OpenAudit Classic Hard-/Software-Inventar App

Mit der quelloffenen Software "OpenAudit Classic" lassen sich Hard- und Software inventarisieren. Täglich um 11:00 Uhr laufen dabei Aufgaben, die Windows Server und -Endgeräte mit Ihrer kompletten Hardware, sowie installierter Softwarekomponenten automatisiert erfassen. In einem zweiten Scan werden mit NMAP Informationen (Hardware) über nicht Windows Geräte (Drucker, Kameras, TV-Geräte, Managed Switches) und andere IP-Geräte erfasst.

Die Oberfläche ist dabei eine lokale Webseite auf dem OpenAudit-Server, die über Port 4443 mit self-signed SSL-Zertifikat erreicht wird. Bei Bedarf kann sie zusätzlich mit einem Kennwort abgesichert werden.

#OpenAudit Classic inventarisiert nun auch „Windows apps“, die aus dem Microsoft Store installiert wurden (von allen lokalen Benutzern). Zusätzlich werden die im Benutzer-Kontext installierten Programme gelistet, wenn der Scan-User identisch ist (z.B. beim Clientseitigen Scan). Hintergrund: Wenn ein Nutzer sich über den Microsoft Store Windows Apps im Startbereich installiert, können diese nun inventarisiert werden und erscheinen in einer neuen Tabelle von #OpenAudit unter Software/Modern Apps.

Man kann die Version sehen und auf welchen Maschinen die Apps installiert sind. Zusätzlich lässt sich erkennen, ob die Endgeräte Legacy/BIOS oder UEFI gesteuert sind. Ein Bitlockerstatus lässt sich ebenfalls abfragen. Es existieren zahlreiche Auswertungen, die sich mit leichten PHP Kenntnissen erweitern lassen.

Ein weiteres Feature ist der Ordner „softwarelogos“. Legt man hier PNG-Dateien in 16×16 Pixel ab, die den Namen der Software tragen (Die ersten Zeichen bis zum Leerzeichen im Namen, z.B. microsoft.png), werden alle Softwareprodukte, die namentlich so beginnen, im Software-Register und den Softwareauflistungen mit dem Logo versehen.

Mi der aktuellen Distribution kommen die aktuellsten "stable" Versionen von Apache, MariaDB, PHP, PHPMyadmin zum Einsatz. Eine integrierte Wordpress Instanz lässt sich bei Bedarf aktivieren und als Intranet nutzen.

Die aktuelle Version erfordert das Entfernen der vorhandenen Installation und eine Neuinstallation, da die Datenbank von Oracle MySQL Community auf MariaDB Community 10.4 umgestellt wurde. Sichern Sie sich zuvor die Datei „pc-list-file.txt“ aus dem scripts Unterordner. Danach muss wieder neu inventarisiert werden. Ist dafür bereits eine Aufgabe im Windows Taskplaner vorhanden, die Aufgabe bearbeiten und die Zugangsdaten des Admin-Benutzers neu eingeben.

Download und Quellcodes

Wir haben Open-Audit als installierbare Version im Downloadbereich. Die Quellcodes sind auf Github abgelegt:

[ddownload id="6779"]

Quellcodes, Changelog und Projekt Repository sind auf Github abgelegt:

[linkbutton link="https://github.com/svenbolte/Open-Audit-Classic" label="OpenAudit Classic Quellcode und Repository auf Github"]

Installation

Systemvoraussetzungen: Windows Server 2016/2019/2022 oder neuer bzw. Windows 10/11 Pro oder Enterprise (auf Server 2012 R2 oder älter lässt sich NMAP zwar teilweise verwenden, da diese Betriebssysteme aber keine Sicherheitsupdates mehr erhalten, ist davon abzuraten).
Die Installation erfolgt über das Entpacken und Installieren des heruntergeladenen Setup-Pakets. Sollte nach der Aktualisierung der Visual-C++ Runtimes ein Neustart des Servers vorgeschlagen werden, ist dieser nicht nötig. Mit "Nein" antworten und das Setup erneut starten.

Nach der Installation die Oberfläche aufrufen und unter Administrator/IP-Liste erzeugen - Netzwerkliste aller Standortnetze im Format 192.688.1.0/24,172.26.12.0/24 eintragen. (oder erst nur das Hauptstellen-Netz). Die Subnetze zum Nachtragen bekommt man dann unter Sonstige Geräte/Printers IPv4 unter Port. Danach dann alle Netze beim IP-Listen Erzeuger eintragen. (Die durch das Programm erzeugte pc-list-file.txt enthält alle IP-Adressen aller Netzwerke, die OpenAudit Classic erfassen soll. Sie kann auch mit Excel befüllt werden, indem Sie in Zelle A1 z. B. 192.168.1.1 schreiben und dann nach unten bis Zeile 254 ausfüllen. Ab Spalte A255 beginnt dann das zweite Netz (einer Zweigstelle): 192.168.2.1. Wieder bis 254 ausfüllen. Am Ende markieren Sie den kompletten ausgefüllten Inhalt der Spalte A und kopieren ihn in die auf dem OpenAudit Classic Server Desktop liegende pc-list-file.txt Textdatei)

Rufen Sie nun die Windows Aufgabenplanung auf und öffnen unter Aufgabenplanungsbibliothek den Task: "openaudit scan täglich" und ggf. den NMAP-Scan-Task (für non-Windows Geräte). In beiden Task die Domäne auf Ihre Domäne einstellen und einen Domain-Admin verwenden (z. B. IHREDOMAIN.LOCAL\Administrator).

