Was schwer nach Binsenweisheit klingt, wurde nun durch eine Analyse belegt: Arbeiten Anwender unter Windows 7 ohne administrative Rechte, bleiben 90 Prozent aller Angriffe auf Windows-Sicherheitslücken wirkungslos. Im Fall von Microsoft Office sind es sogar 100 Prozent.
Laut einem Bericht des IT-Sicherheitsproduktherstellers Beyond Trust kann ein Großteil aller Sicherheitsprobleme in Microsoft-Produkten durch die Wegnahme von Admin-Rechten eingeschränkt werden. Beyond Trust untersuchte alle im Jahr 2009 von Microsoft veröffentlichten Security Bulletins für Windows, Office und dem Internet Explorer. Das Ergebnis fiel deutlich aus: 64 Prozent aller Sicherheitslücken könnten nicht missbraucht werden, wenn der gerade angemeldete Nutzer keine Admin-Befugnisse hat.
Unter Windows 7 werden so 90 Prozent aller als kritisch eingestuften Sicherheitslücken ausgekontert, im Fall von Office und dem Internet Explorer 8 sind es sogar 100 Prozent. Dass Windows 7 insgesamt besser abgesichert ist als beispielsweise Windows XP, geht ebenfalls aus dem Report hervor: Unter Windows XP lassen sich durch den Entzug der Administrator-Privilegien nur 62 Prozent der Angriffe auf Sicherheitslücken verhindern.
Interessant ist auch der hohe Wert von 87 Prozent in Bezug auf Remote Code Execution. Denn diese Königsklasse unter den Attacken – der Angreifer kann hierdurch beliebigen, eigenen Code auf dem PC des Opfers abarbeiten lassen – hätte nur in 13 Prozent aller Fälle Erfolg, würden die Admin-Rechte entzogen. Insgesamt bleiben mehr als vier von fünf (81 Prozent) aller in 2009 als kritisch eingestuften Schwachstellen ohne Wirkung, wenn der Anwender nur mit normalen Nutzerrechten arbeitet.
Auch wenn es nicht um Zero-Day-Exploits geht, gegen die ohnehin kaum ein Kraut gewachsen ist: Diese Zahlen machen deutlich, wie wichtig die korrekte Vergabe von Nutzerrechten ist. Denn in kaum einem Unternehmen werden die am Patch-Tag bereitgestellten Sicherheitsupdates sofort auf den Arbeitsstationen installiert. Nachdem Angreifer aber manchmal binnen Stunden nach Veröffentlichen der Updates durch Reverse-Engineering herausgefunden haben, wie die geschlossene Sicherheitslücke genau beschaffen und somit zu missbrauchen ist, kann nur durch umfassenden Schutz der PCs in der Zwischenzeit Schlimmeres verhindert werden. Andernfalls steigt das Risiko einer Infektion in der Zeit zwischen Veröffentlichung und Installation der Updates erheblich an. Zu den möglichen Schutzmaßnahmen gehört auch die Vergabe passender Rechte für die Anwender.
Quelle: Microsoft Sicherheits-Newsletter
Auf der Microsoft OEM System Builder Website habe ich vor längerer Zeit ein interessantes Plug-In für den Internet Explorer gefunden, welches das Durchführen von Downloads via BITS (Background Intelligent Transfer Service, intelligente Hintergrundübertragungsdienst) erlaubt. Diese Technik ist den meisten im Zusammenhang mit Windows Update ein Begriff: Der intelligente Hintergrundübertragungsdienst hilft, große Datenmengen ohne Beeinträchtigung der Netzwerkleistung zu übertragen.
Dabei wird adaptiv die gerade nicht verwendete Bandbreite der Netzwerkverbindung genutzt, um Daten in Abschnitte zerlegt zu übertragen und am Zielort wieder zusammenzuführen. So müssen auch bei einer Unterbrechung des Downloads einmal übertragene Daten nicht erneut heruntergeladen werden, was bei unterbrochenen HTTP-Downloads sehr sinnvoll ist.
