für den IT-Administrator

Redaktion IT-Administrator

In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.

Monitoring

Wir nutzen PRTG Network Monitor unter anderem zur Prüfung, ob ein Host mittels Ping erreichbar ist. Was uns in unserer Überwachungsumgebung aber noch fehlt, ist so etwas wie ein invertierter Ping-Sensor. Ich stelle mir vor, dass der Sensor den Status "OK" zurückliefert, wenn es keine Antwort auf den Ping-Befehl gibt, und "Fehler", sobald sich ein Gerät auf den Ping rückmeldet. Lässt sich das mit Paessler PRTG realisieren?

Für diesen Anwendungsfall stellt PRTG mittlerweile einen nativen Sensortypen zur Verfügung. Der komplett überarbeitete Sensor "Ping v2" beinhaltet eine neue Einstellung namens "Inverted Error Status". Wenn Sie diese Option in den Sensoreinstellungen aktivieren, wechselt der Sensor in den Fehlerstatus, sobald das Zielgerät erreichbar ist. Umgekehrt bleibt der Sensor grün, wenn keine Antwort auf den Ping-Befehl erfolgt. Beispielsweise könnten Sie damit gut monitoren, ob versehentlich ein Gerät Ihrer Backup- beziehungsweise Disaster-Recovery-Systemumgebung aktiviert wurde. Der Ping-v2- Sensor unterstützt sowohl das IPv4- als auch das IPv6-Protokoll.

Für weitere Tipps und Tricks rund um das Thema Monitoring mit PRTG bietet Paessler unter [Link-Code: https://www.youtube.com/c/PRTGNetworkMonitorByPAESSLER?utm_source=itadministrator&utm_medium=referral&utm_campaign=tipps] auch einen YouTube-Kanal mit Tutorials an.

Cloud

In unserem Unternehmen nutzen wir eine Hybrid-Cloud-Umgebung für Applikationen und Geschäftsprozesse. Die Verwaltung dieser IT-Infrastruktur gestaltet sich herausfordernd, da unsere Metriken und Protokolle in unterschiedlichen Rechenzentren und bei verschiedenen Cloudanbietern isoliert sind. Dadurch fällt es oft schwer, den Überblick über den Zustand und die Leistung der Infrastruktur unserer Organisation zu behalten. Wie können wir unsere Metriken einfacher analysieren und die Sichtbarkeit zentralisieren?

Hybrid- und Multicloud-Umgebungen sind mittlerweile alltäglich. Eine korrekte Verwaltung dieser komplexen IT-Infrastrukturen wird daher immer wichtiger. Amazon CloudWatch unterstützt AWS-Nutzer dabei, Einblick in sämtliche Metriken zu erhalten und den Datenbestand aus vielen Quellen zu konsolidieren und visualisieren. Dazu gehören beispielsweise Amazon OpenSearch Service, Amazon Managed Service for Prometheus, Azure Monitor und benutzerdefinierte Datenquellen. Alle Metriken lassen sich in Echtzeit abfragen, was einen besseren Einblick in den Zustand von Anwendungen ermöglicht. Das IT-Team kann dadurch kritische Ereignisse schneller beheben.

CloudWatch ermöglicht das Überlagern von Daten aus verschiedenen Quellen in denselben Diagrammen und Dash-boards. Das verhindert Kosten für die Duplizierung von Metriken und macht den Wechsel auf andere Tools unnötig. Nutzer können Alarme für Metriken über AWS-, On-Premises- und Multicloud-Datenquellen erstellen, um komplexe Probleme zu identifizieren. Es ist auch möglich, mehrere Datenquellen abzufragen, um Metriken mit Informationen aus Datenbanken oder Dateien mit mehr Kontext hinzuzufügen. Dadurch sparen IT-Teams Ressourcen und reduzieren die technischen Wartungskosten.

