Kostenloser Wechsel zu Windows 10 – sinnvoll oder nicht?

In den letzten Wochen sind wir immer wieder von unseren Kunden und Geschäftspartnern auf das kostenlose Update zu Windows 10 angesprochen worden. Da die Frist für das kostenlose Update zum 29. Juli 2016 endet, wollen viele wissen, ob sie das Update denn nun durchführen sollten und welche Vor- bzw. Nachteile dadurch entstehen können.

Schauen wir uns kurz die Vorteile an. Zum einen handelt es sich um ein kostenloses Update. Sollten Sie sich später dafür entscheiden, Windows 10 nutzen zu wollen, so fallen Lizenzgebühren an. Je nachdem, ob Sie eine Home-Version oder eine professionelle Lizenz für Unternehmen nutzen wollen, fallen für eine neue Lizenz Gebühren zwischen € 110,- und € 220,- an. Ob eine Update-Lizenz von Windows 7 nach Ablauf der Frist angeboten wird, und wie viel diese kostet, ist zurzeit nicht bekannt. Es gibt also klare finanzielle Interessen, die für ein kostenloses Update sprechen.

Hinzu kommt, dass Microsoft seine Betriebssysteme nicht bis in alle Ewigkeit weiter entwickelt. Für jedes System gibt es einen Lebenszyklus, der limitiert ist. Für Windows 7 endete der sogenannte „mainstream support“, also die Zeit, in der Microsoft noch Verbesserungen und Erweiterungen wie z.B. ServicePacks für das Betriebssystem entwickelt, bereits am 13. Januar 2015.

Als „extended support“ bezeichnet Microsoft den darüber hinausgehenden Zeitraum, in dem Sicherheitsupdates zur Verfügung gestellt werden. Dieser Zeitraum endet am 14. Januar 2020. Spätestens ab diesem Datum ist Windows 7 für Unternehmen nicht mehr einsetzbar, da es ein großes Sicherheitsrisiko darstellt.

Bei Windows 10 existiert der „mainstream support“ noch bis zum 13. Oktober 2020 und der „extended support“ bis zum 14. Oktober 2025. Mit einem Update auf Windows 10 wird also die bestehende Lizenz faktisch aufgewertet und der Support deutlich erweitert.

Hinzu kommen neue Technologien, die mit Windows 10 eingeführt wurden und die Arbeit deutlich erleichtern. Aber dazu gibt es hunderte von Artikeln und Youtube-Videos.

Es gibt nun also einige Fakten, die für einen Wechsel zu Windows 10 sprechen. Allerdings sollte man diesen Wechsel nicht unüberlegt und unvorbereitet durchführen. Vorab sollte unbedingt geklärt werden, ob meine Software denn unter Windows 10 überhaupt noch lauffähig ist.

Leider gibt es viele Hersteller von Branchensoftware, die den Wechsel zu Windows 10 regelrecht verschlafen haben. Im Bereich der Dental-Medizin seien als Beispiel nur mal die Hersteller von Röntgensoftware angesprochen, die ihren Kunden hundertfältig das kostenlose Update unmöglich machen, da sie bis heute ihre aktuellen Versionen nicht für Windows 10 freigegeben haben – und wer möchte schon verantworten, wenn ein Zahnarzt keine Röntgenbilder mehr anschauen kann? Da verzichten die Praxen lieber auf das kostenlose Windows 10 Update. Aber auch Unternehmen sollten unbedingt prüfen, ob die eingesetzte Branchensoftware auch unter Windows 10 läuft.

Und auch die Hersteller von Hardware haben noch nicht alle ihre Treiber für Windows 10 tauglich gemacht. Wer also seinen Drucker oder sein Kartenlesegerät auch nach dem Update nutzen möchte, sollte im Vorfeld auf der Webseite des Herstellers prüfen, ob es denn Windows 10 Treiber für das Gerät gibt.

Wenn dann alle Programme und Geräte positiv geprüft wurden, sollte man vor dem Update in jedem Fall einen Wiederherstellungsdatenträger oder direkt ein Image des alten Systems erstellen. Denn auch ein Update auf Windows 10 kann schief gehen, und wenn man Pech hat, läuft das System am Ende gar nicht mehr. Und für den Fall, dass man das Update doch bereut, gibt es zwar eine „Rückgängig“-Funktion. Diese hat allerdings bei einem unserer Kunden auch zu einem nicht mehr funktionierenden System geführt, welches vollständig neu installiert werden musste. Gut, wenn man dann ein Backup hat.

Gern unterstützen wir Sie bei ihrer Umstellung auf Windows 10. Vereinbaren Sie einen Termin mit uns für ein kostenloses Beratungsgespräch.

Warum Warten? Vorteile von Wartungs- und Serviceverträgen

Diese Frage steht oft im Raum, wenn wir einem Kunden einen Wartungs- oder Servicevertrag anbieten: „Wofür benötige ich einen Wartungsvertrag?“

In diesem Blog-Artikel gehen wir in aller Kürze auf die Vorteile solcher vertraglichen Vereinbarungen für den Kunden ein.

Die Vorteile für den IT-Dienstleister liegen klar auf der Hand: Mit einem Wartungs- oder Servicevertrag wächst sowohl die zeitliche als auch die finanzielle Planungssicherheit. Aber welche Vorteile hat der Kunde davon?

Generell gewinnt der Kunde ein großes Maß an finanzieller und unternehmerischer Sicherheit. Üblicherweise wird in solchen Verträgen festgelegt, welche Aufgaben ein Dienstleister in welchem Zeitraum zu erfüllen hat. Dabei  geht es zum einen um regelmäßige Wartungsintervalle aber auch um Reaktionszeiten im Fall einer technischen Störung. Je nach Vertrag wird oft auch ein Zeitkontingent festgelegt, welches mit der vereinbarten Wartungs- oder Servicepauschale abgegolten ist.

Im Klartext bedeutet dies:
Der Kunde gewinnt unternehmerische Sicherheit, weil der Dienstleister innerhalb von fest definierten Reaktionszeiten (SLA = Service Layer Agreement) auf Probleme oder Anfragen reagieren und per Fernwartung oder vor Ort eingreifen muss. Für den Fall, dass der Dienstleister diese Reaktionszeiten nicht einhält, wird im Vertrag eine Vertragsstrafe definiert.

Außerdem wird durch regelmäßige Wartung der Hard- und Software die Ausfallswahrscheinlichkeit stark reduziert – aber dazu später mehr.

Finanzielle Sicherheit gewinnt der Kunde durch die feste Vereinbarung einer Wartungspauschale und aller damit abgegoltenen Tätigkeiten. Außerdem wird üblicherweise festgelegt, welche Kosten bei Tätigkeiten entstehen, die über die vereinbarten Tätigkeiten hinausgehen.

