Richtig gendern - TaucherInnen

Es gibt unterschiedliche Formen in der deutschen Sprache, das "dritte" Geschlecht richtig auszudrücken. Man nennt das "gendern" - sogar der Duden lässt sich ausführlich dazu aus. So müssen in Stellenbeschreibungen und -anzeigen Zusätze wie (m/w/d) oder (gn*) zum Jobtitel zugefügt werden. "gn" steht dabei für "genderneutral" (und kann auch im englischsprachigen Raum verwendet werden).

Gemäß dem Motto: "alles hat ein Ende, nur die Wurst hat zwei" wurden aus Mitarbeitern Mitarbeitende, Studenten sind nun Studierende, Forscher Forschende, der Rechtsanwalt wird zur Rechtsvertretung. In der Backstube stehen Backende - auf der Toilette wird aus dem "B" aber ein "K". :o

Weit verbreitet ist mittlerweile auch Innen oder *innen anzufügen an das Stammwort. Prominentes Beispiel aus der Küche: HähnchenInnen-Filets.

Die Briefanrede ist ebenfalls anders: So schreiben viele nun "Sehr geehrte Mitarbeiter*innen / Kund*innen", "Liebe Supportende".

Wortherkunft divers

Es gibt also männlich, weiblich und divers. Weil wir in der deutschen Sprache ohnehin sehr viele Anglizismen verwenden, könnte der geneigte Betrachter meinen, dass die Berufsgruppe der Bergungs- Wrack- und Minen-Taucher*innen gemeint ist, denn das englische Wort für Taucher ist nun mal "diver" und mehrere davon sind "divers".

m/w/d steht, wenn man es richtig übersetzt, für männlich / weiblich / Tauchende

Zur Verbesserung der Lesefreundlichkeit unserer Website, verwenden wir an einigen Stellen die männliche Form bei Personenbezeichnungen oder personenbezogenen Hauptwörtern. Wir möchten darauf hinweisen, dass diese Begriffe grundsätzlich für alle Geschlechter gelten und unsererseits keine Wertung enthält.

Die Redaktion

Microsoft Teams nutzen

Seit März 2020 ist Microsoft #Teams eines der wichtigsten Werkzeuge für uns geworden. Es basiert auf Skype Technologie. Beide Anwendungen haben somit die gleiche Basis, aber eine andere Ausrichtung:

• Skype zielt auf den Endanwender/Consumer (darf aber laut Lizenzvertrag auch für Administratoren zur INTERNEN Remotehilfe von Mitarbeitern genutzt werden). Plattformen: Windows Chromium-basierter Browser, besser: die Windows Skype for Desktop Anwendung, android oder apple IOS Smart-Geräte
• Teams free (ohne Microsoft 365 Subscription) erlaubt es, kostenlos an Besprechungen teilzunehmen, die jemand mit Lizenz erstellt hat - oder adHoc-Besprechungen mit Anderen (auch ohne Lizenz) zu starten. Eine Zusammenarbeit von mehreren Mitarbeiten und/oder die Sharepoint Funktionen können nicht genutzt werden.
• Empfehlung: Teams mit Microsoft 365 Abo hat je nach Plan viele Funktionen mehr freigeschaltet (z. B. Kalender-Integration in Exchange online, Nutzung des Sharepoint aus Teams heraus, Dateifreigaben, geteilte Ordner, bis hin zur Abschaffung der Telefonanlage (Teams Telefonie)

Diese Anleitung hilft Ihnen, einfach an Teams-Sitzungen teilzunehmen. Eine Detaillierte Anleitung (PDF) ist im Download-Bereich zu finden.

Voraussetzungen Hardware, Sitzung, Leitung

Die Teilnahme mit einem Notebook mit externem Lautsprecher ist die einfachste Lösung. Es kann aber auch ein Windows PC mit angeschlossener USB-Webcam und Headset mit Mikrofon (über USB oder Klinkenstecker) verwendet werden.

Auch wenn Microsoft die Verwendung in einem Azure Virtual Desktop unterstützt, ist die beste Performance auf dem lokalen Rechner gestartet zu erwarten.

Als Betriebssystem empfehlen wir Windows 10 Pro (nicht Windows 11 Pro)

Die Internet-Leitung sollte bei Verwendung von Video eine Breitband-Verbindung sein (VDSL 50 aufwärts oder Glasfaser, LTE/5G mit Einschränkungen)

Anleitung zur Teilnahme

Auch wenn Sie Google Chrome oder Microsoft Edge on Chromium nutzen können, bietet der Browser nicht alle nützlichen Funktionen im Rahmen einer Online Sitzung.

Stellen Sie sicher, dass Chrome oder Edge on Chromium Ihr Standardbrowser ist. Öffnet sich noch der Internet-Explorer, müssen Sie den Standard-Browser umstellen.

