OpenAudit Classic Software-Vergleich
Der aktuelle Build 2022-07-10 von #OpenAudit Classic kann nun die PB Softwareliste über das Admin-Menü importieren und vergleicht installierte Software-Versionen mit der importierten Dateiversion. So lässt sich prüfen, ob die installierte Basis einen mit der importierten Datei aktuellen Stand hat. In der Softwareliste werden alte Versionen rot gekennzeichnet, ist die Version auf dem importierten Stand: grün. Eine Spalte mit Beschreibungen zu in der importierten Liste gefundenen Produkte, sowie eine Lizenzart-Spalte wurden in der Softwareliste ergänzt. Die Spalten der Hardwareübersicht wurden umsortiert, so dass zuerst die logischen Cores (z.B. einer VM oder eines Azure virtuellen Servers) angezeigt werden, dann Prozessortyp und cpu Sockets und physikalische Cores (vcpu). OpenAudit Classic neuer Build 2022-07-10
erstes Bild
Kategoriebild
Sicherheitslücken in PHP 7 – 8.1
Update: Nach meinen Recherchen haben die führenden Hosting-Provider (all-inkl.com, Strato, ionos...) das PHP-Punktrelease 8.0.20 installiert, so dass diese Plattformen derzeit vor Angriffen gegen diese Lücken abgesichert sind . In den aktuell von der Community unterstützten Versionen von PHP wurden einige kritische #Sicherheitslücken geschlossen (CVE-2022-31625, CVE-2022-31626). Wer Webserver im Internet betreibt oder wie üblich bei einem Provider hosten lässt, sollte prüfen, ob er die derzeit empfohlene Version 8.0.20 im Einsatz hat, ansonsten auf die Version aktualisieren. Viele Webseiten basieren auf #Wordpress, dem quelloffenen Content-Management System. Aber auch Joomla oder Typo3 setzen PHP und eine MySQL/MariaDB als Datenbank ein. Durch die Lücken werden diese Webserver angreifbar und könnten unter fremde Kontrolle gebracht werden. Das quelloffene #OpenAudit Classic setzt ebenfalls PHP und die MariaDB ein. Das Risiko ist hier zwar deutlich geringer, da die Webserver nicht im Internet erreichbar sind, eine Aktualisierung ist aber empfohlen. Auf unseren Downloadquellen ist ab Version 2022-06-xx die aktuelle PHP Version 8.0.20 enthalten. Apache und MariaDB sind ebenfalls auf dem jeweils aktuellen Stand. Wer noch alte PHP Versionen wie Version 5.x einsetzt, sollte das nicht im Internet tun. In einem Intranet oder Extranet ist das Risiko aufgrund der eingeschränkten Teilnehmerzahl zwar geringer, aber grundsätzlich vorhanden. Angreifer müssten sich dazu zunächst im Intranet/Extranet anmelden.
Kategoriebild
DHCP Server herausfinden
Wenn man an einem Endgerät mit fest eingestellter IP-Adresse sitzt oder mit einem Server per RDP-Konsole verbunden ist, wird es schwierig, herauszufinden, welcher der DHCP-Server im Netzwerk verantwortlich ist. In OpenAudit Classic, speziell in der NMAP-Software gibt es ein Script, das ein vorgegebenes Netzwerk nach DHCP-Servern absucht. Öffnen Sie dazu die Open-Audit-Konsole und wechseln in dem Pfad, in dem NMAP installiert ist. Führen Sie dann den folgenden Befehl aus (dabei das eigene Netzwerk, das Sie mit IPCONFIG herausfinden können, angeben: "C:\Program Files (x86)\xampplite\nmap\nmap.exe" -sU -p 67 --script=dhcp-discover 10.10.10.1-254 oder gefiltert: "C:\Program Files (x86)\xampplite\nmap\nmap.exe" -sU -p 67 --script=dhcp-discover 10.10.10.1-254 |find "Identifier" NMap durchsucht das ganze Netzwerk, ob DHCP-Server vorhanden sind. Steht unter einer IP: dhcps:open, haben Sie den Server in Ihrem Netzwerk gefunden. Mit echo %logonserver% bekommt man dann noch den Domain Controller heraus, über den man sich angemeldet hat, das gefilterte Domain Controller Suchkommando für NMAP lautet: nmap -p389 -sV 10.10.10.1-254 |find "Service Info" nmap -p389 -sV 10.10.10.1-254 |find "389/tcp open"
Kategoriebild
Microsoft Teams nutzen
