Windows 7 : Security

Was Virenscanner nicht scannen sollten

dmelanchthon — Fri, 13 Nov 2009 09:43:03 GMT

Immer wieder erreichen uns Kundenanfragen, die über mysteriöse Probleme berichten. In diesem Beispiel beschrieb ein Kunde, dass der Rechner ‘irgendwie langsamer’ geworden ist und fand folgenden Eintrag in der Ereignisanzeige: wuaueng.dll (504) SUS20ClientDataStore:...(read more)

Microsoft Security Essentials ist fertig!

dmelanchthon — Tue, 29 Sep 2009 16:30:00 GMT

Da Sicherheitsbedrohungen für heutige PCs immer weiter zunehmen, arbeitet Microsoft aktiv daran, PC-Anwender zu schützen, um ihnen eine sichere und produktive Windows-Umgebung bereitstellen zu können. Zusätzlich zu den Vorteilen der Sicherheitsfunktionen,...(read more)

Keine Gefahr bei aktueller XSS-Schwachstelle in Twitter durch Ruby on Rails mit Internet Explorer 8

dmelanchthon — Fri, 25 Sep 2009 11:50:00 GMT

Wir befnden uns im Jahre 2009 n. Chr. Das ganze Internet war einer Cross-Site Scripting (XSS) Schwachstelle in Rails ausgesetzt ... Das ganze Internet? Nein! Ein unbeugsamer Browser hört nicht auf, XSS-Angriffen Widerstand zu leisten. Scherz beiseite...(read more)

Riesige Sicherheitslücke Bluescreen auf Windows 7

dmelanchthon — Wed, 09 Sep 2009 08:45:00 GMT

Gastbeitrag von Georg Binder , selbständiger IT-Dienstleister und Autor von windowsblog.at . Nicht betroffen: Windows 7 RTM. ;) Ja, aber es macht sich doch einfach besser, wenn Windows 7 in der Überschrift steht. Tatsächlich betroffen ist zwar der RC...(read more)

YinYang

dmelanchthon — Thu, 03 Sep 2009 09:38:10 GMT

Meine britischen Kollegen haben ein ungewöhnliches Projekt rund um Windows 7 und Windows Server 2008 gestartet. In Projekt YinYang werden die neuen Funktionen in Windows 7 und Windows Server 2008 auf eine neue Art und Weise erklärt. Aber seht selbst…...(read more)

Out-of-band release: Kritisches Internet Explorer Sicherheitsupdate

dmelanchthon — Tue, 28 Jul 2009 20:00:00 GMT

Microsoft hat angekündigt, am Dienstag, 28. Juli 2009, gegen ca. 19 Uhr deutscher Zeit außerplanmäßig zwei Sicherheitsupdates zu veröffentlichen, von denen eines als kritisch eingestuft ist. Betroffen sind neben Visual Studio (Microsoft Visual Studio...(read more)

Enterprise Security: AppLocker

dmelanchthon — Tue, 07 Jul 2009 11:19:00 GMT

Gastbeitrag von Georg Binder, selbständiger IT-Dienstleister und Autor von windowsblog.at.

Ein wichtiges Thema für Firmen: welche Software läuft denn auf den Rechnern, was dürfen die Benutzer, was sollen sie nicht dürfen? Selbst wenn die Benutzer nur “Standard Benutzer” sind, dürfen sie schon eine Menge,… einfach ein exe doppelklicken und schon läuft die Software. Solange die Software nicht installiert werden muss,… das kann von “unerwünscht, aber harmlos” gehen (ein Spiel, sol.exe, mohrhuhn.exe) bis sicherheitsrelevant (Google Chrome z.B. installiert sich ähnlich wie Malware im Usermode, da möchte man im Unternehmen vielleicht auch wissen, mit welcher Software Internetverbindungen aufgebaut werden,…) bis superkritisch (echte Malware) sein. Außerdem untergraben unauthorisierte Anwendungen natürlich auch Compliance Bemühungen. Dass hierdurch Helpdesk Cases nicht gerade sinken,.. eh klar.