Installieren Sie die aktuelle Teams App. Sie können sie bei Microsoft hier herunterladen.

Sie bekommen einen Teams-Link zur Teilnahme an der Sitzung per E-Mail vom Einladenden. (alternativ können selbst einen Link erstellen in der Anwendung - dazu müssen Sie sich aber kostenlos mit einem Microsoft Konto registrieren)

Wenn Sie auf den Link klicken, öffnet sich Chrome und fragt, ob Sie mit der App teilnehmen oder im Browser. Wählen Sie "App" aus und bestätigen Sie das Kontrollkästchen in dem Hinweis Teams Links immer mit der App öffnen.

Haben Sie kein Microsoft Konto in der App registriert, werden Sie nach einem Gast-Namen befragt und können dann in der App an der Besprechung teilnehmen

Kostenlose Features - Remote Unterstützung

Die folgenden Funktionen sind derzeit auch in der kostenlosen Variante bzw. als Gast möglich:

• Besprechung mit Video und Audio
• Nutzung des Chats (nur) während der Besprechung
• Freigabe des eigenen Bildschirms oder von Fenstern
• Steuerung anfordern (jemand Anderen aus der Besprechung mit auf den eigenen Bildschirm nehmen)

RSS-Kanäle

Sie können die IT-Nachrichten mit einem RSS-Programm (z.B. Microsoft Outlook) oder einer RSS-App empfangen. Mit #RSS empfangen Sie die Nachrichten in der Häufigkeit, wie Ihr Reader sie automatisch abfragt.

1. FluentFlame Reader, Open-Source Installer oder Portable Version für Windows Desktop und Apple Mac 
2. Feeder für android Smartphones und tablets (einzige werbefreie Open-Source app im Play store aktuell).
3. Free RSS Reader für apple IOS Geräte

Der Aufruf für den BLOG RSS-Feed lautet:

https://wp.pbcs.de/feed

Ein Feed mit Volltext-HTML-Inhalten der letzten 50 Blog-Beiträge (außer Softwareversionen) kann unter https://wp.pbcs.de/vollblog aufgerufen werden.

Spezialbeitragstypen wie Downloads, Shop, WPDoodlez und Listen können separat abonniert werden. Die Links dazu sind bei Kategorien, Tags und Produkten mit dem wellenförmigen RSS-Symbol in der Sitemap gekennzeichnet. Klicken Sie das Symbol in der Sitemap an und übertragen den Link in Ihren RSS-Reader.

LOG4J Sicherheitslücke JAVA

Die vielfach verwendeten Uqibiti WLAN-Access Points der amerikanischen Firma Unifi. Die Controller-Software, um ganze WLAN-Netzwerke zu verwalten, lässt sich auf einer Hardware-Appliance, unter Linux oder unter Windows (-Server) als Dienst betreiben. Nur mit Version 6.5.54 ist die Lücke geschlossen. Firmware-Updates bzw. Software-Updates sind unbedingt erforderlich. Als Runtime kann Adoptium eingesetzt werden.

Seccommerce, der Anbieter von Digitalen Signatur-Lösungen (z.B. E-Rechnung mit digitaler Signatur gegen Fake E-Mails) hat veröffentlicht, dass sie kein LOG4J einsetzen in deren Server-Softareprodukten – und am Client Adoptium JRE unterstützen.

Handlungsbedarf

1. Ermitteln Sie den Software-Bestand auf Ihren Servern und Endgeräten (Windows und Linux), sowie auf Hardware-Appliances (wie Kamera-Servern, Zeiterfassungs-Software und Diensten auf Servern). Hierbei kann Open-Audit (audit und nmap scan) insbesondere für die Windows-Umgebung hilfreich sein.
2. Nehmen Sie mit den Herstellern der Software Kontakt auf, und/oder prüfen, ob es aktuelle Versionen oder Firmware Updates gibt.
3. Führen Sie diese Updates durch (oder lassen sie vom Anbieter durchführen).

Scan-Tool (nur für Windows)

Für das Entdecken von Lücken auf der Windows-Plattform (erkennt damit nicht Log4J in Hardwaregeräten oder Linux-Systemen) gibt es auf GitHub ein Befehlszeilen Werkzeug, das man auf jedem Windows-Server oder PC, auf denen JAVA installiert ist, ausführen muss. Es sucht (nur die angegebenen Laufwerke) nach anfälligen Bibliotheken und schreibt einen Bericht darüber. Die Java-Komponente aktualisieren oder entfernen (wenn die Software sie nicht benötigt), muss man immer noch:

Eine Beschreibung wie man das Werkzeug nutzt und der direkte Download sind hier beschrieben. An der administrativen Befehlszeile oder Powershell ist dann: Log4j2-scan c:\ --fix auszuführen und das Ergebnis auszuwerten.

https://github.com/logpresso/CVE-2021-44228-Scanner

Die gängigen Tools finden auch alte (Version 1.x) Bibliotheken von LOG4J. Im Regelfall eignet es sich, solche unbenutzten JAR-Dateien irgendwo hin zu isolieren und wenn keine Nebenwirkungen auftreten, sie dann zeitverzögert zu entsorgen. Lässt sich eine genutzte Software (die diese Bibliotheken und JAVA benötigt) nicht mehr nutzen, wenden Sie sich bitte an den jeweiligen Software-Hersteller.

