Änderung NWZ Domain Policy

Das "Neue Outlook" oder "Outlook (neu)" ist ab Windows 11 2023H2 Bestandteil von Windows. Es handelt sich dabei nicht um das herkömmliche "Outlook", wie es als Bestandteil von Microsoft Office bekannt ist, sondern um eine gänzlich andere Anwendung mit ähnlichem Namen.
Das herkömmliche Outlook als Teil von Microsoft Office ist unter Windows nicht betroffen.

Über die NWZ Domain Policy haben wir den Button zum starten der Anwendung mit folgenden Registry-Schlüssel deaktiviert:
[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options\General] "HideNewOutlookToggle"=dword:00000001

Umstellung DFS Folder Target MSI-Install

Am Freitag 19.07 wird ab ca. 7:00 Uhr das DFS Folder Target von \\nwz.wwu.de\dfs\Software\MSI-Install umgestellt und zukünfig auf ein neues Ziel verweisen.
Zwecks der besseren Verwaltbarkeit und dem zusammenlegen von Resourcen wird dieser in das "SCCM-Install" inkludiert werden.
Der DFS Pfad "\\nwz.wwu.de\dfs\Software\MSI-Install" bleibt weiterhin bestehen.
Bitte kopieren Sie an diesem Tag keine Datein innerhalb des "MSI-Install".

Mi, 10.07.2024: Wartungsarbeiten WDS

Am Mittwoch, den 10.07.2024 wird der WDS Dienst nicht erreichbar sein, da einige Tests durchgeführt werden.

ConfigMgr Wartungsarbeiten am 05.06.2024

Am Mittwoch dem 05.06.2024 kommt es ab ca. 07:00 Uhr zu Wartungsarbeiten am ConfigMgr.
Bitte beenden Sie Ihre offene ConfigMgr Console Sitzungen frühzeitig und starten diese erste wieder mit der Ankündigung zum Ende der Wartungsarbeiten.
Bestehende Deployments werden weiterhin ausgeführt, sodass Ihre Windows Clients Software installieren können.

Änderung an der NWZ Domain Policy

Folgende Änderung gab es heute früh an der "NWZ Domain Policy".
Deaktivierung der Einstellung: Computer Configuration > Administrative Templates > Windows Components > Widgets
Dadurch wird das Wetter/News Widget in der Windows Leiste deaktiviert.

Änderung an der NWZ Domain Policy

Aufgrund eines Updates des Exhange Servers schlägt nun bei vielen Outlook Clients die Suchfunktion fehl.
Aktuell gibt es seitens Microsoft nur einen Workaround zur Problemlösung, welchen wir heute mit der "NWZ Domain Policy" verteilen.
Info: https://support.microsoft.com/en-us/topic/search-error-in-outlook-cached-mode-after-installing-march-2024-su-aabcf51a-a45b-4a27-96ff-30efaed1633e

Änderung an der NWZ Domain Policy

Um "Warenkorb" Probleme im Zusammenhang der Rahmenvertrags-Liste mit SAP zu beheben, habe wir ab sofort folgenden Einträge zur NWZ Domain Policy hinzugefügt.
Dadruch sollten im Google Chrome die Waren korrekt in SAP übernommen werden.
Registry Pfad: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\LegacySameSiteCookieBehaviorEnabledForDomainList
1. uvsapwp01.uni-muenster.de
2. shop.westfalen.com
3. www.alsterarbeit-hs.de
4. [*.]conrad.com
5. [*.]reichelt.de

Endgültige Abschaltung der Sophos Enterprise Console am 22.12.2023

Im Laufe des 22.12.2023 werden wir die Bereitstellung der Sophos Enterprise Console endgültig einstellen.
Alle uns bekannten Systeme wurden in die jeweiligen Sophos Central Instanzen überführt und zukünftig in diesen verwaltet.

Anmeldung zu Sophos Central: https://central.sophos.com
Für jedes Institut wurde eine eigene Sophos Central Instanz zur Geräteverwaltung angelegt.
Beginnend mit dem nächsten Adminpraktikum (19.-23.02.2024) werden wir das Thema „Intercept X Advanced“ gesondert behandeln und vorstellen. https://www.uni-muenster.de/LearnWeb/learnweb2/course/view.php?id=42

Bedarfsumfrage eToken-SmartCard zur Absicherung von administrativen Zugängen

Wie auf der 97. Sitzung der IVV Expert:innenrunde am 10.11.2023 berichtet, beschafft das CIT aus Krisenresilienzmitteln verschiedene Typen von SmartCards (USB-A/-C eToken).

