Die nächste Preview Version von IE10 für Windows 7 kommt voraussichtlich Mitte November. Abhängig vom Feedback der Nutzer und ggf. aufgetretenen Problemen erscheint die RTW (Release To Web) Version dann entsprechend später. Vgl.: IE10 on Windows 7 available in November

Internet Explorer 10 für Windows 7 wird die identischen Darstellungsfeatures haben wie Internet Explorer 10 auf Windows 8. Von daher gibt es keinen Grund nicht heute schon mit IE10 auf Windows 8 zu testen und die neuen Möglichkeiten der erweiterten HTML5 Unterstützung kennenzulernen.

Am einfachsten geht das über die Trial Version von Windows 8 Enterprise!

Windows 8 nähert sich mit großen Schritten und immer noch gibt es (zu) viele Maschinen, die mit Windows XP laufen.

Daher möchten wir erneut darauf hinweisen, dass in nur noch knapp anderthalb Jahren der Support für Windows XP vollständig ausläuft!

Das bedeutet, dass es ab dem 08. April 2014 keine Sicherheitsupdates mehr für Windows XP geben wird!

Das schließt im Übrigen JEDEN Internet Explorer für Windows XP mit ein, also Version 6, 7 und 8, denn der Support für den Internet Explorer auf Windows XP ist direkt gekoppelt mit dem Support für Windows XP selber.

Wer sich heute noch nicht über die Migration seiner Windows XP Umgebung auf Windows 7 oder 8 beschäftigt, wird (abhängig von der Anzahl der betroffenen Maschinen) es schwer haben, noch vor dem Termin die Migration vollständig abgeschlossen zu haben und damit Gefahr laufen mit Maschinen zu arbeiten, die ungepatchte und ggf. bekannte Sicherheitslücken enthalten!

Also am besten sofort mit unserer Windows 7 Deployment Toolbox beschäftigen, denn jeder Cent, der in die Migration zu Windows 7 investiert wird, wird gleichzeitig in eine Migration zu Windows 8 investiert, denn die Applikationen, die heute unter Windows 7 laufen, werden morgen auf Windows 8 laufen!

Siehe auch:

Ende des Supports für Windows XP in 900 Tagen–warum und was bedeutet das für mich? 

Der Release Termin von Windows 8 (26.10.2012) nähert sich mit großen Schritten und da ist es selbstverständlich, dass auch unsere anderen Produkte dafür vorbereitet und/oder ergänzt werden.

Diese Entwicklung macht auch vor dem Security Compliance Manager (SCM) nicht halt, der nun in der Version 3.0 beta zum kostenlosen Download zur Verfügung steht und die gewohnten Features und Informationen zur Verfügung stellt.

Neu hinzugekommen sind die Security Baselines für Windows Server 2012, Windows 8 und Internet Explorer 10 (incl. des “Internet Explorer Security Guideline” Whitepapers).

Außerdem wurden auch die Einstellungen für Windows 7 (SP1) und Windows Server 2008R2 erweitert.

Damit liefert SCM 3.0 eine zentrale Schnittstelle für das Erstellen, Verwalten, Analysieren und Anpassen von Basis Richtlinien um die eigene Umgebung schnell und effizient abzusichern.

Um mehr über das SCM Tool zu erfahren besuchen sie die TechNet Library.

Und testen sie die Auswirkungen auf Windows Server 2012 und Windows 8 über die kostenlos verfügbaren Trial-Versionen:

• Windows Server 2012
• Windows 8

Hier die Download Locations und weitere Informationen:

• Security home page: http://www.microsoft.com/scm
• Security Compliance Manager library page: http://technet.microsoft.com/en-us/library/cc677002.aspx
• SCM on the Microsoft Download Center: http://www.microsoft.com/download/en/details.aspx?id=16776

Spätestens seit den Ankündigungen zu Windows 8 haben wir öffentlich gezeigt, dass wir Javascript+HTML(5) als Programmier-Alternative sehen und die damit verbundene Unterstützung von HTML5 und ECMAScript 5 in IE9 und 10 tragen dem Rechnung.

Es gab in der Vergangenheit auch schon sehr schöne HTML5 Umsetzungen um die Möglichkeiten des Internet Explorers zu zeigen (Cut the rope, Hunger Games, …) .

Nun haben wir in Zusammenarbeit mit Atari 8 Classic Games wieder aufleben lassen:

• Pong
• Super Breakout
• Yars’ Revenge
• Asteroids
• Centipede
• Combat
• Lunar Lander
• Missile Command

Im Internet Explorer 10 wird das Ganze außerdem ohne Werbung dargestellt!

Im Atari Arcade Developer Center gibt es auch spannende “Behind the Scene” Videos über die Entwicklung der einzelnen Spiele.

Die Seite kommt ohne Addons aus (z.B. einfach mal den ActiveX Filter aktivieren, funktioniert dann trotzdem ohne Probleme! ) und zeigt wie mächtig Javascript in Kombination mit HTML5 mittlerweile geworden ist und das zeigt auch, warum viele der Windows 8 Store Apps in HTML5 und Javascript entwickelt wurden und werden.

Von daher wird es vielleicht auch mal Zeit die Vorurteile gegenüber dem IE über Board zu werfen und das tatsächliche Potential zu erkennen!

Hier noch der offizielle Post auf dem Windwosteamblog.

Die neueste Version des Microsoft Deployment Toolkit (MDT) – Version 2012 Update 1 – ist nun zum Download verfügbar:

Jetzt downloaden: MDT 2012 Update 1

Die Neuerungen im Einzelnen sind:

• Support für DaRT 8 Beta und der Windows 8 Version des Assessment and Deployment Kit (ADK)
• Neue “Build Your Own Pages” Unterstützung für User-Driven Installation (UDI), damit IT Pros eigene Install-Wizard Seiten mittels einfachem Drag&Drop erstellen können
• Integration in System Center Orchestrator
• Komplett überarbeitete “Roles and Features” Logik, die sowohl Installation als auch das Removal unterstützt und außerdem einen neuen Lite Touch Wizard um Rollen und Features während des Deploys auszuwählen
• Unterstützung von Powershell 3.0
• Einfaches Monitoring für SCCM Task Sequenzen, die die Möglichkeiten des Monitorings von Lite Touch Deployments nutzt, die mit MDT 2012 eingeführt wurden
• Verbesserte Unterstützung von VHD Boot Deployment Möglichkeiten

Nächste Schritte:

1. Downloaden des MDT 2012 Update 1
2. Downloaden von Windows Server 2012 (Trial)
3. Downloaden der Testversion des  System Center 2012
4. Downloaden von Windows 8 RTM (Trial)
5. Mehr über das MDT lernen
6. Ausprobieren, Testen und Spaß mit den aktuellen Produkten haben!

Seit 01.08.2012 hat Windows 8 den “RTM” (Release To Manufacturing) Status erreicht, doch das bedeutet nicht, dass es schon für jeden verfügbar (==”GA” – global available/availability) ist.
Dies wird erst mit dem 26.10.2012 passieren.

Wie ich in einem anderen Blogpost bereits beschrieben habe, gibt es allerdings heute schon die folgenden Möglichkeiten um (legal) auf Windows 8 RTM zugreifen zu können:

Mittlerweile ist noch eine 5. Möglichkeit dazugekommen:

5. Windows 8 Enterprise Trial als kostenloser Download

Damit ist unser Portfolio für modernes Arbeiten komplettiert und als kleine Erinnerung hier die Links auf die “Better together” Produkte

1. Windows 2012 Trial
2. System Center 2012

Die wirklich interessanten Enterprise Feature werden erst im Zusammenspiel aller drei Produkte nutzbar.

Daher sollte sich jeder ITPro heute schon mit den neuen Möglichkeiten auseinandersetzen um für die Zukunft gewappnet zu sein!

Auch wenn Windows 8 grade erst den RTM Status erreicht hat und viele Unternehmen entweder die Migration auf Windows 7 erst kürzlich abgeschlossen haben oder sogar noch mitten im Projekt sind (btw. wer kennt unsere Toolbox zum Windows 7 Deployment noch nicht? ), so gibt es doch schon die ersten Erfahrungsberichte über ein Windows 8 Deployment – richtig, direkt von uns, bzw. der “Microsoft IT”, welche in den vergangenen Wochen ca 30.000 Deployments durchgeführt hat.

Hierzu hat Patrick O’Rourke, “Director strategy, planning and communications” innerhalb der Microsoft IT einen Gast-Post auf unserem Office of the CIO Blog veröffentlicht:

http://blogs.msdn.com/b/mscio/archive/2012/08/07/deploying-windows-8-within-microsoft.aspx

“We’re currently “dogfooding” several products and services, but the most interest is with Windows 8 and IE 10 Release Preview. As of mid-July we had more than 30,000 systems and nearly 30,000 employees running Windows 8 and IE10.

I’ll highlight three areas from Microsoft IT experience deploying Windows 8 and IE 10 Release Preview: support, security and user experience.”

FYI: Auf der Seite gibt es rechts unten im Menü einen Übersetzungsmechanismus (ist natürlich nur eine automatisierte Übersetzung, aber mit etwas good-will sollte es trotzdem verständlich sein).

Und nicht vergessen:

1. Ab Mitte August (15./16.) wird Windows 8 über die bekannten Vertriebswege
   1. MSDN
   2. TechNet
   3. Microsoft Software Assurance
   4. Enterprise VL (allerdings erst später)
      
   verfügbar gemacht. D.h. spätestens dann sollten sich ITPros auch mit Windows 8 beschäftigen und die Vorteile gegenüber älteren Betriebssystemen kennen lernen.
   Vgl. auch: http://windowsteamblog.com/windows/b/bloggingwindows/
2. Für alle “Consumer” wird Windows 8 ab dem 26.10.2012 verfügbar sein.

-Stephanus

Steve Ballmer hat in seiner Keynote zur WPC gesagt : “This year, this year, is the most important year. It’s a year of unparalleled opportunity”

und daher darf natürlich auch das Microsoft Assessment and Planning (MAP) Toolkit nicht fehlen, welches nun in der Version 7.0 erhältlich ist.

Das MAP ist ein Werkzeug welches ohne Agent/Client, automatisiert, über mehrere Produkte hinweg die Migration von Desktops, Servern und (jetzt auch) der Cloud beschleunigen und vereinfachen kann.
Es erstellt detailierte Reports zur Einschätzung der existierenden Umgebung incl. Informationen zu verwendeter Hard- und Software, und zusätzlich verfeinert mit (sinnvollen) Empfehlungen um den Planungsprozess einer Migration zu beschleunigen.

MAP kann außerdem Auslastungsvorhersagen von (Hyper-V) Virtualisierung von Serverinstanzen liefern, und u.a. auch ROI Analysen für Server-Konsolidierungen mittels Hyper-V bereitstellen.

