ugg.li Schnelle Hilfe für schnelle Admins – Nicht immer schön, aber effektiv. Schnelle Hilfe für schnelle Admins.

„Self-Service-Testversionen“ in Microsoft 365 vollständig deaktivieren

Veröffentlicht am März 23, 2026 von weed — Keine Kommentare ↓

„Self-Service-Testversionen“ sind kostenlose Testphasen für Microsoft 365 Apps und Services, die Nutzer eigenständig und ohne Einbindung der IT aktivieren können.

Testversionen ermöglichen dem Nutzenden in der Regel „sofort“ Zugriff auf Premium-Funktionen, laufen in der Regel 30 oder 90 Tage und können sich, sofern Zahlungsmethoden direkt bei Microsoft hinterlegt wurden, mehr oder weniger automatisch in kostenpflichtige Abonnements umwandeln.

Im Admin-Center Einstellungen > Organisation > Testversionen

Die ablenkenden Premium-Buttons in Apps von Teams bis PowerBI stellen eine nervige Werbung dar. Außerdem kommt es manchmal auch zu „spannende“ Situationen, wenn Nutzer eines Unternehmens ungewollt an der IT-Organisation vorbei, Prozesse in einer solchen Schatten-IT erstellen. Das geschieht, so unterstellen wir, zwar oft in guter Absicht, stellt aber eine schwelende Gefahr dar.

„Self-Service-Testversionen“ für alle Produkte via PowerShell abschalten

Wie es sich für einen kundenfernen Großkonzern wie Microsoft gehört, ist die Deaktivierung der Funktion(en) (es sind mehrere) eine fummelige Kleinarbeit im GUI – oder für Admins denkbar umständlich.

PowerShell, natürlich „als Administrator“ ausführen, als Globaler Admin am m365 anmelden.

# PS Modul installieren und verbinden
Install-Module -Name MSCommerce
Import-Module -Name MSCommerce
Connect-MSCommerce

# Optional: Produkte mit Erlaubnis auflisten
Get-MSCommerceProductPolicies -PolicyId AllowSelfServicePurchase

# Alles abschalten
Get-MSCommerceProductPolicies -PolicyId AllowSelfServicePurchase | Where { $_.PolicyValue -eq "Enabled"} | ForEach { Update-MSCommerceProductPolicy -PolicyId AllowSelfServicePurchase -ProductId $_.ProductID -Enabled $false }

Selbstverständlich muss das mit jedem neu erscheinenden Produkt erneut ausgeführt werden; die Einstellung gilt pro Produkt, nicht global.

Wie werden Lizenzen in AuthLite gezählt? Kann ein User mehrere MFA Token haben?

Veröffentlicht am März 20, 2026 von weed — Keine Kommentare ↓

AuthLite ist seit langem die „Go To“ Lösung für die MFA-Absicherung von ActiveDirectory Domains. Vergleichsweise Günstig, vollständig lokal (On-Prem), Pertetual (kein Abomodell), extrem flexibel, sehr sicher und mit TOTP und Yubikeys nahezu universell verwendbar.

Lizenzierung nach …. Tokens?

Nein, tatsächlich zählen ausschließlich Benutzer: Jeder Benutzer der (mindestens) ein Token zugewiesen bekommen hat, braucht eine Lizenz. Unabhängig davon, wie viele oder welche Tokens ein Benutzer bekommt. Ein Nutzer kann also drei Handys mit verschiedenen TOTPs verwenden, einen Yubikey nutzen und einen Ersatz-Yubikey im Schrank einschliessen.

Um es in den Worten der Dokumentation zu sagen:

Each user account „takes up“ only one AuthLite user license, no matter how many OTP tokens you assign to them.

Azure Update Manager für Server in Betrieb nehmen (WSUS Nachfolge) – von Null

Veröffentlicht am März 18, 2026 von weed — Keine Kommentare ↓

Der Azure Update Manager ist ein Dienst, der als designierter WSUS Nachfolger Updates für Server (Windows und Linux) verwalten kann. Azure Arc ist dabei die „Brücke“ zwischen Servern und der Azure Verwaltung, der Update Manager nutzt die Arc-Verbindung für das Update Management.

Wir wurden ein einige Male gefragt, wie man nun genau zu seinem Arc-Manager kommt. Auf die Lizenzierung, Kosten und die Konfiguration von Wartungsfenstern für Server geht dieser Artikel nicht ein.

Von „Null“ zum Azure Arc Update Manager

Zuerst braucht man eine Azure Subscription. Aktuell geht das auf zwei Arten:

Azure Subscription mit einer Kreditkarte einrichten. Ohne CC geht es nicht.
Azure Plan über einen guten CSP-Partner einrichten lassen. Wenn Kosten entstehen (und auch nur dann), bekommt man von diesem eine Rechnung. Außerdem kann der oft bei Problemen weiterhelfen.

Wenn das geschehen ist, hat man (mehr oder weniger automatisch) einen „Mandanten“ und durch den Plan/Subscription ein „Abonnoment“.

Nun braucht man noch eine „Ressourcengruppe„.

1. Das Azure Portal öffnen, einloggen und zu Ressourcengruppen wechseln, „Erstellen“ klicken.

2. Abonnement auswählen, Namen (ohne Leerzeichen) vergeben. Dann mit „überprüfen und erstellen“ bestätigen.

Das war es schon. Ab jetzt kann man den „AzureConnectedMachineAgent“ einrichten und verwenden.

