ADMIN

2022

03

2022-02-28T12:00:00

Moderne IT-Security

PRAXIS

058

Tipp

Tipps, Tricks und Tools

für den IT-Administrator

Redaktion IT-Administrator

Veröffentlicht in Ausgabe 03/2022 - PRAXIS

In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.

Ich möchte eine Testversion von VMware ESXi auf einem USB-/SD-Speichermedium installieren statt direkt auf dem Server, um Speicherplatz zu sparen beziehungsweise Verwaltung und Daten getrennt zu halten. Wie gehe ich vor?
Starten Sie den Server – in unserem Beispiel ein HP ProLiant – und legen Sie das Speichermedium ein, auf dem sich die Installationsdatei für VMware ESXi befindet. Schließen Sie das gewünschte Ziel-Speichermedium für die Installation an (USB-Speicher beziehungsweise SD-Karte). Bedenken Sie, dass ESXi rund 8 GByte benö- tigt – so viel muss also mindestens frei sein auf dem verwendeten Speichermedium. Drücken Sie die Taste "F9", wenn der Startbildschirm angezeigt wird, um die "System Utilities" zu öffnen. Hier klicken Sie dann auf "System Configuration" und dort im Anschluss auf "BIOS/Plattform Configuration (RSBU)". Dort angelangt, entscheiden Sie sich für "Boot Options" und dann für "UEFI Boot Settings" sowie "UEFI Boot Order". Nun müssen Sie die Boot-Reihenfolge ändern. Verschieben Sie das Speichermedium, auf dem sich die Installationsdatei befindet, in der Boot-Reihenfolge nach oben an die erste Stelle. Drücken Sie dann "F12".
Die Installationsdatei wird nun geladen. Warten Sie, bis das Begrüßungsfenster zur ESXi-Installation angezeigt wird und drücken Sie die Enter-Taste. Bei der Anzeige der EULA drücken Sie noch "F11". Auf dem folgenden Bildschirm können Sie nun die Auswahl des Speichermediums vornehmen. Wählen Sie dasjenige aus, auf dem Sie ESXi installieren wollen, und drücken Sie die Enter-Taste. Anschließend bestimmen Sie noch die gewünschte Sprache. Nun müssen Sie ein Passwort Ihrer Wahl eingeben, dieses durch erneute Eingabe bestätigen und die Enter-Taste drücken. Mit "F11" starten sie abschließend die Installation. Sobald diese durchgelaufen ist, entfernen Sie das Speichermedium der Installationsdatei und drücken die Enter-Taste. ESXi ist nun installiert. Wenn Sie nach Ablauf der 60-tägigen Testversion die Software weiter nutzen wollen, müssen Sie die entsprechende Lizenz von VMware erwerben, um die ESXi-Testversion in eine VSphere-Lizenz umzuwandeln.
Ich möchte eine Testversion von VMware ESXi auf einem USB-/SD-Speichermedium installieren statt direkt auf dem Server, um Speicherplatz zu sparen beziehungsweise Verwaltung und Daten getrennt zu halten. Wie gehe ich vor?
Starten Sie den Server – in unserem Beispiel ein HP ProLiant – und legen Sie das Speichermedium ein, auf dem sich die Installationsdatei für VMware ESXi befindet. Schließen Sie das gewünschte Ziel-Speichermedium für die Installation an (USB-Speicher beziehungsweise SD-Karte). Bedenken Sie, dass ESXi rund 8 GByte benö- tigt – so viel muss also mindestens frei sein auf dem verwendeten Speichermedium. Drücken Sie die Taste "F9", wenn der Startbildschirm angezeigt wird, um die "System Utilities" zu öffnen. Hier klicken Sie dann auf "System Configuration" und dort im Anschluss auf "BIOS/Plattform Configuration (RSBU)". Dort angelangt, entscheiden Sie sich für "Boot Options" und dann für "UEFI Boot Settings" sowie "UEFI Boot Order". Nun müssen Sie die Boot-Reihenfolge ändern. Verschieben Sie das Speichermedium, auf dem sich die Installationsdatei befindet, in der Boot-Reihenfolge nach oben an die erste Stelle. Drücken Sie dann "F12".
