| AG
Schüller |
zuletzt
bearbeitet: 02.07.023
Christof Ermer
|
| Zurück zur Navigation |
Titel:
Defender4Endpoint_Unstellung |
#Quick_Guide
#Ankündigungs_Mail_vom_RZ_29.06.2023
Webseiten des RZ:
#Download_Files
#English_Version
#Finale_Mitteilung_an_die_WGMs
06.07.23
Quick Guide: Muss bis 20.07.23 erledigt sein
Jetzt ist es soweit das RZ hat eine Aufforderung zum Joing und
Deinstallation des Sophos verteilt.
Was ist zu tun? -->
bis 20.07.23
1. Wichtig: Kopiere die Datei
MDE-AutoAADJoin_x64.exe, am besten in den \Download Ordner
Laufwerk W:\ ../FILEs/MDE-AutoAADJoin_x64/MDE-AutoAADJoin_x64.exe
( Auf lokale Festplatte kopieren und dort ausführen )
2. Ausführen. ( Kann ~1/2 + Stunde dauern. ) . Dann Neustart...
Evtl. ist eine Änderng des Login
Namens erforderlich ( laut RZ )
Statt LocalAdmin jetzt mit
".\"
--> .\LocalAdmin ( Bei mir ging es wie früher)
siehe
Ausführliche Anleitung des RZ ( LESEN ! )
· Anleitung für
Windows-PCs (https://go.ur.de/howto-defender-windows-de)
· Anleitung für Mac-PCs
(https://go.ur.de/howto-defender-mac-de)
https://go.ur.de/howto-defender-windows-de
https://go.ur.de/howto-defender-mac-de
21.09.23
Neues Skript für AAD-Join, Sophos, Defender4Endpoint
das BulkEnrollment-Tool
(MDE-AutoAADjoin.exe), das den Sophos deinstalliert, AAD-Join
durchführt und Defender4Endpoint aktiviert wurde aktualisiert.
Wir haben die Dateien am
Webserver (https://go.ur.de/mde-autoaadjoin-x64)
und im Softwarekatalog aktualisiert, da ein hinterlegtes
Zertifikat/Schlüssel abgelaufen ist.
Bitte verwenden Sie keine
älteren Kopien, sondern laden Sie die aktuelle Version herunter.
WGM SEITE des RZ
https://elearning.uni-regensburg.de/mod/forum/discuss.php?d=489190#p679429
2. Ankündigungs Mail vom
RZ 29.06.2023
Sehr geehrte Mitglieder der Universität,
· Anleitung für
Windows-PCs (https://go.ur.de/howto-defender-windows-de)
· Anleitung für Mac-PCs
(https://go.ur.de/howto-defender-mac-de)
https://go.ur.de/howto-defender-windows-de
https://go.ur.de/howto-defender-mac-de
steigende Bedrohungen der Cybersicherheit erfordern eine umfangreiche
Verbesserung unserer Schutzmaßnahmen.
Bin ich betroffen?
Um die IT-Umgebung der UR weiter zu stärken, ist im ersten Schritt ein
Upgrade aller dienstlichen IT-Arbeitsplätze (Windows und Mac)
notwendig. Dieses Upgrade ersetzt die veraltete Virenschutzlösung
Sophos durch einen modernen und deutlich erweiterten Bedrohungsschutz
basierend auf Defender for Endpoint.
Für Sie selbst besteht kein Handlungsbedarf, wenn
· Sie ein Linux-System
nutzen oder
· Ihr IT-Arbeitsplatz
zentral verwaltet wird (z.B. in der Verwaltung). In diesem Fall
übernehmen Ihre IT-Betreuer die Umstellung.
Was muss ich tun?
Für die Umsetzung ist Ihre Zuarbeit wichtig, Sie benötigen ca. 30-60
Minuten.
Eine Anleitung führt Sie durch die nötigen Schritte:
· Anleitung für
Windows-PCs (https://go.ur.de/howto-defender-windows-de)
· Anleitung für Mac-PCs
(https://go.ur.de/howto-defender-mac-de)
https://go.ur.de/howto-defender-windows-de
https://go.ur.de/howto-defender-mac-de
Bitte führen Sie das Upgrade bis spätestens 20.07.2023 durch.
Warum ist das wichtig?
