Ein Gastbeitrag von Andreas Kroschel

Office 2010 ist die erste Microsoft-Office-Version, die sowohl in einer 32- als auch in einer 64-Bit-Version ausgeliefert wird. Vor allem vor dem Hintergrund eine zunehmenden Verbreitung von Windows 7 64 Bit taucht immer öfter die Frage nach der optimalen Fassung auf. Unternehmen wie auch Endkunden müssen sich deshalb mit der Frage beschäftigen, in welcher Bitbreite sie sie Bürosoftware installieren wollen.

Microsoft empfiehlt 32-Bit

Microsoft gibt eine klare und sehr dringende Empfehlung ab, die 32-Bit-Version zu installieren. Für ein 64-Bit-Office spricht einzig und allein die Möglichkeit, Office-Dateien mit einer Größe von über 2 GB zu bearbeiten – und sonst gar nichts. Besteht die Notwendigkeit hierzu nicht, sprechen alle anderen Erwägungen dagegen: Fast das gesamte Umfeld der Add-Ins, Steuerelemente und VBAs ist aus der Office-Vergangenheit heraus auf die 32-Bit-Umgebung zugeschnitten. Die Situation ändert sich zwar allmählich, und Upgrades und Neuentwicklungen erscheinen zunehmend auch als 64-Bit-Versionen. Doch noch mangelt es an Erfahrungen, so dass die Gefahr besteht, mit neuen Add-Ins Kompatibilitätsprobleme zu bekommen.

Auch die Übereinstimmung der Bitbreite mit Windows 7 64 ist kein Argument für Office 2010 64-Bit. Office 2010 läuft nämlich dank des Emulators WOW64 (Windows On Windows 64) auch in der 32-Bit-Variante problemlos unter Windows 64-Bit. Es ist sogar die bessere Plattform dafür als 32-Bit-Windows, wie die Microsoft Office Product Development Group auf Ihrem Blog ausführt.

Deployment: 32- oder 64-Bit auswählen

Microsofts Empfehlung schlägt sich in der voreingestellten Installationsvariante nieder: Startet man setup.exe aus dem Wurzelverzeichnis einer Office-DVD, installiert man damit automatisch die 32-Bit-Variante. Soll stattdessen explizit die 64-Bit-Office-Version installiert werden, muss dafür setup.exe aus dem Ordner x64 der DVD aufrufen. Somit ist auch ausgeschlossen, dass man versehentlich die 64-Bit-Version von Office 2010 installiert.

Von dieser Regel gibt es eine Ausnahme: Befindet sich bereits 64-Bit-Komponenten auf dem PC, etwa aus einer Test- oder Beta-Installation, so installiert auch setup.exe aus dem Wurzelverzeichnis der Installations-DVD das 64-Bit-Office. Eine Mischung von Office-2010-Komponenten beider Versionen auf dem gleichen System ist auf keinen Fall möglich. Sollten sich auf einem PC Überreste einer Office-Installation befinden, die die Installation in der gewünschten Version verhindern und lassen sich diese nicht per Systemsteuerung entfernen, so gibt es dafür Abhilfe. Microsoft bietet dafür ein Microsoft-Fix-It-Tool an, das die Hinterlassenschaften einer Altinstallation aus dem System entfernt. Danach startet man das Setup-Programm für Office 2010 erneut.

Analoge Situation mit Windows XP 64-Bit

Man kann die Situation von Office 2010 64-Bit mit der von Windows um das Jahr 2006 herum vergleichen: Windows XP 64-Bit war ein System für Profis in speziellen Umgebungen, die für den breiten Markt keine Rolle spielte. Es existierten sogar etliche Hindernisse wie mangelhafte 64-Bit-Treiberversorgung, Kompatibilitätsprobleme zwischen dem Internet Explorer 32-Bit und dem 64-Bit-Windows-Explorer sowie fehlende Funktionen gegenüber XP 32. Die Vorteile – Unterstützung von mehr als 3.2 GB RAM, IPsec- und Schattenkopie-Funktionen wie unter Windows Server 2003 oder verbesserte Remote-Desktop-Funktionen – kamen auch im Business-Umfeld kaum zum Tragen.

