Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Analyse: Azure und 365 als einzige Microsoft-Zukunft?

Sieben Jahre Tiefschlaf würden genügen und man würde das Microsoft von damals nie im heutigen Unternehmen wiedererkennen. Das ist kein Zufall, denn 2014 übernahm Satya Nadella nach 22 Jahren im Unternehmen den CEO-Posten. Er hat den gesamten Konzern in einer nahezu unglaublich anmutenden Geschwindigkeit nicht nur auf einen gänzlich neuen Kurs gebracht. Vor allem hat er diesen auch durchgezogen und erntet bereits seit Jahren die Früchte. Dies alles insbesondere zur Freude der Aktionäre – an der Börse kann Microsoft Höhenflüge feiern, die Beobachter bei dem vor dem Führungswechsel vor sich hin dümpelnden Papier als kaum vorstellbar erachtet hätten.
So etwas schafft niemand allein. Wenn man über wichtige Sparringspartner von Nadella sinniert, kommt es darauf an, wen man fragt. In Business-Kreisen ist zuweilen die Rede von Personen wie Judson Althoff – Chief Commercial Officer, kam 2013 von Oracle zu Microsoft – oder Scott Guthrie – ein Microsoft-Urgestein mit fast 25 Jahren im Unternehmen, Co-Architekt von ASP.NET und heute verantwortlich für den gesamten Cloud- und KI-Bereich.

Die andere Perspektive​

Fragt man hingegen technisch interessierte Personen aus dem klassischen Admin-Umfeld, kommt sicherlich schnell der Name Mark Russinovich ins Spiel: Als Co-Gründer der Winternals erlangte er mit wichtigen Werkzeugen für tiefe technische Analyse unter Windows große Bekanntheit.

Die Popularität der Werkzeugkiste Sysinternals, zu der unter anderem Process Monitor und Process Explorer zählt, ist bis heute ungebrochen. Im Jahr 2006 kaufte Microsoft das Unternehmen und holte Russinovich gleich mit dazu, damals als sogenannten Technical Fellow. Im September 2014 machte man ihn zum technischen Leiter von Azure und diese Position hält er bis heute inne. Community-Stimmen halten Russinovich für einen wesentlichen operativen wie strategischen Eckpfeiler der gesamten technischen Azure-Architektur.

Der Verdienst um das enorme Wachstum von Azure und zahlreichen Techniken und Methoden, die alle 365 im Namen tragen, gebührt abertausenden weiteren Menschen im Microsoft-Umfeld. Aber es ist kein Geheimnis, dass Nadella mit scheinbar unbegrenzter Energie diesen großen Motor ohne Unterlass antreibt und die erwähnten Personen insbesondere im Cloud-Umfeld mit ähnlichem Ansporn agieren.

Microsoft ja, Cloud nein?​

Aber ist diese schnelle Entwicklung und dieser große wirtschaftliche Erfolg am Ende des Tages wirklich gut – für Microsoft und für seine Kunden? Es kommt wohl erneut darauf an, wen man fragt. Die Mehrheit aus Microsoft-Personal, Analysten, Börsianern, Beratern und Systemhäusern wird die Frage vermutlich mit Ja beantworten.

Der Fokus soll an dieser Stelle aber einmal auf die zukünftige gefühlte Minderheit der kommenden Jahre gelenkt werden: Administratives Personal, das sich für Microsoft-Umgebungen verantwortlich zeigt, die nicht der Azure- und 365-Strategie folgen, folgen wollen oder folgen können – aber im Microsoft-Umfeld bleiben möchten, wofür es jeweils diverse Gründe geben kann.

Microsoft hat vor Jahren schon damit begonnen, wichtige Funktionen nur noch für das Cloud-Business zu entwickeln. Dies betrifft auch wichtige Sicherheitsfunktionen, etwa im Exchange-Bereich, wo man heutzutage wichtige Funktionen der Verteidigung – Linkumschreibung- und Analyse in Mails, Sandboxing von Anhängen und moderne Authentifizierungstechniken – ohne Azure oder 365-Produkte schlicht nicht von Microsoft bekommen kann.

Eindeutige Prioritäten​

Parallel laufen Projekte mit 365-Zusammenhang einfach schneller als andere. Ein gutes Beispiel dafür ist die aktuelle Outlook-Vorschau für den Mac im neuen Gewand (Microsoft nennt es „neues Outlook“), welches man nach fast einem Jahr immer noch nicht direkt mit einem lokalen Exchange-Server verbinden kann. Und wir reden hier nicht von Uralt-Versionen – selbst neueste, aber lokale Exchange-Versionen, können nicht angebunden werden. Exchange Online hingegen unterstützt man von Anfang an.

