Die Umstellung auf den Redfish-Standard ist aufgrund der erweiterten Features und des modernen, sicheren Interfaces eine gute Entscheidung. Paessler PRTG verfügt über drei verschiedene Sensor-typen zum Monitoring kompatibler Management-Controller. Den allgemeinen Systemstatus monitoren Sie mit dem "Redfish System Health Sensor". Ergänzt wird er durch den "Redfish Virtual Disk Sensor" zur Überwachung virtueller Laufwerke inklusive Kapazität und Status. Der "Redfish Power Supply Sensor" schließlich überwacht zahlreiche Parameter Ihrer Servernetzteile.

Die Einrichtung der Sensoren gestaltet sich sehr einfach: Stellen Sie sicher, dass Redfish auf dem Management-Controller Ihres Servers aktiviert ist. Die dort festgelegten Zugangsdaten hinterlegen Sie anschließend auf dem gewünschten Gerät im Gerätebaum Ihrer PRTG-Installation. Danach fügen Sie noch den gewünschten Sensortyp hinzu und der Sensor ist innerhalb weniger Sekunden einsatzbereit. Im Paessler-Blog finden Sie eine ausführliche Schritt-für-Schritt-Anleitung [Link-Code: https://blog.paessler.com/all-about-redfish-and-how-to-easily-add-the-sensors-in-prtg/] zur Einrichtung der unterschiedlichen Redfish-Sensortypen. Dort finden Sie auch ver- schiedene Tutorial-Videos für jeden der verfügbaren Sensortypen inklusive einer Liste aller kompatiblen Management-Controller.

Für viele weitere Tipps und Tricks rund um das Thema Monitoring mit PRTG bietet Paessler unter [Link-Code: https://www.youtube.com/c/PRTGNetworkMonitorByPAESSLER?utm_source=itadministrator&utm_medium=referral&utm_campaign=tipps] auch einen Youtube-Kanal mit Tutorials an.

Als beliebtes Ziel für Angreifer benötigen privilegierte Geräte und Konten ein hohes Maß an Schutz. Microsoft empfiehlt für administrative Aufgaben und den Zugriff auf sensible Bereiche den Einsatz sicherer Admin-Workstations (SAW). Dabei handelt es sich um speziell konfigurierte Endgeräte mit stark eingeschränktem Funktionsrahmen. Normale Tätigkeiten wie das Öffnen von E-Mails und Websites sind auf einer solchen gesicherten Workstation nicht möglich.

Der Königsweg sicherer Workstations liegt im Einsatz separater Hardware. Wegen der Kosten und des Aufwands durch den Gerätewechsel entscheiden sich viele Firmen jedoch für die Umsetzung als virtuelle Maschine. Admins bekommen also eine sichere Workstation, die über eine VM den Zugriff auf Office-Programme, Webbrowser & Co. erlaubt. Die geteilte Hardware kann jedoch zum Sicherheitsrisiko mutieren, etwa weil ein Keylogger Passwörter aus beiden Umgebungen ausspäht. Egal, für welche Option Sie sich entscheiden, gilt es, beim Einrichten von SAWs einige zentrale Kriterien zu beachten:

- Striktes Application-Whitelisting

- Secure Boot aktivieren

- Kein Zugang zum öffentlichen Web

- Aktuelle Sicherheitsupdates über vertrauenswürdige Quelle (Intranet)

- Blockieren von Speichermedien und eingehenden Verbindungen

- Lokale Sicherheitseinstellungen gegen Änderungen absichern

- Laufende Inventur aller aktiven SAWs

- Notfallplan zur Remote-Deaktivierung (BitLocker)

Um für den schlimmsten Fall vorzusorgen, empfiehl t es sich, Zugänge quer über das gesamte Unternehmen so weit wie möglich einzuschränken. Für die Umsetzung moderner Sicherheitskonzepte wie Zero Trust und Least Privilege ist die zentrale Steuerung von Identitäten entscheidend.

