In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.
Zur Überwachung unserer auf Microsoft SQL Server basierten Datenbankserver nutzen wir Paessler PRTG. Durch den Wandel in unserer Unternehmensstruktur stehen wir nun vor der Herausforderung, weitere Datenbanksysteme in das Monitoring einbeziehen zu müssen. Konkret geht es dabei um IBM-DB2 und SAP-HANA. Gibt es eine Möglichkeit, auch die Überwachung dieser Datenbanken in PRTG zu integrieren?
Paessler PRTG enthält standardmäßig eine Reihe von nativen Sensoren zur Überwachung von Datenbanken. In Ihrem Fall empfiehlt sich der Einsatz von PRTG
Database Observer [Link-Code: o2pe1]. Dabei handelt es sich um eine Produkterweiterung, mit der Sie relationale Datenbanken monitoren können, die über die Standard-Datenbanksensoren hinausgehen. Dazu zählen sowohl MS SQL, MySQL, Oracle als auch die von Ihnen genannten Datenbanken SAP HANA und IBM DB2. PRTG Database Observer ermöglicht detaillierte Einblicke in den Zustand, die Leistung sowie die Verfügbarkeit der genannten Datenbanksysteme. Durch bereits vordefinierte SQL-Abfragen, die von Datenbankexperten erstellt wurden, können Sie unkompliziert Ihre eigenen PRTG-Sensoren einrichten. Darüber hinaus haben Sie die Möglichkeit, Datenbankabfragen in einer dedizierten Windows-Anwendung zu testen und mit Ihrem Team zu teilen.
Monitoring
Zur Überwachung unserer auf Microsoft SQL Server basierten Datenbankserver nutzen wir Paessler PRTG. Durch den Wandel in unserer Unternehmensstruktur stehen wir nun vor der Herausforderung, weitere Datenbanksysteme in das Monitoring einbeziehen zu müssen. Konkret geht es dabei um IBM-DB2 und SAP-HANA. Gibt es eine Möglichkeit, auch die Überwachung dieser Datenbanken in PRTG zu integrieren?
Paessler PRTG enthält standardmäßig eine Reihe von nativen Sensoren zur Überwachung von Datenbanken. In Ihrem Fall empfiehlt sich der Einsatz von PRTG
Database Observer [Link-Code: o2pe1]. Dabei handelt es sich um eine Produkterweiterung, mit der Sie relationale Datenbanken monitoren können, die über die Standard-Datenbanksensoren hinausgehen. Dazu zählen sowohl MS SQL, MySQL, Oracle als auch die von Ihnen genannten Datenbanken SAP HANA und IBM DB2. PRTG Database Observer ermöglicht detaillierte Einblicke in den Zustand, die Leistung sowie die Verfügbarkeit der genannten Datenbanksysteme. Durch bereits vordefinierte SQL-Abfragen, die von Datenbankexperten erstellt wurden, können Sie unkompliziert Ihre eigenen PRTG-Sensoren einrichten. Darüber hinaus haben Sie die Möglichkeit, Datenbankabfragen in einer dedizierten Windows-Anwendung zu testen und mit Ihrem Team zu teilen.
Leere Gruppen und unklare Bezeichnungen schaden der Übersicht in unserem Active Directory. Was ist der beste Weg, um für Ordnung bei AD-Gruppen zu sorgen?
Bei der sauberen Strukturierung von AD-Gruppen sollten sich Organisationen nach dem AGDLP-Prinzip richten. Das bedeutet: Benutzergruppen, die die Aufgabenbereiche im Unternehmen abbilden und Berechtigungsgruppen, die jeweils ein bestimmtes Zugriffsrecht steuern. Damit klar ersichtlich ist, welchem Zweck eine Gruppe dient, sind Namenskonventionen dabei unerlässlich. Aus der Gruppenbezeichnung sollte sich also ablesen lassen, welches IT-System, welches Verzeichnis und welche Berechtigungsstufe diese steuert, etwa "FS_Sales_Read" für Leserechte auf dem Sales-Ordner des Fileservers. Die genaue Namensstruktur bleibt dem Unternehmen überlassen, muss aber einheitlich Anwendung finden. Dabei hilft auch festzulegen, wer für das Anlegen und Aktualisieren von Gruppen zuständig ist.
