16. Mal in Folge Microsoft MVP!

Microsoft MVP

Bereits zum 16. Mal in Folge wurde der Leiter unseres Consultings, Nils Kaczenski, als Microsoft MVP (Most Valuable Professional) ausgezeichnet. Eine Auszeichnung, auf die man besonders stolz sein kann. Sie wird nicht einfach nur durch das Bestehen einer Prüfung vergeben, sondern für herausragendes Engagement in der Community verliehen. Die Nominierung basiert auf Expertise und Sichtbarkeit in der IT-Community.

„16. Mal in Folge Microsoft MVP!“ weiterlesen

Phished!

Als Berater und technisch äußerst erfahrener Consultant, der SMTP fließend spricht, seine Mails per Konsole bei Mailservern abliefern kann (zumindest solange diese kein TLS erzwingen) und der vor vielen Jahren seine Diplomarbeit über E-Mail-Sicherheit (Verschlüsselung und Signatur) geschrieben hat, halte ich mich für ziemlich solide vorbereitet auf Phishing-Attacken per Mail. Dazu kommt, dass ich so ziemlich alle Wellen der letzten Jahre nie in meinen eigenen Postfächern zu sehen bekommen habe.

Seit einiger Zeit bin ich intensiver Nutzer von und Evangelist für Microsoft Teams. Die moderne Art der Zusammenarbeit ist ein Segen und reduziert unter anderem die Notwendigkeit von E-Mails. So war ich durchaus interessiert daran, die Entwicklung dieser Lösung ein Wenig mit zu beeinflussen, als die Einladung eines von Microsoft beauftragten Marktforschungsunternehmens mich erreichte, an einer Umfrage zu Teams teilzunehmen. Allerdings habe ich chronisch wenig Zeit, war konkret eher gehetzt, aber zuversichtlich, dass ich die Umfrage in weniger als den avisierten 10 Minuten durchklicken könnte, um den Task damit aus meiner Liste zu schaffen.

Zum Glück ist Microsoft Edge mit aktiviertem SmartScreen mein Default Browser: nach dem Klick auf den Umfragelink leuchtete mir eine knallrote Seite entgegen, die mir mitteilte, dass die aufgerufene Adresse als unsicher gemeldet worden sei.

Welche Fehler hatte ich gemacht?

Nun, die Mail war nicht sehr auffällig; perfekter deutscher Text, bekannte Logos, eine akzeptable sichtbare Absenderadresse, kein Anhang. Im leider weit verbreiteten Stress-Modus gehen dann solche Überlegungen unter wie „Moment mal, Microsoft interagiert intensiv über uservoice.com mit den Nutzern, um Teams anhand des Anwender-Feedbacks zu verbessern, wozu brauchen Sie da noch so eine Aktion?“ – und wer kennt schon alle Executive Vice Presidents von Microsoft?

Auch bei einer näheren Betrachtung, die definitiv nicht zum Repertoire „normaler“ Anwender gehört und auch den zeitlichen Rahmen sprengt, den ich so einem Vorgang normalerweise angedeihen lassen könnte, zeigt sich, wie gut die Phishing-Mail gestaltet ist: sie trägt sogar eine valide, wenn auch „relaxed“ DKIM-Signatur, das benannte Marktforschungsunternehmen existiert wie auch die übereinstimmende Absender- und Link-Domain. Auffälligkeiten finden sich erst in den tieferen Schichten:

  • Es gibt keinen SMTP-Received-Path vor der Einlieferung bei unserem Eingangsserver (MX), die direkt von einer IP aus dem Amazon (AWS) Kosmos kam.
  • outlook-mailer.com ist undurchsichtig registriert (WhoisGuard Protected), was ein Marktforschungsunternehmen eher nicht tut.

