Software Sicherheitsnachrichten

Flash-Player Sicherheitsupdate 20 build 207 schließt bereits ausgenutzte Sicherheitslücken. Für den Internet-Explorer ab Version 10, Microsoft edge und Google Chrome for Business wird das Plugin im Hintergrund automatisch aktualisiert. Eine neue Paint.net Version 4.0.8 ist ebenfalls erschienen, bringt Geschwindigkeits-Optimierungen und Bugfixes und sollte wie folgt paketiert werden: paintdotnet-install.exe /createMsi DESKTOPSHORTCUT=0 Als Resultat gibt es 2 MSI-Dateien. Ich verwende davon nur die 64-Bit-Variante und führe sie dann mit den gewohnten MSI Silent Parametern /qb- aus. (Letzte Revision: 31.12.2015 10:24:45) (Post ID:984)

Verschlüsselungs-Trojaner

Ramsomware nennt man die zurzeit häufig auftretenden Verschlüsselungs-Trojaner. Einmal infiziert verschlüsselt sie alle Daten, die sie finden kann, mit einem hochsicheren Schlüssel. Auf den infizierten Rechnern wird dann eine Meldung angezeigt, dass man gegen Zahlung von Bitcoins (meist ca. 500 €) eine Software erhalte, mit denen man die Daten entschlüsseln kann. Die angebotene Zahlungsmethode stellt sicher, dass das Geld nicht nachverfolgbar ist. Ob es eine Gegenleistung in Form einer funktionierenden Software (die keine Schadstoffe enthält) gibt, ist fraglich. Die Experten vom BSI raten, auf diese Lösegeldforderungen nicht einzugehen! Wie finden viele Infektionen statt? * Ein Mitarbeiter erhält eine E-Mail, die einen Internet Link enthält. Klickt der Mitarbeiter auf den Link, wird die Verschlüsselungssoftware installiert und verschlüsselt alle Dokumente im Zugriff. Zusätzlich können die Schadprogramme in einem E-Mail-Anhang versteckt sein oder auf einer Webseite zum Download angeboten werden. Wie können Sie sich speziell gegen Ransomware schützen? * Mitarbeiter sensibilisieren (Nicht auf Anhänge und Links in Mails klicken, keine Internet-Downloads von Programmen) * Blockieren von Downloads unerwünschter Dateiendungen auf Ihrer w.safe Firewall einrichten (Dateien werden anhand der Endung im Namen blockiert, Dateiinhalte können nicht analysiert werden) * Exchange Richtlinie einrichten, die unerwünschte Dateiendungen blockiert (schützt vor E-Mails mit Anhängen) * Anzeige von E-Mails in Outlook als "NUR-TEXT". (HTML-E-Mails können bereits schädliche Javascripts enthalten) * Anschaffung einer Next Generation Firewall mit Inhalts- und Anhang-Blockierung: Hierbei kann man konfigurieren, dass Anhänge und das Ausführen von Links in E-Mails und Internet-Downloads blockiert werden. * Windows Enterprise mieten. Mit Software-Assurance und Windows Enterprise kann die Applocker Technologie eingerichtet werden. Hier richtet der Admin eine Positivliste ein. Es werden nur Programme gestartet, die auf dieser Liste stehen (hoher Einrichtungsaufwand) Was müssen Sie ohnehin für den Grundschutz erfüllen? * Virenscanner mit laufendem Vertrag und aktuellen Signaturen einsetzen (erkennt Ransomware erst Tage später, da diese wie das medizinische Virus ständig mutiert) * Windows Sicherheits-Updates auf aktuellem Stand halten (gilt auch für Adobe Produkte und Java, da hier eine besondere Gefahr besteht) * Benutzern Adminrechte entziehen (Ransomware wird allerdings im User-Kontext ausgeführt) * Arbeitsanweisung (Mitarbeiter sollen weder auf E-Mail-Anhänge klicken, noch auf Links, die mit E-Mails gesendet werden und nichts aus dem Internet herunterladen) * Datensicherung muss BSI Grundschutz erfüllen, d.h. Vollsicherungen mindestens der letzten 2 Wochen (alle Werktage) auf Band. Sicherungen auf Wechselfestplatten können ebenfalls der Verschlüsselung zum Opfer fallen, ein Band nicht. (Post ID:977)

VW Software-Updates für Fahrzeuge und Navi

Von VW gibt es neben dem im Januar fälligen Motorsoftwareupdate auch Weiteres Kostenloses: die Navi-Karten für die Volkswagen Navis Discover Media und Discover Pro, die in vielen neuen Modellen (z.B. Golf7, Passat 2015 und Touran 2015) eingebaut sind. HERE liefert mit mit aktuellem Veröffentlichungsdatum: November 2015 (d.h. es sind die Karten mit Redaktionsschluß Mitte Oktober 2015!) aus. Das Aktualisieren ist wieder kinderleicht. ca. 6 GB aus dem Here Store herunterladen, mit 7-Zip auspacken (Version 15.12 ist hier aktuell), die SD-Karte aus dem Auto nehmen, löschen und das Ausgepackte draufkopieren. Karte ins Auto einlegen und eine ca. 5 Minütige Kalibrierungsfahrt machen. Beim Discover Pro braucht man eine 32 GB große SD, kopiert etwa 27 GB (ausgepackter Download) darauf. Die Karte ins Auto und im Navi Menü Update aufrufen. Danach lässt man das Auto am Besten mit Ladeerhaltung bis zu 4h auf Zündung und die Karten sind auf der Festplatte angekommen. Danach Kalibrierungsfahrt machen und Alles ist topaktuell. (Post ID:979)

Meine erste Paypal Scam E-Mail

Das Deutsch in diesen Mails wird zwar immer besser, daher hat der Antispamfilter die Mail auch durchgelassen, aber endlich habe ich auch mal eine solche Mail bekommen. Zeit, die Mail mal in meiner Sandbox-Umgebung unter die Lupe zu nehmen: Trotz verbessertem Deutsch und Umlauten im Formulartext enthält die Mail Fehler. Und auch wenn Sie in perfektem Deutsch und mein Name richtig geschrieben worden wäre und ich ein PayPal Kont hätte - warum in aller Welt sollte ich überhaupt auf einen Link in einer E-Mail klicken??? Zumal dieser Link auch noch auf eine bit.ly Adresse lautet. Nene! Früher haben die Scammer sich wenigstens noch Mühe gegeben und eine Fake-URL gemietet, die zumindest so ähnlich klang wie diejenige des vorgetäuschten Absenders. Ein Blick in die E-Mail-Kopfzeilen zeigt dann als X-Mailer schon mal: Smart_Send_3_1_6. Hier wird nicht mal der Mailer verscheiert. Man rechnet fest damit, dass der User alles anklickt, was ihm unter die Maus kommt! Und es funktioniert! (aber nicht bei mir). Vor etwa 20 Jahren gab es schon mal das manuelle Virus: Sie abe soeben aine albanische Virus empfangge. Da wir in Albanie tecnologisch noc nict so wait fortgeschritte sind, handele sic um MANUELLE Virus. Bitte lösche Sie alle Dataie auf Ihre Festplatte selber, jezte Sie neme bitte grosse Ammer unde schlage Sie gräftig auf Giste wo ist Festplatte drinn unde leiten Sie diese mail weiter an alle Persone, die sie kenne. Ist voll krass und vunczioniert. Viele Dank fur Susammenarbeit! Gruss fo Freier Virusendwiggler Dragan Generelle Empfehlung:Nie Nie Nie und Niemals auf Links in E-Mails klicken (das mit dem Verbot, Anhänge auszuführen, kenne ja schon Einige). Wenn man den Absender kennt, kann man seine Webseite auch über die eigenen Favoriten aufrufen oder in den Browser eingeben. Und KEIN Geldinstitut und kein Shop, wo Geld im Spiel ist, hat eine unverschlüsselte Seite. (Letzte Revision: 07.12.2015 17:05:32) (Post ID:981)

PDFCreator 2.2.1 funktioniert nicht mehr auf Terminalservern

Obwohl das Produkt in der kostenlosen Version dem GPL Lizenzvertrag unterliegt, versuchen die Programmierer nun nicht nur, uns Adware untzerzujubeln, sondern verhindern mit ihrem Closed Source Installationsscript die Installation auf Terminalservern (Servern mit aktivierter RDP Rolle). Bisher konnte man PDFCreator mit dem mitgelieferten Setup auch auf Terminalservern installieren. Da die Nutzung der GPL-Komponenten sich aber nicht einschränken lässt, kann man sich zur Nutzung des PDF-Creators in der kostenlosen Version ein eigenes Installationsscript fertigen, das dann die Software und den Druckertreiber installiert. Ich habe das Setup mit Innosetup (auch Open Source) erstellt: schon lässt sich PDFCreator auf Terminalservern installlieren. Ausserdem bekommt man mit der Neuverpackung der OSS Komponenten in ein eigenes Setup endlich eine Installationsversion, die keine Werbung und keine Adware mitinstalliert. Gleichermaßen kann man die Autoupdate Hinweise im Programm auch gleich mit abschalten. Fazit: PDFCreator ist nachwievor aus meiner Sicht die beste Software zum PDFs erzeugen, insbesondere wegen der Möglichkeit, EINE PDF-Datei aus mehreren Programmen heraus zu erzeugen. FreePDF ist zwar weiterhin kostenlos, aber die technische Realisierung dort ist nicht so stabil. (Post ID:978)

Windows 10 Insider

Die vierte technische Vorschau vom #Windows #Server 2016 (der spätestens im Juli 2016 erscheinen muss, denn so lange funktioniert diese Vorschau) setzt auf die Basis von Windows 10, Stand: November Update th2 und damit auf build 10586.11 auf. Die Bedienung (interessant für die Benutzer, die per RDP mit dem Terminalserver arbeiten werden) ist damit identisch mit Windows 10, d.h. man hat das klassische Startmenü von Windows 7 in modernem Design mit der Möglichkeit, in einem Teilbereich des Bildschirms Universal Apps, Modern Apps und Verknüpfungen als Kacheln verschiedener Größe bereitzustellen. Im Gegensatz zu Server 2012 R2 verschwindet nicht der gesamte Bildschirm hinter dem Menü. Die Farbgebung und das Design sind auch nicht mehr in Türkis, sondern dezenter gehalten und die Fenster haben keine 3mm breiten Rahmen mehr, die insbesondere auf kleinen Displays (MDE) bisher unnötig Platz verschwendet haben. Unter der Motorhaube wird die von Server 2012 bekannte Bedienung (Servermanager) mit Cloud/Hybrid-Funktionen angereichert (für alle Nutzer von Azure Cloudfunktionen hilfreich), außerdem wurde Hyper-V performanter und der Failover Clustermanager mit mehr Sicherheitsfeatures angereichert. Der Bildschirmscreenshot zeigt die neue Oberfläche. (Post ID:976)

Kurzbericht vom Microsoft Technical Summit

(für IT-Professionals und Entwickler). Hier eine Zusammenfassung der besuchten Themen: Opening Keynote – Microsoft Strategien: Neue deutsche Cloud mit Rechenzentren ausschließlich in Frankfurt und Magdeburg, Treuhänder und Betreiber ist T-Systems, Microsoft stellt nur die Software und die Lizenzen und hat physikalisch keinen Zugang zum RZ. Zugriff nur unter Kontrolle des Treuhänders. Vertrag weiterhin mit Microsoft Operations Ireland Ltd. (wie auch bei der bisherigen blauen Cloud mit Office 365 und Azure). AADS ist dann ein Eigenes in Deutschland. Nicht mit anderen Cloudprodukten kombinierbar. Windows 10 – Neue Wege zum Rollout und Update: Inplace Migration empfohlen, da technisch ein Parken von altem Windows in windows.old und Neuinstallation Windows 10 mit nachträglichem Kopieren der Programme, Apps und Daten erfolgt. Commandline Parameter zum Installieren aus einem Network Share heraus. Neuinstallation mit aktiviertem key von Win7/8.1 auf der selben Maschine möglich, aber nicht empfohlen. Treiberprobleme lösen durch Postinstall-Neuerkennung Die Nutzung des Windows Store for Business im Unternehmen: Windows Store für Business ist kostenlos, Admin registriert sich und führt über Webportal einen Unternehmens-Store ein. AADS wird genutzt, um Benutzer in den Store zuzufügen. Für den User erscheint der Firmenstore als Register zusätzlich im Store. Nutzung von Onedrive/Consumer Store per Richtline unterbindbar. Office 365 ProPlus & Office 2016 – Deployment Update: Office Volumenlizenzen (eOpen/SelectPlus) weiterhin als MSI, keine Änderung, Update über Windows-Update und WSUS (ca. 800GB, immer kumulatives Update pro Monat). Retail, Office 365 und Boxlizenzen: Immer Click2run Installer mit MDT2016 als Firmenshare konfigurierbar. Updates werden erst verteilt, wenn der Admin das Firmenshare aktualisiert. BITS zur intelligenten Auslastung der Leitung bei Verteilung möglich. Verfügbarkeit für die virtuelle Infrastruktur - Hyper-V, Azure und Veeam – Better Together: Vorstellung der 3 Möglichkeiten von veeam, Daten in die Cloud zu sichern, incl. Nutzung und Replikation von schmalen Leitungen. Online Backup damit partiell in die Cloud machbar. Basisfunktionalität in der veeam Lizenz enthalten. Surebackup als regelmäßige Rücksicherungstests gegen die Cloud möglich. Mobil sicher arbeiten mit der Enterprise Mobility Suite: Intune und System Center im Detail, technischer Überblick über die Möglichkeiten Was gehen mich Datenschutz & Datensicherheit in der Cloud an? ADV (Auftragsdatenverarbeitung) und Datenlage AMS/DUBLIN in allem „blauen Clouds“, Patriot Act und Datenlage in USA in der weißen Cloud (Consumer/kostenlose Nutzung). Zusätzlich Deutschland Cloud, s.o. Closing Keynote: Podiumsdiskussion mit Experten aus Forschung/Lehre (Prof aus Darmstadt), Medienvertretern von Fachmagazinen, Bloggern und MS-Management mit dem Plenum. Kritische Einwände zum irischen Vertrag mit deutscher Nebenabrede und T-Systems als Firma mit Niederlassung in USA (NSA kann über Rechtshilfeersuchen oder nach US-Klage möglicherweise darauf zugreifen. Start und rechtliches Statement von MS dazu zum Start der Deutschland-Cloud in 1Q2016 Opening keynote Tag 2: Microsoft Manager aus Redmont berichtet über die „Windows wird persönlicher“ Strategie und fertige Module, die über Spracheingabe (Cortana), Touch, Gestenerkennung, Handschrift-Erkennung und Emotion den Menschen „kennen“ und auf ihn reagieren. Demonstriert das anhand von Beispielen aus der Industrie (Gebäude-Gutachter) Was ist neu beim System Center 2016 Virtual Machine Manager: Unterstützung von Windows 10, ansonsten bewährte Oberfläche für große Unternehmen Windows 8.1 Mobile für Handhelds: MDE-Geräte sind huete mit Windows CE 6.x -> Umstieg auf Win 8.1 phone für handhelds nicht möglich. Weder Hardware noch Software können übernommen werden. Beispielgerät mit Scanner und IP67 schlagfest: Panasonic Toughpad Handheld. Windows phone erlaubt Kioskmodus, RDP nicht möglich, da keine Keyboard Wedge Lösung am Markt, Scaneingaben landen dann nicht in der Online Session --> Obwohl EOL von Windows CE in 2019 erfolgt, müssen die vorhandenen Geräte so lange wie möglich weiterleben :X Mobile Device Management - The modern Way: Drei Stufen, mobile Geräte zu administrieren: 1) Office 365 Enterprise Pläne (E) – enthält Richtlinien/Fernlöschmöglichkeit für ios/android/Windows 2) Intune verwaltet auch HW/Software-Inventar und Desktop PCs/WinTablets und man kann eigene Apps verteilen 3) Systemcenter zur Steuerung der Intune-Lösung für große Unternehmen SQL Server 2016 – das Performance- und Sicherheits-Release: Methoden seitens des SQL Management Studios, um Performance zu beschleunigen, neue Abfragen, BI-Funktionen (auf Basis des Preview – Version 2016 erscheint erst 2Q 2016) OneDrive for Business: Wo stehen wir heute und was erwartet uns morgen? Vergleich Onedrive (privat, weisse Cloud in USA, kein zentrales Management, Fileserver zur Ablage, ONEDRIVE.EXE Synct) und Onedrive für Business (ab Office 365 oder on premise mit Sharepoint, zentrales Management, Sharepoint Bibs als Ablage, GROOVE.EXE synct, mit Office 2016 gleichzeitiges Bearbeiten einer Datei, Universal Links in Mails/Exchange). Windows 10 bringt Universal Sync Tool/App mit, die Sync Tools konsolidieren wird und wo für ein Tool Richtlinien das Private aussperren können. Onedrive for Business hat mehr Einschränkungen wg. Sharepoint (Anzahl Files/Bibliotheken/Ordner). Umgang mit Sync Fehlern. Exchange Server 2016 - On-Premise und Hybrid: Neuerungen Architektur (flat model, Store und CAS in einem Service zusammengefasst, leichtes Clustering über DAGs, Neue OWA (heisst nun: OIW) Funktionen schon seit 8 Monaten in der Cloud, nun auch on Premise. Office Server ist noch nicht fertig 1Q2016 erwartet (zur Voransicht und Bearbeiten von Word/PPT/XL-Dateien über Browser) (Post ID:975)