So beinhalten unsere Wartungsverträge normalerweise ein Zeitkontingent, welches mit der Wartungspauschale abgegolten ist. Innerhalb dieses Zeitkontingents ist ein Eingriff für den Kunden kostenlos, je nach Vereinbarung fallen Anfahrtsgebühren an. Wenn das Zeitkontingent ausgeschöpft ist, berechnen wir dem Kunden für alle weiteren Arbeiten einen im Vertrag definierten, rabattierten Stundensatz.

Somit werden die IT-Kosten für den Kunden planbar, was ein Mehr an finanzieller Sicherheit bedeutet.

 

Regelmäßige Wartung – was bringt das?

Wie bereits erwähnt, sinkt durch eine regelmäßige Hard- und Softwarewartung die Ausfallwahrscheinlichkeit. Bei einer Wartung wird das Gerät nicht einfach äußerlich mittels speziellem antistatischen Staubtuch von Staub befreit. Natürlich gehört eine oberflächliche Reinigung im Bedarfsfall auch dazu, aber viel wichtiger ist das, was sich im Gerät abspielt. Bei einer Wartung überprüfen wir vor allem die Log-Dateien des Betriebssystems auf etwaige Probleme, überprüfen Sicherheitseinstellungen und Sicherheitssoftware, installieren notwendige Updates nach vorherigem Test, überprüfen das Backup und bereinigen bei Bedarf die Festplatte(n). Das genaue Ausmaß hängt von den genutzten Diensten ab und wird im Wartungsvertrag definiert.

Insbesondere die Prüfung der Log-Dateien wird oft unterschätzt, obwohl sie sehr wichtig ist. Der Ausfall von Hardware geschieht im Regelfall nämlich nicht ganz plötzlich, sondern kündigt sich oft über einen längeren Zeitraum an. So entstehen bereits vor dem Ausfall einer Festplatte oft Lese/Schreibfehler, die sich zum Ende hin häufen und in den Log-Dateien gefunden werden können. Ähnlich verhält es sich auch mit Sicherheitsproblemen. Viele Angriffe auf Firewalls und Serversysteme benötigen einen längeren Zeitraum und können im Vorfeld in den Log-Dateien erkannt und verhindert werden.

Wir hoffen, dass wir Ihnen mit diesem Artikel einen kleinen Einblick darin geben konnten, wie vorteilhaft ein Wartungs- oder Servicevertrag für den Kunden ist.

Sie haben Interesse an einem Wartung- oder Servicevertrag? Vereinbaren Sie einen Termin mit uns für ein kostenloses Beratungsgespräch.

Geld sparen mit der Microsoft Cloud und Heal:IT

Geld sparen mit der Microsoft Cloud und Heal:IT

Egal in welcher Computerzeitschrift man blättert oder welche IT-Webseite man durchforstet, überall wird über Cloud Computing gesprochen. Mal preisen die Anbieter ihre Lösungen an, mal werden die Gefahren der Wolke heraufbeschworen oder es werden Themen rund um den Datenschutz bedient.

Was leider bei vielen Artikeln nicht erwähnt wird, ist die Tatsache, dass man mit Cloud Computing oft bares Geld sparen kann – und je nach Anbieter stellt der Datenschutz gar kein so großes Risiko dar, wie es oft herbeigeredet wird.

Wie Unternehmen mit den Microsoft Cloud Diensten Geld sparen können und welche Einschränkungen dabei zu beachten sind, behandelt dieser Blog-Artikel.

In diesem und im nächsten Artikel geht es im Schwerpunkt um die beiden Cloud Dienste Office 365 und Windows Intune. Dabei erklären wir in jeweils einem Blog-Artikel für jeden der beiden Dienste separat, welche Möglichkeiten er bietet und wie man damit Geld sparen kann.

Beginnen wir mit Office 365, dem von Microsoft wohl am meisten beworbenen Cloud-Dienst. Office 365 bietet je nach gewähltem Paket folgende Dienste an:

  • Exchange Online (E-Mail Dienste inkl. Spamfilter, Kalender, Aufgaben, Kontakte)
  • Lync Online (Chat, Telefon- und Videokonferenzen)
  • Sharepoint Online (Gemeinsamer Datenspeicher, Webseite)

Um diese Dienste nutzen zu können, wäre vor Ort im Unternehmen mindestens ein Server notwendig, der die entsprechenden Lizenzen beinhaltet, sowie genügend Zugriffslizenzen für die Arbeitsplätze. Für viele kleine Unternehmen mit maximal 25 Mitarbeitern wäre eine solche Serverstruktur inklusive Wartung schlichtweg zu teuer. Daher verzichten kleine Unternehmen meist auf Lync und Sharepoint und setzen höchstens zusätzlich zu einem Fileserver (respektive NAS) noch Exchange ein, um zumindest gemeinsam auf Kalender und E-Mails zugreifen zu können.

Wie wäre es, wenn Sie von jedem Ort auf der Welt aus auf Ihre E-Mails, ihren Kalender und Ihre Dateien über eine Internetverbindung zugreifen und mit Ihren Kollegen per Videokonferenz über die Inhalte sprechen könnten? Und das zu einem Preis, der deutlich unter dem eines eigenen Servers liegt!

Office 365 kostet im günstigen Plan P1 pro Benutzer nur € 4,90 im Monat. Damit wäre ein Unternehmen mit 15 Mitarbeitern bei monatlichen Kosten von € 73,50. Wie viele Monate können Sie zu diesen Konditionen arbeiten, bis Sie die Kosten für einen entsprechenden Server mit Exchange, Sharepoint und Lync Lizenz sowie 15 Zugriffslizenzen (CALs) inklusive Wartung generiert haben?

Nun, allein die Exchange Server 2010 Standard Lizenz inkl. 5 CALs kostet ca. € 750,- weitere 5 CALs ca. € 350,-. Damit wären wir allein für die entsprechenden Exchange Lizenzen bei einer Investitionssumme von € 1450,-. Hinzu kommen je nach Bedarf im günstigsten Fall noch einmal ähnlich hohe Hardwarekosten für einen Server, der selbst bei einer redundanten Auslegung niemals die Hochverfügbarkeit der MS Cloud gewährleisten könnte.

Die Sharepoint Server 2010 Standard Lizenz kostet über € 5000,- zzgl. CALs… wir müssen spätestens jetzt nicht weiter auf die Kosten für eine eigene Serverstruktur im Unternehmen (on-premise) eingehen um zu verdeutlichen, wie günstig Office 365 für Ihr Unternehmen ist!

Einschränkungen bezüglich des Datenschutzes gibt es bei der Microsoft Cloud eigentlich nicht, denn Microsoft unterliegt den Datenschutzgesetzen. Außerdem werden seitens Microsoft keine Daten verarbeitet, da Microsoft nur eine Infrastruktur zur Verfügung stellt, aber selbst gemäß Datenschutzerklärung keinen Einblick in die Daten nimmt.

