Unter anderem lesen Sie: Gruppenrichtlinien für Windows 10 · Android und iOS. Auch das Einbeziehen eines Linux-Ser-vers und die Integration in Amazon EC2 ist bereits mit der

www.it-administrator.de

Platzhirsch gibt Gas

Neuerungen in vSphere 6.5

Technische Umsetzung

Europäische Datenschutz-Grundverordnung

Im Test

Acronis Backup 12

IT-Administrator 2016/ 2017 – Auszüge als Leseprobe

Unter anderem lesen Sie:

Gruppenrichtlinienfür Windows 10Den Client im Griff

Titel-Leseprobe-ITA_2016-2017_ITA_Default 12.07.2017 14:19 Seite 3

6 Juli 2017 www.it-administrator.de

NewsAktue l l

Kritische RDP-SchwachstelleVor kurzem veröffentlichte die Hacker-Gruppe "ShadowBrokers" gestohlene Informationen, die mehrere Tools ent-hielten, um Schwachstellen in verschiedenen Windows-Ver-sionen auszunutzen. Das berühmteste davon ist "Eternal-Blue", das angepasst wurde, um den WanaCrypt0r-Wurmbeim großen Ransomware-Angriff Anfang Mai zu verbrei-ten. Ein weiteres Exploit-Tool, das zeitgleich veröffentlichtwurde, ist "EsteemAudit", das Unit 42, die Forschungsabtei-lung von Palo Alto Networks, nun näher unter die Lupe ge-nommen hat. EsteemAudit nutzt CVE-2017-9073 aus, eineSicherheitslücke im Windows-Remote-Desktop-System un-ter den nicht mehr unterstützten BetriebssystemenWindows XP und Windows Server 2003. Eine Netzwerk-schwachstelle wie diese kann mittels einer Wurm-Methodeausgenutzt werden, ähnlich wie die WannaCry-Angriffe.

EsteemAudit.exe dient der Kommunikation mit demRDP-Server – wie ein RDP-Client entsprechend dem RDP-

Protokoll. Es emuliert einen RDP-Client mittels einerSmartcard und sendet eine Anfrage für eine Smartcard-Umleitungsauthentifizierung an den RDP-Server, um ihnzu zwingen, die von EsteemAudit gesendeten Daten undStrukturen mit dem Smartcard-Modul "gpkcsp.dll" zu ver-arbeiten, wo die Sicherheitslücke besteht. Die Angreiferführen dabei einen sogenannten Inter-Chunk Heap Over-flow in der Smartcard-Komponente durch. Die Ausnutzungdieser Schwachstelle ist komplex, aber das EsteemAudit-Tool ermöglicht es auch Anfängern, dies zu tun.

Unternehmen, die ihre Systeme nicht aktualisieren kön-nen oder keine Schutzmaßnahmen verwenden, sollten ins-besondere das Smartcard-Modul über Gruppenrichtlinienoder in der Registry deaktivieren. Auch empfiehlt es sich,den Zugriff auf RDP aus externen Quellen zu deaktivierenoder zu beschränken. (dr)Palo Alto Networks: www.paloaltonetworks.com

Backup mit Ransomware-SchildAcronis hat Acronis Backup 12.5 freigegeben und will dieSoftware mit neuen Features noch stärker zu einem umfas-senden Werkzeug für Data Protection machen. Das Pro-dukt erscheint in einer Standard- und einer Advanced-Va-riante. Während die Edition Standard bei der Sicherung invirtualisierten Umgebungen etwa Microsoft Hyper-V undVMware vSphere unterstützt, können Unternehmen mitder Edition Advanced auch KVM-basierte oder unter Ci-trix XenServer laufende virtuelle Maschinen in die Daten-sicherung mit einbeziehen. Auch das Backup von Oracle-Datenbanken ist nur mit der fortgeschrittenen Variantemöglich. Bereits die Standard-Ausgabe beherrscht jedochdas Backup von Apple-Geräten und mobilen Devices unterAndroid und iOS. Auch das Einbeziehen eines Linux-Ser-vers und die Integration in Amazon EC2 ist bereits mit derStandard-Edition möglich.

Mit der Funktion Active Protection hat der Herstellerdem neuen Release einen Schutz vor Ransomware spen-diert. Per verhaltensbasierter Analyse werden gemäßAcronis verdächtige Aktivitäten auf einem mit einem Ba-ckup-Client versehenen Rechner erkannt. Neben einerbloßen Benachrichtigung des Administrators oder einemStop aller Backup-Jobs ist es mit Hilfe der Funktion außer-dem möglich, ein automatisches Recovery beschädigterDaten anzustoßen. Ebenfalls neu ist Acronis Notary, ummittels Blockchain-Technologie zu prüfen, dass Dateienauthentisch und seit dem Backup unverändert gebliebensind. Sowohl Active Protection als auch Notary sind be-reits in der Basis-Edition von Acronis Backup enthalten.Der Advanced-Edition ist das Anlegen von Administrator-Rollen samt einer granularen Delegation für verteilte In-frastrukturen vorbehalten. Auch SAN-Storage-Snapshots

sowie automatisierte Bare-Metal-Wiederherstellungen gibtes nur mit der Advanced-Variante.

Punkten will Acronis zudem mit einem vereinfachtenLizenzierungsmodell. In virtualisierten Umgebungen etwaerfolgt die Lizenzierung nun pro Host, unabhängig vonder Anzahl der darauf laufenden und gesicherten virtuel-len Maschinen. Während beispielsweise ein physischerWindows- oder Linux-Server bei jährlicher Subskriptionin der Standard-Edition mit rund 350 Euro zu Bucheschlägt, sind für einen Virtualisierungshost für ein Jahr et-wa 410 Euro zu zahlen. Für Windows Server Essential sindrund 200 Euro zu entrichten, während eine Workstation-Lizenz mit 55 Euro veranschlagt ist. In der Advanced-Edi-tion kostet ein physischer Server etwa 640 Euro für einJahr, während pro Virtualisierungshost rund 730 Euro fällig werden. (ln)Acronis Backup: www.acronis.com/de-de/business/backup/

Mit Active Protection will Acronis in den gesicherten Umgebungen zumindest für einen grundlegenden Schutz vor Ransomware sorgen.

S006-009_ITA_0717_A01_ok_ITA_Default 19.06.2017 16:44 Seite 2

eit Mitte 2015 ist der UniventionCorporate Server (UCS) als Core-

Edition [1] kostenlos verfügbar, die Un-ternehmen ohne Einschränkungen nutzenkönnen. Dabei steht "Core" jedoch nichtfür eine eingeschränkte Funktionalität odergar fehlende grafische Oberfläche, denndie webbasierte Administrierbarkeit ist ei-nes der Kernkonzepte von UCS. Nur bietetder Hersteller hier keinen Support. DieKosten für die UCS-Angebote mit Supportfinden Sie im Produktkasten.

UCS als Ersatz für MicrosoftsSmall Business ServerUCS adressiert vor allem KMUs, die ent-weder aus Kostengründen auf den Betriebvon Microsoft-Servern verzichten oderprinzipiell einen Linux-Server bevorzugen,jedoch nicht über ausreichendes Open-Source-Know-how verfügen. Dass Linux-Server IT-Infrastruktur-Services wie DNS,DHCP, SMTP, IMAP/POP oder Datei-Ser-vices wie NFS und S MB (Samba 3) kos-tengünstiger bereitstellen können als einWindows-Server, war auch schon vor zehnJahren kein Geheimnis.

Univention setzte sich mit UCS von ähn-lichen Offerten anderer Hersteller schonfrühzeitig durch ein auf OpenLDAP-ba-sierendes, fix und fertig vorkonfiguriertesIdentity- und Infrastruktur-Managementmit eigener UCS-Domäne ab, in der Nut-zer UCS-Server und UCS-Clients betrei-ben und verwalten konnten. Zudem ver-packt UCS diese Funktion sowie dieKonfiguration und Administration allerübrigen Linux-Infrastruktur-Dienste inein schickes Webinterface. Da sich aberdas Active Directory als Verzeichnisdienstin Unternehmen nahezu aller Größen-ordnungen festgesetzt hat (am Arbeits-platz spielt Linux zudem ohnehin kaumeine Rolle), kam es Univention recht, dassSamba mit Einführung der Version 4.0über CIFS-basierte Freigabe-Dienste hi-naus eine ADDS-Domäne emulierenkann. Der Anbieter unterstützte das Sam-ba-Projekt, sodass UCS schon 2012 alseiner der ersten out of the box einsetzba-ren Linux-Server Active-Directory-Sup-port bot. Das bedeutet, dass ein UCS-Ser-ver sowohl als Domaincontroller (DC)eine AD-Domäne bereitstellen als auch

S

Univention Corporate Server 4.2

IT passt in das kleinsteUnternehmenvon Thomas Drilling

Der Univention Corporate Server hat sich über Jahre einen guten Ruf als Linux-basierter Rundumsorglos-Server für kleine Unternehmen erworben, die Lizenzgebühren einsparen, nicht aber auf die Funktionalität einesWindows-Servers verzichten möchten. Inwieweit die aktuelle Version 4.2 die entsprechenden Dienste wie Domaincontroller und Active Directory ersetzen kann, untersucht unser Test.

ProduktManagement-Software für verteilte, heterogene und virtualisierte IT-Umgebungen.

HerstellerUnivention GmbHwww.univention.de

PreisUnivention bietet UCS in vier Lizenzformenan, die sich im Support und einigen Featuresunterscheiden:Core: Kostenlose Lizenz ohne SupportBase: 290 Euro pro JahrStandard: 1190 Euro pro JahrPremium: 1690 Euro pro Jahr

Die Preise gelten dabei je physischem Server,auf dem UCS gleichzeitig ausgeführt werdenkann. Zudem fallen zusätzliche Kosten vonrund 14 Euro je Nutzer/Endgerät an, wenndie Anzahl der Nutzer oder Endgeräte in ei-ner Domäne über zehn steigt.

SystemvoraussetzungenJe nach geplantem Einsatzzweck und der Be-nutzeranzahl variieren die Systemanforderun-gen sehr stark. Mindestanforderungen für dieInstallation sind 512 MByte Arbeitsspeicherund 8 GByte Festplattenspeicher.

Technische Datenwww.it-administrator.de/downloads/

datenblaetter

Univention Corporate Server 4.2

16 April 2017 www.it-administrator.de

S016-021_ITA_0417_T01_PaesslerAdvertorial_ok_ITA_Default 20.03.2017 16:55 Seite 2

www.it-administrator.de April 2017 17

Univent ion Corporate Server 4 .2 Tests

als Member-Server einer AD-Domänebeitreten kann.

So eröffnete die Samba-4-IntegrationUnivention die Möglichkeit, UCS undKonsorten als kostengünstigen Ersatzfür Microsofts Small Business Server zupositio- nieren. Und wie bekannt kün-digte Microsoft den beliebten SMB-Ser-ver mit Active Directory und einer a b-gespeckten Version von Exchange undSQL-Server ab. Wollen kleine Unterneh-men diese Funktionalität heute mit Mi-crosoft-Produkten abdecken, ist das meistungleich teurer als mit dem legendärenSMB-Server. UCS und vergleichbareOpen-Source-Produkte deckten Group-ware-Funktionalitäten durch die Integra-tion von Zusatzprodukten wie Open-eXchange oder Zarafa ab und die zugrun-de liegenden Datenbank-Funktionalitätenübernahm dann zum Beispiel MySQL.

Univention hat jedoch im Vergleich zuehemaligen Konkurrenten einige Dingerbesser gemacht. So hat der Anbieter schonvor der vorbildlichen Samba-Integrationdas für Unternehmen so wichtige Infra-struktur- und Identity-Management insZentrum der Produktphilosophie gestelltund zudem eine klare Trennung zwischenden beschriebenen Plattform-Services undder Bereitstellung von externen (Open-

Source)-Applikationen kultiviert. Statt sichauf eine mehr oder weniger gelungene In-tegration von Open-Xchange, Zarafa (heu-te Kopano), Nagios, OwnCloud & Co zukonzentrieren und sich dabei auf Abhän-gigkeiten zu Appstream-Partnern einzu-lassen, beschreitet Univention mit der Po-sitionierung seines App-Centers einenanderen Weg und besetzt die Rolle einesApplikationsservers cleverer.

Mit seinem webbasieren App-Center im-plementiert UCS eine Pla ttform, die ei-nerseits Open-Source-App-Herstellernüber eine einheitliche API eine einfacheund transparente Möglichkeit offeriert,ihre Lösungen für UCS zu paketieren undvon dessen Verbreitung zu profitieren,anderseits UCS-Nutzern eine einfacheund elegante Möglichkeit an die Handgibt, hochkomplexe Open-Source-An-wendungen webbasiert zu installieren.

Da das Gros moderner Applikationen heu-te ohnehin in Java, Perl oder PHP geschrie-ben ist und auf einer Web-/Cloud-Service-Architektur basiert, rückt die Rolle desUnterbaus in den Hintergrund, sofern die-ser solide und robust ist. Ein Linux-Fun-dament ist also aus Sicht der Applikationnicht vom Nachteil, sondern mit dem vonUCS gebotenen Docker-Support sogar imVorteil. In Summe bietet UCS als Unter-

nehmens-Server in der heutigen Form fünfklar gegliederte Eigenschaften:1. Integriertes Identity Management via

LDAP (UCS)2. ADDS-Support via Samba 4 3. Gesamte Konfiguration im LDAP ge-

speichert 4. Moderne HTML5/JS-Weboberfläche

(Management Console) zur Adminis-tration und Konfiguration

5. App-Marktplatz mit Docker-Support

UCS-Setup unkompliziert erledigtWir haben eine Basis-Installation der Ver-sion 4.2 je einmal vom ISO und einmal alsVMware-Image vorgenommen. Beides lie-ße sich auch ohne nennenswerte Linux-Kenntnisse schnell erledigen. Die Bereit-stellung gliedert sich in das auf demDebian-Installer basierende Basis-Setup,das auch die UCS-spezifischen Debian-Pakete umfasst, und eine grafische Setup-Routine für die Domäneneinstellungen,wobei wir uns zunächst für das Erstelleneiner neuen UCS-Domäne entschieden.Zum Aktivieren des App-Centers und zumLizenzieren von UCS war ein Konto miteiner gültigen E-Mail-Adresse anzulegen.Den vorgeschlagenen FQDN für dieADDS-Domäne leitet der Installer vomangegebenen Firmennamen ab, was derNutzer bei Bedarf überschreiben kann.

Danach waren wir in der Lage, das Systemzu konfigurieren, was die Vervollständi-gung des Setups mit anschließendemNeustart nach sich zog, um die Anmel-dung an der webbasierten ManagementConsole (UMC) zu ermöglichen. Den Li-zenzcode erhielten wir über die zuvor an-gegebene E-Mail-Adresse und konntenihn nach Vervollständigung des Setupsüber das System-Menü unter "Lizenz /Neue Lizenz importieren" hochladen.Den Menüpunkt "Lizenz / UCS-Aktivie-rung" benötigten wir hingegen zur Akti-vierung des App-Centers, damit die je-weiligen App-Hersteller über die beimUCS-Konto angegebene E-Mail-Adressevon der Installation ihrer App informiertwerden können. Die URL ("https://FQDN") für die Management Consolewird nach Fertigstellung des Setups auchan der Konsole des Hostsystems ange-zeigt; ein direkter Host-Login dürfte aber

Bild 1: Bei der Inbetriebnahme fragt die Domänen-Konfiguration von UCS nach dem zukünftigen Einsatzgebiet.


18 April 2017 www.it-administrator.de

Univent ion Corporate Server 4 .2Tests

bei korrekt konfiguriertem System nurselten notwendig sein.

Da wir UCS selbst als DNS-Server einset-zen wollten, verzichteten wir darauf, denFQDN im vorhandenen DNS zu registrie-ren, weshalb wir die neue L anding Page(Univention Portal) zunächst über die IP-Adresse aufriefen. Nur einen Klick entferntfindet sich dann die UMC unter "https://FQDN oder IP/univention/management/",an der wir uns mit dem im Verlauf des Set-ups angegebenen Konto anmeldeten. Diein sechs farblich gekennzeichnete Bereiche"Favoriten”, "Benutzer", "Geräte", "Domä-ne", "System" und "Software" klar geglie-derte UMC wirft auch für einen mit Linuxwenig erfahrenen Admin keine Fragen auf.Eine vollstände Beschreibung liefert diesehr gute Dokumentation.

OpenLDAP ohne KonfigurationsdateienFür einen ersten Test der GUI-Usabilityund Funktionalität nahmen wir uns exem-plarisch das Einrichten des DNS-Serversvor. Unter "Systemdienste / Netzwerkein-stellungen" war der UCS-Server selbst kor-rekt als primärer Domänen-DNS eingetra-gen. Daher lag das Scheitern der DNS-Auflösung nur am fehlenden A-Record-Eintrag für den Arbeitsplatzrechner. Et-waige Konfigurationsmöglichkeiten findensich an dieser Stelle aber nicht und das hän-dische Bearbeiten der BIND-Konfigurationauf der Konsole kann einem Linux-unge-übten Admin kaum zugemutet werden.

Des Rätsels Lösung liegt in der Eig en-schaft des UCS, s ämtliche Konfigurati-

onseinstellungen im OpenLDAP-Ver-zeichnisdienst abzulegen. Die entspre-chenden Container-Objekte lassen sichin der UMC im Bereich "Domäne" unter"LDAP-Verzeichnis" direkt bearbeiten.DNS-Daten speichert UCS beispielsweiseper Default im Container "cn=dns,Basis-DN". Auch Forward- und Reverse-Loo-kup-Zonen werden direkt im Containergespeichert, sodass sich der gewünschteEintrag in der jeweiligen Zone unmittel-bar als zusätzliches DNS-Objekt, zum Bei-spiel als Pointer-Record, ablegen lässt.

Für einen neuen Host-Eintrag dient imLDAP-Verzeichnisbaum der Knoten"/dns/domainname", wo die im Verlaufder Installation angelegte Forward-Zonemarkiert wird. Das gewünschte Objektlässt sich mit einem Klick in dieser Zone

anlegen. Nach dem Hinzufügen einesHost-(A)-Records klappte auch derUMC-Zugriff über den FQDN.

Alternativ lässt sich über den Abschnitt"Domäne" auch direkt das UMC-Modul"Domäne / DNS" verwenden. Der Ein-stieg in den LDAP-Verzeichnisbaum be-ginnt dann direkt im Knoten "DNS" undbietet ebenfalls die Liste der Forward-und Reverse-Lookup-Zonen. Um eineneue Forward- oder Reverse-Zone anzu-legen, mussten wir den übergeordnetenKnoten "Alle DNS-Zonen" markieren undein Klick auf "Hinzufügen" legte eine neueZone an.

Nach etwas Gewöhnung an das direkteNavigieren im LDAP-Verzeichnis gelingtnahezu die gesamte Linux-Systemkonfi-guration konsistenter als bei vielen ande-ren Distributionen, bei denen der Adminin der Regel Narrenfreiheit hat, jede be-liebige Konfigurationsdatei unter "/etc"von Hand zu bearbeiten. Hier verbietetsich so ein Vorgehen, weil UCS sämtlicheLinux-Konfigurationsdateien indirektüber Vorlagen und eine Art Registry er-zeugt, worin die einzelnen Parameter überVariablen zugewiesen sind, die wiederumim LDAP abgelegt werden. Auch dies istein Alleinstellungsmerkmal unter den Li-nux-Distributionen. Die beschriebene Arthalb-manueller Konfigurationsanpassungerschließt sich dem UCS-Nutzer imUMC-Modul "System / Univention Con-

Bild 2: In UCS stellt die Univention Management Console den zentralen Ort für Verwaltungstätigkeiten dar.

Bild 3: Wie ein echtes Active Directory kennt UCS neben Benutzerkonten auch Computerkonten.


www.it-administrator.de April 2017 19

Univent ion Corporate Server 4 .2 Tests

figuration Registry". Allerdings setzen In-stallation, Betrieb und Wartung von UCSin gängigen Szenarien nur selten Anpas-sungen auf diesem Wege voraus.