Um zu beginnen, wählen und konfigurieren Sie in Amazon CloudWatch die Konnektoren, um die Informationen abzurufen. Jeder Konnektor ist eine AWS-Lambda-Funktion, deren Bereitstellung über eine CloudFormation-Vorlage erfolgt. CloudWatch ruft diese Lambda-Funktionen je nach Bedarf auf. Öffnen Sie also zunächst die CloudWatch-Konsole und klicken Sie unter "Metrics" auf "All metrics". Wählen Sie dann den zweiten Tab "Multi Source Query" aus. Öffnen Sie danach die Dropdown-Liste "Data source" und entscheiden Sie sich dort für "Create and manage data sources". Klicken Sie auf "Getting started" und wählen Sie einen Datenquellentyp aus. Geben Sie nun die benötigten Informationen ein. Anschließend erzeugt CloudWatch den Connector für Ihre Datenquelle und richtet ihn ein. Klicken Sie jetzt noch auf "Create date source". Daraufhin werden in Ihrem Konto eine Lambda-Funktion, eine Lambda-Berechtigung, eine IAM-Rolle, ein Secrets-Manager-Secret, eine Log Group und ein CloudFormation-Stack erstellt. Sie sind nun bereit, die Datenquelle als CloudWatch Metrik zu referenzieren. Mit einer SQL-Abfrage wie

erhalten Sie neben dem Zeitstempel weitere relevante Werte für die entsprechende Metrik.

Hardware

Unsere Mitarbeiter dürfen die Firmen-Smartphones beruflich und privat nutzen. Allerdings haben einige Kollegen Bedenken bezüglich der Datensicherheit geäußert, da wir als IT-Abteilung so auch potenziell Zugriff auf privat abgelegte Informationen haben oder den Standort der Angestellten tracken können. Gibt es einen Ausweg aus diesem Dilemma?

Eine Möglichkeit ist die vollständige Verwaltung von Company-owned Devices (COPE) mit einem Work Profile etwa über Miradore. Das MDM-Werkzeug folgt den Sicherheits-, Datenschutz- und Verwaltungseinstellungen von Google und findet auf Geräten mit Android Version 11 oder höher Unterstützung. Der Modus "Fully Managed with Work Profile" bietet dabei die Kontrolle über die Verwaltungsfunktionen für das unternehmenseigene Gerät und implementiert zwei eigenständige Profile. Das trennt die private von der beruflichen Nutzung und der Endbenutzer erhält die gewünschte Privatsphäre für persönliche Daten und Anwendungen.

IT-Administratoren können im Verwaltungsmodus dafür sorgen, dass die Geräte mit den eigenen IT-Richtlinien übereinstimmen. IT-Teams sind auf diese Weise in der Lage, alle Unternehmensdaten, Anwendungen und Kontaktdaten in einem separaten Arbeitsprofil zu sichern, und können darin wie gewohnt Anwendungen ohne den Weg über den Endnutzer installieren. Für zusätzliche Sicherheit haben Sie die Möglichkeit, Anforderungen an den Gerätepasscode festzulegen und das Zurücksetzen auf Werkseinstellungen vom Endnutzer zu verhin- dern oder sogar das gesamte Device aus der Ferne zu löschen. Administratoren können zu keiner Zeit Daten außerhalb des Arbeitsprofils einsehen oder auf sie zugreifen. Solange die Funktion aktiviert ist, erhalten Anwender eine Benachrichtigung, sobald die Standortverfolgung für das Gerät aktiviert ist.

Um ein neues Android-Gerät im "Fully Managed with Work Profile"-Modus für einen Mitarbeiter zu registrieren, gehen Sie zum Registrierungsassistenten (Registrierung / Gerät registrieren) und folgen Sie den Instruktionen. Das Device wird auf die Werkseinstellungen zurückgesetzt und die Anwendung dann installiert. Sie können das Smartphone auch registrieren, indem Sie im linken Menü unter "Registrierung" auf die Option "Android Enterprise" klicken und unter den Verwaltungstypen "Vollständig verwaltet mit Arbeitsprofil" auswählen. Den Nutzer fügen Sie dann unter "Einstellungen" unter "Gerät" hinzu (Verwaltung / Geräte).

