Gleicher Name, gleiches Kennwort …

und der Zugriff klappt in einem Windows-Netzwerk … dachte ich jedenfalls bis jetzt. Heute wurde ich eines Besseren belehrt. ūüėČ

Szenario eins: Anmeldung an Windows 10.0.10240 mit einem lokalen Konto. Zugriff auf Netzwerkfreigaben im Arbeitsgruppennetzwerk (mit Benutzer + Kennwort-Kombination, die auf der Freigabe als berechtigt hinterlegt ist):
Server 2012R1 … funktioniert
Windows 8.1 ….. funktioniert
Windows 10 …… funktioniert

Szenario zwei: Anmeldung an Windows 10.0.10240 mit einem Microsoft Konto. Zugriff auf Netzwerkfreigaben im Arbeitsgruppennetzwerk (mit Benutzer + Kennwort-Kombination, die auf der Freigabe als berechtigt hinterlegt ist):
Server 2012R1 … funktioniert
Windows 8.1 ….. funktioniert nicht
Windows 10 …… funktioniert nicht

Mit etwas Gl√ľck st√∂√üt man nach einigem Suchen auf die Information, dass der Zugriff mit Anmeldeinformation der Form Maschine\Benutzer erfolgen muss, damit dieser nicht zur√ľckgewiesen wird.

Es welchem Grund Microsoft das Verhalten f√ľr lokale und Microsoft Konten unterschiedlich designed hat, wei√ü – wenn √ľberhaupt – wohl nur Microsoft.

Ende von StartSSL Free im kommerziellen Umfeld?

Vor zwei Tagen habe ich bei start.com ein kostenloses Class 1 X.509 SSL-Zertifikat ‚ÄěStartSSL Free‚Äúf√ľr ein kleines Unternehmen beantragt, Zweck sollte der Zugriff von mobilen Ger√§ten auf den internen Exchange-Server sein.

Die Registrierung als Benutzer verlief problemlos, ebenso die Einreichung des CSR. Dann jedoch erreichte mich folgende Nachricht von StartCOM: „… The request for a server certificate for <Domain> has been declined. For more information please contact us. Thank you!

Das tat ich dann auch, hier der relevante Teil der Antwort: “

Thank you for requesting a digital certificate with us. However Class 1 certificates are not meant to be used for commercial activities or financial transactions according to our policy. For this purpose please consider upgrading to Class 2 or higher verification level.

 Please see https://www.startssl.com/?app=32 about how to enroll.

¬†Thank you for your understanding.“

Nach erneuter Kontaktaufnahme und Hinweis darauf, dass in den Policies von StartCom eine Einschränkung auf private Verwendung nicht zu finden ist, kam nichts mehr. Weder eine Antwort noch ein Zertifikat.

Ralph Lehmann
Computerservice und IT-Beratung Leipzig

PDF Creator 1.4.1 – Vorerst keine weiteren Installationen auf Kunden-PCs

Im Forum von pdfforge macht sich derzeit einiger Unmut breit. Den Entwicklern des PDF Creator wird von einigen Benutzern vorgeworfen, bei der Installation der Software quasi „durch die Hintert√ľr“ AdWare (derzeit SweetIM, AVG¬†Toolbar und IncrediBar)¬† zu verbreiten.

Nach eigenen Tests konnte ich feststellen, dass zwar (wie von den Entwicklern im Forum beteuert) die Installation dieser zus√§tzlichen Software grunds√§tzlich vermieden werden kann. Richtig ist allerdings auch, dass der Installationsdialog – sehr vorsichtig ausgedr√ľckt – nicht gerade dazu beitr√§gt, die Installation dieser potentiell aus Sicht des Benutzers unerw√ľnschten zus√§tzlichen Software (die obendrein derzeit nur mit erheblichem Aufwand spurlos entfernt werden kann) zu vermeiden.

Ich werde deshalb bis zur endg√ľltigen Kl√§rung des Problems zu meinem gro√üen Bedauern den an sich hervorragenden PDF Creator aus Sicherheitsgr√ľnden nicht mehr auf den Computern meiner Kunden installieren k√∂nnen.

Schade.

Computerservice und IT-Beratung Leipzig
Ralph Lehmann

Das halb-automatische Adobe Flash-Player Update

Einige Administratoren d√ľrften h√∂rbar aufgeatmet haben, als Adobe seinem Flashplayer im M√§rz diesen Jahres eine automatische Update-Funktion spendierte. Denn veraltete Flash-Versionen gelten seit langem als eines der Haupeinfallstore f√ľr sch√§dliche Software. Und Flash-Player veralten ziemlich schnell.