Nach der Einrichtung des Plug-Ins kann über einen rechten Mausklick auf einen Link im Kontextmenü den neuen Eintrag Background Download as auswählen. Nach dem Eingeben des Zielpfades und des gewünschten Dateinamens bekommt man eine Downloadanzeige mit integrierten Steuerungsmöglichkeiten. Man kann die Priorität (Low, Normal, High) verändern und den Download anhalten, um ihn später wieder fortzusetzen.
Das BITS Internet Explorer Plug-In findet man unter http://oem.microsoft.com/downloads/bitsfiles.exe (Windows Live ID für Microsoft Partnerprogramm erforderlich). Es unterstützt Windows 2000, Windows XP, Windows Vista und Windows 7 mit Internet Explorer 6, 7 und 8. Nach dem Herunterladen der selbstextrahierenden Installationsdatei führt man die Datei install.js durch einen Doppelklick aus. Nach einem Neustart des Internet Explorers steht dann das Plug-In zur Verfügung.
Spätestens seit der Veröffentlichung des Artikels Microsoft Touch Pack für Windows 7 verfügbar bekomme ich wieder überdurchschnittlich viele Anfragen nach Multitouch-fähiger Hardware. Mein Kollege Shane Abreu hatte vor einiger Zeit eine Liste zusammengestellt, die ich um Links zu den Produkten und weitere Modelle erweitert hier zur Verfügung stellen möchte.
Die Liste erhebt keinen Anspruch auch Vollständigkeit und Korrektheit. Sie soll nur als Startpunkt dienen für eigene Nachforschungen. Die Liste enthält keine älteren Modelle (zum Beispiel die älteren TouchSmart IQ5xx- und IQ8xx-Modelle, mit denen ich während der Betaphase Windows 7 Multitouch vorgeführt habe), die zwar Multitouch-fähig sein können, aber vom Hersteller nicht unter Windows 7 unterstützt werden.
Mein Kollege Holger Sirtl machte mich auf eine coole Webapplikation für Administratoren aufmerksam, die ursprünglich von den Kollegen Stephanus Schulte und Jean-Pierre Regente als On-Premises-Software gebaut wurde. Zusammen mit Tim Fischer haben sie dann die Anwendung auf Windows Azure und SQL Azure portiert.
Dabei handelt es sich um eine Anwendung, mit der auf einfache Art und Weise existierende Gruppenrichtlinien (Group Policies) gefunden und weitergegeben werden können. Die Weitergabe kann entweder über einen Link erfolgen:
Beispiel: http://gpsearch.azurewebsites.net/default.aspx?policyid=42
oder aber durch Copy & Paste der notwendigen Informationen. Um die Nutzung so einfach wie möglich zu machen, haben wir der Seite ein angepasstes Kontextmenu spendiert, über das die gewünschten Informationen schnell und komfortabel weitergegeben werden können. Außerdem verfügt die Seite sowohl über einen Suchanbieter für Internet Explorer 7/8, als auch über einen Federated Search Connector für Windows 7.
Have fun!
Im November 2008 hatte ich einen Artikel zur Konvertierung von Retail-, KMS- und MAK-Versionen von Windows Vista und Windows Server 2008 geschrieben, der sich hoher Popularität erfreut. Da ich mittlerweile mehrere Anfragen bekommen habe, ob es eine solche Möglichkeit auch in Windows 7 und Windows Server 2008 R2 gibt, habe ich die notwendigen Informationen einmal herausgesucht, um sie hier übersichtlich darzustellen.
Volumenlizenzkunden können Windows 7 und Windows Server 2008 R2 über die zwei verschiedene Verfahren aktivieren: Key Management Service (KMS) und Multiple Activation Key (MAK). Als Kunde muss man sich für KMS, MAK oder für eine Kombination beider Technologien entscheiden. Die gewählte Aktivierungsmethode hängt vor allem von den Anforderungen der Organisation und der Netzwerkinfrastruktur ab. Wer sich mit dem Thema zum ersten Mal beschäftigt, sollte zum Planen einer Bereitstellung mithilfe der Volumenaktivierung unbedingt das Volume Activation-Planungshandbuch lesen.
