für den IT-Administrator

Redaktion IT-Administrator

In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.

Cloud

Wir nutzen für unsere Clientrechner sowohl Windows als auch Linux und gerade seit der Pandemie ist der Wechsel zwischen diesen Systemen immer fließender geworden. Besonders unsere hybrid arbeitenden Mitarbeiter benötigen einen einheitlichen und sicheren Zugang, um ihre Arbeitsumgebung so problemlos wie möglich zu gestalten. Wie lässt sich unsere virtuelle Desktopinfrastruktur optimieren und in der AWS-Cloud kosteneffizient betreiben?

VDI in der AWS-Cloud lässt sich über Amazon WorkSpaces realisieren. Damit stellen Sie virtuelle Desktops bedarfsgerecht für ihre Mitarbeiter bereit. So ist es zum Beispiel kein Problem, den Beschäftigten mittels einer Ubuntu-Umgebung eine konsistente und vertraute Erfahrung zu bieten. WorkSpaces bietet zudem Administratoren virtueller Desktops die Möglichkeit, Windows- oder Linux-basierte Arbeitsplätze für ihre Mitarbeiter zu provisionieren. Admins können dabei einen standardisierten Prozess nutzen, um ihre Desktop-Betriebssysteme zu verwalten. Deren Bereitstellung unter WorkSpaces funktioniert genauso wie für Windows. Dabei sind Hardware-Bundles mit verschiedenen CPU- und Speichergrößen auswählbar, je nach den Bedürfnissen der Endnutzer.

Den ersten WorkSpace erstellen Sie in wenigen Minuten. Öffnen Sie dazu die AWS-Konsole im WorkSpaces-Bereich. Wählen Sie dort "Quick setup". Sollten Sie diese Schaltfläche nicht sehen, haben Sie entweder bereits einen WorkSpace in dieser Region gestartet oder Sie befinden sich in einer Region, die Quick Setup nicht unterstützt – in diesem Fall müssen Sie einen "Virtual Desktop" erstellen. Unter "Identify users" füllen Sie nun die Felder für den Benutzernamen, den Vor- und Nachnamen sowie die E-Mail-Adresse aus und klicken auf "Next". Verwenden Sie WorkSpaces zum ersten Mal, empfehlen wir, zu Testzwecken einen Nutzer für sich selbst anzulegen. Entscheiden Sie sich bei den Bundles für die passende Hard- und Software, zusammen mit dem entsprechenden Protokoll (PCoIP oder WSP). Weitere Informationen über die öffentlichen Bundles finden Sie auf der entsprechenden AWS-Seite [Link-Code: https://aws.amazon.com/de/workspaces/features/#Amazon_WorkSpaces_Bundles].

Überprüfen Sie abschließend alle Informationen und klicken Sie dann auf "Create WorkSpace". Es dauert nun etwa 20 Minuten bis zur Bereitstellung des Desktops. Sie können den Fortschritt einsehen, indem Sie im linken Navigationsbereich die entsprechenden Directories auswählen. Der anfängliche Status ist "Pending". Während der Erstellung wechselt er zu "Creating" und nach Abschluss zu "Active".

Wir möchten verhindern, dass Benutzer über die Synchronisierung von OneDrive versehentlich bestimmte Dateitypen wie etwa ausführbare Dateien hochladen. Wie lässt sich der Dateiupload in OneDrive filtern?

Um bei der Synchronisierung von OneDrive bestimmte Dateien herauszufiltern, gibt es zwei Möglichkeiten. Zum einen findet sich eine entsprechende Einstellung im Microsoft 365 Admin Center unter "SharePoint / Einstellungen / OneDrive Sync". Darüber hinaus lässt sich die Filterung über eine Gruppenrichtlinie beziehungsweise ein Intune-Template namens "EnableODIgnoreListFromGPO" realisieren. Das Blockieren per Gruppenrichtlinie hat den Vorteil, dass Admins hier nicht nur Dateiendungen, sondern auch Dateinamen inklusive Platzhalter eintragen können, zum Beispiel "Jahresabrechnung202*.xlsx". Die Sperre betrifft jedoch nur die versehentliche Synchronisierung – über die Webapp können

Benutzer ausgeschlossene Dokumente weiterhin hochladen. Ebenso werden Dateien, die bereits in OneDrive synchronisiert sind, nicht nachträglich entfernt. Neben allgemeinen Richtlinien benötigen Organisationen, die SharePoint und OneDrive absichern möchten, daher auch Werkzeuge, um das Teilen von Daten in der Microsoft Cloud nachvollziehen zu können. tenfold stellt zu diesem Zweck eine zentrale Übersicht der Freigaben in Teams, OneDrive und SharePoint zur Verfügung, inklusive Filtermöglichkeiten für das Teilen mit internen oder auch externen Konten.

