Windows Defender Application Guard

Windows Defender Application Guard kann einzelne Sitzungen in Microsoft Edge über Hyper-V virtualisieren und dadurch sicherstellen, dass Malware nicht über das Internet auf einen PC übertragen werden kann. Für den Einsatz sind Windows 10 Pro oder Windows 10 Enterprise notwendig, am besten in der Version Windows 10 ab Version 1803. Der Betrieb von WDAG erfolgt nicht in einer VM, und Sie müssen auch nicht Hyper-V konfigurieren. Hyper-V muss zusammen mit WDAG aber installiert sein, damit WDAG genutzt werden kann. Die Konfiguration von WDAG kann über Gruppenrichtlinien erfolgen.

Auf englischen Windows 10-Versionen sind die dazugehörigen Einstellungen über „Computer Configuration\Administrative Templates\Windows Components\Windows Defender Application Guard“ zu finden. Auf deutschen Rechnern befindet sich die entsprechende Einstellung bei „Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Defender Application Guard“. Bis zum April 2018 Update von Windows 10, also Windows 10 Version 1803 ist der Download von Dateien in einer WDAG-Sitzung von Microsoft Edge nicht möglich. Ab Windows 10 Version 1803 kann über Gruppenrichtlinien gesteuert werden, ob in Application-Guard-Fenstern der Download von Dateien erlaubt sein soll.

Microsoft Edge mit Windows Defender SmartScreen schützen

Zu finden sind die Einstellungsmöglichkeiten über „Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Microsoft Edge“. Für die Steuerung in Active Directory müssen jeweils die aktuellen Gruppenrichtlinienvorlagen installiert werden. Hier lassen sich Cookies verbieten, oder die Skriptausführung in Edge blocken. Außerdem kann hier festgelegt werden, dass keine Erweiterungen installiert werden dürfen. Dazu wird die Richtlinieneinstellung „Erweiterungen zulassen“ deaktiviert. 

Mit Windows Defender SmartScreen kann Windows 10 verschiedene Bereiche des Betriebssystems schützen. Dazu gehören Apps, die Anwender installieren oder aus dem Store herunterladen, aber auch Webseiten und Downloads, die mit Microsoft Edge genutzt werden. Die Einstellungen dazu sind über „Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Defender SmartScreen“ zu finden. Hier kann der Schutz von Windows, aber auch von Microsoft Edge gesteuert werden. Zusammen mit Windows Defender System Guard stellt auch diese Defender-Erweiterung eine wichtige Grundlage für den Schutz von Windows 10 mit Bordmitteln darf. Neben diesem Schutz verfügt Microsoft Edge in Windows 10 noch über den Schutz mit Windows Defender Application Guard, den wir nachfolgend besprechen.

Wenn der Use Case in der Palette steckt

Die Logistik wird komplexer: Da ist der private Endverbraucher, der immer genauer wissen will, wo sein T-Shirt herkommt. Da ist der Lagerleiter, der auch in Hochlastzeiten planen und Prozesse verbessern will. Da ist der Compliance-Chef, der alles bis ins Kleinste dokumentiert haben muss. Die Antwort auf diese Herausforderungen? Mobile Lösungen. Mit mobilen Geräten und Software-Lösungen rüsten sich Unternehmen für die Zukunft, denn diese ist digital.

Das weite Feld der mobilen Datenerfassung (MDE) reicht heute vom mobilen Datenendgerät, mit dem der Kommissionierer Artikel abfragt, ins System aufnimmt und Warenbewegungen quittiert, über standortbasierte Routenplanung bis zu Augmented Reality. Wie hoch ein Unternehmen technologisch aufrüsten mag, hängt vom Einzelfall ab. Sicher ist: Unternehmen jeder Größe profitieren unter drei verschiedenen Aspekten.

