Exchange-Lücke: 40.000 Server ungepatcht
Bereits im Februar 2020 hat Microsoft kritische #Sicherheitslücken im #Exchange Server geschlossen. Sie ermöglicht es Angreifern, das System über das Internet (per Web App bzw. die Push-E-Mail-Schnittstelle) komplett zu übernehmen. Die Lücke betrifft alle Exchange Server ab 2003. Patches stehen jedoch nur für die noch unterstützten Exchange Versionen: 2013, 2016 und 2019 zur Verfügung. Außerhalb der Reihe auch noch ein Notfallpatch für Exchange 2010 (hier war der offizielle Support bereits im Februar 2020 beendet). Weil die Sicherheitsforscher immer 90 Tage nach einem Patch die Funktionsweise von Sicherheitslücken veröffentlichen, besteht ein hohes Risiko. Internet-Analysen haben bestätigt, dass (Stand gestern) über 40.000 Server weltweit nicht gepatcht sind. Handlungsbedarf Im Dokument zur CVE-2020-0688 ist beschrieben, was zu tun ist. Wer noch Exchange 2010 im Einsatz hat, sollte sich zusätzlich zeitnah überlegen, nach Exchange online zu migrieren (Listenpreis pro User/Postfach/Monat rund 4,20 €). Die Miete von Exchange ist unter Betrachtung der Leistungsmerkmale und Sicherhit/Verfügbarkeit haushoch überlegen gegenüber dem Neukauf aller Lizenzen und der Aufrüstung der Server. Zudem entfällt der hohe Migrationsaufwand dann nach vollendeter Exchange Online-Migration für die Zukunft. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688 Admins, die neuere Versionen einsetzen, haben neben dem Installieren des Sicherheitspatches erst wieder Handlungsbedarf, wenn die Hardware Garantie abläuft. Dann wird die Online Migration auch für diese Szenarien wirtschaftlich und interessant.
Kategoriebild
Windows 10 20H1 Proxy-Einstellungen
Im Dezember 2019 sind #Sicherheitsupdates und das Feature-Upgrade von #Win10 fertig geworden. Geplant ist die Verteilung am Patchday im April 2020. Für einen (offensichtlich noch unentdeckten) Fehler - denn man liest nichts in den Foren und im Helpdesk davon gibt es im Moment nur einen Workaround. In den Windows Einstellungen unter Netzwerk gab es den Menüpunkt Proxy. Wer einen Proxy-Server einstellen wollte, oder in Google Chrome, Edge on Chromium oder Firefox die Proxy-Einstellungen setzen wollte, konnte das dort tun. Mit dem Release-Build 19041 von Windows 10 sind die Suchbegriffe dorthin noch vorhanden, es gibt aber weder den Menüpunkt, noch das Proxy Einstellungen Menü im sog. Immersive Control Panel. ICP ist der Nachfolger der Systemsteuerung. Workaround: Wer sich für ein Windows mit Internet Explorer (also keine K- oder N-Version) entschieden hat, kann den guten alten Internet Explorer aufrufen und unter Einstellungen, Verbindungen wie damals den Proxyserver und verwandte Einstellungen dort setzen. Hat man in der Domäne eine Gruppen-Richtlinie definiert, wird diese auch noch funktionieren. Es ist also lediglich die Immersive Controlpanel Seite defekt. Da Microsoft sagt, dass der Build 19041 bleiben soll, kann der Fehler nur mit einem Patch-Update hinter dem Versionspunkt behoben werden. Testsystem ist ein Windows 10 Enterprise-Version mit Inplace-Upgrade auf Windows 10 2004 mit Februar-Patches (19041.84)
Kategoriebild
Microsoft verBINGt Standardsuchmaschine im Februar
Mit dem Februar-Update für Office 365 wird Microsoft die Windows Suchmaschine ungefragt auf BING umstellen. Ebenso wird bei Google Chrome ebenfalls ungefragt eine BING-Erweiterung installiert.Administratoren, die das verhindern möchten, können das über eine Gruppen-Richtlinie unterbinden. Dazu müssen die aktuellen GPOs von Office 365 in den Central Store vom Active Directory importiert werden. Für diejenigen, die keine Gruppenrichtlinien einsetzen (können oder wollen), lautet der Registry-Schlüssel: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\office\16.0\common\officeupdate] "preventbinginstall"=dword:00000001 Ist er gesetzt, sollen die Aktionen verhindert werden und die selbst gewählte Suchmaschine bleibt bei Google oder Anderen. Ob die Richtlinie auch für Microsoft Edge (on Chromium) wirksam ist, bleibt zu testen. Bisher gibt es noch keine Aussagen dazu.