Windows 7 bietet die Möglichkeit mit “AppLocker” genau zu definieren, was (nicht) laufen darf. Das ganze natürlich per Policy / Gruppenrichtlinien für das Unternehmen steuerbar. AppLocker kann als Weiterentwicklung der Software Restriction Policies gesehen werden, die es aus Kompatibilitätsgründen allerdings noch gibt.

Hier ein kleines HowTo. AppLocker arbeitet mit Regelsets, von denen es drei verschiedene Gruppen gibt, “Ausführbare Regeln”, Installer und Script-Regeln.

Ich lege hier mal eine “Ausführbare Regel” an:

Im ersten Schritt lassen sich nun die Active Directoy Gruppen und Benutzer auswählen, für die man etwas zulassen oder verbieten möchte. Im Normalfall wird man hier mal für alle alles verbieten und nachher mit Whitelist die Ausnahmen definieren. Mit Blacklisting wird man angesichts von mehr als 2 Stück Schadsoftware nicht weit kommen.

Dann wählt man das Kriterium, wie man die gewünschte Software identifiziert:

Liest sich von unten schlecht bis oben gut, im Detail, fangen wir unten an:

Dateihash: nimmt den Fingerabdruck der Datei. Hier darf man bei jedem Update der Software auch gleich die Regel nachziehen. Nicht empfehlenswert.
Pfad: Zum Beispiel sagt man, dass alles unter \Windows oder “C:\Program Files” erlaubt ist. Einfach. Und keine gute Idee, wenn Benutzer lokale Adminrechte haben, denn dann schiebt man die auszuführende Datei einfach in den freigeschaltenen Ordner und umgeht so den Schutz.
Herausgeber: geht nach Zertifikat der Software – empfohlen, bedingt allerdings dass die Software signiert ist, was bei Eigenentwicklungen eventuell nicht der Fall ist. Aber die Standardsoftware kann man so sehr gut damit abfackeln. Empfohlen.

Hier das Beispiel mit “Herausgeber”. Man wählt eine Referenzdatei, hier im Beispiel den Acrobat Reader:

Mit dem Schieberegler kann nun noch der Detailgrad verändert werden, z.B. benutzerdefinierte Werte, erlaube alles ab Vesion 9 und höher, womit ich quasi einen “Mindeststandard” festgesetzt habe. User die sich bisher erfolgreich gewehrt haben, den Reader zu aktualisieren, werden nett darauf hingewiesen, es nun zu tun (weil alles vor Version 9 nicht geht):

Oder, anderes Beispiel: ich will alles erlauben, was von Microsoft ist und zum Betriebssystem gehört (im übrigen eine recht empfehlenswerte Regel, erleichtert die Bedienung des OS nach einem Policy Update nicht unwesentlich):

Und so weiter,… und damit man nicht alle 1532 verschiedenen Programme händisch hinzufügen muss, kann man auch “Regeln automatisch generieren” wo dann ein Verzeichnis auf Executables gescannt wird und alles gefundene wird dann zur Liste hinzugefügt:

Sicher praktisch um schneller voranzukommen. Ist das alles? Nein, bevor man mit der Regelerzwingung auf scharf schaltet, wird man das mal ein paar Tage im Audit Modus beobachten und die Logfiles auswerten (nicht, dass man gerade die produktion lahm gelegt hätte,…)

Aber ist das alles? Nein, natürlich nicht, da gäbe es noch einiges zu erzählen, wie z.B. dass man AppLocker auch mit PowerShell managen kann, siehe: Getting Started with AppLocker management using Powershell Definitiv ein Thema, mit dem man sich als Firma beschäftigen sollte. AppLocker ist eine Funktion der Windows 7 Enterprise Edition.

Weitere Informationen:

Du sollst BitLocker verwenden.

dmelanchthon — Mon, 06 Jul 2009 17:00:00 GMT

Gastbeitrag von Georg Binder, selbständiger IT-Dienstleister und Autor von windowsblog.at.