Standardmäßig wird in Volumenlizenzversionen von Windows 7 und Windows Server 2008 R2 für die Aktivierung genauso wie bei Windows Vista und Windows Server 2008 Key Management Service (KMS) verwendet. Zum Konvertieren von vorhandenen KMS-Clients in MAK-Clients installiert man einfach einen MAK. Diese Prozedur funktioniert auch andersherum – man kann aus einem KMS-Client, den man zu einem MAK-Client durch Eingabe eines MAK konvertiert hat, wieder zurück auf KMS stellen. Der dafür notwendige Befehl lautet:
slmgr.vbs /ipk <KMS-Setup-Schlüssel>
<KMS-Setup-Schlüssel> ist einer der folgenden generischen Setup-Schlüssel:
Nach der Installation des KMS-Setup-Schlüssels über slmgr.vbs /ipk <KMSSetupKey> aktiviert man den KMS-Client, indem man cscript slmgr.vbs /ato ausführt. Mittels cscript slmgr.vbs /dli (oder detailliert mit cscript slmgr.vbs /dlv) kann man sich die aktuellen Lizenzinformationen anzeigen lassen.
Die obigen KMS-Setup-Schlüssel kann man übrigens auch nutzen, um bestehende Einzelhandelsversionen in Editionen mit Volumenaktivierung umzustellen. Einzelhandelsversionen von Windows 7 Professional und Windows Server 2008 R2 können in KMS-Clients konvertiert werden, vorausgesetzt, die Organisation hat die erforderlichen Volumenlizenzen erworben und entspricht den Produktbenutzungsrechten. Hat man zum Beispiel während der Installation nur ein Installationsmedium eines Einzelhandelsprodukts zur Hand, überspringen man einfach während der Installation des Betriebssystems die Seite mit dem Produktschlüssel, indem man das Feld leer lässt und gibt den KMS-Setup-Schlüssel nach Abschluss der Installation in einer Eingabeaufforderung mit erhöhten Rechten mit slmgr.vbs /ipk <KMS-Setup-Schlüssel> ein.
Sollten Probleme im Zusammenhang mit der Volumenaktivierung auftreten, ist die erste Anlaufstelle das Volume Activation-Betriebshandbuch. Hier findet man weitere Informationen zur Problembehandlung. Das Handbuch enthält auch eine Fehlercodereferenz mit Schritten zur Lösung häufig auftretender Probleme.
Gastbeitrag von Georg Binder, selbständiger IT-Dienstleister und Autor von windowsblog.at.
Nun, unbedarfterweise könnte man ja auf die Idee kommen und einfach einen Rechtsklick auf das Windows Verzeichnis zu machen und auf Eigenschaften zu gehen:
Demnach rund 15 GB und etwas über 86.000 Dateien. Dieser Wert ist… falsch.
Warum? Kann der Explorer denn etwa keine korrekten Werte zurückliefern? Und die Antwort: Kann er tatsächlich nicht, denn der Explorer kann weniger als das Dateisystem NTFS. Das merkt man eh an bestimmten anderen Erlebnissen, wie zum Beispiel das Kopieren von verschachtelten Ordnern, wenn die Pfadlänge zu lang wird. Auch hier streikt der Explorer, während es andere Tools können (wie zum Beispiel das Bordmittel robocopy).
In diesem Fall berücksichtigt der Explorer die Hard Links im Verzeichnis nicht. Hard Links sind – vereinfacht ausgedrückt – einfach Verweise auf eine bereits bestehende Dateien, d.h. anstatt eine Datei tatsächlich mehrfach auf der Platte zu haben, wird nur darauf verwiesen. Für ein Programm (wie auch den Explorer) scheint diese Datei dann auch tatsächlich mehrfach zu existieren,…
Hintergrundinfo zu Hard-Links und Symbolic Links:
Ok… und wie groß ist der Ordner jetzt wirklich?