Für den #NMAP Task müssen Sie im Verzeichnis: "c:/programme (x86)/xampplite/htdocs/openaudit/scripts" die Datei audit.config in der unteren Hälfte im NMAP-Bereich anpassen und das IP-Netz Ihrer Hauptstelle eintragen (also erste Zeile: 192.168.1. - in der Zeile darunter: 192.168.001.

Der manuelle Start der Tasks lautet in der Open-Audit Konsole:

• cscript audit.vbs oder optional cscript audit.vbs 192.168.1.23 [username] [passwort]
• cscript nmap.vbs oder optional csctipt audit.vbs 154 (=IP-Endnummer des Geräts)

Offline- und Clientside Scans

Manchmal sind PCs so konfiguriert, dass sie nicht vom OpenAudit Classic Server erreicht und somit inventarisiert werden können (PULL-Verfahren). Außerdem sind möglicherweise Geräte außerhalb der Domäne vorhanden, die in das Inventar sollen. In diesen Fällen gibt es zwei Möglichkeiten, diese dennoch in die Datenbank zu übernehmen. Das PUSH-Verfahren sendet die Daten direkt vom Desktop des Clients an den Server (OA Clientside Scan) oder erstellt eine Textdatei auf dem Rechner, die dann über die OpenAudit Classic Oberfläche importiert werden kann. Anleitungen (howto) sind im jeweiligen Unterordner abgelegt. Laden Sie dazu die ZIP-Datei herunter und entpacken Sie.

Bevor Sie eine der enthaltenen Methoden verwenden, können Sie noch das Öffnen der Windows-Firewall versuchen:

• Wechseln Sie am OpenAudit Classic Server in der Verzeichnis "C:/Program Files (x86)/xampplite/htdocs/openaudit/scripts"
• Kopieren Sie die Datei 00-kunde-firewall-win10-open-oa.cmd auf jeden PC (z.B. auf den Desktop) und führen sie „als Administrator ausführen“ aus
• Öffnen Sie am Server die "Openaudit Classic Konsole" und führen einen Testscan aus: CSCRIPT AUDIT.VBS {IP-Adresse des Client-Rechners}

Möglicherweise funktioniert der serverseitige Scan nun und der PC ist nun in der Liste. Wenn nicht, wechseln Sie am OpenAudit Classic Server in das Verzeichnis in den Unterordner offline-scan oder oa-clientside-scan und verfahren Sie wie in der jeweiligen howto beschrieben:

Methode 1: mit Setup (Unterordner OA-Clientside-Scan)

• "openaudit-clientscan-setup.exe" ausführen und auf dem zu erfassenden PC installieren (erfordert Adminrechte)
• Die Datei "audit.config" mit dem Editor öffnen und in der Zeile audit_host="http://openaudit:888" statt "openaudit" den Servernamen oder die IP-Adresse des OpenAudit Classic Servers eintragen
  (alternativ: Für den Openaudit-Server im DNS-Server einen (A) Alias Eintrag erzeugen namens "openaudit")
• In die Windows Aufgabenplanzung, die Aufgabe "Openaudit-Clientside-Scan" bearbeiten und
  und einen administrativen Benutzer auswählen zur Ausführung

oder Methode 2 (von Hand):

• Den Inhalt des Openaudit Server-Ordners:
  "C:/Program Files (x86)/xampplite/htdocs/openaudit/all-tools-scripts/oa-clientside-scan"
  auf den Rechner kopieren (z.B. auf den Desktop)
• Die Datei "audit.config" mit dem Editor öffnen und in der Zeile audit_host="http://openaudit:888" statt "openaudit" den Servernamen oder die IP-Adresse des OpenAudit Classic Servers eintragen
  (alternativ: Für den Openaudit-Server im DNS-Server einen (A) Alias Eintrag erzeugen namens "openaudit")
• Die Aufgabe "openaudit-clientscan.xml" in die Windows Aufgabenplanung importieren
  und einen administrativen Benutzer auswählen zur Ausführung
  (sie startet täglich um 11:00 Uhr liefert an den OpenAudit Classic Server ab)

oder OFFLINE-SCAN (nur falls Clientdside-Scans nicht funktionieren)