Seitdem ist scheinbar alles sehr einfach – einmal mit administrativen Rechten die automatische Aktualisierung zulassen, und ab sofort k√ľmmert sich der Windows-Taskplaner resp. die Aufgabenplanung im Stundentakt um die Beschaffung und Installation neuer Player-Versionen.

Schade und ziemlich gef√§hrlich ist allerdings, dass Adobes neueste Versionen¬† 11.3.xxx vom Auto-Update nicht auf den Windows-PC geladen und installiert wird und die Version 11.2.xxx nicht l√§nger automatisch mit Updates versorgt wird. Wer sich also blind auf den Update-Mechanismus verl√§sst, ist ziemlich schlecht beraten und wom√∂glich noch st√§rker gef√§hrdet als fr√ľher, weil sie/er sich in tr√ľgerischer Sicherheit w√§hnt.

Computerservice und IT-Beratung Leipzig
Ralph Lehmann

GEMA Trojaner und BKA Viren – Noch immer voll im Trend

Es ist schon eine Weile her, seit die ersten Exemplare dieser Art von Erpressungs-Software auftauchten, aber nach wie vor scheint die Anzahl der betroffenen PC-Benutzer ziemlich hoch zu sein.

Es erscheint mir deshalb angebracht, aus den zahllosen im Internet verf√ľgbaren Tipps jene zusammenzufassen, die im Schadenfall gute Aussicht auf Erfolg haben.

Methode 1 (radikal, aber grunds√§tzlich totsicher): Sichern Sie Ihre Daten (aber das tun Sie ohnehin regelm√§√üig, oder??), installieren Sie alles neu, bringen Sie Windows und alle Programme auf den aktuellen Stand, pr√ľfen Sie Ihre Datensicherung auf sch√§dliche Software und spielen das Backup schlie√ülich zur√ľck.

Methode 2 (derzeit ziemlich sicher): Besorgen Sie sich eine Kaspersky Rescue Disk 10 incl. Widowsunlocker. (Sollte Ihr PC √ľber kein CD-Laufwerk verf√ľgen, k√∂nnen Sie den Inhalt des CD-Abbildes mit Hilfe eines speziellen Tools auf einen USB-Sick kopieren.) Laden Sie die Anleitung zur Notfall-CD herunter und informieren Sie sich √ľber die Vorgehensweise. Lesen Sie auf der Webseite zu Windowsunlocker nach, wie dieser bedient wird.

Bereinigen Sie schließlich gem. der Anleitungen die Windows-Registrierung und eliminieren Sie die schädliche Software.

Beachten Sie, dass der WindowsUnlocker nur einige Schl√ľssel automatisch auf korrekte Werte √ľberpr√ľft und ggf. zur√ľcksetzt. Es k√∂nnte also erforderlich sein, mit Hilfe des auf der CD enthaltenen Registrierungs-Editors weitere Eintr√§ge von Hand zu korrigieren.

Methode 3 (f√ľr Laien nicht emfehlenswert): Besorgen Sie sich eine andere Rescue-Disk. Korrigieren Sie fehlerhafte Registry-Eintr√§ge manuell.

Methode 4: Versuchen Sie es mittels abgesichertem Modus und Systemwiederherstellung. Derzeit kaum empfehlenswert.

Vergessen Sie in keinem Fall, nach der Beseitigung der Malware das Einfallstor f√ľr eventuelle „Nachfolger“ zu schlie√üen.

Computerservice und IT-Beratung Leipzig
Ralph Lehmann

Nachtrag (22.03.2012): Ein neues Mitglied dieser Erpressungs-Software hat das Licht der Welt erblickt. Es ist der GVU-Trojaner. An den „Features“ hat sich allerdings nicht viel ge√§ndert.

Aufmerksam machen möchte ich an dieser Stelle außerdem noch auf eine Sammlung von lesenswerten  Sicherheits-Hinweisen von Ukash.

Kommentar zu den „BSI-Empfehlungen zur Cyber-Sicherheit“ (Teil1)

Am 03.02.2012 hat das Bundesamt f√ľr Sicherheit in der Informationstechnik (BSI) L√∂sungsvorschl√§ge zur Konfiguration von PCs unter Microsoft Windows f√ľr Privatanwender einerseits sowie kleine Unternehmen und Selbstst√§ndige andererseits ver√∂ffentlicht. Die Hinweise k√∂nnen auf der Website des BSI eingesehen und von dort auch als PDF heruntergeladen werden.