Effizienz durch stringente digitale Prozesse

Punkt eins ist die erhöhte Effizienz. Dazu ein ganz handfestes Beispiel aus dem Alltag im Lager: Der Mitarbeiter soll einen Kommissionierauftrag durchführen. Die Informationen dazu stammen aus dem SAP-System. Der Kommissionierauftrag wird im Büro ausgedruckt und vom Mitarbeiter abgeholt. Nachdem dieser Vorgang abgeschlossen ist, bringt der Mitarbeiter den Zettel – im Worst Case mit handschriftlich vermerkten Abweichungen – zurück ins Büro. Dort wird der Zettel abgetippt und der Auftrag im System quittiert. Er läuft Wege, die nicht nötig wären. Der Kollege im Büro macht zum Ende der Schicht ab und zu Fehler beim Abtippen der Papieraufträge. Und für das Gesamtsystem am schlimmsten: Die Daten sind erst mit enormer Verzögerung im System vorhanden und damit vorher für Folgeprozesse nicht nutzbar.

Schneller und einfacher geht es, wenn der Kollege im Lager über sein mobiles Gerät direkt alle offenen Kommissioneraufträge (womöglich noch in optimierter Reihenfolge) abrufen und abarbeiten kann. Grundsätzlich können solche Geräte zur mobilen Datenerfassung in der Hand gehalten, am Handgelenk oder auf dem Stapler befestigt werden. Sie ermöglichen nicht nur mehr Tempo, sondern auch mehr Genauigkeit, denn die Bestände müssen nicht mehr zusätzlich abgeglichen werden. Es treten weniger Fehler in der Kommissionierung auf und Folgeprozesse funktionieren reibungsloser.

Kundenzufriedenheit mittels Software und mobilen Endgeräten sicherstellen

Punkt zwei hängt eng mit dem ersten Punkt zusammen und bezieht sich auf die Kundenzufriedenheit. Salopp formuliert: Je schneller die Lieferung und je weniger Fehler, desto glücklicher der Kunde.

Häufige Annahme: „Um die Prozesse im Lager so hinzubekommen wie Amazon oder Zalando muss ich Unsummen investieren.“ Im heutigen Smartphone-Zeitalter stimmt das nicht mehr: Geräte zur mobilen Datenerfassung werden günstiger, Anwendungsentwicklung mit der richtigen Plattform wird plötzlich agil und schnell. So ist es möglich, den gesamten Warenfluss innerhalb eines Unternehmens zu digitalisieren und zu optimieren. Für ein Unternehmen, das sich Kundenorientierung auf die Fahne schreibt, ein absolutes Muss.

Mitarbeiterzufriedenheit stärken durch mobilen und zeitgemäßen Arbeitsplatz

Der dritte Punkt kreist um die Zufriedenheit der Mitarbeiter. Rund drei von vier Mitarbeitern fordern heute einen zeitgemäßen und mobilen Arbeitsplatz. Das belegt eine Studie des Marktforschers Crisp unter mehr als 400 Entscheidern („Digitale Arbeitsplatzgestaltung“, Crisp Research 2018). Die Studie untermauert die These, dass Menschen die Technologie, die sie privat nutzen, auch im Job vorfinden wollen.

Berechtigungs-Probleme für Drucker auf Remotedesktop-Sitzungshosts lösen

In den meisten Fällen liegt ein Berechtigungsproblem mit dem Verzeichnis „C:\Windows\System32\Spool“ vor, wenn das Drucken auf einem Remotedesktop-Sitzungshost nicht funktioniert.

Rufen Sie die Eigenschaften des Verzeichnisses auf, wechseln Sie auf die Registerkarte „Sicherheit“ und klicken Sie auf „Bearbeiten“. Nehmen Sie entweder eine neue Gruppe auf, welche die Benutzerkonten der Remotedesktop-Benutzer enthält oder verwenden Sie die Benutzer-Gruppe der Domäne. Geben Sie der Gruppe das Recht „Ändern“ auf das Verzeichnis. Starten Sie anschließend den Server neu und testen Sie, ob die Drucker der Anwender funktionieren.

