Nachdem die Cross-Site Scripting (XSS) Angriffe auf Facebook zunehmen, hat Facebook letzten Donnerstag die Zusammenarbeit mit Web of Trust bekannt gegeben:
https://www.facebook.com/notes/facebook-security/keeping-you-safe-from-scams-and-spam/10150174826745766
Wichtig für jeden “Surfer” ist dabei folgender Hinweis:
“We are also working with the major browser companies to fix the underlying issue that allows spammers to do this. Internet Explorer 9 has already put some protections in place, and we are talking with others about providing similar protections.”
Unter diesem Aspekt sieht Facebook den Internet Explorer 9 derzeit unangefochten an der Spitze der sicheren Browser, da in anderen Browsern (mit Ausnahme von Safari 5.0, der aber nur JavaScript filtern kann) derzeit keine Mechanismen gegen diese Form der Bedrohung implementiert worden sind. Wenn man nun noch zusätzlich sinnvolle Einstellungen bei der Tracking Protection vorgenommen hat, so reduziert sich das Angriffspotential noch mal zusätzlich!
Technische Anmerkung dazu noch von meiner Seite: die XSS Mechanismen sind auch in Internet Explorer 8 schon enthalten und in IE9 noch weiter verbessert worden:
http://blogs.msdn.com/b/ie/archive/2008/07/02/ie8-security-part-iv-the-xss-filter.aspx http://blogs.msdn.com/b/ieinternals/archive/2011/01/31/controlling-the-internet-explorer-xss-filter-with-the-x-xss-protection-http-header.aspx http://windows.microsoft.com/en-US/internet-explorer/products/ie-9/features/cross-site-scripting-filter
Für die Tracking Protection auch mal einen Blick in die IE Gallery werfen: http://iegallery.com/de/trackingprotectionlists/default.aspx und eine der Tracking Protection Lists integrieren.
Übrigens: neben Facebook sieht auch der TÜV Trust IT den IE als sehr sicheren Browser: http://www.it-tuv.com/internet-explorer/
Cheers
Stephanus
Alle, die ggf. den Hinweis auf den “IE9 Firestarter TechDay Online” über sehen haben, hier die Zusammenfassung der Inhalte durch den IE Support Blog:
Die Videos sind jetzt unter http://www.techday.ms/ie9firestarter/default.aspx verfügbar (das Intro noch über das <embed> Tag, die anderen direkt über HTML5 Video. Sollte ihr Browser kein HTML5 können, so installieren sie sich einfach den Internet Explorer 9) :
In der nächsten Woche findet der sog. “TechDay Online” am 17.5. und 18.5. statt. Die Teilnahme ist kostenlos, einfach kostenlos anmelden und einen Blick auf die TechDay Online Seite werfen!
Hier noch die Agenda:
Das Zitat aus der Financial Times Deutschland „Microsoft kann Internet“ zeigt, dass Microsoft sich im Browsermarkt eindrucksvoll zurückgemeldet hat. Schnell, übersichtlich, standardkonform und bestens in Windows 7 integriert, zeigt sich Internet Explorer 9. Nachdem die Beta-Version allein am ersten Tag über eine Millionen Mal heruntergeladen wurde, testen mittlerweile über 20 Millionen Anwender weltweit Internet Explorer 9. In dieser Session zeigen wir die Neuerungen in IE9. Was unterscheidet ihn von seinem Vorgänger und wie positioniert er sich gegen konkurrierende Browser?
Wenn sie hier kein Video sehen, dann unterstützt ihr Browser kein HTML5 Video. Bitte installieren sie sich in diesem Fall den Internet Explorer 9
Internet Explorer ließ sich in der Vergangenheit besonders gut an die Vorstellungen und den Bedarf in Unternehmen anpassen. Tools wie das Internet Explorer Administration Kit (IEAK) helfen bei der Herstellung und Verteilung angepasster Konfigurationen. In der zweiten Session des Tages werfen wir einen Blick auf die Möglichkeiten, Internet Explorer 9 anzupassen und welche Möglichkeiten zur Verteilung angeboten werden.
Viele Webseiten wurden in der Vergangenheit mit besonderen Anpassungen an verschiedene Browserversionen geschrieben. Oftmals wurde dabei nicht berücksichtigt, dass neuere Versionen von Browsern auch neue Möglichkeiten bieten. Diese Session beschäftigt sich mit dem Problem der Abwärtskompatibilität und zeigt, welche Möglichkeiten client- und serverseitig zur Verfügung stehen und wie Microsoft mit IE9 beim Umstieg auf standardkonforme Webseiten hilft.