Und so schnell kann ein Einbruch geschehen. Während wir am Freitag gemütlich Ripperl essen, hat jemand die Seitenscheibe am Auto eines Freundes (nennen wir ihn N.N.) eingeschlagen. Offenbar hat es sich noch nicht herumgesprochen, dass die SOKO Ost für mehr Sicherheit sorgt. Dürfte sich ausgezahlt haben:

“Alles von Wert ist weg. Laptop, Videokamera, Aufnahmegerät, Webcam, Zusatzakkus, SD-Karten usw. …”

Der Wert der Hardware ist das eine, VIEL schlimmer sind die Daten, vor allem wenn es sich eben nicht nur um private Daten handelt, sondern auch um Firmendaten, die der Geheimhaltung unterliegen. N.N. kann nur hoffen, dass der Dieb nur am Gerät interessiert ist. Denn sonst hat N.N. ganz andere Probleme, …

Die Erkenntnis kommt,…

“Am neuen Laptop ist BitLocker das erste, was ich aktiviere.”

Gute Idee. Die Enterprise und Ultimate Editionen von Vista/Windows 7 kennen die BitLocker Laufwerksverschlüsselung. Das ist eine Pre-Boot Verschlüsselung im Zusammenspiel mit einem privaten Zertifikat am Mainboard (TPM-Chip), wo der physische Zugriff auf das Gerät noch nicht heißt, dass man auch Zugriff auf die Daten bekommt. Die Standard-Schmähs (Festplatte wo anders einbauen, oder von Alternativ-Medium booten) hauen da nicht hin.

Ich hab mir die Mühe gemacht und über Nacht mein Gerät wieder entschlüsselt, damit ich die Screens machen kann und verschlüssle derzeit wieder. Hier die “Anleitung” (Weiter, Weiter, Fertig,…)

BitLocker aktivieren
Dazu gibt man im Startmenü “BitLocker” ein, klickt auf die Laufwerksverschlüsselung und aktiviert den BitLocker.

Jetzt wählt man noch optional ein zusätzliches Sicherheitsmerkmal wie einen USB – Schlüssel oder einen PIN. Ich geb’s zu: hab ich nicht. Ohne PIN kommt der Angreifen bis zum Login – wenn er die Bootreihenfolge einhält, das sollte genau genommen gar nicht helfen. Und der USB-Schlüssel wäre sowieso in der selben Notebooktasche,…

Dann muss noch der Widerherstellungsschlüssel gespeichert werden. Schließlich brauchen wir ja auch eine Strategie wenn z.B. der TPM Chip bzw. das Motherboard eingeht.

Zusätzlich – je nach dem was der Administrator für Einstellungen getroffen hat – muss auch eine Verbindung mit der Domain bestehen, damit der Recovery-Key auch im Active Directory gespeichert werden kann. Wenn man das nicht ist,… dann darf man die Einstellungen noch mal machen. Für die Ultimate Variante, die man ja auch als Einzelperson und ohne AD betreiben kann, gilt umsomehr, dass man den Key am besten auch ausdruckt und sicher verwahrt um dann im Desasterfall (mangels Administrator,…) die Verschlüsselung selbst aufheben zu können. @Microsoft: Hier fehlt der “Try again”-Button

Damit’s auch wirklich funktioniert, wird vorab ein Test gemacht, …

Dazu ist dann ein Reboot notwendig:

Nach dem Hochfahren (wenn der Test erfolgreich war), beginnt die eigentliche Verschlüsselung. Und dann dauert es. Der Rechner kann in der Zwischenzeit weiter benutzt werden, was auch gut ist, denn das kann schon mal 6 Stunden dauern (nicht gestoppt, aber es dauert ewig,…).

Tja, und dann würde es mich immer noch ärgern, würde mir wer den Laptop stehlen. Aber ich müsste mir keine Sorgen machen, dass meine Daten in fremde Hände gelangen.

Noch eine Anmerkung: ja, den BitLocker gibt es nur für Enterprise und Ultimate. Bevor wer jetzt wieder trollt, dass die Ultimate so teuer ist (und dabei sein Nicht-Wissen augenscheinlich präsentiert, in dem die FPP Preise statt der Systembuilder Preise genannt werden) hier nur die Frage: wie hoch ist der Schaden, wenn die Daten tatsächlich missbraucht werden?