Arbeiten Sie nicht mit dem Easy Printer Driver, sondern mit einem speziellen Treiber für Drucker, müssen Sie darauf achten, dass dieser auch auf dem Remotedesktop-Sitzungshost installiert ist und funktioniert.

Drucker, die viele Anwender verwenden, können durchaus auch direkt auf dem Remotedesktop-Sitzungshost installiert werden. In diesem Fall müssen Sie aber auf den korrekten Treiber, die entsprechende Version und die korrekten Einstellungen in den Gruppenrichtlinien achten.

In manchen Umgebungen haben Anwender nicht genügend Rechte um Drucker zu verbinden, oder um Druckaufträge zu starten. Solche Rechte sind dann auch die Ursache, dass die komplette Druckerumleitung nicht funktioniert, unabhängig welche Einstellungen Sie vorgenommen haben.

Wenn Sie den Verdacht haben, solche Probleme in Ihrer Umgebung zu haben, sollten Sie die Ereignisanzeige überprüfen. Sie finden normalerweise „Zugriff verweigert“-Meldungen, wenn dieses Problem vorliegt. Die Anwender selbst sehen diese Meldung nicht, sondern können nur feststellen, dass die Drucker nicht verbunden wurden.

Um das Problem zu lösen, müssen Sie auf dem Server einige Einstellungen vornehmen und Rechte ändern. Öffnen Sie dazu den Windows Explorer und navigieren zu „C:\Windows\System32\Spool\Printers“. Rufen Sie die Eigenschaften des Verzeichnisses auf und wechseln Sie auf die Registerkarte „Sicherheit“. Fügen Sie die Gruppe „Jeder“ hinzu. Testen Sie, ob die Anwender jetzt Dokumente drucken können. Funktioniert die Verbindung nicht, überprüfen Sie die Rechte der Benutzer-Gruppe und passen Sie diese entsprechend an. Testen Sie zunächst ob lesender Zugriff ausreicht und geben Sie danach schreibenden Zugriff auf das Verzeichnis.

Cluster in Windows Server 2019

Bisher war es nicht möglich, die Domänenmitgliedschaft eines Clusters ohne weiteres zu ändern. Gemischte Domänencluster werden in Windows nicht unterstützt. Um die Domänenmitgliedschaft zu ändern, musste der Cluster bisher neu aufgebaut werden. Mit Windows Server 2019 können Cluster-Administratoren Knoten und Cluster zwischen Active Directory-Domänen verschieben.

CSV unterstützt bisher virtuelle Maschinen in einem Clusterknoten, SQL-Datenbanken und Scale-Out File Server. In Windows Sever 2019 unterstützt die Funktion auch die Rolle „Microsoft Distributed Transaction Coordinator (MSDTC)“.

In Windows Server 2019 kann Failover Clustering auch ein USB-Gerät nutzen, das mit dem Netzwerk verbunden ist. Das erleichtert die Bereitstellung von kleinen Clustern für Abteilungen oder in kleinen Netzwerken.

Wenn ein Failover-Cluster aus virtuellen Maschinen besteht, wird er als Gast-Cluster bezeichnet. Gast-Cluster werden verwendet, um einer Server-Anwendung innerhalb einer VM, zum Beispiel einem virtuellen SQL Server, eine hohe Verfügbarkeit zu bieten. Gast-Cluster werden vor allem in der Cloud genutzt, zum Beispiel in Microsoft Azure. Mit Windows Server 2019 ist es einfacher, einen Gast-Cluster auf Basis von Windows Server 2019 in Microsoft Azure zu erstellen.

Neue Technologien für energieeffiziente Rechenzentren

Große internationale Cloud-Unternehmen setzen sehr stark auf die Verwendung regenerativ erzeugten Stroms – und auch die Nutzung der Abwärme der Rechenzentren tritt mehr und mehr in den Fokus. Skandinavien zeigt da vorbildlich, was alles möglich ist.