Als Entwicklungs- und Test-Plattform war es allerdings eine notwendige Stufe auf dem Weg zu den heutigen modernen 64-Bit-Windows-Systemen, ohne die es deren Durchbruch mit Windows 7 nicht gegeben hätte. Analog dazu muss es ein Office 2010 64-Bit geben, damit sich das Ökosystem um die Büro-Software herum entwickeln kann.

Der Autor Andreas Kroschel ist Buchautor und Verfasser von Fachartikeln zu Hardware, Windows- und Linux-Infrastruktur sowie IT-Sicherheit. Er arbeitete als Redakteur unter anderem für BYTE Deutschland und die PC-Welt.

Nahezu jeder dürfte auf Facebook schon einmal entsprechende Statusmeldungen gesehen haben: Ein angeblich unglaubliches Video verspricht noch nie Dagewesenes oder etwas unglaublich skandalöses. Aktuell kursiert etwa ein vermeintlicher Ausraster von Pamela Anderson, bei dem die Baywatch-Blondine in einem Interview unflätig werden soll.

Wer allerdings auf den jeweiligen Link klickt, erlebt unter Umständen eine böse Überraschung. Denn statt dem versprochenen Video muss man meist erst eine spezielle Facebook-Anwendung installieren, erst dann würde man den Zugriff erhalten.

Der Haken an der Sache: Diese Applikationen genehmigen sich – wenn der Nutzer der Installation zustimmt – großzügig Rechte. Das reicht vom Abfragen aller Nutzerdaten über den Zugriff auf die Informationen und Fotos von Freunden bis hin zur Möglichkeit, selbst Nachrichten auf der Pinnwand zu veröffentlichen. Letzteres wird anschließend sofort genutzt, um die jeweilige Spam-Botschaft sofort über das Profil weiterzuverbreiten.

Damit das eigene Profil vor solchen Angriffen geschützt ist, hilft in erster Linie Information. Inzwischen gibt es zahlreiche Anlaufstellen. Eins der umfangreichsten Blogs, das sich mit Scammern und Spammern auf Facebook beschäftigt, ist Facecrooks („crook“ steht im Englischen unter anderem für „Betrüger“). Die Macher sehen sich die jeweils neu gemeldeten Angriffe im Detail an, erklären die Attacke und zeigen, wie man sein Profil davon wieder säubern kann.

Wer seine Informationen lieber auf Deutsch erhalten möchte, dem hilft die Webseite mimikama.at. Hier wird nicht nur vor Angriffen gewarnt. Vielmehr erklären die Autoren auch, warum es beispielsweise Dinge wie Likejacking überhaupt gibt und wie Kriminelle damit Geld verdienen. Vorteil hierbei ist, dass nicht nur englische Attacken besprochen werden, sondern ein starker Fokus auf deutschsprachigen Scam-Meldungen liegt. Zudem gibt es eine Präsenz in Facebook selbst – wer hier ein Fan wird, erhält die neuen Informationen direkt auf seiner Pinnwand.

Um das eigene Profil vor diesen Scams zu schützen, hilft aber vor allem ein Tipp, der auch das Motto von Mimikama ist: Erst denken – dann klicken.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Die Liste der Betrugsversuche, die innerhalb Facebooks stattfinden, wird jeden Tag länger. Das ist keine Übertreibung, angesichts mindestens einer neuen Masche, die von Webseiten wie facecrooks.com, mimikama.at oder auf der Sophos-Facebook-Fanseite tagtäglich beschrieben wird. Auch hier im Blog haben wir erst kürzlich vor einer Betrugsart gewarnt. De facto war es auch die Information, die ich im letzten Blog-Beitrag verarbeitet habe, die mich zu diesem längeren Text motiviert hat.