Die Installationsdatei wird nun geladen. Warten Sie, bis das Begrüßungsfenster zur ESXi-Installation angezeigt wird und drücken Sie die Enter-Taste. Bei der Anzeige der EULA drücken Sie noch "F11". Auf dem folgenden Bildschirm können Sie nun die Auswahl des Speichermediums vornehmen. Wählen Sie dasjenige aus, auf dem Sie ESXi installieren wollen, und drücken Sie die Enter-Taste. Anschließend bestimmen Sie noch die gewünschte Sprache. Nun müssen Sie ein Passwort Ihrer Wahl eingeben, dieses durch erneute Eingabe bestätigen und die Enter-Taste drücken. Mit "F11" starten sie abschließend die Installation. Sobald diese durchgelaufen ist, entfernen Sie das Speichermedium der Installationsdatei und drücken die Enter-Taste. ESXi ist nun installiert. Wenn Sie nach Ablauf der 60-tägigen Testversion die Software weiter nutzen wollen, müssen Sie die entsprechende Lizenz von VMware erwerben, um die ESXi-Testversion in eine VSphere-Lizenz umzuwandeln.
Bevor die Installation von ESXi beginnen kann, gilt es, die Bootreihenfolge des Servers zu verändern.
(Serverhero/ln)
Mehr Anleitungen, Tipps und Best Practices rund um Server, Storage und Netzwerk finden Sie auf der Wissensseite von Serverhero unter https://serverhero.de/serverhero-wissen.
Ich arbeite als IT-Administrator remote für eine Schule, die gerade auf Chromebooks umrüstet, aber gleichzeitig Windows-Anwendungen über "Parallels Desktop für ChromeOS" für Schüler wie auch Lehrpersonal zur Verfügung stellen möchte. Gibt es einen Weg, diese große Anzahl an Chromebooks remote und zentral statt manuell aufzusetzen?
Mit der Google Admin Console, einer cloudbasierten Administratorkonsole, steuern Sie Ihre gesamte Chromebook-Flotte auch remote ohne Probleme. Die Konsole umfasst alle Einstellungen von der Konfiguration des Netzwerkzugriffs über die Kontrolle von Anwendungen und die Verfolgung von Geräten. Auch die Anpassung von Funktionen bis hin zur Durchführung einer ganzen Reihe anderer, wichtiger administrativer Aufgaben lassen sich über eine einzige zentrale Oberfläche erledigen.
Sie können von jedem beliebigen Gerät aus auf die Google Admin Console zugreifen, solange Sie über eine Internetverbindung verfügen. Um Windows-kompatible, native Programme wie Microsoft Word, Excel und PowerPoint auf dem Chromebook sicher zu verwenden, können Sie sie direkt in der Konsole für "Parallels Desktop für Chrome OS" aktivieren. Als Administrator müssen Sie lediglich eine Vorlage für eine virtuelle Maschine mit Win­dows erstellen, einen Link zum Herunterladen in der Google Admin Console bereitstellen und Nutzer auswählen, die sie auf ihren Chromebooks verwenden können.
(Parallels/ln)
Wir haben vor einigen Jahren unsere IT-Abteilung zentralisiert und verwalten sämtliche Standorte von unserer Firmenzentrale aus. Durch einen Zukauf in Asien stellen wir uns momentan die Frage, wie wir mit möglichst einfachen Mitteln den dortigen Standort monitoren können, idealerweise mit kurzen Latenzzeiten bei der Abfrage von Geräten. Haben Sie einen Tipp für uns?
Sie sprechen einen wichtigen Punkt beim globalen Monitoring von Infrastrukturen an: Gerade bei weltweit verteilten Standorten ist zwangsläufig das Thema Latenzzeiten zu berücksichtigen. Eine Möglichkeit, dieser Herausforderung zu begegnen, ist der Einsatz von Paessler PRTG Hosted Monitor. Dabei handelt es sich um ein cloudbasiertes Monitoringwerkzeug von Paessler. Dazu stellt der Anbieter Ihnen eine Software-Instanz in einer Region in Ihrer Nähe zur Verfügung. Auch die Wahl eines Standorts in Asien ist möglich. Das Angebot ist innerhalb kürzester Zeit betriebsbereit, Sie müssen keine Serverhardware vor Ort einrichten und die Anwendung läuft zudem agentenlos.
Damit Sie im nächsten Schritt einzelne Hardwarekomponenten vor Ort überwachen können, ist lediglich eine sogenannte "Remote Probe" notwendig. Das kann zum Beispiel ein kleiner Windows-PC sein. Mittlerweile bietet der Hersteller sogar die erste Vorabversion einer Probe an, die nicht auf der Windows-Plattform basiert, sodass beispielsweise ein Raspberry Pi oder andere ARM-basierte Hardware zum Einsatz kommen kann. Mehr Details zum cloudbasierten Angebot finden Sie auf den Webseiten von Paessler [Link-Code: https://www.paessler.com/de/support/how-to/lookups-in-prtg].