• Den Inhalt des Ordners:
  C:/Program Files (x86)/xampplite/htdocs/openaudit/all-tools-scripts/offline-scan
  vom Openauditserver auf einen Speicherstick kopieren.
• "offline.cmd" vom Speicherstick ausführen --> //pcname//.txt entsteht auf dem Stick
• //pcname//.txt von C:/ mit dem Editor vopm Stick öffnen und Inhalt in die Zwischenablage kopieren.
• Die Openaudit Oberfläche im Browser aufrufen http://openauditserver:888/openaudit
• Menü "Admin" / "Add system" aufrufen
• Inhalt der Zwischenablage in das Eingabefeld dort einfügen und "Save" drücken"

• Bitte entpacken Sie den unten stehenden Download auf dem jeweiligen Desktop der nicht erfassbaren PCs (im Kontext des dort angemeldeten Benutzers, keine Adminrechte erforderlich)
  • Führen Sie im Ordner offline-scan die Datei 00-kunde-firewall-win10-open-oa.cmd auf jeden PC „als Administrator ausführen“ aus und dann aus dem Ordner „offline-scan“ die offline.cmd. Es entsteht eine <pcname>.txt in dem Ordner. Diese Datei (1 pro PC) bitte an mich übermitteln
  • Alternativ ändern Sie im Ordner oa-clientside.scan in der audit.config die Zeile audit_host=http://localhost:888 und ersetzen localhost durch die IP oder den obenstehenden Namen des Servers mit Open-Audit.
    Kopieren Sie ab dann nur den Ordner oa-clientside-scan auf den Desktop der Zielrechner und führen die oa-clientside-scan.cmd

[ddownload id="71960"]

Tipps & Tricks

Kleine #FAQ dazu: Wenn die UAC an der Server-Konsole aktiv ist, wird dort die OA-Konsole im non-elevated-rights Modus gestartet. Soll der Bitlockerstatus der Notebooks dokumentiert werden, muss die Konsole "als Administrator" ausgeführt werden, bevor der cscript audit.vbs Lauf gestartet wird. Wenn Sie die OpenAudit Classic Console mit elevated rights als Verknüpfung anlegen möchten, erstellen Sie die folgende Verknüpfung:

C:\Windows\system32\cmd.exe /k pushd "C:\Program Files (x86)\xampplite\htdocs\openaudit\scripts"

OpenAudit Classic Konsole (ADMIN)

WMI-Fehler beim Verbinden lösen

Manchmal sind die Windows Rechner so konfiguriert (insbesondere, wenn sie nicht in der Domäne sind, manchmal aber auch in der Domäne), dass sie keinen WMI Remote-Zugriff zulassen. Die Lösung muss auf den Zielrechnern ausgeführt werden:

Rechte Maustaste auf Arbeitsplatz, Verwalten
Unter Benutzer den lokalen Administrator aktivieren und ihm das Kennwort des Domänen-Admins geben, der am OA Clasic Server das Inventar erstellt.
Dienste&Anwendungen / WMI-Steuerung (rechte Maustaste, Eigenschaften)
Reiter Sicherheit / Root anklicken
Button Sicherheit drücken
Lokalen (oder einen Domain Admin) hinzufügen
Erweitert anklicken, Doppelklick auf den gewählten Administrator
anwenden auf: "Dieser und untergordnete Namespaces" wählen
Alles ankreuzen (Berechtigungen nur für... Haken aber nicht setzen)
Viermal auf OK klicken, bis alle Dialoge zu sind
Computerverwaltung schließen

Sicherheitsbetrachtung Kaspersky Antivirus

Überblick zum Hersteller

Kaspersky Lab (Kaspersky Labs Limited, KLL) ist ein international tätiger Anbieter von Cybersicherheitssoftware mit Hauptsitz in London und operativen Standorten in mehreren Ländern, darunter auch Russland. Das Unternehmen entwickelt und vertreibt Sicherheitslösungen für Privatpersonen, Unternehmen und öffentliche Einrichtungen, darunter Antivirus-Software, Endpoint-Security-Lösungen und Threat-Intelligence-Dienste.

Technische Schutzwirkung

Antivirus-Software wie Kaspersky nutzt signaturbasierte Verfahren, heuristische Analysen sowie verhaltensbasierte Erkennung, um Schadsoftware zu identifizieren und abzuwehren. In unabhängigen Vergleichstests erzielt Kaspersky regelmäßig hohe Erkennungsraten. Diese technische Leistungsfähigkeit ist grundsätzlich unabhängig von politischen oder geopolitischen Rahmenbedingungen zu bewerten.

Sicherheit und Risiken – politische und regulatorische Aspekte

Warnungen staatlicher Behörden

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im März 2022 eine Warnung vor dem Einsatz von Kaspersky-Produkten ausgesprochen. Begründet wurde dies mit einem abstrakten Risiko, das sich aus der Möglichkeit staatlicher Einflussnahme auf den Hersteller ergeben könne. Die Warnung richtet sich insbesondere an Behörden, Betreiber kritischer Infrastrukturen sowie Organisationen mit erhöhtem Schutzbedarf und wurde bislang nicht offiziell aufgehoben.