Weitere Tipps zum Thema Berechtigungsmanagement finden Sie im IAM-Blog von tenfold unter https://tenfold-security.com/ratgeber/

Monitoring

Wir haben kürzlich unsere Serverräume modernisiert und mit aktuellen Serverschränken von Rittal ausgerüstet. Sämtliche Racks sind mit dem neuen CMC-III-System des Herstellers ausgestattet. An die Steuereinheiten haben wir physische Sensoren gebunden, mit denen wir diverse Umgebungsbedingungen in unseren Serverräumen abfragen. Im Idealfall hätten wir nun diese Daten gerne in unserem zentralen Monitoringsystem, PRTG Network Monitor von Paessler. Gibt es hier Möglichkeiten?

Tatsächlich arbeiten die beiden Unternehmen Rittal und Paessler partnerschaftlich zusammen. Die Monitoringsoftware Paessler PRTG bietet sogar vordefinierte Sensortypen an, die über SNMP das CMC-III-System auslesen. Mithilfe des Sensors "SNMP Rittal CMC III Hardware Status" in PRTG und der automatischen Netzwerkerkennung können Sie Ihre vorhandene CMC-III-Infrastruktur ins zentrale Monitoring aufnehmen. Neben SNMP stehen Ihnen auch Modbus TCP und die OPC-UA-Technologie zur Verfügung. Mittels des SNMP-Custom-Advanced-Sensors lässt sich außerdem jeder einzelne Umgebungssensor Ihres Rittal-Setups ins Monitoring einbinden. Für weitergehende Details zur Einrichtung inklusive einer bebilderten Anleitung empfehlen wir den passenden Blogartikel [Link-Code: https://blog.paessler.com/prtg-rittal-empowering-data-centre-facilities-teams] des Herstellers.

Für weitere Tipps und Tricks rund um das Thema Monitoring mit PRTG bietet Paessler unter [Link-Code: https://www.youtube.com/c/PRTGNetworkMonitorByPAESSLER?utm_source=itadministrator&utm_medium=referral&utm_campaign=tipps] auch einen YouTube-Kanal mit Tutorials an.

Virtualisierung

Wir nutzen Parallels Remote Application Server und möchten Komponenten aus derselben RAS-Infrastruktur unter verschiedenen Mandanten gemeinsam verwenden, aber gleichzeitig die Kundendaten voneinander getrennt halten. Mit welchen Hilfsmitteln funktioniert das und was müssen wir dabei beachten?

Um die von Ihnen beschriebene mandantenfähige Architektur aufzusetzen, müssen Sie zunächst den "Mandantenmakler" bereitstellen und Ihre RAS-Serverfarm als Mandant anlegen. Konfigurieren Sie das Netzwerk zwischen dem Mandantenmakler und dem Mandanten, um die folgenden Verbindungen zu ermöglichen:

- Gemeinsam genutzte RAS-Secure-Gateways zu den RAS-Connection-Brokers des Mandanten.

- Gemeinsam genutzte RAS-Secure-Gateways zu den Ressourcen-Hosts.

- RAS-Connection-Broker des Mandanten zum RAS-Connection-Broker des Mandantenmaklers.

Anschließend erstellen Sie das Mandantenobjekt und einen entsprechenden Einladungs-Hash in der Mandantenmakler-Konsole oder einen geheimen Schlüssel. Beides benötigen Sie im nächsten Schritt, um den Mandanten mit dem Mandantenmakler zu verknüpfen. Weisen Sie dem Mandanten eine öffentlich zugängliche Adresse zu. Dies kann zu diesem Zeitpunkt (nach dem Beitritt eines Mandanten) oder gegebenenfalls im Voraus erfolgen. Dieser Schritt ist aber obligatorisch, da die Clients sonst keine Verbindung zur Mandantenfarm herstellen können.

Danach richten Sie das Routing für eingehenden Mandantenverkehr aus dem Internet zu den gemeinsam genutzten RAS-Secure-Gateways und HALB oder einem anderen Drittanbieter-Loadbalancer Ihrer Wahl ein. Konfigurieren Sie nun ein Zertifikat für den Mandanten. Standardmäßig kommt ein während der Installation erstelltes selbstsigniertes Zertifikat zum Einsatz. Zu guter Letzt sollten Sie die Client-Konnektivität testen, um die Verknüpfung zu prüfen. Weitere Anleitungstipps finden Sie unter [Link-Code: https://download.parallels.com/ras/v19/docs/de_DE/Parallels-RAS-19-Administrators-Guide/45488.htm] sowie [Link-Code: https://download.parallels.com/ras/v19/docs/de_DE/Parallels-RAS-19-Administrators-Guide/45470.htm].