Wichtig aus Sicht von IT-Sicherheitsexperten ist es zu wissen, dass Web-Betrüger oftmals nicht darauf aus sind, ihre Opfer direkt abzuzocken oder ihnen Daten zu entlocken. Stattdessen zeigen die in den Spam-Nachrichten und Pinnwandeinträgen angepriesenen Links auf Malware-verseuchte Websites, die in bester Drive-by-Manier den PC der Opfer infizieren wollen - und somit eine direkte Gefahr für das Unternehmensnetzwerk sind.

Für IT-Sicherheitsverantwortliche in Unternehmen stellt sich angesichts dieser Flut die Frage, ob Soziale Netzwerke wie Facebook oder Twitter – auch beim Kurznachrichtendienst gibt es regelmäßig groß angelegte Angriffe – die Gefahr für die Sicherheit des Unternehmensnetzes nicht über Gebühr erhöhen. Denn klassische Firewalls sind nutzlos beim Kampf gegen Bedrohungen, die über Port 80 oder Port 443 herein kommen. Erst die so genannten Next Generation Firewalls sollen das Problem lösen können. Und auch Virenscanner bleiben angesichts der sich immer stärker diversifizierenden Malwarevarianten regelmäßig zweiter Sieger.

Was also tun? Den Zugriff auf Facebook & Co. per Firewallregel komplett blockieren? Nur wenigen Mitarbeitern, die beispielsweise zur Kundenpflege oder aus Marketinggründen beruflich auf den Plattformen sein müssen, den Aufruf erlauben und dafür komplizierte Lösungen mit virtuellen Maschinen oder PCs in der DMZ schaffen?

Mein Rat ist: Nichts von alldem. Nicht nur für die Generation Y, also die Mitarbeitergeneration, die mit dem Internet aufgewachsen ist, gehört insbesondere Facebook zum festen Repertoire der privaten und auch beruflichen Kommunikationswege. Diese Kollegen wären sehr sicher kräftig demotiviert, würde man ihnen von heute auf morgen dem Zugriff verweigern. Natürlich ist das ein menschelnde Argument. Aber nicht zuletzt in wirtschaftlich stabilen Zeiten müssen sich Arbeitgeber unter anderem durch solche „weichen“ Faktoren attraktiv machen für bestehende und potentielle Mitarbeiter.

Besser als Sperren und Verbote sind meiner Meinung nach Informationen: Über die möglichen Arten der Betrugsversuche, über die eventuell hilflosen Schutzmaßnehmen (Virenscanner / Firewall),  über die Folgen einer Malwareinfektion und natürlich über angepasste Verhaltensregeln. Letztere lassen sich – stark vereinfacht – in einer Binsenweisheit zusammenfassen: Was zu schön scheint, um wahr zu sein, ist auch nicht wahr.

Vermeintlich skandalöse Videos, Gratis-iPads, Nacktbilder, Einladungen zu VIP-Partys, geheime Einblicke in fremder Menschen Facebook-Profil, Informationen darüber, wer das eigene Profil besucht oder einen aus der Freundesliste entfernt hat – all das läuft unter „zu schön um wahr zu sein“.

Wenn ein Anwender dem Drang widersteht, auf einen derart angepriesenen Link zu klicken, dann ist das Spiel für den Angreifer verloren. Denn noch sind keine Angriffe aufgetaucht, die ohne aktives Zutun in Form eines Klicks auskommen.

