Mit dem Automated Device Enrollment (ADE) steuern Sie, wie sich Apple-Hardware in Ihrer Organisation verhält, wenn Benutzer sie nach dem Unboxing oder dem Factory Reset zum ersten Mal einschalten. Sie können zum Beispiel auswählen, welche Schritte der Setupassistent des Geräts den Benutzern vorschlägt und welche Apps oder Konfigurationen automatisch auf den Devices landen sollen. Die Verbindung mit ADE ist somit ein effizienter und schneller Weg, um Apple-Geräte in einem Mobile-Device-Management-System zu registrieren. Im Folgenden zeigen wir, wie Sie Ihr Business- oder auch School-Manager-Konto mit Miradore verbinden und die Standardeinstellungen für die Device-Registrierung konfigurieren.

Melden Sie Ihr Unternehmen zunächst beim Apple Business Manager (ABM) oder dem Apple School Manager (ASM) für Bildungseinrichtungen an. Verknüpfen Sie dann Ihre Miradore-Site mit dem Business- oder School-Manager. Gehen Sie jetzt in Miradore zu "System / Infrastrukturdiagramm". Bewegen Sie den Mauszeiger über das Symbol "Apple Device Enrollment Program" und klicken Sie auf "Configure". Laden Sie dann die Zertifikatsdatei mit dem öffentlichen Schlüssel "dep-public-key.crt" herunter.

Nun melden Sie sich beim Business- oder School-Manager an und gehen zu "Einstellungen / Ihre MDM-Server" und klicken auf "Hinzufügen". Geben Sie den Namen Ihrer Miradore-Site in das Feld "MDM-Servername" ein und laden Sie Ihre Zertifikatsdatei mit dem öffentlichen Schlüssel in das Feld "MDM-Serverein-stellungen" hoch. Speichern Sie die Änderungen. Laden Sie dann das MDM-Server-Token (auch bekannt als ADE/ DEP- Authentifizierungstoken) herunter und kehren Sie zu Miradore zurück. Laden Sie das ADE/DEP-Authentifizierungs-Token in Miradore hoch. Bitte beachten Sie, dass das Token ein Jahr lang Gültigkeit hat. Nach zwölf Monaten müssen Sie es also erneuern.

Der letzte Schritt besteht darin, die Standardeinstellungen für die Registrierung der Geräte zu hinterlegen. Hier lässt sich zum Beispiel konfigurieren, ob Sie die Endgeräte Ihres Unternehmens im überwachten Modus verwalten möchten oder nicht. Auf der Registerkarte "iOS/ macOS-Setup-Bildschirme" legen Sie fest, welche Setup-Bildschirme Sie überspringen wollen, wenn ein neues oder werkseitig zurückgesetztes Apple-Device zum ersten Mal eingeschaltet wird. Die Profilzuweisungsmethode bestimmt, auf welchem Weg das Anmeldeprofil auf Ihre Apple-Geräte gelangt. Jetzt können Sie damit beginnen, die Devices bei Miradore mithilfe der automatischen Geräteanmeldung von Apple zu registrieren. Weitere Informationen dazu finden Sie unter [Link-Code: https://www.miradore.com/knowledge/apple/apple-device-enrollment-program/].

Weitere Tipps und Tricks rund um das Thema MDM finden Sie im Device-Management-Blog von Miradore unter https://www.miradore.com/de/blog/

In immer komplexeren Systemlandschaften stellt die Verwaltung von Firewallregeln eine zentrale Herausforderung dar und verlangt nach einem effizienten, automatisierten Securitymanagement. Die Integration der AWS Network Firewall mit verwalteten Regelgruppen optimiert die Administration der Firewall durch automatisch gepflegte Regelsammlungen, womit sich Cloudinfrastrukturen effektiv absichern lassen. Die Domain- und IP-Regel- gruppen spielen beim Schutz des ausgehenden Datenverkehrs eine Schlüsselrolle. Mit ihrer Hilfe lassen sich kompromittierte sowie bekannte schädliche Domains zuverlässig identifizieren.