Active Directory mit UCSDas Aufsetzen von UCS als D omänen-Controller für eine neue oder vorhandeneAD-Domäne gehört zu den für KMUs in-teressantesten Funktionen von UCS. Dadie "Rolle" des zu installierenden UCS alsDC oder Member-Server bereits im obenskizzierten Basis-Setup festgelegt wirdund wir uns für das Einrichten einerkomplett neuen Domäne entschieden hat-ten, war hierfür zunächst nichts weiterzu tun; der Beitritt diverser Windows-Ar-beitsplatzrechner funktionierte Client-seitig nicht anders wie unter Windowsgewohnt. Das benötigte Computer-Kontoließ sich dazu im UMC-Modul "Geräte /Rechner" mit "Hinzufügen" anlegen. An-sonsten zeigt das Modul alle in der D o-mäne verfügbaren Computer, also nachder Grundinstallation zunächst die UCS-DCs selbst.

Für den Domänenbeitritt des lokalen Sys-tems steht – sofern es nicht selbst DC ist– das UMC-Modul "Domäne / Domä-nenbeitritt" bereit, das stets alle anstehen-den oder erfolgreich ausgeführten Join-Skripte zeigt.

Während das Neuaufsetzen einer AD-Do-mäne mit UCS als DC erwartungsgemäßproblemlos funktionierte, sind wir auchder Frage nachgegangen, wie es mit derÜbernahme von Daten aus einem vorhan-denen Active Directory aussieht. Laut Uni-vention unterstützt UCS die Übernahmevon Benutzern, Gruppen, Computern undGruppenrichtlinienobjekten (GPOs) auseiner bestehenden AD-Domäne mit Hilfeder UCS-App "Active Directory Takeover",ohne dass die Windows-Arbeitsplätze derDomäne erneut beitreten müssen. Optio-nal können Windows- und UCS-DC auchgemeinsam in einer Domäne arbeiten. DasÜbernehmen von Daten von einem vor-handenen DC zu UCS vollzieht sich indrei Schritten:1. Beitritt des UCS-Domaincontrollers

zur Active-Directory-Domäne.2. Kopieren der Gruppenrichtlinien-Da-

teien (SysVol) aus ADDS zu UCS.

3. Abschalten des vorhandenen Domain-controllers, wobei dessen Betriebsmas-ter-Rollen (FSMO) dem UCS-Domain-controller zugewiesen werden müssen.

Dazu muss der UCS-DC in der Rolle"Domänencontroller Master" installiertwerden, wobei dessen Name im beste-henden AD nicht existieren darf. Aller-dings muss der beim Aufsetzen des UCSangegebene Domänenname verständli-cherweise mit dem der existierenden Do-mäne übereinstimmen. Das gilt sowohlfür den Namen der DNS-Domänen, denNetBIOS-Domänennamen und die Ker-beros-Domänen. Univention empfiehltsogar, die gleiche LDAP-Basis-DN zu be-nutzen. Ferner muss die IPv4-Adresse desUCS-DCs im gleichen Subnetz wie derzu übernehmende DC liegen.

Vor der eigentlichen Übernahme ist dervorhandene DC zu sichern. Ferner emp-fiehlt Univention, direkte Domänen-An-meldungen oder Terminalserversitzungenam Windows-DC zu deaktivieren undsämtliche datenverarbeitenden Dienste zustoppen. Dadurch ist bei einem etwaigenRollback von einem Backup oder Snapshotgewährleistet, dass keine Daten verlorengehen. Um es dem Takeover-Tool nichtunnötig schwer zu machen, haben wir au-ßerdem für das lokale Administrator-Kon-to auf dem DC und UCS das gleiche Ad-ministrator-Passwort verwendet. Daslokale Administrator-Konto auf dem DCmuss gegebenenfalls auf diesem noch ak-tiviert werden, da es per Default deaktiviertist. Das Konto besitzt die benötigten Be-rechtigungen für das Kopieren der SYSOL-Freigabe mit den ADM- und ADMX-Da-teien sowie den eigentlichen GPOs .

Gestartet wird die Übernahme auf demUCS-Domänencontroller, auf dem der"Univention S4 Connector" läuft, was inder Regel der "Domänencontroller Mas-ter" ist. Der UCS-Service S4 Connectorsorgt innerhalb von UCS für eine perma-nente Synchronisation der beiden Ver-zeichnisdienste "OpenLDAP" und "Sam-ba". In jedem Fall darf im Verlauf derÜbernahme nur auf diesem UCS-SystemSamba laufen; weitere UCS-DCs müssenangehalten werden, um etwaige aus derReplikation resultierende Inkonsistenzen

auszuschließen. Die eigentliche Handha-bung des AD-Takeover-Tools ist Assis-tenten-geführt, weitgehend selbsterklä-rend und auch in der umfangreichenDokumentation beschrieben. Das Toolprüft zuerst, ob der a ngegebene DC er-reichbar ist, passt dann die Systemzeit desUCS an die der ADDS-Domäne an, trittder AD-Domäne bei und startet dannSamba auf dem Univention S4 Connector,um die Replikation der AD-Objekte indas UCS-OpenLDAP-Verzeichnis einzu-leiten. Anschließend wird die SYSVOL-Freigabe kopiert. Das Kopieren der Grup-penrichtlinien aus der SYSVOL-Freigabedes AD-Servers auf den UCS-Server kannauf diesem beispielsweise mit robocopyerledigt werden.

Ist das erledigt, üb erträgt das Takeover-Tool die Betriebsmasterrollen (FSMO)auf den UCS-DC, richtet den Hostnamendes AD-Servers zunächst als DNS-Aliasfür den UCS-Server ein, konfiguriert dieIP-Adresse des AD-Servers als zusätzlichevirtuelle IP-Adresse des UCS-Servers undnimmt abschließend verschiedene An-passungen vor, etwa das Entfernen desalten AD-DC-Eintrags aus der Samba-SAM-Datenbank. Ist das erledigt, werdendie Dienste Samba und DNS auf demUCS-Server neu gestartet. Wurde der ori-ginale DC gestoppt, muss abschließend

Mit Erscheinen dieses Heftes sollte UCS 4.2verfügbar sein. Neben kosmetischen Überar-beitungen zum Beispiel in Form der neuenPortalseite basiert die getestete Version aufdem zweiten Release Candidate von Samba4.6, dessen finale Version in die UCS 4.3 ein-fließen sollte. Ebenfalls haben die UCS-Ent-wickler ihre Appstream-Distribution von De-bian 7 (Wheezy) auf Debian 8 (Jessie)aktualisiert, womit UCS nun ebenfalls "sys-temd" als Standard-Startsystem anstelle desveralteten SysV-Init nutzt. Mit Debian 8 klet-tert auch der unterliegende Linux-Kernel aufdie letzte Long-Term-Support (LTS)-Version4.9, was der Hardware-Unterstützung undder Performance zugutekommt. UCS 4.2 istaußerdem die erste UCS-Version, bei der Uni-vention nicht mehr die gesamte Debian-Dis-tribution im eigenen Buildsystem neu baut,was in Zukunft unter anderem ein schnelleresReagieren auf Security-Updates ermöglicht.

Neuerungen in UCS 4.2


20 April 2017 Link-Codes eingeben auf www.it-administrator.de

Univent ion Corporate Server 4 .2Tests

der Domänenfunktionslevel mit samba-tool domain level show geprüft werden.

Wir konnten im Test eine einfache Migrationvon einem DC mit etwa 20 Rechnerkontenund 50 Benutzern problemlos durchführen.Wie gut sich das Tool in großen Umgebun-gen schlägt, bleibt aber im Einzelfall zu prü-fen, allerdings steht Besitzern einer der grö-ßeren Subskriptionen dann auch der Uni-vention-Support zur Seite.

Mit dem App-Center leicht zukomplexen AnwendungenIm Fokus des App-Centers in UCS 4.2 stehtdie Portierung der UCS-eigenen Apps inContainer auf Basis von Docker. Ob undwie App-Anbieter die Docker-Integrationin UCS ebenfalls nutzen, bleibt allerdingsihnen überlassen. So können sie ihre Con-tainer als spezielle Form einer virtuellenMaschine mitsamt eines Großteiles des Be-triebssystem-Stacks von UCS betreiben oderso, dass Container nur einen bestimmtenProzess oder Service beinhalten. Erstereserleichtert App-Anbietern die Integrationihrer Apps in UCS, weil dann kaum Anpas-sungen an der App erforderlich sind. Zwei-teres begünstigt das Deployment von Appsin Form einer Microservice-Architektur. So

oder so ist das App-Center ein weiteres Al-leinstellungsmerkmal von UCS, erlaubt esdoch Linux-unerfahrenen UCS-Nutzerndie einfache Inbetriebnahme auch hoch-komplexer Open-Source-Anwendungen.

Erwähnenswert ist noch, dass Univentionzur besseren Gewährleistung der nahtlo-sen Integration von Apps in das durchUCS bereitgestellte Identity Managementmit Version 4.1 ein eig enes Single Sign-On für UCS implementiert hat. So lassensich in der Management-Konsole unter"Domäne / SAML Identity Provider" wei-tere Identity-Provider hinzufügen unddas öffentliche Zertifikat für den SAML-Provider herunterladen. Unterstützt wer-den beispielsweise per Default neben UCSGoogle, Salesforce und Shibboleth.

FazitUnivention Corporate Server ist eine fürkleine Unternehmen rundum empfeh-lenswerte Distribution, wobei drei Allein-stellungsmerkmale UCS von vielen an-deren Enterprise-Distribution abheben.Einzigartig sind das integrierte Identity-Management auf Basis von LDAP (UCS)und Active Directory sowie das Speichernund Verwalten der gesamten Konfigura-

tion im LDAP, die vollständig webbasierteAdministrierbarkeit und das App-Center.UCS hält damit im Gegensatz zu vielenanderen Lösungen dieser Art weitgehenddas Versprechen, sich auch für wenig Li-nux-erfahrene Unternehmen zu eignen.

Übrigens passt UCS keineswegs nur klei-nen Unternehmen, wenngleich wir dasProdukt unter diesem Fokus getestet ha-ben. In größeren Umgebungen ist aller-dings schwieriger zu beurteilen, ob undwie die Kosten-/Nutzen-Rechnung auf-geht wie gewünscht und ob die von UCSals DC bereitgestellte Funktionalität tat-sächlich den Ansprüchen genügt. Immer-hin stellt ein Windows-Server deutlichmehr Rollen und Features bereit als nurDomänen-Dienste. Abschließend sei nocherwähnt, dass sich UCS auch hervorra-gend als Member Server in heterogenenIT-Umgebungen sowie in Private, Publicund Hybrid Clouds macht. (jp)

Bild 4: Die Installation von "Active Directory Takeover" aus dem App-Center öffnet den Weg zur Datenübernahme aus dem AD nach UCS. So urteilt IT-Administrator

optimal für kleine Unternehmen, die kosten-günstig Windows-Server als Domaincontrollerdurch Linux ersetzen und/oder elementare IT-Infrastruktur-Services durch einen Linux-Ser-ver bereitstellen möchten.

bedingt für kleine und mittlere Unternehmen,die in UCS einen Exchange-Ersatz suchen.

nicht für große Unternehmen, die ohnehinüber umfangreiche Datacenter-Lizenzen fürWindows Server verfügen.

Inbetriebnahme 8

Grafische Oberfläche/Konfiguration 8

Interoperabilität 7

Dokumentation 8

Funktionsumfang (ohne App Center) 6

Die Details unserer Testmethodik finden Sieunter www.it-administrator.de/testmethodik

Dieses Produkt eignet sich

[1] Core-Edition USC H4T11

Link-Codes


24 November 2016 www.it-administrator.de

DZTests

Acronis Backup 12

Sorgenfrei sichernvon Dr. Christian Knermann

Acronis verfolgt mit derneuesten Version seinergleichnamigen Backup-Software einen umfassen-den Ansatz. Acronis Backup 12soll in heterogenen Infrastrukturenphysische und virtuelle Systeme gleichermaßen sichern und das lokal wie auch in Cloud-Umgebungen.IT-Administrator hat sich angesehen, wie sich dieLösung in der Praxis schlägt

it Acronis Backup 12 trägt der Her-steller dem allgegenwärtigen Trend

hin zum Betrieb von hybriden System-landschaften und reinen Cloud-Infra-strukturen Rechnung. Die Administrationder Backup-Software erfolgt komplett übereine modern gestaltete Webkonsole, diein den aktuellen Versionen aller gängigenBrowser läuft. Dabei haben Nutzer dieWahl, ob sie diese Konsole online als vonAcronis gehostete Cloud-Variante einset-zen oder doch lieber als eine eigene lokaleInstallation im Rechenzentrum.

Unabhängig davon, ob die Konsole in derCloud oder lokal läuft, kann als Ziel fürBackups von Acronis angebotener Cloud-Speicher dienen. Unsere Nachbarn ausder Schweiz können ihre Daten in einemnach ISO 27001 und ISO 50001 zer tifi-zierten Rechenzentrum in Zürich sichern.Für Kunden aus Deutschland und Öster-reich betreibt die Acronis GermanyGmbH ein Rechenzentrum in Frankfurtam Main. Dieses ist zertifiziert nach ISO9001 und ISO/IEC 27001. Acronis bietetNutzern zudem die Möglichkeit, einen

Vertrag zur Auftragsdatenverarbeitung(ADV) abzuschließen.

Wer seine Daten generell keiner externenCloud anvertrauen möchte, hat aber wei-terhin die Möglichkeit, ausschließlich lo-kale Sicherungsziele zu verwenden. Dafürkommen mit der Basis-Version der Soft-ware lokale Laufwerke gleich welcherTechnik – SATA, SCSI, IDE, RAID-Ver-bünde, USB oder auch Firewire – sowieper SMB, NFS, iSCSI oder Fibre Channelangebundene Netzwerk-Pfade in Betracht.Ein reiner On-Premises-Einsatz von Acro-nis Backup 12 ist also weiterhin möglich.Sollen allerdings Band-Laufwerke oder -Bibliotheken angebunden werden, ist dasseparat erhältliche Acronis Backup Ad-vanced nötig.

Einfaches LizenzmodellLizenziert wird Acronis Backup 12 prozu sicherndem System, genauer gesagtpro installiertem Agenten. Dabei kann essich um einzelne physische oder virtuelleSysteme sowie um komplette Virtualisie-rungshosts mit allen darauf laufenden vir-tuellen Maschinen handeln. Bei den ein-zelnen Systemen unterscheidet Acroniszwischen Workstations und Servern.

M

Bild 1: Die moderne Web-Konsole von Acronis Backup 12 ist auch per Touch sehr gut zu bedienen.

Acron is Backup 12Tests

Quell

e: 3d

mask –

123

RF

S024-027_ITA_1116_T04_ok_ITA_Default 19.10.2016 12:26 Seite 2

www.it-administrator.de November 2016 25

Acron i s Backup 12 Tests

Alle Lizenzen offeriert Acronis klassischals dauerhafte Kauf-Lizenz mitsamt tech-nischem Support und kostenlosen Up-grades im ersten Jahr. Alternativ gibt esdie Lizenzen als Abonnement mit tech-nischem Support und Upgrades auf neueVersionen über die komplette Laufzeit vonwahlweise einem, zwei oder drei Jahren.

Fast alle denkbaren Betriebssysteme unterstütztDie Workstations umfassen bei Acronissämtliche Versionen der Client-Betriebs-systeme aus dem Hause Microsoft. Hierist selbst das vom Hersteller bereits nichtmehr unterstützte Windows XP ab SP2aufwärts noch dabei. Weiterhin zählenalle macOS-Versionen von "Mountain Li-on" bis "El Capitan" zu den Workstations.

Unter Servern versteht Acronis die kom-plette Familie der Microsoft Windows Ser-ver vom betagten Windows Server 2003bis zum aktuellen Windows Server 2016.Auch mit darauf laufenden Anwendungen,wie dem Active Directory, Exchange oderdem SQL Server, kann Acronis umgehen.

Der Small Business Server und Exotenwie der MultiPoint Server sind ebenfallsdabei. Im Hinblick auf die Lizenzkostenbehandelt Acronis alle Server gleich. Le-diglich der Agent für Windows Server Es-sentials wird als Einsteiger-Modell güns-tiger angeboten. Weiterhin unterstütztAcronis einen bunten Strauß an Linux-Distributionen. Linux zählt dabei grund-sätzlich zu den S ervern, was der Vertei-lung im Markt entsprechen dürfte undnur dort ungünstig ist, wo Linux tatsäch-lich flächendeckend auf Desktops läuft.

Virtualisierung und Clouds berücksichtigtNeben der Absicherung einzelner Work-stations oder Server bietet Acronis auchSchutz auf Basis kompletter Virtualisie-rungshosts. Der Agent "Acronis Backup12 for Virtual Host" wird pro physischemHost unabhängig von der Anzahl der VMslizenziert. Auch die Anzahl der Prozes-soren oder andere Merkmale des Hostsspielen hierbei keine Rolle. Ein Host darfmit der Basis-Variante von Acronis Ba-ckup unter VMware ESXi oder MicrosoftHyper-V laufen.

Als Plattform für VMs können auch dieCloud-Dienste Microsoft Azure und Ama-zon EC2 dienen. Hier läuft der Backup-Agent aber, wie bei einzelnen physischenMaschinen, direkt in der VM. Backup undWiederherstellung funktionieren hier ge-nauso wie bei physischen Maschinen. Weranderweitige Hypervisoren wie Citrix Xen-Server, KVM, Red Hat Enterprise Virtua-lization oder den Oracle VM Server absi-chern möchte, muss wiederum zu AcronisBackup Advanced greifen.

Bis zum Redaktionsschluss noch nicht ver-fügbar war die Integration von MicrosoftsOffice365-Cloud sowie die Sicherung vonmobilen Endgeräten. Acronis hat verspro-chen, die beiden Funktionen noch vor demErscheinen dieser Ausgabe mit einem Up-date nachzureichen. Im Fall von Office365bietet Microsoft selbst kein durchgängigesBackup-Konzept. Diese Lücke will AcronisBackup 12 schließen und die Sicherungvon Daten aus Office365 in die AcronisCloud oder auch auf lokalen Storage im in-ternen Unternehmensnetz ermöglichen.Zur Sicherung mobiler Endgeräte unterApple iOS oder Google Android wirdAcronis mit dem anstehenden Update ent-sprechende Apps veröffentlichen. Diesesollen dann die Kontakte, Fotos, Videos,Kalender, nur unter Android auch die Text-nachrichten und nur unter iOS die Er in-nerungen ins Backup einbeziehen. Als Zielfür die Backup-App kommt nur Speicherin Acronis’ Cloud in Betracht.

Schnelle InstallationIm Rahmen unseres Tests haben wir dieKonsole und die zugehörigen Manage-ment-Dienste auf einem Windows Server2012 R2 installiert. Positiv überrascht wa-ren wir davon, wie einfach die Installationgelingt. Das ungefähr 1 GByte große In-stallationspaket bringt alles mit, was eszum Funktionieren benötigt. Das Setuperwartet keinerlei Windows-Rollen oder-Features, keine Datenbank und auch kei-ne bestimmte .NET-Version oder ähnlicheVoraussetzungen. Gleiches gilt übrigensauch für die Installation der Agenten un-ter Windows und macOS.

Lediglich unter Linux ist etwas mehr En-gagement erforderlich. Dort erwartet Acro-nis die Kernel-Quellen, den GNU Compiler

(GCC) in der Version, mit der auch derKernel kompiliert wurde, sowie weiterhindas Tool "Make" und den Perl-Interpreter.Das Handbuch gibt ausführliche Hinweisezur Einrichtung dieser Pakete. Doch zurückzu unserem Windows Server.

Hier akzeptierten wir die Lizenzbedingun-gen, lehnten die Teilnahme am Programm

ProduktSoftware zur Datensicherung für heterogene Umgebungen.

HerstellerAcroniswww.acronis.com/de-de/

PreisZu unterscheiden ist zwischen einem Kauf-und einem Subskriptionsmodell. Beim Kaufkostet die unbefristete Workstation-Lizenzrund 70 Euro, während für Windows ServerEssentials etwa 400 Euro fällig werden. DieServer-Edition kostet 700 Euro, die Virtual-Host-Edition rund 740 Euro. Im Abonne-ment beginnt die Workstation-Variante bei29 Euro pro Jahr, für Windows Server Essen-tials sind mindestens 200 Euro pro Jahr zuberappen, für die Server-Edition mindestens350 Euro und für die Virtual-Host-Editionrund 370 Euro jährlich.

