In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.
Wir setzen seit einigen Monaten auf das virtuelle Helpdeskwerkzeug Rescue von LogMeIn und nutzen die Rescue-Live-Lense-Funktionen für unsere Kunden und Mitarbeiter, die überall auf der Welt verteilt sind. Wie können wir hier die Sicherheit im Helpdesksystem für den Kundensupport und den sicheren Datenaustausch gewährleisten?
Bei virtuellen Helpdesklösungen gibt es zahlreiche zusätzliche Tools, wie etwa Rescue Live-Lens mit der Funktion des Kamera-Sharings oder Rescue Live-uide, um effizientes Co-Browsing zu ermöglichen. Doch damit gehen auch neue Cyberbedrohungen einher. Um diesen entgegenzuwirken, gibt es ein paar grundlegende Sicherheitsebenen, die Sie beim Einsatz von virtuellen Supporttechnologien auf jeden Fall berücksichtigen sollten. Generell muss es immer darum gehen, sensible Daten von Kunden und Mitarbeitern zu schützen. Im ersten Schritt ist es wichtig, der Supportwebseite ein vertrauenswürdiges Branding hinzuzufügen. Viele Tools bieten die Möglichkeit, den Helpdesk individuell aufzusetzen. Wählen Sie hier ein solides Design mit Unternehmensname und Logo, verifiziert dies die Helpdeskseite beim User. Einen zusätzlichen Schutz bietet die Erstellung intern validierter PIN-Codes. Das bedeutet, dass die Supportanwendung die Einwahldaten selbst generiert und diese an Kunden und Mitarbeiter weitergibt. Hacker haben so keine Chance, die User mit selbst generierten PIN-Codes zu locken, da nur die intern erstellten Codes funktionieren.
Das Ganze funktioniert aber auch andersherum: Sollte der Mitarbeiter irrtümlich auf eine böswillige Seite gestoßen sein, wird ihm der Zugriff verweigert. So erkennt der Nutzer, dass es sich hierbei um eine gefälschte Helpdeskseite handelt. Zudem lässt sich HTML-Scraping – eine weitere beliebte Methode von Hackern, um an Kundendaten zu gelangen – durch eine Domain-Validierung verhindern. Denn Hacker versuchen oft, das HTML-Segment der PIN-Code-Eingabe zu kopieren, um diese dann auf einer gefälschten Support-Seite einzubauen. Ist die Domain jedoch validiert, werden die Abschnitte des HTML-Codes zur Eingabe der Zugangsdaten anhand der im Admin-Center eingegebenen Domäne abgeglichen und das geklaute HTML-Fragment ist auf der falschen Webseite nicht einsatzfähig. Eine weitere Sicherheitsmaßnahme ist die Einschränkung von IP-Adressen. Service-Agenten müssen beispielsweise über ein VPN auf ihre Tools aus der Ferne zugreifen können. Admins können klar festlegen, welche IP-Adressen für den Zugriff auf die Supporttools zugelassen sind und welche keinen Zugriff erhalten.
Wir setzen seit einigen Monaten auf das virtuelle Helpdeskwerkzeug Rescue von LogMeIn und nutzen die Rescue-Live-Lense-Funktionen für unsere Kunden und Mitarbeiter, die überall auf der Welt verteilt sind. Wie können wir hier die Sicherheit im Helpdesksystem für den Kundensupport und den sicheren Datenaustausch gewährleisten?
Bei virtuellen Helpdesklösungen gibt es zahlreiche zusätzliche Tools, wie etwa Rescue Live-Lens mit der Funktion des Kamera-Sharings oder Rescue Live-uide, um effizientes Co-Browsing zu ermöglichen. Doch damit gehen auch neue Cyberbedrohungen einher. Um diesen entgegenzuwirken, gibt es ein paar grundlegende Sicherheitsebenen, die Sie beim Einsatz von virtuellen Supporttechnologien auf jeden Fall berücksichtigen sollten. Generell muss es immer darum gehen, sensible Daten von Kunden und Mitarbeitern zu schützen. Im ersten Schritt ist es wichtig, der Supportwebseite ein vertrauenswürdiges Branding hinzuzufügen. Viele Tools bieten die Möglichkeit, den Helpdesk individuell aufzusetzen. Wählen Sie hier ein solides Design mit Unternehmensname und Logo, verifiziert dies die Helpdeskseite beim User. Einen zusätzlichen Schutz bietet die Erstellung intern validierter PIN-Codes. Das bedeutet, dass die Supportanwendung die Einwahldaten selbst generiert und diese an Kunden und Mitarbeiter weitergibt. Hacker haben so keine Chance, die User mit selbst generierten PIN-Codes zu locken, da nur die intern erstellten Codes funktionieren.