Wie kann in einen DDOS Angriff auf meinen (virtuellen) Server blockieren?

Veröffentlicht am März 17, 2026 von weed — Keine Kommentare ↓

Ein Kundenhost wurde von einer DDOS-Attacke getroffen, etwa 50Mbps. Der Uplink war nahezu saturiert, mit ~80% packet loss war SSH noch so graaade eben möglich.

Interessant: Nach einer ersten schnellen iptables DROP regel „stieg“ die Bandbreite auf 90%. Im ersten Moment wirkt das seltsam, ist aber logisch: Wenn eine interne Paketverarbeitung nicht mehr der Flaschenhals ist, trifft es den nächsten Engpass.

Aus gegebenem Anlass, tldr;: man kann ddos nicht auf seinem Host filtern. Sobald die Host-Firewall erreicht wurde, ist das Paket ja schon durch die Leitung geflogen … (da hilft es auch nicht, die schnellen Admins anzurifen).

Mehr Details zu „how to ddos“ und „how to mitigate“

Ein Server (Socket, Application, Whatever) kann den Empfang eines Pakets durch den darunterliegenden Kernel nicht verhindern. Jegliche Filterung innerhalb eines Betriebssystems erfolgt erst, nachdem der Kernel das Paket bereits komplett empfangen und (ggf) zusammengebaut hat. Dieser kann das Paket dann zwar verwerfen, zum Beispiel um eine Verarbeitung durch eine Applikation zu verhindern, aber nicht den Empfang „nachträglich“ verhindern. Und ja, auch so ein Kernel braucht für Filteraktionen Rechenleistung – viele Pakete = viel CPU.

Anders ausgedrückt: Bis ein Host von dem Paket erfährt, ist die Kapazität der physischen Anbindung bereits erschöpft. Die Ressource „Bandbreite“ wurde schon verbraucht, sobald der vorgelagerte Router das Paket an seinem Ethernet-Port (physisch oder virtuell) ausgibt. Sobald sich das Paket im Netzwerk befindet, erreicht es unweigerlich den Buffer der Ethernet-Schnittstelle des Ziels – und löst dort Interrupts (mit Rechenzeitverbauch) aus. Das ist ein [D]DOS.

Und was macht man jetzt?

Die einzige Möglichkeit, ddos auf einen Host (Kernel) zu verhindern, besteht darin, die Filterung vorgelagert durchzuführen. Firewall, Router, Netfilter, Burstfilter, CDN oder whatever.

Es wird noch besser: Wenn die Anzahl der Packets die Uplink-Kapazität des ISPs überlastet, muss die Filterung noch weiter vorgelagert werden. Idealerweise durch Umleitung des gesamten Datenverkehrs über einen externen DDoS-Protection-Service.

Ist das nicht ohne weiteres möglich, muss diese „Umleitung“ via DNS passieren. Man kann seine Domain(s) auf einen dritten Filter-Proxy oder ein CDN umleiten, das den DDoS Traffic abfängt. Cloudflare macht dabei einen guten Job, es gibt aber auch viele andere. Einzig auf „seine“ original IP muss man dann etwas aufpassen, denn wird diese bekannt, umgeht der Angreifer die Schutzmaßnahme kurzerhand.

Ende gut?

In diesem Fall ist alles wieder gut. Die Applikationen auf dem Host konnten alle geschützt werden und ein „Notfall“ Anruf beim ISP war erfolgreich. Dieser hat kurzerhand die Regeln auf dem Kernrouter geändert, die das Weiterleiten der (glücklicherweise gut „identifizierbaren“) Pakete verhinderte. Außerdem wurde eine Firewall „dazubestellt“.

Lieber ein kleiner und kompetenter ISP als ein Hyperscaler der am Ende noch für den Traffic eine Rechnung geschrieben hätte …

PDFs die in Firefox heruntergeladen werden, werden in Firefox UND im Adobe Reader geöffnet

Veröffentlicht am März 16, 2026 von weed — 2 Kommentare ↓

Seit einer Weile […] öffnet Firefox PDFs nicht mehr nur im internen Viewer, sondern auch im externen System-Viewer (oft der Adobe Reader oder Foxit). Supernervig, in der Regel unnötig und langsam.

Das liegt, fieserweie, nicht an Firefox. Zumindest nicht an der Einstellung für den Download von PDFs:

Diese Einstellung bleibt für den Adobe Reader ohne Wirkung

Das liegt an einer „neuen“ (seit 2022) aktiven Funktion von Firefox. Die Umstrittene Standardeinstellung sorgt dafür, das Downloads (auch verm vermeintlich temporäre) nun immer dauerhaft im „Downloads“ Ordner gespeichert werden. Auch, wenn man gar nichts speichern will (aka „Temporary klicks“).

Abgesehen davon, dass das den Download-Ordner seitdem (unnötig) zumüllt, können nun andere Apps den Download-Ordner überwachen und … Dinge tun. Das wird von Adobe natürlich sofort in vollem Umfang ausgenutzt.

Lösung

Man öffne „about:config“ und suche nach browser.download.start_downloads_in_tmp_dir
Man setze selbiges auf true

Und schon hat dieses nervige Verhalten ein Ende.