Hinzugekommen sind folgende neue Szenarios zur Planung der eigenen IT Zukunft:

• Planung des Deployments von Windows Server 2012 und Windows 8 incl. Hardware und Infrastruktur Beurteilung
• Abschätzung der Ressourcen für Desktop Virtualisierung, sowohl für Virtual Desktop Infrastructure (VDI) als auch Session-basierte Virtualisierung mittels Remote Desktop Services (fka Terminal Services)
• Bereitstellung von Daten zur cloudbasierten Nutzung von SQL Server 2012 und SQL Azure
• Virtualisierung von Linux Servern mittels Hyper-V
• Identifizierung von Chancen der Kostenreduzierung mittels Migration von VMWare VMs zu Hyper-V
• Abschätzung der Nutzer- und Gerätenutzung für eine Lync 2010 Standard Lizensierung

Die Key-Features des MAP 7.0 hilft ihnen:

• die Readiness (eine schöne passende Übersetzung will mir grade nicht einfallen) zur Einführung von Windows Server 2012 und Windows 8 abzuschätzen
• die Umsetzung der Migration der VMWare basierten VMs zu Hyper-V
• Ressourcenabschätzung für eine potentielle Desktop Virtualisierung
• Vereinfachung der Migration zu SQL Server 2012
• Evaluation der Lizensierung von Lync 2010
• Feststellung von aktiven Nutzern und Geräten

Eine vollständige Liste der Features des MAP 7.0 ist auf TechNet zu finden.

Die nächsten Schritte:

• Herunterladen des MAP Toolkit 7.0
• Kommentare an das MAP Team geben
• Mehr über das MAP erfahren
• Besuch des Windows 7 Deployment Toolbox (incl. MAP)

Da die Entwicklung nicht stehen bleibt, insb. mit Windows Server 2012 und Windows 8 vor der Türe und dem bereits releasten System Center 2012, ist es an der Zeit auch das MAP für die neuen Anforderungen zu rüsten.

Dazu haben die Kollegen die erste Beta Version des Microsoft Assessment and Planning (MAP) Toolkit in Version 7.0 über unsere Connect Seite verfügbar gemacht.

Hier die kurze Liste der Key Features, mehr dann auf der Beta Connect Seite:

Key features and benefits of MAP 7.0 Beta help you:

• Determine your readiness for Windows Server 2012 Beta and Windows 8

• Virtualize your Linux servers on Hyper-V

• Migrate your VMware-based virtual machines to Hyper-V

• Size your server environment for desktop virtualization

• Simplify migration to SQL Server 2012

• Evaluate your licensing needs for Lync 2010

• Determine active users and devices

=> Microsoft Assessment and Planning (MAP) Toolkit 7.0 beta

Für IT-Administratoren stellt sich immer wieder die Frage, wie mit dem Thema “Browser” umgegangen werden soll/kann/darf/muss.

Zu diesem Thema habe ich einen Gastartikel in der Online Version der Zeitschrift “IT-Administrator” erstellt, hier der Teaser:

Die Anforderungen an Browser Administratoren steigen im selben Maße wie an die Browser selbst: Sicherheit/Performance/Administration/Rollout/Patchdeployment – um nur einige der Aspekte zu nennen.

Wie kann das Leben eines Browser Admins vereinfacht werden und warum braucht jedes moderne Unternehmen eine Browser-Strategie? Was bedeutet Sicherheit und Performance im Jahr 2012? Und vor allem müssen/können/dürfen mehrere Browser eingesetzt werden?

Weiterlesen

Über Feedback würde ich mich natürlich (wie immer) freuen!

Update: Für interessierte IT Administratoren ist die IE Toolbox sicher nützlich! 

Wie schon in den vergangenen Jahren haben wir auch dieses Frühjahr den Microsoft Security Intelligence Report für den Zeitraum Juli-Dezember 2011 veröffentlicht.

Hierzu gibt es verschiedene Formate:

1. Den vollständigen SIR12
2. die Keyfindings
3. WW Threat Assessment
4. sowie ein Video mit dem Überblick
   

Andauernde Bedrohung durch Conficker

Abb. 1: Verbreitung des Conficker Wurms im Kalenderjahr 2011

Nach wie vor stellt der Conficker Wurm eine der größten Bedrohungen für Unternehmens-PCs dar. Dieser Tatsache widmet sich der SIR12 sehr ausführlich und dies sollte vor allem (aber nicht nur) von IT-Professionals beachtet werden, die noch Windows XP Maschinen verwalten!

Abnehmender Trend der absoluten Anzahl veröffentlichter Vulnerabilities

Abb.2: Vulnerabilities von Microsoft Produkten vs. andere Hersteller

Freudigerweise ist insg. ein abnehmender Trend in der absoluten Anzahl der aufgedeckten Vulnerabilities zu erkennen. Jedoch macht grade die o.g. immernoch weite Verbreitung einer “uralten” Bedrohung nachdenklich.

Wenn allerdings die effektiv ausgenutzten Exploits wie in Abb.3 betrachtet werden, dann sollte jedem klar werden, dass eine weitere Nutzung von Windows XP ein enormes Schadenspotential darstellt und umgehend ein Migrationsprojekt zu Windows 7 gestartet werden muss! (Dabei unterstützen wir gerne, idealer Einstiegspunkt ist dabei die Windows 7 Deployment Toolbox!)

Was ist Enhanced Mitigation Experience Toolkit (EMET)?

Interessant ist auch der Teil in dem betrachtet wird, wie sich die Nutzung des Enhanced Mitigation Experience Toolkit (EMET) auf die ausnutzbaren Exploits auswirkt (vgl. Abb.4 und 5).