Diese können verwendet werden, um die Anmeldung an administrativen Kennungen sicherer zu machen. Mit dem eToken findet die Anmeldung nicht per Kennung und Passwort statt, sondern über ein auf einem speziellen USB-Stick gespeichertes Zertifikat und eine vom Passwort unabhängige PIN.

Bei Besitz des USB-Token mit dem Zertifikat und der Kenntnis der PIN ist eine Anmeldung möglich. Das Passwort wird nicht eingegeben oder übertragen und kann so nicht von einem Angreifer abgefangen und missbräuchlich verwendet werden.

Wenn Sie über eine oder mehrere IT-Administrationskennungen oder besonders schützenswerte Kennungen verfügen, können Sie über die verlinkte Umfrage bis 30.11.2023 Ihren Bedarf für einen eToken melden.

https://sso.uni-muenster.de/LearnWeb/learnweb2/mod/feedback/view.php?id=3126818

Sie benötigen nur einen eToken, auch wenn Sie mehrere Ihrer Kennungen schützen wollen.

Wir möchten so den Bedarf feststellen und ein Mengengerüst für die verschiedenen Typen zur Beschaffung an das CIT weitergeben.

Änderung an der GPO: NWZ Domain Policy

Aufgrund einer Warnung des BSI zu einer noch nicht gepatchten Office Schwachstelle, haben wir heute früh die entsprechenden Empfehlungen in der NWZ-Domain Policy umgesetzt.
Wenn Microsoft entsprechende Office Patches nachliefert, werden wir die Änderungen an der GPO wieder rückgängig machen.

KeyServer Benachrichtigung zu Sophos Security & Control

Ab heute Nachmittag werden wir auf dem KeyServer eine Benachrichtigung zum Einsatz des Sophos Security & Control aktivieren.
Der Support für die Sophos Enterprise Console endet am 20. Juli 2023.
In diesem Zuge können wir unsere Sophos Enterprise Console ab dem 20. Juli 2023 nicht weiter betreiben. Ohne Update Server sind die betroffenen Clients nicht mehr geschützt.

Dienstliche Geräte müssen bis zum 20. Juli 2023 in eine Sophos Central Instanz migriert werden. Wir haben bereits für einige Institute des NWZ eigene Instanzen von Sophos Central bereitgestellt und Geräte migriert.
Für alle Geräte welche nicht bis zum 07. Juli 2023 migriert sind, werden wir ein zentrales Update über den ConfigMgr ausrollen um diese Clients in eine durch uns bereitgestellte Instanz von Sophos Central zu überführen.
Diese Geräte werden dann nicht mehr durch Sie als Administratoren verwaltbar sein.
Eine spätere Migration in eine weitere Sophos Central Instanz ist aber techn. umsetzbar.

Nicht mehr supportete Windows 7/Windows 8/Windows 10 Systeme werden ab dem 20. Juli 2023 somit ohne Virenschutz sein. Wir raten dringend dazu an, die betreffenden Geräte zu aktualisieren.

BitLocker Recovery Information im Active Directory für zuständige 2er-Gruppe jetzt einsehbar

BitLocker wird zur Verschlüsselung der Festplatten von tragbaren Windows Computern in NWZ emfohlen. Und wurde ausfürlich in einem IVV-Kolloquiumsvortrag im Sommersemester 2022 vorgestellt.

Die Wiederherstellungsschlüssel werden geschützt im Active Directory am jeweiligen Computer Objekt hinterlegt. Bisher waren diese Schlüssel nur für Domänenadministratoren einsehbar.

Ab sofort sind diese Schlüssel jetzt auch von der jeweils zuständigen 2er-Gruppe (Y-Accounts) einsehbar.

Keine Benutzerprovisionierung am 23.05.2023

Wegen Umstellungen bei der zentralen Benutzerdatenbank (WWUBEN) ist die Benutzerprovisionierung im NWZ in der Nacht vom 22. auf den 23. Mai 2023 fehlgeschlagen.

Der Zugriff auf den benötigten Datenbank-View ist jetzt wiederhergestellt und alle angefallenen Aufgaben werden in der nächsten Nacht nachgeholt.

NWZ Active Directory Domain Functional Level auf Windows Server 2016 erhöht

Das Domain Functional Level des NWZ Active Directory wurde von Windows Server 2012R2 auf Windows Server 2016 erhöht.