Das Internet ist kein durchgehend freundlicher Ort. Ein Browser muss daher nicht nur sicher programmiert sein, sondern insbesondere Anwender auch unterstützen, sicher im Internet surfen zu können. Daher schauen wir am Schluß des Tages noch auf sicherheitsrelevante Features wie Hang & Crashrecovery, Tab Isolation, Cross Site Scriptingfilter, Domain Highlighting, Smart Screen Filter und vieles andere mehr. Besonderes Augenmerk legen wir dabei auf eine neue Sicherheitstechnologie "Application Reputation", die in Verbindung mit dem neuen Downloadmanager Anwender unterstützt, die Vertrauenswürdigkeit von heruntergeladenen Dateien einfacher beurteilen zu können.
http://www.techday.ms/ie9firestarter/default.aspx
-Stephanus
http://www.internet-explorer9.de Internet Explorer 9 Security Part 1- Enhanced Memory Protections Internet Explorer 9 Security Part 2- Protection from Socially Engineered Attacks Internet Explorer 9 Security Part 3- Browse More Securely with Pinned Sites Internet Explorer 9 Testsieger der Computer Bild Internet Explorer 9 erhält TÜV Siegel
Nachdem Daniel nun seine neue Herausforderung in einem anderen Segment von Microsoft angetreten hat, haben Lars und ich uns entschieden, dass wir den Blog zu zweit weiter betreiben werden, um euch auch weiterhin mit interessanten Nachrichten rund um das Thema “Windows Client” versorgen zu können.
Damit ihr mich ein bisschen besser kennen lernen könnt hier eine kurze Vorstellung von mir, Lars wird dies demnächst für sich in einem eigenen Post durchführen:
Mein Name ist Stephanus Schulte und ich bin derzeit in der Rolle eines SR Support Escalation Engineer für die Themen Internet Explorer und Windows Basis Betriebssystem unterwegs. Als studierter Systems Engineer hat es mich (als Ex-Studentpartner) vor fast 4 ½ Jahren vom Consulting zu Microsoft getrieben wo ich als Support Engineer eingestiegen bin und mich in der Zwischenzeit in das Escalation Level hocharbeiten konnte. Dies bedingt, dass ich mich auch zunehmend darum kümmere, dass die Technologien Internet Explorer und Windows auch außerhalb meines normalen Kundenkreises verstanden und möglichst optimal genutzt werden können.
Parallel betreibe ich noch mit meinen Kollegen aus dem Internet Explorer Premier Support den dazu passenden deutschen IE Support Blog, werde dies aber bedingt durch den /sieben Blog in der nächsten Zeit zurückfahren.
Um ein besseres Gefühl dafür zu bekommen, welche Themen euch besonders interessieren, würde ich mich freuen wenn ihr mir über die Kommentare kurz Feedback dazu geben würdet, spontan fallen mir z.B. folgende Themen ein:
Bitte versteht, dass wir im Kontext dieses Blogs keine vertraulichen Insights, Gerüchte und/oder Support zu aktuellen oder zukünftigen Produkten bereitstellen können. Wir werden allerdings versuchen hier immer so schnell wie möglich über aktuelle Dinge zu berichten.
Lars und ich freuen uns auf den Blog und hoffen auf reges Feedback!
Viele Grüße
Abkürzung: Du kennst das Pinning schon und willst selber in seine Webseite integrieren?
Einfach mal bei http://buildmypinnedsite.com/ vorbeibrowsen und Step by Step durchgehen!
Wer sich mit dem Thema Internet Explorer 9 beschäftigt wird früher oder später auch über das sog. “Pinning” oder auf deutsch “Anheften” von Webseiten als Anwendungen an die Windows 7 Taskbar stolpern.
Als Benutzer kann ich sehr schnell jede beliebige Seite anheften:
Schaut euch dazu auch mal unsere Video auf Youtube an: Anheften How To:
Sprunglisten How To:
Aus eigener Erfahrung: wenn man sich als User erst mal daran gewöhnt hat, dass die Lieblingsseiten nun “Anwendungen” in der Taskleiste sind, fällt es tatsächlich leichter “mal eben” schnell die News zu checken oder nach Nachrichten zu schauen. Grade für News Seiten und Webemailer lohnt sich daher das Pinning erheblich – sowohl für User als auch für Betreiber! Endlich werde ich per Overlay Icon automatisch benachrichtigt, dass ich eine neue Email, Nachricht, etc. habe – ich muss nicht mehr selber immer überprüfen, ob es was Neues gibt.