Dennoch sind zwei Punkte zu beachten:

  1. Microsoft hat eingeräumt, daß sie durch ihren in den USA ansässigen Mutterkonzern dem Patriot Act unterstehen und entsprechend amerikanischen Sicherheitsbehörden Zugriff ermöglichen müssen. Sollten Sie also mit Daten arbeiten, die den US Sicherheitsbehörden niemals zugänglich sein dürfen, ist  von der Nutzung der Cloud-Dienste von US-Anbietern abzuraten.
  2. Ärzte, Rechtsanwälte, Steuerberater sowie alle anderen, die gemäß §203 StGb einer Verschwiegenheitspflicht unterliegen, müssen genau prüfen, welche Daten wie in der Cloud abgelegt werden und ob dies unter §203 StGb fällt. Gern vermitteln wir für eine solche juristische Überprüfung einen sachkundigen Fachanwalt.

Übrigens können Sie bei Office 365 per „delegated administration“ Heal:IT mit der Konfiguration und Wartung von Office 365 beauftragen. Gern beraten wir Sie persönlich zu den verschiedenen Abo-Plänen von Office 365 und erstellen Ihnen ein individuelles Angebot für Einrichtung und Wartung. Nehmen Sie noch heute Kontakt mit uns auf!

In Kürze erscheint hier der Link zum Windows Intune Artikel!

5 Dinge die Sie tun müssen, damit Ihre Umstellung auf Office 2010 definitiv schief geht

Die folgenden 5 Dinge müssen Sie tun, damit Ihre Umstellung auf Office 2010 definitiv schief geht:

1. Unterschätzen Sie die Komplexität
Mal ehrlich, so kompliziert kann eine solche Umstellung doch nicht sein. Natürlich sieht Office 2010 etwas anders aus als 2003, aber die Kernfunktionen sind doch die gleichen: Texte schreiben, Tabellen ausfüllen, Präsentationen abspielen und Mails lesen.
So sehr können sich diese einfachen Arbeiten in Office 2010 wirklich nicht vom Vorgänger unterscheiden und mehr als diese einfachen Aufgaben müssen Ihre Mitarbeiter eh nicht damit tun.

2. Überschätzen Sie Ihre Mitarbeiter
Ihre Mitarbeiter sind nicht dumm, schließlich arbeiten sie für Sie! Eine neue Software bedeutet zwar eine gewisse Veränderung, aber Ihre Mitarbeiter werden sich da schon reinfuchsen. Hat ja beim Vorgänger auch funktioniert. Schulungen oder Unterstützung durch Fachleute sind absolut nicht notwendig und werden überbewertet.

3. Warten Sie bis zum letzten Augenblick
Kein Stress! Lassen Sie sich Zeit mit der Umstellung! Erst im April 2014 endet der Support von Microsoft für Office 2003. Sie werden garantiert auch kurz vorher noch Techniker für die Umstellung finden, falls Sie überhaupt welche brauchen. Und mal unter uns: Office 2003 wird auch danach noch laufen, es gibt halt nur keine Sicherheitsupdates mehr. Aber die haben Sie doch eh nie installiert.

4. Machen Sie es selbst
Überhaupt, was soll das mit dem Techniker? Sie lesen doch immer Computerzeitungen und installieren auch selbst die auf CD mitgelieferten Progrämmchen. Da wird es Ihnen ein Leichtes sein, Office 2010 an den Arbeitsplätzen Ihrer Mitarbeiter zum Laufen zu bringen. Oder noch besser: geben Sie Ihren Mitarbeitern einfach die CD und lassen sie die Installation selbst durchführen. Dann bekommen sie gleich ein besseres Gefühl für das neue Programm!

5. Nehmen Sie die günstigste Variante
Hey, Lizenzen sind teuer! Kaufen Sie deshalb einfach die günstigste Lizenz für Office 2010. Ist vielleicht nicht alles dabei, aber Ihre Mitarbeiter haben die Software doch eh nie ausgereizt. Und wenn Sie dann feststellen, daß etwas fehlt kaufen Sie es einfach nach… oder benutzen einfach irgendeine kostenlose Software für diese Aufgabe, davon gibt’s schließlich genug im Internet.

Wir versprechen Ihnen: Wenn Sie diese 5 Vorgaben beherzigen wird Ihre Umstellung auf Office 2010 unter Garantie schief gehen!

Sollten Sie jedoch wiedererwartend an auf einer problemlosen Umstellung interessiert sein, kontaktieren Sie uns für ein kostenloses Beratungsgespräch: http://www.healit.biz/kontakt

Gut vorbereitet auf das Ende von Office 2003

In unserem letzten Blog-Artikel sind wir darauf eingegangen, dass der Support für Windows XP im April 2014 auslaufen wird. Gleichzeitig endet auch der Support für Office 2003, welches noch in vielen Unternehmen eingesetzt wird. Warum Sie bereits jetzt den Wechsel auf Office 2010 in Angriff nehmen sollten und worauf Sie dabei achten müssen, erläutern wir in diesem Blog-Artikel.

Würde es ein IT-Wort des Jahres geben, in 2013 wäre es vermutlich der Fachbegriff „Migration“. Als Migration bezeichnet man in der IT den Wechsel auf eine neue Technologie, meist mit Übernahme der Daten aus dem Altsystem.
2013 wird das Jahr der Migrationen, denn im Frühjahr 2014 läuft gleich der Support für zwei sehr oft verwendete und weit verbreitete Systeme aus: Windows XP und Microsoft Office 2003. Da viele Firmen die Migration auf neuere Technologien gern bis zum letzten Moment aufschieben, rechnen wir mit einer Großzahl an Migrationsprojekten in deutschen Firmen im Jahr 2013.

Dabei wird es unweigerlich zu Engpässen kommen, denn selbst große Unternehmen haben selten IT-Trainer fest angestellt, sondern buchen diese bei externen Schulungsdienstleitern. Gleichzeitig wird oft versäumt, die eigenen IT-Mitarbeiter früh genug auf die neuen Systeme zu schulen, sodass auch für die Planung und Durchführung von Migrationsprojekten auf externe Dienstleister zurückgegriffen werden muss. Da die Anzahl der fachkompetenten Dienstleister in Deutschland jedoch endlich ist, wird es zu den oben erwähnten Engpässen kommen und so manches Migrationsprojekt wird entweder verspätet enden oder nur unter immensem finanziellen Mehraufwand rechtzeitig beendet werden können.