Aber auch für kleine und mittlere Rechenzentren wird das Thema des nachhaltigen Betriebs immer wichtiger. Die hohen Strompreise in Deutschland bieten Anreize, mit neuen Technologien Energie und Kosten einzusparen. Auch neue Rahmenbedingungen wie die Verknappung von Teilfluorierten Kohlenwasserstoffen (HFKW) als Kältemittel für Rechenzentren stellen die Betreiber vor Herausforderungen.

Der Markt – und hier insbesondere auch der innovative deutsche Mittelstand – stellt Lösungen zur Verfügung, Rechenzentren in Zukunft noch nachhaltiger zu betreiben. Das Spektrum reicht von flüssiggekühlten Servern und Adsorptionskältemaschinen bis hin zu innovativen Ansätzen der Batteriespeicherung im Rechenzentrum. Auch neue Möglichkeiten der Abwärmenutzung und alternative Methoden der Kälteerzeugung mit Wasser bieten Chancen für das energieeffiziente Rechenzentrum von Morgen.

Das Netzwerk energieeffiziente Rechenzentren (NeRZ) möchte über solche Ansätze informieren und führt am 9. Mai 2019 in Frankfurt einen Anwenderworkshop zum Thema „Neue Technologien für die Rechenzentrum von Morgen“ durch. Die Veranstaltung ist kostenfrei. Die Zahl der Teilnehmer ist begrenzt. Weitere Informationen finden Sie hier.

Weitere Informationen zum Thema Energieeffizienz in Rechenzentren: www.ne-rz.de

Datendeduplizierung im Server-Manager steuern

Installieren Sie den Rollendienst Datendeduplizierung über Datei- und Speicherdienste/Datei- und iSCSI-Dienste, integriert der Installations-Assistent auch ein Befehlszeilentool, mit dem Sie die doppelten Dateien suchen können, um abzuschätzen, ob der Rollendienst auf Ihren Dateiservern sinnvoll einsetzbar ist.

Das Tool Ddpeval befindet sich im Ordner \Windows\System32. Ddpeval unterstützt lokale Laufwerke und Netzwerkfreigaben; die Syntax des Tools lautet ddpeval <Volume:>. Beispiele für die Ausführung sind ddpeval e:\ oder ddpeval \\nas\daten. Erst wenn das Tool doppelte Daten findet, ist es sinnvoll, die Datendeduplizierung zu verwenden. Das Tool selbst bereinigt keinerlei Dateien, sondern gibt nur an, ob die Datendeduplizierung auf dem Server sinnvoll ist.

Anschließend aktivieren Sie die Datendeduplizierung auf dem entsprechenden Server. Sie können dazu entweder den Server-Manager verwenden und die Datendeduplizierung als Rollendienst installieren, oder Sie verwenden die PowerShell und das Cmdlet

Install-WindowsFeature -Name FS-Data-Deduplication. Mit dem Cmdlet Enable-DedupVolume <Laufwerk>

Aktivieren Sie die Funktion auf einem Server. Konfigurieren können Sie die Funktion mit

Set-DedupVolume <Laufwerk> MinimumFileAgeDays <Alter>.

Um die Datendeduplizierung zu verwenden, installieren Sie zunächst den bereits erwähnten Rollendienst. Anschließend überprüfen Sie mit Ddpeval ob sich die Aktivierung für Laufwerke lohnt. Wenn Sie ein positives Ergebnis erhalten, aktivieren Sie die Datendeduplizierung im Server-Manager. Klicken Sie auf Datei-/Speicherdienste und dann auf Volumes.

Im Fenster sehen Sie alle Laufwerke, die auf dem Server angelegt sind. Über das Kontextmenü von Volumes starten Sie die Einrichtung der Datendeduplizierung.

