Windows 10 härten – SmartScreen-Filter

Zugegeben, die Akzeptanz vom Microsoft Internet Explorer oder dem neuen Browser EDGE hält sich eher in Grenzen. Der Internet Explorer hält nach Angaben von statista.com ca. 10 Prozent der Marktanteil, der Browser EDGE schafft es gerade einmal auf knapp über 1 Prozent. Für mich als Windows Admin haben beide aber einen großen Vorteil. Sie lassen sich per Gruppenrichtlinien steuern und via Windows Update problemlos aktualisieren. Das bedeutet für mich im Vergleich zu anderen Browsern einen geringen Verwaltungsaufwand und damit verbundene geringere Kosten. Weiterhin schützt SmartScreen nicht nur die Microsoft Browser sondern sitzt tief verankert im Windows Betriebssystem.  Weiterlesen

Windows 10 härten – Datenausführungsverhinderung (DEP)

Ein weiterer fast unscheinbarer Baustein zum Schutz von Windows Systemen vor Schadcode wurde mit Windows XP SP2 eingeführt. Die Datenausführungsverhinderung oder auch Data Execution Prevention (kurz DEP) soll verhindern, dass Schadcode innerhalb eines geschützten Speicherbereiches ausgeführt wird. Durchgesetzt wird dieses durch das CPU-Feature NX (Not Execute) welches von allen aktuellen CPUs unterstützt wird. Ich werde in diesem Beitrag weniger auf die Arbeitsweise von NX eingehen, sondern vielmehr auf die vollständige Implementierung im Windows Client und eine mögliche Umsetzung im Unternehmen. Weiterlesen

Windows 10 härten – AppLocker

In meinem vorhergehenden Beitrag habe ich schon eine Zusammenfassung über die möglichen Schutzfunktionen von Microsoft gesprochen. In diesem Artikel geht es um den Schutz vor unbekannten Programmen, Apps oder Skripten. Hierbei kommt der Windows AppLocker zum Einsatz welcher seit Windows 7 zur Ausstattung des Betriebssystems gehört. Leider ist dieses Feature nur für Firmenkunden mit einer Enterprises Edition verfügbar. Dabei würde es dem Microsoft Image gut tun jegliche Sicherheitsfunktionen für alle Windows Editionen zur Verfügung zu stellen. Weiterlesen

Windows 10 härten – Eine erste Übersicht

Die aktuelle Virenflut macht uns und unseren Kunden wieder große Sorgen. Dank Bitcoins ist man jetzt in der Lage mit Schadcode zu erpressen und anonyme Geldtransaktionen durchzuführen. Dabei erfolgte eine Entwicklung über die Jahre vom einfachen Virus nur so zum Spaß über das Ausspionieren von anderen Systemen mit Trojanern bis zum jetzigen Stand dem Geld verdienen mit Baukästen-Trojanern. Antivirensoftware Hersteller reiben sich die Hände den der Rubel rollt. Weiterlesen

Exchange 2013 – Outlook Web App offline verfügbar machen

Oft kommt es vor, dass wegen schlechter Netzabdeckung bei UMTS oder LTE aber auch fehlender Netzwerkanbindung zum Firmen-LAN die Verbindung zu Outlook nicht möglich ist. Der Outlook Client bietet hier ja die Möglichkeit mit Hilfe des Cache-Mode weiterhin auf seine Emails zuzugreifen. Wer lokal auf seinem Rechner keinen Outlook Client hat der hatte bisher das Nachsehen. Die Gründe dafür können unterschiedlicher Natur sein aber meistens fehlen einfach mal Lizenzen. Seit Version 2013 von Exchange besteht aber auch die Möglichkeit Outlook Web App, kurz auch OWA genannt, per Browser offline zu nutzen. Ebenfalls die Nutzer von Office 365 mit der Produktversion 15 können OWA offline nutzen. Die Schritte dazu sind sehr einfach. Gehen Sie dazu folgendermaßen vor: Weiterlesen

Windows 8 – Verbindung oder Anmeldung mit Microsoft Konto unterbinden

Ich habe mich bereit in zwei anderen Artikeln über Windows 8 im Unternehmen ausgelassen. In diesen Beiträgen ging es primär um die Anpassung der Modern UI bzw. die Einschränkung der Standard Apps. In diesem kurzen Artikel ein ganz wichtig Punkt. Wie verhindere ich die Anbindung eines Microsoft Kontos (früher Live ID) an Windows 8. Auch in der Domäne haben Standardbenutzer die Möglichkeit ihr Domänenkonto mit einem Microsoft Konto zu verknüpfen. Zwar ist hier eine Anmeldung mit dem Windows Konto im vergleich mit einem Arbeitsgruppen PC nicht möglich aber eine Verknüpfung zwischen den denn Diensten und ein Datenaustausch ist trotzdem problemlos möglich. Ich gehe davon aus, dass dies in vielen Unternehmen nicht erwünscht ist. Weiterlesen