Seit März 2020 ist Microsoft #Teams eines der wichtigsten Werkzeuge für uns geworden. Es basiert auf Skype Technologie. Beide Anwendungen haben somit die gleiche Basis, aber eine andere Ausrichtung: Skype zielt auf den Endanwender/Consumer (darf aber laut Lizenzvertrag auch für Administratoren zur INTERNEN Remotehilfe von Mitarbeitern genutzt werden). Plattformen: Windows Chromium-basierter Browser, besser: die Windows Skype for Desktop Anwendung, android oder apple IOS Smart-GeräteTeams free (ohne Microsoft 365 Subscription) erlaubt es, kostenlos an Besprechungen teilzunehmen, die jemand mit Lizenz erstellt hat - oder adHoc-Besprechungen mit Anderen (auch ohne Lizenz) zu starten. Eine Zusammenarbeit von mehreren Mitarbeiten und/oder die Sharepoint Funktionen können nicht genutzt werden.Empfehlung: Teams mit Microsoft 365 Abo hat je nach Plan viele Funktionen mehr freigeschaltet (z. B. Kalender-Integration in Exchange online, Nutzung des Sharepoint aus Teams heraus, Dateifreigaben, geteilte Ordner, bis hin zur Abschaffung der Telefonanlage (Teams Telefonie) Diese Anleitung hilft Ihnen, einfach an Teams-Sitzungen teilzunehmen. Eine Detaillierte Anleitung (PDF) ist im Download-Bereich zu finden. Voraussetzungen Hardware, Sitzung, Leitung Die Teilnahme mit einem Notebook mit externem Lautsprecher ist die einfachste Lösung. Es kann aber auch ein Windows PC mit angeschlossener USB-Webcam und Headset mit Mikrofon (über USB oder Klinkenstecker) verwendet werden. Auch wenn Microsoft die Verwendung in einem Azure Virtual Desktop unterstützt, ist die beste Performance auf dem lokalen Rechner gestartet zu erwarten. Als Betriebssystem empfehlen wir Windows 10 Pro (nicht Windows 11 Pro) Die Internet-Leitung sollte bei Verwendung von Video eine Breitband-Verbindung sein (VDSL 50 aufwärts oder Glasfaser, LTE/5G mit Einschränkungen) Anleitung zur Teilnahme Auch wenn Sie…
Kategoriebild
LOG4J Sicherheitslücke JAVA
In Servern und Serverdiensten, die auf der Programmiersprache #JAVA basieren (nicht Javascript!), gibt es eine Bibliothek namens #LOG4J zum Protokollieren von Informationen. Manche Software-Produkte verwenden diese Bibliothek. Ist diese Bibliothek nicht auf dem neusten Stand (betrifft Versionen 2.0 bis 2.16), können Angreifer Kontrolle über den darunter liegenden Server erlangen. Betroffen sind somit Linux-, Unix- und Windows Server – sofern Sie einen JAVA-basierten Serverdienst mit der Bibliothek nutzen. [Anm d. Red.] Grundsätzlich haben auch alte LOG4J-Bibliotheken Version 1.x Sicherheitslücken. Das Bundesamt (BSI) stuft diese alten Versionen aber als geringes Risiko ein. Die vielfach verwendeten Uqibiti WLAN-Access Points der amerikanischen Firma Unifi. Die Controller-Software, um ganze WLAN-Netzwerke zu verwalten, lässt sich auf einer Hardware-Appliance, unter Linux oder unter Windows (-Server) als Dienst betreiben. Nur mit Version 6.5.54 ist die Lücke geschlossen. Firmware-Updates bzw. Software-Updates sind unbedingt erforderlich. Als Runtime kann Adoptium eingesetzt werden. Seccommerce, der Anbieter von Digitalen Signatur-Lösungen (z.B. E-Rechnung mit digitaler Signatur gegen Fake E-Mails) hat veröffentlicht, dass sie kein LOG4J einsetzen in deren Server-Softareprodukten – und am Client Adoptium JRE unterstützen. Handlungsbedarf Ermitteln Sie den Software-Bestand auf Ihren Servern und Endgeräten (Windows und Linux), sowie auf Hardware-Appliances (wie Kamera-Servern, Zeiterfassungs-Software und Diensten auf Servern). Hierbei kann Open-Audit (audit und nmap scan) insbesondere für die Windows-Umgebung hilfreich sein.Nehmen Sie mit den Herstellern der Software Kontakt auf, und/oder prüfen, ob es aktuelle Versionen oder Firmware Updates gibt.Führen Sie diese Updates durch (oder lassen sie vom Anbieter durchführen). Scan-Tool (nur für Windows) Für das Entdecken von Lücken auf der Windows-Plattform (erkennt damit…