Für den Entwickler bieten sich aber mit diesem Feature eine ganze Reihe Möglichkeiten die auf den ersten Blick vielleicht kompliziert wirken, aber eigentlich sehr einfach und schnell implementiert werden können.
Erste Untersuchungen haben zudem ergeben, dass Seiten, die das Pinning implementiert haben, dass die Verweildauer und Häufigkeit der User auf der Anwendung selber stark erhöht wurde.
Um hier jeden Webseitenentwickler zu unterstützten schnellstmöglich die neuen Features auf der eigenen Seite unterzubringen, haben wir heute “Pinning Step by Step” auf http://buildmypinnedsite.com/ veröffentlicht.
Einfach schnell den gewünschten Code für Links, Icons etc. kopieren und dann an die eigenen Notwendigkeiten anpassen.
Wer sich für die Technik dahinter interessiert, dem sei die Blogserie meiner Kollegin Jennifer Marsman ans Herz gelegt:
Auch Daniel hatte sich als mein “Vorredner” schon des Themas angenommen:
Hier noch der Link auf die Pinned Sites in der IE Gallery: http://iegallery.com/de/pinnedsites/default.aspx Wer seine Seite hier integrieren möchte, der kann sich gerne an uns wenden.
Bei Fragen zu dem Anheften/Pinning von Seiten, einfach die Kommentarfunktion nutzen, Lars und ich werden versuchen euch zeitnah zu antworten.
Halbjährlich veröffentlichen wir den sog. “Microsoft Security Intelligence Report” (SIR), aktuell verfügbar der Report des zweiten Halbjahres 2010 – übrigens auch in Deutsch!
Der SIR ist dabei die Zusammenfassung unserer Untersuchungen und Erkenntnisse über die aktuelle Bedrohungslage durch Exploits, Viren, Malware und sonstigen Bedrohungen.
»Security Intelligence Report« Prozess
Insg. sind Jahr über Jahr weniger Sicherheitsprobleme zu erkennen, auch wenn hier sicher noch viel Potential vorhanden ist.
Jeder Interessierte kann sich das Dokument unter http://www.microsoft.com/security/sir/default.aspx kostenlos in verschiedenen Sprachen (English, Deutsch, Französisch,…) herunterladen, wer möchte auch die älteren Versionen über die Download Library.
Ich möchte die Gelegenheit nutzen und an alle diejenigen, die nach wie vor das in die Jahre gekommene Windows XP einsetzen, appellieren sich dringend Gedanken über die Migration zu Windows 7 zu machen, denn im Vergleich mit Windows XP sehen wir deutlich (!!) weniger Infizierungen von Windows 7 Systemen (64bit noch mal gut 35% vor 32bit):
Angefangen mit Windows Vista und fortgesetzt mit Windows 7 haben wir sehr viele Verbesserungen an der Sicherheit des Betriebssystems vorgenommen. Insb. auch in Zusammenspiel zwischen Browser (IE8/9) und Sicherheitsmechanismen des Betriebssystems, Stw. Protected Mode und Integrity Modes hat sich viel getan und den Internet Explorer zusammen mit Windows 7 zum sichersten Browser auf der Microsoft Architektur gemacht.
Siehe auch: ITPro: Windows 7 Security Enhancements http://technet.microsoft.com/en-us/library/dd560691.aspx Consumer: Windows 7: Explore new and improved security features http://www.microsoft.com/security/pc-security/windows7.aspx
Sicherheit sollte jedem am Herzen liegen, daher bitte immer auf aktuelle Versionen und Sicherheitswarnungen achten – auch bei nicht-Microsoft Anwendungen!
Ich freue mich als ersten “produktiven” Post euch darüber informieren zu können, dass der Internet Explorer 9 nach ausführlichen Tests das Siegel der TÜV Trust IT erhalten hat.
