoft Update Catalog): Windows Server 2019 (und Windows 10 Enterprise 2019 LTSC)
• Update KB5008601 (Microsoft Update Catalog): Windows Server 2016 (und Windows 10 Version 1607)
• Update KB5008603 (Microsoft Update Catalog): Windows Server 2012 R2
• Update KB5008605 (Microsoft Update Catalog): Windows Server 2008 R2

Quelle: Microsoft Security Bulletins

Bemerkenswert ist, dass es auch ein Update für den seit Januar 2020 nicht mehr unterstützten Server 2008 R2 gibt. Davon ungeachtet sollten Sie jedoch diese alten Server möglichst schnell migrieren - am Besten nach #Azure, wo derzeit Windows Server 2019 verbreitet ist. Aufgrund der Lizensierung per Miete, können zukünftig aber (Inplace-Upgrade) ohne Lizenzen neu kaufen zu müssen, Server auf Windows Server 2022 oder neuer gebracht werden - sollte dies eine Software benötigen.

IT-Strategie und Windows 11 vereinbar?

Admins, die mehrheitlich diese Tätigkeit als Nebenaufgabe ausführen (neben ihrer Haupttätigkeit als Buchhalter, Verkäufer, Einkäufer, Geschäftsführer…) haben das Ziel, eine möglichst homogene IT-Umgebung in ihrem Unternehmen einzusetzen. Die Motivationen sind unterschiedlich.

• Geschäftsführer wollen das Haftungsrisiko reduzieren
• Die operativen Mitarbeiter, die auch IT-Support machen, müssen den Aufwand reduzieren

Homogenisierung

Bis heute konnte man relativ einfach auf das Ziel hinarbeiten, ohne größere Einmal-Investitionen zu tätigen:

• Windows 7 (Professional) Rechner (Core i5 mit 4 oder 8 GB RAM) mit kleinen SSDs ausstatten und unter Einsatz des aufgedruckten Lizenzschlüssels auf Windows 10 Pro bringen. Nach Datenübernahme konnten die Festplatten ausgebaut werden
• Statt Neukauf von Servern:
  • Windows #Server in die Azure Cloud (Microsoft Deutschland) verlagern
  • Mailserver auf Exchange online und Office auf Business Premium Plan umstellen
  • Lokale Software auf #Azure Virtual Desktop migrieren (eigener Windows 10 Umgebung in Azure) via RDP
• Statt Ersatzkauf von defekten PCs: Thin-Client IGEL UD3 ab Firmware 11.3 anschaffen
• Neu anzuschaffende Notebooks und Tablets haben ebenfalls Windows 10 Pro
• Wenn man nicht selbst Updates und Sicherheitspatches installieren möchte, kann man die Aufgabe über Care-Packs an den IT-Dienstleister auslagern

Fazit: Das gesamte Netzwerk (die Domäne) lässt sich zentral verwalten. Viel wichtiger: Anwender (und Admins) arbeiten mit einem einheitlichen Erscheinungsbild (Startmenü, Windows Umgebung)

Was bewirkt Windows 11?

Ab 05. Oktober 2021 werden neue PCs mit Windows 11 #Win11 #Eleven ausgeliefert.

Bestehende PCs, Notebooks, Ultrabooks lassen sich nur aktualisieren, wenn sie jünger als drei Jahre sind und über einen TPM 2.0 Chip verfügen (nicht alle Business PCs, die in den letzten Jahren verkauft wurden, haben diesen Chip). Außerdem wurde die Speicheranforderung auf mindestens 4GB RAM erhöht. 99% aller PCs, die mit 4GB RAM ausgestattet sind, haben aber einen Grafik-Chip, der mindestens 128 GB RAM vom Speicher verwendet. Diese Systeme haben demnach nur 3,9 GB RAM für Windows verfügbar und scheitern so.