Zudem erweitert die Bedrohungssignatur-Regelgruppe den Schutzschirm durch spezifische Signaturen gegen Exploits, DDoS-Attacken, Webangriffe und Phishing-Versuche. Kontinuierliche und automatische Updates dieser Regelgruppen durch AWS verringern den Aufwand für Unternehmen, um stets ein aktuelles Sicherheitsniveau vorweisen zu können. Für die Einrichtung verwalteter Network-Firewallregeln empfehlen wir folgende Vorgehensweise:

1. Im ersten Schritt sollten Sie entweder eine bestehende Firewallrichtlinie aktualisieren oder eine neue erstellen.

2. Anschließend erfolgt die Auswahl und Integration einer verwalteten Regelgruppe. Hierbei können Sie zwischen Domain- und IP- sowie Bedrohungssignatur-Regelgruppen wählen.

3. Die Network-Firewallrichtlinie implementiert nun automatisch die Regeln aus den ausgewählten Regelgruppen.

4. Nach der Implementierung erfolgt die Überprüfung des Network-Firewall-Endpunkts: Legitimer Verkehr wird über das NAT-Gateway und Internet-Gateway weitergeleitet, während verdächtiger Verkehr direkt am Endpunkt blockiert wird.

Für die Verwendung einer Network-Firewall-Präfixliste ist eine eigene Konfiguration durchzuführen, die Sie mit den folgenden Schritten erledigen:

1. Zuerst erstellen Sie eine neue Network-Firewall-Präfixliste.

2. Danach aktualisieren Sie entweder eine bestehende Regelgruppe oder legen eine neue an.

3. Nun öffnen Sie in den Suricata-kompatiblen Regelgruppen den IP-Set-Referenzbereich. Mit einem Klick auf "Edit" binden Sie unter "Ressourcen ID" die zuvor erstellte Präfixliste ein.

4. Nach erfolgreicher Konfiguration durchläuft der Datenverkehr aus dem geschützten Subnetz den Network- Firewall-Endpunkt und wandert via NAT-Gateway zum Internet-Gateway. Die implementierte Firewall-Richtlinie evaluiert dabei den Verkehr anhand der definierten Regelgruppen und entscheidet über dessen Zulassung.

Mit dem Einführen automatisierter und verwalteter Network-Firewall-Regelgruppen ermöglicht Amazon Web Services eine konsistente Absicherung von Multi-VPC-Architekturen, wodurch sich der Administrationsaufwand deutlich reduzieren lässt.

Der Recycle Bin ist schon seit Windows Server 2008 R2 ein Feature, das nach einem Upgrade aller DCs auf 2008 R2 oder neuer und dem Anheben des Forest-Functional-Levels zur Verfügung steht. Die Idee dabei: Gelöschte Objekte werden nicht mehr von all ihren Attributen "befreit" und in den Container "Deleted Objects" verschoben, sondern nur als gelöscht markiert und dann verschoben. Die Attribute sowie die Information darüber, wo sich das Objekt inklusive Gruppenmitgliedschaft zuvor befand, bleiben erhalten.

Einschalten und Verwalten können Administratoren den Recycle Bin am besten über das "Active Directory Administrative Center" (ADAC). Beim Klick auf das Domänenobjekt finden Sie im rechten Menü den Eintrag "Enable Recycle Bin". Nach kurzer Replikation schalten alle DCs des Forests den Papierkorb intern ein und ändern das Löschverhalten für Objekte. Die anschließende Wiederherstellung der Objekte ist einfach. Im ADAC wechseln Sie in der linken Fensterseite von der Schnellansicht in die Baumansicht und wählen den Container "Deleted Objects" aus. Dort finden Sie alle gelöschten Objekte.