„Der Internet Explorer 9 hat gegenüber seinem Vorgänger noch mal eine ordentliche Schippe draufgelegt“, so Detlev Henze, Geschäftsführer der TÜV TRUST IT GmbH. „Die neue Version des Browsers bietet dem Nutzer eine breite Palette an neuen und verbesserten Funktionen, um seine Privatsphäre zu schützen und die Sicherheit beim Surfen zu erhöhen. Mit einer speziell für dieses neue Feature entwickelten Tracking-Schutz-Liste werden wir selbst aktiv zu noch mehr Sicherheit im Internet beitragen.“
Lest den gesamten Zertifizierungsprozess unter: http://www.it-tuv.com/internet-explorer/ und die offizielle Pressemitteilung hier: http://www.microsoft.com/germany/presseservice/news/pressemitteilung.mspx?id=533368
Auch wenn der Blogeintrag schon älter ist (1. Juli 2010), wird das Thema zunehmend relevanter, daher heute ein Gastbeitrag von Roland Wacker, Escalation Engineer im Active Directory Premier Support und Hauptansprechpartner für den “Aktives Verzeichnis Blog”:
http://blogs.technet.com/b/deds/archive/2010/07/01/verzoegerung-beim-laden-des-gecachten-roaming-user-profiles-wenn-man-zum-internet-provider-verbunden-ist.aspx
Hallo, hier wieder einmal Rol.
Dieses mal mit einem Thema zu Roaming User Profiles. Diese gehören ja bei vielen Unternehmen inzwischen zum Standard, auch für Laptops. Die nimmt man dann auch gerne mit nach Hause und verwenden, da man nicht mit dem Firmennetz verbunden ist, somit die lokale Kopie des eigenen User Profiles. Soweit alles erstmal kein Problem. Nur stellt man fest, daß sobald man mit dem WLAN/DSL Internet Provider verbunden ist, es deutlich länger dauert, bis das gecachte Profil geladen ist. Das lange Starren auf den Running Donut zehrt jedoch nun etwas an den Nerven. Ist man vom Provider getrennt, geht es deutlich schnell, teilweise 3-5min.
An was kann das nun liegen? Hier gibt uns ab Windows Vista das GPSVC Logging gute Informationen. Aktivieren kann man das zugehörige ETL Logging wie im folgenden Technet Blog beschrieben: http://blogs.msdn.com/b/spatdsg/archive/2007/02/07/userenv-vista.aspx. Allerding kann das erzeugt Log nur Microsoft intern ausgewertet werden, dazu wird der Source Code benötigt. Nicht ideal aber ein Grund mehr, die Ergebnisse in diesem Blog zu veröffentlichen.
Sucht man im konvertierten Text-Log nach den größten Verzögerungen, wird man schnell fündig:
[1] 03A8.17F4::05/21/2010-12:15:58.778 [profsvc](:_CheckIpNetworkSlowLink:network_cpp443) Got profile server name PROF-SRV1.contoso.com [0] 03A8.17F4::05/21/2010-12:15:58.924 [profsvc](:_CheckIpNetworkSlowLink:network_cpp475) IP Address = 80.156.86.78 [0] 03A8.17F4::05/21/2010-12:15:58.924 [profsvc](:_CheckIpNetworkSlowLink:network_cpp475) IP Address = 62.157.140.133 [0] 03A8.17F4::05/21/2010-12:15:58.925 [userenv](:PingComputerEx:util_cpp273) PingComputer: PingBufferSize set as 2048 [0] 03A8.17F4::05/21/2010-12:15:58.926 [userenv](:PingComputerEx:util_cpp332) PingComputer: Adapter speed 5500000 bps [0] 03A8.17F4::05/21/2010-12:16:03.571 [userenv](:PingComputerEx:util_cpp397) PingComputer: First send 0x858c9d3e failed with 11010 [0] 03A8.17F4::05/21/2010-12:16:08.579 [userenv](:PingComputerEx:util_cpp397) PingComputer: First send 0x858c9d3e failed with 11010 [0] 03A8.17F4::05/21/2010-12:16:13.571 [userenv](:PingComputerEx:util_cpp397) PingComputer: First send 0x858c9d3e failed with 11010 [0] 03A8.17F4::05/21/2010-12:16:13.571 [userenv](:PingComputerEx:util_cpp511) PingComputer: No data available [0] 03A8.17F4::05/21/2010-12:16:13.572 [profsvc](:_CheckIpNetworkSlowLink:network_cpp502) PingComputer failed, hr = 8007003B [0] 03A8.17F4::05/21/2010-12:18:25.096 [profsvc](:_CheckFileSystemSlowLink:network_cpp576) Tick Count = 59998 [0] 03A8.17F4::05/21/2010-12:18:25.096 [profsvc](:CUserProfile::CheckRupSlowLink:profile_cpp1835) The profile is across a slow link [0] 03A8.17F4::05/21/2010-12:18:25.096 [profsvc](:CUserProfile::CheckRoamingProfile:profile_cpp1441) Slow link detected, disable RUP [0] 03A8.17F4::05/21/2010-12:18:25.096 [profsvc](:CUserProfile::CheckLocalProfile:profile_cpp2153) Checking Local Profile ...
