Der integrierte Admin-Account ist seit jeher ein beliebtes Ziel für Angreifer, da er ein hohes Rechteniveau bietet und leicht zu finden ist. Er trägt auf jedem Windows-Gerät die SID, die auf 500 endet. Auch die häufige Empfehlung, den Account umzubenennen, hilft hier nicht, da die SID trotzdem gleichbleibt. Der einfachste Weg, den Missbrauch lokaler Admin-Konten wirkungsvoll zu verhindern, ist diese einfach zu deaktivieren und nur Admin-Konten aus der Domäne zu verwenden. Gelegentlich kann das Fehlen des lokalen Kontos zwar die Wartung erschweren, doch lässt es sich im Notfall über die Recovery-Umgebung wiederherstellen.

Falls das integrierte Admin-Konto aktiv bleiben soll, gibt es zwei Kriterien für die sichere Verwendung. Einerseits muss das Konto auf jedem Gerät mit einem einzigartigen und sicheren Passwort ausgestattet werden. Das gelingt am einfachsten mit einem Passwort Manager. LAPS, die Local Admin Password Solution von Microsoft, bietet hier zum Beispiel den Vorteil, dass sie direkt in das Active Directory integriert ist. Zweitens sollten Sie den Zugang zu den integrierten Admin-Konten mittels Gruppenrichtlinien einschränken, damit diese sich wirklich nur lokal verwenden lassen. Vier Group Policy Objects sind hier von Bedeutung:

- Zugriff vom Netzwerk auf diesen Computer verweigern

- Anmelden als Dienst verweigern

- Anmelden als Batch-Auftrag verweigern

- Anmelden über Remotedesktopdienste verweigern

verweigern Selbst im Fall eines kompromittierten Passworts verhindern diese Richtlinien den Netzwerkzugriff auf das Konto. Generell schützt die Einschränkung der Zugriffsrechte vor Angriffen und somit auch vor Datenmissbrauch. Software für das Berechtigungsmanagement trifft die nötigen Einstellungen automatisch und sorgt somit für optimale Sicherheit.

Weitere Tipps zum Thema Active Directory finden Sie im IAM-Blog von tenfold unter https://tenfold-security.com/ratgeber/

Chatrooms werden als Kommunikationszentren für DevOps-Teams immer wichtiger. Dort besprechen sie sich und organisieren ihren Arbeitsalltag. Ebenso steuern sie mithilfe von Chatbefehlen Systeme, die sie betreiben. Sämtliche Interaktionen in Chatrooms lassen sich durch spezielle Bots unterstützen. Diese können beispielsweise bestimmte Nutzer benachrichtigen oder Befehle an externe Systeme weiterleiten. Dadurch erleichtern sie das gemeinsame Arbeiten in Slack-Kanälen oder in Amazon Chime. AWS-Nutzer können für solche Aufgaben auf den AWS Chatbot zurückgreifen. Damit lassen sich beispielsweise AWS-Lambda-Funktionen aufrufen, Supportfälle über Slack-Kanäle erstellen oder Logging-Protokolle aus Cloud-Watch abrufen. Der Chatbot ist mit wenig Aufwand konfigurierbar und dadurch schnell einsetzbar. Die Integration übernimmt AWS. Für das folgende Beispiel mit Slack benötigen Sie lediglich einen AWS-Account und einen Slack-Kanal. Der Chatbot lässt sich auf ähnliche Weise auch mit anderen Chatrooms verknüpfen und konfigurieren.

Öffnen Sie zunächst die AWS-Chatbot-Konsole. Wählen Sie dort unter "Chat client" die Option "Slack" aus. Klicken Sie danach auf "Configure client". Sie werden jetzt auf die Seite "Slack OAuth 2.0" weitergeleitet. Dort finden Sie rechts oben den zu konfigurierenden Slack-Arbeitsbereich. Wählen Sie den gewünschten "Slack workspace" aus und bestätigen Sie mit "Allow". Daraufhin leitet Sie Slack auf die Seite "Configure Slack Channel". Hier klicken Sie auf den zu konfigurierenden Kanal. Nun wählen Sie unter "Permissions" die Option "Create an IAM role using a template". Geben Sie bei "Role name" einen Rollennamen ein. Aktivieren Sie im Drop-down-Menü der "Policy templates" die Optionen "Read-only command permissions", "Lambda-invoke command permissions" und "AWS Support command permissions". AWS Chatbot erstellt jetzt eine IAM-Rolle. Die gewährten Berechtigungen können Sie in der IAM-Konsole einsehen und bei Bedarf ändern. Klicken Sie auf "Configure", um das Setup abzuschließen. Für einen ersten Test öffnen Sie den Slack-Kanal. Dort führen Sie den Befehl /invite @awsaus, um den Chatbot in den Kanal einzuladen. Benötigen Sie weitere Hilfe, geben Sie @aws help ein. Der AWS Chatbot antwortet dann mit einem kurzen Guide.