SystemvoraussetzungenBrowser zur Bedienung der KonsoleGoogle Chrome ab Version 29; Mozilla Fire-fox ab Version 23; Opera ab Version 16; Mi-crosoft Internet Explorer ab Version 10; AppleSafari ab Version 5.1.7. Für eine On-Premi-ses-Installation der Konsole kommenWindows ab Windows 7, Windows Server abWindows Server 2008 und Linux in Frage.

Backup-AgentenDer Backup-Agent läuft auf nahezu allen er-hältlichen Windows-Versionen. Auch für diemeisten Linux-Distributionen ist der Agentverfügbar. Auch macOS ab Version 10.08steht auf der langen Liste der unterstütztenBetriebssysteme.

Unterstützte Anwendungen Auch hier ist die Aufzählung lang, prinzipiellwerden fast alle Microsoft-Anwendungenwie das Active Directory, Exchange Server,SQL Server oder SharePoint 2013 unterstützt.

Technische Datenwww.it-administrator.de/downloads/

datenblaetter

Acronis Backup 12


26 November 2016 www.it-administrator.de

Acron is Backup 12Tests

zur Kundenzufriedenheit aber ab. Imnächsten Schritt entschieden wir uns fürdie Installation von Backup ManagementServer und Agent. Weiterhin beließen wires bei den Standard-Einstellungen. Dieseumfassten neben dem Management Serverund Agenten den "Bootable Media Builder"für Wiederherstellungs-Medien, zum Bare-Metal-Restore ein Befehlszeilenwerk-zeug sowie den Backup Monitor, der alsIcon im System Tray über den aktuellenSicherungsstatus informiert. Damit konn-ten wir die Installation auch schon begin-nen, die in Windeseile abgeschlossen war.Alle nötigen Ausnahmen in der Windows-Firewall erledigte das Setup-Tool selbsttätigfür uns, so dass wir uns anschließend unterder Adresse "http://Name des Server:9877"anmelden konnten. Eine Absicherung derSeite mittels SSL-Zertifikat hat der Her-steller nicht vorgesehen. Anmelden dürfensich alle Mitglieder der lokalen Gruppe"Acronis Centralized Admins", zu denenautomatisch auch die Gruppe der Domä-nen-Admins gehört.

Intuitive WebkonsoleNach dem Login begrüßte uns die erfreu-lich einfach zu bedienende Konsole miteinem aufgeräumten und modernen De-sign, das sowohl klassisch per Maus alsauch auf Touch-Displays sehr gut zu be-dienen ist. Das vertikale Menü in der lin-ken Fensterhälfte umfasst fünf Hauptpunk-te, die teils noch Unterpunkte einblenden.Im Fall der "Geräte" ist das Untermenü dy-namisch und enthält zunächst nur denPunkt "Alle Geräte". Weitere Unterpunktewie "Virtual Machines", "VMware" oderauch "Microsoft Exchange" erscheinen nur,wenn es tatsächlich entsprechende Agentenin der Umgebung gibt.

Agenten werden auf den Zielsystemenwahlweise lokal und manuell installiertoder aber vom Backup Management Ser-ver zentral verteilt. Das testeten wir miteinem Windows-7-Client über die Schalt-fläche "Hinzufügen" im Bereich "Geräte".Acronis listet hier die verfügbaren Agen-ten unterteilt nach Workstations, Servern,Virtualisierungshosts sowie Applikations-servern auf. Zur Integration unseresClients mussten wir lediglich zwei klei-nere Hürden nehmen, auf die uns Acronisaber leicht verständlich hinwies.

Zum einen mussten wir auf dem Zielsys-tem die Datei- und Druckerfreigabe ak-tivieren und zum a nderen zunächst daspassende Setup für den Agenten herun-terladen. Hierzu bot der Assistent einendirekten Link an. Alternativ hilft der Ac-count-Button ganz oben rechts in derKonsole weiter. Neben Ändern der Spra-che – ganze 18 Sprachen an der Zahl –und Abmelden findet sich hier der Punkt"Downloads". Der versorgt den Server aufWunsch mit den aktuellen Versionen allerverfügbaren Agenten.

Nach dem Download mussten wir dannnur noch einen administrativen Accountangeben und konnten den Agenten aufdas Zielsystem ausbringen. Ein erstesBack up war ebenso schnell konfiguriert.Wir wählten im entsprechenden Dialogein Backup der kompletten Maschine. Al-ternativ ist auch die Sicherung einzelnerLaufwerke/Volumes, Dateien/Ordner oderauch nur des Systemzustandes möglich.

Weiterhin ist das Backup-Ziel zu definie-ren. Wir bestimmten hierzu zunächst eineSMB-Freigabe auf unserem Backup Server.Alternativ ließe sich an dieser Stelle auchdie Acronis Cloud anbinden. Auch beimZeitplan für Backups und der Aufbewah-rungsdauer gibt sich das System flexibel.Hier waren wir mit der Voreinstellung ei-nes täglichen Backups zufrieden, dessenVersionen täglich für sieben Tage, wö-chentlich für vier Wochen und monatlichfür sechs Monate aufbewahrt werden.

Acronis bietet zu guter Letzt noch dieMöglichkeit, Backups zu replizieren, alsoin der Cloud und auch lokal zu speichern.Wer der Cloud nicht traut, kann das Back -up zudem verschlüsseln, muss aber natür-lich zumindest Vertrauen in den Herstelleraufbringen. Laut Acronis kommt zur Ver-schlüsselung der AES-Algorithmus mit ei-ner wählbaren Schlüssellänge von 128, 192oder 256 Bit zum Einsatz, wobei der SHA-256-Hash-Wert eines vom Admin gewähl-ten Kennworts als Schlüssel dient. Für un-ser lokales Backup verzichteten wir aufReplikation und Verschlüsselung.

Vielfältige Restore-OptionenAuch bei der Wiederherstellung bietetAcronis zahlreiche Optionen. Sowohl

physische als auch virtuelle Maschinenstarten von dem als Download verfügba-ren Boot-Medium. Darüber konnten wireine komplette Systemwiederherstellungdurchführen oder auch einzelne Objektezurückholen. Letzteres ist aber einfacherund schneller über die Konsole erledigt.

Dort konnten wir nach erfolgter Sicherungdas Zielsystem auswählen und die Wie-derherstellung beginnen. Dateien undOrdner spielt Acronis wahlweise auf das-selbe oder ein anderes Ziel zurück undwusste dabei mit der Funktionsvielfalt zuüberzeugen. Die Software validiert das Backup auf Wunsch vor der Wiederher-stellung und lässt mit Hilfe des Dateifilters,der sich auch auf Wildcards versteht, be-stimmte Dateien oder Pfade weg. Rekon-struierte Dateien behalten entweder ihreursprünglichen Berechtigungen oder er-ben die des neuen Zielpfads. Sollten Fehlerauftreten, unternimmt das System eine de-finierbare Anzahl erneuter Versuche. Au-ßerdem konnten wir festlegen, ob beimRecovery Mount-Punkte berücksichtigtwerden sollen, und den Prozess im Hin-blick auf die Performance priorisieren. So-wohl vor als auch nach der Wiederherstel-lung konnten wir Skripte oder ausführbareDateien mit Parametern ausführen. Acro-nis stellt Dateien und Ordner wahlweisemit vollständigem oder relativem Pfadwieder her, protokolliert seine Aktionenim Windows-Ereignisprotokoll und re-konstruiert je nach Wunsch die ursprüng-lichen Zeitstempel oder vergibt neue.

Alternativ zur Wiederherstellung auf einemZielsystem konnten wir einzelne D ateienoder Ordner samt Inhalt auch direkt in derKonsole aus einem Backup herunterladen.

Mehr Möglichkeiten mit VirtualisierungVirtuelle Maschinen unter Hyper-V oderESXi sichert Acronis, ohne dass dazu einAgent in jeder VM nö tig wäre. Für Hy-per-V bietet Acronis dazu einen Agenten,der aus einem MSI-Setup direkt auf demVirtualisierungshost installiert wird. ImFall eines ESXi-Hosts steht eine virtuelleLinux-Appliance bereit, die als zusätzlicheVM auf dem Host läuft. Alternativ läuftder Backup-Agent unter Windows. Dabeidarf es sich um eine beliebige von Acronis


www.it-administrator.de November 2016 27

Acron i s Backup 12 Tests

unterstützte Windows-Version handeln.Der Vorteil der Windows-Variante bestehtdarin, dass dann das Backup-System auchaußerhalb des Virtualisierungshosts etwaauf einer separaten Hardware laufen kann,falls dies aus Gründen der Performancegewünscht ist. Acronis nutzt die nativeStorage-API des ESXi-Hosts, um Snap-shots der zu sichernden VMs anzulegenund diese als Image an einem Speicherortdes Backup-Systems abzulegen. Das Gan-ze funktioniert allerdings nicht in der kos-tenfreien Variante von ESXi, da die ent-sprechende API dort nicht zur Verfügungsteht. In diesem Fall muss also doch einAgent in jeder VM vorhanden sein.

Für das agentenlose Backup benötigtAcronis Netzwerkzugriff auf den vCenterServer und den Storage für virtuelle Ma-schinen. Für die Anmeldung am vCenterempfiehlt der Hersteller, ein Konto mitAdministrator-Berechtigungen zu ver-wenden. Wer Zugriffsrechte lieber gra-nular vergibt, findet alternativ in der Be-nutzeranleitung zum Backup Service einedetaillierte Tabelle mit sämtlichen Be-rechtigungen, die der Agent benötigt.

Sollte der Storage des Hosts per SAN ver-bunden sein, empfiehlt Acronis weiterhin,dass die Maschine mit dem Agenten an

dasselbe SAN angeschlossen ist. DerAgent spricht dann für das Backup derVMs direkt mit dem SAN, anstatt einenUmweg über den ESXi-Host und dasLAN zu gehen. Die Darstellung der gesi-cherten VMs in der Backup-Konsole ent-spricht genau der Hierarchie, wie sie auchin der Verwaltung von VMware oder Hy-per-V angezeigt wird.

Wiederherstellung von VMsBei der Wiederherstellung einer bereitsexistierenden VM nutzt Acronis den so-genannten "Flashback". Diese Technolo-gie beschleunigt das Recovery, indem siedie VM im B ackup auf Blockebene mitdem Ziel vergleicht und anschließendnur die gefundenen Unterschiede wie-derherstellt. Wenn nicht die kompletteWiederherstellung einer VM das Ziel ist,sondern nur einzelne Informationen auseinem früheren Stand des Systems gefragtsind, kann Acronis eine solche Sicherungauch direkt als VM st arten – natürlichvorzugsweise ohne Netzwerk, damit dieseVM nicht mit dem gleichzeitig laufendenOriginal kollidiert.

Weitere äußerst nützliche Funktionensind "Universal Restore" sowie die Repli-kation von VMs. Mit dem "Universal Re-store" kann Acronis Maschinen auch aufabweichender Zielhardware wiederher-stellen, indem der Recovery-Prozess Trei-ber und Module aktualisiert, die das Be-triebssystem zum Starten auf einer neuenHardware oder in einer neuen virtuellenUmgebung benötigt. Acronis Backup po-sitioniert sich damit als Werkzeug zurUnterstützung aller Arten von Migratio-nen und das unabhängig davon, ob phy-sische Systeme virtualisiert werden oderzwischen verschiedenen virtuellen Um-gebungen migriert werden sollen.

Zukünftig auch Office365 im BackupÜberzeugen konnte Acronis Backup 12auch bei der Integration der Anwen-dungsserver. Hier haben wir uns exem-plarisch Backup und Restore von Micro-soft Exchange angesehen. Wenn einvirtueller Exchange-Server agentenlos ge-sichert wird, funktioniert ein Restore bishinunter auf die Ebene einzelner Postfä-cher, die in diesem Fall nur komplett res-

tauriert werden können. Für die Wieder-herstellung einzelner Objekte, wie E-Mailsoder Kontakte, ist der entsprechendeAgent direkt in der VM des ExchangeServers nötig. Der kann E-Mails oder de-ren Anhänge sogar unabhängig von Ex-change direkt in der Backup Konsole an-zeigen und aus der Sicherung extrahieren.

Wie wir uns an Hand einer Demo-Um-gebung von Acronis überzeugen konnten,wird dies mit dem kommenden Updatein identischer Weise auch für Backupsvon Postfächern aus Office365 gelten. DerAgent für Office365 läuft auf einer belie-bigen Windows-Maschine und benötigteinen Account mit administrativen Rech-ten in Office365.

FazitAcronis Backup 12 konnte im Test vollüberzeugen. Inbetriebnahme und Erst-konfiguration gelingen schnell, Backupund Recovery ebenso. Interessant sinddabei besonders die vielfältigen Optio-nen bei der Wiederherstellung bis hinzur Restauration einzelner Objekte ausdem Dateisystem und Applikationsser-vern. Sobald Acronis mit dem Updateauch Office365 und mobile Endgeräteintegriert, lässt die L ösung kaum mehrWünsche offen. (ln)

Bild 2: Der Backup Server verteilt die Agentenzentral an alle Zielsysteme.

So urteilt IT-Administrator

optimal für hybride Infrastrukturen mit loka-len und Cloud-Ressourcen.

bedingt für Firmen, die andere Hypervisorenals Hyper-V oder ESXi einsetzen.

nicht für Organisationen, die auf Desktopsflächendeckend Linux verwenden.

Inbetriebnahme 7

Recovery 8

Unterstützte Betriebssysteme 8

Integration von Virtualisierungshosts 7

Backup von Office365 8

Die Details unserer Testmethodik finden Sieunter www.it-administrator.de/testmethodik

Dieses Produkt eignet sich


30 März 2017 www.it-administrator.de

ehr positiv an vSphere 6.5 ist dienach wie vor sehr einfache Instal-

lation. Mit wenigen rudimentären Ein-gaben ist der vSphere-Host sehr schnellaufgesetzt. Die Oberfläche (Direct Con-sole User Interface, DCUI) unterscheidetsich ebenfalls nicht zu der des Vorgän-gers. Auch hier ist alles b eim Alten ge-blieben und der Administrator muss sichnicht umgewöhnen.

Bei den maximal nutzbaren Ressourcenhat sich nur wenig geändert. Das betrifftdie Anzahl der logischen vCPUs pro Hostund den maximal adressierbaren Arbeits-speicher pro VM. Letztgenannte Werter-höhung ist im Arbeitsspeicher laufendenDatenbanken geschuldet, wie zum B ei-spiel der SAP-Hana-Datenbank.

Immer Ärger mit dem ClientEine Ankündigung, die schon seit einigenvSphere-Versionen durch das Netz geis-tert, ist nun Wirklichkeit geworden: Der

C#-Client ist (fast) tot, es lebe der Web-Client. Der Zugriff auf den Host kannnun mit dem Web-Client erfolgen undalle notwendigen Arbeiten werden un-terstützt. Damit ist der letzt e Grund fürden Einsatz des C#-Clients gefallen. Zwarist der Zugriff auf den Host derzeit nochmöglich, er unterstützt aber nicht mehralle Funktionen. Etwas mehr Konsequenz,indem dieser Zugriff komplett unterbun-den würde, wäre hier sicherlich von Vor-teil gewesen, denn viele Anwender arbei-ten immer noch mit dem C#-Client.

Auf der Fling-Seite [1] von VMware istder HTML5-Client schon länger verfüg-bar, bislang war es allerdings notwendig,ein Softwarepaket auf dem Host zu in-stallieren. Jetzt sind alle benötigten Kom-ponenten Teil des Systems. Die Anord-nung der Elemente im Client hat sichetwas geändert, aber der Client ist gutnutzbar und steht dem alten in nichtsnach. Aber Achtung: Client ist nicht

gleich Client, denn es gib t zwei unter-schiedliche Versionen auf der Fling-Seite,eine für den Host und eine für das vCen-ter. Und auch wenn es bis zur letztenvSphere-Version noch möglich war, mitdem alten Client auf das vCenter zuzu-greifen, so ist das mi t dem vC enter 6.5nicht mehr machbar. Auch wenn Sie zuBeginn noch den bekannten Ladeprozessdes Clients sehen, so ist der Zugriff letzt-endlich doch nicht möglich.

Die Struktur des Web-Clients hat VM-ware zwar noch einmal optimiert, eswird aber leider immer noch Flash be-nötigt. Und nur der Flash-basierte Clienthat die volle Funktionalität für die Ad-ministration. HTML5 und Javascriptstehen jedoch im Fokus des zukünftigenWeb-Clients [2]. Dieser ist ebenfalls einFling und benötigt einige Eingriffe insSystem sowie eine Appliance. VMwarehat sich aber nicht lumpen lassen undhat einen rudimentären HTML5-Client

S

Neuerungen in vSphere 6.5

Sphären-bewegungvon Bertram Wöhrmann

VMware vSphere 6.5 bringt zahlreiche neue Funktionen, verbesserte Details und natürlich eine Erweiterung von nutzbaren Ressourcen. Große Änderungen hat insbesondere die vCenter Server Appliance erfahren. Aber auch neue Funktionen zur Systemsicherheit, im Dateisystem und am Web-Client unterstützen den Administrator.

Que

lle: T

om D

e Sp

iege

laer

e –

123R

F

S030-035_ITA_0317_P02_Experteach-EAZ-SH0117_ok_ln_ITA_Default 20.02.2017 11:07 Seite 2

www.it-administrator.de März 2017 31

vSphere 6 .5 Prax i s

schon in vCenter 6.5 integriert. Dieserbesitzt jedoch noch nicht die volle Funk-tionalität, denn diese Version ist älterals die unter [2] downloadbare. BeimAufruf der Webseite des vCenter-Serversfinden Sie oben links zwei unterschied-liche Links, jeweils einen für die ent-sprechende Client-Variante mit Flashoder HTML5.

Der reine Web-Client bietet jetzt eine an-sprechendere Oberfläche und auch dieArbeitsgeschwindigkeit hat sich wesent-lich verbessert. Die Release-Zyklen vonClient und vSphere hat der Hersteller nunoffiziell getrennt, sodass der Client schnel-ler weiterentwickelt werden kann alsvSphere selbst. So lassen sich hoffentlichweitere Funktionen möglichst schnell in-tegrieren, sodass der HTML5-Client denFlash-basierten Client möglichst schnellablösen kann. Viele Unternehmen haderndamit, dass eine angreifbare Komponentewie Flash in Bereichen bereitgestellt wer-den muss, die höhere Sicherheitsanfor-derungen haben.

Neuerungen für den Admin-AlltagBeim direkten Zugriff auf den Host stehenIhnen mit vSphere 6.5 neue Optionen derAdministration zur Verfügung. Dazu zäh-len Funktionen, die vormals nur über dieKommandozeile nutzbar waren, etwaVIB-Pakete über den Web-Client zu in-stallieren. Logischerweise ändern Sie dortauch den "Acceptance Level", der festlegt,von wem die zu installierenden Paketesigniert sein müssen. Angenehm ist einneues Host-Kontextmenü zur Aktivierung

und Deaktivierung von SSH beziehungs-weise des Direct Console User Interface.Es handelt sich dabei um die Konsole, dieSie direkt am Monitor der Hosts sehen.Der aufwändige Weg über die Freischal-tung der Firewall und Dienste ist dortjetzt nicht mehr nötig. Viele der neuenFunktionen werden allerdings erst sicht-bar, wenn der Host mit einem Manage-mentsystem verbunden ist. Die Host-Pro-file erlauben Ihnen nun, eine Hierarchiean Profilen festzulegen. Eine interessanteOption besteht hierbei für statische Ein-träge wie zum Beispiel IP-Adressen. Diesekönnen Sie über ein CSV-File Hostgrup-pen zuweisen.

Auch haben die Systemmeldungen beider Compliance-Anzeige mehr Informa-tionsgehalt als vorher. Damit fällt es durcheinen Vergleich von altem und neuemWert leichter, mögliche Fehler zu finden.Und für "AutoDeploy" lässt sich die Kon-figuration nun im Web-Client vorneh-men. Gleiches gilt für den Image Builder,der nun ebenfalls über den Web-Clientverwaltbar ist.

Der High-Availability-Funktion spendiertVMware mit vSphere 6.5 ein neues Ele-ment, das "proaktive HA". Dabei werdenZustandsinformationen des Hosts mit HAverknüpft. Werden in einem Host Kom-ponenten als potentiell defekt erkannt,bekommt der Host eine Markierung unddie gehosteten VMs werden vom Hostmigriert, um einen Ausfall der Dienstezu verhindern. Auch entsprechende Neu-startregeln für VMs mit Abhängigkeitenkönnen Sie dabei hinterlegen.