Ein Leben ohne JAVA ist möglich (und nicht sinnlos)

Ungeachtet der oben genannten Schritte gilt: Wenn möglich und geprüft, JAVA Runtimes komplett deinstallieren oder den Hersteller fragen, ob sich Adoptium Temurin Runtime einsetzen lässt. Hier gibt es regelmäßig Sicherheitsupdates.

Eine weitere Sammlung von Softwareprodukten und Hersteller-Erklärungen ist auf Gist zu finden. Allerdings unterscheidet die Liste nicht, ob das Produkt ein verwundbares LOG4J enthält oder nicht. Wenn Sie die von Ihnen verwendeten Produkte in der Liste durchklicken, erfahren Sie, ob Ihre Produkte betroffen sind oder gar kein LOG4J enthalten.

https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Internet-Revolution: Gasfaser für alle!

Gestern im ntv Ratgeber Technik: Glasfaser war vorgestern. Die neue Variante "Gasfaser" ist deutlich günstiger und senkt den CO2-Ausstoß um nahezu 70%. Das funktioniert nur, weil das verwendete Gas "Xeon" nicht verbrannt wird, sondern in den Intel-Fabriken zu Fasern verpresst und dann die Daten mit 2-facher Luftgeschwindigkeit überträgt (600 MilliBit pro Sekunde). Im "Ludicrous" mode oder mit XEON Gold Gas sogar doppelt so schnell. Da wird Internet zur wahren Freude und man tut was Gutes für die Umwelt:

Vermutlich hat der Mediendesigner, der das Stock Foto im Hintergrund gebastelt hat, nur ein "l" vergessen. Peinlich ist das aber trotzdem und gehört daher in die Sammlung der #Kuriositäten. Schade, dass kein erster April ist.

Jahreswechsel auf 2024

Office 365 - Bedienoberfläche anders

Mit Office 365 ist man stets auf dem aktuellen Stand der Software - auf Wunsch sogar monatlich. Im sogenannten "Current Channel" hat Microsoft im November 2021 die Benutzeroberfläche "aufgehübscht" und dabei verändert:

Im Bild sieht man schon die von mir gemachten Einstellungen. Wer bisher die Schnellstartleiste benutzt hat, wird diese als eigene Zeile mit Textbeschriftungen UNTER dem Menüband wiederfinden. Zudem ist das Menüband auf zwei Zeilen reduziert. Für den schnellen Zugriff auf Menüpunkte ist es einfacher, Menüband eiogeblendet und die Schnellstartsymbole wie bisher oben links zu haben (ohne Textbeschriftung in eigener Zeile). Über das Kontextmenü der neuen Schnellstartleiste kann man das einstellen. Leider bleibt der Bereich "Automatisches Speichern ( O)" immer eingeschaltet und kostet wertvollen Platz in der Leiste. Bisher habe ich noch keine Möglichkeit gefunden, diesen Bereich auszublenden.

Prüfung Mitarbeiter sensibilisieren

Sie müssen für Ihr Unternehmen Ihre Mitarbeitenden regelmäßig sensibilisieren und die Risiken eines Schadsoftware-Befalls durch unbedachte Handlungen reduzieren. Diese #Prüfung hilft Ihnen dabei. Wenn Sie mehr als 50 % erreichen, gilt sie als bestanden. Die benötigte Zeit wird protokolliert.

Neulich in Outlook

Wie der "Kudnenservice" der Sparkasse mitteilt, ist es unbedingt erforderlich, auf den Link in der E-Mail zu klicken. Durch das neue Verfahren S-CERT leert sich dann Ihr Girokonto, nachdem Sie alle Zugangsdaten eingegeben haben, automatisch ;)

Mittlerweile machen die kriminellen Organisationen auch recht wenig Rechtschreibfehler. Dennoch wird es immer wieder Mitarbeitende geben, die in solchen E-Mails (mal abgesehen davon, dass hier der Spamfilter erfolgreich markiert hat) auf die enthaltenen Links klicken. Die E-Mail selbst enthält zusätzlich 1-Pixel Elemente, die dem Absender melden, dass die von ihm gewählte E-Mail-Adresse existiert (in dem Fall mein Spam honeypot).