Der Willkommensbildschirm des cloudbasierten Monitorings von Paessler erlaubt den Zugriff auf die bekannten Funktionen.
(Paessler/ln)
Für viele weitere Tipps und Tricks rund um das Thema Monitoring mit PRTG bietet Paessler unter [Link-Code: https://www.youtube.com/c/PRTGNetworkMonitorByPAESSLER?utm_source=itadministrator&utm_medium=referral&utm_campaign=tipps] auch einen Youtube-Kanal mit Tutorials an.
Als schnelle Lösung für den Dateizugriff vergeben Kollegen manchmal die Berechtigung "Jeder" auf Fileserver-Verzeichnisse. Sie vergessen aber, sie später wieder zu entfernen. Wie kann ich Ordner auflisten, auf die das "Jeder"-Objekt berechtigt ist?
Um den Zugriff auf Dateien möglichst sicher und übersichtlich zu verwalten, sind klar definierte Sicherheitsgruppen das Mittel der Wahl. Diese Best Practice wird im Alltag jedoch nicht immer eingehalten. Gerade der Zugriff für alle beziehungsweise alle autorisierten Nutzer stellt eine beliebte Abkürzung dar, um Hürden zu umgehen. Dieser universelle Zugriff stellt allerdings ein Sicherheits- und Datenschutzrisiko dar, das Sie dringend beheben sollten. Bleibt die Berechtigung erhalten, kann selbst ein Verzeichnis, das aktuell keine sensiblen Informationen enthält, durch die weitere Nutzung und Vererbung auf Unterverzeichnisse zum Problemfall werden.
Um Verzeichnisse mit der "Jeder"-Berechtigung ausfindig zu machen, bietet sich beispielsweise ein Abgleich mit der Access Control List über die PowerShell an. Zur leichteren Anpassung unseres Skripts verwenden wir hier zwei Variablen für den gewünschten Pfad und das berechtigte Objekt (Benutzer, Gruppe, Pseudoobjekte wie "Jeder"). Das vollständige Skript für die Suche sieht so aus:
$Foldername = "\\<server>\<sharename>"
$Identity = "Jeder"
get-childitem $Foldername -recurse | get-acl | where {$_ | select -ExpandProperty Access | where {$_.IdentityReference -like $Identity}} | select Path
Ohne die Einschränkung auf ein bestimmtes Objekt lassen sich mit dieser Methode alle Benutzer und Gruppen anzeigen, die auf einem Verzeichnis berechtigt sind. Dabei tauchen allerdings nur direkte Berechtigungen auf. Effektive Berechtigungen durch Gruppenverschachtelung sehen Sie hier nicht. Die einfachste Möglichkeit, um auch diese auf allen Verzeichnissen im Blick zu behalten, ist ein automatisches Tool für Berechtigungsverwaltung und -reporting.
(tenfold/ln)
Weitere Tipps zum Thema Active Directory finden Sie im IAM-Blog von tenfold unter https://tenfold-security.com/ratgeber/.
Wir nutzen zum Speichern unserer Daten und für zahlreiche Applikationen die Dienste und Ressourcen von AWS. Um die dazugehörigen Datenbanken und Anwendungsserver zu schützen und unbeabsichtigte Netzwerkzugriffe rechtzeitig zu blockieren, benötigen wir eine umfassende Übersicht über geeignete Konfigurationsmöglichkeiten und Kontrollen. Wie können wir unsere Infrastruktur entsprechend analysieren?
Datenschutz ist ein immer wiederkehrendes Thema für moderne Unternehmen. Umso wichtiger sind nützliche Tools, die die Sicherheit der IT-Infrastruktur überprüfen und gewährleisten – beispielsweise der Amazon VPC Network Access Analyzer. Damit können Sie nicht autorisierte Zugriffe auf Ihre Ressourcen vermeiden. So lässt sich kontrollieren, ob der Netzwerkzugang für Ihre Ressourcen in der Virtual Private Cloud (VPC) gegebenen Sicherheits- und Compliance-Richtlinien entspricht. Außerdem können Sie mithilfe dieses Tools den Sicherheitsstatus Ihrer Präsenz in der Cloud bewerten und notwendige Optimierungen identifizieren.
Der Network Access Analyzer erfasst alle Anforderungen über einfache und präzise Spezifikationen. Mit Hilfe automatisierter Schlussfolgerungen (automated reasoning) identifiziert er Netzwerkpfade in Ihrer AWS-Umgebung, wenn diese die definierten Anforderungen nicht mehr erfüllen. Diese Lücken können Sie beheben sowie sichere Quellen und Ziele für Ihren Netzwerkzugang angeben – etwa in Form von IP-Adressbereichen, Portbereichen, Verkehrsprotokollen, AWS-Ressourcen-IDs, AWS-Ressourcengruppen und Ressourcentypen wie Internet-Gateways oder NAT-Gateways. Auf diese Weise lässt sich der Zugriff auf das Netzwerk in Ihrer AWS-Umgebung einfach und übersichtlich verwalten.