Kategoriebild
OpenAudit Classic – Neue Funktionen
#OpenAudit Classic ist ein quelloffenes Werkzeug zum Erfassen von Hard- und Software-Inventar im eigenen Netzwerk. Es basiert auf einem Apache Webserver, PHP und einer MariaDB (MySQL) Datenbank. Auf einem Windows Server installiert, lassen sich über einen WMI-Scan die Windows Geräte (PCs und Server) und über einen Scan mit der ebenfalls quelloffenen Software NMAP auch Netzwerk-Switches und Router, Kameras, Thin-Clients und andere "Nicht-Windows" Geräte. Die Auswertung erfolgt über das Browser-Interface. Listen können beispielsweise nach Microsoft Excel exportiert werden. Zahlreiche Auswertungen stehen zur Verfügung. Lizenzpflichtige Produkte können in einer Lizenzbilanz dokumentiert werden. Erfasst werden auch „Windows apps", die aus dem Microsoft Store installiert wurden (von allen lokalen Benutzern). Zusätzlich werden die im Benutzer-Kontext installierten Programme gelistet, wenn der Scan-User identisch ist (z.B. beim Clientseitigen Scan). Hintergrund: Wenn ein Nutzer sich über den Microsoft Store Windows Apps im Startbereich installiert, können diese nun inventarisiert werden und erscheinen in einer neuen Tabelle von Openaudit unter Software/Modern Apps. Man kann die Version sehen und auf welchen Maschinen die Apps installiert sind. Ein weiteres Feature ist der Ordner „softwarelogos“. Legt man hier PNG-Dateien in 16×16 Pixel ab, die den Namen der Software tragen (Die ersten Zeichen bis zum Leerzeichen im Namen, z.B. microsoft.png), werden alle Softwareprodukte, die namentlich so beginnen, im Software-Register und den Softwareauflistungen mit dem Logo versehen. Die aktuelle Version erfordert allerdings das Entfernen der vorhandenen Installation und eine Neuinstallation, da die Datenbank von Oracle MySQL Community auf MariaDB Community 10.4 umgestellt wurde. Sichern Sie sich zuvor die Datei "pc-list-file.txt" aus dem scripts Unterordner.…
Kategoriebild
JAVA – kostenlose Alternative
Seit April 2019 (und Java Version 8 Update 211) dürfen Geschäftskunden #JAVA nur noch verwenden, wenn Sie über eine aktive Subscription (Wartungsvertrag) von Oracle verfügen. Pro "named User" kostet die Java Runtime rund 28 € pro Jahr. Da Java aber ohne die Oracle Komponenten weiterhin Open Source Projekte sind, gibt es zahlreiche Abspaltungen (forks) aus dem kostenlosen OpenJDK. Das flexibelste Projekt, das sich auch noch über eine .msi Installer Datei einfach verteilen lässt, ist dabei AdoptOpenJDK - jetzt #Adoptium . Auf der Projektseite kann man sich dann den passenden Installer herunterladen oder aber bestehen Java-basierte Software aktualisieren, indem man die .ZIP-Datei herunterlädt und in der Software den Inhalt des Unterordners /JRE austauscht. Praxistipps zu Java Ermitteln Sie zunächst, welche JAVA-Versionen bei Ihnen in Betrieb sind. Hierbei kann Ihnen das Open Source Inventarwerkzeug "Open-Audit Classic" helfen, das wir im Download Bereich für Sie anbieten. Varianten: "Hotspot" ist derzeit weiter verbreitet als "OpenJ9". Daher bitte zunächst mit der Hotspot-Variante ausprobieren. Wenn es Fehler beim Aufruf der Software gibt, die OpenJ9 Variante installieren. Die meisten JAVA-Anwendungen basieren auf JAVA Version 8 in 32-Bit (x86). Auf der Projektseite demnach die Windows x86 Variante herunterladen. Laden Sie immer das Produkt herunter, wo JRE hinter steht, nicht das JDK. Wir wollen ja nicht in JAVA entwickeln, sondern nur die Runtime nutzen. Die Runtime ist zwischen 30 und 40 MB groß, das JDK über 100 MB. Im Installationsprogramm dann bitte alles ankreuzen. Nur so werden die Umgebungsvariablen und die Registry-Einstellungen gesetzt, die helfen, dass die Software auch…
Kategoriebild
Skype vs. Skype für Business vs. Teams