Mancher Leser wird sich vielleicht fragen, was am Wechsel von Office 2003 zu Office 2010 so kompliziert ist, dass ein externer Dienstleister benötigt wird. Nun, zum einen ist insbesondere bei Office 2010 die Funktionalität massiv erweitert und die Oberfläche grundlegend verändert worden und setzt damit für eine gelungene Migration tiefgehendes Fachwissen voraus. Zum anderen besteht ein Migrationsprojekt aus vielen verschiedenen Schritten, die geplant, durchgeführt und überwacht werden müssen. Unter anderem sind folgende Schritte absolut notwendig:
– Budgetierung
– Korrekte Lizensierung
– Schulung der IT-Mitarbeiter
– Schulung der Benutzer
– Verteilung der Software
– Entfernung der Alt-Software
– Benutzersupport

Bei all diesen Schritten kann Sie ein kompetenter IT-Dienstleister fachgerecht unterstützen. Wenn Sie die Planung Ihres Migrationsprojektes noch in 2012 beginnen, werden Sie die Migration deutlich kostengünstiger durchführen können, als bei Beginn der Planungen Ende 2013.

Bei der Wahl des IT-Dienstleisters sollten Sie darauf achten, dass dieser seine Fachkompetenz in Form von Zertifizierungen unter Beweis gestellt hat. Heal:IT ist von Microsoft als Small Business Specialist zertifiziert und hat bereits erfolgreich mehrere Migrationsprojekte betreut, sowie Mitarbeiter aus unterschiedlichsten Branchen auf Windows 7 und Office 2010 geschult.

Nehmen Sie heute Kontakt mit uns auf, um frühzeitig mit der Planung Ihrer Migrationsprojekte zu beginnen.

Das sichere Ende von Windows XP

Das Ende von Windows XP naht. Microsoft beendet den erweiterten Support für Windows XP am 8. April 2014. Danach gibt es keine weiteren Sicherheitsupdates mehr für das bei Unternehmen beliebte Betriebssystem. Seit seiner Veröffentlichung 2002 hat Windows XP 3 Servicepacks erlebt und wird nun, nach 12 Jahren Dienst, endgültig ausrangiert.

Aber welche Bedeutung hat diese Entwicklung für Ihr Unternehmen oder Ihre Praxis? Werden Ihre Lizenzen ungültig oder „dürfen“ Sie Windows XP weiter verwenden?

Nun, die Lizenzen bleiben natürlich bestehen und theoretisch können Sie Windows XP durchaus weiterhin einsetzen, allerdings würde Ihnen im Normalfall jeder kompetente IT-Dienstleister dringend davon abraten. Denn eine weitere Nutzung von Windows XP über den Support-Zeitraum hinaus würde die Sicherheit Ihrer Unternehmens- und Kundendaten massiv gefährden, ganz zu schweigen von Patientendaten in Arzt- oder Therapiepraxen.

Um dies nachvollziehen zu können muß man wissen, was der „Extended Support“ von Microsoft eigentlich bedeutet bzw. beinhaltet.

Grundsätzlich gibt es im Microsoft Support Lifecycle drei verschiedene Phasen des Supports, die Mainstream Support Phase,  die Extended Support Phase und den Self Help Online Support.

Grob gesagt beinhaltet der Mainstream Support auch die Möglichkeit zur Designänderung und Erweiterung des Funktionsumfangs sowie teilweise kostenlosen telefonischen Support bei Fragen und Problemen durch die Microsoft Hotline. In der Extended Support Phase ist nur noch ein kostenpflichtiger Support möglich und es werden im Normalfall nur noch Sicherheitsupdates veröffentlicht, das Design oder der Funktionsumfang werden jedoch nicht mehr verändert bzw. erweitert.
Der Self Help Online Support beinhaltet nur die Möglichkeit, online auf der Microsoft Webseite nach Problemlösungen zu suchen.
Eine Übersicht von Microsoft finden sie hier: http://support.microsoft.com/lifecycle/?LN=de

Der Mainstream Support für Windows XP endete bereits am 14. April 2009, seitdem werden von Microsoft „nur“ noch Sicherheitsupdates kostenlos im Rahmen des Extended Support zur Verfügung gestellt. (Quelle: http://support.microsoft.com/lifecycle/?p1=3223)

Das Wort „nur“ steht bewusst in Anführungszeichen, denn die Sicherheitsupdates sind sehr wichtig für die Sicherheit Ihrer Systeme. Viele Menschen glauben, ein Virenscanner und eine Personal Firewall Software seien die wichtigsten Schutzmechanismen vor Viren und gezielten Angriffen, doch dies trifft nur bedingt zu. Virenscanner und Firewall-Lösungen können nur dann die Sicherheit Ihres Systems erhöhen, wenn das System auf dem neuesten Stand ist und alle bekannten Sicherheitslöcher im Betriebssystem gestopft wurden.

Einen Virenscanner und eine Firewall auf einem nicht aktuellen System zu nutzen, ist, als hätten Sie eine hochsichere Haustür und zusätzlich einen scharfen Wachhund im Vorgarten angeleint, aber die Hintertür zum öffentlichen Park stünde immer offen.

Deshalb: unterschätzen Sie nicht die Wichtigkeit von Windows Sicherheitsupdates! Diese Updates sind für die Sicherheit Ihrer Systeme absolut notwendig.

Mit dem 8. April 2014 werden die Updates für Windows XP eingestellt. Deshalb sollten Sie frühzeitig den Wechsel auf ein aktuelles Betriebssystem planen und umsetzen. Insbesondere Windows 7 bietet neben dem bestehenden Support durch Microsoft auch viele neue Sicherheitsfunktionen sowie Erleichterungen für den Arbeitsalltag.

Als zertifizierter Microsoft Partner haben wir sowohl das Know-How als auch die Erfahrung um Sie in Ihrem Migrationsprojekt zu unterstützen oder die Umstellung komplett für Sie durchzuführen. Von der Klärung der Lizenzfragen, über die Schulung Ihrer Mitarbeiter bis zur Installation der neuen Systeme (Stichwort: Deployment) und Betreuung Ihrer Mitarbeiter ist Heal:IT Ihr kompetenter Ansprechpartner. Nehmen Sie noch heute mit uns Kontakt auf, um Ihr Migrationsprojekt so früh wie möglich zu planen und durchzuführen.

Übrigens: Wenn Sie uns mit der Wartung Ihrer Systeme (inkl. Fernwartung und Überwachung der Sicherheitsupdates) mit Windows Intune beauftragen, bekommen Sie die Lizenz für Windows 7 Enterprise von Microsoft kostenlos zur Verfügung gestellt.
Näheres hierzu finden Sie in unserem Blog-Artikel: Windows Intune: Mehr Sicherheit bei weniger Kosten

Teil 3 Artikel-Serie: BSI-Leitfaden review

Herzlich Willkommen zum dritten Teil der Artikelserie “BSI-Leitfaden review”

Falls Sie die anderen Teile der Artikelserie noch nicht gelesen haben finden Sie hier den ersten und hier den zweiten Teil.
Den Original-Artikel vom BSI, auf den sich diese Artikelserie bezieht, finden Sie hier.

Wurde der Windows Scripting Host reglementiert?