Nochmal zum Glück war die ganze Aktion keine echte Attacke, sondern eine interne Demonstration der Wirksamkeit von Sophos Phish Threat. In den zugehörigen Anwendertrainings werden entsprechende Sensibilisierungen und Hinweise vermittelt, um auf Bedrohungen dieser Art noch besser reagieren zu können. Die simulierten Angriffe sind vielfältig und basieren auf echten Bedrohungen, die Analysten weltweit beobachten.

Ich musste mir also eingestehen, dass selbst ich nicht vor dieser Art von gezielten Attacken gewappnet bin. Wer könnte das also glaubhaft von sich behaupten?

SCCM Task Sequenz für Intune Enrollment (Entfernen des Config Manager Agents)

Möchte man von Windows 7 auf Windows 10 wechseln und dabei zeitgleich Microsoft Intune als MDM-Lösung einsetzen, so gestaltet sich dies für Neugeräte mit einem meines Erachtens noch viel zu unpopulären Feature namens Autopilot meist sehr komfortabel.

Als kleiner Exkurs: Autopilot ist ein Intune-Feature, welches bei der Semi-Annual Windows 10 Release 1703 eingeführt wurde und eine Out-of-the-Box Experience ermöglicht, in der der User beim Auspacken des Gerätes direkt die Möglichkeit hat, dieses in den Intune-MDM-Tenant der Firma aufzunehmen und von dort die Software und Richtlinien der Firma zu bekommen. Technisch funktioniert dies wie folgt:

  1. Rechner wird vom Unternehmen direkt zum Anwender bestellt
  2. Der Distributor bekommt vom Hersteller den sogenannten Hardware Hash des Gerätes und registriert diesen im Intune Autopilot Tenant des Kunden
  3. Der Anwender packt den gelieferten Computer aus, verbindet ihn mit dem Internet und startet in die Windows 10 Out-of-the-Box Experience (OOBE)
  4. Der Rechner fragt Azure ab, ob sein Hardware Hash in einem Intune Tenant registriert ist und bietet dem Anwender an, sich direkt in diesem über seinen Azure Active Directory User mit aktivierter Enterprise Mobility Management Lizenz anzumelden
  5. An diesem Punkt ist der Rechner im Intune MDM aufgenommen, kann die Unternehmenssoftware installieren und unterliegt den Geräterichtlinien des Unternehmens

Seit neustem ist auch Hybrid Domain Join über Autopilot aus der Preview heraus und generell verfügbar. „SCCM Task Sequenz für Intune Enrollment (Entfernen des Config Manager Agents)“ weiterlesen

Remote Desktop Services und vertraute Domains

Nutzt man die Remote Desktop Services von Windows Server 2012/2016/2019 und befindet sich zeitgleich in einer Multi-Domain- oder Multi-Forest-Umgebung, so wird man schnell feststellen, dass sich in den Assistenten zur Autorisierung von Benutzern und Gruppen ein Fehler eingeschlichen hat. Versucht man dort eine Gruppe hinzuzufügen, die sich nicht in derselben Domain befindet wie der Server von dem man die Konfiguration vornimmt, so bekommt man die folgende Fehlermeldung:

An diesem Punkt würde man normalerweise überprüfen, ob die Domain-Konnektivität so wie die Trusts in Ordnung sind, allerdings ist das in diesem Fall (wahrscheinlich) nicht das Problem.

Um diesen Schritt erfolgreich durchführen zu können, muss jede zu autorisierende Domain der DNS Suffix Search List auf einem beliebigen Netzwerk Adapter des aktuellen Verwaltungshosts (auf dem die Konsole ausgeführt wird), hinzugefügt werden.

Diese Konfiguration kann zum Beispiel wie folgt aussehen:

CDC-Folien: Design for Change – Active Directory für das Cloud-Zeitalter

Auf der Cloud & Datacenter Conference Germany 2019 habe ich die Session “Design for Change – Active Directory für das Cloud-Zeitalter” mit fast 100 Leuten im Publikum gehalten. Hat Spaß gemacht, vielen Dank!

Hier sind die Folien zu meinem Vortrag, auch diesmal inklusive der Notizen.

