Microsoft Copilot für alle

Wir erinnern uns: Kurz vor dem Jahreswechsel erschien Microsoft Copilot für Android. Nun gibt es den KI-Assistenten auch für iOS. Die Nutzung der Basisvariante ist für beide Betriebssysteme kostenlos, ein Microsoft-Account wird jedoch dringend empfohlen.

Die Pro-Version der App kostet 22 Euro im Monat. Dafür hält sie nicht nur in Word, Excel, PowerPoint, Outlook und OneNote Einzug, sondern arbeitet auch mit dem neueren Sprachmodell GPT-4-Turbo.

Das bisher nur großen Unternehmen vorbehaltene Copilot für Microsoft 365 ist nun auch für kleine und mittelständische Firmenkunden verfügbar. Die vorher geltende Mindestabnahmemenge von 300 Zugängen entfällt, ab sofort können auch Einzellizenzen zum Preis von 30 US-Dollar erworben werden. Auch Abonnenten von Office 365 E3 und E5 können den Assistenten nutzen. Bisher war dafür eine Microsoft-365-Lizenz erforderlich.

Copilot für Microsoft 365 ist übrigens die einzige Version, die eine Integration in Teams bietet. Über weitere Features informiert Microsoft in folgender Mitteilung: https://bit.ly/3O8zZNV

Ende des Mainstream-Supports für Exchange Server 2019

Microsoft gibt in einer knappen Meldung das Ende des Mainstream-Supports von Exchange Server 2019 bekannt. Seit dem 9. Januar befindet sich das Produkt im sogenannten erweiterten Support-Zeitraum. Dieser läuft noch bis zum 14. Oktober 2025.

Bis dahin verspricht der Hersteller weitere Updates. Mindestens zwei davon, CU14 und CU15, sollen noch 2024 erscheinen, Fehlerbehebungen und Sicherheitspatches gibt es sogar bis zum endgültigen Support-Ende.

Informationen zu einem On-premise-Nachfolger stehen nach wie vor aus. Spekulationen über eine baldige Ankündigung von Exchange Server 2023/24 haben sich im vergangenen Jahr nicht bestätigt. Eine langfristig sichere Upgrade-Option für Organisationen und Unternehmen besteht in der Migration zu Microsoft 365.

Microsofts Exchange-Team-Blog

(Quelle: Microsofts Exchange-Team-Blog)

Microsoft Copilot für Android verfügbar

Schon gewusst? Microsoft Copilot gibt’s seit den Weihnachtsfeiertagen als App für Android-Smartphones und -Tablets. Damit ist der Einsatz des KI-Assistenten auch ohne Bing-Suche oder anderen Programmen wie Word möglich.

Die App vereint mehrere Funktionen: Für das Verfassen von Texten kommt die aktuelle Version 4 von ChatGPT zum Einsatz, Bilder werden mit Dall-E 3 generiert. Für den User bleibt die App kostenfrei, empfohlen – jedoch nicht benötigt – wird lediglich ein Microsoft-Konto.

Noch ist der Assistent nicht perfekt: Einige Nutzer beklagen etwa Darstellungsprobleme bei den Bildern oder eine zu restriktive Filterung der unerwünschten Begriffe. Andere loben die Software hingegen für ihre nützliche Antworten. Macht Euch am besten selbst ein Bild:

Copilot für Android

(Quelle: Microsoft Copilot bei Google Play)

Über 20.000 verwundbare Exchange-Server im Netz

Wer würde nicht gern mit einem 16 Jahre alten Auto ohne Blinker, Gaspedal oder TÜV, aber dafür mit platten Reifen und durchgetrennten Bremsschläuchen über die Autobahn brettern?

Zugegeben: Die Frage klingt reißerisch. Aber das oben beschriebene selbst- und fremdgefährdende (oder zumindest fahrlässig die Gefahr billigende) Verhalten legen manche Unternehmen in Sachen Netzwerksicherheit an den Tag.

Wie sonst lässt sich im Jahr 2023 der Einsatz von Exchange Server 2007 im Unternehmensumfeld erklären, einem Produkt, für das es seit sechs Jahren keinerlei Sicherheitsupdates mehr gibt?

Das ist nur die Spitze des Eisbergs. Auch neuere, jedoch genauso nicht mehr unterstützte Versionen (etwa Exchange Server 2010 oder 2013) befinden sich im produktiven Einsatz – laut Sicherheitsforschern von ShadowServer Foundation mehr als 20.000 weltweit, über 10.000 davon in Europa.

Wir sagen’s erneut: Steigt um auf aktuelle Versionen – etwa auf Microsoft365 oder auf Exchange Server 2019. Letzteres wird zwar nur noch bis Oktober 2025 mit Sicherheitsupdates versorgt, aber immerhin besser als gar nicht.