PRTG Network Monitor bietet Ihnen eine Reihe von Möglichkeiten zur Überwachung Ihrer Cloudumgebung. Allein zum Monitoring von AWS-Komponenten bietet der Hersteller sechs verschiedene Sensortypen an. Da wäre etwa der AWS Alarm Sensor, der Sie über die Schwellenwerte Ihrer CloudWatch-Metriken informiert und alarmiert, sobald Schwellenwerte über- beziehungsweise unterschritten werden. Der AWS Cost Sensor zeigt die monatlichen und jährlichen Kosten eines AWS-Kontos an und prognostiziert darüber hinaus auch zukünftige Ausgaben. Weitere verfügbare Sensortypen überwachen EBS-Datenträger, Elastic-Compute-Cloudkomponenten, das Elastic Load Balancing oder die relationalen Datenbankdienste von AWS. Jeder Sensortyp verfügt dabei über individuelle Kanäle, die Ihnen detaillierte Informationen zu den Clouddiensten anzeigen können. Eine genaue Schrittfür-Schritt-Anleitung zur Einrichtung des Cloudmonitorings finden Sie beispielsweise im Paessler-Blog [Link-Code: m5pe1]. (Paessler/ln) Für viele weitere Tipps und Tricks rund um das Thema

Für viele weitere Tipps und Tricks rund um das Thema Monitoring mit PRTG bietet Paessler unter [Link-Code: https://www.youtube.com/c/PRTGNetworkMonitorByPAESSLER?utm_source=itadministrator&utm_medium=referral&utm_campaign=tipps/] auch einen Youtube-Kanal mit Tutorials an.

Sie können Ihre virtuellen Maschinen ganz einfach erstellen, indem ein bootfähiges Betriebssystem auf einem tragbaren Speichergerät wie einer externen Festplatte oder einem USB-Stick gespeichert ist. Prinzipiell lässt sich zum Erzeugen eines bootfähigen Sticks das Festplatten-Dienstprogramm verwenden. Doch mit Disk-Maker X existiert ein Tool, das diesen Vorgang wesentlich einfacher gestaltet. Alles, was Sie dann noch brauchen, ist ein macOS-Installationsprogramm (etwa "Install macOS Mojave" von Apple) und einen mindestens 8 GByte großen USB-Stick. DiskMaker X findet automatisch das Installations-Image. Sofern das Betriebssystem bereits installiert wurde, müssen Sie die Installationsdatei aus dem App Store erneut herunterladen, da sie nach dem Aufspielen automatisch gelöscht wird. Hierfür klicken Sie im AppStore-Bereich "Purchased / Gekaufte Artikel" neben dem Eintrag "macOS 10.14 Mojave" auf "Laden". Um das Ganze auf den Speicherriegel zu bringen, starten Sie DiskMaker X auf Ihrem Mac, zeigen auf die macOS-Installationsanwendung und stecken den Stick ein. Ein paar Minuten später haben Sie einen bootfähigen USB-Stick für diese Version von macOS.

Unter Umständen kann es dabei aber zu folgender Fehlermeldung kommen: "The disk could not be created because of an error : An error occured : 1. hdiutil: attach failed - No such file or directory". In diesem Fall wurde das OS-Image "InstallESD.dmg" aus dem Installationsprogramm im Verzeichnis "Contents / SharedSupport" vermutlich an irgendeine andere Stelle der Festplatte kopiert. Behelfen Sie sich dann wie folgt: Legen Sie einen Ordner unter "Programme" mit dem Namen "Install OS X" an und darunter die Verzeichnisse "Contents / SharedSupport". Kopieren Sie nun in den Ordner "SharedSupport" das Image "InstallESD.dmg". Abschließend müssen Sie den Ordner "Install Mac OS X" noch mit der Endung ".app" versehen.

Vom so erstellten USB-Stick können Sie dann lokal einzelne Macs mit dem jeweiligen Betriebssystem booten oder auch virtuelle Maschinen mit Parallels Desktop aufsetzen. Um mit Parallels Desktop für Mac den bootfähigen USB-Stick zu verwenden und eine virtuelle Maschine davon zu starten (Windows, Linux oder mac OS), schließen Sie den Stick zunächst an den Mac an und öffnen dann "VM-Konfiguration / Hardware / Bootreihenfolge". Scrollen Sie dabei die Seitenleiste nach unten. Wählen Sie das entsprechende Gerät im Drop-down-Menü "Externes Boot-Gerät" aus. Verschieben Sie "Externes Gerät" im Menü zur Bootreihenfolge an den Anfang. Schließen Sie im Anschluss das Konfigurationsmenü und starten Sie die virtuelle Maschine.