Bei der Storage-Verwaltung erlaubt dieneue vSphere-Version 512 LUNs mit biszu 2000 Pfaden und unterstützt das 512e-Format. Diese Festplatten haben eine Sek-torgröße von 4 KByte statt 512 Bytes. Da-mit besteht ein Support für "AdvancedFormat Drives". Eine volle direkte Unter-stützung der Blockgröße von 4096 Byteist hingegen noch nicht implementiert.Bei mit IP angebundenem Storage wirdmit NFS 4.1 der Kerberos-Integritätscheckunterstützt sowie die Nutzung von IPv6.Bei Anbindungen über den SoftwareiSCSI Initiator darf das Target nun auchin einem anderen Netzsegment liegen.

Bei den Tools zur Automatisierung lassensich in der PowerCLI über die Rest-APInun mehr Funktionen für die Adminis-tration der vCenter Server Appliance(VCSA) adressieren. Die Rest-API st elltBasisfunktionen für das Management vonvirtuellen Maschinen bereit. Der IT-Ver-antwortliche kann diese Funktionen überden neuen "API Explorer" nutzen. Wirfinden diese Idee gut, erlaubt sie doch ei-nen Einblick in viele Funktionsweisen unddie Abbildung der getätigten Arbeitsschrit-te in Skripten. Und auch die vSphereCLIhat Befehlszuwachs bekommen: DieESXCLI-Befehle stellen nun noch mehrOptionen für das Management bereit.

VMFS 6 bringt Änderungen bei SnapshotsvSphere 6.5 bringt VMFS in Version 6.x,bislang (vSphere 6.0) war 5.x aktuell. Je-doch bietet sich keine Upgrade-Optionfür das Filesystem. Es ist demnac h einegenauere Planung der Aktualisierung derFilesysteme notwendig, denn dazu müs-sen Sie die Datastores freiziehen für dieanstehende Neuformatierung. Sie solltenalso abwägen, ob Sie eine solche Migra-tion durchführen.

Die technischen Änderungen sind nichtsonderlich umfangreich. Grundsätzlichkönnen nur Hosts der Version 6.5 oderhöher mit VMFS 6 arbeiten, ältere Hosts(vSphere 6.0 und früher) haben keinenZugriff auf das neue Filesystem. Im Ge-genzug kann vSphere 6.5 auf VMFS-Be-reiche bis zurück zur Version VMFS 3 zu-greifen und sowohl VMs anlegen als auchstarten. Die automatische Rückforderung

Ausgewählte neue vSphere-Maximalwerte

Alter Wert Neuer Wert

Host-RAM 12 TByte 12 TByte

Logische CPUs pro Host 480 576

NUMA-Knoten pro Host 16 16

vCPU pro Host 4096 4096

vCPU pro Core 32 32

VMs pro Host 1024 1024

vCPUs pro VM 128 128

vRAM pro VM 4 TByte 6 TByte

vCPUs per Fault Tolerance VM 4 4

Hosts pro Cluster 64 64


32 März 2017 www.it-administrator.de

vSphere 6 .5Prax i s

von Plattenplatz, die früher nur über hän-dische Eingriffe möglich war, ist nun Be-standteil des Filesystems und wird auchim Gastbetriebssystem unterstützt. EinePartitionierung von Speichergeräten mitMBR fehlt in vSphere 6.5, Sie müssenzwingend mit GPT (GUID Partitionsta-belle) arbeiten. Das gilt aber nur für dieNeuanlage eines VMFS-6-Datastores.

Snapshots für VMs hat VMware wiedervereinheitlicht: Bei der älteren VMFSVersion 5.x werden Snapshots, die klei-ner 2 TByte sind, mit VMFSsparse (Vir-tual Machine Filesystem Sparse) erstellt.Dabei handelt es sich um eine Redo-Log-Technik, die alle Änderungen in das ent-sprechende Log schreibt und bei Bedarfzurückholt oder verwirft. Größere vir-tuelle Festplatten nutzten SEsparce (Space Efficient Sparse), hierbei sprechenwir von einer virtuellen Disk. VMFS 6.xarbeitet exklusiv mit letzterer Technolo-gie. Der Hauptunterschied liegt in derverwendeten Blockgröße, die bei der äl-teren Version 512 Bytes und bei VMFS6.x 4 KByte beträgt. Außerdem erfolgtdas Speicherwachstum beziehungsweise-reduktion dynamisch. Trotz der Unter-schiede können Datastores mit VMFS 5und 6 in einem D atastore-Cluster ge-mischt werden.

Auch im Bereich des netzwerkbasiertenStorages gibt es Erleichterungen: War esbei den älteren Versionen notwendig, mitstatischen Routen für unterschiedlicheDienste zu arbeiten, weil sich in der GUInur ein Gateway eintragen ließ, so könnenSie nun für die einzelnen Netzwerke ei-gene Gateways direkt einrichten.

Neues aus dem vCenterAuch der vCenter-Server kann nun nochgrößere Umgebungen managen. Dabei pro-fitiert am meisten die VCSA mit der inte-grierten Postgres-DB, aber auch das vCen-ter unter Windows kann mit der internenDB nun größere Umgebungen betreiben.Aber es sind weiterhin nur sehr kleine Um-gebungen möglich, die Maximalwerte lie-gen bei 20 Hosts und 200 VMs.

Größere Änderungen hat die vCenter Ser-ver Appliance erfahren. Das beginnt schonbeim Betriebssystem, denn die VCSA-Basisist nun kein SuSE-Linux mehr, sonderndas Photon OS von VMware. Dabei han-delt es sich um ein Mini-Linux als Con-tainer-Host. Die Datenbank der VCSA ba-siert zwar weiterhin auf Postgres, aber eswerden keine externen Datenbanken mehrunterstützt. Soll eine externe DB zum Ein-satz kommen, müssen Sie mit dem Win-dows-basierten vCenter arbeiten. Auch dieMaximalkapazitäten der VCSA sind ge-stiegen: So erlaubt VCSA 6.5 nun 2000Hosts und 25.000 VMs (von 1000 bezie-hungsweise 10.000 bei VCSA 6.0).

Die Bereitstellung der Appliance hat sichebenfalls geändert und besteht jetzt auszwei Schritten: der eigentlichen Bereitstel-lung (Stage 1) und der späteren Konfigu-ration (Stage 2). Die B ereitstellung kanndabei über alle gängigen Systeme erfolgen,unterstützt sind Windows, Linux und mac-OS. Beim Start der Installation stehen Ih-nen vier Optionen zur Verfügung:- Einrichtung einer neuen VCSA- Aktualisierung einer bestehenden VCSA,

mit der Übernahme der vorhandenenInformationen

- Migration von einem Windows-basier-ten vCenter auf eine VCSA

- Wiederherstellung aus dem Backup

Die vom Hersteller unterstützte Migra-tion vom Windows-basierten vCenterzur VCSA dürfte für viele IT-Verantwort-liche interessant sein. Auch hier hat einFling den Weg in das finale Release ge-funden und das Upgrade auf eine neueVCSA-Version mit frisch installierterVCSA verhindert, dass alte Fragmentedes bestehenden Systems die neue Ap-pliance stören. Somit steigt die Qualitätund Altlasten behindern die neuen Soft-warekomponenten nicht. Hier ist klar zu erkennen, dass VMware ein Hauptau-genmerk auf die VCSA richtet. Eine Be-reitstellung per Skript ist natürlich eben-falls möglich.

Ist die VCSA erstellt, nehmen Sie die wei-teren Schritte über den Webbrowser vor.Der dazu benötigte Link findet sich nachder Bereitstellung und Sie können darübermit den weitergehenden Arbeiten begin-nen. Sollte nach dem Bereitstellungsprozessdas Fenster geschlossen worden sein, star-ten Sie Stage 2 durch die Verbindung mitder neuen VCSA über den Browser. Dazunutzen Sie die URL "https://KomponentenFQDN:5480".

Die grundsätzliche Architektur hat sichnicht geändert. Es gibt weiterhin einenPlattform Services Controller (PSC) unddie damit verbundene vCenter-Server-Komponente. Mit mehreren PSCs undeinem vorgeschalteten Loadbalancerlässt sich zum Beispiel Hochverfügbar-keit abbilden. Mit der neuen Funktion"vCenter HA", die nur für die VCSAnutzbar ist, kann mit der VCSA ein Ak-tiv-Passiv-Cluster aufgebaut werden.Damit wird die Verfügbarkeit der VCSAund der zugehörigen Subkomponentenweiter erhöht, ohne dass Sie zusätzlicheRessourcen benötigen. Notwendig isthier lediglich eine zweite Netzwerkkartefür die Datenreplikation. Der Adminis-trator wird, wenn gewünscht, durch eineautomatische Bereitstellung unterstütztoder kann den Vorgang komplett in Ei-genregie durchführen. Zur Aktivierungder HA muss eine VCSA 6.5 in einer ak-tuellen vSphere-Umgebung existieren.

Bild 1: Das Clustern einer VCSA erhöht die Verfügbarkeit, ohne das zusätzliche Ressourcen nötig sind – mit Ausnahme einer zweiten Netzwerkkarte.


www.it-administrator.de

vCenter aktualisierenEine Aktualisierung der vCenter-Umgebung folgt immer einerspeziellen Reihenfolge. Sie müssen immer mit dem PSC b e-ginnen und dabei die gesamte Kette bearbeiten. Erst wenn Siealle PSCs auf eine identische Version gebracht haben, dürfenSie die vCenter-Server aktualisieren. Bei den Arbeitsschrittenunterscheidet sich die VCSA von dem Windows-Pendant: Inder Managementoberfläche der VCSA können Sie Minor Up-grades direkt einspielen. Entweder über eine Internetverbindungoder Sie binden ein ISO-Image ein, das sic h bei VMware he-runterladen lässt. Achten Sie darauf, dass es für den PSC (nurzu nutzen bei einer getrennten Bereitstellung von PSC undvCenter) ein eigenes ISO-File gibt. Für eine Komplettbereit-stellung beziehungsweise nur für das vCenter existiert ein an-deres ISO.

Bei einem Major Release sieht der Prozess etwas anders aus:Die Aktualisierungsroutine stellt eine komplett neue VCSA be-reit, die eine temporäre Netzwerkkonfiguration erhält, damitsie alle Konfigurationseinstellungen und die Datenbank vonder älteren VCSA herunterladen kann. Im Folgenden wird diealte VCSA heruntergefahren und die neue V CSA übernimmtderen Identität.

Führen Sie eine Aktualisierung von 5.5 oder 6.0 auf Version 6.5durch, wird – sofern mit der VCSA verbunden – der Updatema-nager automatisch in die neue VCSA integriert. Gleiches gilt fürexterne Datenbanken. Die Daten werden aus der externen Da-tenbank extrahiert und in die interne Postgres-Datenbank ein-gespielt. Der alte Datenbankserver ist damit obsolet.

Beim vCenter unter Windows hat sich bei der Installation nichtsgeändert. Es gibt drei Elemente zur Installation: vCenter, Up-datemanager und den D ownload-Dienst für den Updatema-nager. Wie seit der Version 6.0 gewohnt, bringt die Installationeine integrierte Postgres-DB mit. Bei größeren Umgebungen(größer als 20 Hosts, 200 VMs) ist es notwendig, mit einer ex-ternen Datenbank wie MS SQL Server oder Oracle zu arbeiten.Bei einem Upgrade eines vCenters unter Windows ist die Ar-beitsreihenfolge die gleiche wie bei der VCSA: PSC, vCenterund zu guter Letzt der Updatemanager. Die Auswirkungen einerAktualisierung hängen grundsätzlich von der derzeitig instal-lierten Version ab. Die einzige mögliche strukturelle Änderungist der Tausch der in den Versionen 5.5 und älter mitgelieferteninternen DB durch Postgres. Alles andere bleibt, wie es ist.

Für ein Upgrade des vCenters unter Windows müssen Sie zu-nächst überprüfen, ob die zum Ein satz kommende Datenbanknoch in der Supportmatrix von VMware steht. Muss vor der Ak-tualisierung die DB angehoben werden, finden Sie Unterstützungin der Dokumentation der entsprechenden Hersteller. Anschlie-ßend laden Sie bei VMware die passenden Files herunter undinstallieren diese. Die Aktualisierung der Datenbank erfolgt au-tomatisch. Diesen Prozess sollten Sie unabhängig vom genutztenSystem selbstverständlich mit einer Datensicherung oder einemSnapshot absichern.

ITK Training & Consulting

Geförderte ZertifizierungenMittelständler (unter 250 Mitarbeiter) erhalten Fördergelder bis 100%!

Netzwerktechnik & TCP/IP – Blended Learning Programm

mit Abschluss ECNS

Associate Level CCNA Routing & Switching – Kurse ICND1 + ICND2

CCNA Security – Kurse ICND1 + IINS

Professional Level CCNP Routing & Switching – Kurse ROUTE + SWITCH + TSHOOT

CCNP Security – Kurse SENSS + SIMOS + SISAS + SITCS

Wir beraten Sie gerne zu den Fördermöglichkeiten!

Tel. 06074 4868-0 • [email protected]

Technologie-Know-how

www.experteach.de

Weitere Infos finden Sie auf unserer

Website unter www.experteach.de/go/azav

... und alles mit garantierten Kursterminen!


34 März 2017 Link-Codes eingeben auf www.it-administrator.de

vSphere 6 .5Prax i s

Updatemanager integriert sich in VCSADer Updatemanager ist nun über eine 1-zu-1-Verbindung in die VCSA integriert.Es ist nicht mehr notwendig, bei der Nut-zung einer VCSA zusätzlich einen unterWindows installierten Updatemanager be-reitzustellen. Realisiert wurde das als wei-terer Dienst der VCSA. Muss die VCSAjetzt also Zugriff zum Internet haben, da-mit die Patche heruntergeladen werdenkönnen? Ja und nein. S elbstverständlichwird ein Proxy unterstützt, um der VCSAZugriff auf das Internet zu gewähren.Gleichzeitig trägt VMware Kundenanfor-derungen Rechnung und integrierte einenseparaten Download-Dienst für Linux (fin-

det sich auf dem ISO im Ordner "/umds").Es kann damit auch bei der VCSA eineTrennung des Download-Dienstes vomvCenter erfolgen.

Damit ist die VCSA endlich ein vollstän-diger Ersatz für den Windows-basiertenvCenter-Server. Bei diesem hat sich indieser Hinsicht nichts geändert: Sie kön-nen vCenter und Updatemanager auf ei-ner Maschine oder auf zwei unterschied-lichen Servern installieren. Es wird aberimmer noch eine separate DB für denUpdatemanager benötigt. Der Update-manager unter Windows hat, aus Sichtdes Managements, die gleichen Ände-rungen erfahren, wie sein Pendant unterLinux. Er integriert sich jetzt allumfäng-lich als 1-zu-1-Verbindung ins vCenterund kann komplett über den Web-Clientgemanagt werden.

Sicherheit durch VerschlüsselungEine wichtige Änderung für viele VM-ware-Kunden ist die Möglichkeit, Festplat-ten der virtuellen Maschinen zu verschlüs-seln. Dieser Vorgang ist unabhängig vomBetriebssystem der virtuellen Maschine,verschlüsselt wird auf Basis des Storage.Hierzu richten Sie ein entsprechendes Sto-rage-Profil ein und im Zusammenspielmit einem Zertifikat erfolgt dann die Ver-schlüsselung. Die Basis ist hier der Data-store und nicht die VM. Somit kann bei-spielsweise die Betriebssystemplatte nichtverschlüsselt werden, die Datenplatte aberschon. Verschlüsselung hat aber nicht nurbei vDisks Einzug gehalten, auch der vMo-tion-Datenverkehr lässt sich nun auf dieseArt verschleiern. Diese Option bezieht sich

aber auf die VM und nicht nur auf einzelneverschlüsselte Festplatten.

Als weitere neue Sicherheitsfunktion kön-nen Hosts als auch VMs einen SecureBoot durchführen. Beide Systeme müssendafür über ein UEFI BIOS verfügen. BeiSecure Boot werden nur passend signierteFiles genutzt. Wurde ein File getauschtund ist es nicht signiert, wird der Startdes Systems verweigert. Bei der VM findetsich die Einstellung unter den Boot-Op-tionen, am Host muss ein Zertifikat imBIOS hinterlegt sein.

FazitVMware hat mit der neuen Version dieVCSA stark aufgewertet. Aus unserer Sichtist diese allumfängliche Lösung auf einemSystem mit integrierter Datenbank unddem Updatemanager ein starkes Gespann.Lizenzen für mindestens zwei Windows-Systeme und eine Datenbank sind so nichtmehr notwendig und die Basis-Adminis-tration gestaltet sich mit dem integriertenWebinterface sehr einfach. Die Migrationüber eine Neubereitstellung entschärft Pro-bleme mit Systemen, die schon eine langeVersionshistorie hinter sich haben. Es hatden Anschein, dass VMware die VCSA be-vorzugt und entsprechend pusht. Bleibtabzuwarten, ob das s chon ein Abgesangauf das vCenter unter Windows ist. IT-Ver-antwortliche, die weiterhin eine externeDatenbank nutzen wollen, sind auf dasWindows-basierte vCenter angewiesen.

Bei vSphere selbst erhöht die Weiterent-wicklung der einzelnen Funktionen dieBetriebssicherheit der Umgebung, ohneviele unterschiedliche Komponenten zubenötigen. Mit den Ankündigungen fürdie Unterstützung von hybriden Cloudseröffnet VMware interessante Optionenfür den Umgang mit dem eigenen RZ,dem Selbstbetrieb und auch einem po-tenziellen Outsourcing. (jp)

Die Lizenzierung [3] von vSphere 6.5 erfolgtnach wie vor pro Sockel. Jedoch wurden dieunterschiedlichen Lizenztypen leicht ange-passt: Bei vSphere gibt es nur noch die Ver-sionen Standard, Enterprise Plus und Enter-prise Plus mit Operations Management, dieEnterprise-Version entfällt. Die Angebote fürBranch Offices lizenzieren sich über die An-zahl der VMs (in 25er Packs). Hier haben IT-Verantwortliche die Wahl zwischen Standardund Advanced, die sich in der Anzahl dervCPUs bei Fault Tolerance, den Hostprofilen,dem Auto Deploy und dem DistributedSwitch unterscheiden. Die beiden EssentialKits bleiben unverändert und erlauben nachwie vor drei Hosts mit jeweils zwei Sockeln.Preislich recht attraktiv sind die "VMware Acceleration Kits", die als Bundles mit Lizen-zen für sechs Sockel und einem vCenter-Server für die Versionen Standard, EnterprisePlus und Enterprise Plus mit Operations Management vorliegen.

Lizenzierung

[1] VMware Fling H3P21

[2] vSphere HTML5 Web-Client H3P22

[3] Lizenzierung von vSphere 6.5 H3P23

Link-Codes

Bild 2: So präsentiert der neue HTML5-Client die Infrastruktur im vCenter – hier am Beispiel Storage.


38 Dezember 2016 www.it-administrator.de

as Akronym OPNSense ist denEntwicklern zufolge abgeleitet von

"Open" und "Sense" und steht da her für"Open (source) makes sense". OPNSensebasiert auf FreeBSD 10.1 und ist eine Ab-spaltung von pfSense, das wiederum aufdem zwischenzeitlich eingestellten Projekt"M0n0wall" basiert.

Das erste offizielle Release von OPN Senseerschien im Januar 2015, der Code wirdvon der Deciso B.V., einem niederländi-schen Netzwerkausrüster, gepflegt underweitert. Weiterhin bietet Deciso auchkommerzielle Support-Pakete für End-kunden und Systemintegratoren an.

OPNSense verfolgt einen sechsmonatigenRelease-Zyklus für Major Releases. Der-zeit aktuell ist Version 16.7.3 (Dan cingDolphin), die Versionsnummern folgendabei der Namenskonvention "Jahr.Mo-nat", Minor Releases im selben Monatwerden durch eine eigene Zahl gekenn-zeichnet. Die aktuelle Version ist im Juli2016 erschienen und hat zwischenzeitlichdas dritte Minor-Update erfahren. Dasnächste Major Release (17.1) erscheintim Januar 2017, Details zur Roadmapsind unter [1] zu finden.