Mit der Registrierung richten Sie zwei verschiedene Profile für das Device ein – privat und beruflich. Wenn das Arbeitsprofil fertig ist, kann der Nutzer ein persönliches Google-Konto hinzufügen, um auf Ihre privaten Anwendungen und Inhalte zuzugreifen. Die beiden getrennten Profile erscheinen am unteren Rand des Bildschirms. Der Nutzer kann nun einfach zwischen den beiden Profilen wechseln und die Anwendungen und Informationen entsprechend dem ausgewähl- ten Profil sehen. Weitere Informationen zu diesem Vorgang entnehmen Sie der Miradore-Knowledge-Base unter https://www.miradore.com/knowledge/android/enrolling-company-owned-devices-cope-as-fully-managed-with-work-profile/.

Weitere Tipps rund um das Thema IT-Management finden Sie im Blog "Products in Practice" von GoTo unter http://www.goto.com/de/blog/products

Sicherheit

In unserem Unternehmen müssen wir für ein neues Projekt einen regelmäßigen Datenaustausch mit unseren weltweiten Standorten durchführen. Wir nutzen intern bereits die Azure-Cloud und überlegen, das SAS-Token als sichere Übertragungsmethode zu verwenden. Worauf müssen wir hierbei achten, um einen Compliance-konformen Umgang mit geschäftskritischen und sensiblen Daten sicherzustellen?

Eine "Shared Access Signature" (SAS) ist eine gute Möglichkeit, um einen granular abgestimmten Zugriff auf Ressourcen im Azure-Storage zu ermöglichen. Ein SAS-Token wird an den URI (Uniform Resource Identifier) einer Azure-Storage-Ressource angehängt und enthält Abfrageparameter, um den Zugriff darauf zu regeln. Die Signatur selbst setzt sich aus den SAS-Parametern zusammen und ist über einen eigens erstellten Schlüssel abgesichert.

Mit einem SAS-Token lässt sich der Zugriff auf sämtliche Ressourcen im Azure-Storage kontrollieren. Ebenso ist es damit möglich, Ablaufzeiten festzulegen und sogar bestimmte IP-Adressen auf eine Whitelist zu setzen. Bei falscher Konfiguration können diese Tokens allerdings ein ernsthaftes Sicherheitsrisiko darstellen – insbesondere bei einem externen Datenaustausch. Wird ein falsch konfiguriertes SAS-Token kompromittiert, ist die gesamte Infrastruktur gefährdet.

Was die Best Practices mit SAS-Token angeht, ist es grundsätzlich sinnvoll, sämtliche mit dem SAS-Token verbundenen Berechtigungen zu überwachen. Stellen Sie sicher, dass der Zugriff geschäftskritische und sensible Daten umfasst. Gerade externe Identitäten sollten Sie stets sorgfältig im Blick behalten. Im Einzelnen empfehlen wir folgende Maßnahmen:

1. Least-Privilege-Prinzip: Halten Sie sich immer an das sogenannte Least-Privilege-Prinzip, indem Sie nur die minimal erforderlichen Berechtigungen gewähren. Dieser Ansatz begrenzt den Schaden, wenn es zur Kompromittierung eines SAS-Tokens kommt.

2. SAS-Ablaufrichtlinien: Legen Sie Ablaufrichtlinien für Ihre SAS-Token fest, um den SAS-Zugriff im Falle einer Kompromittierung zu begrenzen. Setzen Sie zudem idealerweise ein möglichst kurzfristiges Verfallsdatum für Ad-hoc-SAS-Dienste oder -Konten ein.

3. HTTPS schützt das SAS-Token: Wenn Sie ein SAS-Token über HTTP übertragen, können Angreifer es abfangen. Das macht Ihre IT-Infrastruktur angreifbar. Daher ist ein Schutz durch HTTPS unerlässlich. So lässt sich verhindern, dass sensible Daten entwendet oder offengelegt werden.

4. SAS mit Benutzerdelegation: Entscheiden Sie sich möglichst für ein SAS-Token mit Benutzerdelegation, um die Sicherheit zu erhöhen. Wenn es zusätzlich durch die Anmeldung bei Entra ID gesichert ist, bietet es noch mehr Schutz.

5. Protokollierungs- und Überwachungsdienste: Implementieren Sie einen Protokollierungs- und Überwachungsdienst, um einen Einblick in die Benutzeraktivitäten zu erhalten. Damit lassen sich Sicherheits- oder Leistungsprobleme leichter identifizieren.