Das wirft Fragen auf, insbesondere, weil es diese Einschränkung bei der initialen Version schon gab, man sie aber austricksen konnte, indem man einfach ein weiteres Outlook-Online-Konto zum primären Konto machte. Und siehe da, Outlook für Mac hat auch im „neuen Outlook-Gewand“ mit dem lokalen Exchange Server zusammengearbeitet. Microsoft hat daraufhin diese Option wieder unterbunden. Jetzt heißt es also weiter warten.

Windows Server: Besser mit Azure​

Der jüngste Windows Server 2022 umfasst für technisches Admin-Personal spannende Funktionen wie SMB over QUIC oder die Installation von manchen Updates im laufenden Betrieb. Aber: Leider kann man diese aktuell nur in der Azure Edition benutzen.

Du musst angemeldet sein, um Bilder zu sehen.



SMB over QUIC und die Hotpatch Funktion – noch in Vorschau – gibt es nur zusammen mit Azure.
Die Hotpatch-Funktion gab es bereits für den Windows Server 2019 Datacenter Azure Edition in der Vorschau (bei Microsoft gibt es ein Video dazu). Auch für Windows 2022 muss man im Azure-Verzeichnis die Vorschau-Suche bemühen und Hotpatch gibt es zumindest zum Erscheinen des Artikels nur mit der Core-Variante. Wählt man im Azure Marketplace die „normale“ Windows Server 2022 Azure Edition und nicht den Core Server, ist die Hotpatch-Funktion ausgegraut.

Du musst angemeldet sein, um Bilder zu sehen.



Wer die Azure Edition ausprobieren möchte, muss nach „preview“ suchen.
SMB over QUIC stellt wesentliche nützliche Sicherheitsmerkmale bereit. Zum einen kann es Server-Spoofing verhindern, da der Server per Zertifikat beweist, dass man sich tatsächlich mit Host X oder Y verbindet. Zum anderen wird SMB over QUIC eben und gerade wegen QUIC immer obligatorisch mit TLS 1.3 verschlüsselt. Somit ist ein externer sicherer Zugriff auch ohne VPN durchführbar. Da SMB nur verpackt, aber nicht geändert wird, funktionieren auch liebgewonnene Techniken wie SMB-Multichannel weiterhin. Eine grundsätzliche Herausforderung bei QUIC könnte in Zukunft in geschützten Firewall- und etwaigen IPS-Implementationen von Unternehmen liegen, weil QUIC eben über UDP/443 kommuniziert. Dies muss also geöffnet werden und bietet kaum Optionen zur selektiven Filterung, weil man nicht sehen kann, was verpackt ist. Und ob man sich auf irgendwelche Deep-Paket-Inspection-Techniken verlassen möchte, muss jeder für sich selbst entscheiden.

Abgekündigt für den Wechsel​

Gleichzeitig steht der nächste Aufreger ins Haus: Das kostenlose Hyper-V-Angebot scheint man mit Windows Server 2022 nicht fortzusetzen. Bis dato ließ sich Windows Core Server mit ausschließlich der Hyper-V Rolle ausgestattet kostenlos einsetzen. Von nicht erfreuten Nutzern darauf angesprochen, entgegnet Microsofts Elden Christensen, dass Azure Stack HCI die strategische Ausrichtung als Hypervisor-Plattform sei. Microsoft Hyper-V Server 2019 sei die letzte Version mit kostenlosem Hyper-V Core gewesen, mit Support bis 2029. Ergo hätten die Kunden jetzt viele Jahre Zeit, um den Übergang zu Azure Stack HCI zu planen und durchzuführen.

Du musst angemeldet sein, um Bilder zu sehen.



Azure Stack HCI scheint die wesentliche Hypervisor-Zukunft für Microsoft zu sein.

Undurchsichtig: Hafnium und Exchange Online​

Es gibt andere Beispiele aus anderen Bereichen. Als Hafnium – eine nach der Hafnium-Gruppe benannte, hochgefährliche Schwachstelle in Microsoft Exchange – akut wurde, gab es seitens Exchange Online schnell Entwarnung. Im offiziellen Blog-Beitrag von Microsoft hieß es schlicht, Exchange Online sei nicht betroffen. Diese winzige Aussage hat ihre Wirkung bei den Kunden vermutlich nicht verfehlt. Allerdings ist sie nicht ganz vollständig. Denn auch Cloud-Kunden waren nicht sicher, wenn sie hybrid agierten und noch lokale nach außen veröffentlichte Exchange-Server im Rechenzentrum stehen hatten.