Kategoriebild
Zeit zu handeln: Win7, Server 2008R2, SQL-Server 2008R2, Exchange 2010, Office 2010
etwa ein halbes Jahr bleibt noch Zeit, alle oben genannten Betriebs-Systeme und Anwendungs-Software auf neue Versionen zu aktualisieren. Hintergrund: Am 20. Januar 2020 endet der erweiterte Support für diese Software. Folge: Es werden keine Sicherheits-Updates mehr veröffentlicht. Ab dem ersten Patchday im Februar 2020 können dadurch bekannt gewordene, aber von Microsoft nicht mehr geschlossene Lücken benutzt werden, um Ihre Systeme von Extern unter Kontrolle zu bringen. Auswirkungen ungepatchter Systeme Dies kann dazu führen, dass die Server und Rechner beispielsweise ihre komplette Rechenleistung zum Bitcoin-errechnen für den Angreifer nutzen und Sie sich wundern, dass die Server so langsam sind. Im schlimmsten Fall nisten sich im SQL-Server über SQL-injection Downloader ein, die intelligent und meist von Virenscannern unerkannt Schadprogramme herunterladen und ausführen. Etwas weniger als vor 2 Jahren, aber immer noch verbreitet, sind Ransomware-Schadprogramme, die alle Daten und Dokumente mit Schreibzugriff verschlüsseln und Lösegeld fordern. Was ist zu tun? Exchange 2010 - Neuwerwerb der Serverlizenz und aller User-CALs (Exchange 2019 + x mal Exchange 2019 Standard User CAL). Die Migration der Daten muss in mehreren Schritten erfolgen, 2010 auf 19 direkt ist nicht möglich Exchange 2010 - alternativ auf Mietmodell umstellen: Exchange online pro User anmieten, Einrichten, AD mit der Cloud synchronisieren, MX-Eintrag der Domains über Microsoft laufen lassen, Daten in die Microsoft Rechenzentren migrieren. Office 2010 - alternativ Mietmodell, Migration zu Office 365 Office 2010 - Neuerwerb der Lizenzen (Kaufmodell, Office 2019, je nach Einsatzzweck unter RDS-Terminalbedingungen als Volumen-Lizenz) SQL-Server 2008R2 - Neulizensierung des Servers (Runtime oder Standard Volumenlizenz, je nach…
Kategoriebild
Letztes freies Java Sicherheitsupdate
Oracle hat heute das letzte kostenlose Java-Sicherheitsupdates für die #Java Runtime 8 veröffentlicht. Die Versionsangabe steigt damit auf Version 8.0.202. Ab Februar sind dann weitere Updates der Runtime nur mit einem kostenpflichtigen Abo zu beziehen. Wer noch Anwendungen auf Java-Basis (lokale Anwendungen und auch Browser-Web-Anwendungen) einsetzt, sollte schnell handeln, damit keine größeren #Sicherheitslücken genutzt werden ab Februar. Alternativen zur kostenpflichtigen Java wie das #Adoptium (OpnJDK) habe ich in dem anderen Artikel genannt. Das Prüfprogramm für elektronische Rechnungen "Secsigner" erfordert bereits jetzt keine Oracle Java Runtime mehr, sondern enthält eine eigene OpenJDK im Installationspaket.
erstes Bild
Kategoriebild
Java-Alternativen
Wer nur eine #Java Runtime benötigt, um damit in Java entwickelte Programme lokal betreiben zu wollen, kann die #Adoptium openJDK Java Laufzeitumgebung installieren, die GPL-lizensiert ist (also Open-Source). Zwar fertigt auch hier Oracle die Windows Binärdateien an, diese unterliegen aber dem GPLv2 Lizenzvertrag und sind damit ohne Lizenzgebühren weiterhin verfügbar. So ist Version 11.0.1 binärkompatibel zur lizenzpflichtigen Java SE 11 - aber kostenlos. Leider gibt es kein Installations-Programm, sondern nur eine ZIP-Datei. Das bedeutet, dass man sich (z. B. mit Innosetup) selbst ein Setup bauen muss, oder die von Java-basierter Software benötigten Registrierungs-Einträge und ggf. einen JAVA-Pfad und eine Systemvariable in der Umgebung von Hand einrichten muss. Ich habe mit einem Innosetup, dass nur die javasoft Registrierungs-Einträge setzt, beispielsweise TV-Browser und den Seccommerce SecSigner starten und benutzen können. Die Oracle 8 Update 192 Version hatte ich zuvor komplett deinstalliert. :N Wer ein Browser-Plugin benötigt (aktuell nur noch als Active-X für den Internet Explorer 11), wird mit dem Anbieter der Software über Alternativen diskutieren müssen, Lizenzgebühren auf Mietbasis für Java SE 11 zahlen oder die ab Februar 2019 potenziell unsichere Java Runtime 8U192 verwenden. (Post ID:1177)