Da sich beide Versionen nur geringf√ľgig unterscheiden, werde ich hier nur auf die Version f√ľr kleine Unternehmen und Selbstst√§ndige eingehen.

Zitat: „Sofern zus√§tzliche Funktionen … nicht ben√∂tigt werden, sind kostenlose Virenschutzprogramme ausreichend. Dazu z√§hlen z.B. Microsoft Security Essentials welches bis zu f√ľnf Lizenzen kostenlos erh√§ltlich ist.“
Anmerkung:
Microsoft Security Essentials ist f√ľr kleine Unternehmen mit bis zu 10 PCs kostenlos verf√ľgbar.

Zitat: „Sofern erforderlich k√∂nnen Sie einige … zus√§tzlichen Funktionen auch mithilfe von kostenlosen L√∂sungen abdecken, z.B. … erweiterte, verhaltensbasierte Erkennung von Schadsoftware mit Threatfire (engl.) …“
Anmerkungen:
a) Threatfire ist nur im privaten Umfeld kostenlos.
b) Eine
verhaltensbasierte Erkennung von Schadsoftware ist in den Microsoft Security Essentials bereits enthalten.
c) Die Qualitätvon Threatfire ist in Fachkreisen nicht gerade unumstritten.

d) Von der Threatfire-Website gibt es auch eine deutsche Version.

Zitat: „F√ľr Backups, also Sicherheitskopien sowohl des Systems als auch Ihrer Daten, k√∂nnen Sie die in Windows 7 eingebaute backup-and-restore Funktionalit√§t verwenden.“
Anmerkung: Man hätte die Funktionalität vielleicht auch Рwie Microsoft Рmit Sicherungs- und Wiederherstellungs-Funktionalität bezeichnen können. Zumal bei einer deutschen Behörde.

Zitat: „Der Kauf einer gesonderten Backup-Software ist unter Windows 7 nicht erforderlich.“
Anmerkung: In dem zitierten Satz fehlt eindeutig ein relativierender Zusatz wie z.B. meistens, gewöhlich oder auch in der Regel.

Zitat: „Insbesondere sollte Ihr Internet-Provider die Abwehr von Botnetzen … mit wirksamen Ma√ünahmen auf demselben Niveau betreiben wie Provider, die in der Anti-Botnet-Initiative zusammengeschlossen sind.“
Anmerkung: Irgendwie frage ich mich, wie der gewöhnliche Kunde eines Internetproviders das beurteilen kann.

Zitat: „Bei allen Anwendungsprogrammen sollten Sie darauf achten, dass die Sicherheitsaktualisierungen vom Software-Hersteller auch tats√§chlich automatisch installiert werden, ohne dass Sie bei den einzelnen Aktualisierungen aktiv werden m√ľssen.“
Anmerkung: Die automatische Aktualisierung ohne Eingriff des Benutzers ist derzeit unter Windows nur eingeschränkt möglich, besonders dann, wenn der Benutzer Рwie von Microsoft empfohlen Рmit einem eingeschränkten Konto arbeitet.

Computerservice und IT-Beratung Leipzig
Ralph Lehmann

Gut zu wissen: Google informiert zu den Themen Passwörter, Phishing, Malware, Sichere Websites etc.

Google hat seine Initiative „Gut zu wissen“ – erreichbar unter http://www.google.de/gutzuwissen – gestartet. Geboten werden leicht verst√§ndliche Informationen zu Computersicherheit, Banking, Datenschutz usw., sch√∂n aufgelockert durch kurze Videos.

Interessant ist außerdem, dass Google bei der Gelegenheit sehr deutlich macht, wie es mit den persönlichen Daten seiner Benutzer umgeht.

Fazit: Unbedingt lesenswert.

Computerservice und IT-Beratung Leipzig
Ralph Lehmann

Hinweise zur Absicherung von Windows basierten Computern

Eigentlich ein alter Hut, aber offensichtlich immer noch nicht bis in den letzten Winkel vorgedrungen: Man kann Windows sicher betreiben! Ein paar Regeln gilt es allerdings einzuhalten, wie folgender Artikel zeigt:

—————————————————————

Ich unterstelle einfach mal, dass Sie sich bereits f√ľr einen Windows basierten Computer entschieden haben. ūüėČ
(Sie werden daf√ľr Ihre Gr√ľnde haben). Unterschiede zwischen den Sicherheitsarchitekturen von Windows, MacOS X, Linux, etc. werden in diesem Artikel nicht debattiert.