Abb.4: Das EMET verringert die Angriffsgefahr auf Windows XP signifikant

Abb.5: Verteilung der 10 meist verbreiteten Bedrohungen auf domain-joined Maschinen

Gefahr durch Drive-By-Downloads

Abb. 6 und 7: Heatmap der Gefahren durch Drive-By-Downloads Q3 (oben) und Q4 (unten) 2011

Anhand der beiden Heatmaps der Quartale 3 und 4 ist leicht zu erkennen, dass in den meisten Regionen die Gefahr durch Drive-By-Downloads angestiegen ist.

Um so wichtiger ist, dass Abwehrmechanismen (aktuelle Browserversionen, Proxy, Firewall, Smartscreen Filter, etc.) verwendet werden um Drive-By-Downloads zu verhindern. Wir raten daher jedem die aktuellste Internet Explorer Version zu nutzen, da der Internet Explorer nach wie vor der sicherste Browser ist – nicht nur in Unternehmensumgebungen!

Lange haben wir drauf gewartet, endlich ist die nächste Version von System Center erhältlich!

Enthalten darin sind:

System Center Virtual Machine Manager 2012

Ermöglicht die Verwaltung und Bereitstellung von virtuellen Maschinen auch in heterogenen Umgebungen für Ihre flexible und kosteneffiziente Private Cloud.

System Center Configuration Manager 2012

Ermöglicht eine umfassende Konfigurationsverwaltung für die Microsoft-Plattform. Kontrollierbar und unter Einhaltung von Corporate Compliance-Richtlinien, bringt SCCM die Geräte und Anwendungen zu den Benutzern, die sie benötigen, um produktiv arbeiten zu können.

System Center Endpoint Protection 2012

Eine branchenweit führende Erkennung von neuen Bedrohungen wie Viren und Malware, basierend auf System Center Configuration Manager. Der Endgeräteschutz ist Teil der Endgeräteverwaltung, was Komplexität und Kosten reduziert.

System Center App Controller 2012

Bietet eine gemeinsame Oberfläche über Private und Public Cloud Infrastrukturen, mit der neue Dienste für Anwendungen einfach erstellt, konfiguriert, bereitgestellt und verwaltet werden können.

System Center Service Manager 2012

Bietet flexible Self-Service-Modelle und Standardisierung von Datacenter-Prozessen, die Benutzer, Workflows und Informationen über Ihre Unternehmens-Infrastruktur und Anwendungen hinweg integrieren.
System Center Virtual Machine Manager 2012 Ermöglicht die Verwaltung und Bereitstellung von virtuellen Maschinen auch in heterogenen Umgebungen für Ihre flexible und kosteneffiziente Private Cloud.

System Center Orchestrator 2012

Zur Steigerung der betrieblichen Effizienz können durch die Definition von Runbooks Prozesse orchestriert, integriert und automatisiert werden.

System Center Operations Manager 2012

Stellt eine tiefgreifende Diagnose von Anwendungen und Infrastrukturüberwachung bereit, mit der Sie Leistung und Verfügbarkeit wichtiger Anwendungen gewährleisten können und einen umfassenden Überblick über Ihre Rechenzentren und Private oder Public Cloud-Infrastrukturen erhalten.

System Center Data Protection Manager 2012

Ermöglicht die Datensicherung sowie skalierbare, verwaltbare und kosteneffiziente Szenarien zur Sicherung und Wiederherstellung von Daten auf Festplatte und Band für Windows Server und Clients.

Mein Highlight ist die Möglichkeit, dass die Verwaltung von mobilen Devices (iPhone, Android, Windows Phone) nun von den Exchange Admins an die SCCM Admins übergeben werden können und damit wieder eine klare Trennung von klassischem Mail-Admin und Configuration Admin möglich ist.

Darüber hinaus ist nun auch das MDT (Microsoft Deployment Toolkit) in Version 2012 verfügbar und harmoniert wunderbar mit System Center 2012!

Auf den unterschiedlichen News Seite war es schon vielfach zu lesen:

Der “mainstream” Support für Windows Vista ist heute zuende gegangen!!!

Was dies bedeutet habe ich in einem früheren Post (Ende des Supports für Windows XP in 900 Tagen–warum und was bedeutet das für mich?) beschrieben.

Doch viel wichtiger ist, dass gleichzeitig (ok, zugegeben, es war schon vor 2 Tagen) das Ende des extended Supports für Windows XP in zwei Jahren erreicht sein wird.

D.h., wer heute noch sein Dasein auf Windows XP fristet, der hat nicht einmal mehr zwei Jahre für ein Migrationsprojekt. Für den privaten Rechner ist dies sicherlich ausreichend, aber für viele Unternehmensinstallationen ist die verbleibende Zeit sehr knapp um die Migration noch rechtzeitig zu beenden, bevor sich die Windows XP Rechner in einem nicht supporteten Zustand befinden und damit auch keine Sicherheitspatches mehr zu erhalten.

Und wenn nun die Frage gestellt wird: sollte nicht besser auf Windows 8 gewartet werden?

So lautet die Antwort klar: NEIN! Denn es wird sicherlich noch etwas dauern, bis Windows 8 für Unternehmen verfügbar sein wird. Und wenn erst dann mit dem Migrationsprojekt angefangen wird, dann verbleibt noch entsprechend weniger Zeit für die Umsetzung.