Maßnahmen und Bewertungen in den USA

Die US-Regierung stuft Kaspersky-Produkte als potenzielles Sicherheitsrisiko ein. Seit 2024 besteht in den Vereinigten Staaten ein Verbot, das den Verkauf neuer Kaspersky-Software sowie die Bereitstellung von Updates und Support für US-Personen untersagt. Als Begründung werden nationale Sicherheitsinteressen und mögliche Einflussmöglichkeiten ausländischer staatlicher Akteure angeführt.
Kaspersky weist diese Vorwürfe zurück und verweist auf interne Compliance-, Transparenz- und Kontrollmaßnahmen.

Datenschutzrechtliche Überlegungen

Antivirenprogramme benötigen für ihre Funktion weitreichende Systemrechte, darunter Zugriff auf Dateien, Prozesse und Netzwerkkommunikation. Daraus ergeben sich erhöhte Anforderungen an Datenschutz, Zugriffskontrolle und Vertrauenswürdigkeit des Herstellers. Die datenschutzrechtliche Bewertung eines Produkts ist stets einzelfallbezogen und hängt unter anderem von Einsatzszenario, Konfiguration und organisatorischen Maßnahmen des Anwenders ab.

Cyberversicherungen und Risikobewertung

Im Rahmen von Cyberversicherungen werden IT-Sicherheitsmaßnahmen regelmäßig im Zuge von Risikoanalysen bewertet. Dabei können neben technischen Schutzmechanismen auch behördliche Warnungen, regulatorische Rahmenbedingungen und geopolitische Risikofaktoren berücksichtigt werden.
Einige Versicherer prüfen im Einzelfall, welche Sicherheitslösungen eingesetzt werden und ob diese mit aktuellen Empfehlungen von Aufsichts- oder Sicherheitsbehörden übereinstimmen. Daraus können je nach Versicherungsmodell individuelle Anforderungen, Risikoaufschläge oder vertragliche Einschränkungen resultieren. Eine pauschale Ablehnung bestimmter Produkte durch Cyberversicherungen besteht jedoch nicht; maßgeblich sind stets die konkreten Vertragsbedingungen und die jeweilige Risikobewertung des Versicherers.

Bewertung der Softwarequalität

Aus rein technischer Sicht bietet Kaspersky weiterhin eine leistungsfähige Sicherheitslösung mit Funktionen wie Echtzeit-Schutz, Malware-Erkennung, Cloud-Analyse und automatisierten Updates. Die Schutzwirkung bewegt sich nach aktuellen Vergleichstests auf einem Niveau, das mit anderen etablierten Sicherheitsprodukten vergleichbar ist. Testergebnisse und Bewertungen sollten regelmäßig überprüft werden, da sich Bedrohungslagen und Softwarearchitekturen kontinuierlich weiterentwickeln.

Best Practice: Einsatz von Microsoft Defender for Business (M365)

Als Best Practice setzen viele Unternehmen auf Microsoft Defender for Business als integrierte Sicherheitslösung innerhalb von Microsoft 365. Der Defender for Business ist direkt in das Microsoft-Ökosystem eingebunden und bietet unter anderem:

• zentrale Verwaltung über das Microsoft 365 Security Portal.
• integrierten Endpoint-Schutz ohne zusätzliche Drittsoftware.
• automatisierte Bedrohungserkennung und -reaktion (EDR).
• transparente Datenverarbeitung innerhalb der Microsoft-Cloud.
• gute Anschlussfähigkeit an Compliance-, Audit- und Versicherungsanforderungen.

Durch die enge Integration in Microsoft 365 lassen sich Sicherheits-, Identitäts- und Compliance-Funktionen konsistent umsetzen. Für viele Organisationen vereinfacht dies sowohl den operativen Betrieb als auch Nachweise gegenüber Aufsichtsbehörden, Auditoren und Cyberversicherern.

Fazit

Kaspersky Antivirus stellt weiterhin eine technisch leistungsfähige Sicherheitssoftware dar. Gleichzeitig bestehen aufgrund behördlicher Warnungen und regulatorischer Entwicklungen Risiken, die über rein technische Aspekte hinausgehen. Unternehmen sollten daher eine individuelle Risiko-, Compliance- und Versicherungsbewertung vornehmen und ihre Sicherheitsstrategie regelmäßig überprüfen. Die Wahl der Sicherheitslösung sollte sich am Schutzbedarf, am regulatorischen Umfeld und an betrieblichen Anforderungen orientieren.

Disclaimer

Dieser Artikel stellt keine Rechts-, Versicherungs- oder Produktempfehlung dar. Die dargestellten Informationen basieren auf öffentlich zugänglichen Quellen und allgemeinen Sicherheitsbewertungen. Maßgeblich für den Einsatz von Sicherheitssoftware sind stets die individuellen Rahmenbedingungen, behördlichen Vorgaben, Versicherungsverträge sowie eine eigene Risikoanalyse.