Enterprise-Features an BordOPNSense läuft auf x86-Hardware (32 oder64 Bit) und damit auch auf den gängigenHypervisoren beziehungsweise in der Ama-zon Cloud (AWS). Unter [2] stehen vierverschiedene Installationsmedien zum kos-tenfreien Download bereit:- cdrom: Standardmedium als ISO Image- vga: USB-Installations-Image- serial: USB-Installations-Image mit Un-

terstützung für die serielle Konsole- nano: Vorinstalliertes "serial"-Image für

4-GByte-USB-Sticks, SD- oder CF-Kar-ten für Embedded Devices

Darüber hinaus existiert auch eine OPN -Sense-Variante auf Basis von Hardened-BSD [3], einem auf hohe Sicherheit opti-mierten Fork des FreeBSD-Projekts. Fürdiese Variante gibt es allerdings keinen of-fiziellen Support.

Die Feature-Liste von OPNSense ist be-achtlich, enthält sie doch neben derIPv4/IPv6-Unterstützung und den klas-sischen Firewall-Funktionen Stateful Pa-cketfiltering, Intrusion Prevention undVPN auch einige regelrechte Enterpri-se-Features:

- Hochverfügbarkeit (HA): OPNSenseunterstützt den Failover-Betrieb überdas Common Address RedundancyProtocol (CARP). Damit lassen sichzwei Firewalls zu einer Failover-Grup-pe zusammenfassen. Im Cluster ist im-mer nur ein System aktiv, Konfigura-tionsänderungen werden auf alle Sys-teme in einer Failover-Gruppe repli-ziert. Fällt das Produktivsystem aus,übernimmt automatisch das zweiteSystem aus der Failover-Gruppe denProduktivbetrieb.

- Multi-WAN-Anbindung und TrafficShaping: OPNSense kann mehrere Internet-Uplinks verwalten und damit Failover, Loadbalancing oder eine Kom-bination beider realisieren.

- Unterstützung für externe Authentifi-zierungsserver: OPNSense bringt eineBenutzerdatenbank mit und bindet zu-sätzlich externe Authentifizierungs-dienste wie LDAP inclusive MicrosoftActive Directory und RADIUS ein.

- 2-Faktor-Authentifizierung: Für dieDienste Web-GUI, Captive Portal, VPN(OpenVPN & IPsec) und den CachingProxy unterstützt OPNSense 2-Faktor-Authentifizierung mit One-Time Pass-words nach dem TOTP-Standard.

D

Freie Firewall OPNSense

Sense mit Angriffenvon Thomas Zeller

Die Auswahl einer geeigneten Firewall ist kein leichtesUnterfangen. Denn neben dem Schutzbedarf des Netz-werks und den daraus resultierenden konkreten Anforde-rungen an die Firewall sind auch das vorhandene Budgetund die Skills des Administrationspersonals zu berücksich-tigen. Das Angebot kommerzieller Firewallsysteme ist rie-sig. Insbesondere kleinere Unternehmen sehen da schnellden Wald vor lauter Bäumen nicht mehr. Hier kann derBlick in die Open-Source-Welt lohnen, denn mit OPN-Sense steht ein freies Firewallsystem auf BSD-Basis zurVerfügung, das auch einige Enterprise-Features bietet.

Que

lle: k

lady

k –

123R

F

S038-043_ITA_1216_P02_ComputecMedia_ok_ITA_Default 18.11.2016 11:11 Seite 2

www.it-administrator.de Dezember 2016 39

OPNSense Prax i s

- HTTP / HTTPS / Caching Web Proxy mitBlacklist Support: Der auf Squid basie-rende Web-Proxy unterstützt auch denTransparent-Modus, bei dem für denProxy-Betrieb keine Änderung an denClients erforderlich ist.

- Captive Portal / Voucher Support: Fürden Betrieb von Gästenetzwerken (Ether-net oder WiFi) bietet OPNSense ein in-tegriertes Captive Portal inklusive Vou-cher-Verwaltung.

- 802.1Q VLAN Support: Unterstützungfür getaggte VLANs zur Verwaltungmehrerer virtueller Netzwerke.

Fokus: NetzwerksicherheitDas Hauptaugenmerk von OPNSense liegteindeutig eher auf dem Network- als aufdem Application Layer. Im Vergleich zumodernen (UTM / XTM) Firewallsyste-men fehlen OPNSense daher zur echtenEnterprise-Firewall eigentlich "nur" einSMTP-Proxy mit Antispam-Funktion,User-/Application-Control beziehungs-weise "Next-Generation Firewallfunktio-nen" und ein Virenscanner. Letzterer lässtsich im Bedarfsfall aber über die integrierteICAP-Schnittstelle von extern andocken,wenn auch derzeit nur für HTTP/HTTPS,nicht aber für SMTP.

Auf Netzwerk-Ebene kann OPNSense da-für aber gleich mehrfach punkten. So bringtes ein sehr leistungsfähiges, auf Suricatabasierendes Inline-Intrusion-Detection-System mit, das "ET Open Rules", die freienIDS-Patterns von Emerging Threats, nutzenkann. Weiterhin bindet OPNSense aufWunsch SSL-Blacklisten von abuse.ch sowiedie – ebenfalls kostenlose – GeoIP-Daten-bank "Maxmind GeoLite2 Country" ein.Ein weiteres Highlight ist der Netflow Ana-lyzer "Insight", mit dessen Hilfe Adminsdie Netzwerknutzung auf Benutzer- undPort- beziehungsweise Protokollebene gra-fisch und "on the fly" aufbereiten können.

Erwähnenswert ist die Tatsache, dass Ad-ministratoren bei OPNSense zwischen derStandard-Kryptobibliothek OpenSSL undder freien Alternative LibreSSL wählenkönnen. Angesichts einiger Horror-Bugsder jüngeren Vergangenheit in OpenSSL(Heartbleed, FREAK, Poodle...) ist dieVerwendung einer alternativen Krypto-bibliothek eine Überlegung wert.

Systemvoraussetzungen und InstallationDie Systemvoraussetzungen gibt OPN -Sense minimal mit einer 500 MHz Sin-gle-Core-CPU, 512 MByte RAM undmindestens 4 GByte verfügbarem Spei-cherplatz (Festplatte, CF-/SD-Card, USB-Stick) an. Für den optimalen Betrieb wirdallerdings eine 1,5 GHz Multi-Core-CPU,4 GByte RAM und eine SSD mit 120GByte Kapazität empfohlen. Als profes-sionelle Alternative zu Legacy x86-Hard-ware bietet Deciso auch passende Hard-ware-Appliances an [4]. Vom preiswertenund lüfterlosen Einstiegsmodell mit dreiEthernet-Ports bis zum 19-Zoll-Racksys-tem für 10-GBit-Ethernet dürfte sich hierfür alle Anforderungen die passendeHardware finden.

Der Verlauf der Installation hängt vomgewählten Installationsmedium ab. Nach-folgend beschreiben wir die I nstallationauf Basis des CD/ISO-Mediums auf phy-sischer oder virtueller Hardware. Für un-seren Test unter VirtualBox haben wir eine virtuelle Maschine mit einem Pro-zessor, 4 GByte RAM und zwei Netzwerk-karten (im Bridging-Modus) erstellt unddas ISO-Image unter "Massenspeicher"als optisches Laufwerk hinzugefügt. DieVM bootet dann direkt vom Image.

Der OPNSense Installer wird durch Ein-gabe von "I" in der Konsole gestartet undbietet eine geführte oder manuelle Instal-lation an. Verfügen Sie aus einer früherenInstallation bereits über ein Backup, kannder Installer auch eine Instanz der Fire-wall mit dieser Konfiguration wiederher-stellen. Für die geführte Neuinstallationstellen Sie unter Keymap "german.iso.acc.kbd" ein, um den deutschen Tastatur-

treiber zu laden, und wählen Sie anschlie-ßend die Festplatte aus, die der Installerkomplett überschreibt. Wählen Sie nun"GPT/UEFI Mode" im Menü aus, um dieInstallation zu starten.

Nach dem Neustart listet OPNSense dieerkannten Netzwerk-Interfaces auf, denenSie nun ihre jeweilige Funktion (LAN/WAN) zuweisen. Wir beginnen ohneVLAN-Installation und antworten bei derFrage "Do you want to setup VLANs now?"daher mit "n". In einer VirtualBox VM er-kennt OPNSense die erste Netzwerkkarteals "em0", die zweite als "em1". Weisen Sieem0 nun die LAN- und em1 die WAN-Schnittstelle zu und üb ernehmen Sie dieKonfiguration mit "y". Per Default versuchtOPNSense, für beide Interfaces per DHCPeine IP-Adresse zu beziehen, besser ver-geben Sie aber eine feste IP-Adresse füralle Schnittstellen der Firewall. Dazu wäh-len Sie im Konsolenfenster "2) Set Inter-face(s) IP-Address" und geben Sie nachAufforderung die gewünschte IP-Adresse,Netzmaske und das Gateway an.

Grundkonfiguration und System-UpdateAlle weiteren Konfigurationsarbeiten neh-men Sie ab jetzt über das komfortable Web-Interface von OPNSense vor. Rufen Sie dasGUI über "https://IP-Adresse" im Browserauf und melden Sie sich mit dem Benutzer"root" und dem Default-Passwort "opn-sense" an. Der System-Wizard fragt alleDaten für die Erstkonfiguration ab. NebenHostnamen, Domain- und DNS-Servergeben Sie hier auch Ihre Zeitzone an undwählen einen NTP-Server für die Synchro-nisation der Systemzeit aus. Der Wizardüberprüft auch die Konfiguration der Netz-werk-Schnittstellen nochmals, sodass hier

Bild 1: Mit Hilfe von URL-Aliasen kann OPNSense auch externe Datenquellen, zum Beispiel Blacklists für IP-Netzwerke, importieren, aktuell halten und in Firewall-Regeln einbinden.


40 Dezember 2016 www.it-administrator.de

OPNSensePrax i s

gegebenenfalls noch erforderliche Ände-rungen komfortabel vorgenommen werdenkönnen. Nachdem Sie ein neues Passwortfür den Benutzer root gesetzt haben, istder Wizard beendet und startet die Web-Session mit den neuen Einstellungen.

Rufen Sie anschließend die Seite "System /Firmware / Updates" auf. Hier können Sieunter "Firmware Flavor" wählen, ob dieFirewall mit OpenSSL oder LibreSSL ar-beiten soll. Unter "Firmware Mirror" wäh-len Sie einen deutschen Update-Mirroraus und klicken dann auf "Check Updates".Liegen für Ihre Firmware-Version Updatesvor, werden sie im s elben Fenster aufge-listet. Ein Klick auf "Upgrade now" bringtdas System auf den neuesten Stand, gege-benenfalls warnt der Update-Mechanis-mus noch vor einem fälligen Reboot nachdem Update. Ein Upgrade der Firmware-Version ist jederzeit auch über die Konsolemöglich. Wählen Sie aus dem Text-Menüdafür einfach den Befehl "12) Upgradevon Console"

Im nächsten Schritt sollten Sie unter "Sys-tem / Access / Users" noch einen persön-lichen Benutzer für sich anlegen und ihnder bereits vorhandenen Gruppe "Admins"zuweisen. Dieser Schritt ist umso wichtiger,wenn die Firewall später von mehrerenAdministratoren betreut werden soll.Durch persönliche Login-Accounts fürAdministratoren bleiben Änderungen amFirewall-Regelwerk so stets nachvollziehbarund transparent.

Firewall-KonfigurationNach Abschluss der Grundkonfigurationlohnt ein Blick unter "Firewalls / Rules /LAN", denn dort hat OPNSense automa-tisch drei Firewall-Regeln erzeugt. Die erste"Anti Lockout Rule" sorgt dafür, dass derZugriff auf die Web-GUI immer möglichbleibt und Sie sich nicht durch eine andereRegel versehentlich aus dem System aus-sperren. Die zweite und dritte Regel erlau-ben den Zugriff per IPv4 und IPv6 in alleNetze und für alle Dienste. Mit dieserDefault-Einstellung haben also alle an dieFirewall angeschlossenen Netze uneinge-schränkten Zugriff auf alle Dienste undNetze und damit auch auf das Internet.Die dafür erforderliche NAT-Konfigura-tion nimmt OPNSense ebenfalls selbstän-

dig vor: Unter "Firewall / NAT / Out-bound" ist der Modus "Automatic out-bound NAT rule generation" aktiv.

Der Vorteil dieser offenen Konfigurationist, dass der Internet-Zugriff sofort funk-tioniert und alle Dienste korrekt arbeiten.Ein wichtiges Paradigma für die Konfigu-ration von Firewalls lautet allerdings "Alles,was nicht explizit erlaubt wurde, ist ver-boten". So sollte beispielsweise ausschließ-lich dem internen Mailserver gestattet wer-den, per SMTP in Richtung Internet zukommunizieren. Die Gefahr ist ansonsteneinfach zu groß, dass sich Malware im Netzdiese Freizügigkeit zu Nutze macht undvertrauliche Informationen ins Internetüberträgt oder gar die eigene Firewall zurSpamschleuder macht. Sie sollten sich alsoin jedem Fall Gedanken über ein eigenesRegelwerk machen und die Default-Regelnabschalten. Aktive Firewall-Regeln erken-nen Sie an dem vorangestellten grünenPfeil. Durch Klick auf den Pfeil lassen sichRegeln komfortabel deaktivieren und ak-tivieren, zum Editieren einer Regel ver-wenden Sie das Stiftsymbol. Kommt in Ih-rem Netzwerk kein IPv6 zum Einsatz,können Sie die vorhandene IPv6-Regelalso problemlos deaktivieren.

Zeit sparen mit AliasenUnter Aliasen versteht OPNSense eine Lis-te von Netzwerken, Hosts oder Ports undDiensten. So können Sie beispielsweise dieIP-Adressen sämtlicher Drucker, Clientsoder Server im Netzwerk unter je einemAliasnamen zusammenfassen, sprechendeNamen für einzelne Hosts vergeben (zumBeispiel "AdminWorkstation"), Port-Ran-ges definieren oder - mit einem Alias vomTyp "URL Table (IPs)" – sogar automatischListen mit IP-Adressen von einem exter-

Bild 2: Durch die Einbindung der kostenfreien DROP- und EDROP-Listen von Spamhaus unterbindet OPNSense jegliche Kommunikation mit IP-Netzwerken, die bekanntermaßen für kriminelle Zwecke genutzt werden.

OPNSense verfügt über eine integrierte 2-Faktor-Authentifizierung (Bild 4). Diese arbei-tet nach dem TOTP-Standard (gemäß RFC6238) und damit problemlos zum Beispielmit dem Google Authenticator zusammen.Auf Wunsch kann der Administrator damitfolgende Dienste auf der Firewall mit einerstarken Authentifizierung absichern: Web-Ad-min GUI, Captive Portal, VPN (OpenVPN undIPSec), Web Proxy. Leider kann der SSH-Zu-gang von OPNSense derzeit noch nicht mitder 2-Faktor-Authentifizierung abgesichertwerden, die Einrichtung für die anderenDienste ist aber schnell erledigt:

1. "System / Access / Servers / Add Server"

- Name: TOTP

- Type: Local and Timebased OneTime Password

- Token length: 6

- Die Felder "Time Window" und "Grace Period" bleiben leer.

2. "System / Users / add User"

- Legen Sie einen neuen Benutzer mit Pass-wort an, weisen Sie ihm die Benutzergrup-pe "Admins" zu. Aktivieren Sie das Häk-chen vor "OTP seed / generate new(160bit) secret" und klicken Sie auf "Save".

- Installieren Sie den Google Authenticatorauf Ihrem Smartphone und editieren Sieden soeben angelegten Benutzer mit Hilfedes Stiftsymbols.

- Klicken Sie auf das kleine "i" vor OTP Seedund scannen Sie den QR-Code, indem Sieim Google Authenticator auf das Pluszei-chen klicken.

3. "System / Access / Tester"

- Geben Sie zum Test den Benutzernamenund im Passwortfeld das sechsstellige Ein-malpasswort aus dem Google Authentica-tor und das normale Passwort ein. WennOPNSense meldet, dass die Authentifizie-rung erfolgreich war, können Sie sich ab sofort mit den neuen Credentials am Web-GUI von OPNSense anmelden.

Zugriffe mit 2-Faktor-Authentifizierung absichern


www.it-administrator.de Dezember 2016 41

OPNSense Prax i s

nen Server beziehen (Bild 1). Mit Hilfe vonAliasen lässt sich die Anzahl der benötigtenFirewall-Regeln drastisch reduzieren, wasfür wesentlich mehr Übersichtlichkeit imRegelwerk sorgt. Die unter "Firewall / Alia-ses / View" definierten Aliase können Siespäter in allen Dialogen mit Source-/Des-tination-Angabe wie zum B eispiel Fire-wall- oder NAT-Regeln verwenden.

Automatisches Blacklisting krimineller IP-NetzwerkeDas "URL-Table"-Alias bietet in Kombina-tion mit den DROP/EDROP-Listen vonSpamhaus einen interessanten Anwen-dungsfall. Denn diese Listen enthalten dieAdressen von IP-Netzen, die bekannter-maßen für Spam, Malware-Verteilung oderandere kriminelle Aktivitäten genutzt wer-den – das Akronym DROP steht dabei üb-rigens für "Don't route or peer".

OPNSense kann mit Hilfe des URL-Table-Alias regelmäßig die aktuellen (E)DROP-Listen von Spamhaus beziehen und je -gliche Kommunikation mit den darinent haltenen Netzen per Firewall-Regel un-terbinden (Bild 2). Dazu legen Sie unter"Firewall / Aliases / View" für jede Listezunächst ein eigenes Alias vom Typ "URL-Table (IPs)" an und tragen im jeweiligenURL-Feld die Download-Adressen für dieListen von Spamhaus ein:

https://www.spamhaus.org/drop/

drop.txt

https://www.spamhaus.org/drop/

edrop.txt

Anschließend erstellen Sie für jedes AliasFirewall-Regeln, jeweils für den ein- undden ausgehenden Datenverkehr:

Action: Block

Interface: WAN (LAN)

TCP/IP Version: IPv4

Source: spamhaus_drop

(spamhaus_edrop)

Category: Blacklists

Description: Block DROP / EDROP

Unter "Firewall / Diagnostics / pfTables"lassen Sie sich anzeigen, welche Netzwerkedurch den Einsatz der DROP- beziehungs-weise EDROP-Liste geblacklistet wurden.Wenn Sie nun versuchen, mit einer derdort gelisteten IP-Adressen zu kommuni-

zieren, zum Beispiel indem Sie einen Pingabsetzen, wird der Traffic von der Firewallgeblockt. Dasselbe gilt natürlich auch um-gekehrt: Pakete aus einem dieser Netze,die am externen Interface der Firewall ein-treffen, werden sofort verworfen.

Nutzung des Web-Proxy erzwingenEin anderer häufig benötigter Anwen-dungsfall ist die Durchsetzung eines"Zwangs-Proxy" für die Clients hinter derFirewall (Bild 3). Der Web-Proxy vonOPNSense basiert auf Squid und bietet diefolgenden Funktionen:- Caching von Webseiten.- Traffic Management (Bandbreitenbe-

schränkung, Beschränkung der maxi-malen Up- oder Downloadgröße vonDateien).

- Access Control Lists (Einschränkungenfür bestimmte Netze- und/oder IP-Adressen).

- ICAP: Internet Content Adaptation Pro-tocol, zur Einbindung externer Viren-scanner, URL-Filter und so weiter.

- Authentifizierung über lokale Benutzer-datenbank, LDAP, RADIUS, CaptivePortal.

- Remote Access Control Lists: kategorie-basierter Webfilter/Blacklists.

Möchten Sie sicherstellen, dass die Clientsin Ihrem Netzwerk nur über den integrier-ten Web-Proxy auf das Internet zugreifen

Bild 3: Der Squid-basierende Web- und FTP-Proxy von OPNSense arbeitet auf Wunsch auch im Transparent-Modus und bindet über die ICAP-Schnittstelle auch Antivirensoftware ein.