  • Wurde die Ausführung von Skripten generell mittels des neu anzulegenden Registry-Schlüssels Enabled vom Typ REG_DWORD unter HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Script Host \ Settings und Zuweisung des Werts null unterbunden? – oder –
  • Wurde die Ausführung von Scripten erlaubt und nur für signierte Scripte mittels des neu anzulegenden Registry-Schlüssels TrustPolicy als Typ REG_DWORD unter HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Script Host und Zuwei-sung des Werts zwei zugelassen? – oder –
  • Wurde die Ausführung von Scripten erlaubt und nur lokal durch das Verhindern der Remote-Ausführung mittels des neu anzulegenden Registry-Schlüssels Remote als Typ REG_DWORD unter HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Script Host \ Settings und Zuweisung des Werts null zugelassen?

Windows Script Host (WDH) stellt ein Administrations Tool dar, welches nur gezielt durch den Administrator benutzt werden sollte. Wenn Sie für die Administration Ihres Systems den WDH nicht nutzen wollen, sollten Sie ihn deaktivieren. Wenn Sie WDH verwenden, sollten Sie die Zugriffsmöglichkeiten so weit wie möglich einschränken.


Wesentliche Sicherheitsmaßnahmen

Die folgenden Maßnahmen des BSI gehen von einer Domänenzugehörigkeit des Clients aus.

Ist die Windows Firewall aktiv?

  • Wurde über Systemsteuerung → Wartungscenter kontrolliert, ob die Firewall nicht bei den Sicherheitsmeldungen aufgeführt ist?
  • Wurde über Systemsteuerung → Windows-Firewall → erweiterte Einstellungen → Windows-Firewalleigenschaften → Domänenprofil → Status der Firewallstatus auf Ein (empfohlen) konfiguriert?
  • Wurde über Systemsteuerung → Windows-Firewall → erweiterte Einstellungen → Windows-Firewalleigenschaften → Domänenprofil → Status der Parameter Eingehende Verbindungen auf Alle Blocken konfiguriert?
  • Wurde über Systemsteuerung → Windows-Firewall → erweiterte Einstellungen → Windows-Firewalleigenschaften → Domänenprofil → Status der Parameter Ausgehende Verbindungen auf Zulassen (Standard) konfiguriert?
  • Wurde über Systemsteuerung → Windows-Firewall → erweiterte Einstellungen → Windows-Firewalleigenschaften → Domänenprofil → Protokollierung → Anpassen die Protokollierung für verworfene Pakete durch Setzen des Parameters Verworfene Pakete protokollieren auf Ja aktiviert?
  • Wurde über Systemsteuerung → Windows-Firewall → erweiterte Einstellungen → Windows-Firewalleigenschaften für die Profile Privates Profil und Öffentliches Profil die Einstellung Alles Blocken für eingehende Verbindungen und die Protokollierung für verworfene Pakete aktiviert?

Das BSI fragt hier ab, ob der Paketfilter „Windows Firewall“ (denn mehr als ein Paketfilter ist es nicht) so eingestellt ist, wie man einen Paketfilter oft konfiguriert: Nichts darf rein, aber alles darf raus. Natürlich müssen Sie überprüfen, ob diese Konfiguration für Ihren Anwendungsfall sinnvoll ist. Wenn Sie eingehende Verbindungen auf einem bestimmten Port benötigen, müssen Sie entsprechende Ausnahmen einrichten. Wenn möglich sollten Sie bei einer Ausnahme die Quell IP-Adresse oder zumindest das Subnetz definieren, von dem auf den Port zugegriffen werden darf.

Wichtig ist, daß die grundlegenden Einstellungen für alle Profile (Privat, Öffentlich und Domäne) individuell konfiguriert werden. So kann es sein, daß bei einem Laptop ein bestimmter Port nur dann geöffnet sein soll, wenn sich der Rechner im Firmennetz befindet, nicht aber in einem öffentlichen WLAN am Flughafen.

 

Ist der Schutz vor schädlicher Software aktiv?

  • [Optional] Wurde der Windows eigene Schutz vor Spyware und anderer schädlicher Software durch Windows-Defender unter Systemsteuerung → Windows Defender aktiviert?1
  • Wurde ein Virenschutzprogramm installiert?

An dieser Stelle möchten wir Sie auf die kostenlose AV-Lösung „Security Essentials“ von Microsoft aufmerksam machen, die viele positive Kritiken bekommen hat. Bei Unternehmen empfehlen wir entweder den Schutz des Rechners mit dem Cloud-basierten Microsoft Dienst Windows Intune oder die Anschaffung von Microsofts System Center Endpoint Protection 2012.

 

Ist die Benutzerkontensteuerung aktiv?

  • Wurde unter Systemsteuerung → Benutzerkonten → Einstellungen der Benutzerkontensteuerung ändern auf die höchste Stufe (4) Immer benachrichtigen eingestellt?

Dadurch wird der Benutzer informiert sobald ein Programm versucht Software zu installieren oder Änderungen an Windows vorzunehmen. Außerdem informiert Windows den Benutzer, wenn dieser Windows Einstellungen verändert

  •  Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Bei Eingabeaufforderung für erhöhte Rechte zum sicheren Desktop wechseln auf den Wert aktiviert konfiguriert?

Diese Funktion wird hier ausführlich erklärt:
http://technet.microsoft.com/de-de/library/dd834746.aspx

  •  Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerorte virtualisieren auf den Wert aktiviert konfiguriert?

Diese Funktion wird hier ausführlich erklärt:
http://technet.microsoft.com/de-de/library/dd851895.aspx

  •  Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind auf den Wert aktiviert konfiguriert?

Diese Funktion wird hier ausführlich erklärt:
http://technet.microsoft.com/de-de/library/dd834830.aspx

  •  Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sind auf den Wert deaktiviert konfiguriert?

Diese Funktion wird hier ausführlich erklärt:
http://technet.microsoft.com/de-de/library/dd851682.aspx

  • Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: UIAccess-Anwendungen das Anfordern erhöhter Rechte ohne Verwendung des sicheren Desktop erlauben auf den Wert deaktiviert konfiguriert?

Diese Funktion wird hier ausführlich erklärt:
http://technet.microsoft.com/de-de/library/dd851479.aspx

  •  Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Verhalten der Eingabe-aufforderung für erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus auf den Wert Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop konfiguriert?

Diese Funktion wird hier ausführlich erklärt:
http://technet.microsoft.com/de-de/library/dd851609.aspx

  •  Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Verhalten der Eingabe-aufforderung für erhöhte Rechte für Standardbenutzer auf den Wert Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop konfiguriert?

Diese Funktion wird hier ausführlich erklärt:
http://technet.microsoft.com/de-de/library/dd851602.aspx

 

Wurden die Einstellungen unter Systemsteuerung → Netzwerk- und Freigabecenter → Erweiterte Freigabeeinstellungen ändern für das Netzwerkprofil Privat oder Arbeitsplatz (nicht das aktive Profil Öffentlich) angepasst? (Diese Einstellungen sind Voraussetzung zum Schutz des PC-Clients während der weiteren Konfiguration und als Vorstufe des nach der Einbindung in die Domäne neu hinzugekommenen Netzwerkprofils „Domänenprofil“ zu sehen.)