Windows 8 – Standard Modern Apps dauerhaft für alle Benutzer entfernen und den Zugriff auf den Windows Store verhindern

Ich habe in einem vorherigen Artikel bereits über einige Probleme mit Windows 8 im Unternehmensumfeld gesprochen. Microsoft hat Windows 8 doch eher für Endanwender als für Unternehmenskunden entwickelt. Im privaten Einsatz macht Windows 8 auch wirklich Spaß. Nur viele größere Unternehmen wollen die Nutzung der Modern Apps verhindern da diese die Unternehmensrichtlinien für Softwarenutzung und Installation außer kraft setzen. Eine Möglichkeit ist die Nutzung von AppLocker via Gruppenrichtlinie. Diese Vorgehensweise habe ich bereits in diesem Artikel erklärt (Windows 8 Apps durch AppLocker einschränken). Für Kunden die aber die Lösung mit AppLocker nicht nutzen wollen muss es doch auch noch einen anderen Weg geben. Weiterlesen

Offline Domänenbeitritt mit djoin.exe

Seit Windows Server 2008 bietet Microsoft mit dem Kommandozeilenwerkzeug djoin.exe die Möglichkeit ein Computerkonto ohne Verbindung zu einem Domänenkontroller, also offline, einer Domäne beitreten zu lassen. Als ich dieses zum ersten Mal gelesen habe konnte ich mir über Sinn oder Unsinn dieser Möglichkeit noch kein wirkliches Bild machen. Wer will schon einen Computerkonto offline hinzufügen? Weiterlesen

Inhalt von AD-Attribut thumbnailPhoto als Benutzerprofilbild

Vielleicht ist dem einen oder anderen schon einmal der Gedanke gekommen, das SharePoint Profilbild auch als Benutzerprofilbild in Windows zu nutzen. SharePoint an sich bietet ja eine einfache Art der Datenspeicherung ins Active Directory an. Somit ist es relativ einfach das Benutzerprofilbild aus SharePoint in das AD-Attribut thumnailPhoto zu exportieren. Wie aber kann man dieses Foto als Windows-Benutzerprofilbild nutzen? Weiterlesen

Windows 8 und Apps im Unternehmen – Apps für Benutzer durch AppLocker einschränken

Der Einsatz der neuen Windows 8 Modern UI (vorher Metro) für Privatanwender steht außer Frage. Die Meinungen gehen hier weit auseinander aber insbesondere die Nutzer von Tablet PCs oder Displays mit Touchscreen profitieren von der neuen Oberfläche. In meinem beruflichen Umfeld war vorab auch großes Bedenken der neuen Oberfläche gegeben welches sich aber mittlerweile durchweg positiv auswirkt. Selbst die „ältere Generation“ kommt hier doch ganz gut klar. Ich nutze Windows 8 seit dem Erscheinen über Technet und komme ebenfalls sehr gut damit zu recht.

Wie aber schlägt sich die neue Oberfläche insbesondere die Windows Apps im Unternehmen. Hier sind zurzeit kaum Erfahrungswerte vorhanden. Kaum ein Unternehmen hat sich auch nur ansatzweise mit dem Rollout von Windows 8 beschäftig. Was kann und darf der Nutzer und wo müssen die Administratoren dem User neue Grenzen setzen?

Hier bildeten sich mir am Anfang drei grundlegende Fragen:

  • Darf der Standard Benutzer im Unternehmen Windows Apps verwenden?
  • Darf der Standard Benutzer Modern UI Apps aus dem App-Store installieren?
  • Darf der Standard Benutzer sein Domänen Konto mit seinem Windows Konto verknüpfen und Einstellungen synchronisieren?

Weiterlesen

Remote Gruppenrichtlinienupdate mit der GPMC und Windows Server 2012

Gruppenrichtlinien nach einer Änderung der Einstellungen schnell durchzusetzen war bis vor kurzem leider nicht so leicht möglich. Eine Wartezeit von 90 Minuten (+/-30 Minuten) musste man schon einplanen und über AD-Standorte kann sich das ganze theoretisch auch schon mal über den ganzen Tag hinziehen. Mit Windows Server 2012 bekommen Administratoren hier neue Möglichkeiten. Weiterlesen

Windows Server 2012 und Windows 8 über Verknüpfungen abmelden oder neu starten

Es klingt fast ein wenig lächerlich die Überschrift dieses kleinen Beitrages. Wer jedoch regelmäßig mit den neuen Windows Server 2012 oder aber auch Windows 8 in Verbindung mit RDP, Teamviewer, Hyper-V oder z.B. vSphere zur täglich arbeitet nutzt dem hilft er vielleicht ein klein wenig weiter. Hier sind besonders Systeme gemeint welche Tastenkombinationen wie Str+Alt+Entf, Alt+F4, Win+R oder einfach nur die Windows Taste nicht wirklich gut in den Remote PC übertragen. Ich arbeite täglich mit dem Remote Desktop Connection Manager von Microsoft oder bei Kunden mit Hilfe von TeamViewer und fummle hier immer wieder in die unteren Ecken um den PC/Server einmal neu starten oder mich einfach nur abmelden zu können. Weiterlesen