Unternehmen tun gut daran, ihren Mitarbeitern umfassende Informationen über die Taktiken der Angreifer zukommen zu lassen. In Form von Newslettern, Dokumenten im Intranet oder Vorträgen. Investitionen in den Wissensschatz der Belegschaft sind in diesem Fall sinniger als immer neue technische Schutzmechanismen – die dann doch nur von der nächsten Welle der Angriffe überrollt werden. Einmal informierte und somit alarmierte Mitarbeiter ziehen die Online-Kriminellen hingegen längst nicht so leicht über den Tisch.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Einmal einen ganz anderen nicht so technischen Tipp hat meine österreichische Kollegin Martina Grom: was tue ich, wenn sich meine Kreditkarte für die Bezahlung der Microsoft Online Services Rechnung ändert oder ich diese erneuern muss? Wie kann ich dann sicher stellen, dass mein Account nicht gesperrt wird?

Gehören Sie auch zu den Kunden, die sich diese Fragen schon mal gestellt haben. Dann sollten Sie Martinas Blog-Post dazu lesen

Mein Kollege Steffen Krause hat Anfang April eine mittlerweile viel beachtete Videoserie zur Administration von Office 365 auf seinem Blog veröffentlicht. Die besten davon zeigen wir auch hier. Links zu allen Videos gibt es auf Steffens Blog.

Aus der Beschreibung: In diesem Video zeige ich zeigt Steffen die Basiseinrichtung eines Clientrechners für Office 365. Dieser Rechner braucht kein Domänenmitglied zu sein, und es sind für dieses Szenario keinerlei lokale Server erforderlich

Microsoft Office 365, die nächste Generation der Microsoft Online Services, verbindet die vertrauten Microsoft Office-Applikationen (lokal installiert oder als Web App) mit den Cloud-Versionen von Exchange, SharePoint und Lync. Testen Sie jetzt kostenlos die öffentliche Beta

Und wer ein wenig Anleitung bei seinen ersten Schritten mit Office 365 braucht, der findet bei unseren Kollegen von TechNet Austria eine gute Einführung. Eine Video-Serie zu Office 365 für Admins findet sich beim Kollegen Steffen Krause.

Dropbox ist wohl einer der Dienste, die stellvertretend für „Cloud-Dienste“ stehen können: Egal auf welchem System der Dropbox-Client installiert ist, dank der Verbindung zur Cloud sind die per Dropbox gespeicherten Daten überall in der jeweils aktuellen Version vorhanden. Sicherheitsbedenken hatte der Anbieter bislang immer zerstreuen können: Die Daten seien innerhalb von Dropbox vor unbefugtem Zugriff geschützt.

Der IT-Sicherheitsexperte Derek Newton hat nun allerdings eine massive Sicherheitslücke im Dropbox-Client ausgemacht, also dem Stück Software, welches die Verbindung zwischen dem Dienst und dem lokalen System erstellt. Das Problem ist, so Newton, dass in der Datei config.db die Host-ID fest gespeichert wird, sobald sich der Nutzer erstmals bei Dropbox mit seinen Zugangsdaten angemeldet hat. Wird die Datei auf ein anderes System kopiert, erhält man sofort Zugang zum Dropbox-Account - und zwar ohne, dass man nach den Zugangsdaten gefragt wird, ohne dass der Nutzer informiert wird und ohne dass der Rechner als neues System in der Übersicht auftaucht. Der Zugriff bleibt sogar bestehen, wenn der Nutzer das Passwort ändert.

Das Problem lässt sich von Jedermann mit dem aktuellen Dropbox-Client nachvollziehen - lediglich der betreffende Ordner musste manuell angelegt werden. Wir stellen das Szeneraio nach und hatten von einem bislang nicht verwendeten Rechner aus kompletten Zugriff auf unsere eigene Dropbox. Ohne auf der neuen Maschine jemals die Zugangsdaten eingegeben zu haben.

Newton sieht mehrere Angriffsvektoren: Zum einen könnte speziell programmierte Malware auf die config.db zielen - der Pfad ist leicht herauszufinden. Eine Alternative wäre Social Engineering, bei dem Nutzer durch Tricks dazu gebracht werden, die Datei an den Angreifer zu schicken.