Im neuen Fenster aktivieren Sie zunächst die Datendeduplizierung. Außerdem legen Sie das Alter fest, ab dem der Dienst Dateien als dupliziert speichern soll. Im Fenster können Sie auch Dateierweiterungen von der Suche ausschließen. Außerdem können Sie in diesem Fenster die Optimierung des Servers über Zeitpläne steuern.

Sie können eine sofortige Durchführung der Deduplizierung mit dem folgenden Befehl starten:

Start-DedupJob -Volume <Laufwerkbuchstabe> -Type Optimization

Wollen Sie auf eine Rückgabe der Suche warten, verwenden Sie den folgenden Befehl:

Start-DedupJob <Laufwerkbuchstabe> -Type Optimization -Wait

Den aktuellen Zustand des Auftrags zeigen Sie mit Get-DedupJob an.

Den aktuellen Zustand der Duplizierung von Daten lassen Sie sich mit Get-DedupStatus anzeigen. Mehr Informationen erhalten Sie mit Get-DedupStatus |fl. Weitere Informationen erhalten Sie mit Get-DedupVolume.

Speicher in Windows Server 2019 replizieren

Die Speicherreplikation bietet vor allem drei verschiedene Einsatzszenarien. Im ersten Szenario können Sie wichtige Datenträger schnell und einfach auf andere Server (ServerA ->ServerB), auch in anderen Rechenzentren replizieren. Dadurch erhalten Sie eine Absicherung Ihrer Daten, vor allem im Katastrophenfall.

Das zweite wichtige Einsatzgebiet ist das Replizieren von Daten in einem Geo-Cluster, auch Stretched Cluster genannt (Clusterknoten1 -> Clusterknoten2). Ein Einsatzgebiet kann zum Beispiel die Replikation von virtuellen Servern und deren Konfigurationsdaten sowie virtueller Festplatten zwischen verschiedenen Rechenzentren sein. Dabei sind die Clusterknoten auf verschiedene Rechenzentren verteilt.

Die beiden Szenarien lassen sich auch zu einem gemeinsamen Einsatzszenario verbinden. In diesem replizieren Sie die Daten eines Clusters zu einem anderen Cluster in einem anderen Rechenzentrum (Clusterknoten1-Cluster1 -> Clusterknoten1-Cluster2). Dabei sind die Cluster aber nicht auf verschiedene Rechenzentren aufgeteilt, sondern Bestandteil eines einzelnen Rechenzentrums. Die Daten werden also nicht innerhalb eines Clusters repliziert, sondern zwischen verschiedenen Clustern. Die Cluster selbst sind dann natürlich idealerweise in verschiedenen Rechenzentren verteilt.

 

Die Replikation kann synchron und asynchron konfiguriert werden. Größere Unternehmen können mit der Technologie auch auf Clusterebene Daten zwischen Rechenzentren replizieren (Stretched Cluster). Dadurch lassen sich Geo-Cluster aufbauen, also Cluster deren Knoten international in verschiedenen Rechenzentren verteilt sind.

Der Vorteil der neuen Technologie ist die Unabhängigkeit von Speicherlösungen und Speicherherstellern. Sie können jeden beliebigen Speicher replizieren, solange dieser mit einem Server auf Basis von Windows Server 2019 verbunden ist und funktioniert. Die Replikation erfolgt über das Server Message Block (SMB)-Protokoll mit Windows Server 2019. Dabei kann das Protokoll auf die ganze Bandbreite zurückgreifen, welche durch die Adapter zur Verfügung gestellt werden.

Sie können Bitlocker-Laufwerke replizieren sowie Datenträger auf denen die Datendeduplizierung aktiviert ist. Auch Multichannel und Multipath werden unterstützt, was vor allem für die Replikation in Clustern eine wichtige Rolle spielt (siehe Kapitel 9 und 34). Die Daten lassen sich während der Übertragung zwischen Quell- und Ziel-Server verschlüsseln und signieren. Wollen Sie Failover-Szenarien umsetzen, können Sie auch nur einzelne Laufwerke verwenden, Sie müssen das Failover nicht für alle replizierten Laufwerke eines Servers auf einmal starten.