Daher lautet unsere klare Empfehlung: heute mit dem Migrations-Projekt starten, denn jeder Euro, der in die Anwendungskompatibilität bzw. die Migration investiert wird, zahlt sich am Ende auch für eine Migration zu Windows 8 aus!

Aktuell ist das Thema Sandboxing in vieler Munde, daher möchte ich hier die technischen Hintergründe näher erläutern:

Einführung

Es war einmal ein Betriebssystem welches ab und an dazu benutzt wurde um Inhalte aus dem Internet herunterzuladen. Sei es über den mitgelieferten Internet Browser (nennen wir ihn kurz IE) oder durch z.B. Mailprogramme, welche zum Teil auch in der Lage waren HTML Content darzustellen und dazu natürlich auch die Nähe zu o.g. IE suchten. Damals – es war eine wahrlich düstere und gefährliche Zeit – wussten die Bürger leider nur wenig von den Gefahren, die auf den weiten Straßen des globalen Straßennetzes auf sie warteten. So kam es von Zeit zur Zeit dazu, dass unbescholtene Bürger auf Dinge klickten, die gar fürchterliches auf ihren Reisekutschen anrichteten, denn niemand half ihnen, niemand hob das Schild um den Hieb der Räuber und die Pfeile aus dem Hinterhalt abzufangen.

Doch als sich die Überfälle auf die Bürger mehrten begriff der Hersteller der Kutschgefährte, dass dies so nicht bleiben darf und dass nicht der Nutzer das Schild heben muss, sondern die Karosserie ihn beschützen sollte.
Gedacht – getan – die nächste Version der Kutsche sah anders aus – schicker, aber auch sicherer und schneller. Die Angreifer schlugen sich ihre ach so scharfen Schwerter an der eisernen Hülle der Kutschen stumpf, und so sah der König des Landes, dass es seinen Bürgerinnen und Bürgern besser ging.

Jedoch musste er hilflos mitansehen, dass nicht jeder aus seinem Gefolge die neue Kutsche nutzt, obwohl jeder sein altes und überholtes Modell einfach und kostenlos durch das Neue ersetzen kann. Dies machte ihn sehr traurig und so befahl er dem Kutschenbauer seine Anstrengungen noch mehr zu erhöhen, damit das nächste Modell so prächtig ist, dass ein niemand sich davor zurückhalten kann dieses sofort zu nutzen.

Und siehe, das neue Modell war so gut, dass seine Bürgerinnen und Bürger den Wert erkannten und das neue Modell mehr und mehr nutzen, denn es ist nicht nur sicherer, sondern auch noch schneller und noch schöner!

Und wenn der König nicht gestorben ist, dann lebt er und sein Gefolge heute immer noch sicher und geschützt durch den Internet Explorer 9.

Was ist und woher kommt der Protected Mode?

Ist Sicherheit nur ein Märchen? Natürlich nicht – aber die negativen Vorurteile zur Sicherheit des Internet Explorers sind eins!

In den vergangenen Jahren wurden die Sicherheits-Mechanismen sowohl in Windows (XP->Vista->7) als auch im Internet Explorer (6->7->8->9) deutlich weiterentwickelt.
Neben dem Smartscreen-Filter, den Änderungen an DEP/NX, Codeoptimierungen, Trackingschutz, etc ist eine wesentliche Komponente bei der Sicherheit der sog. Protected Mode, oder wenn man so will der IE Sandbox.

Aber was genau ist der Protected Mode?

Mit Windows Vista haben wir das Sicherheitskonzept von Windows grundlegend geändert. Neben vielen anderen Mechanismen haben wir die sog. Integrity Level (IL) eingeführt.
Ohne zu technisch zu werden und vom eigentlichen Thema abzukommen kurz was ist das:

Der Protected Mode ist eine Sandbox Technologie – nicht mehr, aber auch nicht weniger.

Integrity Level

Etwas genauer:
Die Grundidee von ILs ist, dass jedes Objekt [ein Objekt kann eine Datei, ein Folder, ein Prozess, eigentlich alles auf einem Windows Betriebssystem sein] eine Sicherheitseinstufung (Integrity Level) erhält. Über diese IL wird definiert, welche Rechte ein Objekt hat und wie dieses mit anderen Objekten der gleichen oder eines anderen IL interagieren kann/darf.

Von diesen IL wurden 4 definiert:

1. System/System – vorbehalten für System eigene Objekte, wie Services
2. High/Hoch – dieses Level besitzen Objekte, die Administratoren zugeordnet werden können
3. Medium/Mittel – dies ist das “normale” Benutzer Level
4. Low/Niedrig – das niedrigste Level mit deutlich weniger Möglichkeiten als “Mittel”

Integrity Level werden – sofern nicht anders behandelt – vom Parent Objekt an das Child Objekt vererbt. D.h. ein Medium IL Prozess würde i.d.R. auch einen Medium IL Prozess erzeugen.

Beim IE7 war es noch so, dass bei einem Wechsel des ILs, extra ein neues Fenster (==Prozess) erzeugt werden musste, z.B. wenn ein Link von einer normalen Webseite (Protected Mode on => IL = Low) auf eine Webseite z.B: in der Trusted Sites Zone (Protected Mode off => IL = Medium) führte.

Dieses Verhalten wurde mit IE8 – und damit auch in IE9 ff. – durch die Technologie Loosly Coupled IE (LCIE) deutlich userfreundlicher gestaltet.