Schnell wurde klar, dass weltweit enorm viele Installationen betroffen waren – und leider sogar teils heute noch sind. Hier überraschte Microsoft positiv: Nicht nur wurden die benötigten Sicherheitsupdates auch für einige ältere Exchange-CU-Stände verfügbar gemacht, auch erblickte AMSI für Exchange (Antimalware Scan Interface) das Licht der Welt – und zwar für alle Exchange 2016 und 2019 Kunden, egal ob Hybrid oder nicht. Per AMSI-Technik können lokale Antischadsoftware-Systeme, sofern sie dies unterstützen, den Exchange-Web-Datenverkehr in Echtzeit überprüfen und bei Bedarf stoppen. Der hauseigene Windows Defender bietet dies zum Beispiel. Somit können Gefahren – wenn sie denn als solche erkannt werden – bereits auf Protokollebene gestoppt werden, noch bevor sie die Exchange-Prozessebene erreichen.

Haben wir dann vielleicht die neue AMSI-Technik im Exchange-Umfeld oder zumindest deren schnelle Veröffentlichung Hafnium zu verdanken? Die Frage muss unbeantwortet bleiben. Fakt ist jedenfalls, dass man das Juni-Exchange-CUvom 15. auf den 29. Juni verzögerte, um AMSI noch mit unterzubringen.

Kein einmaliger Vorfall​

Wer nun glaubt, Hafnium sei eine einmalige Sache gewesen, dürfte falsch liegen. Hafnium ist vermutlich nur die Spitze eines Eisbergs und es ist durchaus möglich, dass man sich in Zukunft auf ähnliche Exchange-Exploits einrichten muss. Ein Blick auf die aktuelle Forschung des Sicherheitsexperten Cheng-Da „Orange“ Tsailässt nichts Gutes erwarten. Und Menschen wie ihm ist es unter anderem zu verdanken, dass die Betreiber und auch Hersteller deutlich höher sensibilisiert werden.

Gleichzeitig sollte man sich als interessierte Person was diese Angriffe angeht einmal mindestens die letzte Forschung von ihm – genannt ProxyShell – anschauen. Diese liest sich sehr spannend. Zum Beispiel konnte Tsai für einen wichtigen Zwischenschritt den benötigten Code als simple SMTP-Mail schicken, um dann die ganze Mailbox als PST lokal zu extrahieren, zu dekodieren, und dann schließlich den Code zur Ausführung zu bringen. Auf sowas muss man erst mal kommen. Unklar ist jedoch, ob auch Exchange Online über ähnliche Mechanismen heute oder in der Zukunft angreifbar sein könnte.
Tatsächlich weiß man im Prinzip nichts darüber, warum oder unter welchen Umständen Exchange Online von Hafnium nicht betroffen war. Vielleicht ist Microsoft bei dessen Codebasis schon Meilen voraus und diese hat mit lokalen Installationen nur noch wenig gemein. Aber dies wäre reine Spekulation.

In Zukunft zweite Klasse​

Was man jedoch relativ eindeutig beantworten kann: Wie man es auch dreht und wendet, Azure- und 365-Kunden sitzen bei Microsoft in der ersten Reihe und der wirtschaftliche Erfolg gibt Microsoft recht. Nur sollte man sich vielleicht in Redmond einmal die Frage stellen, ob das wirklich alles ist und ob man den aktuellen gefühlten harten Kurs wirklich weiter so vorantreiben möchte. Wenn die letzten Jahre bis heute erst der Anfang waren, wie sieht Nadellas Vision dann für die Zukunft aus?
Man könnte doch beides tun – seine Cloud-Umgebung weiter stärken, aber zumindest wichtige Sicherheitsfunktionen- und Techniken auch ohne obligatorisches Azure und 365 ermöglichen. „Unsere Branche respektiert nicht die Tradition, sondern nur die Innovation“ – diese Worte hat Satya Nadella in seiner ersten Mail als CEO an alle Mitarbeiter gerichtet. Das mag stimmen, aber warum ohne Not wichtige Funktionen einschränken, wenn man mit ein wenig Entgegenkommen bessere Zufriedenheit und trotzdem gute Zahlen einfahren kann?

Quelle: heise
 
Zurück
Oben