Entweder per Einzelauswahl oder als Mehrauswahl bei gehaltener STRG-Taste wählen Sie die Zielobjekte aus und stellen sie per Menü "Restore" oder "Restore To" wieder her. Über den Recycle Bin im ADAC sind Sie in der Lage, auch ganze OU-Strukturen wiederherzustellen unter Berücksichtigung der Objektreihenfolge; natürlich müssen Sie die OUs zuerst recovern, bevor Child-Objekte wie User oder Computer, die in den OUs waren, darin wieder Platz finden können.

Das Einschalten und Wiederherstellen von Objekten geht auch über die PowerShell – das Aktivieren des Papierkorbs ist mit Enable-ADOptionalFeature möglich:

Das Recovery von Objekten führen Sie mit Restore-ADObjekt durch:

Wurden mehrere Benutzer aus einer OU gelöscht, lassen sich diese auch gemeinsam wiederherstellen, und zwar mithilfe des Suchfilters des zuletzt bekannten Containers:

Bis einschließlich Windows Server 2012 R2 mussten Sie Kerberos Constrained Delegation (KCD) konfigurieren, damit die Livemigration zwischen Hyper-V-Servern außerhalb eines Failoverclusters funktioniert. Dazu mussten die Dienste CIFS (falls SMB für Livemigration zum Einsatz kommt) und Microsoft Virtual System Migration Service delegiert werden. Mit Windows Server 2016 hat Microsoft die Delegations-Anforderungen geändert. Sie müssen die "Protocol Transition" in Kerberos erlauben. Setzen Sie auf der Registerkarte "Delegierung / Computer bei Delegierungen angegebener Dienste ver- trauen" den Radio-Button auf "Beliebiges Authentifizierungsprotokoll verwenden". Ohne diese Änderungen schlägt eine Shared-Nothing-Livemigration fehl. Diese Anforderung besteht bei allen Serverversionen bis Server 2022.

Remote Desktop Manager (RDM) zentralisiert alle Remoteverbindungen auf einer einzigen Plattform und integriert dabei zahlreiche Technologien – einschließlich mehrerer Protokolle und VPNs. Dies erlaubt, alle Remote-Arbeiten in einem Fenster zu erledigen, und die zur Kontaktaufnahme hinterlegten Daten lassen sich speichern. Die Software unterstützt Microsofts Remote-Desktop-Protokoll, Citrix, VMware, Web, Virtual Protocol Network, FTP, FTPS, SFTP, SSH und mehr. Zudem bietet das Tool eine integrierte VPN-Verbindungsverwaltung für Microsoft Cisco, Sonic Wall und IPSec-VPN. Auch die Liste der Add-ons ist lang, darin finden sich Nortel, Avaya, Watchguard und viele mehr (insgesamt rund 60 Add-ons). Zudem kann RDM mit RemoteFX, RealVNC, TightVNC, UltraVNC, LogMeIn, TeamViewer, RGS, DameWare, Radmin, pcAnywhere und Telnet umgehen.

Um eine Session zu starten, müssen IT-Verantwortliche einen neuen Eintrag erstellen und das jeweils verwendete Programm auswählen. Sie haben dabei die Wahl zwischen Remote-Verbindungen, Virtualisierungen, Cloud-Explorer und Sonstige. Anschließend müssen nur noch die Daten für die Connection eingetippt werden. Zusätzlich bietet sich die Möglichkeit, die Verbindung über einen VPN-Server zu leiten. Es kommt jedoch auf das Remote-Verbindungsprogramm an, welche Aktionen jeweils zur Verfügung stehen – manche Programme benötigen die kostenpflichtige Edition von RDM, um alle Features zum Einsatz zu bringen. Für die übliche Arbeit mit mehreren Remote-Clients sollte die Free-Variante jedoch ihren Dienst zufriedenstellend erledigen. Die Unterschiede zwischen den beiden Versionen zeigt die Hersteller-Webseite im Detail. Das Speichern der Zugangsdaten ist direkt in der Sitzung, im Nutzertresor oder in einer Datenbank möglich. So vereinfacht sich das automatische Anmelden.