Ab diesem Zeitpunkt ist Ihr IT-Arbeitsplatz nicht mehr geschützt, da
Sie keine Sophos-Updates mehr erhalten. Zur Absicherung des
universitären Datennetzes und Ihrer Daten kann der Zugriff von
veralteten PCs auf interne IT-Dienste ab 21.07.2023 nicht mehr
gewährleistet werden.
Bei Fragen unterstützen Sie Ihre IT-Betreuer und unser ServiceDesk
(Tel. 5555, servicedesk@ur.de).
Ihr Team des Rechenzentrums
Gehe zu:
IT ArbeitsplatzSicherheit Seite
vom RZ: Arbeitsplatzsicherheit
Alle dienstlichen IT-Arbeitsplätze müssen bis 20.07.2023 auf
diese neue Sicherheitslösung umgestellt werden.
Zur Absicherung des universitären
Datennetzes und Ihrer Daten kann der Zugriff von veralteten PCs auf
interne IT-Dienste ab 21.07.2023 nicht mehr gewährleistet werden
WGM Seite dazu:
Anleitungen, Handbücher, Dateien Defender und AAD-Join https://elearning.uni-regensburg.de/mod/folder/view.php?id=2423753
Test, ob ein PC schon gejoint ist mit CMD Fenster --> dsregcmd /status
Dies ist eine Vorwegankündigung .
Mail vom RZ soll diese Woche 19.06.23 folgen.
This is an advance notice . Mail from RZ should follow this week
19.06.23.
Sophos wird ab 20. Juli 2023 nicht mehr vom RZ unterstützt!
Das hat leider erhebliche Folgen.
ALLE Dienstgeräte und PCs müssen "gejoint"
werden. ( PC, Notebook, etc. )
Auch Labor Windows 10 Geräte
Wer dann noch immer Sophos hat, wird
ab 20. Juli vom RZ vom Netz getrennt. (sagt
das RZ!...robust)
Warum und was ist das?
Um den Bitdefender von
Microsoft DSGVO konform
zu halten benötigt das RZ für ALLE PCs eine Umstellung und damit
{quasi} Zugriff.
Dazu muss JEDER PC muss gejoint
werden.
Dies geht mit diesem SKRIPT für weitgehende automatische AAD Join :
MDE-AutoAADJoin_x64.exe
mit rechter Maustaste --> Download
( Auf lokale Festplatte kopieren und dort ausführen )
( Aber ganz blicke ich immer noch
nicht durch, warum dieser Zirkus notwendig ist )
Folgen:
1. Das RZ fordert einen erheblichen Eingriff in die
Anmeldeprozedur der PC
Neben dem (normalen LokalAdmin Einlogen gibt es dann einen
zusätzlichen Login ( ohne Adminrechte )
Das RZ will, das man eher diesen nutzt. (wohl eher für
zukünfitge Installationen )
Aber der alte "LocalAdmin"
User bleibt erhalten
ABER: Nach erfolgreichen Joining wird der Anmeldename verndert
-->
Sie können auch weiterhin Ihre lokalen Konten benutzen.
Die Anmeldung mit einem lokalen Konto erfordert allerdings die Angabe
des Kontos in der Form
Rechnername\Konto
oder .\Konto
Anderer Benutzer
also .\LocalAdmin
Bitte beachten Sie:
Das Konto vip12345@ads.uni-regensburg.de ist ein AAD-Geschäftskonto und
nicht identisch mit dem eventuell bereits vorhandenen lokalen
Benutzerkonto vip12345.
Es kann hier durchaus zwei getrennte lokale Profile geben.
Ondrive Anmeldeaufforderungen
ignorieren
2. WICHTG ist eine RZ konforme Namensgebung des
PC. im Feld Computername --> "Computerbeschreibung"
Grundsätzlich sind die üblich
verdächtigen PC Namen erlaubt:
PC+10 stellig (mit u ohne X), sowie PC+5 stellig (alte Hardware Bestände).
PC1011405678 = Gerätenummer ) RZ
Namens
Konformitätsregeln! ??
Siehe "Vollständiger Computername"
also in der Form wie: PC1011901110
oder PC1011235024X
Wenn das nicht der Fall ist, PC wie auf dem RZ Aufkleber genannt dann,
vor dem Joinen ändern!!
Sonst bricht der Join Vorgang ohne Vollzugsmeldung einfach ab.