Dieser Artikel kann und will das ideologische Minenfeld namens Sicherheit von Windows basierten Computern nicht bis ins letzte behandeln. Weitere Informationen hierzu finden Sie unter anderem auf meiner Website Ralph-Lehmann.de

1.       Auf einem Rechner sollten nur die tatsächlich benötigten Softwarepakete installiert sein.

Zur ¬†Sicherung Ihres Rechners m√ľssen Sie sich zuerst darum k√ľmmern, dass dieser lediglich von Ihnen wirklich ¬†ben√∂tigte Software enth√§lt. Alle Programme, die unn√∂tigerweise auf Ihrem Computer installiert sind, stellen potentielle Sicherheitsl√ľcken dar. Es ist deshalb sehr wichtig, dass Sie entweder die von Ihnen nicht ben√∂tigten Programme vom Computer entfernen, oder aber Windows und die von Ihnen wirklich ben√∂tigten Anwendungen von Hand und sauber neu installieren.

Bedauerlicherweise werden die meisten derzeit verkauften Windows basierten Computern nicht nur mit vorinstalliertem Betriebssystem sondern auch einer Vielzahl von Softwarepaketen geliefert, die Sie wahrscheinlich nie einsetzen werden. Und in der Regel d√ľrfte die Entfernung der von Ihnen nicht ben√∂tigten Tools, Demos, 90-Tage-Testversionen, etc. ¬†einen nicht unerheblichen Zeitaufwand verursachen. Aus diesem Grund ist es meistens einfacher, den Windows basierten Computer von Grund auf und anhand der eigenen Bed√ľrfnisse neu zu installieren.

Am besten verwenden Sie zum aufsetzen Ihres Windows-Systems statt dem vom Hersteller mitgelieferten Wiederherstellungs-Medium eine Original Windows CD bzw. DVD entsprechend der von Ihnen lizenzierten Edition (oder eine DVD, die s√§mtliche Editionen umfasst). Benutzen Sie die Medien des Computerherstellers nur zur Installation der ben√∂tigten Ger√§tetreiber (falls √ľberhaupt notwendig, denn Windows 7 kennt zahlreiche Ger√§te bereits „von Haus aus“). So k√∂nnen Sie vermeiden, dass die zahlreichen o.g. und oft sehr zahlreichen Softwarepakete installiert werden, welche zwar der Quersubventionierung des Computerherstellers dienlich sind – f√ľr Sie hingegen allerdings keinerlei Nutzen haben d√ľrften.

Als Lohn ihrer Sorgfalt erhalten Sie ein schlankes, √ľbersichtliches und mit Sicherheit deutlich schnelleres System.

2.       Halten Sie die auf dem Windows basierten Computer installierten Programme aktuell.

W√§hrend der Einrichtung von Windows werden Sie gefragt, ob Sie das Betriebssystem automatisch auf dem aktuellen Stand halten wollen. Falls Sie zustimmen, bedeutet das allerdings noch nicht, dass alle installierten Microsoft -Anwendungen von Microsoft ebenfalls automatisch aktualisiert werden. Denn hierf√ľr ist die Aktivierung von Microsoft Update erforderlich, und diese m√ľssen Sie manuell erledigen. Bei dieser Gelegenheit sollten sie auch gleich festlegen, dass neben den Sicherheits-Updates von Microsoft die so genannten empfohlenen Updates ebenfalls angewandt werden.

Bitte behalten Sie im Hinterkopf, dass sich Microsoft um die Applikationen von anderen Anbietern gew√∂hnlich nicht k√ľmmert. Zwar bringen einige dieser Programme (z.B. von Adobe oder Google) ihren eigenen Update-Automatismus mit, viele andere m√ľssen Sie jedoch manuell auf dem aktuellen Stand halten.

Es ist deshalb nicht die schlechteste Idee, sich der Dienste von Tools zu bedienen, die s√§mtliche installierten Programme auf dem Computer im Auge behalten. Als Beispiel sei an dieser Stelle das √úberpr√ľfungswerkzeug namens „Updatecheck“ (eine Software der Firma Secunia) genannt, dass im Sicherheitsbereich von Heise online kostenlos verf√ľgbar ist.

3.¬†¬†¬†¬†¬†¬† Beziehen Sie Applikationen von anderen Anbietern nur aus vertrauensw√ľrdigen Quellen.

