Diese Lösung ist nur für Problemfälle mit einem lokalen bzw. on-Premise Exchange Server – NICHT für Office 365 Exchange Systeme.
Um als erstes ein Problem mit den Anmeldedaten auszuschließen, melden Sie sich an OWA (Outlook Web Access) an und prüfen Sie ob diese richtig sind.
Wenn ja, dann kann es sein, das Outlook versucht ihre Daten mit Office 365 Server abzugleichen – obwohl Sie einen eigenen Exchange Server haben. Da dann ihre Zugangsdaten nicht akzeptiert werden vom Office 365 Server kommt immer wieder die Anmeldemaske bzw. kann die Outlook-konfiguration nicht abgeschlossen werden.
Dies sehen Sie daran, das wenn Sie ihre Emailatokonfiguration prüfen (Outlook öffnen, STRG Taste gedrückt halten und mit der rechten Maustaste auf das Outlook Icon, dann sehen Sie dort den Eintrag) und dann Verbindungsversuche kommen nach outlook.office365.com .
Um dies Outlook abzugewöhnen, können Sie einen folgenden Registryeintrag erstellen (entweder von Hand oder über GPO) unter:
Sollte das immer noch nicht klappen, so kann man noch eine weitere Lösung zu rate ziehen:
Erstellen sie in ihrem DNS eine Zone für outlook.office365.com mit einem Hosteintrag auf die IP ihres Exchange Servers (z.B. CAS Server). Warten Sie ab, bis die Einstellung im DNS repliziert ist, leeren sie den Cache des DNS Servers bzw. des Clients (ipconfig /flushdns).
Clients die mobil arbeiten könnte man die Hostsdatei anpassen.
Alte Officedokumentenformate (doc, dot, xls, xlt, ppt) sowie auch neue Officeformate mit der Endung *m (docxm, dotxm, xlsm, xltm) können Macros enthalten, welche Schadensroutinen beinhalten.
Diese Dokumente werden per Email versendet und infizieren Computer und versuchen z.B. Dateien zu verschlüsseln und Lösegeld zu erpressen.
Eine Gefahr ist, das Virenscanner oft nicht vor den Dateien warnen, da das Dokument beim Versand noch kein Virus enthält, sondern erst das Macro diesen lädt. Oft warnt auch dann nicht der Virenscanner, da dieser die Festplatte überwacht – die Anwendung wird jedoch nicht gespeichert, sondern direkt aus dem Speicher ausgeführt.
Das größte Probleme dabei ist, das diese mails mittlerweile täuschend echt aussehen, auf echten Dokumenten beruhen, perfektes Deutsch verwendet wird oder gar vorgeben vom Kollegen zu stammen.
Der sicherste Schutz ist, die oben genannten Dateien direkt auf dem Mailgateway zu blockieren.
Weiterhin kann man auch den Windows Scripting Host deaktivieren. Erstellen sie dazu eine GPO mit der folgenden Einstellung:
Computerkonfiguration > Richtlinien > Windows Einstellungen > Registrierung Zeichenfolge (DWORD) Enabled = 0 für den Zweig HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
Eine weitere Sicherheitsmassnahme ist es Powershell zu deaktivieren. Erstellen Sie dazu eine GPO mit den folgenden Einstellungen:
Computerkonfiguration > Richtlinien > Windows Einstellungen > Sicherheitseinstellungen > Anwendungssteuerungsrichtlinien > AppLocker > Ausführbare Regeln > Neue Deny Regel für jeder auf den Pfad %SYSTEM32%\Windows\PowerShell*
Diese beiden GPO Ordnen Sie der OU zu, wo Workstations und Laptops enthalten sind – nicht den Servern
Achtung: Seit dem 23.1.2019 habe ich auch einen Artikel der erklärt, wie man einen Raspberry Pi verwenden kann. Diese Lösung wäre zu bevorzugen!
Dieser Tip funktioniert zwar grundsätzlich, ist aber weit entfernt davon als stabil zu gelten – womöglich kann er dazu dienen eine kurze Zeit als Notlösung zu fungieren.