Angeblich irreparables Leck in Windows 7

dmelanchthon — Mon, 27 Apr 2009 13:14:54 GMT

Am Wochenende konnte man auch im deutschsprachigen Internet über ein angeblich irreparables Leck in Windows 7 lesen. Anbei mal ein Auszug der Artikel:

PC Professionell: Forscher finden irreparables Leck in Windows 7
Eine Sicherheitslücke gibt Angreifern vollen Zugriff auf den Rechner eines Windows-7-Users. Laut den Entdeckern lässt sich das Leck nicht beheben - es handelt sich dabei um einen Design-Fehler des neuen Microsoft-OS.
Macwelt: Windows 7: Sicherheitslücke lässt sich nicht stopfen
Das größte Problem für die Sicherheit von Windows 7 ist dabei, dass gegen diesen Hack kein Kraut gewachsen ist, da es sich um einen systemimmanenten Vorgang beim Start des kommenden neuen Betriebssystems von Microsoft handelt, das wohl bestehen bleibt, solange Windows 7 auf dem Markt ist. Microsoft hat sich bislang nicht zu diesem Exploit geäußert.
derStandard.at: Experten finden vermeintlich "unlösbares" Sicherheitsproblem
Dass die Experten von einem "unlösbaren" Problem sprechen, liegt daran, dass man auf einen grundlegenden Design-Fehler von Windows abziele, wie die VBootkit-Erfinder betonen - den Umstand, dass das Microsoft-Betriebssystem davon ausgeht, dass der Boot-Prozess prinzipiell "sicher" ist.

Die Quelle der Artikel ist der englischsprachige Artikel Researchers show how to take control of Windows 7:

Researchers Vipin Kumar and Nitin Kumar used proof-of-concept code they developed, called VBootkit 2.0, to take control of a Windows 7 virtual machine while it was booting up. They demonstrated how the software works at the conference.
There's no fix for this. It cannot be fixed. It's a design problem," Vipin Kumar said, explaining the software exploits the Windows 7 assumption that the boot process is safe from attack."

Zu dem vorgestellten Angriff muss man wissen, dass man dafür physikalischen Zugriff auf den Computer benötigt. Gemäß den 10 Immutable Laws of Security greift hier If a bad guy has unrestricted physical access to your computer, it's not your computer anymore. Weiterhin muss man in der Lage sein, den Rechner von einem anderen Datenträger booten zu können. In diesem Beispiel denke ich, wird zuerst ein ISO-Image mit den 3KB vbootkit 2.0 Code gemounted und dann davon gebootet. Das ISO enthält dann einen manipulierten Master Boot Record (MBR), welcher eEye BootRoot-Techniken nutzt, um den Wechsel des Prozessors in den Protected Mode und die Zeit, nachdem der Kernel vollständig geladen ist, zu überbrücken.

In Summe ist das nicht wirklich etwas Neues. Die gleiche Technik nutzte Derek Soeder in seinem Vortrag auf der Black Hat USA 2005. Theoretisch sind damit auch alle anderen Windows-Versionen, Linux, Mac OS X, etc. angreifbar, weil alle keine Überprüfung des Bootpfades durchführen und darauf vertrauen, dass die jeweilig vorherige Bootinstanz schon keine bösen Sachen macht.

Was in all den Artikeln jedoch verschwiegen wird, ist die Tatsache, dass Microsoft schon bei der Entwicklung von Windows Vista derartige Angriffsszenarien auf dem Radar hatte und mit Bitlocker eine Lösung implementiert hat, die auch gegen die in den obigen Artikeln beschriebene Angriffstechnik wirksam schützt. Wie schon damals lautet auch heute die Antwort Bitlocker mit Secure Startup. Das Design von Bitlocker sieht gerade den Schutz des Rechners gegen Angreifer mit physikalischem Zugriff vor.

Wer die technischen Details kennenlernen möchte, wie Bitlocker dagegen schützen kann, dem empfehle ich den englischsprachigen Artikel meines Kollegen Robert Hensing VBootkit vs. Bitlocker in TPM mode vom 5. April 2007.