Dem Windows Client ist der Profil-Server Name PROF-SRV1.contoso.com bekannt und er macht bei aktiver Netzwerkverbindung auch den Versuch der Namensauflösung – und erhält erstaunlicherweise vom Provider zwei IP Adressen, obwohl dieser doch eigentlich den DNS Namen PROF-SRV1.contoso.com gar nicht kennen dürfte. Im Anschluß macht er dann Ping-Prüfungen zur Slow-Link Detection, bis er feststellt, daß das doch alles nicht geht (Fehler 8007003B = ERROR_UNEXP_NET_ERR “An unexpected network error occurred.”) und letztendlich dann den lokalen Profile Cache lädt.
Wie man sieht, wurden anstelle des zu erwartenden Fehlschlagens der Namensauflösung vom Provider IP Adressen zurückgegeben. Das in der Folge den Profile Service dann ordentlich durcheinander gebracht.
Ursache hierfür ist, daß einige Provider standardmäßig sogenannte Navigationshilfen implementiert haben. Das soll helfen bei Fehleingaben im URL Alternativen zu finden, äußert sich andererseits aber wie DNS Spoofing mit ungewünschten Effekten. Und der in diesem Blog beschriebene ist nur einer davon.
In unserem Beispiel ist der Provider T-Online und gibt bei der Namensauflösung nach PROF-SRV1.contoso.com die IP Adresse 80.156.86.78 zurück, diese ist aber von navigationshilfe1.t-online.de. Test mit Ping:
C:\>ping navigationshilfe1.t-online.de Pinging navigationshilfe1.t-online.de [80.156.86.78] with 32 bytes of data: Request timed out. Request timed out. Request timed out. Request timed out. Ping statistics for 80.156.86.78: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)
Vermutlich bekommt man bei der DNS Auflösung nach GibtsGarNicht.contoso.com auch diese IP zurück. Ein IPCONFIG /DISPLAYDNS oder Trace sollte es zeigen.
Hintergrund ist die sogenannte Navigationshilfe für das Web-Browsing. Hierbei wird statt des technisch zutreffenden Fehlers, daß das DNS Ziel nicht gefunden wird, vom Provider eine Alternative zurückgegeben. Beim Browsen werden hier dann ähnliche Web-Domänen angeboten. Die Thematik der Navigationshilfen ist auch im Web zu finden, ein Beispiel zum Zeitpunkt der Veröffentlichung dieses Blogartikels ist: http://www.teltarif.de/t-online-navigationshilfe/news/33799.html Hier wird auf den Sinn und Zweck der Navigationshilfen eingegangen und am Beispiel von T-Online erklärt wie man die Navigationshilfe auch abschalten kann.
Wer also auf die entsprechende Navigationshilfe verzichten kann und sich zutraut, bei offensichtlichen Fehleingaben den URL selbst zu korrigieren, der sollte bei der Verwendung von Firmen-Laptops zu Hause das Provider Feature wohl besser abstellen.
Damit frohes Schaffen, auch zu Hause! Euer Rol
Gerne mache ich an dieser Stelle auf unseren nächsten TechDay Online zum Thema Windows 7 Deployment aufmerksam – am 8. oder 9. Juni kostenfrei im Web. Welche Tools stehen mir für die Bereitstellung von Windows zur Verfügung, was muss ich beachten, etwa bei der User- und Datenmigration? Fragen, die registrierte Teilnehmer übrigens nach den ab 13.30 Uhr gestreamten Videotutorials im Expertenchat stellen können.
