IT Service vom IT Unternehmen in Hannover und Berlin
Erneut sind wir weiterhin Microsoft Gold Partner. Gerne beraten wir Sie kompetent zu den Themen Messaging, Collaboration and Content, Smal and Midmarket Cloud Solutions und Datacenter.
Als Microsoft Gold Partner in Deutschland übernehmen wir die Funktion des ersten Ansprechpartners vor Ort.
Bereits zum 16. Mal in Folge wurde der Leiter unseres Consultings, Nils Kaczenski, als Microsoft MVP (Most Valuable Professional) ausgezeichnet. Eine Auszeichnung, auf die man besonders stolz sein kann. Sie wird nicht einfach nur durch das Bestehen einer Prüfung vergeben, sondern für herausragendes Engagement in der Community verliehen. Die Nominierung basiert auf Expertise und Sichtbarkeit in der IT-Community.
„16. Mal in Folge Microsoft MVP!“ weiterlesenAls Berater und technisch äußerst erfahrener Consultant, der SMTP fließend spricht, seine Mails per Konsole bei Mailservern abliefern kann (zumindest solange diese kein TLS erzwingen) und der vor vielen Jahren seine Diplomarbeit über E-Mail-Sicherheit (Verschlüsselung und Signatur) geschrieben hat, halte ich mich für ziemlich solide vorbereitet auf Phishing-Attacken per Mail. Dazu kommt, dass ich so ziemlich alle Wellen der letzten Jahre nie in meinen eigenen Postfächern zu sehen bekommen habe.
Seit einiger Zeit bin ich intensiver Nutzer von und Evangelist für Microsoft Teams. Die moderne Art der Zusammenarbeit ist ein Segen und reduziert unter anderem die Notwendigkeit von E-Mails. So war ich durchaus interessiert daran, die Entwicklung dieser Lösung ein Wenig mit zu beeinflussen, als die Einladung eines von Microsoft beauftragten Marktforschungsunternehmens mich erreichte, an einer Umfrage zu Teams teilzunehmen. Allerdings habe ich chronisch wenig Zeit, war konkret eher gehetzt, aber zuversichtlich, dass ich die Umfrage in weniger als den avisierten 10 Minuten durchklicken könnte, um den Task damit aus meiner Liste zu schaffen.
Zum Glück ist Microsoft Edge mit aktiviertem SmartScreen mein Default Browser: nach dem Klick auf den Umfragelink leuchtete mir eine knallrote Seite entgegen, die mir mitteilte, dass die aufgerufene Adresse als unsicher gemeldet worden sei.
Nun, die Mail war nicht sehr auffällig; perfekter deutscher Text, bekannte Logos, eine akzeptable sichtbare Absenderadresse, kein Anhang. Im leider weit verbreiteten Stress-Modus gehen dann solche Überlegungen unter wie „Moment mal, Microsoft interagiert intensiv über uservoice.com mit den Nutzern, um Teams anhand des Anwender-Feedbacks zu verbessern, wozu brauchen Sie da noch so eine Aktion?“ – und wer kennt schon alle Executive Vice Presidents von Microsoft?
Auch bei einer näheren Betrachtung, die definitiv nicht zum Repertoire „normaler“ Anwender gehört und auch den zeitlichen Rahmen sprengt, den ich so einem Vorgang normalerweise angedeihen lassen könnte, zeigt sich, wie gut die Phishing-Mail gestaltet ist: sie trägt sogar eine valide, wenn auch „relaxed“ DKIM-Signatur, das benannte Marktforschungsunternehmen existiert wie auch die übereinstimmende Absender- und Link-Domain. Auffälligkeiten finden sich erst in den tieferen Schichten:
Nochmal zum Glück war die ganze Aktion keine echte Attacke, sondern eine interne Demonstration der Wirksamkeit von Sophos Phish Threat. In den zugehörigen Anwendertrainings werden entsprechende Sensibilisierungen und Hinweise vermittelt, um auf Bedrohungen dieser Art noch besser reagieren zu können. Die simulierten Angriffe sind vielfältig und basieren auf echten Bedrohungen, die Analysten weltweit beobachten.