--> Suche nach "Erweiterte
Systemeigenschaften"
3. Privat PCs sollen
nicht gejoint werden
... Hier kann evtl nur Sophops deinstalliert werden:
mit sophos-uninstall-zap.exe
Folgende Anleitung beschreibt die Durchführung der
Massenregistrierung für
Windowsgeräte in Microsoft Intune.
Damit werden die Geräte mit Azure
AD, dem Cloud gestützten Verzeichnisdienst von Microsoft verbunden,
in
die Geräteverwaltung Intune integriert und
in das Defender for Endpoint
Portal aufgenommen.
Außerdem wird der Virenscanner Sophos Endpoint
Protection entfernt.
Diese ist eigentlich für Admins.
../FILEs/Anleitung
MDE_Intune_BulkEnrollment.pdf
../FILEs/IT-Betreuer-Handbuch-JoinAAD.pdf
......eine vereinfachte Anleitung kommt noch per RZ Mail.
Im Gegensatz zur manuellen Registrierung wird bei der
Massenregistrierung kein administratives Azure-Konto verbunden.
Die Anmeldung nach dem Join erfolgt anders als vorher:
Lokale Konten
statt mit LocalUsername nun mit .\LocalUsername
und Azure-Konten mit
vip12345@ads.uni-regensburg.de.
Das Paket ist mit einem Ablaufdatum
versehen, nach dem es nicht mehr eingesetzt werden kann.
Downloads zum Thema: (
Auf Lokale Festplatte und dort ausführen ) In W:\FILEs
Die Files liegen auch in WIKI W:\FILEs\MDE-AutoAADJoin_x64\.
SKRIPT für weitgehende automatischeAADJoin :
Laufwerk W:\ ../FILEs/MDE-AutoAADJoin_x64/MDE-AutoAADJoin_x64.exe
( Auf Lokale Festplatte kopieren und dort ausführen )
Sofern das Skript das Gerät nicht als Dienstgerät mit entsprechendem
Gerätenamen identifizieren
kann, bricht es die Ausführung ab.
...Nur für ADMIN: Reine Sophos
Deinstallation ( Nicht vom RZ probagiert
) Kein AAD Joining ! : W:\FILEs../FILEs/MDE-AutoAADJoin_x64/sophos-uninstall-zap.exe
Mail vom RZ an die WGMs: 16.06.23
Skript für AAD-Join,
Defender4Endpoint-Umstellung
von Michael Giesz - Donnerstag, 15. Juni 2023, 11:45
Liebe Kolleginnen, liebe Kollegen,
wie im letzten Treffen angekündigt, stellen wir Ihnen vorab der
Rundmail das "Massendeployment-Skript" für die
Defender4Endpoint-Umstellung im Grips-Kurs zum Testen bereit sowie eine
Anleitung/Handbuch für IT-Betreuer, das den Skript-Ablauf näher
beschreibt und zusätzliche Informationen liefert.
../FILEs/Anleitung
MDE_Intune_BulkEnrollment.pdf
../FILEs/IT-Betreuer-Handbuch-JoinAAD.pdf
Für die End-User werden wir bei der Verteilung via
Rundmail/Softwarekatalog eine deutlich abgespeckte, weniger technische
Anleitung publizieren, die dann auch auf englisch zur Verfügung steht.
Viele Grüße,
Michael Giesz
English Version
his is an advance notice . Mail from RZ should follow this week
19.06.23.
Sophos will no longer be supported by the RZ as of 26 July 2023!
Unfortunately, this has significant consequences.
ALL service devices and PCs must be "joined". ( PC,
notebook, etc. )
Who still has Sophos then, will be disconnected from the network from
26 July by the RZ. (says the RZ!...robust).
Why and what is it?
To keep the Bitdefender from Microsoft DSGVO compliant the RZ needs a
changeover for ALL PCs and thus {quasi} access.
To do this EVERY PC needs to be joined.
This can be done with this SKRIPT for extensive automatic AAD Join :
( Copy to local harddisk and execute there )
( But I still don't quite see through why this circus is
necessary )
Laufwerk W:\ ../FILEs/MDE-AutoAADJoin_x64/MDE-AutoAADJoin_x64.exe
( Auf Lokale Festplatte kopieren und dort ausführen )
Consequences:
1. the RZ demands a considerable intervention in the login procedure of
the PC.