Der Web-Proxy von OPNSense bringt einen ka-tegoriebasierten Web-Filter mit. In Kombinati-on mit verschiedenen Blacklists kann der Ad-min damit Zugriffe auf bestimmte URL-Kategorien wie zum Beispiel Pornografie, Ge-walt, Drogen unterbinden. Das ist nicht nur fürUnternehmen interessant, sondern auch über-all dort, wo Jugendlichen ein Zugang zum In-ternet zur Verfügung gestellt werden soll (Ju-gendschutzgesetz). OPNSense arbeitet mitfolgenden Blacklists-Anbietern zusammen:UT1-Blacklist der Universität von Toulouse(kostenfrei, Creative Commons license), Shalla-list.de (für private und kommerzielle Nutzungkostenfrei, kommerzielle Benutzer müssen sichregistrieren). URLBlacklist.com (kostenpflich-tig), Squidblacklist.org (kostenpflichtig).

Um die UT1-Blacklist in Ihren Web-Proxy ein-zubinden, klicken Sie im Dialog "Services /Proxy Server / Administration" auf den Kartei-reiter "Remote Access Control Lists" und dortauf das Pluszeichen rechts unten. Als Filenametragen Sie beispielsweise "UT1" ein und fü-gen dann die Download URL [6] für die Listein das URL-Feld ein. Um die Liste erstmals he-runterzuladen, klicken Sie nun auf den Button"Download ACLs & Apply". Nach Abschlussdes Downloads öffnen Sie den Dialog wiedermit dem Stiftsymbol, per Default sind nun allein der Liste verfügbaren Kategorien auf derBlacklist. Löschen Sie entweder alle Katego-rien, die Sie nicht blockieren möchten, durcheinen Klick auf das X-Zeichen. Alternativ ent-fernen sie mit einem Klick auf "Clear List" ein-fach zunächst alle Kategorien und fügen ma-nuell dann jene wieder hinzu, die für dieBenutzer gesperrt werden sollen.

Blacklist für den Web-Proxy


42 Dezember 2016 Link-Codes eingeben auf www.it-administrator.de

OPNSensePrax i s

können, gehen Sie wie folgt vor: AktivierenSie den Web-Proxy unter "Services / WebProxy / Administration / General ProxySettings / Enable Proxy" und klicken Sieauf "Apply", die Dienstanzeige für den WebProxy rechts oben wechselt dann auf grün.Auf dem Karteireiter "Forward Proxy" stel-len Sie als Proxy-Interface "LAN" ein.Wenn Sie "Enable SSL Mode" aktivieren,werden auch HTTPS-Verbindungen überden Proxy geleitet. In diesem Fall solltenSie allerdings Banking-Websites in die Aus-nahmeliste unter "SSL no bumb sites" auf-nehmen, wenn auch Dritte (zum BeispielArbeitnehmer) den Proxy nutzen sollen.Natürlich beherrscht der Web-Proxy auchdie Authentfizierung der Benutzer gegenunterschiedliche Backends. Zur Auswahlstehen LDAP (inklusive Microsoft ActiveDirectory), RADIUS, Lokale Benutzerda-tenbank oder keine Authentifizierung. Inunserem Beispiel betreiben wir den Proxyohne Authentifizierung.

Damit die Benutzer den Web-Proxy nichteinfach umgehen können, benötigen wirnun noch zwei Firewall-Regeln. KlickenSie unter "Firewall / Rules / LAN" auf dasPluszeichen und definieren Sie je eine Regelfür das HTTP- und das HTTPS-Protokoll:

Action: Block

Interface: LAN

Protocol: TCP/UDP

Source: LAN net

Destination Port Range: HTTP

Category: Block Proxy Bypass

Description: Web-Proxynutzung

erzwingen

Action: Block

Interface: LAN

Protocol: TCP/UDP

Source: LAN net

Destination Port Range: HTTPS

Category: Block Proxy Bypass

Description: Web-Proxynutzung

erzwingen

Verschieben Sie die Regeln dann unter diezuvor angelegten Spamhaus-(E) DROP-Regeln. Beachten Sie, dass Sie alle Ände-rungen am Firewall-Regelwerk abschlie-ßend noch über den Button "Apply changes"bestätigen müssen, damit sie aktiv werden.

Die wirklich hervorragende Dokumenta-tion von OPNSense [5] bietet für praktischalle weiteren Anwendungsfälle wie zumBeispiel die Einrichtung der Hochverfüg-barkeit mit CARP, die Konfiguration vonVPN-Verbindungen oder die Nutzung vonFreeRADIUS als Accounting-Server pas-sende Howtos an.

FazitOPNSense ist eine solide Firewall mitzahlreichen Enterprise-Features zum

Nulltarif, die schnell installiert und ein-gerichtet ist. Mit Hilfe der integriertenICAP-Schnittstelle könen externe Viren-und Content-Scanner zum Scan desHTTP- und HTTPS-Protokolls angedocktwerden. In dieser Kombination und beiEinsatz eines externen Spam- und Viren-filters für E-Mail ist OPNSense auch fürden Einsatz im Unternehmen mehr alseine Überlegung wert. (of)

OPNSense verfügt über einen sehr leistungs-fähigen Backup- und Restore-Mechanismus.Im Dialog "System / Configuration / Back-ups" wird die Konfiguration dabei in eine –optional auch verschlüsselte – XML-Dateigeschrieben. Die Datei kann dann herunter-geladen und auf einem lokalen oder exter-nen Datenträger gespeichert werden. Alter-nativ kann OPNsense Konfigurationsbackupsauch automatisch erstellen und mit Hilfe derGoogle API auf einem Google Drive ablegen.Die Backups werden dabei mit dem selbenAlgorithmus verschlüsselt wie bei den loka-len Sicherungen. Die Einrichtung der Goo-gle-API für das Online-Backup ist in einemeigenen Howto [7] beschrieben und schnelldurchgeführt. Zum Restore einer Konfigura-tion laden Sie die Backup-Datei dann überdas Webinterface hoch und geben das Pass-wort zur Entschlüsselung an. Dabei mussnicht immer ein vollständiges Backup zu-rückgespielt werden, denn über das Menüim Backup-Dialog können auch Teile derKonfiguration, zum Beispiel nur die Firewall-Regeln oder die IPSec-Konfiguration, wie-derhergestellt werden.

Backup & Restore

[1] OPNSense Roadmap GBP21

[2] OPNSense Download GBP22

[3] HardenedBSD GBP23

[4] Hardware GBP24

[5] Handbuch GBP25

[6] Squidguard Blacklists GBP26

[7] Backup GBP27

Link-Codes

Bild 4: Die integrierte 2-Faktor-Authentifizierung sichert Firewall-Dienste wie die Konfigurationsoberfläche, VPN oder das Captive Portal und arbeitet reibungslos zum Beispiel mit dem Google Authen ticator zusammen.


32 Juni 2017 www.it-administrator.de

ust im Zeitraum der Vorbereitungdieses Beitrags hat Microsoft ei-

nige Spielregeln in Sachen Gruppenricht-linien (GPO) verändert. Die Anpassungenbetreffen die Art der kommenden Up-dates mit der neu eingeführten "UniversalUpdate Platform" (UUP), die Ric htlinie"Zugriff auf alle Windows Update-Funk-tionen entfernen" und die generelle Ver-wirrung am Markt, was genau nun ei-gentlich "Long Term" ist.

Falls Sie Ihr Active Directory (AD) mit derEinführung von Windows 7 oder 8/8.1 imUnternehmen bereits aufgeräumt und dieGPO-Altlasten aus Windows-2000- undXP-Zeiten herausgeschmissen haben, fälltIhnen der Umstieg auf Windows 10 leicht.Sie benötigen nämlich nichts, außer denneuen ADMX-Templates zur Steuerungder neuen Windows-Komponenten überdie Registry. Das Frontend des GPEditorsbietet Ihnen mit den "Administrativen Vor-lagen" dabei eine Schablone zum Editierender Registry-Werte.

Windows 10 bringt ansonsten keine neuenKernfunktionen im Bereich der GPOs(Client Side Extension) mit, die einen ak-tuelleren Gruppenrichtlinien-Editor alsden von Windows 7/2008 R2 benötigenwürden. Die zugehörige Management-Konsole GPMC von Windows 8.1/2012R2 hat im Vergleich zur 7/2008 R2 ledig-lich kleinere Korrekturen in der Oberflächeund den Kontextmenüs erhalten. Für die

Group-Policy-Preferences des Internet Ex-plorer hat Microsoft die IE10(11)-Schnitt-stelle hinzugefügt. Selbst im Server 2016heißt die IE11-Konfiguration der GPPsweiterhin IE10. Technisch gesehen ändertsich für den Client also erst einmal wenig.

Wenig Anpassungen für Windows 10Einige Administratoren haben Respektvor der Einführung von Windows 10, weilsie sich noch an den Kampf bei der Um-stellung von Windows XP auf Windows7 erinnern. Doch bedenken Sie, dass Siedamals auf eine komplett neue Architek-tur migriert haben. Darin lag auch derextreme Aufwand begründet, den es zubewältigen galt: Architekturwechsel vonx86 zu x64, von IE7 (oder älter) zu IE9und oft direkt zum IE11, en glische Da-teipfade wie "program files", "program files (x86)" oder "users" mit lokalisierterOberfläche. Nicht zu vergessen ist auchder komplette Umbau der neuen Benut-zerprofilstruktur anhand logischer Regeln,die es vorher nicht gab.

Das alles ändert sich mit Windows 10nicht. Vielmehr "schleicht" sich Windows10 eher ins Unternehmen, als dass dessenRollout wirklich projektiert wird. Geradeim KMUs finden plötzlich neue Rechnermit Windows 10 ihren Einsatz und derAdmin wundert sich, dass es problemlosfunktioniert. Einen Weg zurück aufWindows 7 gibt es da nicht mehr, da die

ersten Hardware-Plattformen ausgeliefertwerden, für die es unter Windows 7 keineTreiber mehr gibt. Natürlich bringt Win -dows 10 auch neue Komponenten mit,die ohne aktuelle ADMX-Templates nichtverwaltet werden können: Cortana, derStore, das Startmenü, Credential Guard,Device Guard und Gimmicks wie Win -dows Ink oder Paint 3D.

ADMX-Dateien aktualisierenWie sich ADMX-Dateien aktualisierenlassen, dürfte den meisten Administra-toren bekannt sein. Die zugrundeliegen-de Technik hat sich seit der Einführungvon Windows Server 2008 nicht geän-dert, was auch das Alter entsprechenderArtikel wie unter [1] erklärt. Es handeltsich um nichts anderes als um das K o-pieren der Templates in den r ichtigen".\Policydefinitions"-Ordner. Diesen fin-den Sie entweder lokal im Verzeichnis"%systemroot%" oder in "SYSVOL" un-terhalb des ".\Policies"- Ordners. Beden-ken Sie, dass der Name und die Pfadehartkodiert sind. Betreiben Sie einenCentral Store und möchten diesen nichtverändern, können Sie auf Ihren eigenenClients einen Registr y-Key setzen unddann trotz Central Store die lokalenADMX-Dateien verwenden.

Mit der Einführung von Windows 10(1511) enthalten die neuesten ADMX-Templates leider nicht mehr alle alten Ein-stellungen und es handelt sich nicht mehr

J

Gruppenrichtlinien unter Windows 10 (1)

Auf dem neuesten Standvon Mark Heitbrink

Gruppenrichtlinien bilden das Herz der Windows-Administration im Unternehmen. Umso spannender ist die Frage, was auf Admins mit Windows 10 zukommt. Die gute Nachricht zuerst: Es sind keine grundlegenden Änderungen. Doch liegt der Teufel im Detail. In unserer Workshop-Serieerläutern wir, wie Sie die fortwährenden Aktualisierungen durch die regelmäßigen Windows-10-Builds meistern und wo die Unterschiede zwischen den Versionen Professional und Enterprise liegen.

Quelle: unkreatives – 123RF

S032-035_ITA_0617_P02_Advertorial Paessler_ok_ITA_Default 18.05.2017 13:09 Seite 2

www.it-administrator.de Juni 2017 33

Windows-10-GPOs Prax i s

um SuperSets. Das kann in der Praxis da-zu führen, dass Sie eine Einstellung ver-missen, von der Sie wissen, dass sie defi-nitiv schon vorhanden war und unterUmständen sogar konfiguriert wurde. Mi-crosoft bietet hierfür nun eine Excel-Ta-belle an, in der alle b etroffenen Settingsgenannt werden und in welcher Versionder Datei sie enthalten sind [2].

In der Praxis bedeutet dies für Sie etwasmehr Arbeitsaufwand. Das wichtigste vor-weg: Dem Client, gleich unter welchemOS, wie auch dem Benutzer ist es egal, obSie die Werte mit einem ADMX-Templateeditieren oder nicht. Der Wert steckt amEnde in der "registry.pol" und diese wirdverarbeitet. Die Importdatei besitzt ledig-lich einen Wert, der importiert wird. Daseinzige Problem dabei liegt darin, dassSie diesen Wert ohne Oberfläche nichtverändern können. Als Lösung bleibeneinige Optionen:- Ein bestehendes ADMX-Template kön-

nen Sie wiederverwenden. Die passendeADMX-Version finden Sie im oben ge-nannten Excel-Sheet.

- Sie bauen sich ein eigenes ADM(x)-Template. ADM wäre zu bevorzugenaufgrund der simpleren Syntax.

- Löschen der kompletten GPO könnteeine Option sein, wenn es nur um dasEntfernen der Policy-Werte geht undkeine anderen Einstellungen erhaltenbleiben müssen.

- Die PowerShell bietet den einfachstenaller Wege, denn sie kennt Cmdlets zumEditieren der Richtlinie: "Set-GPRegi-stryValue" oder auch "Remove-GPRe-

gistryValue", also etwa Remove-GPRe-gistryValue -name NameDerRichtlinie-key HKxx\DenKannManAusDem\ReportKopieren -valuename ZuLöschen-der Eintrag

Passende Windows-Version findenDie Verwaltung des Windows-10-Clientsstellt keine allzu große Herausforderungdar. Es gibt allerdings drei Fragen, dieschwieriger zu beantworten sind:1. Welche Windows-10-Version soll es

überhaupt sein? CB (Current Branch),CBB (Current Branch for Business) oderLTSB (Long-Term Servicing Branch)?Damit einhergehend stellt sich die Frage,ob es sich lohnt, von Professional aufEnterprise zu wechseln.

2. Wie gehen Sie in Zukunft mit denWindows Build Updates um, die allesechs bis acht Monate folgen?

3. Wie wichtig ist Ihnen der Datenschutz?

In diesem Artikel können wir auf dieseFragen leider keine abschließenden Ant-worten liefern, denn diese sind immerindividuell abhängig von Ihrer Infrastruk-tur und Prioritäten. Es gibt zumindest einpaar generelle Eckpunkte, an denen Siesich entlanghangeln können. Einen An-haltspunkt bietet die Tabelle "Windows-10-Wartungsoptionen", deren Inhalt wirvon Microsoft übernommen haben [3].

Falls Sie LTSB wünschen, kaufen Sie dieEnterprise-Version. CBB kommt in derRegel als OEM-Version mit der Hardware.Wer die CB-Version einsetzt, wird mit je-

dem neuen Build von Microsoft unmit-telbar konfrontiert. Diese Variante richtetsich daher an Heimanwender und KMUs.Die CBB-Version hingegen kann per Re-gistry-Key (Policy) das Build-Update um180 Tage hinauszögern. Hier sollte jederAdmin aufmerken, der einen WSUS-Ser-ver oder eine Alternative zum Verteilender Windows-Updates verwendet. Solan-ge er dort nichts freigibt, landet auchnichts auf den Clients. Grundsätzlichstimmt dies auch, denn darin liegt dieIdee einer administrierten Umgebung.

Ärgerlicherweise liegt das Problem nichtim Verteilen an die Clients, sondern amSupport von Microsoft. Der Weg, die Updates zurückzuhalten und ewig aufdemselben Build zu bleiben, wird nicht unterstützt. Microsoft möchte das XP-Desaster nicht wiederholen: uralte Clients,die nie gepatcht wurden und als Zombiesim Internet die Botnetze fütterten, die kei-nerlei Sicherheitsanspruch gerecht wurdenund die keiner mehr retten konnte, soll esnicht mehr geben. Microsoft wird daherimmer nur die drei aktuellsten Builds un-terstützen und diesen Updates zur Verfü-gung stellen. Das vierte fällt raus. Aktuellist das Creators Update (1703) erschienenund die ursprüngliche Version von Win -dows 10 wird wohl am 9. Mai ihr Endeerleben, sofern die Quellen dazu Rec htbehalten. Es bleiben als unterstützte Ver-sionen damit das Treshold 2 1511, das An-niversary Update 1607 und das Cr eatorsUpdate 1703. Aus Security-Sicht ist diesesVorgehen auch richtig.

Auch wehren sich die Software-Herstellermit Händen und Füßen dagegen, perma-nent hinterherzuarbeiten. Die gute alteZeit ist vorbei, wo sich ein System etab-liert hatte und sich alle Beteiligten zehnJahre zurücklehnen konnten. Das wirdso nicht mehr stattfinden (können), wasnur noch nicht in den Köpfen etablierterHersteller angekommen scheint. Abgese-hen von rein politischen Problemen, obeine Drittanbieter-Software im aktuellenBuild unterstützt wird oder nicht, gibt esnatürlich auch technische Hürden. Aber:Diese technischen Probleme kann es im-mer aufgrund einer neuen Sicherheitsan-forderung geben. Zwingend notwendigeSecurity-Patches, die Auswirkungen auf

Bild 1: ADMX-Dateien müssen nach dem Setup von Windows 10 aktualisiert werden.


34 Juni 2017 Link-Codes eingeben auf www.it-administrator.de

Windows-10-GPOsPrax i s

die Plattform haben können, gab es auchim heißgeliebten Windows 7.

Diejenigen, die heute davor Angst haben,sind die, deren Software eigentlich schonmit Windows XP gestorben war und woder Hersteller seitdem gar nichts getanhat. Reden wir bitte nicht mehr über 16Bit, Cobol, Java 6.x oder Datenbankenauf Dateiebene. Als Lösung können Siedie Software oft auf einem Remote-Desktop-Server installieren, der nichtsanderes bereitstellt als diese eine Anwen-dung, und sie als Remote-App an dieClients publizieren. Der alte Wunsch ei-ner homogenen Umgebung wird nichtmehr zu realisieren sein.

Änderungen in der IT-AbteilungDie vielleicht größte Änderung bei derEinführung von Windows 10 wird in dereigenen IT-Abteilung stattfinden. Eine"One Man Show" ist nicht länger haltbar.Die IT ist in den meisten Fällen schon seitJahren unterbesetzt: Es werden Überstun-den gefahren, Admins arbeiten schon seitlangem auf 130 Prozent und nur noch aufZuruf, Urlaub ist schwer zu integrierenund es handelt sich um ein Reagieren an-statt Agieren. Dann wundern sich Firmen,warum Locky so erfolgreich war oder dasThema Cloud in der eig enen Umgebungnoch stiefmütterlich behandelt wird. Dieneue Hardware für die Virtualisierungsteht in den Startlöchern und die Telefon-anlage sollte längst aufgebaut werden. Esfehlt schon seit Jahren mindestens ein wei-

terer IT-Mitarbeiter – pro Themenbereich.Der Appell richtet sich an die Geschäfts-leitung, die nächsten zwei Stellen im Un-ternehmen für die IT einzuplanen.

Angst sollte niemand vor schnellen Build-Wechseln haben. So hat der Autor seitzwei Jahren alle Versionen und auch di-verse Insider-Previews gesehen und stießbeim Wechsel von Build zu Build bislangauf keine Software, die nicht mehr funk-tionierte. Software, die unter Windows10 prinzipiell funktioniert, funktioniertauch unter neuen Builds. Wie sollte einneues Feature als zusätzliche Komponenteauch Fehler verursachen? Ein möglichesFehlverhalten wird nicht durch ein Fea-ture ausgelöst, sondern durch einenWechsel im Sicherheitskonzept und daskann, wie schon geschrieben, auch beiWindows 7 und 8.1 passieren. Microsoftwird das Fundament eines Betriebssys-tems nicht auf die Schnelle verändern,nur damit Paint 3D, Windows GamingMode oder die Hololens ihren Job ma-chen können. So flexibel ist auch Micro-soft nicht. Beispiel Registry: So gibt esauch unter Windows 10 noch den Pfad".\SOFTWARE\Microsoft\Windows NT".Er ist hochaktuell und selbst neue Fea-tures werden dort integriert.