  • Wurde die Netzwerkerkennung ausgeschaltet?
  • Wurde die Datei- und Druckerfreigabe deaktiviert?
  • Wurde die Freigabe des öffentlichen Ordners deaktiviert?
  • Wurde für Dateifreigabeverbindungen die 128-bit Verschlüsselung aktiviert?
  • Wurde Kennwortgeschützes Freigeben eingeschaltet?
  • Wurde für Heimnetzgruppen-Verbindungen die Option Benutzerkonten und Kennwörter zum Herstellen von Verbindungen mit anderen Computern verwenden aktiviert?

Bei dieser Frage wird davon ausgegangen, daß noch kein Domain-Join stattgefunden hat und die bis dahin vorhandenen Profile angepasst werden sollten. Wenn Sie Rechner nur in einer Domäne betreiben ist dies nicht notwendig, es sei denn, es handelt sich um ein tragbares Gerät.

 

Wurden die Einstellungen für den bei der Installation angelegten Netzwerkadapter über Systemsteuerung → Netzwerk- und Freigabecenter → Adaptereinstellungen ändern angepasst?

  • Wurde der Client für Microsoft Netzwerke aktiviert?
  • Wurde der QoS-Paketplaner deaktiviert?
  • Wurde die Datei- und Druckerfreigabe für Microsoft Netzwerke deaktiviert?
  • Wurde das Internetprotokoll Version 4 (TCP/IPv4) aktiviert?
  • [Optional] Wurde bei ausschließlicher Nutzung von TCP/IPv4 das Internetprotokoll Version 6 (TCP/IPv6) deaktiviert?2
  • Wurde der E/A-Treiber für Verbindungsschicht-Topologieerkennung deaktiviert?
  • Wurde Antwort für Verbindungsschicht-Topologieerkennung deaktiviert?

Wichtig: Hier muß man genau wissen, was man tut und darf auf keinen Fall blind den Vorgaben des BSI folgen.

Es ist zwar zu einem gewissen Grad nachvollziehbar, daß man in einem Nicht-Domain Netz eventuell die Datei- und Druckerfreigabe deaktivieren will, aber es gibt durchaus Gründe dies nicht zu tun. Es hängt von den jeweiligen Umständen ab.

Auch ist nicht schlüssig, warum empfohlen wird den QoS-Planer zu deaktivieren. Probleme hiermit sind uns nicht bekannt und grundsätzlich macht es durchaus Sinn, QoS in komplexen Netzwerken zu betreiben, wobei komplexe Netzwerke meist eine Domänenstruktur haben wodurch die Einstellungen an dieser Stelle sowieso nicht greifen.

Nur weil man sich in einem Netzwerk befindet in dem IPv6 genutzt wird, heißt das noch lange nicht, daß man IPv4 ausschalten sollte. Vorher muß unbedingt geklärt werden, ob es ggf. noch alte Komponenten gibt, die nur IPv4 sprechen, z.Bsp. Drucker oder branchentypische Hardware.
LLDP (Verbindungsschicht-Topologieerkennung) kann unter Umständen zu Netzwerkproblemen führen und sollte deaktiviert werden, wenn es nicht zur Administration genutzt wird.

 

Wurde über Systemsteuerung → System → Erweiterte Systemeigenschaften → Remote die Einstellungen für Remote-Verbindungen angepasst?

  • Wurde die Einstellung für Remote-Desktop Verbindungen nur von Computern zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird (höhere Sicherheit) aktiviert?
  • Wurden berechtigte Benutzer über Systemsteuerung → System → Erweiterte Systemeigenschaften → Remote → Benutzer auswählen in die Liste aufgenommen?

An dieser Stelle erscheint es etwas willkürlich, daß laut BSI die Datei- und Druckerfreigabe komplett deaktiviert werden soll, Remotedesktop jedoch nicht.

Remotedesktop sollte natürlich nur dann aktiviert bleiben, wenn es im Unternehmen überhaupt genutzt wird. Falls Sie beispielsweise Teamviewer oder LanDesk für die Fernwartung einsetzen, sollten Sie Remotedesktop so einstellen, daß keine Verbindungen angenommen werden.

Falls Sie Remotedesktop nutzen möchten, sollte die Liste der User mit Remotedesktop-Rechten so klein wie möglich gehalten werden.

 

Wurden über den neu anzulegenden Registry-Schlüssel DisabledComponents als Typ REG_DWORD unter HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip6 \ Parameters ungewünschte IPv6-Tunnel deaktiviert?

  • Wurde der Wert auf 0x1 gesetzt, um alle Tunnel zu deaktivieren? – oder –
  • [Optional] Wurde der Wert auf 0xFF gesetzt, um IPv6 vollständig zu deaktivieren?

Diese Einstellung macht in einem reinen IPv4-Netz Sinn. Dadurch wird verhindert, daß IPv6-Traffic als IPv4-Traffic „getarnt“ im Netz unterwegs ist und ggf. Firewall-Regeln umgeht.

Bald kommt Teil 4 dieser Serie!

Teil 2 Artikel-Serie: BSI-Leitfaden review

Herzlich Willkommen zum zweiten Teil der Artikelserie „BSI-Leitfaden review“

Falls Sie den ersten Teil der Artikelserie noch nicht gelesen haben finden Sie diesen hier.
Den Original-Artikel vom BSI, auf den sich diese Artikelserie bezieht, finden Sie hier.

 

Windows Standardprogramme reglementieren

Wurden die benötigten Anwendungen installiert und diese als Standardprogramme festgelegt?
Die Ausführung von Programmen in einem Unternehmensnetzwerk zu reglementieren macht durchaus Sinn, insbesondere wenn es sich um Programme handelt, mit denen man eine Kommunikation nach außen (z.B. Mail oder Messenger) aufbauen kann… oder einfach nur um das Spielen am Arbeitsplatz zu unterbinden.

  • Wurden nicht benötigte Windows Standardprogramme reglementiert?
    Wurden diese Programme durch Aufnahme der jeweiligen ausführbaren Dateien in die Blacklist (Liste der nicht zugelassenen Anwendungen) unter der Gruppenrichtlinie Benut-zerkonfiguration | Administrative Vorlagen | System | Angegebene Windows-Anwendun-gen nicht ausführen von der Ausführung ausgeschlossen? – oder –

    Hier stellt sich die Frage, ob eine entsprechende Reglementierung der Standard-Software bereits per Blacklist in einer Gruppenrichtlinie im Active Directory oder lokal vorgenommen wurde. Im Umkehrschluss bedeutet dies, dass alle nicht aufgeführten Anwendungen ausgeführt werden dürfen.

