ADMIN

2021

10

2021-10-01T12:00:00

Endpoint Security

PRAXIS

066

Tipps, Tricks und Tools

Tipps

Tricks

Tools

Tipps, Tricks und Tools

für den IT-Administrator

Redaktion IT-Administrator

Veröffentlicht in Ausgabe 10/2021 - PRAXIS

In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.

Zur zentralen Verwaltung unserer Cloudressourcen verwenden wir im Unternehmen AWS Organizations. Zudem nutzen wir Security Groups in den Virtual Private Clouds und wollen die Netzwerksicherheit erhöhen. Wie können wir die Sicherheitsmaßnahmen unserer Infrastruktur übergreifend verbessern?
Grundlegend empfiehlt es sich, Firewallregeln für sämtliche Konten und Anwendungen zentral zu verwalten und zu konfigurieren. Dadurch sind Ihre Einstellungen für die gesamte Infrastruktur stets identisch und aktuell. Hierbei unterstützt Sie der AWS Firewall Manager. Darüber können Sie mithilfe einfach zu konfigurierender Richtlinien entsprechende Schutzmaßnahmen durchführen und auf konsistente, hierarchische Weise in Ihrer gesamten Infrastruktur implementieren. Anhand des folgenden Beispiels zeigen wir Ihnen, wie Sie mit dem AWS Firewall Manager den Zugriff auf risikoreiche Anwendungen automatisch beschränken.
1. Melden Sie sich mit dem Administratorkonto des Firewall Managers in der AWS-Managementkonsole an. Das Administratorkonto legen Sie bei der ersten Nutzung des Firewall Managers mit einem Klick auf "Get Started" fest. Dies darf aber nicht identisch sein mit dem Verwaltungskonto der AWS Organisation.
Zur zentralen Verwaltung unserer Cloudressourcen verwenden wir im Unternehmen AWS Organizations. Zudem nutzen wir Security Groups in den Virtual Private Clouds und wollen die Netzwerksicherheit erhöhen. Wie können wir die Sicherheitsmaßnahmen unserer Infrastruktur übergreifend verbessern?
Grundlegend empfiehlt es sich, Firewallregeln für sämtliche Konten und Anwendungen zentral zu verwalten und zu konfigurieren. Dadurch sind Ihre Einstellungen für die gesamte Infrastruktur stets identisch und aktuell. Hierbei unterstützt Sie der AWS Firewall Manager. Darüber können Sie mithilfe einfach zu konfigurierender Richtlinien entsprechende Schutzmaßnahmen durchführen und auf konsistente, hierarchische Weise in Ihrer gesamten Infrastruktur implementieren. Anhand des folgenden Beispiels zeigen wir Ihnen, wie Sie mit dem AWS Firewall Manager den Zugriff auf risikoreiche Anwendungen automatisch beschränken.
1. Melden Sie sich mit dem Administratorkonto des Firewall Managers in der AWS-Managementkonsole an. Das Administratorkonto legen Sie bei der ersten Nutzung des Firewall Managers mit einem Klick auf "Get Started" fest. Dies darf aber nicht identisch sein mit dem Verwaltungskonto der AWS Organisation.
2. Wählen Sie im Abschnitt "Firewall Manager" den Eintrag "Security Policies" aus und fügen Sie die AWS-Region an, in der Sie Ihre Richtlinie bereitstellen wollen. Danach klicken Sie auf "Create policy".
3. Aktivieren Sie "Security group" unter "Policy type" und "Auditing and enforcement of security group rules" unter "Security group policy type". Bestätigen Sie danach die Region.
4. Geben Sie einen Richtliniennamen ein (zum Beispiel "RestrictRiskyAppsPolicy"). Nun belassen Sie die Option "Configure managed audit policy rules" unter "Policy rule options". Wählen Sie "Inbound Rules" unter "Policy rules".
5. Aktivieren Sie "Audit high risk applications" und wählen sie unter den Optionen "Applications that can only access local CIDR ranges".
6. Klicken Sie auf "Add application list" und dann auf "Add an existing list". Hier aktivieren Sie "FMS-Default-Public-Access-Apps-Denied" und bestätigen diese Einstellung.
7. Belassen Sie die Einstellungen unter "Policy action" bei "Identify resources that don’t comply with the policy rules, but don’t auto remediate".
8. Klicken Sie auf "Next" und lassen Sie "Include all accounts under my AWS organization" aktiviert. Unter "Resource type" aktivieren Sie alle Ressourcentypen. Die Option "Include all resources that match the selected resource type" bleibt unberührt, um den Geltungsbereich dieser Richtlinie zu definieren.
9. Weisen Sie bei Bedarf Tags zu und wählen Sie "Next".
10. Auf der letzten Seite erhalten Sie einen Überblick über sämtliche Einstellungen der Konfigurationen. Wenn Sie mit der Überprüfung der Richtlinie fertig sind, bestätigen Sie mit "Create policy" am unteren Rand.