Die Oberfläche, Startmenü, Taskleiste sehen anders aus und sind anders zu bedienen. An vielen Stellen sind mehr Mausklicks notwendig, um den gewünschten Menüpunkt zu erreichen:

• Das Kontextmenü erhält Untermenüs, in dem weitere Menüpunkte versteckt sind.
• Netzwerk und Soundeinstellungen sind in einem Menü zusammengefasst, Netzwerkwechsel erfordert zusätzliche Mausklicks, ebenso wie Soundeinstellungen
• Die Taskleiste erlaubt nicht mehr, den Anwendungs/Dokumententitel anzuzeigen (Gruppieren, bis Taskleiste voll). Hat man drei Exceltabellen geöffnet, muss man erst mit der Maus auf das Gruppen-Symbol fahren und dann in den Popup-Vorschaubildern mit einer Lupe interpretieren, welches Dokument man ins Bild haben möchte.
• Im Startmenü kann man die Kachelgöße nicht verändern. Auch die Größe des Startmenüs ist fix. Stattdessen gibt es mehrere Unterseiten, auf denen jeweils 20 Programmverknüpfungen zu sehen sind.
  • Livekacheln fehlen, stattdessen gibt es nur einen vom Startmenü getrennten Widgets-Bereich mit fester Größe, der mit der Maus oder mit Windows-W (also mindestens 2Tasten) und nicht über den Startknopf gestartet werden kann. Die Widgets lassen sich nicht ins Startmenü integrieren
  • Alle Apps werden nicht als Scoll-Liste links neben den Verknüpfungen angezeigt, sondern müssen über einen zusätzlichen Klick aufgerufen werden
  • Die untere Hälfte der Fläche im Startmenu ist ungenutzt, wenn man den Dokumentverlauf abschaltet

Einheitliche Zukunfts-Strategie

Eine IT-Strategie mit einheitlicher Oberfläche (User Interface) lässt sich nur dann erreichen, wenn die PC-Hersteller (in unserem Dunstkreis Fujitsu und lenovo) neue Business-PCs und Business-Notebooks wahlweise mit Windows 10 Pro anbieten und/oder mit der ausgelieferten Windows 11 Pro OEM-Lizenz auch Windows 10 Pro auf dem Endgerät installiert und aktiviert werden kann und darf. Das ist laut aktuellem Kenntnisstand der Fall.

Das optionale Upgrade auf Windows 11 Pro (sofern aktuelle Hardware ab Core i 8Gen im Einsatz ist und der Anwender auf das angebotene Upgrade klickt) lässt sich über eine Gruppenrichtlinie oder einen Registry Schlüssel verhindern.

Weil selbst der jüngst erschienene Server 2022 LTSC auch die Windows 10 Benutzeroberfläche hat funktioniert die IT-Strategie sowohl unter Einbindung von Microsoft Azure, als auch On-Premises, wenn man bei Windows 10 bleibt.

On-Premises erhalten Endgeräte mit Windows 10 Sicherheitsupdates bis Oktober 2025, ebenso Server 2016. Neuere Server (inklusive Version 2022 LTSC ebenfalls für 10 Jahre)

Bei Microsoft Azure (Azure Virtual Desktop) kommt für die Windows 10 Plattform die LTSC Version 2019 zum Einsatz, die bis Ende 2029 Sicherheitsupdates bekommt.

Server in Azure (IaaS) bekommen (Azure Server 2019) ebenfalls 10 Jahre Updates.

Fazit

• Clients (wenn noch nicht geschehen) auf Windows 10 Pro und SSD hochrüsten
• Neuanschaffungen von Clients/Hardware-Ersatz-Invest:
  • Neue Thin Clients IGEL UD3 einsetzen (Wenn Azure Virtual Desktop genutzt)
  • Notebooks/Ultrabooks (oder auch Rechner) neukaufen und (wenn verfügbar) Downgraderecht auf Windows 10 Pro für Neuinstallation nutzen
• Ersatzinvest für Server: Microsoft Azure (IaaS) Ressourcen anmieten, keine hohe Einmalinvest, lange Zeit Sicherheitspatches verfügbar
• Ersatzinvest für Office und Exchange Server: Microsoft 365 Business Premium mieten

Cloud-Server und optimale Clients und Peripherie

Während in den meisten Fällen statt der Anschaffung neuer Server-Hardware auf die #Azure #Cloud gesetzt wird (IaaS - der Admin hat weiterhin Domänen-Adminrechte, SaaS - Dienst aus der Cloud ohne Admin-Zugriff auf Server), bekommen die Clients eine besondere Bedeutung. Wir haben im Artikel #Kassenschlager bereits darüber berichtet.