Das Forest Functional Level der WWU.DE ist aktuell Windows Server 2012, daher können die neuen Eigenschaften ,die mit dem Windows Server 2016 Functional Level von Microsoft eingeführt wurden, im NWZ noch nicht aktiviert werden

[GPO] Zuweisung \\print.wwu.de\inpas

Der Follow-me-Drucker \\print.wwu.de\inpas wird ab sofort über die Gruppenrichtlinien "NWZ Domain Policy" und NWZ Domain Policy for Windows 10" als zusätzlicher Drucker bereitgestellt.

Informationen zur Nutzung von NWZ-Arbeitsplatzrechnern (Windows PCs) per Remote Desktop

Sie finden in der Hilfe unter IT-Administratoren -> Anleitungen -> Windows -> Konfiguration des Windows Remote Desktop Services nun eine Zusammenstellung der Informationen und Schritte die ggf. notwendig sind, um NWZ-Arbeitsplatzrechner (Windows PCs) auf den Zugriff per Remote Desktop aus dem Internet über den Remote Desktop Gateway der Universität vorzubereiten.

Die bisher für alle Remotezugriffe propagierte Verwendung von VPN soll für Remote Desktop aktuell nicht mehr eingesetzt werden, um die in der Kapazität beschränkten VPN-Gateways der Universität nicht weiter zu be- und ggf. überlasten.

Die Anleitung umfasst Aufgaben, die auch Bestandteil der Weiterbildung im Rahmen des Praktikums zur Rechneradministration sind. So hoffen wir, dass Sie mit der teilweise ggf. etwas verkürzten Darstellung zurecht kommen.

Bis auf die Tätigkeiten, die durch das NOC ausgeführt werden müssen, können Sie die Konfiguration selbst durchführen.

Wir haben am Ende der "Anleitung" auch den Link zu einer NWZ-spezifischen Endbenutzerinformation bereitgestellt. Er ist anderweitig nicht veröffentlich, da die Nutzung die vorherige Konfiguration durch Sie erfordert, sowie zusätzliche individuelle Information von Ihnen und ggf. eine Einweisung durch Sie. Sie dürfen den Link weitergegeben.

Home Office Nutzung von NWZ-Arbeitsplatzrechnern (Windows PCs) - Vorab-Information

Die Verwaltung hat am Montag eine Anleitung zur Home Office Nutzung von Arbeitsplatzrechner veröffentlich und teilt weiter Informationen bzgl. Heimnutzung, die nicht für die Fachbereiche, Institute und Arbeitsgruppen zutreffend sind.

Dies gilt insbesondere für erzwungene Beschränkungen beim Zugriff auf Geräte und Daten bei der Nutzung eines Windows Remote Desktop Zugriffes.

Die WWU-IT hat mittlerweile auch Systeme aufgebaut, die ausserhalb der Verwaltung für ein Home Office Szenario mit Window Remote Desktop genutzt werden können, ohne die VPN-Gateways der Universität weiter zu belasten

DIe Citrix-Systeme in der IVV Naturwissenschaften sind aktuell nicht ungewöhnlich stark belastet und können für die Nutzung von Apps und den Zugang zu Daten derzeit regulär genutzt werden.

Die Nutzung von Citrix reduziert die benötigte Netzwerkbandbreite und entlastet so die VPN-Gateways gegenüber Remote Desktop und direkter Anbindung von Netzwerklaufwerken per SMB. Wir beobachten die Nutzung regelmäßig und sind darauf vorbereitet die Anzahl der Nutzer in Citrix mindestens temporär und relativ kurzfristig zu erhöhen, sollte dies notwendig werden.

Sollten Sie als IT-Administrator*innen für Ihren Bereich dennoch einen Windows Remote Desktop Zugriff auf NWZ-Arbeitsplatzrechnern (Windows PCs) einrichten, so verwenden Sie bitte für den Zugriff aus dem Internet NICHT die VPN-Gateways der Universität, sondern den für die nicht-Verwaltungsbereiche von der WWU-IT neu eingerichteten Remote Desktop Gateway.

Zur Nutzung des Remote Desktop Gateways und der Windows Remote Desktop Services auf NWZ-Arbeitsplatzrechnern (Windows PCs) müssen zunächst windows- und netzseitig einige Voraussetzung erfüllt werden.

Es sind dabei drei Ebenen zu beachten:

  • Zugriff auf den Remote Desktop Dienst durch Gruppenmitgliedschaft (per Gruppenrichtlinie zu konfigurieren)
  • Firewallregel für den Remote Desktop Gateway zur Entlastung der VPN-Systreme (per Gruppenrichtlinie zu konfigurieren)
  • ACL-Regeln für den Remote Desktop Gateway zur Entlastung der VPN-Systreme (per NIC_online/NOC zu konfigurieren)
Wir konsolidieren derzeit die verschiedenen Anleitungen der Verwaltung und die neueren Information die wir mittlerweile von der WWU-IT erhalten konnten, um für die einzelnen o.g. Ebenen Musterkonfigurationen bzw. Konfigurationsanleitung den IT-Administrator*innen bereitstellen zu können.

Die gewissenhafte Absicherung solcher Zugänge gegen unbefugten Zugriff liegt in der Verantwortung der IT-Administrator*innen.

Abschaltung des Windows Defender Antivirus

Der Windows Defender Antivirus, welcher eigentlich automatisch durch Sophos Anti-Virus deaktiviert werden sollte, musste über die "NWZ Domain Policy for Windows 10" Gruppenrichtlinie deaktiviert werden.
In den Windows 10 Versionen 1903 und 1909 kam es z einem gegenseitigen blockieren, welches zu einer 100%-igen CPU Last geführt hat.
Zusätzlich gibt es die "NWZ Windows Defender disabled" Policy. Diese deaktiviert den Windows Defender Antivirus ebenfalls.

Änderung an der NWZ Domain Policy

Wie bereits in diversen Kolloquien angekündigt, wurde in der NWZ Domain Policy folgende Änderung durchgeführt. Der Configuration Manager-Client(SCCM-Agent) wird nun an alle Windows Clientsysteme verteilt. Dies bedeutet, dass die "GPSI - 28 - Configuration Manager-Client" somit obsolet ist und Sie diese Policy bei Ihren OU's entfernen können.

Änderung an der NWZ Domain Policy for Windows 10

In der NWZ Domain Policy for Windows 10 wurde eingestellt, dass Windows 10 Upgrades mit dem "Semi-Annual Channel" empfangen werden. Dies bedeutet, dass Feature Upgrades, zum Beispiel von Windows 10 - 1703 auf Windows 10 - 1709, erst vier Monate nach Veröffentlichung auf den Clients installiert werden.

Möchte man die Updates direkt erhalten, muss man in einer Policy folgendes ändern:
1. Unter Computerkonfiguration - Administrative Vorlagen - Windows Komponenten - Windows Update - Clientseitige Zielzuordnung aktivieren und "NWZ-Default Clients fast Updates" eintragen.
2. Unter Computerkonfiguration - Administrative Vorlagen - Windows Komponenten - Windows Update - Windows-Update für Unternehmen - Auswählen, wann Preview-Builds und Feature-Updates empfangen werden auf "Semi-Annual Channel (targeted)" stellen und 0 Tage eintragen.

Zentrale Änderung des Firefox Session Restore Intervalls

In der NWZ Domain Policy wurde die Einstellung des Firefox Session Restore Intervalls geändert. Dieses Feature speichert standardmäßig kontinuierlich alle paar Millisekunden die geöffneten Tabs in einer Datei ab, um Sie bei Bedarf wiederherstellen zu können. Dadurch kann ein nicht unerheblicher Traffic von bis zu 100 GB pro Benutzer und Tag entstehen. Aus diesem Grund wurde der Wert nun auf 15 Minuten festgelegt.

Folgende Einstellung wurde geändert:
Computerkonfiguration-Richtlinien-Administrative Vorlagen-Mozilla Advanced Options-Locked Settings-browser

Einstellung: browser.sessionstore.interval - aktiviert
Number: 900000 (ms = 15 Minuten)

Windows Papierkorb: Änderung in der NWZ Domain Policy

Bislang ist der Windows Papierkorb in der Domäne NWZ standardmäßig aktiviert, sodass Dateien nicht direkt gelöscht, sondern in den Papierkorb verschoben werden.

Ab dem 14.03.2016 werden wir den Papierkorb standardmäßig deaktivieren, sodass Dateien beim Löschen auch tatsächlich gelöscht werden.

Möchten Sie in Ihrer OU den Papierkorb dennoch aktiviert lassen, müssen Sie in Ihrer Policy folgende Einstellung ändern:

User Configuration – Policies – Windows Components – File Explorer – Do not move deleted files to the Recycle Bin --> deactivated

Ausführen von Makros in Microsoft Office Dokumenten erfordert in NWZ ab sofort manuelle Bestätigung

Aufgrund der Crypto-Trojaner-Bedrohung, ist das Ausführen von Makros in Microsoft Office Dokumenten per NWZ Domain Policy ab sofort nur noch nach vorheriger Bestätigung durch den Benutzer möglich.

Beim Öffnen von Microsoft Office Dokumenten aus Emails in Outlook, werden diese zusätzlich erst nur im abgesicherten Modus geöffnet.

Sollten Sie eigene Office-Konfigurationen über die Gruppenrichtline verteilen, so müssen Sie ggf. die Einstellungen entsprechend anpassen. Sie können die in der NWZ Domain Policy gemachten Einstellung dazu als Vorlage verwenden.

Verschlüsselungstrojaner gefährden lokale, dezentrale und zentrale Datenspeicher

Verschlüsselungs- oder Cryptotrojaner verschlüsseln unbemerkt Daten und geben diese nur gegen Lösegeld (ransom), wenn überhaupt, wieder frei.

Haupt-Verbreitungswege von Schadsoftware sind präparierte Webseiten und E-Mails. Eine aktuelle und sichere Softwarekonfiguration (insbes. Betriebssystem, Virenscanner, Browser, Browser-Plugins und E-Mail-Programm) ist Grundvoraussetzung, sie bietet aber keine hundertprozentige Sicherheit. Wichtig ist der bewusste und vorsichtige Umgang mit Internet und Email.

Öffnen Sie keine Emails, vor allem aber keine Anhänge, von Absendern die Sie nicht kennen oder die verdächtig aussehen. Dazu gehören auch Microsoft Office, Adobe PDF Dokumente oder ZIP-Archive.

Sollten Sie Opfer eines Verschlüsselungstrojaners werden, benachrichtigen Sie UMGEHEND Ihren IT-Administrator. Nur so kann eine Ausbreitung auf weitere Datenbestände eingedämmt werden, und bereits verschlüsselte Dateien aus der Datensicherung einer frühreren Version wiederhergestellt werden.

Konfiguration von Netzzugriffsregeln (ACLs) im NIC_online Netzzonenbrowser

Eine Anleitung, wie sie selbst Netzzugriffsregeln (ACLs) im NIC_online Netzzonenbrowser ändern und erweitern können, finden Sie in der Hilfe für Administratoren im neuen Abschnitt "Sicherheit".

Diese Regeln im Netz wirken unabhängig vom Betriebssystem und einer Firewall. Sie stellen die bevorzugte Methode dar, um Netzwerk-Zugriffe innerhalb der Universität zu steuern, ersetzen aber keine Firewall.

Wenn Sie Geräte mit öffentlichen IP-Adressen (128.176.*.*) gegen Zugriff von außen Schützen möchten, lassen Sie sich bitte durch die WWU IT zur Einrichtung einer Firewall beraten.

Änderung der Firewall-Regeln in NWZnet und NWZ

Die Firewall-Regeln in den Domänen NWZnet und NWZ haben sich in folgenden Bereichen geändert:

* File and Printer sharing exception
* Remote Administration exception
* Remote Desktop exception

Es wurde jeweils ein Subnetz ergänzt.

Sollten Sie eigene Filterregeln in der Gruppenrichtlinie definiert haben, so ergänzen Sie die Regeln entsprechend der Einstellungen in der NWZnet Domain Policy for Windows XP/7 bzw. NWZ Domain Policy.

Änderung beim Zugang zu Administrator Hilfe und Dokumentationen

In letzter Zeit häufen sich die Fälle, wo der Zugang zu Dokumentationen unter https://sso.uni-muenster.de/IVVNWZ/hilfe/administration verwehrt wird. Dies kann mehrere Gründe haben.

Wir haben dies zum Anlaß genommen, eine bereits länger mögliche Bereinigung vorzunehmen, die eine Reihe von Problemen beseitigt.

Ab sofort sind die Dokumentationen nur noch mit der Standard-Kennung eines IT-Administrators zugänglich und nicht wie bisher auch mit der administrativen Kennung (W- oder Y-Account).

Sollte Ihnen der Zugriff trotz Verwendung der Standardkennung verwehrt werden und Sie sind ein offiziell bestellter IT-Administrator, so prüfen Sie bitte ob Sie Ihr Passwort ggf. längere Zeit nicht geändert haben.

Ein veraltetes Passwort (zuletzt geändert 2007), das nach der Umstellung des Webserverparkes nicht mehr akzeptiert wird, kann der Grund für den Fehlschlag des Logins sein. Bitte ändern Sie Ihr Passwort über meinZIV.

 

[Valid RSS]