Weitere Tipps zum Thema Active Directory finden Sie im IAM-Blog von tenfold unter https://tenfold-security.com/ratgeber/

Viele Unternehmen greifen über das AWS Identity and Access Management (IAM) auf AWS-Dienste zu. Damit lassen sich die Berechtigungen für alle Mitarbeiter und Systeme mit Zugriff auf die Clouddienste übersichtlich verwalten. Zentrale Anlaufstelle bei der Arbeit mit dem IAM ist die Seite "My Security Credentials". Sie enthält sämtliche Anmel-deinformationen und unterstützt bei der Verwaltung und Konfiguration der unterschiedlichen Berechtigungen. Für eine weitere Sicherheitsebene und einen hohen Schutz von sensiblen Daten empfehlen wir außerdem als Best Practice, die Multifaktor-Authentifizierung (MFA) für alle IAM-Nutzer zu aktivieren. Damit muss sich jeder User bei der Anmeldung zusätzlich eindeutig authentifizieren. Die aktuellen MFA-Einstellungen lassen sich ebenfalls über die oben erwähnte Seite zuweisen und anzeigen. Um dorthin zu gelangen, melden Sie sich als IAM-User auf der AWS-Konsole an und navigieren Sie zu Ihrem Benutzernamen rechts oben. Wählen Sie dort aus dem Dropdown-Menü "My Security Credentials".

Auf dieser Seite können Sie auch Ihr Passwort bearbeiten. Klicken Sie unter "Password for console access" auf den Button "Change password". Es öffnet sich nun ein neues Fenster, in dem Sie das letzte Aktualisierungsdatum ihres aktuellen Kennworts sehen können. Sollte dies nicht der Fall sein, verfügen Sie nicht über die entsprechende Berechtigung. Kontaktieren Sie in diesem Fall Ihren Administrator. Auch andere Credentials lassen sich über "My Security Credentials" konfigurieren – beispielsweise die Git-Credentials für AWS CodeCommit. Mit diesem Service können Sie Assets wie Dokumente und Quellcode in der Cloud speichern und verwalten. Um ohne AWS CLI auf die CodeCommit-Repositories zuzugreifen, lässt sich eine SSH-Verbindung einrichten. Dazu müssen Sie lediglich den öffentlichen SSH-Schlüssel auf "My Security Credentials" hochladen. Danach können Sie dort alle Ihre Git-Credentials verwalten.

In einem KB-Artikel [Link-Code: https://kb.vmware.com/s/article/85685] beschreibt VMware die Anforderungen an den Datenspeicher von zukünftigen Versionen. Der Anbieter empfiehlt, die OS-Daten auf einem neuen Datenträger zu speichern. In vielen Fällen bietet es sich an, eine neue M.2-SSD zu verwenden, da sich diese ohne großen Aufwand verbauen lässt. Sie können aber auch eine neue 2,5-Zoll-SAS- beziehungsweise SATA-SSD, SATADOM oder gar eine PCIe-NVMe verwenden. Um einen langjährigen, performanten und stabilen Betrieb zu gewährleisten, muss der gewählte Speichertyp mindestens folgende Anforderungen erfüllen:

- 32 GByte Speicherplatz, 128 GByte empfohlen

- Lebensdauer von 138 TBW

- Sequenzielle Schreibgeschwindigkeit von 100 MByte/s

Der einfachste Weg, um die ESXi-Installation auf einen neuen Datenträger zu verschieben, ist ein Backup der Host-Konfiguration mit anschließendem Restore. Um die Sicherung der Konfiguration zu erstellen, müssen Sie SSH oder die Konsolen-Shell aktivieren. Mit bin/firmwareConfig.py --backup /tmp legen Sie das Backup im Ordner "tmp" an. Es lässt sich nun zum Beispiel mit WinSCP herunterladen. Entfernen Sie dann das alte Speichermedium und installieren Sie dieselbe vSphere-Version auf dem neuen Datenträger. Aktivieren Sie SSH oder die Konsolen-Shell und laden Sie das Backup hoch. Mit bin/firmwareConfig.py --restore /tmp/ *configBackup* laden Sie die Konfiguration des Hosts. Der Server startet abschließend einmal automatisch neu. Achtung: Bei den ESXi-Versionen 6.7 und älter lautet der Befehl firmwareConfig.sh.