Das gilt insbesondere für die Peripherie. Sie sollte robust, alltagstauglich und ergonomisch sein. Darüber hinaus bleibt der Windows 10 (Pro) Rechner die Plattform mit der größten Flexibilität an einzusetzender Software und Peripherie.
Setzt man auf Thin Clients (beispielsweise IGEL UD3), muss man auf viele Peripheriegeräte und Programme verzichten. Außerdem eignen sich nur die teuren Modell für Mehrbildschirmbetrieb und flüssige Bilddarstellung. Angeschlossene #Peripherie muss durch das auf dem Gerät installierte Linux Betriebssystem nach Windows umgeleitet werden. Das funktioniert schlechter als bei nativem Windows 10.

Möchte man in der Cloud "Azure Virtual Desktop" einsetzen, verlagern sich zwar viele Programme in den virtuellen Rechner im Cloud-Dienst, es wird aber weiterhin Geräte geben, wie mit dem lokalen Windows betrieben werden. Erforderliche Peripherie, die immer ein Windows 10 brauchen, sind unter anderem:

• Chipkarten-Leser (LKW-OBUs, Fahrerkarten).
• NFC Lesegeräte (E-Perso-Ausweisapp).
• Smartphones (Meine Smartphone App).
• MDE-Geräte (insbesondere im Offline-Betrieb zum Entladen der Daten über die Dockingstation).
• Online-Waagen.
• Notfall-Arbeitsplätze (Notbetrieb ohne Netzwerk möglich).
• Unterschriften-Pads (Signopads) für Lieferscheine.
• Dokumenten Scanner für das Archiv (USB-Scanner).
• lokal genutzte Drucker ohne Netzwerk-Interface.

Peripherie-Empfehlungen

• Ultrabook-Tablet: lenovo ThinkPad X13 Yoga GenX (Intel) - 13,3 Zoll, Ultrabook, tablet, mobil, Core Ultra5.
• Notebook (kostengünstig): lenovo ThinkPad L15 (Intel) - 15,6 Zoll, Notebook, Core Ultra5.
• PC (platzsparend): lenovo Thinkcentre Tiny M72Q (Intel) Serie - Core i5.
• Monitore: 24 oder 27 Zoll IIyama B-Serie - Business, Pivot, Standfuß verstellbar.
• Tastatur: Fujitsu KB 955 (Mit Sondertasten speziell für Audio und Teams).
• Maus: Microsoft Ergonomic Mouse (kabelgebunden, USB).
• Headset: Jabra Evolve 65 (oder 75 mit Hardware-Geräuschunterdrückung) - Bluetooth, für Telefonie, Handy, Teams mit Multi-Pairing.
• Freisprech- oder Konferenzlautsprecher: Jabra Speak2 75 (Bluetooth oder USB), auch für Einzelplatz-Umgebungen geeignet, wenn keine weiteren Personen im Raum sind)
• Webcam: Meist ist die Webcam im Notebook nur 720p (also kein Full-HD, an einer nicht optimalen Position im Notebook und nicht hintergrundbeleuchtet) - VITADE 980A (Full-HD 1080p/60fps, Stereo Raummikro mit ANR, Ringlicht LED 3 Stufen).

Cloud Computing für klein und groß

Dass der Betrieb von Servern in eigenen Räumlichkeiten und die bei Veränderungen und Garantie-Ablauf verbundene #Hardware Ersatz-Investition nicht mehr zeitgemäß und nicht zukunftsweisend ist, hat aktuell auch die deutsche Bahn bewiesen. Das Unternehmen hat auf #IaaS gesetzt und alle Server in den eigenen Rechenzentren abgeschaltet.
[Quelle: Westfälische Rundschau vom 29.10.2020, Funke Mediengruppe]

Bemerkenswert ist, dass die Umstellung im Gegensatz zu vielen Großprojekten bereits zwei Jahre vor dem geplanten Ende abgeschlossen ist. Als Zielplattform hat man dabei auf Microsoft #Azure gesetzt (und weil die Bahn so groß ist, auch Server im AWS Rechenzentrum angemietet.