 

  • Wurden diese Programme durch die entsprechende Gruppenrichtlinie unter Benutzerkonfi-guration | Administrative Vorlagen | Windows -Komponenten | <Anwendung> von der Ausführung ausgeschlossen? – oder –

    Hier stellt sich die Frage, ob eine entsprechende Reglementierung der Windows-Komponenten bereits per Blacklist in einer Gruppenrichtlinie im Active Directory oder lokal vorgenommen wurde. Im Umkehrschluss bedeutet dies, dass alle nicht aufgeführten Windows-Komponenten ausgeführt werden dürfen.

 

  • Werden nur explizit zugelassene Windows-Anwendungen in eine Whitelist (Liste der zugelassenen Windows-Anwendungen) über die Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | System | Nur zugelassene Windows-Anwendungen ausführen aufgenommen? – oder –

    Hier stellt sich die Frage, ob eine entsprechende Reglementierung der zugelassenen Anwendungen bereits per Whitelist in einer Gruppenrichtlinie im Active Directory oder lokal vorgenommen wurde. Im Umkehrschluss bedeutet dies, dass alle nicht aufgeführten Anwendungen auch nicht ausgeführt werden dürfen.

 

  • Wurden diese Programme durch die Verwendung von AppLocker von der Ausführung ausgeschlossen?

    AppLocker ist ein komplexes Tool zur Steuerung von Anwendungen. Es näher zu beschreiben sprengt den Rahmen dieses Artikels. Wer mehr dazu wissen soll findet Informationen auf folgender Technet-Seite:
    http://technet.microsoft.com/de-de/library/dd548340(v=WS.10).aspx


Wurde die Reglementierung von Windows Standardprogrammen mindestens für die folgenden Programme durchgeführt?

  • Windows Kalender
  • Windows Mail
  • Windows Media Center
  • Windows Messenger
  • Windows Slideshow
  • Windows Media Player

Bei den aufgezählten Anwendungen handelt es sich um Programme, die vornehmlich dem Consumer-Bereich zugeteilt werden. Vermutlich schlägt das BSI daher die Reglementierung dieser Programme vor. Aus der Realität vieler Unternehmen wissen wir, dass einige dieser Programme durchaus produktiv eingesetzt werden, z.B. der Messenger für kurze (dienstliche) Unterhaltungen für die man nicht per Telefon stören will. Oder der Media Player mit dem ein Video vom Kunden abgespielt wird.
Auf der anderen Seite sollten beispielsweise Kalender und Mail beim gleichzeitigen Einsatz von MS Outlook auf jeden Fall reglementiert werden, da es sonst zur Doppelnutzung und Irritationen kommen kann.


Wurde die Ausführung von Windows Desktop-Minianwendungen reglementiert?

  • Wurde die Ausführung durch Setzen der Gruppenrichtlinie Computerkonfiguration | Ad-ministrative Vorlagen | Windows Komponenten | Desktopminianwendungen | Desktopmi-nianwendungen deaktivieren verhindert? – oder –
  • Wurde die Ausführung von Minianwendungen erlaubt und nur das Hinzufügen neuer Minianwendungen durch den Benutzer durch Konfigurieren der Gruppenrichtlinie Com-puterkonfiguration | Administrative Vorlagen | Windows Komponenten | Desktopminian-wendungen | Entpacken und Installieren von Minianwendungen, die nicht digital signiert sind, einschränken verhindert?

Wenn Sie die Nutzung von Desktop-Minianwendungen erlauben wollen, weil Sie beispielsweise Ihren Anwendern einige wirklich nützliche Anwendungen zur Verfügung stellen wollen, dann sollten auf jeden Fall erwägen, die Installation neuer Minianwendungen zu unterbinden. Bedenken Sie immer: mehr Software bedeutet mehr potenzielle Sicherheitslücken.

 

Teil 3 dieser Serie finden Sie hier.

Windows Intune: Mehr Sicherheit bei weniger Kosten

In diesem Blog-Eintrag möchten wir Sie auf die genialen Möglichkeiten des Microsoft Cloud Dienstes Windows Intune aufmerksam machen.

Wenn der Begriff „Cloud“ fällt, klingeln bei vielen Lesern die Alarmglocken. Immer wieder wird in den Medien davor gewarnt, sensible Unternehmens- oder gar Patientendaten in der Cloud abzulegen. Wie soll da ein Cloud-Dienst in der Lage sein, die Sicherheit meiner IT zu erhöhen und, wie im Titel versprochen, gleichzeitig kosten reduzieren?

Nun, wir reden hier nicht über die vielen Cloud Services, die Ihnen Speicherplatz oder E-Mail Dienste im Internet anbieten.

Es geht viel mehr um eine Software, die Ihre PCs auf verschiedenen Ebenen schützt und über die Cloud von einem zertifizierten Microsoft Partner, wie Heal:IT, administriert wird. Diese Software heißt Windows Intune und bietet Ihnen eine Reihe von Features in einem monatlichen Abo.

Was beinhaltet Windows Intune?

  • Schützen der PCs vor Malware
    Mit Windows Intune Endpoint Protection sichern Sie Ihre PCs gegen die neuesten Bedrohungen
  • Verwalten von Updates
    Über die Windows Intune Konsole verwalten Sie die Bereitstellung von Microsoft Updates und -Servicepacks zentral für alle oder einzelne PCs.
  • Proaktive Überwachung der PCs
    Warnungen zu Updates, Bedrohungen oder ausgefallenen PCs richten Sie ganz einfach ein und werden automatisch informiert.
  • Einrichten von Sicherheitsrichtlinien
    Sie verwalten Update-, Firewall- und Malware-Einstellungen für alle PCs inklusive der Remotecomputer außerhalb des Unternehmensnetzwerkes.
  • Nutzung der Sicherheitsvorteile von Windows 7 Enterprise
    Mit dem Abonnement erhalten Sie das Recht, ein Windows Professionell Betriebssystem auf Windows 7 Enterprise upzugrade. Schützen Sie vertrauliche Daten durch BitLocker® und Bitlocker To Go von Windows 7 Enterprise
  • Remoteinstallation von Software
    Sie stellen über die Cloud den größten teil der Software von Microsoft (z.B. Office 2010) sowie viele Anwendungen von Drittanbietern auf Ihren PCs an nahezu jedem Standort bereit.
  • Mehr Kontrolle über Remote-PCs
    Stoßen Sie bei Bedarf remote Malware-Scans an, und erzwingen Sie Neustarts oder Updates der Malware-Definitionsdaten.
  • Bereitstellung einer Remoteunterstützung
    Bieten Sie Ihren Benutzern, unabhängig von ihrem Standort, eine Remoteunterstützung zur Lösung dringender PC-Probleme an.
  • Hard- und Softwareinventar
    Schaffen Sie sich mit Windows Intune eine effizientere Möglichkeit zur Verwaltung der gesamten Hard- und Software.
  • Mehr Einblick durch Reporting
    Generieren und speichern Sie Berichte zu Updates, Software, Hardware und Lizenzen. Importieren Sie diese Daten zur weiteren Analyse in Microsoft Excel®.
  • Verwaltung Ihrer Lizenzen
    Verwalten Sie Microsoft-Volumenlizenzvereinbarungen und andere Lizenzvereinbarungen. Überwachen Sie, wie viele Lizenzen Sie erworben haben und wie viele Lizenzen Sie einsetzen.
  • Standardisierung auf die gewünschte Windows-Version
    Sie würden lieber eine ältere Betriebssystemversion einsetzen? Standardisieren Sie Ihre PC-Umgebung auf eine Windows-Version Ihrer Wahl: Windows 7 Enterprise, Windows Vista oder sogar Windows XP. Ihnen stehen trotzdem jederzeit die vollen Upgraderechte für zukünftige Windows-Versionen zur Verfügung. Somit müssen Sie sich keine Gedanken über den Kauf von Updatelizenzen machen.