Windows 11 Spam verhindern

obwohl zahlreiche Partner und auch Microsoft-Abteilungen die Verwendung von Windows 11 nicht freigeben, verwendet Microsoft nun sogar in den Windows 10 Enterprise-Versionen das "Wichtige Updates verfügbar" Symbol in der Taskleiste mit einem blauen Punkt, um Benutzer aufzufordern, auf #Win11 zu aktualisieren. Selbst wenn man mit der rechten Maustaste darauf klickt, kann man die Meldung nicht vollständig abstellen, sondern "später erinnern".

Geht man danach in die Systemsteuerung, Updates und Sicherheit, Windows Update, wird erneut mit einem prominent platzierten Banner Windows 11 beworben. Auch hier kann man nur "vorerst noch nicht" auswählen.

Domänen Admins können diese Meldungen (falls die GPO noch funktioniert) diese Meldung verhindern (die GPOs müssen dazu mindestens die ADMX-Templates von September 2021 haben):

Computerkonfiguration
> Administrative Vorlagen
 > Windows-Komponenten
  > Windows Update
   > Windows Update für Unternehmen"
Im Schlüssel "Zielversion des Funktionsupdates auswählen"

Dort muss der Wert für das Produkt: "Windows 10" enthalten und die Version auf "21H2" gesetzt werden. Sollte Microsoft für Windows 10 doch eine 22H2 Version herausbringen (19045.x), ist dieser Wert zu setzen.

Wordpress Plugin-Updates einzeln deaktivieren

Solange ein Plugin noch in der Repository angeboten wird, kann man es einfach aktualisieren, indem man die "Automatische Updates" Funktion in der Pluginliste einschaltet. Ist das Plugin auf wordpress.org deprecated oder deaktiviert, bleibt die Einstellung auf "automatisch", man kann Sie in der Pluginliste aber nicht mehr ausschalten. Zwar kommen solange das Plugin "tot" ist, keine Updates, es gibt aber Plugins, die später wieder auferstehen. Das folgende PHP-Code Snippet hilft, Plugins-Auto-Updates fallweilse aus- oder einzuschalten. Lässt sich übrigens auch für Themes nutzen.

function change_auto_update( $name, $type = 'plugin', $enable = true ) {
	if ( 'theme' === $type ) {
		$key = 'auto_update_themes';
	} else {
		$key = 'auto_update_plugins';
	}
	$auto_update_settings = get_site_option( $key, array() );
	if ( $enable ) {
		if ( in_array( $name, $auto_update_settings, true ) ) {
			return false;
		}
		$auto_update_settings[] = $name;
	} else {
		if ( ! in_array( $name, $auto_update_settings, true ) ) {
			return false;
		}
		unset( $auto_update_settings[ array_search( $name, $auto_update_settings, true ) ] );
	}
	return update_site_option( $key, array_unique( $auto_update_settings ) );
}
change_auto_update('cybersyn/cybersyn.php','plugin',false);

IT-Sicherheit – erhöhtes Risiko von Cyberangriffen

derzeit kursiert ein Schreiben vom Verfassungsschutz Baden-Württemberg: „Warnung Kritischer Infrastrukturen vor dem Hintergrund der aktuellen Entwicklungen im Ukrainekonflikt“, in dem der Verfasser Bedrohungen auflistet und Handlungsempfehlungen gibt.

Grundsätzlich ist festzustellen, dass die Zielgruppe des Schreibens nicht das klassische Handelsunternehmen ist, sondern die zur kritischen Infrastruktur gehörenden Energieversorger, Krankenhäuser, IT-Rechenzentren, Behörden und Verwaltungen.

Dennoch gelten die im Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI Standard 200-1) für die aktuelle weltpolitische Lage genau wie vor dem Krieg. Einzig das Risiko, angegriffen zu werden ist deutlich erhöht. Die Grundsätze der verwendeten Angriffsmethoden und die Maßnahmen, sich dagegen zu schützen, sind auch die gleichen wie vorher (DDOS-Angriffe, Verschlüsselungstrojaner und Ransomware). Das höchste Risiko besteht dabei durch die Mitarbeitenden. Organisatorische Maßnahmen können durch technische Aktualität ergänzt werden, es wird immer ein Restrisiko bleiben.