Stellen Sie auf dem Rechner im BIOS/UEFI ein, das der Rechner immer an bleibt und nach einem Stromausfall wieder hochfährt.
Stellen Sie im Windows in den Energieoptionen ein, das der Rechner nicht ausschaltet (Festplatte und Monitor können jedoch ausgehen). Es muss niemand am Rechner angemeldet sein, nachdem alles eingerichtet wurde! Es reicht wenn er hochfährt.
Melden Sie sich an Windows mit Adminrechten an und geben Sie dem Rechner eine Feste IP, sowie alle benötigten weiteren Parameter wie DNS und Gateway.
Installieren Sie den aktuellsten Open VPN oder Sophos VPN Client und richten Sie die SSL Verbindung ein (am besten mit rechter Maustaste und „Als Administrator ausführen“) und testen Sie die Verbindung.
Sollte diese funktionieren, gehen Sie bitte in das Config Verzeichnis des VPN Clients (z.B. C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config) und erstellen sie eine Datei mit dem Namen password.txt, tragen sie in der ersten Zeile den Benutzernamen und in der zweiten Zeile das Kennwort ein.
Öffnen Sie die entsprechende Config-Datei und tragen Sie nach auth-user-pass ein Leerzeichen und dann password.txt ein:
auth-user-pass password.txt
Prüfen Sie nun ob Sie die Verbindung ohne Zugangsdaten aufbauen können.
Klicken Sie nun auf Start und tippen Sie services.msc und machen ein Doppelklick auf OpenVPN Service und stellen Sie die Startart auf Automatisch.
Wenn Sie den Rechner neustarten und sich anmelden, sollten sie nach ein paar Sekunden Adressen aus dem entfernten VPN anpingen können (ohne das der VPN Client eine Verbindung anzeigt). Es sollte jedoch die Netzwerkschnittstelle des VPN Clients im Netzwerk- und Freigabecenter aktiv sein (kein rotes X).
Sollte nun soweit alles funktionieren, gehen Sie bitte mit der rechten Maustaste auf die Verbindung in die Eigenschaften auf dem Tab Freigabe (sollte der nicht vorhanden sein, deinstallieren Sie bitte den alten VPN Client und installieren eine aktuelle Version mit Adminrechten).
Windows wird nun eine Meldung ausgeben, das von der Netzwerkschnittstelle die IP Adresse verändert wird auf 192.168.137.1 – stellen Sie die Netzwerkeinstellungen wieder zurück auf die richtigen Werte. Nach ein paar Sekunden sollten wieder entferne Ressourcen anzupingen sein.
Damit nun die anderen Rechner auch das entsprechende Netz finden, müssen Sie eine Route erstellen auf das entfernte Netz, damit sie das nicht an jedem Rechner machen müssen, machen Sie das am besten auf den vorhandenen Router, der die Internetverbindung herstellt – z.B. bei einer Fritzbox unter Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4 Routen:
Bekannte Probleme:
Nach einem Neustart funktioniert die Verbindung zwar an dem Rechner wo das VPN Installiert ist, jedoch nicht mehr bei den anderen Geräten im Netzwerk:
Hier muss einmal wieder der Hacken bei „Internetverbindung freigeben“ bei der VPN Netzwerkschnittstelle entfernt werden – da dabei Windows auch die IP bei der LAN Verbindung zurücksetzt auf 192.168.137.1, muss hier wieder alles die zuvor konfigurierte Adresse zurückgesetzt werden. Nach ein paar Sekunden ist die Verbindung durch den VPN Dienst wieder neugestartet und sollte wieder funktionieren.
Alle Geräte im Netzwerk können auf das Remotenetzwerk zugreifen, jedoch das Remotenetzwerk nicht auf die lokalen Geräte:
Dies wird auch leider nicht funktionieren, da alle Geräte hinter der Adresse des einzelnen VPN Rechners per NAT (Network Adress Translation) versteckt sind und nicht erreichbar sind. Hier würde eine Lösung benötigt, die das gesamte Netz anbindet (z.B. ein Hardwarerouter auf Raspi-Basis). Evtl. kommt hierzu noch ein entsprechender Beitrag.