Solange Dropbox diese Fehler nicht behebt - und Nutzer auf den Dienst nicht verzichten wollen - sollten zusätzliche Sicherheitsvorkehrungen getroffen werden. So können etwa mit Hilfe von Windows BitLocker sowie Programmen wie Truecrypt oder SecurStick verschlüsselte Container in Dropbox erzeugt werden. Diese lassen sich nur mit einem Kennwort öffnen.

Außerdem sollte der eigene Dropxob-Account gepflegt werden beziehungsweise auch die mit dem Dienst verbundenen Computer. Wird ein Rechner nicht mehr zum Zugriff benötigt, sollte die Verbindung gelöst werden. Über das Fragezeichen bei „Letzter Aktivität“ im Dropbox-Konto erfährt der Nutzer zudem, welche IP und welche Clientversion zuletzt auf das Konto zugegriffen hat. Sobaldhier Unregelmäßigkeiten auftauchen, sollte die Verbindung sofort getrennt werden. Die hinterlegten Daten werden dann zwar nicht gelöscht, aber nur nach Eingabe der Nutzerdaten hat der Anwender wieder Zugriff auf den Dropbox-Account. Und wenn ein wenig Eigenwerbung erlaubt ist: Mit Live Mesh 2011 hat Microsoft auch eine Alternative zu Dropbox am Start.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Mein Kollege Steffen Krause hat Anfang April eine mittlerweile viel beachtete Videoserie zur Administration von Office 365 auf seinem Blog veröffentlicht. Die besten davon zeigen wir auch hier. Links zu allen Videos gibt es auf Steffens Blog.

Aus der Beschreibung: Die meisten Kunden wollen als E-Mail-Adresse und Login für Office 365 nicht die mitgelieferte meinedomain.onmicrosoft.com-Adresse verwenden sondern eine eigene Domäne wie meinefirma.de oder intranet.meinefirma.de. In diesem Video zeige ich zeigt Steffen, wie man das einrichtet.

Microsoft hat heute Neues bekannt geben rund um den Umgang mit Sicherheitslücken. Insgesamt gibt es drei Neuigkeiten, wie die Kollegen im MSRC-Blog berichten. Zuerst wäre da die Ankündigung eines offiziellen Dokuments, dass Microsofts Standpunkt zur Coordinated Vulnerability Disclosure (CVD) erläutert. CVD ist die im Juli 2010 von Microsoft beschrieben Art, zukünftig mit Bugs umzugehen. Wir wollten damit weg von der oftmals fruchtlosen Diskussion über „Responsible Disclosure versus Full Disclosure“. Stattdessen wollten wir einen stärkeren Fokus auf immer wichtiger werdende Rolle der Koordination richten. Nur mit dieser lässt sich das Risiko für Kunden umfassend senken. Kernbestandteil von CVD ist es weiterhin, dass der von der Lücke betroffene Hersteller oder ein öffentliches CERT (Computer Emergency Response Team) vertraulich vom Entdecker der Schwachstelle informiert wird. Dazu kommt aber die Koordination: Hersteller und Bug-Finder sollten gemeinsam eng an einer Lösung des Problems arbeiten.

Mit der heutigen Ankündigung beschreibt Microsoft die Abläufe seiner drei, im Zusammenhang mit dem Veröffentlichen von Schwachstellen relevanten, Rollen noch stärker. Die drei Rollen sind: Hersteller, der Sicherheitslücken beheben muss; Entdecker von Schwachstellen in den Produkten anderer Hersteller; Koordinator, wenn eine Schwachstelle verschiedene Hersteller gleichzeitig betrifft. Im Dokument, das auf der MSRC Disclosure Page zum Download steht, beschreibt Microsoft genau, wie das Unternehmen Schwachstellen an andere Industriepartner, Kunden und die Gemeinde der unabhängigen Sicherheitsexperten (Hacker) kommunizieren wird.