Darüber hinaus sollten nicht mehr benötigte Gruppen regelmäßig entfernt werden. Gruppen ohne Mitglieder lassen sich beispielsweise mittels PowerShell über den Befehl "Get-ADGroup" erheben, indem der Admin Gruppen herausfiltert, bei denen die Property ”Members” keinen Wert hat:
Get-ADGroup -Filter * -Properties Members | where { -not $_.Members}
Achtung: Ist die gelöschte Gruppe noch Mitglied anderer Gruppen, bleibt dort eine verwaiste SID zurück. Das Erstellen, Pflegen und Löschen von Active-Directory-Gruppen erfordern Disziplin und Genauigkeit. Für Admins ist die Verwaltung mit einigem Aufwand verbunden. Einfacher gelingt dies mit einer automatisierbaren Software für das Benutzer- und
Microsoft Windows Remote Desktop Services – früher auch als Terminalserver bezeichnet – kommen bei uns sehr häufig in Verbindung mit Microsoft Office zum Einsatz. Leider sind nicht alle Office-Varianten uneingeschränkt für diesen Zweck geeignet, und es ist oftmals schwierig herauszufinden, welche Versionen von Office für den Betrieb auf einem RDS geeignet sind. Können Sie hier für Aufklärung sorgen?
Zunächst zum Hintergrund: Das benötigte Feature für Office-Nutzung auf
einem RDS-Server ist SCA (Shared Computer Activation). Es ist von der Office-Variante abhängig und nicht von der Windows-Server-Version. Mit SCA können Sie Microsoft-365-Apps auf einem Computer in Ihrer Organisation bereitstellen, auf den mehrere Benutzer zugreifen. Also genau der Fall, der bei einem Remote-Desktop-Server vorliegt. Die Aktivierung von gemeinsam genutzten Computern ist für Szenarien erforderlich, in denen mehrere User denselben Rechner nutzen und sich mit ihrem eigenen Konto anmelden. Normalerweise können Benutzer Microsoft 365 Apps nur auf einer begrenzten Anzahl von Geräten installieren und aktivieren, zum Beispiel auf fünf PCs. Die Verwendung von Microsoft-365-Apps mit aktivierter gemeinsamer Computeraktivierung wird nicht auf diese Begrenzung angerechnet. Wenn Sie die gemeinsame Computeraktivierung während der erstmaligen Installation von Microsoft-365-Apps aktivieren möchten, können Sie das Office-Bereitstellungstool anweisen, dies während der Installation zu tun. Verwenden Sie das Office Deployment Tool unter "config.office.com", stellen Sie sicher, dass Sie die Option "Gemeinsamer Computer" im Abschnitt Produktaktivierung aktiv schalten. Wenn Sie die Konfigurationsdatei manuell erstellen, fügen Sie die folgende Zeile ein:
Angesichts der zunehmenden Risiken durch Cyberangriffe haben wir unsere IT-Sicherheitsmaßnahmen verstärkt, um die Anwendungen in der AWS-Cloud abzusichern. Das ist aufwändig, auch weil wir keinen eigenen IT-Sicherheitsexperten haben. Aber Compliance ist in unserer Branche entscheidend. Wie können wir die Bereitstellung von Anwendungen einfacher verwalten und gleichzeitig unsere IT-Infrastruktur schützen?
IT-Sicherheitsbedrohungen werden immer ausgefeilter. Cyberkriminelle brauchen heute keine fundierten Programmierkenntnisse mehr, um erfolgreich anzugreifen. Sie müssen lediglich Large Language Models (LLM) und generative KI einsetzen. Unternehmen sollten daher verstärkt auf die Sicherheit in der Cloud achten. Amazon CloudFront und AWS WAF können dabei helfen, indem sie die Leistung, Ausfallsicherheit und Sicherheit von Webanwendungen und APIs verbessern.
Start-ups und kleine Unternehmen verfügen jedoch selten über das notwendige Know-how, um alle wichtigen Sicherheitsmaßnahmen umsetzen zu können. Deshalb unterstützt das Security-Dashboard von CloudFront auch fachfremde Mitarbeiter durch eine interaktive Übersicht mit automatischer Konfiguration der empfohlenen Schutzmaßnahmen. Auf diese Weise lassen sich CloudFront und AWS WAF an einem zentralen Ort zur Überwachung und Verwaltung von Webanwendungen einsetzen. Das Dashboard ist in jeder CloudFront-Distribution ohne zusätzliche Kosten enthalten und in der CloudFront-Konsole unter der Option "Security" aufrufbar.
Für eine bestehende CloudFront-Distribution müssen Sie AWS WAF aktivieren, um die Sicherheitsmetriken im Security-Dashboard anzeigen zu können: Öffnen Sie dazu zunächst die CloudFront-Konsole und wählen Sie im Navigationsbereich unter "Distributions" diejenige aus, die Sie bearbeiten möchten. Klicken Sie auf "Security" und entscheiden Sie sich im Abschnitt "Web Application Firewall (WAF)" für die Option "Enable security protections". Bestätigen Sie die Änderungen mit "Save changes".