Ich musste mir also eingestehen, dass selbst ich nicht vor dieser Art von gezielten Attacken gewappnet bin. Wer könnte das also glaubhaft von sich behaupten?
Möchte man von Windows 7 auf Windows 10 wechseln und dabei zeitgleich Microsoft Intune als MDM-Lösung einsetzen, so gestaltet sich dies für Neugeräte mit einem meines Erachtens noch viel zu unpopulären Feature namens Autopilot meist sehr komfortabel.
Als kleiner Exkurs: Autopilot ist ein Intune-Feature, welches bei der Semi-Annual Windows 10 Release 1703 eingeführt wurde und eine Out-of-the-Box Experience ermöglicht, in der der User beim Auspacken des Gerätes direkt die Möglichkeit hat, dieses in den Intune-MDM-Tenant der Firma aufzunehmen und von dort die Software und Richtlinien der Firma zu bekommen. Technisch funktioniert dies wie folgt:
Seit neustem ist auch Hybrid Domain Join über Autopilot aus der Preview heraus und generell verfügbar.
Dieses Feature ermöglicht, dass der Client über einen Azure AD Connector ebenfalls dem normalen On-Prem-Active-Directory beitritt, somit kann man auch weiterhin auf Features wie Direct Access und Group Policies zurückgreifen.
Möchte man wiederum einen vorhandenen Client von Windows 7 auf Windows 10 aufrüsten,so steht man oft vor mehreren Schwierigkeiten, dies beinhaltet die Umstellung von BIOS auf UEFI, das Aktualisieren der UEFI Firmware so wie das Aktivieren von SecureBoot und ggf. anderen UEFI Einstellungen. Abhilfe hierbei kann z.B. eine Task-Sequenz über den System Center Configuration Manager schaffen, dieser unterstützt sowohl das Setzen von UEFI Einstellungen als auch das Aktualisieren der UEFI Firmware.
Der Weg hierbei könnte also wie folgt aussehen:
Klingt einfach, oder?
Der „Aha“-Effekt kommt leider erst danach, sind die Geräte nämlich in Intune registriert, wird einem Folgendes auffallen:
Richtig: Intune MDM hat den Config Manager Agent bemerkt und stellt, da kein Co-Managed Szenario konfiguriert ist, den Dienst auf dem Gerät ein. Wir müssen also dafür sorgen, dass am Ende der Task Sequenz der SCCM Agent deinstalliert wird.
Hinweis an dieser Stelle: Der SCCM Agent Uninstaller arbeitet leider nicht ganz sauber, daher bleiben z.B Startmenü-Einträge zurück und die WMI Namespaces müssen ebenfalls per Powershell bereinigt werden.
Um den Zielzustand zu erreichen, erstellen wir zuerst ein Config Manager Package und legen in diesem die beiden Files aus diesem Ordner ab.
Im Anschluss erstellen wir ein „Run Command Line“ Task kopieren diese Datei nach „%SystemRoot%\Remove-SCCMAgent.ps1“:
Das gleiche tun wir für die Definition des Scheduled Tasks:
Nun, da wir beide Dateien auf dem Client haben, können wir den Scheduled Task erstellen:
Da wir der Task Definition bewusst keinen Trigger definiert haben, fügen wir diesen Trigger nun in die SMSTSPostAction Variable ein, welche vom Config Manager am Ende der Task Sequenz ausgeführt wird und somit den SCCM Agent deinstalliert:
Wenn alle beschriebenen Schritte durchgeführt wurden, wird am Ende der Task Sequenz der SCCM Agent deinstalliert und der Rechner neugestartet.
Sobald nun die oben genannte Gruppenrichtlinie angewandt wird und ein User mit EMS Lizenz angemeldet ist, wird der Rechner, ohne dass der vorher installierte SCCM Agent erkannt wird, in Intune eingebucht und kann von da aus verwaltet werden.