Natürlich sind diese Funktionen auch in Windows 7 enthalten. Daher sind die Aussagen, dass es sich um ein Designproblem von Windows 7 handelt und es keinen Fix dagegen geben würde, schlicht falsch. Es sei denn, man würde dem Angreifer freiwillig auch noch seinen Bitlocker-Schlüssel geben. Dazu fand ich einen passenden Kommentar im Windows 7 Forum auf connect.de:

Wow, was für ein katastrophaler Bug... Wenn ich einem Dritten den Schlüssel für mein Auto gebe, dann kann er ggf. auch einfach damit wegfahren.

Direct Access in Windows 7 – immer im Firmennetz

dmelanchthon — Mon, 09 Feb 2009 13:21:00 GMT

Gastbeitrag von Steffen Krause, Technologieberater für die Application Platform bei der Microsoft Deutschland GmbH.

Für jemanden, der so viel unterwegs ist wie ich, gibt es beim Zugriff auf Ressourcen im Firmennetz zwei Welten: Entweder ich bin (selten genug) im Büro, oder ich bin es nicht und muss mich erst mit dem Firmennetz verbinden, um auf interne Rechner, SharePoint Sites oder Fileshares zuzugreifen. Email ist ja glücklicherweise seit Outlook RPC über https kein Thema mehr.

Bisher gibt es für den Zugriff auf andere firmeninterne Daten für mich 2 Wege:

VPN: Ich kann mich über eine (Smartcard-gesicherte) VPN Verbindung in die Firma “einwählen” und habe damit eine Verbindung, als wäre ich im Firmennetz. Nachteile: Die Einwahl dauert (vor allem wegen der Sicherheitschecks) eine ganze Weile. Und wenn ich über VPN im Firmennetz bin, dann bin ich es ganz. Auch der Aufruf von Internet-Seiten geht dann über die Firmenproxies. Das verlangsamt Internetzugriffe natürlich.
Terminal Services über TS Gateway, TS Web Access, Remote Desktop und TS RemoteApp™: Kurz gesagt kann ich damit eine Extranet-Seite aufrufen, die mir über Terminal Services den Zugriff auf Rechner und Anwendungen im Firmennetz ermöglicht. Ich kann also zum Beispiel einen Internet Explorer starten, der physisch auf einem Terminal Server im Firmennetz läuft und damit auf firmeninterne Websites zugreifen.
Dank RemoteApp von Windows Server 2008 sehe ich auf meinem Desktop auch nur noch die Anwendung, nicht mehr den kompletten Desktop des Terminal Servers. Der offensichtliche Nachteil hier ist, dass es immer noch eine Terminal Services Sitzung ist. Die muss erst aufgebaut werden, Dinge wie das Kopieren von Dateien sind umständlich, und die Anwendungen sind langsamer als lokal.
Die Authentifizierung geht bei Microsoft hier übrigens wieder über Smartcard.

Mit Windows 7 und Windows Server 2008 R2 gibt es nun eine neue Möglichkeit namens Direct Access, die für mich zuerst zu schön klang um wahr zu sein: Ich bin einfach immer, wenn ich mit dem Internet verbunden bin gleichzeitig über einen Tunnel mit dem Firmennetz verbunden. Ich kann also problemlos Intranetsites oder Fileshares öffnen oder mich mit internen Rechnern verbinden sobald ich Internetzugriff habe.

Das Gute daran ist, dass auch wirklich nur Zugriffe auf Firmenressourcen über den Direct Access Tunnel gehen. Greife ich auf eine Internetsite zu, so erfolgt dieser Zugriff anders als bei VPN auf “normalem” Weg und damit auch in normaler Geschwindigkeit. Der Administrator kann dieses Verhalten allerdings auch anders einstellen.