Was kostet Windows Intune?

Ein Windows Intune Abo kostet im Monat € 11. Pro PC muss ein Abo abgeschlossen werden.

Wie spart mir Windows Intune Geld?

Zum einen spart Windows Intune Geld durch die erhöhte Verfügbarkeit Ihrer PCs. Wenn Ihre Mitarbeiter nicht arbeiten können, weil ein PC mit Viren verseucht ist, geht Ihnen bares Geld verloren.

Auf der anderen Seite spart Windows Intune Geld durch die eingebaute Fernwartungsfunktion. Bei Problemen müssen Sie nicht warten, bis ein IT-Spezialist vor Ort ist. Wenn Sie ein Microsoft Partnerunternehmen wie Heal:IT mit der Administration Ihrer PCs über Windows Intune beauftragen, kann unser Techniker direkt per Fernwartung an Ihrem Problem arbeiten. Dadurch sparen Sie Zeit und Anfahrtsgebühren.

Zudem fallen natürlich auch Kosten für Virenscanner-Updates und Personal Firewall Lösungen weg, da diese in Windows Intune bereits integriert sind.

 

Weitere Informationen finden Sie in der Windows Intune FAQ von Microsoft:
http://www.microsoft.com/de-de/windows/windowsintune/faq/default.aspx

Sie haben Interesse an Windows Intune? Vereinbaren Sie einen Termin mit uns für ein kostenloses Beratungsgespräch.

Teil 1 Artikel-Serie: BSI-Leitfaden review

Das Bundesamt für Sicherheit in der Informationstechnik
(BSI) hat vor kurzem einen Leitfaden zur sicheren Konfiguration von Windows 7
Enterprise Arbeitsplatzrechnern veröffentlicht.

Einige der vorgeschlagenen Maßnahmen waren auch für uns neu.
Da es vermutlich dem einen oder anderen IT-Profi ähnlich geht, besprechen wir
die einzelnen Maßnahmen hier in unserem Blog mit einer eigenen Artikel-Serie.

Das Original-Dokument vom BSI finden Sie hier:
https://www.bsi.bund.de/DE/Themen/InternetSicherheit/Client/Dokumente/dokumente_node.html

Da sich der Leitfaden des BSI an Administratoren und andere
IT-Profis richtet, gehen wir in unseren Artikeln von derselben Zielgruppe aus.
Entsprechend gehen wir nicht tiefer auf Standards wie die richtige Hardware
oder Kennwortrichtlinien ein und besprechen dafür ausführlicher die eher
weniger bekannten Maßnahmen.

Die Installation des Betriebssystems im Leitfaden
überspringen wir und wenden uns direkt der Konfiguration zu.

BSI-Checkliste 4.2

Konfigurieren von
Windows Komponenten

Wurde der Internetdruckdienst deaktiviert?
Der Internetdruckdienst (IPP) hatte in der Vergangenheit mehrere
Sicherheitslöcher und sollte daher auf jeden Fall deaktiviert werden. Dieser Dienst stellt Druckerwarteschlangen über http (mittels IIS) bereit.

Wurde Windows-FAX und -Scan deaktiviert?
Sicherheitsprobleme für diese Komponente sind uns nicht bekannt. Es geht
dem BSI eher darum, alle unnötigen Dienste zu deaktivieren. Da in den meisten
Unternehmen Netzwerkscanner und dedizierte Faxgeräte existieren, dürfte diese
Komponente in fast allen Fällen überflüssig sein.

[Optional] Wurde der Internet Explorer 8 deaktiviert?
Wer sich grundsätzlich dafür entscheidet, den IE nicht einzusetzen, kann
die Komponente komplett deaktivieren.

Wurden die Medienfunktionen (beinhaltet Windows DVD-Maker,
Media Center und Media Player) deaktiviert?
Hier handelt es sich wieder um Komponenten, die in vielen Unternehmen
überflüssig sein dürften und eher für den Privatanwender gedacht sind.

[Optional] Wurde die Plattform zu Windows-Minianwendungen
deaktiviert?
Auch hier stellt sich die Frage: wollen Sie Minianwendungen zulassen oder
nicht? Im professionellen Umfeld muss man hier klar Nutzen und Kosten
gegeneinander abwiegen.

Wurde die Remoteunterschiedskomprimierung deaktiviert?
Die Remoteunterschiedskomprimierung (Remote Differential Compression – RDC)
sollte eigentlich das Synchronisieren von Daten über ein Netzwerk schneller
machen, aber in der Praxis hat sich gezeigt, dass RDC oft eher bremsend auf die
Netzwerkgeschwindigkeit wirkt. Um solche Probleme (und stunden langes Suchen nach dem Performance-Problem) zu umgehen, macht es Sinn, RDC direkt zu Beginn zu deaktivieren.

Wurde Tablet PC-Komponenten deaktiviert?
Sie haben kein Tablet? Warum sollten dann die Tablet-Funktionen aktiviert
sein?

[Optional] Wurde Windows Search deaktiviert?
Windows Search zu deaktivieren ist eine Frage des Ermessens. Die indizierte
Suche von Windows Search ist sehr schnell, aber insbesondere in der
Indizierungsphase verlangsamt Windows Search den gesamten PC merklich. Und auch später können Performanceeinbußen durch die Nutzung von Windows Search entstehen.

Wurde XPS-Dienste deaktiviert?
Wenn Sie nicht zu den Exoten gehören, die XPS (XML Paper Specification) einsetzen,
sollten sie den Dienst deaktivieren. Er wird üblicherweise an
Arbeitsplatzrechnern nicht benötigt.

Wurde XPS-Viewer deaktiviert?
Siehe Erklärung zu XPS-Dienste.

Hier finden Sie Teil 2 dieser Serie.