Mehr Infos zu dem Thema gibt’s bei heise online: https://www.heise.de/news/Support-ausgelaufen-Mehr-als-20-000-Exchange-Server-potenziell-angreifbar-9546919.html

Echange Server 2007 EOL

Windows Ugly Sweater 2023

Was sieht sehr retro aus, hält einen warm und ist nicht mehr erhältlich? Nein, nicht etwa ein Galaxy Note 7 (die Dinger waren mal bekannt für ihren explosiven Charakter), sondern der neueste Ugly Sweater von Microsoft – im Stile des Hintergrundbildes von Windows XP.

Der frei übersetzt schlicht als „hässlicher Pulli“ getauftes Kleidungsstück folgt einer mittlerweile sechsjährigen Tradition. So lange bereits bringt Microsoft jährlich kurz vor Weihnachten eine limitierte Stückzahl des mit allerlei Windows-Motiven verzierten Pullovers. Vor dem „grüne Wiese und blauer Himmel“-Muster waren schon mal Karl Klammer zu sehen (2022), das kultige Spiel Minesweeper (2021) oder auch das Malprogramm Paint (2020).

Und wie jedes Jahr mussten interessierte Kunden sehr schnell zuschlagen: Nur wenige Stunden nach Verkaufsstart zeigte Microsofts Online-Shop bereits die „Sold out“-Meldung. Bei Ebay gibt es noch vereinzelte Angebote, diese übersteigen den Originalpreis von 65 Euro jedoch um Längen.

Apropos Geld: 100.000 US-Dollar vom Erlös spendet der Hersteller an eine gemeinnützige Naturschutzorganisation in den USA. Das passt auch irgendwie zum Motiv. 😊

Wer prüfen möchte, ob der Pullover zwischenzeitlich nicht doch noch lieferbar ist, findet den Online-Shop unter diesem Link: https://gear.xbox.com/products/windows-merry-blissmas-knit-holiday-sweater

Microsoft Ugly Sweater 2023

Windows Server 2012 erhält nun doch Sicherheitspatches

Eigentlich ist der Support für Windows Server 2012 am 10. Oktober abgelaufen. Eigentlich. Denn nun erweiterte Microsoft den Unterstützungszeitraum doch noch um weitere drei Jahre. Zumindest für bestimmte Kundengruppen.

Aber der Reihe nach: Betroffen sind Windows Server 2012, Windows Server 2012 R2 sowie Windows Embedded Server 2012 R2. Wer eine Migration zu Azure vollzogen hat, erhält die sogenannten Extended Security Updates (ESU) für die kommenden drei Jahre kostenlos.

Unternehmen, die den Umstieg zu Azure bisher gescheut haben, können die ESU-Lizenzen kostenpflichtig erwerben – bis zu dreimal für jeweils zwölf Monate. Der 13. Oktober 2026 markiert dann für alle Kundengruppen das endgültige Support-Aus.

Eine genaue Anleitung zu Erwerb und Aktivierung von ESU liefert Microsoft in seinem TechCommunity-Artikel: https://techcommunity.microsoft.com/t5/windows-it-pro-blog/windows-server-2012-r2-extended-security-updates/ba-p/3976610

Kleiner Tipp unsererseits: Die bessere Alternative wäre, das mittlerweile über zehn Jahre alte System auf ein moderneres zu aktualisieren, beispielsweise auf Windows Server 2022. Für dieses wird es nämlich bis mindestens 2031 Sicherheitsupdates geben – und zwar kostenfrei.

Windows Server 2012 ESU

Microsoft stellt Unternehmenszugänge auf Conditional Access um

Admins aufgepasst: Microsoft führt ab dieser Woche neue Richtlinien für den bedingten Zugriff (sog. conditional access) ein. Dadurch soll die Multi-Faktor-Authentifizierung (MFA) im Unternehmensumfeld nach und nach Pflicht werden.

In den meisten Fällen kommen die folgenden drei Richtlinien zum Einsatz:

  1. MFA für Admin-Zugänge: So sollen Accounts mit höheren Rechten vor Unbefugten geschützt werden.
  2. MFA auf individueller Nutzerbasis: Bei Zugriff auf Cloud-Anwendungen müssen sich User mittels MFA authentifizieren.
  3. MFA für Konten mit hohem Risiko: Nutzer, bei denen die Software ein erhöhtes Risiko erkennt, müssen sich ebenfalls mittels MFA authentifizieren. Hierfür wird jedoch die Lizenz „Entra ID Premium Plan 2“ vorausgesetzt.

Die Richtlinien werden nicht sofort scharf geschaltet, sondern kommen zunächst in einem sogenannten „Nur melden“-Modus zum Einsatz. Dadurch verhindern sie einen MFA-freien Zugriff nicht, sondern generieren zunächst Berichte darüber, wie sich die MFA-Pflicht auf die betroffenen Accounts auswirken würde. Die Übergangsfrist beträgt 90 Tage.