Password Folder für Windows ist ein schlankes und portables Programm zur Sicherung von Dateien in Verzeichnissen via Passwort und Verschlüsselung. Und Letzteres geschieht laut dem Entwickler mit großer Geschwindigkeit – selbst wenn Ordner mehrere GByte an Daten enthalten, dauert der Vorgang in beide Richtungen nur zwei Sekunden. Dazu kommt natürlich der Schutz der sensiblen Files, denn ohne das vergebene Passwort sind sie unzugänglich. Dies bezieht sich nicht nur auf den reinen Datenzugriff, Password Folder verhindert auch, dass sich geschützte Verzeichnisse kopieren oder anderweitig bewegen lassen.

Die Software arbeitet zudem nicht nur mit der lokalen Festplatte zusammen, sondern kann auch Daten auf USB-Sticks und sonstigen mobilen Speichermedien schützen. Durch die Integration von Password Folder in das Kontextmenü ist die Bedienung sehr einfach und schnell zugänglich. So reicht ein Klick auf einen Ordner plus das Eintippen eines Passworts, um diese Daten unzugänglich werden zu lassen. Auch lassen sich mehrere Ordner in einem Vorgang absichern. Password Folder ist lediglich 2 MByte groß und als portable

Link-Code: https://www.it-a.eu/m5pe7

Das für kleine Teams kostenlose InVision Freehand fokussiert auf eine intuitive und simple Bedienung und enthält mehr als ein Dutzend Templates, die von Unternehmen wie AWS, Asana, Atlassian, Microsoft oder Salesforce für zahlreiche Einsatzzwecke entwickelt wurden. Solche Vorlagen decken Themen wie beispielsweise ein Brainstorming oder neue Ansätze zum Kundensupport ab, Benutzer können aber auch eigene Vorlagen erstellen und hochladen.

Für die gemeinsame virtuelle Arbeit am Whiteboard stellt InVision darüber hinaus ein Abstimmungsfeature bereit, das hilft schnell festzuhalten, ob alle Kollegen mit den ausgearbeiteten Ideen einverstanden sind. Auf Basis der Arbeitsergebnisse kann der Moderator zudem Aufgaben an die Beteiligten verteilen. Das Whiteboard (wovon es auch in der freien Version eine unbegrenzte Anzahl geben kann) ist mit einem Versionsverlauf ausgestattet und lässt sich zudem exportieren. Wirklich interessant macht das Werkzeug die Tatsache, dass es sich in Anwendungen wie Jira, Trello, Slack, Photoshop, Sketch oder auch Dropbox integrieren lässt. Somit muss für ein professionelles Whiteboard nicht gleich die komplette Softwarelandschaft umstrukturiert werden. Am weitesten geht diese Zusammenarbeit im Übrigen bei Microsoft Teams. Hier lässt sich ein InVision-Whiteboard direkt in einem Teams-Meeting erstellen und freigeben. Dabei legt der Hersteller sehr viel Wert auf die Sicherheit der Daten auf den Whiteboards: Benutzersitzungen lassen sich mit TLS v1.3 und AES-256 verschlüsseln. InVision Freehand ist für Einzelpersonen und kleine Teams mit bis zu zehn Benutzern und einer unbegrenzten Anzahl von Boards kostenlos.

Link-Code: https://www.it-a.eu/m5pe8

OpenPaas ist eine Open-Source-Collaboration-Suite, die insbesondere verteilten Teams Unterstützung beim Projektmanagement bieten will. Dazu bringt das Tool Features wie sicheren Dateiaustausch, Videokonferenzen und Kalenderverwaltung mit. Ein besonderes Schmankerl verspricht der Anbieter mit seiner KI-gestützten E-Mail-Verwaltung.

So lernt das OpenPaas-Postfach anhand vergangener Aktionen und Nachrichten den Kontext einer zu erstellenden E-Mail. Bei diesem Vorgang spart der Anwender Zeit, weil die Software im Laufe der Zeit die notwendigen Schritte lernt und dem Nutzer vorschlägt. Solche Workflows beim Verfassen einer E-Mail lassen sich umfassend automatisieren, um die Abläufe weiter zu beschleunigen. Dazu kommt eine spezielle Attachment-Suche, die das Auffinden eines Anhangs deutlich erleichtern soll. Diese Features lassen sich zudem in eine bestehende Outlook-Installation integrieren, was den Umstieg vereinfacht.

Das erwähnte Filesharing ist Ende-zu-Ende-verschlüsselt und erlaubt das sichere Bereitstellen von Dateien an Kollegen wie auch an Externe. Dabei steuert der Urheber der Datei im Detail, wer welche Rechte daran erhält, und bekommt zudem eine Nachricht, wenn Zugriff auf die geteilten Daten erfolgt. In Sachen Kommunikation bietet OpenPaas "Team Channels" an, in denen Projektmitglieder sich austauschen und ebenfalls Daten versenden können, sodass sich alle zusammengehörigen Aufgaben und Informationen an einem Ort befinden.

Link-Code: https://www.it-a.eu/m5pe9