Deuten Zeichen auf einen baldigen Ausfall des Bootdatenträgers hin, können Sie die ESXi-Installation mittels Klonen auf einen neuen, gleichgroßen Datenträger umziehen. Für dieses Beispiel nutzen wir CloneZilla, da es auf einem Live-OS basiert und sich der Klonvorgang somit direkt auf dem Host ausführen lässt. Achtung: Das Klonen eines Datenträgers kann bei falschem Vorgehen zu Datenverlust führen. Wir raten daher dazu, zuvor ein Backup der Host-Konfiguration und Daten zu erstellen. Verwenden Sie diese Vorgehensweise außerdem nicht, wenn Sie von einem kleinen Speichermedium wie einem USB-Stick auf eine größere SSD aufrüsten wollen. Denn der Klonvorgang übernimmt die Partitionstabelle des alten Datenträgers 1:1. Die VMFSL-Partition, in der die ESX-OSData gespeichert werden, lässt sich also nachträglich nicht erweitern.

Nach dem Start von Clonezilla wählen Sie bei Bedarf zunächst die passende Sprache oder ein anderes Tastaturlayout aus. Danach entscheiden Sie sich für den Modus "device-device". Starten Sie den Beginner-Assistenten und wählen Sie "disk_to_local_disk", um den gesamten USB-Stick zu kopieren. Bestimmen Sie nun zuerst den Quell- und dann den Ziel-Datenträger. Den Filsystem-Check können Sie überspringen. Legen Sie nun noch fest, was nach Abschluss des Kopiervorgangs passieren soll und fahren Sie mit "Enter" fort. Die Aktion müssen Sie noch zweimal mit "y" bestätigen. Clonezilla beginnt nun, alle Partitionen zu kopieren. Vergessen Sie nicht, vor dem Starten den Original-Datenträger zu entfernen, da es sonst zu einem kritischen Fehler kommt.

Portmaster steht unter Windows zur Verfügung und auch – als eine Besonderheit – unter Linux, dessen Nutzer auch zunehmend ins Visier von Datensaugern geraten. Aktuell stehen offizielle Pakete für Ubuntu und Fedora bereit, die technische Grundlage bildet auf Linux-Systemen dabei iptables mit nfqueue. Auf beiden Betriebssystemen ermöglicht das kostenlose Open-Source-Tool den Usern, das Aussenden von Daten zu unterbinden. Ist die Software auf dem Rechner installiert, zeigt sie auf, welche Programme Daten abfragen und wo – also auch in welche Länder – sie diese hinschicken. Auf dieser Basis lassen sich diese Uploads nunmehr individuell abdrehen – und zwar bis zu einem sehr detaillierten Level. Es ist zum Beispiel möglich, Facebook im Browser zuzulassen, aber nicht, dass es sich mit Spotify verknüpft und auch dort Daten abfragt.

Portmaster nutzt für DNS-Abfragen standardmäßig Nameserver von Cloudflare. Nach der Aktivierung der erweiterten Einstellungen lässt sich dies umstellen, etwa auf Quad9 oder andere. Pro Applikation zeigt Portmaster die über die aktivierten Filterregeln blockierten URLs an und erlaubt, diese einzeln freizugeben. Aber auch der andere Weg ist gangbar: Bisher nicht blockierte URLs lassen sich zur Sperrliste hinzufügen. Die Entwickler geben jedoch an, dass ihre Software sich noch in einer recht frühen Phase befinde. So könne es derzeit Usern passieren, dass Programme durch das Blockieren von Uploads nicht mehr funktionstüchtig sind. Das Projekt bietet außerdem ein sogenanntes SPN (Safing Privacy Network) an, das vom Funktionsumfang vergleichbar mit dem Tor-Netzwerk ist. Für dessen Nutzung fallen jedoch Gebühren an.