Wir erkennen derzeit auch im klein- und mittelständischen Kundenumfeld die gleiche Tendenz. Spätestens mit Ablauf der Garantie oder mit Einführung neuer Software muss neu investiert werden - meist im hohen 5-stelligen Bereich. Nahezu jeder Kunde entscheidet sich bei Garantie-Ende seiner Server für die IaaS Lösung. Aus Datenschutz-Gründen werden die Rechenzentren in Frankfurt und bei Berlin bevorzugt, denn die dort betriebenen Windows-Server (für Domänencontroller Dienste, SQL,Service-Tiers, File, Print, s.dok/s.scan Archiv), stehen auf deutschem Grund und Boden. [Anmerkung: Software as-a-Service Dienste (SaaS) können Querschnittsfunktionen wie Azure-AD von Servern in den US&A bereitstellen, laut Datenschutzerklärung von Microsoft liegen aber die Daten und Dokumente im EU-Raum oder Deutschland]

Weil die BSI-Empfehlungen zu eigenen Serverräumen mittlerweile Pflichtprogramm sind und verschärft wurden, muss in vielen Fällen baulich nachgerüstet oder gar ein Serverraum gebaut werden.

Der Cloud Readiness Check ermittelt und entdeckt die zu erfüllenden Maßgaben und ermittelt, welche voraussichtliche und Cloud-Optimierte Serverumgebung in Azure gemietet werden kann, um einen skalierbaren, performanten und bedarfsgerechten IT-Betrieb zu gewährleisten.

Azure Windows virtual Desktop meist günstiger als Terminalserver

Wer keine neue Server #Hardware kaufen und BSI konform im eigenen Haus betreiben möchte, kann die benötigte Hardware und das Drumherum bei Microsoft mieten. Die Plattform heißt: Microsoft Azure.

RDS- oder Terminalserver (bzw. Citrix-) Farm

Bisher hat man dazu entweder schon Terminalserver eingesetzt oder eingeführt, damit der Zugriff auf die per Internet-VPN erreichbaren Dienste auch bei schwächeren Leitungen performant bedienbar waren. In #Azure (bzw. bei aktuellen Betriebssystemversionen spricht man von RDS (Remote Desktop) Diensten.
Zum Betrieb der Dienste muss man also einen oder mehrere Windows Server mit RDS Diensten anmieten. Über einen Session Broker erfolgte die Verteilung der Sessions. Als Betriebssystem kommt ein Multi-Session fähiges Windows Server Betriebssystem zum Einsatz (das ebenfalls monatlich bezahlt werden muss). Zusätzlich wird pro User eine Remote Desktop Zugriffslizenz benötigt - beim Betrieb unter Azure mit Software-Assurance.
Alternativ kann man eine VDI Infrastruktur aufbauen und Windows Desktop-Betriebssysteme virtuell vom Server betreiben oder streamen, die aber wiederum eine Software-Assurance über ALLE Lizenzen erfordert.

AVD oder Azure virtual desktop

Der Azure Virtual Desktop Service wird hierbei aus der Cloud bezogen und ausgeführt. Der Administrator lizensiert und konfiguriert einen sogenannten #AVD Pool und gibt wie üblich die Nutzungszeit (Stunden pro Monat) an. Für Arbeiten außerhalb der Kernzeit kann ebenfalls eine Anzahl von Maschinen bereitgestellt werden. Um die notwendige Hardware dahinter kümmert sich Microsoft. Man mietet also keine drei Terminalserver an, sondern z. B. 40 WVDs.
Azure stellt Windows 10 Business oder Enterprise (Multisession, das gibt es nur in Azure) zur Verfügung. Der Zugriff erfolgt über das RDP Protokoll.

Der Administrator muss also - wie bei Terminalservern, die Software für alle Clients - wie beim Terminalserver pro Pool nur einmal installieren. Außerdem spart man die RDP-Zugriffslizenzen ein. Die Lizenz für das verwendete Betriebssystem muss über einen passenden Microsoft 365 Plan bereit gestellt werden.

Voraussetzungen

Damit das Ganze funktioniert, werden folgende Dinge benötigt:

• Ein Microsoft Azure Mandant (Tenant) für das Unternehmen
• für jeden User (der Office Programme und ein Exchange online Posftfach hat) eine Microsoft 365 Business Premium Lizenz (enthält Exchange Online Postfach, Office, erweiterten Virenschutz, 2-Faktor-Authentifizierung und mehr)
• Für Benutzer, die keine Office-Programme UND kein Postfach nutzen, kann statt Business Premium ein Windows 10 Enterprise E3 Plan gemietet werden. Dieser enthält die Betriebssystemlizenz für den virtuellen Desktop.
• Office muss eingerichtet sein und das Active Directory mit dem Azure-AD synchronisiert
• Ein Windows Virtual Desktop Pool muss in Azure lizensiert (gemietet) und konfiguriert werden. Hat man mehrere Anwendungsszenarien, legt man mehrere Pools an (Beispiel: Desktops mit Office Nutzung und Desktops ohne
• Andere Azure Server für die restliche Infrastruktur (DC, Print, File, SQL, Service Tiers, Archivserver ...)