Für eine neue Amazon CloudFront Distribution aktivieren Sie die Sicherheitsvorkehrungen wie folgt: Öffnen Sie auch hier die CloudFront-Konsole. Wählen Sie dann "Create distribution" und geben Sie die zu schützende Quelle an. Überprüfen Sie im Abschnitt "Web Application Firewall (WAF)" den Kostenvoranschlag und klicken Sie auf "Enable security protections". Überprüfen Sie die restlichen Einstellungen der Distribution und wählen Sie dann "Create distributions" beziehungsweise "Save changes", wenn Sie eine bestehende Verteilung bearbeiten möchten. CloudFront übernimmt für Sie das Erstellen und Konfigurieren von AWS WAF mit den vom Cloudanbieter für alle Anwendungen empfohlenen Standardschutzmaßnahmen.
(AWS/ln)
Hardware
Unsere Anwender freuen sich bei Problem mit Ihrem PC sehr über die Möglichkeit einer Session zum Remote-Support. Gibt es in LogMeIn Rescue unter Windows eine Möglichkeit, diese schneller zu starten als mit den gängigen Prozessen?
Ja, die gibt es. Mit der Calling-Card-Funktion von Rescue können Endbenutzer mit einem einzigen Klick eine Remote-Support-Sitzung über eine Desktopverknüpfung starten. Das ist in einem internen Supportfall äußerst nützlich, da sich die Anwendung in großen Mengen auf allen Desktops bereitstellen lässt, sodass die Benutzer eine einfache, standardisierte Möglichkeit haben, eine Hilfe-Session zu starten, ohne zu einer Website navigieren zu müssen.
Dazu müssen Sie als Admin nur die Calling Card auf den Endgeräten installieren. Anschließend ist es nicht mehr nötig, in den Administratormodus zu wechseln, um eine Rescue-Sitzung auf diesem Gerät zu starten. Dadurch ist auch der Supportprozess für Benutzer, die Unterstützung anfordern, deutlich schneller und einfacher, da sie nicht mehr durch die Eingabeaufforderungen der Benutzerkontensteuerung (UAC) navigieren müssen, um eine Verbindung herzustellen. Sobald die benötigte Calling-Card-Version im Konto gespeichert ist, navigieren Sie zum Admin-Center und erzeugen ein neues Calling-Card-Installationsprogramm. Gehen Sie dazu wie folgt vor:
1. Wählen Sie einen Kanal aus der linken Menüleiste aus.
2. Gehen Sie auf die Registerkarte "Organisation" oder "Kanäle" in der oberen Navigation.
3. Geben Sie einen Installer-Namen ein, zum Beispiel "Test Service Mode".
4. Aktivieren Sie das Kontrollkästchen "Windows".
5. Markieren Sie die Option "Windows-Dienstmodus".
Die meisten Tools, die wir in dieser Rubrik vorstellen, sollen die Arbeit des Admins vereinfachen oder ihm Zeit sparen helfen. Und obwohl Letzteres gewiss oft der Fall ist, dürften IT-Verantwortliche dennoch in vielen Fällen unter erheblichem Zeitdruck stehen. Wer da Überstunden vermeiden will, sollte die Arbeitszeit so produktiv wie möglich nutzen. Ein Ansatz dafür ist die Pomodoro-Technik. Diese Methode des Zeitmanagements verwendet einen Kurzzeitwecker, um Arbeit in 25-Minuten-Abschnitte und Pausenzeiten zu unterteilen und basiert auf der Idee, dass häufige Pausen die geistige Beweglichkeit verbessern können. Die Phasen Planung, Nachverfolgung, Aufzeichnung, Bearbeitung und Visualisierung sind die essenziellen Pfeiler dieser Technik. Ein wichtiges Ziel ist das Verringern sowohl interner Abschweifungen als auch externer Unterbrechungen. Eine Unterstützung bei dieser nicht ganz einfachen Aufgabe bietet die Open-Source-App Pomatez.
Die ursprünglich für Linux entwickelte Anwendung steht mittlerweile auch für Windows-Systeme bereit und unterstützt das Zeitmanagement nach dem erwähnten Ansatz. Dafür stellt die App zunächst das Einteilen der eigenen Arbeit in Form der 25-Minuten-Intervalle und Pausen auf dem Bildschirm dar, sodass der Nutzer immer im Blick hat, welche Phase aktuell ansteht. Pomatez ist jedoch flexibel und ermöglicht, die Dauer der Blöcke individuell einzurichten. Neben dieser zentralen Funktion steht eine Aufgabenliste bereit, die der Anwender mit unterschiedlichen Tasks, deren Zeitvorgaben und dem Arbeitsfortschritt befüllt. Für die Pausen gibt es zwei Optionen: Sind die "Full-screen Breaks" aktiviert, sperrt die App in den Pausenzeiten den Monitor und zwingt dergestalt zur Unterbrechung der Arbeit. Weniger radikal gehen die Desktop-Benachrichtigungen vor, die den Nutzer lediglich über den aktuellen Status seines Arbeitstages informiert, etwa wenn eine Pause ansteht.