(Palo Alto Networks/ln)

Virtualisierung

Zur Wartung eines Proxmox-VE-Hosts lässt sich ja der Maintenance-Modus eines einzelnen Nodes aktivieren. Diese Option bezieht sich unseres Wissens rein auf Systeme, die in einem Proxmox-VE-Cluster laufen. Können Sie kurz schildern, bei welchen Aufgaben der Wartungsmodus Sinn ergibt und was die Vorteile gegenüber der Bulk-Migration sind?

Die Nutzung des Wartungsmodus bei einem Proxmox-VE-Cluster ist unter anderem bei folgenden Aufgaben sinnvoll:

- Updates: Der PVE-Host erhält neue Updates via Web-UI.

- Hardwarewartung: Der PVE-Host muss heruntergefahren und Hardware getauscht werden.

- Debugging & Analyse: Der PVE-Host wird auf Softwareebene analysiert und soll keine hochverfügbaren Ressourcen verwenden.

Beim Aktivieren des Maintenance-Modus mit dem Befehl

verschieben Sie Ressourcen auf andere Hosts. Nach dem Deaktivieren mittels des Kommandos

wandern die vorher verschobenen Ressourcen automatisch wieder auf den vorherigen Host zurück. Bei einer Bulk-Migration passiert dies nicht und Sie müssen selbst wissen, welche Ressourcen Sie danach wieder auf den nun gewarteten Host zurückschieben.

Viele weitere Tipps und Tricks zu Servermanagement, Virtualisierung und Linux finden Sie im Thomas-Krenn-Wiki unter http://www.thomas-krenn.com/de/wiki/Hauptseite.

Tools

WireGuard ist ein VPN-Protokoll, das oftmals schneller, sicherer und einfacher zu bedienen ist als herkömmliche VPN-Umgebungen. Es ermöglicht es Nutzern, sichere Punkt-zu-Punkt-Verbindungen über das Internet herzustellen, und findet häufig Verwendung, um den Netzwerkverkehr zu schützen und auf entfernte Ressourcen zuzugreifen. Unter Linux will "WireGuard Easy" das Einrichten und Verwalten von WireGuard-Verbindungen vereinfachen, indem es eine vorkonfigurierte Umgebung bereitstellt, die alle notwendigen Komponenten wie das WireGuard-Kernelmodul, das wg-tools-Paket und eine webbasierte Schnittstelle zur Verwaltung von VPN-Verbindungen enthält.

WireGuard Easy (WGeasy) steht als Docker-Image bereit, die Inbetriebnahme setzt demnach Docker auf dem Host voraus. Dennoch geht das Einrichten eines VPN damit leicht von der Hand, selbst für Benutzer mit begrenzten Kenntnissen über Linux oder Netzwerkadministration. Denn das Tool stellt neben der Serverfunktionalität auch eine Weboberfläche zur Verfügung, über die solche administrativen Vorgänge einfach zu handhaben sind.

Ist also der Docker-Container in Betrieb genommen, erlaubt die Web-GUI von WGeasy das Verwalten der Benutzer mit den zu erwartenden Funktionen wie diese auszulisten, neu anzulegen oder zu löschen sowie die jeweiligen VPN-Clients ein- und auszuschalten. Es lässt sich ein QR-Code erstellen und so Anwendern der Zugang zum VPN deutlich vereinfachen und in Problemfällen ist der Zugriff auf die VPN-Konfigurationsdatei der Clients möglich. Zudem stehen in der Software Aktivitäts- beziehungsweise Verbindungberichte bereit.

Link-Code: https://github.com/wg-easy/wg-easy

Windows-Nutzer sind bestens vertraut mit einer Vielzahl von Werkzeugen zum Optimieren und vor allem Bereinigen des Betriebssystems. So wird die Registry wieder geradegezogen oder unerwünschte Reste längst deinstallierter Anwendungen getilgt. Und da Linux-Desktops mittlerweile zumeist auch mit einer grafischen Oberfläche daherkommen, tritt das freie Stacer an, das Aufräumen im System zu vereinfachen.