Sie können zum Beispiel zwei Cluster in physisch getrennten Rechenzentren betreiben und den gemeinsamen Speicher der Cluster replizieren lassen. Fällt ein Rechenzentrum aus, kann das andere Rechenzentrum sofort übernehmen. Hier ist auch die neue Funktion zum Verwendung von Microsoft Azure als Cloudzeuge interessant.

Ablauf der Replikation

Das Betriebssystem schreibt Blöcke auf den Quell-Server (Schritt 1). Storage-Replika erkennt das und speichert die Vorgänge in der Protokolldatei. Außerdem überträgt der Quell-Server die Daten mit SMB sowie RDMA zum Zielserver übertragen (Schritt 2). Anschließend schreibt der Server im Ziel-Standort die Daten ein sein Protokoll (Schritt 3). Danach bestätigt der Ziel-Server die erfolgreiche Replikation (Schritt 4), und der Quell-Server meldet, dass er die Bestätigung empfangen hat (Schritt 5). Anschließend werden auch die Protokolle entsprechend angepasst (Schritt 6).

Wie energieeffizient sind die Rechenzentren in Deutschland?

Wie sich der Rechenzentrumsmarkt und insbesondere das Thema der Energieeffizienz in Rechenzentren in Deutschland entwickelt, ist Thema einer aktuellen Umfrage bei Rechenzentrumsbetreibern. Die Umfrage wird vom Borderstep Institut im Rahmen des vom Bundesministerium für Wirtschaft und Energie geförderten Forschungsprojektes TEMPRO durchführt.  

Rechenzentrumsbetreiber werden gebeten, sich an dieser vertraulichen Umfrage zu beteiligen. Unter allen Teilnehmern wird ein IPad verlost. Die Forscher erhoffen sich, mit Hilfe der Ergebnisse der Befragung auch künftig Informationen zur Marktentwicklung und zur Entwicklung der Energieeffizienz im Deutschland zur Verfügung stellen zu können.

Migration öffentlicher Ordner zu Office 365-Gruppen

Office 365-Gruppen stellen ein Sicherheitskonzept dar, mit dem Gruppenarbeit in Office 365 effektiver dargestellt werden kann. Grundsätzlich sind Office 365-Gruppen ein Objekt in Azure Active Directory, das mit Office 365 verbunden ist. Administratoren können einer Office 365-Gruppe verschiedene Benutzer zuordnen. Dadurch stehen den Gruppen verschiedene Funktionen zur Verfügung, mit denen sich auch Daten speichern lassen.

Mit dieser Kombination können Gruppen Zugriffsberechtigungen erteilt werden, die für einzelne Teammitglieder gelten. Erhält ein Benutzer zum Beispiel das Recht auf die Office 365-Gruppe „Einkauf“ zuzugreifen, erhält der Benutzer automatisch Zugriff auf alle Tools und Daten der Gruppe. Dazu gehört zum Beispiel auch die SharePoint-Teamsite der Gruppe und die verschiedenen Datenablagen.

Office 365-Gruppen erhalten ein Exchange-Postfach in Office 365, so wie es bei öffentlichen Ordnern möglich ist. Außerdem erhalten Office 365-Gruppen einen gemeinsamen Kalender. Dieser erlaubt die Koordination von Terminen für die ganze Gruppe.

Die Erstellung einer Office 365-Gruppe kann an verschiedenen Stellen durchgeführt werden. Administratoren können Gruppen über die Office-365-Admin-Umgebung, in Azure Active Directory (AAD) oder mit der PowerShell erstellen.

Microsoft Teams bietet den Vorteil, dass verschiedene Kollaborationsdienste gemeinsam zur Verfügung stehen. Dazu gehören Dateiablage, Notizbuch, Planer und PowerBI. Diese Bereiche stehen über Office 365-Gruppen zur Verfügung.

BAM – CMS Blog