Für mich als Benutzer ist das so einfach, dass ich mir gar keine Gedanken mehr machen muss, was wo liegt. Zugriff auf Firmenressourcen funktioniert einfach. Das einzige, was ich davon merke ist die vorgeschaltete Sicherheit. So ist es beim Microsoft-eigenen Direct Access (DA) Piloten so, dass ich mich auf einem Rechner, der für DA aktiviert ist nur noch mit Smartcard anmelden kann. Ein Benutzername/Passwort Login ist nicht mehr möglich. Ebenso läuft Network Access Protection (NAP) im Enforcement Modus. Das bedeutet: Sobald mein Virenscanner ausgeschaltet oder nicht aktuell ist oder mir Security Updates fehlen war’s das mit dem Zugriff auf das Firmennetz (egal ob über Direct Access oder im Büro): Ich muss erst einen policykonformen Zustand auf dem Rechner haben, bevor ich auf Firmenressourcen zugreifen kann.

Wie funktioniert das Ganze aber nun? Die Kernidee von Direct Access ist, dass ein IPv6/IPSec Tunnel den Client mit einem Direct Access Server (Windows Server 2008 R2) transparent über das Internet herstellt. Der DA Server wiederum leitet dann die Daten zum Zielhost im Firmennetz weiter. Der Administrator kann dabei einstellen, ob alle Firmenrechner zugänglich sind oder nur eine bestimmte Auswahl.

IPv6? Ja, aus Sicht des Clients ist das Firmennetz ein reines IPv6 Netz. Nun hat man aber meist keinen direkten IPv6 Zugang über das Internet. Daher werden je nach Netzwerkzugang (direkt im Internet oder hinter einer Firewall, abhängig von der Firewallkonfiguration) verschiedene IPv6 Tunneltechniken wie 6to4, ISATP, Teredo oder wenn nur http(s) möglich ist IP-HTTPS verwendet, um die Kommunikation zwischen Client und Direct Access Server zu ermöglichen. Nach meiner Erfahrung findet Direct Access so gut wie immer einen Weg, den Tunnel aufzubauen.

Soll ein Rechner im Firmennetz erreicht werden, der kein IPv6 kann wird NAT-PT verwendet. Alle Firmenrechner müssen im firmeninternen DNS eingetragen sein, damit der Client die IPv6-Adresse des Zielservers erhält. Eine Verbindung über IPv4 IP-Adresse funktioniert also nicht.

Direct Access sollte mit zusätzlichen Sicherheitstechnologien kombiniert werden. So ist 2-Faktor-Authentifizierung (zum Beispiel wie bei uns über Smartcard) empfohlen, und auch Network Access Protection sollte verwendet werden, damit keine virenverseuchten Rechner auf diesem Weg Zugang zum Firmennetz erhalten.

Mehr Informationen zu Direct Access gibt es hier:

Gruß, Steffen

Credits to Long Zheng: UAC in Windows 7 gefixed

dmelanchthon — Fri, 06 Feb 2009 12:56:00 GMT

Gastbeitrag von Georg Binder, selbständiger IT-Dienstleister und Autor von vistablog.at, auf dem er seit über zwei Jahren Windows Vista und in Zukunft Windows 7 vorstellt, um sie gemeinsam mit Interessierten zu diskutieren und hinterfragen.

Also mindestens 1000 Kudus gehen an Long Zheng (istartedsomething.com). Die ganze Geschichte zusammengefasst:

Mitte Januar:
Long entdeckt ein Problem mit der UAC. Die lässt sich nämlich durch Scripts automatisch ausschalten, solange man diese nicht auf “ganz scharf” stellt.
Microsoft spricht von einem Feature (“by design”) statt einem Bug (ok, nicht ganz so, aber,…) und schließt entsprechende Bugreports auf Connect.

30. Januar :
Long geht damit öffentlich. Sacrificing security for usability: UAC security flaw in Windows 7 beta (with proof of concept code)

31. Januar:
Microsoft antwortet – und winkt ab. Microsoft dismisses Windows 7 UAC security flaw, continues to insist it is “by design”

04. Februar:
Long besteht drauf. Und zeigt weitere Issues in dem Zusammenhang auf. Second Windows 7 beta UAC security flaw: malware can silently self-elevate with default UAC policy

05. Februar:
Zuerst noch etwas vorsichter Erklärungsversuch über UAC seitens Microsoft: Update on UAC. Und dann am selben Tag die gute Nachricht: Microsoft hört auf das feedback. Und das sogar (lt. Long) besser als ursprünglich von ihm vorgeschlagen: Users prevail: Microsoft changes Windows 7 UAC control panel behavior to address security flaw bzw. vom Engineering Team: UAC Feedback and Follow-Up

Fazit: gut gemacht Long, ok gemacht Microsoft. Das nächste Mal geht’s auch vielleicht ohne öffentlichen Druck, wenn Windows-Fans etwas entdecken.