Beispiele für Handlungsempfehlungen und Must-Haves (nach BSI-Grundschutz)

• IT-Infrastruktur: Sind alle Router, Firewalls, Switches, Kameras, Server, IRMC, USVs, NAS-Geräte, Drucker und andere Geräte mit einer aktuellen Hersteller-Firmware ausgestattet?
• Firewall: Setzen Sie eine Firewall der aktuellen Generation mit SSL-Interception, Advanced Threat Protection, Content-Analyse auf den gesamten ein- und ausgehenden Traffic, zwei integrierten Gateway Virenscannern ein?
• Software: Microsoft Windows: Sind alle Server und Endgeräte mit Microsoft Windows Betriebssystemen auf dem aktuellen Stand (Sicherheitslevel vom letzten Patchtag)
• Software: Linux: Wenn Sie Linux-Server einsetzen – wird eine aktuell unterstützte LTS Variante eingesetzt (z.B. Ubuntu 18.04) mit allen Sicherheitspatches?
• Software: Anwendungen: Haben alle Anwendungen die aktuellen Sicherheitspatches? (Beispiele: Acrobat Reader, 7-ZIP, BGInfo, RDCMAN, Notepad++, weitere Tools
• Software: Browser: Setzen Sie ausschließlich Google Chrome für Enterprise in der aktuellen Version und Microsoft Edge für Enterprise, beide mit aktivierten Gruppen-Richtlinien ein, mit Google Chrome für Enterprise als Standardbrowser (schnellere Aktualisierung gegen Sicherheitslücken)
• Organisation, physischer Zugriff und Datenschutz: Sind alle Mitarbeiter im Umgang mit der IT insbesondere mit den Gefahren und aktuellen Bedrohungen geschult, Zugriffe eingeschränkt und dokumentiert?

IT-Sicherheit: und sie klicken doch

weil viele Spam Filter und Mitarbeiter, die immer noch gern alles anklicken englische E-Mails löschen, sind seit einiger Zeit Mails mit Schadsoftware Schaltfläche auf deutsch im Umlauf. Diese drohen dem Empfänger mit fürchterlichen Folgen, wenn er nicht auf den Link klickt. Ein besonders schlechtes Beispiel wird zwar von guten SPAM-Filtern kassiert, aber dennoch dazu führen, das ein geringer Prozentsatz auf den Link klickt:

Erinnert mich stark an das albanische, manuelle Virus aus den Anfängen der 90er Jahre. Die SPAM-Mails vermeintlicher Banken haben meist keine Rechtschreib-Fehler, allen gemeinsam ist aber, dass eine E-Mail mit einem Link darin verschickt wurde. Ein Beispiel:

Maßnahmen dagegen

• Verwenden Sie eine Firewall der aktuellen Generation mit Content-Filtering, SSL-Interception und Advanced Threat Protection
• Blockieren Sie unerwünschte Inhalte/Inhaltstypen auf Basis von Content Filtering
• Verwenden Sie eine Microsoft 365 Office-Variante und sperren per Gruppenrichtlinie die Ausführung von Makros (
  Achtung: bei den Kauf-Versionen wie Office 2021 Home & Business ist das nicht möglich!)
• Verwenden Sie einen aktuellen und zentral verwalteten Virenschutz wie Azure Defender oder Windows Defender mit Advanced Security Package und Intune zur Verwaltung
• Schulen Sie Ihre Mitarbeiter regelmäßig, weder auf Links in einer E-Mail zu klicken, noch Anhänge zu öffnen. Mittlerweile gibt es sichere Methoden, Excel und Word-Dateien bereitzustellen. Auch PDF-Anhänge sind mit Vorsicht zu genießen

Teams, Microsoft 365 und Umfragen

Wer einen Microsoft 365 Plan hat, kann entweder aus Office (Sharepoint) oder aus #Teams heraus sehr einfach Umfragen erstellen. Wir gehen heute kurz auf die simple Möglichkeit ein, das aus Teams heraus zu tun:

Das Praktische dabei: Man muss nicht erst mühsam die Umfrage in einem Formular ausfüllen, um sie zu erstellen, sondern lädt stattdessen die Forms App in das Gespräch oder den Kanal ein:

@forms Frage? Antwort 1, Antwort 2, Antwort 3, Antwort 4

Beispiel: @forms Wie hoch ist der Eiffelturm? 124m, 182m, 334m, 500m

Schickt man die Zeile ab in der Chateingabezeile, wird sofort die Umfrage erstellt und erscheint im Kanal bzw. im Chat für die anderen Teilnehmer. Alternativ kann man den Link (über das ... Menü, Rechte Maustaste) kopieren und an andere Mitarbeiter der Organisation bzw. Personen, die auf den Chat zugriff haben, weitergeben.

Voraussetzung, damit das funktioniert: Über die Teamsleiste oben im Chat das PLUS Symbol drücken und nach FORMS suchen. FORMS auswählen und speichern. Nun ist Forms Teilnehmer im Chat und die Umfrage kann wie oben beschrieben über den Erstell-String gestartet werden.

So kann man sich die wichtigsten Umfragen nicht nur im Sharepoint anlegen (und dann aufrufen über die GUI), sondern über Einspeisung Textzeile beispielsweise Schulungsfeedback im Kanal platzieren.