Beside the (normal LocalAdmin login there is an additional login (
without admin rights )
The RZ wants that one uses rather this. (probably rather
for future installations)
But the old "Local Admin" user remains.
2. WICHTG is a RZ compliant naming of the PC. in the field computer
name --> "computer description".
PC1011405678 = device number ) RZ name conformity rules! ??
See "Full computer name"
so in the form like: PC1011901110 or PC1011235024X
If this is not the case, PC as mentioned on the RZ sticker then, change
before joining!!!
Otherwise the join process simply aborts without completion message.
--> Search for "Advanced System Properties
3. private PCs should not be joined
... Here can be uninstalled possibly only Sophops: with
sophos-uninstall-zap.exe
The following instructions describe how to perform bulk enrollment
for Windows devices in Microsoft Intune.
This connects the devices to Azure AD, Microsoft's cloud-based
directory service,
integrated with Intune device management, and
Included in the Defender for Endpoint portal.
It also removes the Sophos Endpoint Protection virus scanner.
This is actually for admins. Instructions
MDE_Intune_BulkEnrollment.pdf
......Simplified instructions are still to come via RZ Mail.
Unlike manual enrollment, bulk enrollment does not join an
administrative Azure account.
The login after the join is done differently than before:
Local accounts instead of LocalUsername now with .\LocalUsername and
Azure accounts with vip12345@ads.uni-regensburg.de.
The package has an expiration date after which it can no longer be used.
Liebe WGMs der Physik,
Die unten stehende Mitteilung solltet ihr und allgemein alle
Mitarbeiter
erhalten haben. Hierbei geht es im Grunde darum die bisher vom
Rechenzentrum zur Verfügung gestellte Virenschutzlösung für Windows und
Mac (Sophos) durch die nun zur Verfügung gestellte Lösung Defender for
Endpoint zu ersetzen. Diese Umstellung *muss* bis zum 20. Juli 2023,
also in 2 Wochen, abgeschlossen werden. Anleitungen für Windows und Mac
wurden vom Rechenzentrum bereitgestellt, siehe Nachricht unten.
Entsprechend bitten wir euch die Mitarbeiter in euren Arbeitsgruppen
nochmals explizit darauf hinzuweisen und auch bei der Umstellung zu
unterstützen. Die Umstellung von Geräten der Arbeitsgruppe die
womöglich
nicht direkt einem Nutzer zuzuordnen sind auch nicht vergessen, um
diese
solltet ihr euch kümmern.
Es kamen bereits Nachfragen auf welche mit dem Rechenzentrum geklärt
wurden, auch diese Informationen bitte innerhalb eurer Arbeitsgruppen
weitergeben.
1. Private Geräte an der Universität
Der vom Rechenzentrum zur Verfügung gestellte Defender for Endpoint
steht für private Geräte nicht zur Verfügung. Sollten Nutzer auf
privaten Geräten den über das Rechenzentrum zur Verfügung gestellten
Sophos Virenschutz installiert haben so *muss* dieser bis zum 20. Juli
deinstalliert werden. Ein Ersatz wird vom Rechenzentrum nicht zur
Verfügung gestellt, lediglich darauf verwiesen das der Defender für
private Nutzung in der Windows Lizenz inkludiert ist. Dieser kann
entsprechend verwendet werden.
2. Muss Defender for Endpoint installiert werden?
Auf diese Frage gab es direkt vom Leiter des Rechenzentrums eine
Antwort: Alle im Datennetz der Universität Regensburg genutzten Geräte
müssen über einen adäquaten und modernen Virenschutz verfügen. Im Falle
von dienstlichen Geräten ist der *einzig* adäquate und moderne
Virenschutz der vom Rechenzentrum zur Verfügung gestellte.
Kurz gefasst: Auf dienstlichen Geräten *muss* der Defender for Endpoint
installiert werden. Dies betrifft alle dienstlichen Geräte auf denen
Windows oder *macOS* eingesetzt wird.
Für iOS, Linux und Android wird der Defender for Endpoint vom
Rechenzentrum nicht zur Verfügung gestellt. Auf Dienstgeräten mit
diesen
Betriebssystemen muss der Defender for Endpoint entsprechend nicht
installiert werden.
Grüße
Peter