Dennoch kann man nicht oft genug wiederholen: Weder ein Geldinsitut, noch ein namhafter Lieferant schickt einen Link in einer E-Mail, geschweige denn eine Rechnung als Word-Datei oder einen Anhang, der bösartigen Code enthält. Selbst wenn Sie von einem Ihnen bekannten Absender eine Excel- oder Word-Datei erwarten, öffnen Sie diese nicht und aktivieren Sie keinesfalls Makros darin (Bei Microsoft 365 können Admins per Richtlinie alle Makros und Weblinks in solchen Dokumenten blockieren, bei den Kaufversionnen wie Office 2021 Home & Business geht das nicht)

Fazit

Sensibilisieren Sie Ihre Mitarbeitenden REGELMÄßIG im Umgang und Verhalten mit E-Mails. E-Mails, die HTML-Code und Links enthalten, sollten gar nicht erst geöffnet, sondern ungesehen gelöscht werden.

Drucken oder nicht – Novemberpatch und Typ4-Treiber

November Patch Nightmare = Oktober Patch Nightmare

(Update vom 14.11.2021: In Kürze kommt ein Patch von Microsoft heraus, der auch die RPC-Druckfehler beseitigen soll)
Mit dem #Patchday Oktober 2021 werden die unten genannten Registry keys als Gruppenrichtlinie installiert und/oder in der Registry der Wert 1 gesetzt. Das bedeutet, nach Neustart der Druckserver und Terminalserver kann wieder nicht mehr gedruckt werden, wenn man kein Domain Admin ist. Die Forderung von BSI und Versicherungen, Sicherheitsupdates innerhalb von 7 Tagen zu installieren, bleibt bestehen. Wer das Update installiert, wird die untenstehenden Registry-Einstellungen bzw. GPOs wieder auf Wert Null setzen und einen erneuten Restart der Server hinlegen müssen. Vom Oktober Fehler waren auch Typ4-Treiber betroffen. So konnte ein Client zwar drucken, es wurden aber nur rudimentäre Standard Eigenschaften des Point&Print Compatibility Treibers angezeigt (also quasi Notlauf). Mit dem November Patch wurde letztgenannter Typ4-Fehler behoben.

Microsoft Patchday Oktober Änderungen

https://support.microsoft.com/en-us/topic/october-12-2021-kb5006669-os-build-14393-4704-bcc95546-0768-49ae-bec9-240cc59df384

Microsoft Known Issues November – man wird auf einen „Patch vom Patch“ warten müssen, wenn man betroffen ist

https://docs.microsoft.com/en-us/windows/release-health/status-windows-10-21h1#1724msgdesc

Sofortmaßnahmen: Registry und Powershell

#Print-Nightmare geht mit dem Oktober-Patch in die siebte Runde: Wer seine Systeme bestmöglich absichern möchte, kann das November-Update installieren. Damit weiterhin gedruckt werden kann, müssen vorher zwei Registry Schlüssel gesetzt werden. Außerdem müssen alle beteiligten Server und Endgeräte mindestens den August 2021 Patchlevel haben. Danach die betreffenden Systeme neu starten und dann erst das Update installieren. Laut Meldungen in der Microsoft Community (und empirischen Beweis in eigener Umgebung) kann danach wieder auf Netzwerkdrucker im LAN gedruckt werden. Das Installieren des Patches ist unter Risikoaspekten deshalb empfehlenswert, weil eine viel kritischere Lücke (MSxHTML) geschlossen wurde, die das Ausführen von Schadcode bereits in der Vorschauansicht des Windows Explorers erlaubte.

Außerdem sollte darauf geachtet werden, dass die Druckertreiber der verwendeten Drucker auf dem aktuellen Stand sind. Hierzu müssen sie auf dem Druckserver aktualisiert werden. Mit den Registry-Einstellungen sollte dann auch der User auf einem Terminalserver mit dem neuen Treiber versorgt werden, ohne dass es zu einer Fehlermeldung kommt. Hier die Codezeilen der .reg-Datei:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print]
"RpcAuthnLevelPrivacyEnabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint] "RestrictDriverInstallationToAdministrators"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides] 
"713073804"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides] 
"1921033356"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides] 
"3598754956"=dword:00000000


Zusätzlich zu den Registry-Einstellungen und dem Neustart muss der folgende Befehl an einer administrativen Powershell eingegeben werden:

Get-ScheduledTask -TaskName "ReconcileFeatures" | Start-ScheduledTask

Aktualisierung der Druckertreiber auf V4-Benutzermodus

Da nicht sicher ist, ob Microsoft die oben genannten Registry-Einstellungen weiter beibehalten wird, ist eine nachhaltige Lösung, sofern möglich, die Umstellung der Windows-Drucker-Treiber auf sogenannte #V4-Treiber. Im Regelfall finden sich in der Druckerverwaltung überwiegend V3-Druckertreiber. Diese stellen dann langfristig ein latentes Problem dar.