erstes Bild
Kategoriebild
Skype 7.40 für Desktop und die lästigen Banner
"Wechsle zu Skype für Windows 10" Banner. Die Version 8 von #Skype (für Desktop) ist , wie viele Benutzer meinen, "der letzte Mist". So fehlen Funktionen aus der 7er Version, die Bedienung ist umständlicher, das Zufügen von Elementen ist auf verschiedene Menüs verteilt (vorher in der Sendezeile im Chat), Video-Gruppenkonferenzen sind eingeschränkt. Zusätzlich schleppt die Desktop-Version rund 100 MB Chromium DLLs mit sich herum, startet langsamer und verbraucht deutlich mehr Arbeitsspeicher. In der Benutzerliste sieht man nicht mehr wie vorher an der Ampelfarbe (rot, gelb, grün, weiß, grau), welchen Status der Benutzer hat. Hierzu muss man jetzt den Benutzer anklicken und erst dann erscheint der Status. :X Für Administratoren gibt es KEINEN MSI-Installer! Installiert man die Version 8.1x mit einem eigens erstellten MSI-Installationspaket, so wird beim nächsten automatischen Auto-Update zusätzlich ein weiterer Skype-Eintrag in der Programme-Liste erzeugt. Totaler Schrott! :( Ich habe auch noch keionen Weg gefunden, das Auto-Update bei der Desktop-Version 8.x zu unterbinden! Solange da nicht die Funktionalität abgebildet wird, die Skype 7.4 hatte, ist die neue Version weder als UWP App, noch als Desktop-Version sinnvoll. Da die Nervmeldungen mittlerweile alle 7 Tage kommen, hilft es nur, ein VBscript zu schreiben, dass die Datei "shared-xml" im %appdata%/skype Ordner nach "UWPPROMO" durchsucht und den darauffolgenden Eintrag "Lastshown" auf ein Datum in maximal 2 Wochen setzt. Das Datum ist im Unix-Format "serialdate": 1515529435 ist etwa Mitte Januar 2018. Eine weitere Alternative, ist es, Sykpe MSI Version 7.33.32.104 zu installieren. Dies ist die letzte Version, die keine nervige UWP Meldungen hat.…
erstes Bild
Kategoriebild
Februar Patchday verschiebt sich
wie jetzt bekannt wurde - um 30 Tage. Erst im März werden wieder Sicherheits-Patches verteilt. Normalerweise sollte am 2. Dienstag im Februar gegen 19 Uhr deutscher Zeit die monatliche Sicherheits-Patch Auslieferung beginnen. #Microsoft hat aber wegen zu befürchtender Nebenwirkung einen Rückzieher gemacht und die Patches zurückgehalten. Wegen dieser Verzögerung sind Personen, die mit dem Internet-Explorer oder Microsoft Edge im Internet unterwegs sind, besonders gefährdet, da zeitgleich Adobe eine kritische und bereits ausgenutzte Sicherheitslücke geschlossen hat. Mit der verspäteten Auslieferung der Windows Patches wird auch der Embedded Flash Player nicht verteilt. Sicher sind der Browser Chrome for Enterprise. Das eingebettete Flash Objekt wurde bereits heute morgen ausgetauscht. Um die Sicherheitslücke zu vermeiden, sollte Ihr Flash Player die Version 24.0.0.221 haben. (Letzte Revision: 10.02.2017 19:49:01) (Post ID:1051)
erstes Bild
Kategoriebild
Samsung Galaxy A5 (2017) SM-A520F
Ernstzunehmender S7-Konkurrent im Power-Smartphone Bereich, in einigen Disziplinen sogar dem Galaxy S7 überlegen. Das seit Anfang Februar verfügbare Smartphone kommt mi3 32! GB interner SD, 3GB RAM und 8-Kern-Exynos Prozessor. Es hat wie das S7 einen Fingerabdrucksensor (Erkennung durch Auflegen) , ein UKW-Radio und 2 16MPixel Kameras. Alle Selfiefreunde finden toll, dass die Frontkamera so hoch auflöst. Es wird mit android 6.0.1 ausgeliefert, Samsung sagt ein Update auf Nougat (7.1.x) zu. Weggelassen hat man leider: * Den Puls-Mess und Sauerstoffdickte Sensor (im S-health werden diese Rubriken dann leider nicht mehr angezeigt, ebenso die bisher gemessenen Werte (mit dem S5) nicht. Man hätte wenigstens die vorhandenen Messwerte anzeigen können und die Möglichkeit