Link-Code: https://safing.io/portmaster/

Der AD Monitor liefert einen Überblick über die Auslastung der wichtigsten Systemkomponenten wie CPU, Speicher, Laufwerke und Netzwerk. Zwar entsprechen die von der Software gesammelten Informationen denen, die sich auch mit Windows-Bordmitteln ermitteln lassen. Die Darstellung der wichtigsten Parameter in einem Dashboard ist jedoch übersichtlicher als in den Windows-eigenen Tools. Die AD-spezifische Überwachung beleuchtet alle wesentlichen Dienste und gibt über die Ampelfarben Hinweise, ob alle Prozesse störungsfrei laufen oder ob Probleme aufgetreten sind. Zudem erlauben Pop-ups, zu den einzelnen Diensten Zusatzinformationen zum Ressourcenverbrauch und zur Verfügbarkeit aufzurufen.

Auf einem eigenen Reiter erlaubt das Tool einen noch tieferen Einblick in die Performance der einzelnen Komponenten, beispielsweise wie viele Lese- und Schreibzugriffe auf das AD stattfinden. Neben diesen Statistiken ist der Admin aber auch in der Lage, bestimmte Dienste als kritisch zu markieren und für sie Schwellenwerte zu definieren, bei deren Überschreiten eine Warnung erfolgt. Der Weg zu diesen Informationen ist recht einfach: Nach der Installation braucht es lediglich die IP-Adresse eines DCs, mit dem sich der AD Monitor dann verbindet und dessen Performancedaten es anschließend ausliest. Dies ist auch parallel für mehrere DCs möglich. Das Tool steht nach einer Registrierung zur Verfügung. Recht nervig kann jedoch die großflächige Werbung in der freien Software sein, mit der der Anbieter seinen kostenpflichtigen Application Performance Monitor schmackhaft machen will.

Link-Code: https://www.whatsupgold.com/free-network-monitoring-tools/free-active-directory-monitor

Ping Castle prüft das Active Directory anhand von mehr als 70 Regeln. Sie sollen Verstöße gegen unterschiedlichste Empfehlungen und Sicherheitsrichtlinien aufspüren. Dazu zählt beispielsweise die Existenz inaktiver Objekte (User, Computer, Betriebssysteme) und veralteter Protokolle. Weitere Prüfkriterien sind unter anderem ACLs und Delegierungen, in GPOs enthaltene Passwörter, Passwortregeln oder Mitglieder in administrativen Gruppen. Die Software entdeckt auch Accounts, deren Passwort nie abläuft oder wo dieses leer sein darf.

Ping Castle ist ein Kommandozeilentool, das dem Admin zahlreiche Schalter und Optionen bietet, aber auch im Standardmodus für den Einstieg geeignet ist. Dieser schlägt dann die aktuelle Domäne vor, bevor er die Prüfroutine startet. Als Ergebnis produziert die Software einen Report im XML- und HTML-Format. Das Tool läuft portabel, eine Installation ist also nicht notwendig. Gleichzeitig eignet es sich sehr gut für den Einsatz in Skripten, die so in regelmäßigen Abständen Sicherheitsdaten des AD ermitteln können.

In ihren Berichten listet die Software verschiedene Prüfpunkte anhand ihres Risikograds und kommt zu einer Gesamtbewertung. Diese ist durch die Kennzeichnung in Rot/Grün sehr gut für eine Managementpräsentation geeignet, um Nichttechnikern ein Gefühl für das Risiko im eigenen Unternehmen zu geben. Gleichzeitig sind die Reports aber auch sehr nützlich für Admins, denn sie erhal ten nicht einfach nur bunte Bilder, sondern sehr praxisnah Hinweise für konkrete Maßnahmen und Links zu passenden Artikeln etwa im TechNet.

Link-Code: https://www.pingcastle.com/