Zugriff von überall

Ähnlich wie Exchange online sind #WVD Desktops von überall im Internet erreichbar. Die notwendigen Gatewaydienste stellt Microsoft zur Verfügung.
Zur Absicherung (Mehr-Faktor-Authentifizierung) kann (nur für die User mit Premium Lizenz) die Microsoft Authenticator App benutzt werden. Alternativ kann (und wird in den meisten Umgebungen) die Azure vpn Einwahl zusätzlich genutzt.

Kostenbetrachtung 40 User Beispiel, Listenpreise

Wer ohnehin Microsoft Office und ein Exchange Postfach benötigt, für den ist WVW günstiger als der Betrieb von Terminalservern in Azure. Dabei kostet ein Pool für das Rechenbeispiel mit 40 Usern etwa das gleiche, wie ein Terminalserver.

Für 40 User braucht man aber mindestens 2 Terminalserver und für jeden User auch nochmal eine RDP User CAL mit Software Assurance:

* Wenn ein typischer Terminalserver rund 450 € kostet pro Monat (also 2 für die 40 User mit 900 € pm), die RDS-Cal 130 € + 30 € pro Jahr (6.400 € im ersten, 1200€ in den Folgejahren), liegt eine typische WVD-Umgebung etwa bei 550 € pro Monat. (Nur ein Rechenbeispiel. Preisangaben ohne Gewähr. Genaue Details müssen ermittelt werden)

Fazit

WVD ist in vielen Fällen die bessere Lösung. Weil ein WVD Desktop ebenfalls das RDP Protokoll verwendet und eine Multi-User-Umgebung ist, gelten die gleichen technischen Voraussetzungen und Einschränkungen wie bei klassischen Terminalservices.
Vereinzelt (sehr selten) wird es Software geben, die feststellt, dass Multiuser-Betrieb unter Client Betriebssystem stattfindet und nicht funktioniert. In dem Fall sind die Hersteller gefragt - oder aber man setzt doch Terminalserver auf.

Im Rahmen eines Cloud Readiness Checks erhalten Sie ein Konzept zur Realisierbarkeit.

Fotos: Serverräume

Sehen Sie #Fotos von Serverräumen oder Räume, wo Server untergebracht sind. Teilweise kurios oder historisch bedingt. Viele dieser Serverstandorte erfüllen nicht oder nur teilweise die Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik #BSI. Statt einer Hardware-Ersatz-Investition und Bau oder Ausbau von Serverräumen mit ordnungsgemäßem Betrieb einer sicheren Datensicherung ist es überwiegend wirtschaftlicher, die Server bei Microsoft #Azure anzumieten. Der Cloud Readyness Check beurteilt die Voraussetzungen und macht Sie entscheidungsfähig.

[foldergallery folder="wp-content/uploads/bilder/serverhardsvbsi/" title="Serverräume" filmstrip=1 columns=auto width=293 height=200 thumbnails=18 show_thumbnail_captions=1 border=0 padding=0 margin=1]

Datensicherungscheck | s.dat

Auch für #Server in der #Azure Cloud fordern die Prüfer und Verbände und der BSI-Grundschutzkatalog das regelmäßige Rücksichern zu proben und zu dokumentieren. Da wir im Azure-Backup keinen Zugriff auf die Sicherungsmedien haben, laden wir die jeweils aktuelle Sicherungskopie Ihrer gevis Produktivdatenbank auf unseren Server herunter und prüfen durch #Rücksicherung, ob Ihre Datenbank sich wiederherstellen lässt. Sie bekommen wie gewohnt ein Testat darüber, das Sie dem Prüfer gegenüber vorzeigen können. Durch den Auftragsverarbeitungs-Vertrag, den Sie mit uns geschlossen haben, ist das auch datenschutz-konform.