Seit Internet Explorer 8 werden nämlich beim Start eines IEs – zumindest mit der default Einstellung – genau zwei Prozesse gestartet:

1. Der Verwaltungsprozess (oder auch “Brokerprozess”, der z.B. auch das eigentliche Fenster bereitstellt
2. Der TAB-Prozess, der die Webseite anzeigt

Dabei ist es “normal”, dass der TAB Prozess im Protected Mode – also mit IL=low – gestartet wird und der Verwaltungsprozess mit IL=medium. Dies ist notwendig, damit z.B. Dateidownloads auch an das Betriebssystem übergeben werden können, denn wenn nur IL=low IE Prozesse existieren würden, so könnten auch Downloads nicht die Sandbox des IE verlassen!

Bei einem Wechsel von ILs im IE wird daher dann nicht mehr ein neues Fenster (==Broker) geöffnet, sondern unter der Haube ein neuer Prozess verwendet, der dann das entsprechende IL erhält – dies wird vom Broker Prozess gesteuert.
Übrigens: das Erstellen von Prozessen ist ein relativ “teurer” Vorgang in einem Betriebssystem. Daher versucht der IE seine eigenen Prozesse wiederzuverwenden. Und grade nach einem Wechsel zwischen ILs kann es also dazu kommen, dass es mehr Prozesse gibt, als man eigentlich erwarten würde. Diese “sterben” allerdings – sofern sie nicht anderweitig genutzt werden können – nach einer gewissen Zeit (~30s).

Ich freue mich übrigens, dass auch andere Browserhersteller sich endlich an unserem Konzept orientiert haben und vergleichbare Sandbox Modelle implementieren – zwar immer noch zu wenige, aber ich sehe optimistisch in die Zukunft, dass neben dieser vielleicht auch die anderen Sicherheitsmechanismen langsam Einzug halten!

Wie kann ich das IL Verhalten sehen?

Die einfachste Methode hierzu ist den Process Explorer von Sysinternals zu verwenden. Hier muss lediglich die Spalte “Integrity” hinzugefügt werden:

Im Screenshot zu sehen sind mehrere Internet Explorer Fenster (4), die dreimal je einen und einmal insg. 4 Tabs enthalten.

Empfehlung

Für Consumer / normale, nicht-firmen Nutzer:

Einfach die Default Einstellungen verwenden. Da für nicht Domänen Maschinen die Zonen nicht (bzw. nur in geringem Maße) verwendet werden, ist hier keine Aktion notwendig!

Für IT Pros:

Per Default ist der PM – also die Sandbox – für die Trusted Sites und Local Intranet Zone deaktiviert:

Dies dient dazu, dass insb. ältere Anwendungen, die u.U. auf veraltete ActiveX Controls zurückgreifen, weiter genutzt werden können.

Dies stellt einen “trade-off” zwischen Kompatibilität und Sicherheit dar.

Sofern also keine alten Anwendungen verwendet werden, oder ein Test ergeben hat, dass die alten Anwendungen keine Probleme mit dem Protected Mode haben, so sollte der Protected Mode auch für die Trusted Sites und Local Intranet Zone vorgegeben werden.

Aber auch wenn dies nicht möglich ist, so sollte zumindest für die Internet und die Restricted Sites Zone der PM über GPOs festgeschrieben werden!

Und was ist mit Windows XP?

Da unter Windows XP – und damit auch Windows Server 2003 – das Modell der Integrity Level nicht existiert, kann eine Sandbox über IL nicht erreicht werden!

Daher sollten Rechner, die heute noch mit Windows XP betrieben werden, alleine schon wegen der Sicherheit im Internet auf ein aktuelles Betriebssystem wie Windows 7 upgegradet werden.

Außerdem rennt die Zeit langsam davon, es sind beinahe nur noch 2 Jahre mit Extended Support für Windows XP übrig und wenn man von einem typischen Migrationsprojekt ausgeht, so wird das langsam knapp hier noch vor diesem Ende das Projekt zum Ende geführt zu haben.

Also neben der Sicherheit sollte auch aus Support Gründen (==keine Security Patches mehr) wenn nicht eh schon geschehen, dann genau jetzt ein Windows XP=>Windows 7 Migrations Projekt gestartet werden!
(Jede Applikations Kompatibilitätsanstrengung für Windows 7 wird auch Früchte für zukünftige Betriebssysteme tragen und ist somit weder heute noch in der Zukunft verschwendetes Geld!)

Sonstiges

Übrigens: Integrity Level funktionieren nur dann, wenn die User Account Control (UAC) aktiviert ist!
=> Unter gar keinen Umständen sollte die UAC deaktiviert werden!

Dies gilt genauso wenn der User “Administrator” verwendet wird. Auch dann existiert die Sicherung über ILs nicht!

Neben den Sicherheitsmechanismen, die auf Bit-Ebene implementiert wurden, eben wie PM, DEP, etc, ist es aber wenigstens genauso wichtig Mechanismen und damit eine Antwort auf Angriffe zu haben, die nicht das System sondern den User angreifen, sprich Social Engineering Malware. Und immer wichtiger wird außerdem ein Schutz der Privatsphäre, denn (nicht nur) die Werbetreibenden haben ein zunehmendes Interesse daran, Nutzerverhalten zu speichern und für die eigenen Zwecke zu missbrauchen. Daher sollte sich jeder auch einmal die Möglichkeiten des Internet Explorers anschauen, genau dieses Tracking der eigenen Persönlichkeit zu unterbinden!