Öffnen Sie dazu zunächst die VPC-Konsole und wählen Sie im linken Navigationsbereich im Abschnitt "Network Analysis" den "Network Access Analyzer" aus. Beim ersten Öffnen wählen Sie "Get Started", um die Standardkonfiguration zu aktivieren. Nun sehen Sie vier vorkonfigurierte Network Access Scopes. Diese sind sofort einsatzbereit. Für eine erste Analyse wählen Sie "AWS-VPC-Ingress" und klicken auf "Analyze". Hiermit identifizieren Sie Eintrittspfade in Ihre VPCs von Internet-Gateways, Peering-Verbindungen, VPC-Service-Endpunkten, VPN- und Transit-Gateways. Die Analyse läuft ein paar Minuten und zeigt nach Abschluss sämtliche Ergebnisse in einer Übersicht an. In der Zusammenfassung finden Sie Informationen über den Sicherheitszustand Ihres Netzwerks. Beispielsweise bietet das Spektrumdiagramm einen Überblick über die entsprechenden Ressourcen, die in den Ergebnissen enthalten sind. Hier können Sie mit der Maus einzelne Segmente anklicken, um tiefergehende Informationen zu gewinnen oder Ergebnisse zu filtern.
(AWS/ln)
Automatisierung muss nicht immer mit komplexen Infrastrukturen und langen Skripten einhergehen, auch im Kleinen kann ein selbsttätiges Agieren des Rechners Zeit sparen und Abläufe vereinfachen. Shutter ist ein kostenloses Werkzeug, mit dem der Nutzer das Verhalten seines PC anhand diverser Ereignisse steuert.
Dabei ist Shutter nicht der nächste Makrorecorder, sondern erlaubt dem Nutzer, Systemdaten seines Rechners zum Anlass zu nehmen, definierte Aktionen auszulösen. Dazu stehen 13 Events bereit, auf die die Software reagieren kann. Dazu zählen unter anderem die CPU- und Festplattenauslastung, anhaltende Inaktivität, eine schwache Batterie oder wenn eine Dateigröße ein festgelegtes Limit überschreitet. Die Aktionen, die der IT-Verantwortliche über Schwellenwerte dieser Ereignisse auslösen kann, sind durchaus mächtig. Denn neben einfachen Operationen wie dem Herunterfahren des Rechners oder dem Ausschalten des Monitors ist es beispielsweise auch möglich, Dateien zu öffnen oder Programme zu starten. Dadurch sind der Automatisierung des Rechners praktisch keine Grenzen gesetzt, insbesondere wenn der Nutzer als zu startendes Programm ein eigenes Skript hinterlegt. Die Umsetzung dieser Reaktionen ist dank der nutzerfreundlichen GUI denkbar einfach: Der Anwender wählt den zu überwachenden Parameter wie beispielsweise die CPU-Auslastung und hängt an diesen den gewünschten Grenzwert an, etwa "unter 60% für 90 Sekunden". Ergänzt um die gewünschte Aktion ist die Automatisierung bereits fertig. Dabei ist der Nutzer auch in der Lage, sein gewünschtes Ereignis mit verschiedenen Events logisch zu verknüpfen.
Shutter erlaubt darüber hinaus, Desktop-Shortcuts anzulegen, um die von der Software zur Verfügung gestellten Ereignisse direkt auszulösen. Ist der Nutzer einmal nicht im Rechner, dieser aber eingeschaltet, lässt sich Shutter auch remote über einen Webbrowser erreichen und so steuern.
Shutter ermöglicht die automatische Steuerung von Rechnern anhand von Ereignissen.
(jp)
Link-Code: https://www.den4b.com/products/shutter/
In bestimmten IT-Infrastrukturen wie etwa einer Virtual Desktop Infrastructure oder auch einem Datenbank-Cluster ist die Leistung des Storage etwa in Sachen IOPS entscheidend für die Gesamtperformance des Systems. Die Krux bei der Neueinführung solcher Systeme – als Cluster, hyperkonvergentes System oder auch als Einzelrechner – ist, dass sich ausgerechnet das Verhalten des Storage unter realistischen Bedingungen vor der Inbetriebnahme nur sehr schwer testen lässt. Das kostenlose DISKSPD aus dem Hause Microsoft misst die Performance von Speichersystemen und simuliert verschiedene Anwendungslasten. Die so erzeugten Benchmarks zeigen die zu erwartenden IOPS, also Input/Output-Operationen pro Sekunde, und liefern einen Richtwert für die Leistungsfähigkeit des Storage.