Hardware

Wir sind ein kleiner mittelständischer Betrieb und würden unseren Support in manchen Punkten gern unbeaufsichtigt durchführen. Denn wir haben festgestellt, dass Mitarbeiter Updates oft aus zeitlichen Gründen nicht ausführen. Gibt es da bei unserem IT-Management-Tool GoTo Resolve eine Möglichkeit?

Ja, die gibt es. GoTo Resolve enthält die nötigen RMM-Funktionen (Remote Monitoring und Management), um unbeaufsichtigten Zugriff auf Geräte zu erlangen und Updates durchzuführen, ohne dass der Endbenutzer eingreifen muss. Dazu ist keine Live-Support-Sitzung mit Unterstützung des Endbenutzers nötig. Mit erweiterten RMM-Funktionen ist Ihre IT dazu in der Lage, Geräte bei Bedarf aus der Ferne neu zu starten. Ein nahtloser Remote-Neustart kann so auch während einer unbeaufsichtigten Zugriffssitzung erfolgen.

Dazu gehen Sie wie folgt vor: Verbinden Sie sich in der Admin-Konsole von GoTo Resolve mit dem gewünschten Computer. Dazu starten Sie die Fernzugriffssoftware auf Ihrem Rechner und wählen den Endpunkt, mit dem Sie eine Verbindung herstellen möchten, aus. Anschließend klicken Sie auf die Schaltfläche "Verbinden". Geben Sie dann die Anmeldedaten für den entfernten Computer ein. Sobald die Fernverbindung hergestellt ist, öffnen Sie das Startmenü. Erscheint der Desktop des Ferncomputers auf Ihrem Bildschirm, klicken Sie auf die Schaltfläche "Start" auf dem Desktop des Ferncomputers, um so das Startmenü aufzurufen.

Nun begeben Sie sich in das Startmenü und wählen die Option "Neustart" oder "Herunterfahren" unter der Schaltfläche "Energie" in den Energieoptionen aus. Anschließend sollte Ihnen ein Bestätigungsfenster angezeigt werden, das Sie fragt, ob Sie den Remote-Computer wirklich neu starten oder herunterfahren möchten. Bestätigen Sie dies mit "OK". Hier ein kleiner Hinweis: Trennen Sie die Fernverbindung zum Endgerät erst, wenn der Neustart oder das Herunterfahren vollständig abgeschlossen sind.

Weitere Tipps rund um das Thema IT-Management finden Sie im Blog "Products in Practice" von GoTo unter http://www.goto.com/de/blog/products

Tools

Besteht im Unternehmen Bedarf an einer Videoüberwachung für besonders sensible Bereiche, trifft der IT-Verantwortliche bei der Sondierung entsprechender Angebote meist auf hardwarebasierte Netzwerkvideorekorder (NVR). Diese lassen sich nicht per se als sehr teuer bezeichnen, dennoch sind moderne NVR, die oft tausende von Kameras unterstützen, für die meisten KMU gewiss zu hoch skaliert. Stehen jedoch schon eine Handvoll Kameras und ein NAS bereit, lässt sich diese Umgebung mit der Open-Source-Software Viseron für eine leistungsfähige Videoüberwachung nutzen.

Viseron ist ein selbstgehosteter, softwarebasierter Netzwerkvideorekorder auf Basis eines Docker-Images. Sobald also ein NAS (oder selbstverständlich ein beliebiger anderer Sever mit ausreichend Storage) in der Lage ist, einen Docker-Container zu betreiben, ist die Basis für den Einsatz unseres Tools gegeben. Die Software selbst ist dabei State-of-the-Art in Sachen Überwachung, denn neben der reinen Aufzeichnung der Kameradaten kann sie dank künstlicher Intelligenz Objekte, Bewegungen und auch Gesichter erkennen und spezielle Aktionen auf dieser Basis ausführen.

Objekte erkennt Viseron in den Kamerabildern in Echtzeit auf Basis von YOLO (v3, v4 und v7). Somit lässt sich – um ein drastisches Beispiel heranzuziehen – unmittelbar Alarm schlagen, wenn ein Besucher auf dem Firmenparkplatz mit einem Jagdgewehr hantiert. Ebenso in Echtzeit erfolgen Bewegungs- und Gesichtserkennung, wobei die Entwickler in der Beschreibung der Software jedoch offenlassen, auf welchem Wege die Daten zu den Gesichtern ins System gelangen. Da Viseron jedoch bei seiner Arbeit lernt, ist beispielweise leicht vorstellbar, dass die Software erkennt, wenn am frühen Morgen nicht nur die bekannten 22 Mitarbeiter das Firmengebäude betreten, sondern eben auch ein Unbekannter.