Hinweis: Bei den Umfrage-Apps wird auch Polly von polly.io angeboten. Diese App lässt es zu, genauso Umfragen zu erstellen. Allerdings lässt der kostenlose Plan nur maximal 25 Umfrage-Antworten pro Monat zu. Die Forms-App von Microsoft hingegen lässt sich im Rahmen der Microsoft 365 Pläne kostenlos nutzen.

Alles hat ein Ende - Internet Explorer

Mit dem Patchday am 15. Juni 2022 entfernt Microsoft im Rahmen des kumulativen Updates den Internet Explorer aus Windows 10 und 11 und (vermutlich auch) aus Windows Server 2016-22. Als Alternative wird seit etwa 2019 der neue Microsoft Edge Browser (für Windows 10) verteilt. Dieser basiert auf dem Chromium Projekt, das auch Google Chrome benutzt. Der neue Edge, auch als Edge on Chromium bezeichnet, enthält in der Enterprise-Version Gruppenrichtlinien und die Möglichkeit - falls einzelne Internet- oder Intranet-Seiten dies erfordern - einen IE-Kompatibilitätsmodus zu starten.

vorher	nachher
Internet Explorer 11 Microsoft Edge App (nur Windows 8-10)	Microsoft Edge on Chromium

Handlungsempfehlung

Sowohl Google Chrome, als auch Microsoft Edge sind als Enterprise-Versionen kostenlos erhältlich, für die es Gruppenrichtlinienpakete zur zentralen Administration gibt. Die Installationspakete sind MSI, die sich dann an die Endgeräte ausrollen lassen.

Weil selbst die Microsoft Dynamics 365 Division Google Chrome als Browser-Client für Business Central empfiehlt, Google im Chromium Projekt über 20 Jahre Erfahrung hat und kritische Sicherheits-Updates schneller ausgeliefert werden, sollte derzeit "Google Chrome für Enterprise" per Gruppenrichtlinie als Standard-Browser definiert werden.

Microsoft Edge für Enterprise (aka. Edge on Chromium) bitte ebenfalls installieren und per Gruppenrichtlinie NICHT zum Standardbrowser machen. Dieser Browser dient zum Aufrufen von Seiten im Internet-Explorer Modus und entfernt den alten Edge, der bereits jetzt Sicherheitslücken hat.

Checkliste Browser-Umstellung

• Google Chrome für Enterprise (64-Bit) herunterladen (das angebotene Bundle enthält die Gruppenrichtlinien): Google Chrome Enterprise
• Microsoft Edge für Enterprise (64-Bit) herunterladen (die Gruppenrichtlinien sind ein separater Download rechts neben dem Download-Knopf): Microsoft Edge Enterprise
• Beide Gruppenrichtlinien Pakete in den Central Store Ihres Active Directory kopieren
• Zwei Gruppenrichtlininen-Vorlagen erstellen und die gewünschten Einstellungen vornehmen (z. B. Chrome als Standard-Browser, Edge nicht)
• Installationspakete auf allen Endgeräten installieren oder an alle verteilen. Zielobjekte sind sowohl alle Server (ab Server 2012 R2), als auch alle Windows Client-Betriebssysteme (Windows 10)

Ändere Dein Passwort - Tag

Seit vielen Jahren gibt es immer am 01. Februar den Motto Tag "Ändere Dein Passwort". Nachdem schon vor Jahren durch Studien mehrerer Universitäten belegt wurde, dass der Zwang, seine Kennwörter regelmäßig zu ändern genau das Gegenteil bewirkt - nämlich unsichere Kennwörter, muss das Motto des Tages modernisiert werden.

Aktuell wäre "Sichere Authentifizierung" ein zeitgemäßes Motto.

Hintergrund

Der Passwortwechsel-Zwang führt im Regelfall bei einem 7-Stelligen Passwort dazu, dass am Ende eine zweistellige Zahl hochgezählt wird und der Hacker nur noch ein fünfstelliges Passwort "knacken" muss.

Sicherer sind die folgenden Ratschläge:

1. Verwenden Sie für jede unterschiedliche Anmeldung (Internet-Seiten, Domain-Login, Smartphone, Apps-Login) ein anderes Kennwort
2. Erzeugen Sie diese Kennwörter entweder mit einem Kennwort-Generator (im Keepass ist auch einer enthalten) oder nach einer Formel wie Anfangsbuchstaben eines Satzes, den nur Sie kennen und der Sonderzeichen und Zahlen enthält
3. Benutzer-Kennwörter sollten mindestens 7 Zeichen, Groß- und Kleinschreibung und ein Sonderzeichen bestehen. Optimalerweise enthält es auch Leerzeichen
4. Andmin-Kennwörter liegen zwischen 8 und 10 Zeichen und unterliegen ebenfalls den Komplexitätsformeln.
5. Speichern Sie diese Kennwörter in einem Kennwort-Safe, der auch ohne Internet funktioniert und das Öffnen seines Kennwort-Safes Zwei-Faktor-Authentifizierung unterstützt (Keepass Pro Passwort Safe ist eine sichere Open-Source-Software mit lokalem, verschlüsseltem Safe für Windows, android und apple ios)
6. Verwenden Sie, wenn Anbieter dies bereitstellen, die 2FA auch für Internet-Anmeldungen. Microsoft und Google unterstützen das beispielsweise für seine Online-Dienste
7. Bei allen Seiten, die Geld bewegen (Banken, Sparkassen und andere Finanzdienstleister) ist 2FA mittlerweile Pflicht. Sie können meist per SMS-Token oder mit einer App den Freischaltcode bekommen zum Durchführen einer Transaktion oder nur zum Anmelden. Die App-Variante ist dabei meist günstiger, weil einige Institute bis zu 30ct pro SMS berechnnen