Wie gehen wir Admins nun vor? Wie folgt:

  1. Wir überprüfen die generierten Berichte darauf, welche Auswirkungen und Nutzen die neuen Richtlinien haben.
  2. Wir passen die Richtlinien ggf. an die speziellen Anforderungen des Unternehmens an.
  3. Wir schulen sämtliche Nutzer im Umgang mit mindestens einer MFA-Methode.

Mehr Infos zu Microsofts Ankündigung finden sich im offiziellen Security-Blog:

https://www.microsoft.com/en-us/security/blog/2023/11/06/automatic-conditional-access-policies-in-microsoft-entra-streamline-identity-protection

Für alle Interessierten haben wir außerdem Informationen zur MFA und ihrer generellen Funktionsweise auf unserer Webseite zusammengefasst:

https://www.premier-experts.de/schutz-durch-multi-faktor-authentifizierung

Microsoft stellt Unternehmenszugänge auf Conditional Access um

Neue Lücken im Exchange Server

Ein interessanter Fall der IT-Sicherheit geht gerade durch die Medien: Berichte unabhängiger Sicherheitsexperten sprechen von vier neuen Sicherheitslücken in Microsoft Exchange Server. Sie alle ermöglichen unbefugten Zugriff auf Daten oder gar die Ausführung von beliebigem Code auf kompromittierten Systemen.

Microsoft verweist darauf, dass eine dieser Lücken bereits im August-Update geschlossen wurde. Die anderen drei seien weniger schlimm als befürchtet, denn für die Ausnutzung müsse der Angreifer sich mit gültigen Zugangsdaten am System authentifizieren. Deshalb sollen die Lücken erst mit zukünftigen Updates statt sofort geschlossen werden.

Jedoch: Gültige Zugangsdaten findet man im Netz zuhauf. Die Darknet-Foren und -Marktplätze verkaufen sie terabyteweise – auch Zugänge zu Exchange-Unternehmensservern. Was tun also, solange die Updates ausbleiben?

Auf die Gefahr hin, uns zu wiederholen: Wir empfehlen die Multi-Faktor-Authentifizierung (MFA). Das erschwert Kriminellen den Zugang zu Unternehmensnetzen deutlich (!) – selbst dann, wenn sie über echte Zugangsdaten der Mitarbeiter verfügen.

Mehr Infos: https://www.premier-experts.de/schutz-durch-multi-faktor-authentifizierung/

MFA2 PE

Microsoft Ignite im Netz kostenlos

IT-Experten aufgepasst: #Ignite, Microsofts jährliche Konferenz für professionelle Anwender, findet dieses Jahr vom 14. bis zum 17. November in Seattle statt. Das Event ist beliebt: Die über 1.500 US-Dollar teuren Eintrittskarten sind ausverkauft.

Interessierte Anwender können jedoch an der Konferenz online teilnehmen. Am 15. und 16. November bietet #Microsoft allen Technik-Enthusiasten die Möglichkeit, den Keynotes beizuwohnen und an Expertendiskussionen teilzunehmen – und zwar kostenlos.

Voraussetzung für die Teilnahme ist lediglich eine Vorab-Registrierung. Wer also wissen möchte, wie sich die #KI-Technologien auf #Windows, #Teams, #Cloud und #IT-Sicherheit auswirken, folgt am besten diesem Link:

https://ignite.microsoft.com/en-US/home

MS Ignite im Netz kostenlos
Screenshot von Microsoft Ignite-Webseite.

Patches für Sicherheitslücken in VMware

Manche Sicherheitslücken sind so kritisch, dass der Hersteller Patches sogar für längst nicht mehr unterstützte Versionen seiner Software herausbringt.

Aktuelles Beispiel: VMware vCenter Server und Cloud Foundation. Diese beiden Programme erlaubten Unbefugten, schädlichen Code einzuschleusen und auszuführen. Die am Mittwoch veröffentlichten Patches schließen die Lücken nicht nur in den aktuellen vCenter-Generationen 8 und 7, sondern auch in den längst nicht mehr unterstützten Versionen 6.7U3, 6.5U3. Auch die alte Version 3 von Cloud Foundation erhielt ein entsprechendes Update.

Da Softwarelücken in VMwares Produkten regelmäßig von Exploits heimgesucht werden, sollten Administratoren die Sicherheitsupdates schnellstmöglich aufspielen. Mehr Informationen finden sich in VMwares Sicherheitswarnung:

https://www.vmware.com/security/advisories/VMSA-2023-0023.html

#SecurityWarning #VMware #SafetyFirst

Lücken in VMware