Als Plattform unterstützt das Werkzeug AMD64-, AArch64- und ARHF-Prozessoren auf Geräten, die unter einem Linux-Derivat laufen und wie eingangs erwähnt Docker unterstützen. Dabei lässt sich mit CUDA, Google Coral EdgeTPU oder Jetson Nano eine Hardwarebeschleunigung erreichen, um die Systemressourcen besser auszunutzen. Der notwenige Plattenplatz richtet sich dabei natürlich nach der Anzahl der Kameras und der Dauer der Aufbewahrung. Über die genaue Anzahl der maximal unterstützten Kameras schweigt sich die Dokumentation des Tools jedoch leider aus. Für eine begrenzte Überwachung bestimmter Bereiche sollten die Fähigkeiten von Viseron aber in jedem Fall ausreichen.

Link-Code: https://viseron.netlify.app/

Das Open Source nicht immer gleich Open Source ist, zeigt die Entstehungsgeschichte unserer nächsten Software, der Datenbank FerretDB. Sie entstand Ende 2021 zunächst unter dem Namen "MangoDB", da die Entwickler der Datenbank die SSPL-Lizenz von MongoDB störte. Ihrer Ansicht nach ist diese kein echtes Open Source. FerretDB läuft daher unter der Apache-2.0-Lizenz und soll eine wirklich freie Alternative zu MongoDB darstellen.

In seiner jetzigen Form unterstützt FerretDB eine Teilmenge von MongoDB-Funktionen, die in typischen Anwendungen am häufigsten zum Einsatz kommen. Die Notwendigkeit, FerretDB zu implementieren, kann sich wie geschildert im Zusammenhang mit der Umstellung von MongoDB auf die SSPL-Lizenz ergeben, die auf der AGPLv3-Lizenz basiert, aber nicht Open Source ist. Wir haben diesen Einstieg auch deshalb gewählt, weil die Funktionsweise einer Datenbank keiner Erklärung bedarf, dennoch kommt FerretDB mit einigen technischen Spezifikationen daher, die sie vom Rest der freien Datenbanken abheben soll. Trotz allem Streit ist FerretDB als dokumentenorientierte Datenbank stark an MongoDB angelehnt, versteht die gleiche Syntax und erlaubt das Verwenden von MongoDB-Workloads mit Backends wie PostgreSQL, Tigris und SAP HANA. Statt dem MongoDB Wire Protocol nutzt FerretDB SQL.

Dabei ermöglicht FerretDB, das dokumentorientierte DBMS von MongoDB durch PostgreSQL zu ersetzen, ohne Änderungen am Anwendungscode vorzunehmen. FerretDB ist als Proxyserver implementiert, der MongoDB-Aufrufe in SQL-Abfragen in PostgreSQL übersetzt, sodass diese als Speicher dienen kann. Die DB läuft unter Hosts mit Linux, macOS oder Windows. Notwendig ist dabei Docker, das unter Linux auf dem Host installiert sein muss und unter macOS und Windows Docker Desktop erfordert.

Link-Code: https://www.ferretdb.io/

Arbeiten Anwendungen in einem Kubernetes-Cluster, der von den Entwicklern über eine CI/CD-Pipeline versorgt wird, ist die Gewährleistung der Sicherheit einer solchen Umgebung ein komplexes Unterfangen. Denn nicht selten sprechen wir hierbei von Infrastrukturen, in denen schon ein fehlender Patch oder eine falsche Konfiguration ein fatales Loch in die Security eines Unternehmens reißen kann. So ist es erfreulich, dass das bislang proprietäre Werkzeug Kubescape nun unter einer Open-Source-Lizenz veröffentlicht wurde.

So hat ARMO, eine israelische Softwareschmiede mit der Spezialisierung IT-Security, seinen Securityscanner Kubescape als Open-Source-Projekt in die Verantwortung der Cloud Native Computing Foundation (CNCF) übergeben. Das auf die Absicherung von Kubernetes-Clustern und CI/CD-Pipelines ausgelegte Tool steht als Sandbox-Projekt ab sofort zum Einsatz und zur Weiterentwicklung und Integration mit anderen Cloud-nativen Werkzeugen offen.

Kubescape deckt in Kubernetes-Umgebungen Aufgaben wie die Risikoanalyse, Sicherheit, Compliance und das Überprüfen auf etwaige Fehlkonfigurationen gemäß Frameworks wie NSA-CISA, MITRE ATT&CK oder dem CIS-Benchmark ab. Die automatisierten Scans lassen sich über eine Kommandozeilenschnittstelle konfigurieren und innerhalb der Entwicklungsumgebung, in CI-CD-Pipelines sowie in Kubernetes-Clustern ausführen. Kubescape stellt die Ergebnisse der Scans in unterschiedlichen Formaten bereit, darunter JSON und Junit XML, aber auch HTML und PDF. Kubescape steht unter der Apache-2.0-Lizenz auf GitHub zur Verfügung. Es ist aber auch weiterhin von ARMO zu beziehen: als On-Premises-Installation, als Software-as-a-Service mit vollständigem Support und als dauerhaft kostenfreie Community-Edition.