Microsoft Fenster

Auch moderne Web-Interfaces bekommen immer wieder mal Übersetzungen in Landessprache spendiert. Während einige Oberflächen von #Microsoft wie die modernisierte Exchange online Admin-Oberfläche noch englisch sind, hat Microsoft an der Übersetzung im Azure Preisrechner gearbeitet:

Ich bleibe bis 2025 erstmal Fan von Fenster 10 Enterprise (im LangZeit WartungsKanal) ;)

Reboot Januar-Fehler gepatcht

Mit dem Januar-Patch hatte Microsoft Reboot Schleifen in die Domänencontroller ab Server 2012 R2 eingebaut und auch L2TP-VPNs (die sehr selten sind) ließen sich nicht mehr aufbauen. Nun gibt es Patches für die Patches, die ab sofort im Windows Update Katalog installiert werden können:

• KB5010796: Windows Server 2022
• KB5010793: Windows 10 Version 20H2 bis 21H2
• KB5010794: Windows 8.1, Windows Server 2012 R2

Die Patches liegen damit im Rahmen der Karenzzeit zum Installieren nach BSI-Grundschutz und sollten umgehend angewendet werden.

Reboot tut nicht gut - Januar-Fehler

Mit dem Patchday von Januar hat Microsoft einige Sicherheitslücken zu gut geschlossen - das Installieren des kumulativen Patches für bei allen Server-Betriebssystemen (2012 R2 bis 2022) zu erneuten Problemen.

Diesmal starten Domänen-Controller in einer Endlosschleife neu, sobald sich jemand anmeldet. Hyper-V-Hosts mögen nach dem Update in einigen Fallen gar nicht mehr starten.

Bei Windows (8.1 - 11) Clients wird, wenn man ein L2TP-VPN einsetzt (kommt eher selten vor) die Verbindung auch nicht aufbaubar sein.

Microsoft hat gestern den Patch zurückgerufen. Wer ihn aber schon auf den genannten Funktionstypen installiert hat, wird einigen Aufwand haben, ihn wieder los zu werden. (WU-Dienst stoppen, Softwaredistribution Ordner leeren, deinstallieren, Reboot). Auch wenn zu erwarten ist, dass Microsoft kurzfristig einen Patch zum Patch herausbringen wird, raten wir, den installieren Knopf auf Domänen-Controllern und HV-Hosts NICHT zu drücken.

Die Karenzzeit, in der Updates eingespielt werden müssen (Richtwert für Versicherungen) liegt bei Patchday + 7 Tage. Dadurch, dass Microsoft in diesem Fall das Update komplett zurückgezogen hat, gehen wir davon aus, dass die Zeitrechnung, bis wann das installiert werden muss, mit dem erneuten Rollout des Patch vom Patch beginnen wird.

Fazit: Die Januar-Patches auf Domänen-Controllern und Hyper-V-Hosts solange nicht installieren, bis Microsoft einen Fix ausliefert.

vodafone aktualisiert Kabelboxen

Mitte Dezember 2021 informierte #vodafone (Business, Nachfolger von #Unitymedia) Ihre Kabel-Kunden, dass nun endlich für die #Fritz!Box 6490 (die weiße mit Unitymedia Logo) das Firmware-Update 7.29 bereitgestellt wird. Die Bereitstellung erfolgte heute.

Zum Installieren musste man wie immer den Stromstecker für mindestens 30 Sekunden von der Box entfernen. Nach dem Neustart der Box hat diese das Update gezogen und mit einem erneuten Reboot installiert.

Version 7.29 bringt langersehnte QoS Funktionalität, die sich im Homeoffice positiv auswirkt. Viel wichtiger ist, dass einige Sicherheitslücken geschlossen und die Performance verbessert wurden. Dazu kommen einige Fehlerbehebungen. Das komplette Changelog wird angezeigt, wenn man nach dem Update auf der Startseite der Box oben rechts auf die Versionsnummer 7.29 klickt.

Für die freien Boxen (keine Mietprodukte) gibt es das Update schon mehrere Monate, für gängige Repeater wurde im Dezember Version 7.29 ausgeliefert.