verfügbar als monatliches Abo

Erfahren Sie mehr über die Inhalte dieser Dienstleistung. Sie können das Bestellformular mit Leistungsbeschreibung hier herunterladen:
[ddownload id="3154"]

Seminarinhalte (Auswahl) und Ziele	Datensicherungsprüfung (s.dat) - Eine #Datensicherung erfüllt nur dann die Vorgaben des Gesetzgebers, wenn regelmäßige Rücksicherungen auf einer isolierten und separaten Umgebung durchgeführt und diese Rücksicherungen überprüft werden. Wer das Thema Datensicherung auch nur minimal vernachlässigt, ist im Schadenfall schnell selbst in der Haftung und Versicherungen verweigern die Leistung. Dies ist durch mehrere Gesetze geregelt. Zur Erfüllung der Vorschriften und "damit die Unternehmensleitung ruhig schlafen kann" gibt es Empfehlungen vom Bundesministerium für Sicherheit in der IT und von Prüforganisationen.  Der Aufwand, eine solche Rücksicherung selbst durchzuführen, ist mit finanziellem Aufwand und Personaleinsatz zwar möglich, aber in den meisten Fällen nicht wirtschaftlich. Außerdem ist ein selbst erstelltes Testat über die Datenrücksicherbarkeit nicht revisionssicher.  Sie haben Ihren gevis-Server in der Azure-Cloud? Wir führen regelmäßig Downloads/Rücksicherungen der gevis Produktivdatenbank für Sie durch und dokumentieren das. Server vor Ort? Schicken Sie regelmäßig ein Band (gesichert mit veeam 9 oder neuer, Bandtyp: LTO4 oder größer) an uns zu schicken. Wir lesen das Band auf einem Bandlaufwerk auf ein Speichersystem ein und führen für die zur Überprüfung beauftragten Datenbanken (z.B. gevis, s.dok) eine Überprüfung durch. Die Prüfung der plstore Datensicherung von prologistik kann ebenfalls separat beauftragt werden. Als Ergebnis erhalten Sie ein regelmäßiges Testat, das Ihre Datensicherungsdokumentation den Forderungen der o. g. Organisationen entsprechend durch uns zertifiziert. Entscheiden Sie sich für den 12er-Pack (Überprüfung von 12 Datenbanken) und profitieren Sie von der Regelmäßigkeit und lückenlosen Dokumentation der Rücksicherbarkeit. Der 12er-Pack beinhaltet 12 Datenbanküberprüfungen; nach Abruf des Kontingents wird erneut ein 12er-Pack berechnet, sofern der Kunde nicht bis spätestens 10 Tage nach Abruf der letzten Datenbanksicherung des jeweiligen Pakets kündigt. Bezogene Kontingente werden nicht zurückerstattet. Kündigung jederzeit schriftlich möglich).
Zielgruppe | Max. Tln	Systemkoordinatoren und Geschäftsführer | 0
Voraussetzungen	gevis Server in Microsoft Azure (IaaS) oder bei Server On-Premises: unterstütztes Band und Sicherungs-Software

Schulungsangebote

Im Rahmen der Ausbildung für Systemkoordinierende gibt es Basis- und Pflicht- Schulungen und Module, die aufeinander aufbauen. Erfahren Sie alles über die Schulungen, Testate und Workshops zu den Themen IT-Sicherheit, Microsoft Lizenz-Bilanz, Exchange online und Azure Admin.

Durchführung Remote oder On-Site

Alle Schulungen, Analysen und Testate werden Remote mit Microsoft Teams durchgeführt. Sollten Sie die Durchführung in Ihrem Hause wünschen, wird eine Onsite-Pauschale zusätzlich zu den Fahrt- und Reisekosten erhoben.

Ihre Anmeldung, Prüfungen

[linkbutton link="https://tech-nachrichten.de/anmeldung/" label="Sie können sich hier zu den Veranstaltungen anmelden"]

[linkbutton link="https://tech-nachrichten.de/tag/pruefung/?view=list&cat=0&orderby=title&order=ASC&posts-per-page=32" label="Nutzen Sie auch unser Trainings-Center für Prüfungen"]

Wettbewerbsfähigkeit, IT-Strategie und Ausrichtung

IT-Dokumentation - Im Grundschutzkatalog 200-1 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und im Prüfungsstandard 330 des Instituts der deutschen Wirtschaftsprüfer wird eine detaillierte IT-Dokumentation von Software Hardware und Netzwerk gefordert. Die Dokumentation und die Inventarwerkzeuge dienen zum Einschätzen und Beurteilen von Risiken und der Ableitung von Maßnahmen durch Ihre Systemkoordinierenden.