Nachdem mich der Explorer also im Stich lässt, verwende ich beispielsweise das Kommandozeilentool ctTrueSize. Das kann die korrekte Ordnergrößen unter Berücksichtigung von NTFS-Spezialitäten wie Soft- und Hardlinks, komprimierten Dateien und Alternate Data Streams (ADS) berechnen:
Und siehe da, es sind (“nur”) 11,6 GB statt 15 und immerhin 24.000 Dateien weniger…
Download: http://www.heise.de/software/download/cttruesize/50272
Ergänzend zu dem Artikel noch ein weiteres Programm, das den verwendeten Schlüssel wieder auslesen kann. Es dekodiert den in der Registry gespeicherten Wert, im Falle von Windows unter HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion den Wert DigitalProductId.
Hier mein Christian völlig richtig: da braucht es doch kein eigenes Programm, wenn man doch die PowerShell hat: Windows Product Key per Powershell auslesen Ähm, ja… aber ein wenig bequemer ist es schon mit ProduKey.
ProduKey kann (im Gegensatz zu dem im anderen Artikel geposteten Programm) auch den 2010er Schlüssel auslesen:
Quelle: http://www.intowindows.com/how-to-recover-office-2010-product-key/
Die Basis dafür liefert eine völlig neue Anwendungsplattform aus .NET, Silverlight und XNA - dazu gibt es kostenlose Tools für alle. Wie diese verwendet werden und was es beim Einstieg in die Entwicklung für die neue Plattform zu wissen und zu beachten gibt, vermittelt dieser TechTalk – auch für Besucher, die bislang noch nichts mit "mobiler" Entwicklung zu tun hatten.
Bei Windows Phone 7 ist aller Anfang leicht!
Daten/Locations
Anmeldung
http://www.microsoft.com/germany/msdn/techtalk/WindowsPhone7.mspx
Update
Da wir schon beim Thema Windows Phone 7 sind: Frank Fischer schickt mir gerade noch Informationen zum Windows Phone 7 Coding Camp hin. Du bist Student und träumst davon, eigene Apps für Windows Phone 7 zu entwickeln? Dann hast Du noch diese Woche Zeit, Dich zu bewerben. Unter dem Motto "Entdecke die neue Welt des Mobile Developments!" veranstaltet Microsoft vom 7.-9. Mai 2010 auf der alten Ritterburg Burg Freusburg in einem unvergleichlichen Ambiente ein Entwicklercamp für Studierende. Gemeinsam mit den Experten Frank Prengel (auch bekannt als Dr. Mobile), Oliver Scheer (alias Mr. deep zoom) und Tom Wendel (alias the ant man) erwartet Dich die ultimative Coding-Erfahrung! Melde Dich jetzt hier an und sichere Dir einen der 30 Plätze!
Microsoft Technical Consultant Thomas Drechsler bietet einen 1-Tages Hands-On-Lab (HOL) Workshop zu den Deployment und Migrationstechniken für Windows 7 an. Der Kurs ist kostenfrei und hilft, einen technischen Einblick in die Einführung von Windows 7 in Unternehmen zu erhalten.
Der Workshop wird in deutscher Sprache gehalten, die HOLs sind auf Englisch. Die Schwierigkeitsstufe ist mit Level 200 angegeben
Inhalt
TechNet: Windows 7 Deployment Workshop (Hands-on-Lab)
München
31.05.2010
Hamburg
02.06.2010
Berlin
08.06.2010
Eschborn
10.06.2010
Köln
15.06.2010
Eine gute Nachricht kurz vor dem Wochenende für alle Anwender, die einen Multitouch-fähigen PC oder Laptop besitzen: Das Microsoft Touch Pack kann jetzt von allen Benutzer eines Original-Microsoft Windows frei heruntergeladen werden.
Microsoft Touch Pack for Windows 7 – Deutsch http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=b152fadd-82e4-4ddb-a46a-aebe49944428
Hier ein Video, dass ich für Golem.de gemacht hatte und in dem einige Touch Pack Anwendungen im Betastadium auf Windows 7 Beta gezeigt werden. Am beeindruckensten ist für mich immer noch Microsoft Globe: