Support-Ende von Office 2020

Am 13. Oktober 2020 wird es zum letzten Mal sicherheitsrelevante Updates für MS Office 2010 geben. Während die Software nach diesem Datum zwar weiterhin vollständig einsetzbar bleibt, so erhöht sich das Sicherheitsrisiko beim Einsatz veralteter und nicht gepatchter MS Office Anwendungen doch von Tag zu Tag. Schließlich sind gefälschte MS Office-Dokumente als Anhängen in E-Mails weiterhin eine der größten Einfallstore für Schadsoftware aller Art.

Doch was tun, wenn Sie jetzt gerade feststellen, dass Sie noch gar keine Lizenzen für neuere Office Produkte erworben haben? Zugegeben, die Zeit drängt. Aber sollten Sie zu Microsoft’s Abomodell unter dem Namen „Microsoft 365“ (ehemals „Office 365“) wechseln? Oder ist Ihr Unternehmen eher konservativ ausgerichtet und Sie möchten weiterhin eine Office Dauerlizenz erwerben? Und falls Sie sich für eine der eiden Wege entschieden haben - welche Office Version benötigen Sie? Wo sind die Unterschiede zwischen "Office Home & Student" vs. "Home & Business", "Microsoft 365 Business Standard", "Microsoft 365 Business Basic", "Microsoft 365 E3 / E5 / F1" ........... man möchte meinen, die "365" in "Microsoft 365" steht für die Anzahl der unterschiedlichen Versionen.

Beide Modelle haben ihre Vor- und Nachteile und novumprojekt berät Sie gern zu der optimalen Strategie.

Quelle: support.microsoft.com/de-de/office/ende-des-supports-f%C3%BCr-office-2010-3a3e45de-51ac-4944-b2ba-c2e415432789

Wichtige Änderung bei WSUS Kommunikation

Zusammen mit den neusten Microsoft September-Updates wurde ein Microsoft Blog-Beitrag von WSUS Program Manager Aria Carley über Änderungen zur Verbesserung der Sicherheit in der Kommunikation zwischen Windows Clients und dem WSUS Server veröffentlicht.

Achtung! Wer derzeit einen WSUS mit den Standardkommunikationsoptionen betreibt, muss dringend Hand an die WSUS Konfiguration anlegen und SSL/TLS aktivieren. Sobald ein Windows Client die September-Updates eingespielt hat, verlangt er bei der Kommunikation mit dem WSUS-Server eine TLS-geschützte Verbindung. Die meisten Standardinstallationen verwenden jedoch nicht-TLS gesicherte Verbindungen über den Port 8530.

Verwenden die Clients dazu auch noch einen Proxy, der per User und nicht per Gerät ausgerollt wird, gibt es weitere Punkte zu beachten.

Microsoft gibt an, dass diese Änderungen die Kommunikation der Clients beim Scannen nach Updates weiter absichern soll. Wie diese Kommunikation jedoch für Angriffe genutzt werden könnte, gibt Microsoft nicht bekannt. Zumal alle Updates digital signiert sind - unabhängig vom gewählten Kommunikationsweg. Eine Manipulation der Updates über eine „Man-in-the-Middle“-Attacke ist damit ohnehin quasi ausgeschlossen.

Das Fazit ist klar: Wer seinen WSUS nicht fit für SSL/TLS gemacht hat, verliert nach Einspielen der September-Updates die WSUS-Kommunikation zu seinen Clients.

Quelle: techcommunity.microsoft.com/t5/windows-it-pro-blog/changes-to-improve-security-for-windows-devices-scanning-wsus/ba-p/1645547

Änderung bei Domänenanmeldung

Am 11.08.2020 war es bei Microsoft wieder soweit - Patch Tuesday. Und während die meisten Neuerungen bei den monatlichen Microsoft Updates ohne weiteres Zutun mit der Installation automatisch übernommen werden, gibt es hin und wieder Änderungen, die uns Admins eiskalt erwischen, wenn man nicht vorher davon weiß und vorbereitet ist. Doch wer liest schon die Änderungshinweise der monatlichen Updates? Wir natürlich! ;-)

Beginnend mit den August 2020-Updates, führt Microsoft eine Änderung zur Absicherung gegen Verwundbarkeiten im sogenannten Netlogon-Protokoll ein. Während die August 2020-Updates die Systeme in die „erste Phase“ der Umstellung führen, werden die Februar 2021-Updates neue Einstellungen auf allen Domänencontrollern erzwingen. Nicht-kompatible Geräte werden ab diesem Zeitpunkt keine Verbindung zur Domäne herstellen können.

Quelle: support.microsoft.com/de-de/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections

Cloud-basierte VPN-Anbieter

Es klingt zu schön um wahr zu sein. Man muss sich nicht mit diesen komplizierten VPN-Verbindungen befassen, sondern installiert einfach einen Router eines Anbieters, trägt eine Kundennummer ein und dieser Anbieter stellt einem über eine Relay-basierte Verbindung eine VPN-Verbindung in eine Industrieanlage her. Ohne Know-How über VPNs haben zu müssen, ohne lästige Port-Weiterleitungen und ohne eine eigene VPN-Infrastruktur betreiben zu müssen. Zugriff auf alle betreuten Anlagen von überall auf der Welt.

Doch was ist, wenn die Cloud-VPN-Infrastruktur des gewählten Anbieters Sicherheitslücken aufweist? Setzen Sie und Ihre Partnerfirmen immer die aktuellsten Software-Versionen ein? Unseren Netzwerkern läuft bei dem Begriff „Cloud-VPN“ regelmäßig ein kalter Schauer über den Rücken. Und aktuelle Sicherheitsenthüllungen bei mehreren Cloud-VPN-Anbietern, die Ende Juli veröffentlicht wurden, tragen zu Recht zur Skepsis solcher Lösungen gegenüber bei (Link siehe „Quellen“).

Auch das BSI weist in seinem Bericht über die Top10 Bedrohungen für Industrieanlagen ausdrücklich auf die Gefahr dieser extern betriebenen Cloud-VPNs hin. Die Empfehlung des BSI lautet in diesem Fall: Private Cloud! Somit behalten Sie die Kontrolle über Ihre eigene Infrastruktur und haben das Know-How in Ihrer eigenen Firma.

novumprojekt bietet als Gold Partner mit den Lösungen von Lancom zuverlässige VPN-Infrastrukturen an, die wir nach Ihren speziellen Anforderungen gemeinsam mit Ihnen in Betrieb nehmen. Auf Wunsch unterstützen wir Sie beim Betrieb der Infrastruktur und geben Tipps zur Anpassung der Sicherheitseinstellungen nach aktuellem Bedarf.

Quelle: www.claroty.com/2020/07/28/vpn-security-flaws/

Quelle: www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS/BSI-CS_005.pdf