Links

Windows Vista Integrity Mechanism Technical Reference – MSDN 
Understanding and Working in Protected Mode Internet Explorer
Loosly Coupled IE
Default Integrity Level and Automation – Eric Lawrence Blog
PsExec, User Account Control and Security Boundaries – Mark Russinovich

-Stephanus

Ich habe zwar genau vor einem Jahr schon einmal über die Tracking Protection [TP] (sorry, aber mir gefällt der Engl. Begriff deutlich besser, daher werde ich diesen auch nachfolgend weiterverwenden) berichtet, jedoch ist mir aufgefallen, dass ich zwar das UI beschrieben habe, aber nicht was die TP eigentlich genau macht, dies möchte ich nun nachholen:

Agenda

1. Fast track
2. Definition
3. Do Not Track
4. Do Not Track im Internet Explorer
5. Funktionsweise von Tracking Protection Lists
6. Nutzen
7. Probleme bei der Nutzung
8. Zu guter Letzt

Fast track: wo gibt es TPLs?

Zum einen gibt es in der IEGallery je nach Land gefeaturete Listen, oder aber auch über bestimmte Webseiten wie z.B. Privacy Online (sogar mit einer extra für Deutschland erstellten Liste).

Definition

Fangen wir mit einer Definition von Tracking an (mir ist neben Tracking auch schon ein anderer Begriff über den Weg gelaufen, der das Thema auch sehr schön beschreibt: Stalking. Ich bleibe aber bei Tracking, da dies der gebräuchlichere Begriff ist):

Tracking ist das Aufzeichnen von Nutzerverhalten durch Dritte, ohne dem User dadurch direkt einen Mehrwert zu liefern und die Daten später zum eigenen Nutzen weiterzuverwenden.

Dies ist zumindest meine Definition. Allerdings ist es sehr, sehr schwierig eine klare technische Grenze zwischen z.B. Tracking und Werbung zu ziehen.

Wenn also Tracking verhindert werden soll, so soll nach Möglichkeit Werbung - denn dadurch wird ein Großteil des Webs finanziert - nicht verhindert werden. Ein Tracking Schutz soll und darf also kein Werbeschutz sein!

Da allerdings bei jedem Aufruf von “standard” Werbung auch Daten über den verwendeten PC/User mitübertragen werden (z.B. IP Adresse, die bei etwas cleverer Implementierung durchaus auf einen User gemappt werden kann), ist es hier nicht einfach zu entscheiden ob man dies zulassen kann/soll oder eben nicht.

Do Not Track

Zu diesem Zweck hat sich eine Art Community entwickelt, die versucht den sog. “DNT” (Do-Not-Track) http Header einzuführen und zu etablieren, siehe auch http://en.wikipedia.org/wiki/Do_not_track_header. Dieser DNT Header – sofern aktiviert – kann über donottrack.us überprüft werden – teilt dem Webserver und damit auch der Webseite mit, dass der User wünscht nicht getrackt zu werden. Der Webserver/seite/betreiber kann dann darauf Rücksicht nehmen – oder leider auch nicht. Es ist keine gesetzliche Verpflichtung oder ein “muss”!

donottrack.us zeigt dem User ob sein Browser dies unterstützt, und ob es aktiv ist

Außerdem unterstützen leider immer noch nicht alle großen Webbrowser diese einfache Möglichkeit den User zu schützen (DNT wird derzeit nur von Internet Explorer 9, Firefox, Safari, Konquerer unterstützt, siehe auch hier).

DNT im Internet Explorer

Die Aktivierung dieses Mechanismus ist im Internet Explorer einfach, es muss lediglich irgendeine Tracking Schutz Liste (Tracking Protection List) aktiviert sein, sprich entweder die eigene, personalisierte, oder jede andere 3rd Party TPL!

Das ist sehr einfach zu erreichen, indem über das Zahnrad->Sicherheit->Trackingschutz (oder Extras->Internetoptionen->Programme->Addons verwalten->Trackingschutz) das UI aufgerufen wird:

Dort kann dann z.B. die eigene TPL aktiviert werden:

Wie äußert sich dies nun auf der Leitung?
Hierzu bemühe ich die F12 Tools bzw. den Fiddler:

Und dort ist zu sehen, dass der IE nur durch Einsatz einer TPL den DNT Header auf 1 setzt und damit signalisiert, dass nicht getrackt werden soll.

Funktionsweise von Tracking Protection Lists

Neben DNT unterstützt der Internet Explorer bis jetzt als einziger Browser sog. Tracking Protection Lists. In diesen Listen können sowohl gute als auch schlechte Domänen oder Strings eingetragen werden, die zu Trackinganbietern gehören, z.B. etwa "-d boesetrackingdomaene.com”.

Wenn nun der User auf eine Webseite navigiert auf der eine Verknüpfung – z.B. durch ein Trackingbild, oder ein Trackingscript – zu eben jener boesetrackingdomaene.com existiert, z.B.

<img src=”http://boesetrackingdomaene.com/trackingbild.jpg” />

so würde ein normaler Browser dieses Bild einfach laden.
Wenn nun der User allerdings entweder eine 3rd party TPL installiert hat oder aber in seiner eigenen der eingestellte Schwellwert (kann zwischen 3 und 30 eingestellt werden, auch über eine GPO) der erlaubten Aufrufe dieser Resource überschritten wird, so fordert der Internet Explorer diese Datei gar nicht erst an.