Einziges Problem: die Änderung wird erst mit dem Release Candidate öffentlich gemacht (auch wenn sie in internen Builds bereits inkludiert ist). Eine Empfehlung könnte für sicherheitsbewusste daher lauten: UAC auf ganz scharf zu stellen. Oder sich zu überlegen, welche Programme (Malware) man startet und brain.exe zu nutzen. Was wohl noch besser wäre,…

Windows 7: VHD Boot, Bitlocker, Sleep und Hibernate

dmelanchthon — Tue, 27 Jan 2009 02:11:00 GMT

So, viele Stunden später… konnte ich zumindest mal einige der (für mich) noch offenen Fragen zu VHD Boot klären.

Kann ich Bitlocker mit VHD Boot verwenden?
Bitlocker funktioniert nur mit Installationen auf physischen Disks. Man kann NICHT von einem VHD File booten, das auf einer Bitlocker verschlüsselten Partition liegt. Man kann aber sehr wohl booten, wenn das VHD selbst auf einer unverschlüsselten Partition liegt (aber Achtung: dann ist das VHD selbst sam Inhalt ungeschützt!).

Getestet Beispiel:

3 Partitionen (Bitlocker Bootpartition, Windows 7 Bitlocker verschlüsselt, Windows Vista unverschlüsselt)
VHD Boot aus einem VHD, das auf der verschlüsselten Partition liegt: Cannot read disk
VHD Boot aus einem VHD, das auf der unverschlüsselten Partition liegt: Ok

Im Prinzip die selbe Sache, wie man Linux oder ähnliches zusammen mit Bitlocker auf eine Disk bekommt.

Kann ich Sleep/Energiesparmodus aus einem VHD-gebooteten System nutzen?
Ja.

Kann ich Hibernate/Ruhezustand aus einem VHD-gebooteten System nutzen?
Nein.

Grund dafür: die Geschichte mit VHD Boot ist eigentlich eine Sache für den Server und wurde für Server im Hintergrund getestet und designed. Da sind Hibernate und Bitlocker nicht unbedingt “kritisch”. Jedenfalls kommt es recht selten vor, dass man einen Server mal eben im Taxi vergisst.

"Run as"

dmelanchthon — Tue, 20 Jan 2009 10:00:00 GMT

Um ein Programm als anderer Benutzer auszuführen, muss man den CMD Befehl runas bemühen. Oder…

Windows Vista
Wie so oft liefert Technical Fellow Mark Russinovich (Sysinternals) ein praktischen Tool namens ShellRunAs:

Windows 7
Kein extra Tool mehr notwendig, einfach SHIFT-Rechtsklick…

Kudos an Max Knor (MSDN Österreich) für den Tipp!

Video: Was ist neu in Windows 7

dmelanchthon — Fri, 19 Dec 2008 19:15:00 GMT

Microsoft stellte vor wenigen Wochen auf der Professional Developers Conference (PDC) in Los Angeles der Welt die nächste Version seines Clientbetriebsystems vor: Windows® 7. Windows 7 baut auf die Grundlagen auf, die mit Windows Vista und Windows Server...(read more)

Verwundbarkeit im Internet Explorer erlaubt Remote Code Execution

dmelanchthon — Wed, 17 Dec 2008 21:17:55 GMT

Am 10. Dezember veröffentlichte Microsoft ein Security Advisory zu der Pointer Reference Memory Corruption Vulnerability ( CVE-2008-4844 ). In dem Microsoft Security Bulletin MS08-078 wurde das Problem detalliert beschrieben und mögliche Maßnahmen...(read more)