Mit dem Dokument will Microsoft unterstreichen, dass der Prozess des Veröffentlichens von Schwachstellen eine gemeinsame Aufgabe ist. Sie lässt sich am besten bewältigen, wenn es eine gute Absprache zwischen Entdeckern, Herstellern und den Anbietern von Schutzmechanismen gibt. So lassen sich Kunden, Unternehmen und kritische Infrastrukturen schützen. Microsoft lehnt Public Disclosure, als das Offenlegen aller Details einer Schwachstelle übrigens nicht gänzlich ab: Im Fall einer großangelegten, aktiven Attacke auf einen Bug kann auf das Finden von Workarounds ausgerichtetes Public Disclosure der beste Weg sein. Aber auch in diesem Fall sollte der Prozess koordiniert ablaufen.

Die zweite Ankündigung betrifft eine neue Art von Sicherheitsempfehlung: Microsoft wird ab sofort Empfehlungen zu Schwachstellen veröffentlichen, die von Microsoft in Produkten anderer Hersteller entdeckt wurden. Die Advisories werden natürlich erst Öffentlich gemacht, nachdem der betroffene Hersteller das Problem beheben konnte. In den Dokumenten verweist Microsoft dann auf öffentlich zugängliche Information des jeweiligen Herstellers über Updates oder risikomindernde Maßnahmen.

Zeitgleich zu dieser Ankündigung hat Microsoft zwei solche Empfehlungen veröffentlicht: MSVR-11-001 und MSVR-11-002. Ersteres betrifft eine Lücke im Browser Google Chrome, die ein Ausführen von Code aus der Ferne (remote code execution) erlaubt. Zweiteres dreht sich um die Implementierung von HTML5 in den Browsern Google Chrome und Opera, durch die Informationslecks entstehen können.

Die dritte und letzte Ankündigung dreht sich um eine interne Richtlinie: Die Employee Disclosure of Vulnerabilities Policy (Mitarbeiterrichtlinie zum Veröffentlichen von Schwachstellen) sagt Microsoft-Mitarbeitern, wie sie eventuell von ihnen entdeckte Schwachstellen behandeln sollten. Diese Richtlinie wird nicht veröffentlicht.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Mit dem Microsoft Safety Scanner (MSS) stellt Microsoft ein kostenloses Sicherheitstool bereit, das unter Windows XP, Windows Vista und Windows 7 funktioniert. MSS muss nicht installiert werden und untersucht den PC bei Bedarf auf Viren, Spyware und sonstige Schadsoftware. Wird ein Schädling entdeckt, entfernt die Software diesen auch. Nachdem MSS nur nach manuellem Start aktiv wird, ist es kein Ersatz für eine ständig wachsame Antiviren-Software. Es aber mit bestehenden Antimalware-Lösungen kompatibel.

Wichtig zu wissen ist auch, dass der Microsoft Safety Scanner nur jeweils zehn Tage nach seinem Download aktiv bleibt. Anschließend muss er für weitere Scans erneut herunter geladen werden. Der Grund: Andernfalls wären die Malwaredefinitionsdateien, die die Software im Gepäck hat, zu alt.

Um einen eventuell mit Schadsoftware verseuchten PC zu untersuchen, empfiehlt es sich, MSS auf einen USB-Stick mit Schreibschutz zu kopieren. So kann der Stick während des Scans nicht von der Malware infiziert werden. Alternativ kann die Software natürlich auch auf eine CD gebrannt werden.

Im Betrieb kennt MSS drei verschiedene Modi: Bei der "Schnellüberprüfung" werden die Systemdateien von Windows geprüft sowie der Bootsektor der Festplatte. Die Option "Vollständige Überprüfung" untersucht alle Dateien auf sämtlichen lokalen Datenträgern. Bei einer "Benutzerdefinierte Überprüfung" kann der Anwender zusätzlich zu den Bereichen, die von der Schnellüberprüfung untersucht werden, noch weitere Verzeichnisse checken lassen.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.