Cloud Readiness Check | Azure - Wir ermitteln, ob Ihre aktuelle Hardware und Software-Umgebung den Anforderungen der Gesetze genügt und mit der Digitalisierung mithalten kann und erstellen ein Konzept für Sie, wie Sie bestenfalls Ihre IT-Landschaft zukunftsweisend ausrichten. Eine Modellrechnung ermittelt, ob Hardware-Investitionen und statt hoher Einmalkosten das Mietmodell mit Einsatz in deutschen Rechenzentren von Microsoft möglich ist (Machbarkeits-Studie und Vergleichs-Rechnung On-Premises oder #Azure IaaS).

Cloud Readiness Check | SaaS lite - Wenn Ihre IT-Ausrichtung für gevis als SaaS Lösung (gevis ERP | SaaS oder gevis ERP | VEO) implementiert wird, führen wir den Cloud-Readiness Check mit reduziertem Umfang zu einem günstigeren Preis durch. Einige Leistungen des vollumfänglichen Checks entfallen. Die vorhandenen Server werden abgelöst oder in Azure IaaS oder Onlinediensten abgebildet, sofern nötig.

Systemkoordinierenden-Führerschein (Module)

Sysko-Basis-Schulung 2 Tage - erforderlich für alle Kunden, die gevis ERP | BC einführen (IaaS-Cloud oder On-Premises, oder Kunden mit gevis Classic, RTC oder ERP|BC, die neue Sysko-Mitarbeitende ausbilden lassen.

Sysko Aufbauschulung Classic SQL bzw. RTC auf BC - (nur für gevis Classic- (G/R8) mit gevis RTC (NAV2015-2018 oder Business Central bis Version 140) , die auf gevis ERP | BC oder auf gevis ERP | SaaS umstellen und bereits die Basis-Schulung absolviert haben.

oder

Sysko anywhere SaaS 1 Tag - Basisschulung für Kunden, die gevis ERP | VEO, gevis ERP | SaaS einführen.

Testate nach BSI-Standard und Lizenzbilanz

IT-Sicherheitscheck - IT-Dokumentation und Testat nach BSI-Grundschutz-Katalogen 200-1 und 200-2, sowie anteilig nach ISA DE 315 Prüfungsstandard - für #NIS2

Notfallplan und Risiko-Analyse - aufbauend zum IT-Sicherheitscheck erarbeiten wir den Notfallplan mit Risiko-Analyse nach BSI Grundschutzkatalogen 200-3 und 200-4, - für #NIS2

Folge-Audit IT-Sicherheitscheck und Notfallplan - Bei Kombination von IT-Sicherheitscheck und Notfallplan ist das im Nis2UmsCG beschriebene, jährliche Folge-Audit zum Festpreis erhältlich - für #NIS2

Workshop Lizenzaudit 1 Tag - Unterstützung bei Ist-Aufnahme und Abgabe der Lizenzunterlagen bei einem Microsoft Lizenzaudit

Weitere Schulungen

Microsoft Office (365) für Aufsteiger - Anwenderschulung. Erlernen Sie die Möglichkeiten von Microsoft 365 (ehemals Office 365) Umgebungen in Verbindung mit Onedrive, Sharepoint, Teams und Exchange online.

Microsoft 365 Azure Administration Exchange - für Systemkoordinierende. Microsoft 365 Admin-Portal, Exchange online, Teams, Sharepoint, Azure IaaS. Lernen Sie, die Online-Komponenten zu administrieren und die damit verbundenen Aufgaben optimal zu erfüllen.

Windows Unattended Installation - (auf Anfrage) PCs und Notebooks mit einer sauberen und Bereinigten Grundinstallation und Basissoftware versehen

Datensicherungs-Bandprüfung

[ddownload id="3154" style="infobox"]

Schulungen für Mitarbeiter

Technisches Handwerkzeug für Consultants - Schulung im Rahmen des GWS-internen Consulting-Campus für neue Mitarbeiter - nur mit Kennwort erreichbar.