Sollte bei einem Client, die deinstallation fehlschlagen, da das Kennwort nicht bekannt ist, kann man sich eines Hilfsmittels bedienen um dennoch erfolgreich deinstallieren zu können.
Starten Sie Regedit mit Adminrechten und navigieren sie nach:
Bei einem Benutzer, der sein Homelaufwerk auf einem Netzlaufwerk hatte und die Dokumentenpfade angepasst hatte auf diese Ordner per GPO hatte das Problem, das er keine Software installieren konnte – die Installation brach immer mit dem Fehler Error 1325 Documents is not a valid short file name ab.
Ich habe die Rechte vom Rootordner geprüft und der User hatte keine Leserechte des Rootordners. Nachdem ich den User (bzw. Gruppe Domänen-Benutzer) Leserechte gab auf dem Ordner (Achtung: Bitte Vererbung beachten!) und der User sich neu anmeldete, war das Problem behoben und der Installer lief ohne Probleme durch.
Laut Recherche lag die Vermutung nahe, das der Installer versucht zu lesen, wieviel Platz auf dem Laufwerk ist – was jedoch fehl schlug, da er keine Leserechte auf den Rootordner hatte.
Bei den kleinen Sophos SG mit eingebauten WLAN weicht die Einrichtung des WLAN ab von den der großen Boxen, da diese das WLAN als internes Interface realisiert haben.
Hier eine kleine Anleitung wie man das Password of the Day auf einer kleinen SG-xxxW einrichtet:
Melden Sie sich am Webadmin an
Gehen Sie zu Wireless Networks > New wireless Network …
Erstellen Sie ein Wireless Network mit den folgenden Daten: Network name: Wireless-Gast, Network SSID: Wireless-Gast, Encryption: No encryption, Client Traffic: Separate Zone, Adanved > Client Isolation: Enabled
Gehen Sie nun zu Interfaces & Routing > Interfaces > Add Interface
Erstellen Sie ein neues Interface mit den folgenden Daten: Name: Wireless-Gast, Type: Ethernet, Hardware: wlan1 (Die Nummer ist zu sehen in Wireless Networks > Wireless Networks > In dem Wireless Network in der Klammer angezeigt), IPv4 Address: 192.168.5.254, IPv4 Netmask: 24
Gehen Sie nun nach Network Services > DHCP
Erstellen Sie nun einen neuen DHCP Server mit den folgenden Daten: Interface: Wireless-Gast, Range Start 192.168.5.100, Range end: 192.168.5.200, DNS Server: 192.168.5.254, Default Gateway: 192.168.5.254, Domain: wireless.gast, Lease Time 86400
Gehen Sie nun nach Networks Services > DNS > General und fügen dort unter allowed Networks Wirelss-Gast (Network) hinzu.
Anschließend gehen Sie unter Network Protection > NAT > Masquerading und erstellen eine neue Masquerading Regel mit den folgenden Werten: Wireless-Gast (Network), Interface: External (WAN) und wenn nötig bitte auch Use Address einrichten.
Dann noch unter Network Protection > Firewall die ausgehende Regel für Internet IPv4 und Internet IPv6 anpassen, so das Wireless-Gast ebenfalls mit in die Regel kommt.
Zu guter letzt noch unter Wireless Protection > Hotspots > Hotspots einen neuen Hotspot erstellen mit folgenden Daten: Name: Wireless-Gast, Interfaces: Wireless-Gast, Administrative Users: admin (und die User, die das Password of the Day sehen sollen im Userportal), Hotspot Type: Password of the Day, Password creation Time: 4:00, Send Password by Email to: Adresse oder Verteilerliste, die das Passwort erhalten sollen
Das war die Einrichtung. Wenn man noch möchte, das das Wireless-Gast nicht unverschlüsselt ist kann man entweder ein eigenes Kennwort vergeben (unter Wireless Networks > Wireless Networks > Wireless-Gast bearbeiten > Encrytion Mode aktivieren und ein Kennwort vergeben) oder aber das Kennwort mit dem Password of the Day syncronisieren (dann zusätzlich noch zu dem Punkt vorher in Wireless Protection > Hotspots > Hotspots > Hotspot bearbeiten > Option Syncronize Password with PSK or Wireless Network) – dann muss das Kennwort jedoch doppelt eingegeben werden (als WLAN Kennwort und nochmal beim Aufruf einer Seite auf der Loginseite).
Sie können jederzeit, das Password of the Day einsehen oder zurücksetzen im Userportal im Register Hostspots.
Um den SSL VPN Client herunterzuladen gehen Sie bitte wie folgt vor:
Öffnen Sie den Webadmin.
Gehen sie auf Definition & Users.
Anschließend wählen die den Unterpunkt Users und setzen Sie bei den entsprechenden Usern den Hacken.
Wählen Sie unter Actions den Punkt Download SSL VPN Packages.
Abschließend wählen Sie bitte was sie herunterladen möchten.
Installieren Sie auf dem entsprechenden Gerät den VPN Client (bitte mit rechter Maustaste und Als Administrator ausführen) und kopieren Sie das entsprechende Profil nach C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config.
Affinty Photo Editor:
Professionelles Bildbearbeitungsprogramm mit riesigen Funktionsumfang. Bietet annähernd so viele Optionen wie Photoshop – jedoch ohne Abo. Kauf für 55€ mit lebenslangem Updaterecht und Recht auf so vielen Rechner wie gewünscht zu installieren. Manchmal bekommt man das Programm auch für 38€ wenn es im Angebot ist. Sehr zu empfehlen ist auch das gebundene Buch, welches in die Nutzung einweist. Das Programm gibt es für Mac, Windows und iPad.
GIMP:
Kostenlose Bildbearbeitung mit einem großen Funktionsumfang. Ich selber komme mit Affinity besser zurecht.
Darktable:
Bildverwalter und RAW-Konverter welcher auf Grundlegende Bildbearbeitungsfunktionen anbietet. Das Programm ist kostenlos und für Windows, Linux und Mac zu haben.
Libre Office:
Komplettes Office Paket welches es kostenlos für Windows, Mac und Linux gibt.
Office 365:
Ja, ihr habt richtig gelesen – Office 365 unter günstige Lösungenen! Es ist immer eine Frage wie man es nutzt. Wenn es Privat genutzt wird und auf 5 Rechnern benötigt wird, kann man Office pro Monat und Rechner für ca. einen Euro haben. Dazu nimmt man das Office 365 Home für 5 Rechner, welches dann 10€ im Monat kostet bzw. 99€ im Jahr, jedoch kauft ihr das dann nicht bei Microsoft, sondern die Voucher Karten bei Amazon (achtet bitte auf Echtheit, derzeit um die 73€ – oft jedoch Rabattiert, so gab es diese am Blue Monday für 66€ inkl. einer Microsoft Mouse).
mRemoteNG:
Ein einfaches Windows Tool, das auch unter Windows 10 läuft. Es kann RDP, SSH, Telnet, Webseiten usw. integrieren und stellt die Ansicht in Tabs dar.
Windows 10 ist mittlerweile schon sehr komfortabel geworden – jedoch sollten so einige Dinge noch nachgestellt bzw. nachinstalliert werden.
Sicherheitseinstellungen:
Bitlocker Festplatte verschlüsseln:
Da ich auf meinem Laptop einige Daten habe, welche ich nicht in andere Hände wissen möchte, habe ich die Bitlocker Festplattenverschlüsselung aktiviert. Dazu einfach unten in der Adresszeile Bitlocker eingeben und Bitlocker entsprechend einrichten. Achten sie bitte unbedingt darauf, das sie den Schlüssel zur Entschlüsselung sichern und nicht auf dem Gerät lassen – alternativ können Sie diesen auch im Microsoft Account hinterlegen. Sollten Sie dies machen, sollten Sie entsprechend Hoch die Sicherheit des Accountes halten – ich nutze z.B. die 2 Faktor Authentifizierung, diese wird mit einer kostenlosen App auf dem Smartphone sichergestellt.
Computerschutz:
In Windows 7/8/8.1 war direkt der Computerschutz aktiv, welcher vor Updates usw. immer vorher eine Snapshot (VSS Schattenkopie) erstellte – welcher mir schon so einige geholfen hatte. Leider ist in einer frischen Windows 10 Installation diese Funktion deaktiviert. Zum aktivieren gehen Sie bitte mit der rechten Maustaste auf Dieser PC > rechte Maustaste > Eigenschaften > Computerschutz und aktivieren Sie dort den Computerschutz. 5% sollte ein guter Wert sein.
Defender Schutz vor Verschlüsselung:
Im Creators Update ist ein interessantes Feature hinzugekommen – dies schützt vor Verschlüsselungstrojanern. Um dies zu aktivieren öffnen Sie das Defender Security Center und gehen dort auf VIren und Bedrohungsschutz > Einstellungen für Viren und Bedrohungsschutz > Aktivieren sie nun den Punkt Überwachter Ordnerzugriff.
Jedoch, wo Licht ist – ist auch Schatten, es wird einigen Programmen der Zugriff auf die eigenen Dateien verboten und diese müssen nach und nach Freigeben werden. Weiterhin sollte man auch bedenken, das meistens Office der Zugriff auf die eigenen Dateien erlaubt ist – sollte man sich nun einen Verschlüsselungstrojaner aus einem Officedokument einfangen, hat dieses weiterhin Zugriff auf die Dokumente und kann diese verschlüsseln.
Der wichtigste Schutz ist immer noch die Datensicherung – ich selber nutze Acronis True Image 2018. Oft bekommt man Updateangebote für ca. 40€ für 3 Lizenzen. Acronis hat ebenfalls einen Schutz vor Verschlüsselung und sichert auch die Daten. Ein interessantes Feature ist der Try adn Decade Modus – hier kann man Einstellungen und Software testen ohne diese direkt in das System zu integrieren – bedeutet das wenn der Schutz an ist, man Software installieren und einrichten kann. Ist die Software in Ordnung, kann man den aktuellen Stand sichern oder eben verwerfen wenn diese nicht in Ordnung ist.
UAC auf sehr Hoch stellen:
Die UAC ist ein guter Schutz, jedoch richtig sicher ist sie nur in der Einstellung Hoher Schutz.
Zusatzanwendungen:
Windows hat zwar schon jede Menge Programme an Board, jedoch installiere ich noch die folgenden um meine Ausstattung zu komplettieren (bitte achten Sie darauf, das nur die benötigte Software installiert wird – einige Programme versuchen weitere Software mitzuinstallieren, entfernen Sie die entsprechenden Hacken):
Dazu stelle ich noch folgende Programme als Standardprogramme ein:
Email: Outlook
Internet: Chrome
PDF: Acrobat Reader
Hinweis: Diese Empfehlungen basieren auf meinen Erfahrungen, diese Links werden nicht gesponsert oder in irgend einer Form vergütet. Sollten Sie bessere Programme kennen, dann würde ich mich über entsprechendes Feedback freuen.
Manchmal kommt es vor, das man per Fernwartung ein Programm installieren muss, jedoch bekommt man das Eingabefenster für die Zugangsdaten nicht angezeigt und möchte dem Anwender nicht das Adminkennwort geben.
Dann einfach eine CMD-Box starten und zu den Ordner navigieren, wo die Installationsdatei liegt und das folgende eingeben.
runas /profile /env /user:AD\Benutzer
Anschließend kann man das Kennwort eingeben, ohne das der Anwender dies sieht. Natürlich benötigt man dazu ein Konto mit Adminrechten :).
Tipps:
Sollte es erforderlich sein, das das Kennwort direkt mitgegeben wird, dann kann man dies mittels psexec machen, das sollte sich dann im selben Verzeichnis befinden.
Mittels Tools, wie bat2exe kann mann denn Code dann unleserlicher machen – was jedoch keine sichere Lösung ist, da es sicherlich Tools gibt, die diese Kennwörter wieder Sichtbar machen können.
Update:
Alternativ kann man auch mit AutoIt fertige Exe Dateien erstellen, welche mit z.B. runas() oder runaswait() installationen ausführen. Hier hat man natürlich wesentlich mehr möglichkeiten.
Hier ein Beispiel:
ProcessClose("nlnotes.exe")
ProcessClose("nsd.exe")
ProcessClose("notes.exe")
ProcessClose("notes2.exe")
Run("C:\Program Files(x86)\IBM\Lotus\Notes\nsd.exe -kill")
Run("C:\Program Files(x86)\IBM\Notes\nsd.exe -kill")
Run("C:\Program Files\IBM\Lotus\Notes\nsd.exe -kill")
Run("C:\Program Files\IBM\Notes\nsd.exe -kill")
$RegMultiLotus = RegRead("HKEY_LOCAL_MACHINE\SOFTWARE\Lotus\Notes","MultiUser")
$RegMultiIBM = RegRead("HKEY_LOCAL_MACHINE\SOFTWARE\IBM\Notes","MultiUser")
$InstallClientPath = @ScriptDir & "\IBM_NOTES_CLIENT_9.0.1_WINDOWS_G"
$InstallFPPath = @ScriptDir & "\FP8"
$SupportInfo = " - bitte wenden Sie sich an den Support unter 123 123 -123 oder -124."
$Domain = RegRead("HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters", "Domain")
Local $IsDomainMember = StringInStr($domain, "domainname")
if $IsDomainMember = "1" Then
if $RegMultiLotus = "0" or $regMultiIBM = "0" Then
RunAsWait("administrator", "domain", "passwort", 0, $InstallClientPath & "\setup.exe /s /v""ALLUSERS=1 SETMULTIUSER=0 /qb!")
If @Error <> "0" Then
MsgBox(64,"Hinweis"," Es ist ein Fehler beim Notesclient Update aufgetreten" & $SupportInfo)
Exit
EndIf
Else
RunAsWait("administrator", "domain", "passwort", 0, $InstallClientPath & "\setup.exe /s /v""ALLUSERS=1 SETMULTIUSER=1 /qb!")
If @Error <> "0" Then
MsgBox(64,"Hinweis"," Es ist ein Fehler beim Notesclient Update aufgetreten" & $SupportInfo)
Exit
EndIf
EndIf
RunAsWait("administrator", "domain", "passwort", 0, $InstallFPPath & "\setup.exe /s /v/qb+!")
If @Error <> "0" Then
MsgBox(64,"Hinweis"," Es ist ein Fehler beim Notesfeaturepack Update aufgetreten" & $SupportInfo)
Exit
EndIf
Else
if $RegMultiLotus = "0" or $regMultiIBM = "0" Then
RunAsWait("administrator", @ComputerName, "passwort", 0, $InstallClientPath & "\setup.exe /s /v""ALLUSERS=1 SETMULTIUSER=0 /qb!")
Else
RunAsWait("administrator", @ComputerName, "passwort", 0, $InstallClientPath & "\setup.exe /s /v""ALLUSERS=1 SETMULTIUSER=1 /qb!")
EndIf
RunAsWait("administrator", @ComputerName, "passwort", 0, $InstallFPPath & "\setup.exe /s /v/qb+!")
EndIf
MsgBox(64,"Notesupdate", "Die Updates wurden abgeschlossen. Sollten noch Programme geöffnet sein können Sie diese mit Ok schließen. Danach können sie die Dateien löschen.")
Hinweis: Sie verwenden die Codeschnippsel auf eigene Verantwortung. Bitte vorher ausgiebig testen.
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.
Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.EinverstandenWeiterlesen