Diese #FAQ beschreibt, wie man Skype einsetzt. Von Microsoft gibt es drei Produkte, um eine Remote-Bildschirmübertragung mit gleichzeitigem Audio und Chatoption durchzuführen: Skype for Business (ehemals Lync) – wird 2021 eingestellt – Beide Seiten müssen Lync (Skype for Business Server) im Einsatz habenMicrosoft Teams (Nachfolger von SfB) – erlaubt in der kostenlosen Version keine Bildschirmsteuerung. Der volle Funktionsumfang ist nur mit einem Office 365 Premium Abonnement verfügbar. In der Free Version können Videotelefonate und Bildschirmfreigabe genutzt werden.Microsoft Skype (ehemals Skype – die Firma hat es erfunden). Die Skype App ist bei jedem Windows 10 Betriebssystem seit Version 1803 vorinstalliert. Wenn noch ältere Betriebssysteme im Einsatz sind oder wer die Desktop Version lieber mag, kann sich diese auf skype.com herunterladen. Damit lassen sich nach Anlage eines kostenlosen Microsoft Kontos auch Bildschirmsteuerung, Videotelefonie, Chat, Audio-Skype-Anrufe und sogar Konferenzen nutzen. Auszug aus dem Skype-Lizenzvertrag, Kap. 4.1: "Um Zweifel auszuschließen, (a) dürfen IT-Administratoren, die für ein Unternehmen arbeiten, die Skype-Software auf PCs oder andere Geräte herunterladen und auf Geräten installieren, die von Mitarbeitern dieses Unternehmens genutzt werden, und (b) es ist Ihnen erlaubt, die Software [...] am Arbeitsplatz zu nutzen." Da Drittanbieter wie Teamviewer und PC-Visit immer lizenzpflichtig sind und weniger Möglichkeiten bieten, sind die Microsoft-Produkte nahe liegend und von Vorteil. Skype Vorbereitung * Schauen Sie nach, ob in Ihrem Start Menü eine "Skype" Kachel ist. Wenn nicht: Laden Sie Skype for Desktop von den Microsoft Skype Seiten herunter Richten Sie sich ein Skype Konto (Microsoft Konto) ein. Verwenden Sie dabei nicht eine Firmen-Adresse,…
erstes Bild
Kategoriebild
Server in Azure, Clients optimieren
Während in den meisten Fällen statt der Anschaffung neuer Server-Hardware auf die #Azure #Cloud gesetzt wird (IaaS - der Admin hat weiterhin Domänen-Adminrechte, SaaS - Dienst aus der Cloud ohne Admin-Zugriff auf Server), bekommen die Clients eine besondere Bedeutung. Das gilt insbesondere für die Peripherie. Sie sollte robust, alltagstauglich und ergonomisch sein. Darüber hinaus bleibt der Windows 10 (Pro) Rechner die Plattform mit der größten Flexibilität an einzusetzender Software und Peripherie.Setzt man auf Thin Clients (beispielsweise IGEL UD3), muss man auf viele Peripheriegeräte und Programme verzichten. Außerdem eignen sich nur die teuren Modell für Mehrbildschirmbetrieb und flüssige Bilddarstellung. Angeschlossene Peripherie muss durch das auf dem Gerät installierte Linux Betriebssystem nach Windows umgeleitet werden. Das funktioniert schlechter als bei nativem Windows 10. Möchte man in der Cloud Windows Virtual Desktop einsetzen, verlagern sich zwar viele Programme in den virtuellen Rechner im Cloud-Dienst, es wird aber weiterhin Geräte geben, wie mit dem lokalen Windows betrieben werden. Erforderliche Peripherie, die immer ein Windows 10 brauchen, sind unter anderem: Chipkarten-Leser (LKW-OBUs, Fahrerkarten)NFC Lesegeräte (E-Perso-Ausweisapp)Smartphones (Meine Smartphone App)lokal genutzte Drucker ohne Netzwerk-Interface Peripherie-Empfehlungen Ultrabook-Tablet: lenovo ThinkPad L13 Yoga (Intel) - 13 Zoll, tablet, mobil, Core i5Notebook (kostengünstig): lenovo ThinkPad L15 (Intel) - 15 Zoll, Notebook, Core i5PC (platzsparend): lenovo Thinkcentre Tiny M70Q (Intel) Serie - Core i5Monitore: 24 oder 27 Zoll IIyama B-Serie - Business, Pivot, Standfuß verstellbarTastatur: Fujitsu KB 955 (Mit Sondertasten speziell für Audio und Teams)Maus: Microsoft Ergonomic Mouse (kabelgebunden, USB)Headset: Jabra Evolve 65 (oder 75 mit Hardware-Geräuschunterdrückung) - Bluetooth, für Telefonie, Handy,…
Kategoriebild
Windows 10 ohne Sicherheitsupdates