DISKSPD ist ein Open-Source-Befehlszeilentool, das Microsoft auf GitHub bereitstellt. Dort lässt es sich auch herunterladen, der vom Hersteller vorgeschlagene Weg ist jedoch der direkte Download über die PowerShell. Dieser Vorgang ist in der Anleitung für die Software beschrieben, die Sie über unseren Link-Code finden, der diesmal ausnahmsweise nicht direkt auf die Download-Quelle zeigt. Auf diese Weise gelangt der Nutzer zu einem ZIP-Archiv, das unterschiedliche Varianten der Software (AMD64, ARM64 und x86) enthält. Diese Varianten ermöglichen es, das Tool in jeder Windows-Client- oder -Server-Version auszuführen. Ist die passende Edition ausgewählt und installiert, ist noch eine Testdatei notwendig, bevor die Messung der Umgebung beginnen kann. Ist keine vorhanden, lässt sich diese auch einfach mit DISKSPD erzeugen.
So ausgestattet, lässt sich die Untersuchung des Storage starten, indem der Admin DISKSPD mit verschiedenen Parametern startet – je nachdem, was genau im Fokus steht. So lässt sich beispielsweise die Dauer des Tests festlegen oder die genaue Spezifikation der anzulegenden Last (etwa die Blockgröße oder das Verhältnis von Schreib- zu Leseoperationen). Nach Übergabe dieser Werte startet DISKSPD seinen Lauf und präsentiert abschließend seine Ergebnisse. Diese Kurzbeschreibung des DISKSPD-Werkzeugs soll allerdings nicht darüber hinwegtäuschen, dass es sich hier um ein durchaus komplexes Werkzeug handelt, das insbesondere auch gute Kenntnisse der verwendeten Storage-Hardware voraussetzt.
(jp)
Link-Code: https://docs.microsoft.com/en-us/azure-stack/hci/manage/diskspd-overview/
Haben Sie diese Ausgabe aufmerksam gelesen, etwa den Beitrag zu modernen Sicherheitssystemen von Martin Kuppinger ab Seite 62, ist vielleicht Ihr Interesse an derartigen Produkten geweckt. Gleichzeitig sprechen wir in diesem Zusammenhang von recht umfangreichen Softwaresuiten, die sich nicht einfach mal so eben einführen oder als Proof-of-Concept aufsetzen lassen. Denn manchmal gilt es vielleicht nur, ein Gefühl dafür zu entwickeln, wie viel Mehrwert ein solches Sicherheitssystem im Vergleich zum aktuell vorhandenen Setup bieten kann. Dafür bietet sich beispielsweise die Community-Edition von Siemplify an.
Mit dieser Software liefert der gleichnamige Hersteller eine frei nutzbare Variante seiner SOAR-Plattform. SOAR (Security Orchestration, Automation and Response) ist eine Kombination aus kompatiblen Programmen, die es IT-Organisationen ermöglicht, aus unterschiedlichsten Quellen Daten über Sicherheits-
bedrohungen einzusammeln. Zudem wird mit SOAR eine automatische Reaktion ohne menschliche Eingriffe auf bestimmte Sicherheitsereignisse möglich. All dieses bietet Siemplify mit beschränktem Umfang in seiner Community-Edition. Ein Großteil dieser Restriktionen umfasst jedoch Maximalwerte etwa in Sachen User oder Alarme pro Tag, sodass die Funktionalität der Software in weiten Teilen gegeben ist.
So ist es möglich, über Siemplify auf Basis erkannter Sicherheitsvorfälle Aktionen in Form von Playbooks auszulösen. Diese reagieren dann, wie es der Admin für diesen Fall vorgegeben hat, und erlauben auch den Aufruf externer Anwendungen. Neben der Reaktion ist die Nachverfolgung und Analyse ein weiterer funktionaler Schwerpunkt der Anwendung. Einerseits lassen sich Sicherheitsereignisse als "Case" analog zu einem Supportticket ablegen und so in einen definierten Prozess zur weiteren Bearbeitung überführen. Weiterhin stellt Siemplify Werkzeuge bereit, um die Ursachen eines Sicherheitsvorfalls technisch detailliert auszuwerten.
Die SOAR-Plattform Siemplify erlaubt die genaue Analyse von sicherheitsrelevanten Ereignissen.
(jp)
Link-Code: https://www.siemplify.co/community/