Ein Beispiel hierfür: Sie verkoppeln Ihr Te-lefon per Bluetooth mit dem System undaktivieren die dynamische Sperre. Sobalddas Telefon den Verbindungsbereich verlässt,wird das System nach einer Minute auto-

matisch gesperrt – eine Abhängigkeit mitAnwesenheit statt nur Zeit. Die zugehörigeCheckbox wird über den Registry-Key"HKEY_CURRENT_USER\Software\Mi-crosoft\Windows NT\Current- Version\Winlogon\EnableGoodbye" (DWORD = 1)gesteuert. Neue Funktion, alter Pfad.

Wer aus Angst vor den Builds auf dieLTSB setzt, trägt dann auch ein Stück weitMitschuld daran, dass sich die Software-Hersteller weiterhin auf die faule Haut le-gen können. Die LTSB ist denn auch kei-ne Option im aktuellen Office-Umfeld.Sie eignet sich für statische Systeme wieMaschinensteuerungen oder Geldauto-maten. Doch auch die zehn Jahre Lang-zeit-Support laufen irgendwann ab. Dannmüssen Sie auf die dann aktuelle LTSB-Version umsteigen.

FazitIm zweiten Teil unserer Workshops-Reihebeleuchten wir unter anderem, wo die Un-terschiede zwischen Windows 10 Profes-sional und Enterprise liegen und wie Siedie Update-Verteilung steuern. (dr)

Windows-10-Wartungsoptionen

Wartungsoption Verfügbarkeit von neuen Feature-

Upgrades zur Installation

Mindestlänge der Wartungslebensdauer

Wichtigste Vorteile Unterstützte Editionen

Current Branch (CB) Unmittelbar nach der erstenVeröffentlichung durch Microsoft.

Ungefähr vier Monate. Stellt Benutzern neue Fea-tures so schnell wie möglichzur Verfügung.

Startseite, Pro, Bildung, Unternehmen, Mobile, IoTCore, Windows 10 IoT CorePro (IoT Core Pro).

Current Branch for Business (CBB)

Ungefähr vier Monate nachder ersten Veröffentlichungdurch Microsoft.

Ungefähr acht Monate. Gibt zusätzliche Zeit zumTesten der neuen Feature-Upgrades vor der Bereit-stellung.

Pro, Education, Enterprise,Mobile Enterprise, IoT Core Pro.

Long-Term ServicingBranch (LTSB)

Unmittelbar nach der Veröf-fentlichung durch Microsoft.

Zehn Jahre. Ermöglicht die langfristigeBereitstellung ausgewählterWindows-10-Versionen inKonfigurationen mit gerin-gen Änderungen.

Enterprise LTSB.

[1] Best Practices bezüglich ADMX-Dateien H6P21

[2] ADMX-Versionshistorie H6P22

[3] Windows-10-Wartungsoptionen H6P23

Link-Codes


76 Oktober 2016 www.it-administrator.de

eit dem Aufkommen von Ran-somware und ähnlichen Formen

von Malware wird in den Medien wiederöfter über dieses Thema berichtet. Setztman sich etwas näher hiermit auseinan-der, so ist schnell klar, dass schon seit vie-len Jahren ein ganzer Industriezweig rundum das Thema Schadsoftware entstandenist. Die Vorgehensweise der Angreifer istdabei meist identisch. Zunächst müssensie erst einmal ein Einfallstor in das Ziel-netzwerk finden. Neben dem Ausnutzenvon Sicherheitslücken in Software ist auchder Versand von Schadsoftware via E-Mail immer noch sehr beliebt. Hier ist zubeobachten, dass Angreifer mittlerweilegerne mehrere Attachments an eine Mailanhängen, wobei lediglich ein Anhangdie Schadsoftware enthält. Manche Mail-Scanner lassen sich leider so austricksen.Auch Social-Engineering spielt eine großeRolle, um an die Informationen zu kom-men, die als Basis für den Angriff dienen.

Hat ein Angreifer schließlich Zugriff aufein System bekommen und die Malwareplatziert, so besteht der nächste Schrittzumeist darin, ein sogenanntes "RemoteAccess Tool" (RAT) zu installieren, dasvon einem Control&Command-System

gesteuert wird. Ab diesem Stadium kannein Angreifer sich dann darum kümmern,einen dauerhaften Zugang zum infiziertenSystem herzustellen und auch andere Sys-teme in dem lokalen Netzwerk zu über-nehmen, um so letztendlich an die ge-wünschten Daten zu kommen.

Methoden der Malware-AnalyseSicherheitsforscher und auch lokale Com-puter-Emergency-Response-Teams sindnatürlich bemüht zu verstehen, was eineSchadsoftware genau macht und welcheKommunikationswege sie zu externenSystemen aufbaut. Nur so lassen sich letzt-endlich Rückschlüsse darauf ziehen, wo-her die Software stammt und welche Ab-sichten sie tatsächlich verfolgt. Um diesherauszufinden, existieren zwei grundle-gende Ansätze. Zum einen kann man ver-suchen, die Software statisch zu untersu-chen und zu dis assemblieren, um so zuverstehen, was der Code macht. DieseMethode wird als Reversing oder ReverseEngineering bezeichnet und setzt ent-sprechende Tools voraus, wie beispiels-weise das bekannte IDA Pro.

Ein anderer Ansatz besteht darin, dieSoftware innerhalb einer sic heren Um-

gebung zu installieren und ihre Aktivitä-ten in Echtzeit zu beobachten. Hierfürkommen oft virtuelle Maschinen, aberauch Hardware-Appliances zum Einsatz.FireEye ist beispielsweise ein bekannterHersteller solcher Applicances. DieseTechnik ist unter dem Namen Sandbo-xing bekannt. Beide Methoden haben ihreVor- und Nachteile.

Beim Reversing ist ein sehr gutes Ver-ständnis der Maschinensprache notwen-dig, um mit den entsprechenden Toolsumgehen zu können und die Ergebnissezu interpretieren. Dafür erhält man dannaber auch einen tiefen Einblick in denCode der Software und kann sie bis indie letzte Ecke erforschen.

Sandboxing führt wesentlich schneller zuErgebnissen, allerdings besteht hier im-mer die Gefahr, dass die Malware er-kennnt, dass sie innerhalb einer Sandboxabläuft und somit unter Umständen ganzandere Codepfade ausführt, als wenn sieaußerhalb einer solchen Umgebung aus-geführt wird. Hardware-Appliances habendesweiteren den Nachteil, dass sie wenigerflexibel sind als Software, die sich die ei-gene Landschaft anpassen lässt.

S

Malware-Untersuchung mit Cuckoo

Kuckuck, Kuckuck

von Thorsten Scherf

Wer schädliche Software, umgangssprachlich als Malware bezeichnet, näher untersuchen möchte,

dem stehen mehrere Möglichkeiten zur Verfügung. In diesem Artikel wird der Sandboxing-Ansatz auf Basisder Open-Source-Software Cuckoo näher vorgestellt.

Que

lle: e

lnav

egan

te –

123

RF

S076-081_ITA_1016_Z01_EAZ-NLAdmin_EAZ-AboAllIncl_ok_ln_ITA_Default 21.09.2016 11:46 Seite 2

www.it-administrator.de Oktober 2016 77

Cuckoo Schwerpunkt

Das hier vorgestellte Tool Cuckoo fällt indie Gruppe der Sandboxes. Das Projektwurde im August 2010 gestartet, mittler-weile ist der Release Candidate für dieVersion 2.0 auf dem Markt. Die Linux-Software ist unter der GPL3 lizenziertund steht kostenlos zum Download zurVerfügung. Auch wenn Cuckoo durchausim professionellen Umfeld verwendetwird, so ist der Umstand, dass die S oft-ware kostenfrei verfügbar ist, gerade fürStudenten und angehende Forscher inte-ressant, die eine Investition in oftmalsdoch sehr teure Hardware-Appliancesscheuen. Teilweise wird Cuckoo auch pa-rallel zu Hardware-Appliances betrieben,da der modulare Ansatz der Software eineAnpassung an die eigene Umgebung zu-lässt und sich somit bessere Testergebnisseerzielen lassen.

Cuckoo bietet eine Reihe interessanterFeatures. Die Software kann eine Vielzahlvon Dateitypen analysieren und über-wacht jeden Systenaufruf der Schadsoft-ware, die innerhalb einer virtuellen Ma-schine ausgeführt wird. Desweiterenwerden sämtliche Dateien beobachtet,die von der Malware angelegt, gelöschtoder von externen Quellen geladen wer-den. Der Netzwerkverkehr wird ebenfallsmitgeschnitten und ein Dump als PCAP-Trace zur Auswertung gespeichert. Umauch den Inhalt von volatilen Speichernzu sichern, erzeugt Cuckoo sowohl einenSpeicher-Dump der kompletten virtuel-len Maschine als auch der Malware-Pro-zesse selbst. Wer sich aus dem CuckooGit-Repository das wget-Modul [2] holt

und es nach "$install-folder/analyzer/linux/modules/packages/wget.py" ko-piert, kann hiermit auch ganze Webseitenauf Malware überprüfen. Alle Ergebnissewerden schließlich in einem Report zu-sammengefasst und zur Auswertung zurVerfügung gestellt.

ArchitekturDas Herzstück von Cuckoo besteht auseiner zentralen Managementkomponente,die für das Scheduling der Analyse-Jobsund die Auswertung der Ergebnisse zu-ständig ist. Die Jobs selbst laufen in iso-lierten virtuellen Maschinen, die für jedenAnalyse-Job neu erzeugt werden. AlsHost-System setzt Cuckoo Linux voraus,wobei die Software wohl auch schon er-folgreich unter macOS eingesetzt wurde.Als Virtualisierungslösungen kommensowohl VMware, Virtualbox oder auchKVM/Libvirt in Frage. Innerhalb der vir-tuellen Systeme, in denen die M alwareinstalliert wird, unterstützt Cuckoo Win -dows, macOS, Linux und Android.

InstallationDie Beispiele in diesem Artikel basierenalle auf einer Installation von Cuckoo-2.0RC1 unter Fedora 23 und KVM/Libvirt.Das Archiv der Sandboxing-Softwaresteht unter [1] zum D ownload zur Ver-fügung. Ist es ausgepackt, müssen Sie denBenutzer "cuckoo" anlegen und in dieGruppe "libvirt" aufnehmen. Da Cuckoozu jedem Zeitpunkt in der Lage sein muss,eine virtuelle Maschine über das Libvirt-Framework zu erzeugen, sorgt die Pol-Kit-Regel aus Listing 1 dafür, dass der Zu-

griff auf das Framework für sämtlicheMitglieder der Gruppe libvirt möglich ist.

Im nächsten Schritt sollten Sie sich dieKonfigurationsdateien im Ordner "conf/""näher ansehen. Hiervon existieren eineganze Reihe: "cuckoo.conf ", "kvm.conf ","auxiliary.conf ", "memory.conf", "proces-sing.conf " und "reporting.conf ".

Für einen ersten Test sind die D ateien"cuckoo.conf ", "auxiliary.conf " und"kvm.conf " am wichtigsten. Kommt stattKVM/Libvirt eine andere Virtualisie-rungslösung zum Einsatz, stehen pas-sende Konfigurationsdateien zur Verfü-gung, etwa für VMware und Virtualbox.

In der Datei "cuckoo.conf " sind grund-legende Einstellungen für den Betrieb vonCuckoo definiert. So lässt sich hier bei-spielsweise festlegen, welche Virtualisie-rungslösung zum Einsatz kommt (ma-chinery = kvm), an welchen Host dieReporting- und Log-Dateien zu sendensind (ip) und ob beispielsweise ein Spei-cherabbild der virtuellen Maschine er-zeugt werden soll, bevor diese beendetwird (memory_dump). Daneben existie-ren eine ganze Reihe weiterer Parameter,die allesamt sehr gut dokumentiert sind.

Kommt auf dem Management-SystemKVM/Libvirt zum Einsatz, müssen Sieals Nächstes die Einstellungen in der Da-tei "kvm.conf " anpassen. Hier ist unbe-dingt darauf zu achten, dass der Name(machines), das Label (label), die IP-Adresse (ip) und das eingesetzte Betriebs-system (platform) der virtuellen Maschi-ne korrekt angegeben werden. Natürlichkönnen an dieser Stelle durchaus mehrereMaschinen definiert werden, da sämtlicheAnweisungen innerhalb einer eigenenSektion für eben diese Maschine stehen.Existieren beispielsweise zwei virtuelle

Bild 1: Cuckoo startet zur Untersuchung der Malware jeweils eine eigene virtuelle Maschine.

polkit.addRule(function(action, subject) {

if (action.id == "org.libvirt.unix.

manage" &&

subject.isInGroup("libvirt")){

return polkit.Result.YES;}

});

Listing 1: PolKit-Regel für Zugriff auf libvirt-Framework


78 Oktober 2016 www.it-administrator.de

CuckooSchwerpunkt

Maschinen fed01 und win01, so könntendie Einträge in der Datei "kvm.conf " wiein Listing 2 aussehen.

Über die Datei "auxiliary.conf" lassen sichzusätzliche Services einbinden. So wirdhier beispielsweise festgelegt, ob einDump des Netzwerkverkehrs der virtu-ellen Maschine erfolgen soll. Die Serviceswerden dabei über ein eigenes Modul imOrdner "modules/auxiliary/" implemen-tiert und lassen sich bei Bedarf erweitern.Generell gilt dies für sämtliche Konfigu-rationen in Cuckoo. Dieser Ansatz ist eineder großen Stärken der Software, die sichso leicht individuell anpassen lässt.

Die Datei "memory.conf " definiert, wel-che Art von Tests auf dem Speicherab-bild der vir tuellen Maschine durchge-führt werden soll. Beispielsweise könnenSie hier festlegen, ob der Speicher nachbestimmten Kernel-Modulen durch-sucht werden soll. Wie genau die Ana-lyse von Malware-Samples aussehen soll,lässt sich in der Datei "processing.conf "bestimmen. Unter anderem ist hier eineIntegration mit dem Online-Service Vi-rusTotal möglich oder es lässt sich fest-legen, dass basierend auf den Malware-Prozess-Speicherdumps dynamisch einPython-Skript erzeugt wird, das sich zurweiteren Analyse in IDA Pro laden lässt.Welche Form die Cuckoo-Reports ha-ben sollen, bestimmen schließlich dieEinträge in der Datei "reporting.conf ".Zur weiteren maschinellen Verarbeitungder Ergebnisse bietet sich das JSON-For-mat an. HTML-Reporte eignen sich pri-ma, um sich einen Überblick über dieErgebnisse einer Analyse zu verschaffen.Wer Cuckoo eine MongoDB zur Seitestellt, kann auch das Django-basierte

Webinterface benutzen, um auf die Er-gebnisse zurückzugreifen.

Auch wenn noch keine virtuelle Maschinezur Analyse der Malware-Samples erzeugtwurde, so sollte nach diesen EinstellungenCuckoo bereits starten. Der Aufruf von./cuckoo.py aus dem Installationsverzeich-nis heraus begrüßt den User mit einerhübschen ASCII-Art (Bild 2). Viel ma-chen können Sie zu diesem Zeitpunktnoch nicht, da im nächsten Schritt nochdie virtuellen Maschinen und derenSnapshots zu erzeugen sind, die Cuckooals Grundlage zur Analyse der eingereich-ten Malware-Samples verwendet.

Maschinen-Template erzeugen Cuckoo bietet keine eigene Prozedur zumErzeugen von virtuellen Maschinen-Tem-plates an, stattdessen setzt es auf vorhan-dene Tools und Mechanismen. In diesemArtikel kommt eine einzelne vir tuelleMaschine auf Basis von Fedora zum Ein-satz. Die Installation kann mit dem gra-fischen Tool virt-manager oder auf derShell mittels virt-install erfolgen. Die An-bindung an das Host-System, auf demdas Cuckoo Management-Frameworkläuft, ist dabei über eine Bridge geregelt.KVM/Libvirt verwendet den privaten IP-Addressraum 192.168.122.0/24, wobeidie Adresse 192.168.122.1 dem Host-Sys-tem zugewiesen wird. Festplatten sollteninnerhalb der vir tuellen Maschine ent-weder als LVM- oder QCOW2-Volumesangelegt werden, da sich ansonsten keineSnapshots von der Maschine erzeugenlassen. Eine Beschreibung der komplettenInstallation würde den Rahmen diesesArtikels sprengen, weshalb wir an dieserStelle auf bereits vorhandene Installati-onsanleitungen verweisen [4]. Es ist zu-

sätzlich darauf zu achten, dass innerhalbder virtuellen Maschine Python 2.7 in-stalliert ist, da die Cuckoo Analyse-Soft-ware diese Version voraussetzt.

Hat die Installation der Maschine geklappt,sollten Sie die Konfigurationsdatei "kvm.conf " auf dem Cuckoo-Host-System mitden korrekten Daten der Maschine aktua-lisieren. Wie bereits erwähnt, zählen hier-zu die IP-Adresse, der Name und auch dasLabel des virtuellen Systems. Schließlichmüssen Sie den Cuckoo-Agent auf dieMaschine kopieren. Er liegt auf dem Host-System im Cuckoo-Installationsorder"agent/" und heisst "agent.py".

Mit Hilfe des ebenfalls in diesem Ordnervorhandenen Shell-Skripts lässt sich derAgent innerhalb der virtuellen Maschinestarten. In welchem Order der Agent dortabgelegt wird, spielt tatsächlich keine Rolle. Der Agent implementiert einenXMLRPC-Server, der auf eingehende Ver-bindungen vom Host-System wartet.Über diese Verbindungen werden danndie Malware-Samples an das System gesendet. Nach einem Neustart der vir-tuellen Maschine sollte der Agent au to -matisch starten. Dies ist unbedingt si-cherzustellen, bevor im nächsten Schrittein Snapshot der Maschine angelegt wird.Einen solchen Snapshot erzeugen Sie mitden Libvirt-eigenen Tools:

# virsh snapshot-create fed01

# virsh snapshot-list fed01

Name Creation Time State

--------------------------------

1469460006 2016-07-25 [...] running

Um Problemen vorzubeugen, sollte immernur ein Snapshot pro virtueller Maschine

machines = fed01, win01

interface = virbr0

[fed01]

label = fed01

platform = linux

ip = 192.168.122.10

[win01]

label = win01

platform = windows

ip = 192.168.122.110

Listing 2: Beispielkonfiguration

Bild 2: Nach der Willkommensmeldung mit jeweils wechselnder ASCII-Art wartet Cuckoo auf eingehende Malware-Analyse-Jobs.


Jede Woche aktuelleNews, freie Artikel und Admin-Tipps

www.admin-magazin.de/newsletter

NEWSLETTERjetzt abonnieren:

Alle Listings zum Download unter www.it-administrator.de

existieren. Nach dem Anlegen des Snap-shots kann die virtuelle Maschine ausge-schaltet werden. Cuckoo greift von nunan auf das Snapshot des Systems zurück,sobald ein Sample empfangen wird undinnerhalb einer virtuellen System-Instanzzu analysieren ist.

An dieser Stelle sei noch erwähnt, dassauch bereits vorhandene virtuelle Systemeals Grundlage für Cuckoo dienen können.Wer bereits ein solches System vorliegenhat und lediglich den Disk-Typen ändernmuss, kann ein solches Image leicht mitdem folgenden Befehl konvertieren:

# qemu-img convert -O qcow2

fed01.raw fed01.qcow2

Danach müssen Sie in der XML -Defi-nition der virtuellen Maschine den neu-

en Disk-Typ (<driver name='qemu' ty-pe='qcow2'/> und den Speicherort(<source file='/var/lib/libvirt/images/fed01.qcow2'/>) der Image-Datei an-geben. Am einfachsten gelingt dies überden folgenden Befehl:

# virsh edit fed01

Das Label "fed01" ersetzen Sie hier wiederdurch das Label ihrer eigenen virtuellenMaschine. Speichern Sie die Datei undstarten im Anschluss das virtuelle System,sollte im Anschluss das Anlegen einesSnapshots gelingen.

Cuckoo-BetriebFür einen ersten Test verwenden Sie ambesten die EICAR Test-Datei, die von denmeisten Malware-Analyse-Systemen alsVirus erkannt wird. Die Datei wird vomEuropean Institute for Computer Antivi-rus Research herausgegeben und stehtunter [5] zum Download zur Verfügung.Damit nicht bereits der Datei-Name einTrigger für Cuckoo ist, wurde die Dateiim Test in "readme.txt" umbenannt.