Das Ganze funktioniert aber auch andersherum: Sollte der Mitarbeiter irrtümlich auf eine böswillige Seite gestoßen sein, wird ihm der Zugriff verweigert. So erkennt der Nutzer, dass es sich hierbei um eine gefälschte Helpdeskseite handelt. Zudem lässt sich HTML-Scraping – eine weitere beliebte Methode von Hackern, um an Kundendaten zu gelangen – durch eine Domain-Validierung verhindern. Denn Hacker versuchen oft, das HTML-Segment der PIN-Code-Eingabe zu kopieren, um diese dann auf einer gefälschten Support-Seite einzubauen. Ist die Domain jedoch validiert, werden die Abschnitte des HTML-Codes zur Eingabe der Zugangsdaten anhand der im Admin-Center eingegebenen Domäne abgeglichen und das geklaute HTML-Fragment ist auf der falschen Webseite nicht einsatzfähig. Eine weitere Sicherheitsmaßnahme ist die Einschränkung von IP-Adressen. Service-Agenten müssen beispielsweise über ein VPN auf ihre Tools aus der Ferne zugreifen können. Admins können klar festlegen, welche IP-Adressen für den Zugriff auf die Supporttools zugelassen sind und welche keinen Zugriff erhalten.
(LogMeIn/ln)
Wir müssen öfter unsere virtuellen Maschinen in Parallels Desktop portieren. Aufgrund der Größe der VMs – oft über 100 GByte – ist das sehr aufwendig, da sie nicht auf einen normalen USB-Stick passen. Gibt es da einen Trick?
Das von Ihnen geschilderte Problem ist durchaus lästig, da für große VMs nicht immer eine passende transportable Speichermöglichkeit vorhanden ist oder sich direkt am Host anschließen lässt. Letzteres ist aber nötig, da die Parallels-Desktop-VMs als Mac-Packages gespeichert sind und dementsprechend nur auf Mac- oder iOS-Geräten selbst angezeigt werden. Cloudspeicher, die oft für Datentransfers Verwendung finden, unterstützen dieses Format nur selten.
Doch die neueste Version von Parallels Desktop für Mac Business Edition oder Parallels Desktop für Mac Pro Edition enthält ein spezielles Feature zum Komprimieren der Dateien in ZIP-Dateien, die sich von jedem Betriebssystem verarbeiten lassen. Dazu ist lediglich ein Rechtsklick auf die VM im Control Center nötig, um das Feature "Für die Übertragung vorbereiten" auszuwählen. Wenn die Komprimierung und Konvertierung abgeschlossen sind, erscheint die VM im Control Center als "Package". Mit einem erneuten Rechtsklick auf das VM-Package lässt sich die VM mit "Open Package" auf demselben Weg wieder entpacken. Je nach Größe der VM dauert der Komprimierungsprozess mehrere Minuten – bei einer VM-Größe von 262 GByte beispielsweise 38 Minuten. Das Entpacken geht wesentlich schneller und ist bei dieser Größe nach zwölf Minuten abgeschlossen.
(Parallels/ln)
Aufgrund der weltweit problematischen Covid-19-Lage haben wir den Großteil unserer Mitarbeiter ins Home Office geschickt. Praktisch zeitgleich haben wir unsere Office-Suite komplett auf
Microsoft 365 migriert und nutzen nun auch Microsoft Teams für die schnelle Kommunikation zwischen Mitarbeitern. Gerade deshalb ist es jetzt umso wichtiger, dass alle Dienste zur Verfügung stehen und wir Admins schnell sehen, wenn es irgendwo Probleme gibt. Kann uns unser Monitoringwerkzeug PRTG Network Monitor dabei unterstützen?
PRTG ist mit mehr als 270 verschiedenen Sensortypen ausgestattet. Darunter befinden sich Sensoren zum Monitoring von Microsoft 365. Mit dem Sensor "Microsoft 365 Service Status" etwa erhalten Sie einen schnellen Überblick über die Funktionalität Ihrer Microsoft-365-Dienste. Auf einen Blick erkennen Sie, wie viele Dienste verfügbar sind und ob Dienste den Status "degraded" oder "warning" aufweisen. Mit dem Sensor "Microsoft 365 Service Status Advanced" können Sie außerdem die Verfügbarkeit jedes einzelnen gebuchten Microsoft-365-Dienstes im Detail kontrollieren. Für jeden verfügbaren Dienst wird ein Sensor eingerichtet, die Kanalinformationen des Sensors sind dann individuell auf den jeweiligen Microsoft-365-Dienst abgestimmt. Wenn Sie diese Daten über einen längeren Zeitraum sammeln, eignet sich dies hervorragend zur Dokumentation der Serviceverfügbarkeit, beispielsweise in einem monatlichen Report ans Management. Sie können solche Berichte direkt in PRTG erstellen. Die Einrichtung des Sensors funktioniert im Handumdrehen, einen guten Einstieg in das Thema bietet ein Artikel im Paessler-Blog [Link-Code https://blog.paessler.com/introducing-the-new-microsoft-365-sensors-in-prtg/]. Dort erhalten Sie Informationen zur Einrichtung der Sensoren und erfahren außerdem, wie Sie die Berechtigungen für die Microsoft-365-Management-APIs setzen und die Zugangsdaten für Azure hinterlegen.
(Paessler/ln)
Viele weitere Tipps und Tricks rund um das Thema Monitoring mit PRTG finden Sie in der Paessler Knowledge Base unter https://kb.paessler.com/.
Wir wollen unter Exchange 2016 Richtlinientipps verwenden, die beim Erstellen einer E-Mail erscheinen und Anwender darüber informieren, dass sie von uns per DLP festgesetzte Richtlinien verletzen. Was sind hier die Voraussetzungen und wie verwalten wir die Richtlinientipps am besten?
Richtlinientipps werden E-Mail-Absendern unter den folgenden Bedingungen angezeigt: Zunächst einmal müssen die Anwender mindestens Outlook 2013 einsetzen. Dann muss eine Transportregel vorhanden sein, die die Benachrichtigungen zu Richtlinientipps verwendet. Sie können eine Transportregel erstellen, indem Sie eine DLP-Richtlinie konfigurieren, die die Aktion "Absender mit Richtlinientipp benachrichtigen" enthält. Schließlich muss noch der Inhalt eines E-Mail-Kopfs, eines E-Mail-Texts oder einer E-Mail-Anlage die Bedingungen erfüllen, die in einer DLP-Richtlinie oder -Regel festgelegt sind. Der Richtlinientipp wird nur angezeigt, wenn Anwender eine Aktion durchführen, die zum Auslösen der zughörigen DLP-Regel führt.
Richtlinientipps erstellen Sie am einfachsten im EAC unter "Verwaltung der Compliance / Verhinderung von Datenverlust". Dort doppelklicken Sie auf eine der Richtlinien in der Liste. Auf der folgenden Seite "DLP-Richtlinie bearbeiten" wählen Sie "Regeln". Zum Hinzufügen von Richtlinientipps zu einer vorhandenen Regel markieren Sie die Regel und klicken auf "Bearbeiten". Alternativ gehen Sie zum Hinzufügen einer neuen leeren Regel zu einer DLP-Richtlinie über "Hinzufügen" auf "Weitere Optionen". Hier benötigen Sie die Schaltfläche "Aktion hinzufügen" und wählen dort "Absender mit Richtlinientipp benachrichtigen" und "Absender benachrichtigen, aber Sendevorgang zulassen" aus. Sie haben an dieser Stelle auch die Möglichkeit, festzulegen, dass Exchange den Anwender daran hindert, die E-Mail abzusenden. Beide Aktionen lassen sich getrennt voneinander aktivieren und anpassen. Klicken Sie auf "OK" und auf "Speichern", ist die Benachrichtigung sofort aktiv.
Es gibt mehrere Optionen für Richtlinientipps, mit denen Exchange E-Mails blockiert. Sie können zudem verhindern, dass E-Mails den Postausgang des Absenders in Outlook verlassen: Dazu greifen Sie erneut im EAC auf "Compliance / Verhinderung von Datenverlust" zu und doppelklicken eine der Richtlinien. Auf der Seite "DLP-Richtlinie bearbeiten" nutzen Sie "Regeln", markieren die Regel und klicken auf "Bearbeiten". Über "Aktion hinzufügen" gelangen Sie nun zum Eintrag "Absender mit Richtlinientipp benachrichtigen" und wählen die gewünschte Blockieraktion aus. Erneut sichern Sie Ihre Einstellungen per "OK" und klicken dann auf "Speichern". Um einen benutzerdefinierten Text einzupflegen, den Outlook den Anwendern anzeigen soll, greifen Sie noch einmal auf das EAC unter "Compliance / Verhinderung von Datenverlust" zu, klicken auf "Einstellungen für Richtlinientipps" und dann auf "Hinzufügen". An dieser Stelle können Sie eigene Texte angeben.
(Thomas Joos/ln)
Wir nutzen teamübergreifend mehrere AWS-Accounts für unterschiedliche Zwecke. Das zentrale Team hat aber keinen Überblick zu den Zeitplänen der anderen Teams – etwa um unbeabsichtigte Änderungen bei kritischen Events zu verhindern. Wie können wir die Koordination verbessern?
Mit dem vollständig verwalteten Dienst AWS Systems Manager Change Calendar können Anwender Kalender anlegen und darin wichtige Ereignisse (Events) über verschiedene AWS-Konten oder Teams hinweg definieren. Bei diesen Einträgen kann es sich um einen kritischen Meilenstein in der Anwendungsentwicklung handeln, etwa eine Demonstration, einen Test oder die Veröffentlichung eines Produkts. Bei umfangreichen Projekten, für die mehrere AWS-Konten zum Einsatz kommen, kann der Projektleiter einen übergeordneten Master-Kalender erstellen. Einzelne Abteilungen können zudem untergeordnete Kalender für ihren AWS-Account pflegen. Ein kontenübergreifender Kalender bietet die Möglichkeit, zentrale Events festzulegen und im jeweiligen Zeitfenster andere Ereignisse zu blockieren. Ein Kalendereintrag für die Demonstration einer Software beim Kunden verhindert dann zum Beispiel, dass zeitgleich eine geplante Routinewartung von Amazon-EC2-Instanzen startet und die Vorführung unterbricht.
AWS Systems Manager Change Calendar bietet zwei Grundeinstellungen für Kalendereinträge: "OPEN" erlaubt standardmäßig Aktionen zum Zeitpunkt des Events – also beispielsweise eine Wartung – und "CLOSE" verhindert diese. Anwender können nun Ereignisse definieren und dabei Aktionen entweder zulassen oder den Termin sperren. Ein vom Kunden festgelegter Termin ändert den Status von OPEN auf CLOSED und unterbindet den Start anderer Prozesse. Ein CLOSED-Kalendereintrag verhindert den Ablauf von Aktionen zum jeweiligen Zeitpunkt, es sei denn, ein Event wird angesetzt (siehe Bild). Dann ändert sich der Ablauf auf OPEN und die Wartung wird zugelassen. Änderungen im Kalender werden überwacht und die Anwender können Benachrichtigungen oder Erinnerungen für anstehende Events erhalten. Die Administratoren erzeugen den Kalender als iCal-Dokument im AWS-Systems-Manager-Documents-Dienst. Neue Events können die Anwender über die AWS-Systems-Manager-Konsole oder die AWS CLI anlegen.
(AWS/ln)
Die Vorteile und Herangehensweise bei der Manipulation von Windows-Installationsabbildern beschreibt unser Autor Mark Heitbrink in dieser Ausgabe ab Seite 63 ausführlich. Sein Favorit dafür ist das mittlerweile nur noch kostenpflichtig verfügbare NLite, während das im Artikel vorgestellte kostenlose Werkzeug WIMWitch doch Wünsche des IT-Verantwortlichen offen lässt. Steht hier kein Budget zur Verfügung oder ein Werkzeug für Testzwecke ist gesucht, dann ist unter Umständen das kostenlose GImageX eine Alternative.