Damit haben Sie die Richtlinie erstellt. Nun benötigt der Firewall Manager etwa fünf Minuten zur Bestandsaufnahme Ihrer AWS-Konten und -Ressourcen. Dabei werden risikoreiche Schwachstellen aufgedeckt, die über das Internet erreichbar sind. Sobald dieser Vorgang abgeschlossen ist, sind die kontinuierlichen Ergebnisse des Firewall Managers einsehbar.
(AWS/ln)
Ein Kollege hat mir an seinem Windows-10-Rechner gezeigt, dass er durch das "Schütteln" eines Fensters mit der Maus alle anderen geöffneten Anwendungen in die Taskleiste minimieren kann. An meinem PC funktioniert das aber leider nicht. Haben Sie einen Tipp, warum das so ist?
Die vom Kollegen demonstrierte Funktion nennt sich "Aero Shake" und ist per Default in Windows eigentlich aktiviert, lässt sich über die Gruppenrichtlinien aber ausschalten. Um nach­zu­sehen, wie hier die Settings auf Ihrem Computer aussehen, drücken Sie "Win­dows + R" und öffnen durch die Eingabe von gpedit.msc den Editor für lokale Gruppenrichtlinien. Begeben Sie sich durch die Ordnerstruktur in das Verzeichnis "Benutzerkonfiguration / Administrative Vorlagen / Desktop". Im rechten Fenster finden Sie recht weit unten den Eintrag "Aero Shake-Mausbewegung zum Minimieren von Fenstern deaktivieren". Wer sichergehen will, dass der Schütteltrick funktioniert, sollte die Einstellung hier – Achtung doppelte Verneinung – auf "Deaktiviert" setzen. Die Funktion sollte nun spätestens nach einem Neustart zur Verfügung stehen.
Lehrstunde der doppelten Verneinung: Das Deaktivieren mittels GPO müssen Sie abschalten, um die Funktion zu aktivieren.
(Serverhero/ln)
Viele weitere Anleitungen, Tipps und Best Practices rund um Server, Storage und Netzwerk finden Sie auf der Wissensseite von Serverhero unter https://serverhero.de/serverhero-wissen/.
Ich bin in einem schnell wachsenden Unternehmen beschäftigt und auch unsere IT-Abteilung verstärkt sich personell immer weiter. Bisher war ich der einzige Administrator, der mit PRTG Network Monitor gearbeitet hat und bei Ausfällen vom Monitoringwerkzeug benachrichtigt wurde. Mittlerweile sind wir ein Team aus vier Administratoren und möchten die Benachrichtigungen je nach Zuständigkeit verteilen. Welche Möglichkeiten bietet PRTG hier?
Dazu stehen in PRTG die Benutzer und Benutzergruppen zur Verfügung. Grundsätzlich benötigt jede Person, die Benachrichtigungen von PRTG erhalten soll, ein eigenes Benutzerkonto. Unter "Konfiguration / Systemverwaltung / Benutzergruppen" richten Sie eine neue Benutzergruppe ein. Nachdem Sie die jeweiligen Benutzer der Benutzergruppe hinzugefügt haben, konfigurieren Sie im nächsten Schritt die Benachrichtigungen für die individuellen Gruppen. Beispielsweise können Sie eine Gruppe "Datenbankadministratoren" erzeugen und dann für diese Benachrichtigungen für alle Datenbankgeräte einrichten. Benachrichtigungen lassen sich für Gruppen, Geräte oder einen individuellen Sensor erstellen. Eine bebilderte Schritt-für-Schritt-Anleitung, wie Sie Benutzergruppen und Benachrichtigungen in PRTG einrichten, zeigt Ihnen ein Blog-Artikel [Link-Code https://blog.paessler.com/ensure-that-the-right-person-or-team-gets-the-right-notifications-from-prtg/] sowie ein How-to-Guide [Link-Code https://www.de.paessler.com/support/how-to/notifications-webinterface/].
Mithilfe von Benutzern und Benutzergruppen lassen sich in PRTG Network Monitor flexible Benachrichtigungen versenden.
(Paessler/ln)
Viele weitere Tipps und Tricks rund um das Thema Monitoring mit PRTG finden Sie in der Paessler Knowledge Base unter https://kb.paessler.com.
Um Firmware-Upgrades für Netzwerkkarten, Storage-Controller oder das BIOS auf einem ESXi-Server durchzuführen, muss ich mithilfe klassischer Linux-Tools über SSH auf den Server zugreifen. SSH-Zugriff auf ESXi-Server ist in den meisten Umgebungen aus Sicherheitsgründen jedoch deaktiviert. Wie kann ich den Zugang per PowerCLI aktivieren?
Ein Großteil der Verwaltungsaufgaben lässt sich allein mit der PowerCLI realisieren. Für viele Zwecke benötigen Sie jedoch direkten Zugriff auf die Shell eines ESXi-Hosts. Ein erster Anwendungsfall für PowerCLI ist daher das Aktivieren des SSH-Zugangs auf allen ESXi-Hosts eines Clusters. Dazu müssen Sie zunächst mit dem Befehl Install-Module -Name "VMware.PowerCLI" -Scope AllUsers das Modul "VM­ware.PowerCLI" installieren, bevor sich eine Verbindung zu einem vCenter herstellen lässt. Anschließend erstellen Sie mit den folgenden Kommandos ein Credential-Objekt:
$username = "administrator@vsphere.local"
 