Um die Fake-Malware an Cuckoo zu sen-den, bestehen durchaus mehrere Mög-lichkeiten. So erlaubt beispielsweise dasDjango-Webinterface einen Upload vonDateien. Cuckoo selbst bietet eine um-fangreiche API, mit der sich Malware-Samples aus eigenen Anwendungen he-raus an das Management-System sendenlassen. Am unkompliziertesten ist jedochder Einsatz des Tools "submit.py" aus dem"utils"-Order von Cuckoo. Das Tool kennteine Menge Optionen, jedoch reicht imeinfachsten Fall der Aufruf mit dem Da-teipfad der Malware als Parameter:

$ utils/submit.py tests/readme.txt

Success: File "/home/tscherf/cuckoo/

test/readme.txt" added as task

with ID 6

Damit Cuckoo die Datei entgegennehmenkann, muss das Management-Frameworknatürlich zuvor mittels python cuckoo.pyaus dem Installationsordner heraus gestartetwerden, sollte dies nicht bereits geschehensein. Sofort nach der Einlieferung einesSamples gibt Cuckoo entsprechende Mel-dungen auf der Console aus (Listing 3).

2016-07-25 17:37:00,192

[lib.cuckoo.core.scheduler] INFO: Starting

analysis of FILE "readme.txt" (task #6,

options "")

2016-07-25 17:37:00,207

[lib.cuckoo.core.scheduler] INFO: File

already exists at

"/home/tscherf/cuckoo/cuckoo/storage/bina-

ries/275a021bbfb6489e54d471899f7db9d1663fc

695ec2fe2a2c4538aabf651fd0f"

2016-07-25 17:37:00,335

[lib.cuckoo.core.scheduler] INFO: Task #6:

acquired machine fed01 (label=fed01)

2016-07-25 17:37:00,345

[modules.auxiliary.sniffer] INFO: Started

sniffer with PID 9360 (interface=virbr0,

host=192.168.122.10,

pcap=/home/tscherf/cuckoo/cuckoo/storage/

analyses/6/dump.pcap)

tcpdump: listening on virbr0, link-type

EN10MB (Ethernet), capture size 262144

bytes

2016-07-25 17:37:02,801

[lib.cuckoo.core.guest] INFO: Starting

analysis on guest (id=fed01,

ip=192.168.122.10)

2016-07-25 17:39:14,711

[lib.cuckoo.core.guest] INFO: fed01:

analysis completed successfully

31 packets captured

31 packets received by filter

0 packets dropped by kernel

2016-07-25 17:39:16,637


reports generation completed

(path=/home/tscherf/cuckoo/cuckoo/

storage/analyses/6)

2016-07-25 17:39:16,755


analysis procedure completed

Listing 3: Cuckoo-Ausgabe


80 Oktober 2016 Link-Codes eingeben auf www.it-administrator.de

CuckooSchwerpunkt

Anhand der Ausgabe lässt sich der Work-flow des Tools gut erkennen. Nachdemdas Sample mit dem Dateinamen "read-me.txt" empfangen wurde, werden einneuer Task zur Analyse gestartet und eineneue virtuelle Maschine auf Basis des zu-vor angelegten Snapshots erzeugt. Mit derOption "--machine" lässt sich festlegen,welche virtuelle Maschine Cuckoo ver-wendet, wenn Sie zuvor mehrere Systemeangelegt haben, beispielsweise weil Sie un-terschiedliche Betriebssysteme zur Analyseverwenden möchten.

Wenn das System läuft, findet ein Transferder Datei statt und es startet ein Netzwerk-Sniffer, um den Netzwerkverkehr auf derBridge festzuhalten. Die Analyse dauert indiesem Beispiel gut zwei Minuten. Im Anschluss stellt Cuckoo im Ordner "sto-rage/analyses/reports/" die Reports zur Ver-fügung. Für diesen Test wurde in der Datei"reporting.conf" zuvor festgelegt, dass ein

HTML-Report erzeugt werden soll. Dieserlässt sich im Anschluss dann sehr einfachin einem Webbrowser ansehen (Bild 3).

Die eigentliche Untersuchung der Mal-ware-Samples wird bei Cuckoo von soge-nannten Analyse-Paketen durchgeführt, dieim Installationsverzeichnis unterhalb von"analyzer/modules/packages/" liegen. Wel-ches dieser Pakete zum Einsatz kommensoll, versucht Cuckoo anhand des Dateitypsselbst herauszufinden. Alternativ lässt sichdas entsprechende Analyse-Paket beimUpload des Samples aber auch angeben. Fürdie Untersuchung einer PDF-Datei könnteder Aufruf wie folgt aussehen:

$ utils/submit.py --package pdf

--machine win01 evil.pdf

Cuckoo kann auch ganze Webseiten aufschadhaften Code hin untersuchen. Hierfürmüssen Sie das Tool "submit.py" mit derOption "url" aufrufen:

$ utils/submit.py --url http://le-

xu.goggendorf.at/nukgfr2.html

Neben dem Werkzeug zum Upload vonMalware-Samples stellt Cuckoo noch ei-nige weitere interessante Utilities zur Ver-fügung. So lassen sich mit dem Tool"community.py" beispielsweise die aktu-ellsten Module für das Reporting, dieAnalyse und die Verarbeitung von Sam-ples herunterladen. Das Tool "stats.py"zeigt einige Statistiken der abgeschlosse-nen Tasks an (Listing 4).

Professionellen Anwendern der Softwaresei die Cuckoo-API [6] ans Herz gelegt.

Hiermit lassen sich viele der hier manu-ell durchgeführten Jobs automatisierenund in bestehende Tools integrieren.

An dieser Stelle sei noch erwähnt, dassCuckoo in einem Cl uster-Verbund be-trieben werden kann. Dies ist dann sehrhilfreich, wenn eine größere Anzahl vonTasks zeitgleich ablaufen soll. Da Cuckoofür jede Analyse eine eigene virtuelleMaschine startet, skaliert der Betrieb aufeinem einzelnen Rechner ab einer be-stimmten Anzahl von parallel ablaufen-den Tasks nicht mehr, sodass sich einCluster-Setup lohnt. Für diesen Zweckstellt die Software eine REST-API zurVerfügung. Diese lässt sich verwenden,um Samples einzureichen. Das Tool "dis-tributed/app.py" leitet die empfangenenSamples dann an einen der zuvor regis-trierten Cuckoo-Knoten weiter. NähereInformationen zu diesem Thema findensich in der recht ausführlichen Cuckoo-Dokumentation [6].

FazitMit Cuckoo steht ein sehr mächtigesWerkzeug zur Analyse von Malware zurVerfügung. Dank der modularen Imple-mentierung der Software lässt sich diesesehr leicht um eigene Module erweiternund so ideal an die eigenen Bedürfnisseanpassen. Wer sich die Software vor derInstallation einmal ansehen möchte, derkann unter [7] dem freien Malware Ana-lyse Service malwr einen Besuch abstat-ten. Im Backend kommt hier Cuckoozum Einsatz. (of)

$ python utils/community.py --reporting

Downloading modules from

https://github.com/cuckoosandbox/community/ar

chive/master.tar.gz

Installing REPORTING

$ python utils/stats.py

4 samples in db

11 tasks in db

pending 0 tasks

running 0 tasks

completed 0 tasks

recovered 0 tasks

reported 8 tasks

failed_analysis 3 tasks

failed_processing 0 tasks

failed_reporting 0 tasks

roughly 0 tasks an hour

roughly 1 tasks a day

Listing 4: Reporting-Module

[1] Cuckoo-Projektseite G0Z11

[2] Cuckoo wget-Modul G0Z12

[3] Malware-Domain-List G0Z13

[4] Installation einer virtuellen Maschine mittels KVM/libvirt und dem virt-manager G0Z14

[5] EICAR-Testdatei G0Z15

[6] Cuckoo-Dokumentation G0Z16

[7] Cuckoo Online Service G0Z17

Link-Codes

Bild 3: Ein erster Test mit dem Eicar-Virus verläuft erfolgreich.


58 Mai 2017 www.it-administrator.de

or gut einem Jahr, am 27. April2016, wurde die Datenschutz-

Grundverordnung (DSGVO) [1] veröf-fentlicht. In der Halbzeitpause der Vor-bereitungen ist es nun an der Zeit, diebisher getroffenen Maßnahmen innerhalbeines Unternehmens noch einmal zu re-sümieren und die no twendigen Schritteder kommenden zwölf Monate zu planen.Es geht um den S chutz natürlicher Per-sonen bei der Verarbeitung personenbe-zogener Daten. Dazu gehören Kunden-daten, Mitarbeiterdaten, Sitzungsdatenvon Webseitenbesuchern und vieles mehr.Ausgenommen von der Verordnung sindbeispielsweise persönliche oder familiäreTätigkeiten. Die Pflege der eigenen Kon-taktdatenbank im Smartphone fällt alsonicht darunter. Wer jedoch für den Be-trieb von Infrastruktur und Diensten ver-antwortlich ist, die eine private Nutzungermöglichen, das können soziale Netz-werke oder Anbieter von Online-Adress-büchern sein, für den gilt die Verordnung.

Verantwortung und EinwilligungDie "Benennung eines Datenschutzbe-auftragten" regelt Artikel 37 der Verord-nung. Datenschutzbeauftragte müssenlaut Verordnung von Behörden oder öffentlichen Stellen ebenso benannt wer-den wie von Unternehmen, deren Kern-tätigkeit die Durchführung von Verar -beitungsvorgängen unter bestimmten Umständen ist oder wenn besonders ge-schützte Datenkategorien wie ethnische

Herkunft, Gewerkschaftszugehörigkeit,Gesundheitsdaten oder strafrechtlicheVerurteilungen verarbeitet werden. Auchdie Anforderungen an die Datenschutz-beauftragten sowie deren Tätigkeiten sindin Artikel 39 "Aufgaben des Datenschutz-beauftragten" beschrieben.

Vor einer möglichen Datenverarbeitunghat die Verordnung allerdings noch dieEinwilligung durch die betroffene Personverankert. Dabei wird auch klargestellt,dass eine schriftliche oder digitale Einwil-ligung erfolgen kann. Wichtig ist dabei abereine von der Person ausgehende eindeutigeHandlung zur Einwilligung. Stillschweigenoder eine bereits angekreuzte Box imHTML-Formular sind dazu nicht geeignet.Die in Deutschland bereits existierendeZweckbindung der erhobenen Daten istnach wie vor gegeben. Die Einwilligungzur Verarbeitung personenbezogener Datenfür wissenschaftliche Forschung kann fürein spezielles Forschungsziel, aber auch fürdie gesamte Bandbreite erfolgen, wenn dieEinhaltung ethischer Standards in der Wis-senschaft gewährleistet ist.

Pflichten der DatenverarbeiterZu Beginn des vierten Kapitels der Ver-ordnung werden allgemeine Pflichten derVerantwortlichen und Auftragsverarbeiterbeschrieben. Darunter finden sich Pflich-ten mit direktem Bezug zu technischenAnlagen und Vorkehrungen. Artikel 25umfasst den "Datenschutz durch Tech-

nikgestaltung und durch datenschutz-freundliche Voreinstellungen". Neben derUmsetzung aller Sicherungsmaßnahmendes Stands der Technik werden Pseudo-nymisierung und Datenminimierung ge-fordert. Maßgeblich ist hierbei sowohlder Zeitpunkt der Datenerhebung alsauch der Zeitpunkt der Datenverarbei-tung. Es erscheint also notwendig, dieSpeicherung und regelmäßige Verarbei-tung einmal erhobener Daten an die Ent-wicklung der Sicherungsmaßnahmen imStand der Technik anzupassen.

Darüber hinaus müssen Voreinstellungenso getroffen werden, dass bei der Verar-beitung tatsächlich nur der Teil der Datengespeichert und verwendet wird, der un-bedingt notwendig ist. Eine Person mussalso der erweiterten Verarbeitung ihrerDaten auch hier wieder exp lizit zustim-men. Am Beispiel eines Online-Shops be-deutet dies also, dass bei der Verwendungvon Kundendaten über eine Bestellunghinaus, beispielsweise für Marketingzwe-cke, ein Kunde explizit handelnd zustim-men muss. Auch dürfen durch Vorein-stellungen die Speicherfristen oder dieWeitergabe an andere Personen nicht imnegativen Sinne beeinflusst werden.

Betroffenenrechte und ProtokollierungJede Person ist gemäß der Verordnungmit einigen Rechten ausgestattet, auf dieüber sie gespeicherten personenbezogenen

V

Security-Aspekte der Datenschutz-Grundverordnung

Die Zeit läuftvon Matthias Wübbeling

Im Mai 2018 tritt die europäische Datenschutz-Grundverordnung in Kraft. Sie beschreibt 173 Ermessens-gründe und umfasst 99 Artikel. Dieser Security-Tipp gibt einen Einblick in die Anforderungen an den Datenschutz inUnternehmen sowie mögliche Konsequenzen für Prozesseund den Einsatz technischer Infrastrukturen zur Verarbeitung personenbezogener Daten.

Que

lle: 4

max

– 1

23RF

S058-059_ITA_0517_P12_ok_ITA_Default 18.04.2017 16:42 Seite 2

Link-Codes eingeben auf www.it-administrator.de Mai 2017 59

Secur i ty -Tipp Prax i s

Daten Einfluss zu nehmen. Dazu gehörendie Rechte auf Information, Zugriff, Be-richtigung, Löschung, Einschränkung derVerarbeitung, Datenübertragbarkeit undWiderspruch. In dem Zusammenhangwird erwähnt, dass die Wahrnehmungdieser Rechte ähnlich einfach durchzu-führen sein muss wie die Einwilligung zurDatenverarbeitung selbst.

Die Protokollierung der Verarbeitung istin Artikel 30 "Verzeichnis von Verarbei-tungstätigkeiten" beschrieben. Dabei müs-sen unter anderem die folgenden Infor-mationen berücksichtigt werden:- Namen und Kontaktdaten der Verant-

wortlichen, Vertreter und Datenschutz-beauftragten.

- Zweck der Verarbeitung.- Eine Beschreibung der Kategorien be-

troffener Personen und personenbezo-gener Daten.

- Alle möglichen Empfänger, denen per-sonenbezogene Daten offengelegt wur-den oder werden, auch wenn diese sichnicht in der EU befinden, und die Do-

kumentation getroffener Sicherungs-maßnahmen bei der Übermittlung.

- Fristen für die Löschung enthaltenerDatenkategorien.

- Allgemeine Beschreibung technischerund organisatorischer Maßnahmen zurSicherheit der Verarbeitung.

Das Verzeichnis kann auch elektronischgeführt werden und muss der entspre-chenden Aufsichtsbehörde auf Anfragezur Verfügung gestellt werden. Diese Do-kumentation ist sowohl für Verantwort-liche als auch für Auftragsverarbeiter ob-ligatorisch. Von der Verzeichnispflichtbefreit sind Unternehmen mit wenigerals 250 Mitarbeitern zumindest dann,wenn die Verarbeitung kein besonderesRisiko für die betroffenen Personen birgt,die Datenverarbeitung regelmäßig erfolgtund nicht besonders schützenswerte Da-tenkategorien betroffen sind.

Technische SicherungsmaßnahmenTechnische Maßnahmen sind in Artikel32 "Sicherheit der Verarbeitung" allgemeinbeschrieben. Die Sicherungsmaßnahmenorientieren sich an dem Stand der Tech-nik und schließen unter anderem folgen-de Maßnahmen mit ein:- Pseudonymisierung und Verschlüsse-

lung personenbezogener Daten.- Dauerhafte Sicherstellung der Vertrau-

lichkeit, Integrität, Verfügbarkeit und Be-lastbarkeit der Systeme und Dienste imZusammenhang mit der Verarbeitung.

- Die Verfügbarkeit der personenbezo-genen Daten nach einem Vorfall raschwiederherzustellen.

- Etablierte Prozesse zur regelmäßigenÜberprüfung, Bewertung und Evalu-ierung der Wirksamkeit der Siche-rungsmaßnahmen.

Die Verordnung unterscheidet zwischenPseudonymisierung und Anonymisierungvon personenbezogenen Daten. Pseudo-nymisierte Daten, die mittels zusätzlicherInformationen oder durch statistische Me-thoden einer natürlichen Person zugeord-net werden können, müssen per se als per-sonenbezogene Daten betrachtet werden.Das kann auch das mittels Hash-Funktionpseudonymisierte Benutzerpasswort sein.Begriffe wie k-Anonymität oder l-Diver-

sität sind in der Verordnung zwar nichtgenannt, technisch werden diese aber ver-mutlich für die Bewertung der möglichenZuordnungsfähigkeit relevant sein.

Explizit genannt sind auch IP-Adressen,Online-Kennungen oder Cookies, die ei-ne Zuordnung und Profilerstellung er-möglichen. Die Verwendung pseudony-misierter Daten befreit dabei nicht vonanderen Datenschutzmaßnahmen. Spei-cherung und Verarbeitung personenbe-zogener Daten im Umfeld eines CERToder CSIRT sowie durch Betreiber vonKommunikationsnetzen und -dienstenoder Anbieter von Sicherheitstechnolo-gien sind zum Schutz der eigenen Infra-struktur vor Störungen oder mutwilligenEingriffen zulässig, solange sie unbedingtnotwendig und verhältnismäßig sind.

Meldepflichten und GeldbußenIm Falle eines Vorfalls muss dieser inner-halb von 72 Stunden nach Bekanntwerdenan die entsprechende Aufsichtsbehördegemeldet werden. Analog formuliert Ar-tikel 34 die "Benachrichtigung der von ei-ner Verletzung des Schutzes personenbe-zogener Daten betroffenen Personen". Einesolche Benachrichtigung kann dann übereine öffentliche Bekanntmachung erfolgen,wenn der Aufwand der individuellen Be-nachrichtigung mit unverhältnismäßig ho-hem Aufwand verbunden ist. MöglicheStrafen bei Verstößen und die Bedingun-gen und Höhe von Geldbußen sind in Ar-tikel 83 "Allgemeine Bedingungen für dieVerhängung von Geldbußen" festgelegt.

FazitDie DSGVO stellt hohe Anforderungen andie IT-Sicherheit. Regelmäßige Pen-Testsder eigenen Infrastruktur und Zertifizie-rungsverfahren können in vielen Fällen ei-nen Nachweis der ordnungsgemäßen An-wendung bringen. Dadurch verringert sichder Dokumentationsaufwand bei gleich-zeitig erhöhter Rechtssicherheit. (dr)

In unserem IT-Administrator-Training zur Da-tenschutz-Grundverordnung erklärt die Da-tenschutzexpertin Daniela Duda, was die Ver-ordnung für Unternehmen und Adminsbedeutet. Zudem zeigt sie die Chancen für IT-Abteilungen auf, die daraus entstehen.

Die Agenda des Trainings:

- Was die EU Datenschutz-Grundverordnungbeinhaltet und regelt.

- Warum Unternehmen heute bereits Maß-nahmen ergreifen müssen, um zum Zeit-punkt der Geltung am 25. Mai 2018 richtigaufgestellt zu sein.

- Neues Instrument der Datenschutz-Folgen-abschätzung bei der Verarbeitung sensiblerDaten: Durchführungspflichten, Vorberei-tung und Einbindung der IT-Abteilung.

- Erweiterte Anforderungen an die Dokumen-tation von Unternehmen und die daraus re-sultierenden Anforderungen an Admins.

- Risiken einer nicht vorhandenen oder un-vollständigen Dokumentation.

Die ganztägige Veranstaltung findet am 23. Mai in Dietzenbach bei Frankfurt/Mainstatt. Weitere Infos und Anmeldemöglichkeitunter [2].

Training zur Datenschutz-Grundverordnung

[1] EU-DSGVO H5PB1

[2] IT-Administrator Training zur Datenschutz-Grundverordnung TIW02

Link-Codes

S058-059_ITA_0517_P12_ok_ITA_Default 18.04.2017 16:42 Seite 3

Documents

Unter anderem lesen Sie: Gruppenrichtlinien für Windows 10 · Android und iOS. Auch das Einbeziehen eines Linux-Ser-vers und die Integration in Amazon EC2 ist bereits mit der