• Rufen Sie dazu die Windows Druckverwaltung am Printserver auf
  • Drucker: in der Liste ist erkennbar, ob der Treiber Typ3-Benutzermodus oder schon Typ4 ist
  • Ist er Typ 3, bitte auf die Herstellerseite gehen und nach dem Treiber für das angezeigte Modell suchen
  • Unter Basistreiber in der Auflistung tauchen (z.B. beim HP Laserjet-M402) dann ein V3-Treiber und ein V4-Treiber auf. Den V4-Treiber herunterladen
  • Unter Treiber, Treiber hinzufügen diesen in die Liste bringen
  • Unter Drucker bei jedem Drucker in die Eigenschaften, unter Erweitert, Treiber den neuen V4-Treiber auswählen
  • Danach in den Eigenschaften unter Allgemein (Einstellungen), Erweitert (Standardwerte) die Schacht- und sonstige Einstellungen neu setzen, ggf. bei Geräte-Einstellungen die anderen Schächte ausschalten
• Verbinden Sie dann an allen Clients und/oder Terminalservern die Drucker neu, damit diese den neuen Treiber verwenden
  • Je nach Druckerhersteller reicht es dazu, sich am Endgerät/Terminalserver als Domain Admin anzumelden und alle Drucker zu verbinden. Dadurch werden maschinenweit die neuen Treiber gezogen.
  • Ggf. müssen für jede Sitzung (jeden Benutzer) die Druckerverknüpfungen erneuert werden (dazu haben viele Kunden für jeden Benutzer die „Druckerverknüpfungen“. Der Benutzer kann dann alle Drucker rauslöschen und sie erneut verbinden und einen zum Standarddrucker machen.
• Drucktest machen

Gibt es für von Ihnen verwendete Drucker keinen V4-Treiber vom Hersteller (das ist insbesondere bei älteren Modellen der Fall, bleibt das Risiko, dass irgendwann die Registry-Schlüssel nicht mehr funktionieren und diese Drucker ersetzt werden müssen. Beispiele sind das Model M404 von HP und das Modell Kyocera ECOSYS P2040dn. Für beide sind V4-Treiber erhältlich.

Wenn alles nicht hilft - Checkliste

Die von Microsoft genannten "Workarounds" beschreiben bestimmte Voraussetzungen. Prüfen Sie, ob Sie alle erfüllen:


• Welche Drucker (Hersteller, Modelle) sind betroffen?
• Welchen Updatestand haben die (alle) Terminalserver (Mindestens Update von August 2021 muss drauf sein.
• oder Welchen Softwarelevel haben die Windows 10 Clients (muss mindestens 19043.1288 sein)
• Sind die beiden Registry-Schlüssel überall gesetzt? (Druckserver, Terminalserver, AVD-Pools) - vorsichtshalber diese Schlüssel VOR dem Neustart nach dem November Update nochmal setzen bzw. die GPO kontrollieren.
• Sind die über den Druckserver verbundenen Drucker im selben Netzwerk oder per vpn (Clientdrucker im Homeoffice)? Clientdruck wird in einigen Fällen nicht funktionieren.

IT-Strategie und Windows 11 vereinbar?

Admins, die mehrheitlich diese Tätigkeit als Nebenaufgabe ausführen (neben ihrer Haupttätigkeit als Buchhalter, Verkäufer, Einkäufer, Geschäftsführer...) haben das Ziel, eine möglichst homogene IT-Umgebung in ihrem Unternehmen einzusetzen. Die Motivationen sind unterschiedlich.

• Geschäftsführer wollen das Haftungsrisiko reduzieren
• Die operativen Mitarbeiter, die auch IT-Support machen, müssen den Aufwand reduzieren

Homogenisierung

Bis heute konnte man relativ einfach auf das Ziel hinarbeiten, ohne größere Einmal-Investitionen zu tätigen:

• Windows 7 (Professional) Rechner (Core i5 mit 4 oder 8 GB RAM) mit kleinen SSDs ausstatten und unter Einsatz des aufgedruckten Lizenzschlüssels auf Windows 10 Pro bringen. Nach Datenübernahme konnten die Festplatten ausgebaut werden
• Statt Neukauf von Servern:
  • Windows #Server in die Azure Cloud (Microsoft Deutschland) verlagern
  • Mailserver auf Exchange online und Office auf Business Premium Plan umstellen
  • Lokale Software auf #Azure Virtual Desktop migrieren (eigener Windows 10 Umgebung in Azure) via RDP
• Statt Ersatzkauf von defekten PCs: Thin-Client IGEL UD3 ab Firmware 11.3 anschaffen
• Neu anzuschaffende Notebooks und Tablets haben ebenfalls Windows 10 Pro
• Wenn man nicht selbst Updates und Sicherheitspatches installieren möchte, kann man die Aufgabe über Care-Packs an den IT-Dienstleister auslagern

Fazit: Das gesamte Netzwerk (die Domäne) lässt sich zentral verwalten. Viel wichtiger: Anwender (und Admins) arbeiten mit einem einheitlichen Erscheinungsbild (Startmenü, Windows Umgebung)

Was bewirkt Windows 11?

Ab 05. Oktober 2021 werden neue PCs mit Windows 11 #Win11 #Eleven ausgeliefert.

Bestehende PCs, Notebooks, Ultrabooks lassen sich nur aktualisieren, wenn sie jünger als drei Jahre sind und über einen TPM 2.0 Chip verfügen (nicht alle Business PCs, die in den letzten Jahren verkauft wurden, haben diesen Chip). Außerdem wurde die Speicheranforderung auf mindestens 4GB RAM erhöht. 99% aller PCs, die mit 4GB RAM ausgestattet sind, haben aber einen Grafik-Chip, der mindestens 128 GB RAM vom Speicher verwendet. Diese Systeme haben demnach nur 3,9 GB RAM für Windows verfügbar und scheitern so.

Die Oberfläche, Startmenü, Taskleiste sehen anders aus und sind anders zu bedienen. An vielen Stellen sind mehr Mausklicks notwendig, um den gewünschten Menüpunkt zu erreichen:

• Das Kontextmenü erhält Untermenüs, in dem weitere Menüpunkte versteckt sind.
• Netzwerk und Soundeinstellungen sind in einem Menü zusammengefasst, Netzwerkwechsel erfordert zusätzliche Mausklicks, ebenso wie Soundeinstellungen
• Die Taskleiste erlaubt nicht mehr, den Anwendungs/Dokumententitel anzuzeigen (Gruppieren, bis Taskleiste voll). Hat man drei Exceltabellen geöffnet, muss man erst mit der Maus auf das Gruppen-Symbol fahren und dann in den Popup-Vorschaubildern mit einer Lupe interpretieren, welches Dokument man ins Bild haben möchte.
• Im Startmenü kann man die Kachelgöße nicht verändern. Auch die Größe des Startmenüs ist fix. Stattdessen gibt es mehrere Unterseiten, auf denen jeweils 20 Programmverknüpfungen zu sehen sind.
  • Livekacheln fehlen, stattdessen gibt es nur einen vom Startmenü getrennten Widgets-Bereich mit fester Größe, der mit der Maus oder mit Windows-W (also mindestens 2Tasten) und nicht über den Startknopf gestartet werden kann. Die Widgets lassen sich nicht ins Startmenü integrieren
  • Alle Apps werden nicht als Scoll-Liste links neben den Verknüpfungen angezeigt, sondern müssen über einen zusätzlichen Klick aufgerufen werden
  • Die untere Hälfte der Fläche im Startmenu ist ungenutzt, wenn man den Dokumentverlauf abschaltet

Einheitliche Zukunfts-Strategie

Eine IT-Strategie mit einheitlicher Oberfläche (User Interface) lässt sich nur dann erreichen, wenn die PC-Hersteller (in unserem Dunstkreis Fujitsu und lenovo) neue Business-PCs und Business-Notebooks wahlweise mit Windows 10 Pro anbieten und/oder mit der ausgelieferten Windows 11 Pro OEM-Lizenz auch Windows 10 Pro auf dem Endgerät installiert und aktiviert werden kann und darf.

Weil selbst der jüngst erschienene Server 2022 LTSC auch die Windows 10 Benutzeroberfläche hat funktioniert die IT-Strategie sowohl unter Einbindung von Microsoft Azure, als auch On-Premises, wenn man bei Windows 10 bleibt.

On-Premises erhalten Endgeräte mit Windows 10 Sicherheitsupdates bis Oktober 2025, ebenso Server 2016. Neuere Server (inklusive Version 2022 LTSC ebenfalls für 10 Jahre)

Bei Microsoft Azure (Azure Virtual Desktop) kommt für die Windows 10 Plattform die LTSC Version 2019 zum Einsatz, die bis Ende 2029 Sicherheitsupdates bekommt.

Server in Azure (IaaS) bekommen (Azure Server 2019) ebenfalls 10 Jahre Updates.

Fazit

• Clients (wenn noch nicht geschehen) auf Windows 10 Pro und SSD hochrüsten
• Neuanschaffungen von Clients/Hardware-Ersatz-Invest:
  • Neue Thin Clients IGEL UD3 einsetzen (Wenn Azure Virtual Desktop genutzt)
  • Notebooks/Ultrabooks (oder auch Rechner) neukaufen und (wenn verfügbar) Downgraderecht auf Windows 10 Pro für Neuinstallation nutzen
• Ersatzinvest für Server: Microsoft Azure (IaaS) Ressourcen anmieten, keine hohe Einmalinvest, lange Zeit Sicherheitspatches verfügbar
• Ersatzinvest für Office und Exchange Server: Microsoft 365 Business Premium mieten

Windows 11 Update blockieren

Für diejenigen, die in ihrem Unternehmen ein einheitliches Benutzer-Interface haben möchten oder wo die Hardware nicht die Anforderungen für Windows 11 #Eleven erfüllt, können per Gruppenrichtlinie einfach das ab 05. Oktober als optionales Funktions-Upgrade angebotene Funktionsupdate verhindern:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"TargetReleaseVersion"=dword:00000001
"ProductVersion"="Windows 10"
"TargetReleaseVersionInfo"="21H2"

Diese Registry Datei sorgt dafür, dass es bei Windows 10 (Build 19044) bleibt. Es werden weiterhin 1x pro Monat Sicherheitsupdates und Fehlerkorrekturen installiert.

Natürlich funktioniert das auch über eine Gruppenrichtlinie:

• Richtlinien für Lokaler Computer -> Computerkofiguration -> Administrative Vorlagen -> Windows-Komponenten -> Windows Update -> Manage updates offered from Windows Update
• Hier dann Zielversion des Funktionsupdates auswählen doppelt anklicken
• Hier Windows 10 und darunter dann 21H2 eintragen

Drucken oder nicht - Septemberpatch

Update vom 21.09.2021: Wer seine Systeme bestmöglich absichern möchte, kann nun doch das September-Update installieren. Damit weiterhin gedruckt werden kann, müssen vorher zwei Registry Schlüssel gesetzt werden. Danach die betreffenden Systeme neu starten und dann erst das Update installieren. Laut Meldungen in der Microsoft Community (und empirischen Beweis in eigener Umgebung) kann danach wieder auf Netzwerkdrucker im LAN gedruckt werden. Das Installieren des Patches ist unter Risikoaspekten deshalb empfehlenswert, weil eine viel kritischere Lücke (MSxHTML) geschlossen wurde, die das Ausführen von Schadcode bereits in der Vorschauansicht des Windows Explorers erlaubte.

Zusätzlich sollte darauf geachtet werden, dass die Druckertreiber der verwendeten Drucker auf dem aktuellen Stand sind. Hierzu müssen sie auf dem Druckserver aktualisiert werden. Mit den Registry-Einstellungen sollte dann auch der User auf einem Terminalserver mit dem neuen Treiber versorgt werden, ohne dass es zu einer Fehlermeldung kommt. Hier die Codezeilen der .reg-Datei:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print]
"RpcAuthnLevelPrivacyEnabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint]
"RestrictDriverInstallationToAdministrators"=dword:00000000

Ursprünglicher Artikel

Für diejenigen von Ihnen, die noch die alte Version von #Windows 10 im Einsatz haben (#1809, aktuell ist 21H2) gilt. Sie dürfen das obengenannte September-Patch-Release nicht installieren, weil Nebenwirkungen aufgrund der erhöhten Sicherheitseinstellungen auftreten können. Haben Sie es bereits über die automatische Updatefunktion installiert, sollten Sie es wieder deinstallieren.

Die Probleme (#Drucken funktioniert nicht mehr) können auch bei Windows Server 2019 (build 17763) auftreten. Betroffen sind dort jedoch nur der Druck- und die Terminalserver (RDS, Citrix). Auch in diesem Fall führen Sie ein Update-Rollback durch.

Wie finden Sie heraus, ob das Update installiert ist?

Start/Ausführen/Winver : Wird  Build 17763.2183 angezeigt, ist das Update installliert

gilt für Druckserver 2019, Terminalserver 2019 und alte Windows 10 Versionen 1809 (end of support)

Windows 10 Maßnahmen

Stattdessen ist es ratsam, betroffene Rechner auf die aktuelle Windows Version 21H2 zu aktualisieren. Da das von der oben genannten alten Version einer Migration gleichkommt, dauert das pro System zwischen 40 und 60 Minuten. Danach ist die aktuelle Windows 10 Version installiert, wo nach bisherigen Erkenntnissen das Sicherheitsupdate vom September (dieses hat eine andere KB-Nummer, nämlich kb5005565) keine Beeinträchtigungen auftreten.

Hintergrund: Microsoft unterstützt die aktuelle Windows Version immer 18 Monate lang. In diesem Zeitraum sollte auf das aktuelle Funktionsupgrade hochgezogen werden. Dieses wird auch (wenn man es administrativ nicht verhindert), bei ausreichender Internetverbindung mit angeboten und installiert. In allen anderen Fällen ist das System nicht mehr im Microsoft Support und Nebenwirkungen bei Sicherheitspatches sind wahrscheinlich.

Aktuell gilt für Windows 10, Version 21H2 (19044): Mit Erscheinen von Windows 11 im Oktober 2021 erhält Windows 10 bis Oktober 2025 nur noch #Sicherheitsupdates. Dennoch sollten Sie alle Systeme auf diese letzte Version 21H2 bringen.

Tipp: Den Windows 10 Stand erkennen Sie, wenn Sie Start/Ausführen: WINVER eingeben. Dort muss Version 21H2 (Build 19044.1237) stehen.

Windows Server 2019 Maßnahmen

warten, bis Microsoft eine Lösung anbietet. Solange diese Server nicht aktualisieren und die möglichen Risiken (MSTHML-Lücke und Print Nightmare Lücke) kalkulieren.

Microsoft Office 2021 LTSC erschienen

Kunden mit Volumenlizenzverträgen oder Zutritt zum Beitritt zu solchen Verträgen (Select Plus, Open Value) finden bereits jetzt im Volumenlizenzportal (VLSC) die Downloads und Lizenzschlüssel der Kaufversionen Office Standard 2021 (LTSC) und Office Professional Plus 2021 (LTSC).

LTSC bedeutet hierbei "Long Term Service Channel". Im Gegensatz zu früheren Versionen ist die Zeit, in der Sicherheitsupdates verteilt werden, nicht 10, sondern 5 Jahre lang, liegt also im Herbst 2026. Damit nur ein Jahr länger als bei Office 2016 und 2019, die im Herbst 2025 unsicher werden.

Auch während der gesamten Lebenszeit erhalten die Office-Versionen nur Sicherheitsupdates und keinerlei Funktionserweiterungen. Außerdem funktionieren die Funktionen zur Zusammenarbeit, die eine Cloud-Plattform voraussetzen, in den Kaufprodukten nicht.

Mit der weiteren Verkürzung der Laufzeit ist nun Office #365 die günstigste Alternative, #Microsoft365 Office zu betreiben. Lediglich für Kunden, bei denen feststeht, dass Sie ein Standard-Office (ohne MSAccess, ohne Collaboration, ohne Cloud Funktionen und ohne Onlinespeicher / -Postfach) ausschließlich auf diesem Gerät nutzen möchten, ist die mit einem PC oder als System Builder Version zu erwerbende "Home & Business 2021" Edition von Office noch günstiger. Die "Laden-Versionen" von Office werden ab dem 05. Oktober 2021 bestellbar sein. Sie haben kein Downgraderecht, im Gegensatz zu den Volumenversionen, die auf 2019 und 2016 gebracht werden können.

Auch neu: Für Volumenlizenzen kann kein e-Open-Vertrag mehr eröffnet werden. Diese werden über CSP-Verträge bereitgestellt. In der Open-Vertragsreihe ist nur noch Open Value (mit Software-Assurance) verfügbar.

Java für alle - Adoptium Temurin

Seit dem Wechsel zur Eclipse Foundation bekommt man hier die Hotspot Releases der kostenlosen Java-Variante. Leider dauert es noch, bis hier alle builds und auch die JRE angekommen sind. Mittlerweile findet man bei Temurin auch die nightly builds.

Derzeit ist das die einzige Möglichkeit, ein aktuelles Java mit möglichst wenigen (bekannten) Sicherheitslücken und einem komfortablen Setup, das alle Variablen und Registry-Einstellungen für die Kompatibilität mit gängigen JAVA-Anwendungen setzt. Die meistgenutzte Variante ist dabei: #JAVA 8 (Long Term Support) Runtime.

https://adoptium.net/nightly.html?variant=openjdk8&jvmVariant=hotspot

Scrollen Sie in der Liste nach unten, bis Sie die folgende Konstellation finden:

Wenn Sie die .msi Datei herunterladen, erhalten Sie JAVA mit Setup-Programm. Hier bitte alles ankreuzen und schon ist die aktuelle Java-Version auf Ihrem System. Möchten Sie die von Programmen mitgeführte JAVA Version aktualisieren (meist in einem Unterverzeichnis JRE im Programmordner), laden Sie die ZIP-Datei herunter und ersetzen den Inhalt des JRE Ordners damit. Das funktioniert natürlich nur, wenn JAVA8 und 32-Bit benötigt werden.
Ein Beispiel für solche Software ist XMind Classic 3.7.8, die letzte kostenlose Version dieser Software. Letztgenannte wird nicht mehr aktualisiert, man kann aber die enthaltene Java-Version wie oben beschrieben aktualisieren.

Sofern Sie andere JAVA-Konstellationen wie 64-Bit oder die LTS Version 16 benötigen, können Sie das auf der Projektseite am Anfang einstellen und laden dann diese Version herunter.

Mittlerweile kommen in meinem Umfeld keine kostenpflichtigen Funktionen mehr vor, für die ich Oracle Java benötige.