Bitlocker Schlüssel im Active Directory speichern

Auf der Suche nach einer Anleitung wie ich den Bitlocker Wiederherstellungsschlüssel in einer 2008/2008R2 Active Directory Umgebung im AD speichern kann bin ich auf folgenden Artikel von Daniel Nitz gestoßen:

http://www.ntsystems.it/post/TPM-BitLocker-Schlussel-in-AD-DS-speichern.aspx

Er hat dieses bereits sehr gut dokumentiert und so erspare ich mir hier weitere detaillierte Ausführungen.

Eine Anmerkung möchte ich hier noch hinzufügen. Der Schlüssel wird erst ab der Durchsetzung der GPOs im AD gespeichert. Alle schon verschlüsselten Systeme im Unternehmen werden Ihren Schlüssel nicht im AD speichern. Hier hilft der manuelle Aufruf von MANAGE-BDE:

manage-bde -protectors -add -RecoveryPassword C:

Hyper-V 3 auf Windows Server 2012 ohne Domäne mit einem Windows 8 Client remote Verwalten

Wer wie ich für Test- und Demoszenarien einen Hyper-V 3 Server auf Windows Server 2012 einsetzt und dabei keine Domäne nutzen will der stößt beim Versuch des Zugriffs mit der Hyper-V Konsole über einen Windows 8 Client schnell an seine Grenzen. Der Hyper-V Manager quittiert den Verbindungsversuch mit der Meldung:

„Zugriff verweigert: Es konnte keine Kommunikation zwischen „Hyper-V Server“ und „Windows 8″ hergestellt werden.“
Weiterlesen

Festplatten mit Windows Bordmitteln sicher löschen

Um in meinem Büro mal wieder etwas Platz zu schaffen muss ich mich zwangsweise dem einem oder anderen stück Hardware trennen welches ich schon seit Monaten nicht mehr nutze. Hierzu zählen in meinem Fall auch einige 2,5 und 3,5 Zoll Datenträger. Da ich aber nicht weis was mit diesen Datenträgern nach der Weitergabe oder dem Verkauf passiert muss ich sicherstellen das Daten unwiderruflich gelöscht werden. Weiterlesen

In der Windows 8 RTM sichern und wiederherstellen

Seit Sonntag habe ich mein Arbeitsgerät auf eine Version von Windows 8 RTM aktualisiert. Nachdem ich meine Software, Treiber und Einstellungen in stundenlanger Kleinarbeit wieder angepasst habe und jetzt soweit arbeitsfähig bin musste natürlich erst einmal eine Sicherung her. Aber wo findet man diese Einstellung unter Windows 8?

Leider liegt hier noch ein Fehler in der Übersetzung vor. In einer RTM könnte man schon mehr erwarten. Die Möglichkeit der Sicherung findet ihr unter „Windows 7-Dateiwiederherstellung“ in der Systemsteuerung. Im ersten Blick denken viele, dass es sich hierbei um ein Kompatibilitäts-Feature handelt. Weiterlesen

Bitlocker mit Windows 7 auf Samsung Slate PC 700T

Der Samsung Slate PC 700T ist der erste, auch für den Business-Einsatz taugliche, Tablet PC. Mit Hilfe der mitgelieferten Docking Station (HDMI, LAN, Power und USB), der Bluetooth Tastatur und einem leistungsstarken i5 Prozessor ersetzt das Samsung Slate 700T im Büro einen vollwertigen Arbeitsplatz. Für unterwegs ist die Bedingung, dank des mitgelieferten Softwarepaketes, wirklich komfortabel und macht auch beim Kunden wirklich Eindruck. Auch für das zukünftige Windows 8 sind alle Weichen gestellt. Ich konnte den Slate PC inklusive aller Treiber (selbst UMTS) in wenigen Schritten mit Windows 8 betanken. Hier zeigt des Tablet seine besondere Stärke.

Weiterlesen

Administrative Freigaben unter Windows dauerhaft deaktivieren

Windows bildet standardmäßig administrative Freigaben. Zu erkennen sind diese durch ein $ am Ende des Freigabenamens. Natürlich haben diese Freigaben auch einen Sinn und man sollte sich genau überlegen, ob man sie wirklich entfernen will. Wer es schon mal versucht hat, der wird festgestellt haben, dass diese Freigaben nach dem Neustart aber wieder vorhanden sind. Wie also kann man sie dauerhaft deaktivieren? Weiterlesen