Allen Bemühungen und technologischen Alternativen zum Trotz sind Passwörter noch immer der verbreitetste Weg der Authentifizierung. Gleichzeitig setzen Unternehmen auf immer höhere Sicherheitsanforderungen und die Passwörter werden immer komplexer beziehungsweise länger und machen es dem Anwender damit schwieriger, sich diese zu merken. Ohne Aufschreiben geht dann gar nichts mehr – was jede Security-Policy ad absurdum führt. Ein bewährter Passwortmanager, der ganze Teams unterstützt und unter der Herrschaft des IT-Verantwortlichen steht, ist das freie Passbolt.
Passbolt ist eine webbasierte Open-Source-Software zum Management von Passwörtern für einzelne Benutzer oder Teams. Es setzt auf die bewährte PGP-Verschlüsselungstechnologie und ist einfach zu benutzen. Die gespeicherten Passwörter verschlüsselt die Software mit den privaten PGP-Keys. Dazu kommt eine JavaScript-Implementierung namens OpenPGP.js zum Einsatz, die in einer Browser-Extension arbeitet. Auch zur Authentifizierung nutzt das Tool PGP in Form des GPGAuth-Protokolls und zur Absicherung der Kommunikation TLS/SSL. Voraussetzungen für den Betrieb des Passwortlagers sind ein SSL-fähiger Webserver mit URL-Rewriting wie etwa Apache oder Nginx, PHP sowie eins der drei PHP-Bildverarbeitungsmodule GD2, Imagick, Gmagick sowie GnuPG für PHP. Um Sessions im Cache zu speichern, empfehlen die Entwickler darüber hinaus Memcached und als Datenbank dient MySQL. Praktischerweise stellen die Entwickler Passbolt auch als Container zur Verfügung.
Nach der Installation stehen verschiedene Benutzerrollen zur Verfügung, die unterschiedliche Rechte aufweisen, etwa Administratoren der Umgebung oder Nutzer, die Passwörter nur lesen oder auch verändern dürfen. Jeder angelegte Benutzer wird erst dann aktiv, wenn er über den in der E-Mail verschickten Link sein Profil vervollständigt und einen Schlüssel hochgeladen hat. Über die Kernfunktionalität hinaus gibt es einige Funktionen, mit denen Passbolt versucht, die Verwendung sicherer zu gestalten. So erhält jeder Anwender beim Setup ein Security Token, bestehend aus einer Farbe und einer Zeichenkombination, das bei jeder kritischen Aktion auf dem Screen erscheint. Damit soll sich der User vergewissern können, dass ein Eingabeformular wirklich vom Passbolt-Server stammt und nicht von einem Angreifer vorgegaukelt wird. Analog dazu präsentiert der Server beim Login seinen Fingerprint, den jeder Anwender mit dem ihm bekannten Fingerprint abgleichen sollte. Die Verwaltung der Passwörter selbst ist recht intuitiv. Über ein Menü lassen sie sich anlegen, wobei nur ein Name und das Passwort selbst obligatorisch sind. Optional lassen sich eine URL, ein Username und eine Beschreibung eingeben.
Die Herausforderung, dass wichtige Informationen eines Unternehmens in verschiedenen Datenbanken lagern, ist wohl jedem IT-Verantwortlichen schon einmal über den Weg gelaufen. Praktische Szenarien dazu gibt es viele: Eine Personalanwendung auf einem System, das Zeiterfassungs- und Zutrittskontrolldaten aus einer MS-SQL-Datenbank auf dem Windows-Server benötigt oder das ERP-System, das in Echtzeit Fertigungsdaten aus der MySQL-Datenbank anfordert, sind nur zwei Beispiele. Da wünscht dich der Admin, dass alle Datenbanken im Unternehmen auf einem zentralen System verfügbar wären. Und genau das verspricht DbGate.
DbGate ist ein Datenbank-Frontend, das gleichermaßen SQL- wie auch NoSQL-DBs unterstützt. Neben Klassikern wie SQL Server, MySQL, Oracle oder PostgreSQL versteht sich das Tool auch mit MongoDB, MariaDB, CockroachDB oder AmazonRedshift. DbGate verfügt über einen integrierten Query Builder sowie einen NDJSON-Viewer. Ebenfalls vorhanden ist eine Import/Export-Funktion, die diverse Formate unterstützt. Die Software ermöglicht die Initiierung bidirektionaler SQL-Zugriffe auf externe Daten. Diese Technologie nutzt normale SQL-Anweisungen und arbeitet aus allen nativen SQL-Befehlen und Programmiersprachen heraus. Etwa aus RPG, Cobol, C und jeder andere Sprache, die mit CRTSQL kompiliert. Es sind keine speziellen APIs erforderlich. Zur Absicherung der Datenübertragung dient SSL.