Weitere Informationen und Anmeldung (wer nicht will findet dort auch eine Kalendar-Erinnerungsfunktion) auf TechDay.ms. Die komplette Agenda finden Sie hier
Da wir öfter das Thema “was passiert, wenn auf meinem Firmennotebook zu Hause mein Passwort abläuft” hören, möchten wir heute etwas Einblick dazu geben. Autor ist mein Kollege Roland Wacker, Escalation Engineer im Premier Active Directory Team und Owner des DEDS Blogs: http://blogs.technet.com/b/deds/archive/2011/05/24/aendern-abgelaufener-benutzerkennwoerter-nach-vpn-einwahl-mittels-switch-user.aspx
Hallo, hier wieder einmal Rol, heute mit einem Thema zu abgelaufenen Benutzerkennwörtern und Swich User. Für diejenigen, welche sich evtl auch schon unter Vista mit dem Feature befasst haben, ist das vermutlich nichts Neues. Jedoch gibt es einige Windows 7 Rollout Situationen, wo das Thema durch den Umstieg von XP und dem ungewohnten Verhalten wieder interessant wird. Im aktuellen Szenario hatte der Benutzer die Notification Balloons zur Passwortänderung nicht wahrgenommen. Mit seinem Laptop hatte er hauptsächlich mit Cached Credentials gearbeitet und sich nur gelegentlich mit VPN ins Firmennetz verbunden (ob eine Einwahl oder ggf sogar eine direkte Passwortänderung beim Einwahlvorgang ermöglicht wird, wenn das Passwort schon abgelaufen ist, ist natürlich abhängig vom VPN Client). Problem: Inzwischen war jedoch sein Passwort abgelaufen, was zunächst keinen Einfluß auf die Anmeldung mit Cached Credentials hatte. Nach gelungener VPN Einwahl und dem Sperren des Windows 7 Clients, begannen dann aber die Probleme. Ein Entsperren war nicht mehr möglich, folgende Meldung war erschienen:
Der gewitzte Benutzer hatte dann zwar herausgefunden, daß er sich zwar wieder mit Cached Credentials anmelden kann, wenn er das Netzwerkkabel gezogen hatte - aber der Zugriff auf Netzwerkressourcen über VPN war ihm weiterhin verweigert worden. Er kann in dem Zustand mit abgelaufenen Passwort kein gültiges Ticket erhalten.
Spielen wir jetzt doch einfach den Vorschlag aus obiger Fehlermeldung durch, die Passwortänderung mittels “Switch User” durchzuführen.
Anmerkung: Um das Verhalten bei abgelaufenen Passwort nachzustellen, habe ich in meiner Testumgebung für den Domänenbenutzer RW8R2\User1 dessen User Attribut pwdLastSet im Active Directory mit ADSIEdit.msc auf den Wert “0” gesetzt, was einem abgelaufenen Passwort gleichkommt.
Wenn wir bei obiger Meldung “OK” drücken, erhalten wir zunächst wieder den Entsperr-Dialog mit Passworteingabe.
Diesen brechen wir jedoch mit “Cancel” ab und erhalten dann den allgemeinen Entsperr-Dialog.
Hier können wir jetzt die "Switch User" Option auswählen.
Im “Switch User” Dialog wählen wir jetzt “Other User” aus.
Wir geben hier dann aber wieder User1 an, dessen Session derzeit nicht entsperrt werden kann. Da eine Verbindung zum DC nun jedoch möglich ist, bekommt Winlogon über den Netlogon Dienst mitgeteilt, daß das Passwort geändert werden muß.
Nach Bestätigen mit “OK” erscheint nun der Passwort-Änderungsdialog.
Hier haben wir nun Gelegenheit, das abgelaufenen Passwort zu ändern. Die Änderung erfolgt im Active Directory als auch in den lokalen Cached Credentials.
Wenn wir nach erfolgreicher Änderung hier “OK” klicken, landen wir automatisch in der vorher gesperrten User Session und können direkt weiterarbeiten.
Seit Vista gibt es übrigens einen Fix, der den Vorgang ermöglicht, auch wenn Fast User Switching sonst deaktiviert ist. Siehe KB Artikel 958900 Error message when you try to unlock a Windows Vista-based or a Windows Server 2008-based computer that has the Fast User Switching feature disabled: "The password for this account has expired"; http://support.microsoft.com/default.aspx?scid=kb;EN-US;958900
Ich hoffe das bringt ein wenig Klärung zum Thema Passwortänderung mittels “Switch User”.
Damit sonnige Mai-Grüße aus München, Rol