$password = "myPassword" | ConvertTo-SecureString -AsPlainText -Force
 
$cred = new-object -typename System.Management.Automation.PSCredential -argumentlist $username, $password
Jetzt verbinden Sie sich über folgende Befehle mit dem vCenter:
$vCenter = "vcenter.mydomain"
 
Connect-VIServer -Server $vCenter -Credential $cred
Um für alle Hosts des Clusters "myCluster" den Service "TSM-SSH" zu starten, benutzen Sie folgendes Kommando:
Get-Cluster -Name "myCluster" | Get-VMHost | Foreach {StartVMHostService -HostService ($_ | Get-VMHostService | Where { $_.Key -eq "TSM-SSH"} )} -Confirm:$false
Nun sollte der direkte SSH-Zugriff auf den ESXi-Server klappen.
Dr. Tobias Lindinger/ln
Einige unserer Mitarbeiter arbeiten mit Chromebooks. Für die Projekte in unserem Unternehmen ist es aber notwendig, Software auf anderen Betriebssystemen zu testen. Dazu haben wir bislang virtuelle Maschinen genutzt. Auf einem Chrome­book gibt es aber leider eine Sicherheitssperre, die nur Google- und Linux-Dienste erlaubt. Lässt sich diese umgehen?
Ja, ein Umgehen dieser Sperre ist über den Developer Mode möglich. Dieser Entwicklermodus bietet Ihnen die Möglichkeit, auch andere Betriebssysteme auf Ihrem Chromebook zu installieren. Er verwandelt die virtuellen Maschinen im Developer Mode aber nicht in reguläre Desktop-Betriebssysteme, wie es in VMS unter beispielsweise macOS erfolgt. Zudem deaktiviert der Developer Mode den Sicherheitsmechanismus von Chrome OS, der nur zertifizierte Anwendungen zulässt und dadurch Malware daran hindern soll, Ihr System anzugreifen. Das kann vor allem im geschäftlichen Kontext zu Problemen führen. Daher ist es mehr als ratsam, eine Sicherheitskopie Ihrer Daten auf einem externen Medium zu erstellen, bevor Sie in den Entwicklermodus wechseln. Andersherum funktioniert das automatisch: Deaktivieren Sie den Developer Mode wieder, werden alle Daten aus dem persönlichen Download-Ordner restlos gelöscht.
Zum Aktivieren des Entwicklermodus sind nur ein Neustart und ein Tastaturkürzel erforderlich: Schalten Sie Ihr Chromebook an und halten Sie außer dem Netzschalter dabei zudem die Tasten "Esc" und "Aktualisieren" gleichzeitig gedrückt. Das Chromebook startet und stoppt mit der Meldung, dass Chrome OS fehlt oder beschädigt ist. Dies ist kein Fehler – das Chromebook befindet sich einfach im Wiederherstellungsmodus. Drücken Sie nun "Strg + D", um den Entwicklermodus zu starten. Nach ein paar Minuten ist dieser aktiviert. Bei jedem Start des Geräts sollte nun die Warnung "OS-Verifizierung ist AUS" erscheinen und ein Piepton ertönen – dann ist der Modus aktiv. Betätigen Sie dann erneut die Tastenkombination "Strg + D", um diese Meldung zu überspringen und den Startvorgang zu beschleunigen. Beim Neustart Ihres Chromebooks im Entwicklermodus müssen Sie jedes Mal vorsichtig sein: Wenn Sie die Leertaste drücken, während die genannte Meldung aufscheint, deaktivieren Sie den Entwicklermodus und löschen Ihre Benutzerdaten.
Wollen Sie Ihre Chromebooks samt virtueller Maschinen flexibel und sicher nutzen, um die Gefahren über den Developer Mode zu minimieren, kann ein professionelles Werkzeug wie Parallels Desktop für Chrome OS dabei helfen. Damit können Sie Windows-Applikationen – sofern es die Hardwareleistung Ihres Chromebooks gestattet – via VM nutzen, um Ihre Software zu testen. Dazu benötigen Sie lediglich die Google Admin Console, einen unternehmenseigenen Storage-Server für die Verteilung von Windows-Images sowie Lizenzen für Windows und Parallels.
(Parallels/ln)
Nicht jeder Admin kann sich mit den zumeist in Sachen Design eher schlicht gehaltenen Terminal-Apps unter Linux anfreunden. Doch es gibt auch Alternativen zur traditionell grün-weißen Welt der Kommandozeile. Und bringen diese auch noch zusätzliche Features und sinnvolle Optionen der Erweiterbarkeit mit, lohnt sich möglicherweise ein Test wie beim freien Hyper.
Hyper kommt dabei nicht nur unter Linux zum Einsatz, sondern ist auch eine Alternative zum Windows-Terminal und liefert für die Umgebungen zusätzlichen Funktionsumfang. Das Tool unterstützt die Webstandards JavaScript, HTML sowie CSS und lässt somit auch den Zugriff auf Webseiten zu. In den Einstellungen lassen sich unter anderem Parameter wie Fenstergröße, Sounds und Farbschema anpassen. Skripte erweitern die Software um neue Befehle oder Effekte.
Die Inbetriebnahme erfolgt unter den verschiedenen Linux-Derivaten einfach per Paketmanager, Windows-Nutzer (ab Windows 7) durchlaufen die üblichen Schritte von Download und Installation – schon steht das neue, farbfrohe und ansehnliche Terminal bereit. Anschließend ist es sehr einfach, das Hyper-Terminal zu thematisieren. Über die Website des Entwicklers oder das NodeJS-Pakettool lassen sich zahlreiche Themes integrieren – ganz nach dem persönlichen Geschmack. Funktional lässt sich Hyper ebenso einfach erweitern, auch hier stellt der Entwickler zahlreiche Pakete bereit. Hier gibt es beispielweise eine Suche für das Terminal oder auch ein Init-System für Hyper, das erlaubt, den Programmstart individuell zu konfigurieren.
Das Linux-Terminal Hyper legt Wert auf gutes Design und unterstützt so auch den Nutzer, indem es beispielsweise Textabschnitten Farbe verleiht.
(jp)
Link-Code: https://hyper.is/
Selbstorganisation und lückenlose Dokumentation sind Softskills, die auch dem ansonsten eher technisch arbeitenden Admin helfen. Dies gilt bei der Planung neuer Projekte und dem dazu notwendigen Sammeln von Informationen aus den unterschiedlichsten Quellen oder eben auch bei der Dokumentation des IT-Geschehens. Schließlich soll der Azubi nicht erst eine wochenlange Schulung brauchen, um den Aufbau der internen Doku zu verstehen. Der kostenlose elektronische Notizzettel Cherrytree richtet sein Augenmerk auf das strukturierte Aufbereiten unterschiedlichster Informationen.
Sich selbst nennt Cherrytree einen Gliederungseditor und bietet speziell für hierarchisch strukturierte Informationen eine ganze Reihe von Funktionen. Dazu gehört das Verwalten unterschiedlicher Typen von Informationen, neben Texten auch Bildern und Hyperlinks. Geschriebenes lässt sich umfangreich formatieren, Bilder direkt einfügen und Hyperlinks als externe Verweise einsetzen. Da die Software auch das Rich-Text-Format RTF erlaubt, ist das Verwenden vielfältiger Formatierungsvarianten möglich.
Als wesentliche Verwaltungseinheit für alle Informationen greift Cherrytree auf sogenannte Knoten zurück. Diese sammeln die Informationsschnipsel und dienen als Anker für Verzweigungen. Doch anders als vergleichbare Programme legt Cherrytree diese Knoten als separate Dateien an und somit als Untereinheit im Dokument. Knoten lassen sich optional untereinander hierarchisch verzweigen und vernetzen; jeder davon darf beliebig viele Unterknoten erhalten. Primär lassen sich zwei Arten von Knoten anlegen – gleichrangige und untergeordnete. Die Ersteren erzeugen einen gleichartigen neuen Informationsknoten auf derselben Hierarchieebene wie der ursprünglichen, vergleichbar mit den Kapiteln eines Buchs. Die abgeleiteten Knoten generieren so etwas wie Abschnitte in einem Kapitel. Knotentypen können dabei eine von drei Eigenschaften aufweisen, normalerweise kommt der Typ "Rich Text" zum Einsatz. Denn nur dieser erlaubt umfangreiche Formatierungen und dient hauptsächlich dem Erfassen normalen Texts. Der Typ "Text" erlaubt keine Formatierungen und zusätzliche Strukturen. Die dritte Option "Automatische Syntaxhervorhebung" eignet sich am besten beispielsweise für Code-Schnipsel.
Cherrytree ist ein leistungsfähiges Werkzeug, um Ordnung in die eigene Informationssammlung zu bringen.
(jp)
Link-Code: https://www.giuspen.com/cherrytree/
Mit der zunehmenden Leistungsfähigkeit der Cloud und deren gestiegener Akzeptanz in Unternehmen migrieren IT-Verantwortliche zunehmend auch Datenbanken in die Wolke. Doch vor diesem Schritt gilt es sicherzustellen, dass das Datenschema und die -struktur für die Migration passen. Steht die Datenbank in der Cloud, kann das Synchronisieren zur Herausforderung werden. SolarWinds stellt ein entsprechendes Tool für Microsoft SQL Server nunmehr kostenlos zur Verfügung.
DBA xPress soll IT-Verantwortliche dabei unterstützen, die Struktur einer MS-SQL-Server-Datenumgebung zu verstehen, indem es ermöglicht, Daten und Schemata zu vergleichen und zu synchronisieren, sie in Skriptform zu bringen und agil zu steuern. Auf diese Weise lassen sich Veröffentlichungen automatisieren und Cloudmigrationen steuern.
Denn für eine erfolgreiche Migration von der einen Umgebung zur anderen müssen IT-Verantwortliche ihre Daten optimieren, um dadurch die Leistung der in der Cloud gehosteten Datenbanken zu maximieren. Mit DBA xPress können Datenbankverwalter die Schema- und Datenunterschiede sowie die Datenabhängigkeiten erkennen, wenn sie sich auf eine Cloudmigration mit Microsoft SQL Server vorbereiten und im Zuge dessen die Datenbankarchitektur anpassen müssen. Zudem gilt es, Code und Daten von lokalen Umgebungen in die Cloud zu übertragen – vor allem im Rahmen des Änderungsmanagements eines Unternehmens. Und IT-Verantwortliche sollten in der Lage sein, Daten und Schemata automatisch miteinander zu vergleichen, damit die Migration ein Erfolg wird. Dazu bietet das Tool vier zentrale Features: Datenbanken abgleichen und Schemata plus Daten synchronisieren, Schema- und Datensynchronisierung über die Befehlszeilenschnittstelle (CLI) automatisieren, Abhängigkeiten und Verbindungen zwischen Tabellen, Benutzern, Funktionen und Sicherheitsrichtlinien analysieren sowie Inhalte von SQL-Server-Datenbanken durchsuchen, auf die Skripts für jedes Objekt zugreifen, und diese exportieren. Vor dem kostenlosen Download sind persönliche Angaben notwendig.
(jp)
Link-Code: https://www.solarwinds.com/de/resources/datasheet/datasheet-solarwinds-dba-xpress/