Download “CDC-Folien: AD-Design for Change” CDC-190521-AD-Design-for-Change.pdf – 644-mal heruntergeladen – 2 MB

michael wessel ab jetzt Sophos Gold Partner

Sophos Gold Partnerschaft

Der Hersteller Sophos bietet mit seinen IT Sicherheitslösungen ein umfangreiches Produktpaket und gehört zu den Weltmarktführern im Kampf gegen Spam, Hackerangriffe Malware und Co. Sowohl unsere Consulting-Teams als auch unser Service Desk verfügen über äußerst tiefes Fachwissen in der Produktpalette von Sophos, so dass die michael wessel ab sofort den Partner Status der Stufe Gold trägt. Von dieser Zertifizierung profitieren künftig alle unsere Kunden – durch noch bessere Konditionen beim Einkauf der Lizenzen und noch besseren Service.

Wir beraten Sie zu allen Produkten aus dem Sophos-Portfolio.

Fragen zum Sophos-Produktportfolio? Unsere Consultants helfen Ihnen gerne weiter.

W-LAN wird mit IEEE802.11ax (WiFi6) endlich effizienter

Was bringt der neue Standard und wann lohnt ein Umstieg?

Der IEEE-Standard 802.11ax wurde von der WIFI-Alliance mit dem Titel WIFI6 versehen, da es sich um die sechste Generation WLAN handelt, die damit ausgerufen worden ist. Es soll damit vorwiegend im Consumer-Bereich eine einfachere Unterscheidung der WLAN-Generationen herbeigeführt werden. Während man mit der vorherigen Generation in voller Ausbaustufe (IEEE 802.11ac WAVE2) bereits das theoretisch physikalische Maximum an Bandbreite ausgereizt hat, orientiert sich der Standard 802.11ax vorwiegend an der Effizienzsteigerung und dem Erhöhen der realistischen Bandbreitenwerte. Die Maximalwerte in Sachen Performance sind stets orientiert an einem Optimum, was Entfernung Signaldämpfung und Empfangsgerät betreffen, was leider nie der Realität entspricht. Um das Brutto-Netto-Verhältnis, also die effektive Durchsatzausbeute anzuheben, wird im neuen Standard ein neues Verfahren namens OFDMA (Orthogonal Frequency Division Multiple Access) eingesetzt, welches Netzen mit vielen Clients und hoher Dichte eine enorme Steigerung der Effizienz verspricht. An der Performance wurde ebenfalls durch eine komplexere Signalmodulation geschraubt. Es kommt nun 1024-QAM zum Einsatz. Durch die vierfache Modulation konnten auch die theoretischen Datenraten vervierfacht werden.

Quelle: https://www.arubanetworks.com/assets/so/ReferenceGuide_80211ax.pdf
OFDM vs. OFDMA: Gleichzeitige Verteilung von Zeitslots an mehrere Nutzer statt an einen je Zeitslot. Quelle: https://www.arubanetworks.com/assets/so/ReferenceGuide_80211ax.pdf
„W-LAN wird mit IEEE802.11ax (WiFi6) endlich effizienter“ weiterlesen

michael wessel präsentiert: Die kleine Tool Show

Wir alle arbeiten jeden Tag mit Outlook, dem Windows Explorer, einem Internet Browser und Kommunikations-Tools.
Aber jeder von uns nutzt auch kleine Programme oder Webdienste, die einem das (Arbeits-)Leben vereinfachen, ganz abseits von den großen Standards, die man als Unternehmen hat.

Wir haben uns an einem Nachmittag zusammengefunden, um uns gemeinsam diese Tools vorzustellen – damit jeder ein Stück mehr davon hat.
Diese Tools wollen wir mit euch teilen – damit auch ihr euren Alltag ein kleines bisschen besser machen könnt.

Jens Kruse stellt Greenshot vor.
„michael wessel präsentiert: Die kleine Tool Show“ weiterlesen