zur manuellen Erfassung geben sollen. Alternative: Kardiometer misst über die normale Kamera den Puls, ist aber mit einem Werbebanner. * Infrarot: Braucht kaum noch jemand, selbst als Fernbedienung lassen viele TVs heutzutage Wifidirect oder Bluetooth zu. * Die Kamera hat keinen Selektiven Focus Modus, keine 3D-Aufnahme, keinen Sportmodus und weniger nachinstallierbare Effekte und Programme. Hier kann bereits das S5 mehr (S5 wird derzeit noch neu zum gleichen Kaufpreis wie das A5-2017 gehandelt). Panorama-Aufnahmen und HDR sind aber weiterhin vorhanden. Die Samsung Musik App ist seltsamerweise nicht vorinstalliert, man kann sie sich aber herunterladen. Positiv fällt auf, dass sich die meiesten Google Apps (Bücher, Musik, GDrive usw. deinstallieren lassen) vodafone brennt lediglich eine vodafone Start App mit ins ROM und einen vodafone Browser namens "internet". Die 2 lassen sich leider nicht entfernen. Ansonsten ist das Telefon nicht zu heftig mit…
erstes Bild
Kategoriebild
Windows 10 Insider build 14327 bringt zahlreiche neue Funktionen
vor allem für Tablet-Geräte mit aktivem Stift. Der Startmenübereich wurde überarbeitet und ist komfortabler. Leider ist immer noch die Richtlinie entfernt, mit der man bis Februar den #Lockscreen ausschalten konnte. Da 99% aller Geschäftskunde KEINE Infrarotkamera mit Gesichtserkennung und keinen Fingerabdrucksensor nutzen können, bedeutet das für Alle vor jeder Anmeldung und nach dem Sperren des PCs einen zusätzlichen, unnötigen Tastendruck auf die Leertaste, bevor das Kennwort eingegeben wird. Darüber hinaus ist der Lockscreen grafiklastig und es lässt sich auch kein einfarbiger Hintergrund mehr dafür wählen... Scheinbar haben die Entwickler in Redmond die Kundenorientierung verloren! :X (Letzte Revision: 23.04.2016 13:21:17) (Post ID:1012)
erstes Bild
Kategoriebild
Adobe Flash Player Update
trotzdem Sicherheitslücke offen. Java 8 javamsi aktualisiert auf Version 31. Google #Chrome bringt Version 40 heraus. Sowohl Chrome und der Internet-Explorer 11 haben die derzeit aktuelle Flash Version 16.0.0.287 im Rucksack. Trotzdem enthält dieser Flash Player noch eine kritische Sicherheitslücke, die laut aktuellen Ankündigungen von Adobe erst am 27. Februar geschlossen wird. Ruft man bis dahin Webseiten auf, die Flash-Inhalte haben, könnte der eigene Rechner infiziert werden. Wer ganz sicher gehen möchte, deaktiviert bis dahin das Flash Player ActiveX (Internet Explorer) oder Plugin (alle anderen Browser). In Chrome lässt es sich z.B. über chrome://plugins abschalten und später wieder einschalten. Im Internet Explorer über das Zahnrad und dann "Add-Ons verwalten". (edit: 24.01.2015 14:49:44) Update vom 27. Jan: Adobe liefert nun Version 16.0.0.296 aus, die wieder ohne bekannte Sicherheitslücken ist. Auch für Internet Explorer 11 und Chrome 40 laden die Update die aktuelle Version nun automatisch. Chrome trägt damit die Version 40.0.2214.93 m (64-bit). (Post ID:895)
erstes Bild
Kategoriebild
In Nigeria gibt es neuerdings auch Fax!
und ein Solches, in lustigem Deutsch - sogar mit Umlauten und mit der zukünftigen Grammatikreform verfasst, hat mich darüber informiert, dass ich 40% (vor Steuern) von über 8 Millionen Euro geerbt habe. Abgesendet wurde es in der Zeitzone EST+6, das ist China. Der Rechtsanwalt mit dem Künstlernamen "Martin Baach ESQ", mit bürgerlichem Namen "dumie benerd" mit Büro in der Bedford row 45 in London (das ist ein leerstehendes, 5-stöckiges Haus im Stadtzentrum), hat doch gestern ganze 35 US-$ ausgegeben, um seine Domain für ein Jahr zu registrieren und extra das Weblayout von einer anderen Seite für mich dorthin kopiert (Mirrored from www.18carltoncrescent.co.uk/home). Wie man dann bei whois erfährt, kommt dumie aus Nigeria: Domain Name: HARCOURTSLLP.COM Registrar: PDR LTD. D/B/A PUBLICDOMAINREGISTRY.COM
erstes Bild
Kategoriebild