Mit der Einführung von #Windows 10 hat Microsoft auf das Modell, 2x pro Jahr Funktionsupdates zu liefern ( bei monatlichen #Sicherheitsupdates ) umgestellt. Risiko dabei: Nach 18 Monaten ist Support-Ende und damit enden auch die Sicherheitsupdates für diese Windows 10 Versionen und das Risiko, erfolgreich angegriffen zu werden steigt signifikant an. Ein Beispiel: Mit dem Rechner wurde Windows 10 Version 1903 ausgeliefert. Diese ist am 08. Juni 2019 erschienen. Ende der Sicherheits-Updates also war der 20.Dezember 2020. Akuter Handlungsbedarf Prüfen Sie über Ihr Inventar-Werkzeug (z. B. Open-Audit Classic), oder durch Aufrufen des Befehls "WINVER" an der Eingabeaufforderung, welche Windows 10 Versionen Sie im Einsatz haben. Die in der Tabelle rot dargestellten Versionen müssen aus Sicherheitsgründen sofort aktualisiert werden, die gelb markierten Versionen folgen ab 11. Mai 2021: Windows 10 VersionEnde der SicherheitsupdatesWindows 10 21H1 (erscheint März 2021)12. Dezember 2023 (30 Monate)Windows 10 20H2 (von Dez 2020)9. Mai 2023 (30 Monate)Windows 10 2004 (Juni 2020)14. Dezember 2021Windows 10 1909 (November 2019)10. Mai 2022 (30 Monate)Windows 10 19038. Dezember 2020Windows 10 1809 (von Nov 2018)11. Mai 2021 (30 Monate)Windows 10 1803 (von Mai 2018)11. Mai 2021 (36 Monate)Windows 10 170911. März 2019Matrix Support-Ende, 18 Monate nach Erscheinen einer Version von Windows 10 [next_event date="01.05.2021"] Hintergrundwissen Das komplett-Update war dabei anfangs 2x pro Jahr quasi eine Neuinstallation des Betriebssystems mit Migration der Daten und dauerte etwa 45-90 Minuten pro PC (je nach Ausstattung ob mit SSD und mit 8GB RAM oder nicht). Mittlerweile findet dieses Komplettupdate durchschnittlich 1x pro Jahr statt. Hat man…
Kategoriebild
Gefahrenquelle Mobiles Arbeiten, Home Office
Die gemeinhin gern als "Home-Office" bezeichnete Arbeitslokation, die im geschäftlichen Bereich als „Mobiles Arbeiten“ bezeichnet wird, kann möglicherweise als Einfallstor für kriminelle Machenschaften genutzt werden. Um den Einbruch, muss der Unternehmer/Arbeitgeber wirksame Maßnahmen ergreifen. Tut er das nicht, können Versicherungen im Schadensfall die Leistung komplett verweigern oder zumindest kürzen. Bei grob fahrlässigem Handeln drohen Regressforderungen und hohe Bußgelder. Um zu vermeiden, dass die Sicherheitsgrundlinie, wenn Mitarbeiter zuhause oder an einem anderen Ort arbeiten, zu niedrig ist, sind einige Grund-Voraussetzungen zu erfüllen: * Ein geschäftliches Notebook zur Verfügung stellen – wir empfehlen Notebooks der Thinkpad-Reihe vom Markführer lenovo* Softwareinstallation (Windows Deployment, gehärtete Installation) wurde vom Systemkoordinator im Betrieb durchgeführt* Nur die Software installieren, die unbedingt auf dem Notebook benötigt wird* Windows Updates so einstellen, dass sie zeitnah am Patchday installiert werden* Gemanagten Virenschutz installieren (Lizenzprodukt, wir empfehlen Kaspersky Endpoint Protection) und zentral über das Kaspersky Security Center überwachen* Gesicherte vpn Software (NCP, Client, Cisco Anyconnect oder Barracuda vpn Client) verwenden zulassen* Datenzugriff auf Firmendaten nur über SSL-VPN oder gesicherte https Verbindungen mit Zertifikat* Anmeldung an der Domäne oder am Azure AD mit sicherem Passwort, Kennwortrichtlinien gemäß BSI Grundschutz Stand März 2020* Bestimmte Software (z.B. Warenwirtschaft) nur über ein RDS Security Gateway, SSL verschlüsselt bereitstellen oder aber (wenn gevis ERP|BC 17) mit Zertifikat und Reverse Proxy über die Firewall als Browser Anwendung* Internet Standard-Browser Google Chrome für Enterprise mit Gruppenrichtlinien* Gruppenrichtlinien für das Gerät und Software* Eine Vereinbarung zum Verhalten und Nutzung und Tipps zur Gefahrenabwehr von Hard- und Software schließen und…
Kategoriebild