GImageX beschreibt sich selbst als eine GUI für die Arbeit mit Image-Dateien im WIM-Format und somit als Alternative zum befehlszeilenbasierten DISM. Das Werkzeug erlaubt, WIM-Abbilder aufzunehmen, zu mounten, zu exportieren, zu teilen und zu löschen. Dabei steht GImageX als 32- und 64-Bit-Variante bereit und funktioniert nach Angaben des Entwicklers auch mit WinPE. In jedem Fall nutzt das Tool die Microsoft WIMGAPI-API für die Arbeit mit WIM-Dateien.
Die intuitive und einfach zu bedienende GUI von GImageX unterstützt die wichtigsten Aufgaben bei der Verarbeitung von Windows-Abbildern im WIM-Format. Dazu zählt natürlich das Erstellen eines Windows-Abbilds ebenso wie dessen Anwendung auf einem Rechner. Darüber hinaus lassen sich die Images in 4-GByte-Blöcke teilen, um so in FAT32-Partitionen in UEFI-Installationen unterkommen zu können. Zudem kann der Administrator mithilfe des Tools wichtige Informationen aus bestehenden Abbildern auslesen, auch im XML-Format.
GImageX läuft unter Windows 7, 8 und 10 (inklusive der PE-Varianten dieser Betriebssysteme). Weitere Voraussetzungen gibt es nicht. Laut dem Entwickler sollte GImageX sogar mit Windows XP funktionieren, wenn der Admin die WIMGAPI-DLLs aus dem Windows Automated Deployment Kit (Windows ADK) installiert. Dies hat der Hersteller jedoch nicht getestet und empfiehlt, mindestens Windows 7 zu nutzen.
Abseits von WIM kommen bei der Windows-Verteilung nach wie vor ISO-Images zum Einsatz. Auch hierbei lassen sich, wenn häufig Windows-Clients installiert werden, problemlos angepasste ISO-Dateien erstellen, in denen alle notwendigen Treiber und Einstellungen automatisch gesetzt sind. Ein Weg ist die Bearbeitung der ISO-Datei mit dem kostenlosen Tool WinReducer EX-100. Mit dessen Hilfe lassen sich ISOs von Windows bearbeiten und Komponenten ändern. Alles, was dazu gebraucht wird, ist eine Windows-ISO-Datei oder eine Windows-Installations-DVD.
WinReducer EX-100 unterstützt dabei Clients ab Windows 7. Nach dem Start und einem Klick auf "Software Installation" zeigt das Tool die Komponenten an, die es für seine Arbeit benötigt. Hier sind alle Optionen zu aktivieren, also 7-Zip, Dism, oscdimg, ResHacker und SetACL. Nachdem die Komponenten ausgewählt sind, startet über die Schaltfläche "Download" das Herunterladen und die Installation der notwendigen Erweiterungen für WinReducer. Sobald die Komponenten in der Software bereitstehen, wird die vorhandene ISO-Datei in das System eingebunden. Über den Menüpunkt "Start" beginnt die Konfiguration, dann beginnt die eigentliche Arbeit über die Schaltfläche "ISO". Hier ist zunächst die ISO-Datei auszuwählen, auf deren Basis die Anpassung erfolgen soll. Anschließend liest WinReducer diese ein und die Bearbeitung kann beginnen. Sobald die ISO-Datei eingelesen wurde, erlaubt "Mount", diese zu bearbeiten. Dazu stehen im Fenster von WinReducer mehrere Schaltflächen zur Verfügung: "Presets" erlaubt festzulegen, für welche Bereiche das Tool Einstellungen auf dem ISO-File vornehmen soll. Über "Appearance" und den darunter erscheinenden Registerkarten sind Einstellungen von Windows bezüglich der Erscheinung möglich. Über die Registerkarte "Various" lässt sich zum Beispiel die Konfiguration der Taskleiste festlegen oder deren Position.
WinReducer ermöglicht auch, Komponenten aus der Windows-ISO-Datei zu entfernen. Dazu steht die Schaltfläche "Remover" zur Verfügung. Admins können hier zum Beispiel Treiber, Anwendungen, Sprachen, Themes und vieles anderes entfernen. Nicht zuletzt sind in Windows 10 zahlreiche Treiber integriert, zum Beispiel für Drucker, die im normalen Betrieb nie zum Einsatz kommen. Diese lassen sich über diesen Menüpunkt entfernen, ebenso wie Sprachen, die im System nicht benötigt werden.