Link-Code: https://devolutions.net/remote-desktop-manager

Wie der Name bereits sagt, erlaubt es Sandboxie Plus, Programme in einer sicheren Umgebung auszuführen, die vom Win- dows-Betriebssystem isoliert arbeitet. Alle Schreibzugriffe finden dabei innerhalb einer Sandbox auf einem abgeschotteten Festplattenbereich statt und Änderungen am Windows-System sind folglich nicht möglich. Durch dieses isolierte Quasi-Betriebssystem können IT-Verantwortliche verhindern, dass Schadsoftware auf Systemdaten oder die Registry zugreifen. So lässt sich gefahrlos neue Software testen, sicher im Web surfen und auch Webseiten mit potenziell schädlichem Inhalt aufrufen sowie ohne Sorgen E-Mails abrufen. Besonders interessant für den Unternehmenseinsatz ist, dass Administratoren mit Sandboxie Plus erzwingen können, dass bestimmte Anwendungen wie etwa der Browser immer in einer Sandbox laufen. Ebenso ist es möglich, mehrere Sandboxen parallel zu nutzen oder diese mit einem "Snapshot-Manager" abzuspeichern. Das kostenlose Programm steht für 32- und 64-Bit-Versionen von Win-dows zur Verfügung.

Der angesprochene Snapshot-Manager legt eine Kopie vom aktuellen Stand einer Box ab, zu der sich dann jederzeit zurückkehren lässt. Auch speichert das Tool bei seiner Beendigung alle offenen Sandboxen und diese stehen beim nächsten Programmstart wieder zur Verfügung. Funktionen wie die Integration in das Win- dows-Kontextmenü, ein Hotkey, mit dem Sie alle Sandboxen schließen, oder eine konfigurierbare Firewall pro Sandbox runden das Sicherheitstool ab. Sandboxie Plus unterstützt alle gängigen Browser wie Firefox, Google Chrome, Opera, Microsoft Edge oder Vivaldi. Steuern lässt sich bei Surfen zudem, dass Dateien und Downloads auch außerhalb der Sandbox abgelegt werden dürfen. Sehr hilfreich ist, dass sich der Sandbox-Modus immer über einen farbigen Hinweisrahmen zu erkennen gibt.

Link-Code: https://www.wisecleaner.com/wise-auto-shutdown.html

Mit der kostenlosen Software Wise Auto Shutdown für Windows fahren Admins PCs automatisiert herunter oder starten sie neu. Die Software ist leicht zu bedienen und arbeitet ressourcenschonend im System Tray des Clients. Das Tool bietet insgesamt sechs Funktionen: den PC herunterfahren, Neustart des Rechners, Abmelden, Energiesparmodus, Ruhezustand oder das Sperren des Computers. Die ausgewählte Aktion läuft dann entweder täglich zu einer festgelegten Uhrzeit, an einem gewünschten Datum oder auch nach Ablauf eines Countdowns. Ebenso ist es möglich, das Abmelden oder einen Shutdown des Rechners bei einem Leerlauf über eine festgelegte Zeitspanne in Minuten beziehungswiese Stunden auszuführen. Praktisch ist dabei auch, dass Wise Auto Shutdown fünf Minuten vor diesen Aktionen eine entsprechende Meldung ausgibt. So lässt dich in Ausnahmefällen oder wenn die Aktion falsch terminiert ist, die Ausführung um bis zu vier Stunden verschieben.

Wise Auto Shutdown steht als Installer-Datei oder als portable Version bereit. Die zweite Variante lässt sich folglich ohne Installation auf jedem PC oder Notebook unter Windows starten, beispielsweise direkt von einem USB-Stick oder einem anderen Speichermedium. Das Programm ist mit den 32-Bit- und 64-Bit-Versionen von Windows XP bis 11 kompatibel. Zudem funktioniert Wise Auto Shutdown auch für Rechner im Netzwerk. Das einzige Manko der freien Variante ist die Beschränkung auf eine Aufgabe.

Link-Code: https://sandboxie-plus.com/