Nutzt man die Remote Desktop Services von Windows Server 2012/2016/2019 und befindet sich zeitgleich in einer Multi-Domain- oder Multi-Forest-Umgebung, so wird man schnell feststellen, dass sich in den Assistenten zur Autorisierung von Benutzern und Gruppen ein Fehler eingeschlichen hat. Versucht man dort eine Gruppe hinzuzufügen, die sich nicht in derselben Domain befindet wie der Server von dem man die Konfiguration vornimmt, so bekommt man die folgende Fehlermeldung:
An diesem Punkt würde man normalerweise überprüfen, ob die Domain-Konnektivität so wie die Trusts in Ordnung sind, allerdings ist das in diesem Fall (wahrscheinlich) nicht das Problem.
Um diesen Schritt erfolgreich durchführen zu können, muss jede zu autorisierende Domain der DNS Suffix Search List auf einem beliebigen Netzwerk Adapter des aktuellen Verwaltungshosts (auf dem die Konsole ausgeführt wird), hinzugefügt werden.
Diese Konfiguration kann zum Beispiel wie folgt aussehen:
Auf der Cloud & Datacenter Conference Germany 2019 habe ich die Session “Design for Change – Active Directory für das Cloud-Zeitalter” mit fast 100 Leuten im Publikum gehalten. Hat Spaß gemacht, vielen Dank!
Hier sind die Folien zu meinem Vortrag, auch diesmal inklusive der Notizen.
Am 21. und 22. Mai 2019 wird in Hanau die vierte Ausgabe der Cloud & Datacenter Conference Germany stattfinden. Nach dem großen Erfolg der letzten Jahre ist das Haus michael wessel wieder dabei: Unser Consulting-Leiter Nils Kaczenski wird eine Session halten zum Thema „Design for Change: Active Directory im Cloud-Zeitalter“.
„Cloud & Datacenter Conference: Wir sind dabei“ weiterlesen
Der Hersteller Sophos bietet mit seinen IT Sicherheitslösungen ein umfangreiches Produktpaket und gehört zu den Weltmarktführern im Kampf gegen Spam, Hackerangriffe Malware und Co. Sowohl unsere Consulting-Teams als auch unser Service Desk verfügen über äußerst tiefes Fachwissen in der Produktpalette von Sophos, so dass die michael wessel ab sofort den Partner Status der Stufe Gold trägt. Von dieser Zertifizierung profitieren künftig alle unsere Kunden – durch noch bessere Konditionen beim Einkauf der Lizenzen und noch besseren Service.
Fragen zum Sophos-Produktportfolio? Unsere Consultants helfen Ihnen gerne weiter.
Wie schon die Amerikaner zu sagen pflegten: „Bigger is better.“
Die Umbaumaßnahmen für unseren wachsenden Service Desk sind abgeschlossen. Einige Wände wurden eingerissen, andere wieder aufgebaut. Dort, wo die Arbeit in und mit einem großen Team besonders wichtig ist, haben wir einmal so richtig aufgeräumt.
Der IEEE-Standard 802.11ax wurde von der WIFI-Alliance mit dem Titel WIFI6 versehen, da es sich um die sechste Generation WLAN handelt, die damit ausgerufen worden ist. Es soll damit vorwiegend im Consumer-Bereich eine einfachere Unterscheidung der WLAN-Generationen herbeigeführt werden. Während man mit der vorherigen Generation in voller Ausbaustufe (IEEE 802.11ac WAVE2) bereits das theoretisch physikalische Maximum an Bandbreite ausgereizt hat, orientiert sich der Standard 802.11ax vorwiegend an der Effizienzsteigerung und dem Erhöhen der realistischen Bandbreitenwerte. Die Maximalwerte in Sachen Performance sind stets orientiert an einem Optimum, was Entfernung Signaldämpfung und Empfangsgerät betreffen, was leider nie der Realität entspricht. Um das Brutto-Netto-Verhältnis, also die effektive Durchsatzausbeute anzuheben, wird im neuen Standard ein neues Verfahren namens OFDMA (Orthogonal Frequency Division Multiple Access) eingesetzt, welches Netzen mit vielen Clients und hoher Dichte eine enorme Steigerung der Effizienz verspricht. An der Performance wurde ebenfalls durch eine komplexere Signalmodulation geschraubt. Es kommt nun 1024-QAM zum Einsatz. Durch die vierfache Modulation konnten auch die theoretischen Datenraten vervierfacht werden.