Nutzen der TPLs

Dies bedeutet automatisch gleich mehrere Dinge:

1. Tracking kann nicht stattfinden, da keine Daten an 3. versendet werden, die Privatsphäre bleibt gewahrt
2. Die aufgerufene Seite lädt schneller, da weniger Daten übertragen werden müssen und damit auch weniger Daten/Scripte verarbeitet werden müssen
3. Die Netzwerklast sinkt, insb. da die Tracking Resourcen typischerweise klein sind und damit einen recht hohen Overhead im Netzwerk verursachen und dadurch wichtigere Daten verlangsamt werden
4. Aus dem identischen Grund wie in 3. wird die allgemeine Last auf einem ggf. vorhandenen Proxy reduziert oder wenn über UMTS keine Datenflat verwendet wird, so werden weniger Daten abgerechnet

D.h. wir erreichen dadurch mehr Sicherheit, mehr Datenschutz, weniger Overhead, eine verbesserte Performance und ggf. sogar reduzierte Kosten.

Die beiden letztgenannten Punkte sind vermutlich im Wesentlichen für ITPros/Unternehmen von Interesse, sollten aber durchaus in Erwägung gezogen werden, da dadurch (je nach Nutzung und Anzahl der Nutzer) deutlich die Netzwerk & Proxylast verringert werden kann und dadurch letztlich Geld eingespart werden kann.

Probleme bei der Nutzung

Bei der Verwendung von TPLs kann es vorkommen, dass bestimmte Mechanismen auf einer Webseite nicht (mehr) funktionieren. Dies ist dem geschuldet, dass viele Webseiten sog. Content Distribution Networks (CDN) nutzen. Diese CDN dienen dazu, dass oft genutzte Libraries – z.B. jQuery – nicht von der eigenen Webseite, sondern von einem besonders performanten und typischerweise “nahen” Ort kommen. Dies erhöht die Geschwindigkeit und reduziert letztlich auch die Netzwerklast/kosten der Webseite.

Wenn bei der Erstellung der TPLs nicht auf diese CDNs Rücksicht genommen wird, so kann eine TPL im schlechtesten Fall verhindern, dass eine notwendige Javascript Resource nicht geladen wird und damit die Webseite (zum Teil) unbrauchbar wird.

Hierfür haben sich die Entwickler des Internet Explorers ebenfalls etwas einfallen lassen: man kann für eine  Webseite schnell die TP abschalten, dazu gibt es in der Adresszeile ein neues Symbol. Wenn nun für eine Webseite die TP disabled wurde, so wird dies für diese Seite gespeichert – also bei dem nächsten Besuch bleibt diese Einstellung – aber alle anderen Seiten bleiben davon unberührt:

Für die ITPros:

Die Settings für die Ausnahmen werden in der Registry unter

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Safety\Tracking Protection Exceptions

gespeichert und zwar als dword welches den Namen der Domäne (z.B..”microsoft.com”) und als Wert 1 beinhaltet. Dies kann also entsprechend ferngewartet werden.

Zu guter Letzt

Zu guter Letzt möchte ich eine Empfehlung an Werbetreibende abgeben: Aufgrund der Tracking Problematik und auch der Funktionsweise von gängigen Adblockern sollte Werbung von den jeweiligen Webservern kommen, sprich wenn ich auf www.gutewebseite.irgendwas gehe, dann sollte der Werbebanner auch durch gutewebseite.irgendwas ausgeliefert werden und nicht von ad.boeseradserver.irgendwas. Dies beobachte ich übrigens schon vereinzelt und freue mich, dass hier ein Trend zu erkennen ist!

Zu der Erstellung/Updates von TPLs habe ich mich unter Tracking Protection Lists und ihre Updates bereits geäußert, die Erstellung selber ist in der MSDN hinreichend beschrieben (Bei Fragen gerne direkt oder als Kommentar).

Siehe außerdem: Thema der Woche: Datenschutz 

-Stephanus

Mitte Dezember haben wir über den ExploringIE Blog (nicht zu verwechseln mit unserem offiziellen IE Blog) bekannt gegeben, dass wir mit Anfang Januar – beginnend mit Australien und Brasilien – gestaffelt mit dem automatischen Update des Internet Explorers beginnen werden.

Da diese Tatsache (zu) wenig Aufmerksamkeit erhalten hat, möchte ich dies an dieser Stelle nachholen – also, worum geht’s?

Durch unsere Downloadstatistiken der Internet Explorer Updates und der Beobachtung von ausgenutzten – aber eigentlich schon geschlossenen – Sicherheitslücken wurde entschieden, dass es sinnvoll ist, das Updaten des Internet Explorers – insb. für Consumer – zu vereinfachen und vor allem schneller durchzuführen.

Diesem und anderen Themen widmet sich der engl. Artikel auf dem o.g. ExploringIE Blog (übersetzt durch den Microsoft Translator).

Für Deutschland werden wir langsam und stufenweise ab voraussichtlich Mitte Februar die Rate der Autoupdates für unsere deutschen Kunden steigern.

Bevor nun alle IT Pros/Admins aufschreien und gleich alle Netzwerkkabel kappen, die TMG Admins alle Microsoft URLs blocken lässt und eigentlich Internet gleich ganz verbieten möchten, keine Angst, auch daran haben wir gedacht!

Es gibt sowohl für den IE8 als auch für den IE9 sog. Blocker Toolkits, mit denen dies verhindert werden kann, damit nach wie vor die IT entscheidet wann und wie die Updates verteilt werden:
…für Internet Explorer 8
…für Internet Explorer 9

ABER natürlich sollte jeder IT Verantwortliche schon aus Eigennutz bestrebt sein, immer die aktuellste Version (bzw. Patchstand) des eingesetzten Internet Explorers zu verwenden!

-Stephanus