Stacer wurde für Ubuntu konzipiert, funktioniert aber mit wenigen Abstrichen auf allen Distributionen. Ist das Werkzeug im Zielsystem eingespielt, begrüßt es den Anwender mit einem Startbildschirm, über den die sechs Reiter Dashboard, System Cleaner, Startup Apps, Services, Uninstaller und Resources zugänglich sind. Das Programm startet immer mit dem Dashboard, das lediglich Informationen darbietet, aber keine Interaktion zulässt. Darin finden sich, grafisch animiert, die jeweilige Auslastung von CPU, Speicher, Plattenplatz und Netzwerkinterface sowie Informationen zum verbauten Prozessor und dem verwendeten Betriebssystem.

Der System-Cleaner-Reiter unterstützt dabei, Ballast abzuwerfen, indem sich überflüssige Log- oder Cache-Dateien ebenso löschen lassen wie die Inhalte des System-Mülleimers. Im Ausgangszustand bietet Stacer noch keine Daten zum Entsorgen an, hierzu ist ein Systemscan anzustoßen. Auf dem Reiter "Startup Apps" finden sich Anwendungen, die das System beim Start lädt, und ist erlaubt, neue Startup-Apps festzulegen. Zudem kann Stacer an dieser Stelle eine Anwendung probeweise für den nächsten Start sperren, ohne gleich in die Systemsteuerung abtauchen zu müssen. Ganz ähnlich funktioniert das Starten und Stoppen von Systemdiensten unter "Services", wo eine Suche das Auffinden eines bestimmten Dients erleichtert. Bei "Uninstaller" geht es, wie der Name schon sagt, um das Entfernen von Paketen. Hier zeigen sich viele der im System installierten Anwendungen und lassen sich zur Deinstallation markieren und dann entfernen.

Link-Code: https://oguzhaninan.github.io/Stacer-Web/

Ein für die IT-Umgebung im weitesten Sinne als "unerwünscht" zu beschreibendes Verhalten zeigt sich am Ende des Tages oftmals in den Dateien auf der Festplatte. Sei es nun eine Malware, die sich einnistet oder Files tauscht, oder ein mutwilliger Mitarbeiter, der unbefugt Dateien kopiert oder manipuliert. Das freie Tool DiskPulse hilft dabei, die Zugriffe auf Verzeichnisse oder komplette Laufwerke zu überwachen und zu analysieren. Das Monitoring läuft in Echtzeit ab und kann feststellen, welche Daten gespeichert und gelesen werden. DiskPulse ist kostenlos in der Free-Version für Windows-Clients verfügbar. Dergestalt ist das Werkzeug durchaus nützlich, soll aber auch den Appetit für seine beiden kommerziellen Varianten anregen, denn diese erlauben, Server zu überwachen. Diese Produkte sind für einen mittleren zwei- bis dreistelligen Betrag zu haben.

Nach dem Start des Tools legt der Anwender über die Schaltfläche "Monitor" fest, welche seiner Verzeichnisse (oder gleich die komplette Festplatte) DiskPulse überwachen soll. Detaillierter geht der Vorgang mit "Wizard" vonstatten, denn darüber lässt sich die Kontrolle bestimmter Arten von Dateien, zum Beispiel Video- und Audiodateien, regeln. Anschließend listet die Software die einzelnen Festplattenzugriffe und die Änderungen an den so bestimmten Dateien auf. Dabei zeigt das Werkzeug den Besitzer der Datei, das Verzeichnis, die Größe der Datei und verschiedene Gesamtwerte an. Über das Kontextmenü erstellen Nutzer zudem Überwachungsprofile, mit denen das Tool regelmäßig die darin definierten Datenträger oder Verzeichnisse überwachen soll.

Der Reiter "Charts" liefert Berichte zum Geschehen auf der Festplatte. Dergestalt lassen sich neben der Echtzeitanalyse auch langfristige Überwachungsvorgänge anlegen und in Reports speichern. Dadurch lässt sich beispielsweise erkennen, welche Daten in welcher Größe am häufigsten in Benutzung sind. Hiermit ist neben den eingangs erwähnten Sicherheitsaspekten auch die Planung des Storage optimierbar, indem sich Daten in "hot" und "cold" einstufen lassen und deutlich wird, wo diese jeweils lagern.