Windows 10 kumulativer Patch ist erschienen

Zusammen mit der November ISO 1511 und diesem einen (100 MB) Patch lässt sich eine integrierte Installationsdatei mit build 10586.11 (th2 release 151112-1900) für #Win10 erstellen, das alle Updates und Sicherheitspatches enthält. Auch für #Office 2016 hebt sich der sub build auf 6228.1010 an. Neue Features gegenüber dem Vorgänger build 6001 konnte ich jedoch nicht erkennen. Hinweis zu den offiziellen ISOs vom 12. November: Die Katalognamen der beiden Editionen in der ISO enthalten noch das Kürzel: Windows 10 (Pro) Technical Preview. Mit dem Windows Toolkit lassen sich die Katalognamen und die Beschreibung jedoch umbenennen, so dass die normale autounattend.xml passt. Wer ISOs mit integrierten Updates erstellt, muss, wenn er die ISOs für rein UEFI basierte neue PCs (ohne BIOS und ohne BIOS Emulation) verwenden möchte, die ISOs mit speziellen Parametern mastern. Hierzu verwendet man das oscdimg.exe Tools aus dem Microsoft ADK und verweist aber auf die efiboot.bin Datei. oscdimg -b"C:\anwend\werkstatt\win10pro-th2-nov15\Extracted_ISO\efi\microsoft\boot\EFISYS.BIN" -u2 -h -m -l"WINDOWS10" "C:\anwend\werkstatt\win10pro-th2-nov15\Extracted_ISO" "c:\temp\win10-autoinstall.iso" Erstellt man einen Boot-Datenträger mit RUFUS, muss man dies in 2 Schritten machen, um UEFI zu unterstützen. 1) Unten UEFI on NTFS aufrufen, oben UEFI, zunächst Partition mit NTFS-Treiber erstellen, dann die ISO auswählen und UEFI GPT den Datenträger erstellen. (Post ID:974)