Wenn Sie im stationären Handel Software erwerben, können Sie davon ausgehen, dass diese keinen absichtlich schädlichen Programmcode enthält. Ebenso können Sie Datenträgern vertrauen, die Sie z.B. beim Kauf einer renommierten Computerzeitschrift erhalten.

Sollten Sie Ihre Software online beziehen, ist wesentlich mehr Vorsicht angezeigt. Achten Sie darauf, nur Programme zu installieren, die Sie von bekannten Plattformen wie etwa Heise online, Chip, PC Welt usw. bezogen haben. Vergewissern Sie sich im Zweifel, dass Sie sich wirklich auf der Website des von Ihnen gewählten Anbieters befinden!

Installieren Sie dagegen nie Software, die Ihnen zum Beispiel ungefragt per E-Mail angeboten worden ist.

4.       Benutzen Sie ein eingeschränktes Benutzer-Konto ohne Admin-Rechte

Verwenden Sie f√ľr die t√§gliche Arbeit ein Benutzerkonto, das nicht zur Installation neuer Programme berechtigt ist und keine √Ąnderungen am System durchf√ľhren darf. Dadurch k√∂nnen Sie vermeiden, dass zum Beispiel durch einen versehentlichen Klick auf einer dubiosen Website Ihr Computer mit Malware verseucht wird.

Ziehen Sie in Betracht, die Ausf√ľhrung von Software mittels Systemrichtlinien weiter einzuschr√§nken. Verhindern Sie zum Beispiel die Ausf√ľhrung von Programmen, die nicht im Windows Verzeichnis oder im Programmverzeichnis liegen. Die Ausf√ľhrung von unerw√ľnschter Software l√§sst sich so in der Praxis so gut wie sicher ausschlie√üen.

5.       Benutzen Sie die Windows Firewall

Seit Windows XP liefert Microsoft einen eingebauten Paketfilter mit. Die Windows Firewall funktioniert erfreulich zuverlässig und drängt sich nicht in den Vordergrund. Sie ist deshalb bestens geeignet, um Ihren sauberen Computer sauber zu halten.

Gelegentlich wird kritisiert, dass die Windows Firewall nicht in der Lage sei, einen bereits infizierten Computer davor zu bewahren, unbemerkt Daten ins Internet zu versenden. Hierzu sei angemerkt, dass diese Aussage zum einen seit dem Erscheinen von Windows Vista grundsätzlich nicht mehr richtig ist. Viel wichtiger ist jedoch, dass der auf einem kompromittieren PC laufenden Sicherheitssoftware ohnehin nicht länger vertraut werden kann. Die Verhinderung ungewollten Daten-Versands in Richtung Internet kann deshalb prinzipiell nicht zuverlässig funktionieren.

Es erscheint au√üerdem zweifelhaft, ob die pausenlose Meldung von vermeintlichen Attacken aus dem Internet (wie es bei vielen Drittanbieter-Produkten √ľbliche Praxis ist) f√ľr die Sicherheit eines Windows PCs tats√§chlich hilfreich ist.

6.       Nutzen Sie einen Anti-Viren-Programm als zusätzliches Sicherheitsnetz

Theoretisch k√∂nnten Sie bei Beachtung der vorherigen Abschnitte auf den Einsatz eines Virenscanners verzichten. Allerdings zeigt sich in der Praxis oft, dass Sicherheitskonzepte L√ľcken haben k√∂nnen und auch ein vorsichtig handelnder Computerbenutzer mitunter Fehler macht. Die Installation eines guten Programms zur Abwehr b√∂sartiger Software ist deshalb in der Regel nicht die schlechteste ¬†Idee.

Bedenken Sie au√üerdem, dass sie im Schadensfall (z.B. wenn von Ihrem verseuchten Computer ohne Ihr Wissen urheberrechtlich gesch√ľtztes Material in alle Welt verbreitet wurde ¬Ö ) von einem Richter gefragt werden k√∂nnten, ob Sie tats√§chlich alles in Ihrer Macht stehende getan haben, um Ihren Rechner nach den Regeln der Technik abzusichern.

iPhone App vom Institut f√ľr Internet-Sicherheit der FH-Gelsenkirchen

Per E-Mail wurde ich darum gebeten, auf die Neuentwicklung einer (oder eines?) App hinzuweisen, die/das gratis √ľber sicherheitsrelevante Themen aus dem S√ľndenpfuhl Internet informiert. Nun – warum eigentlich nicht? ūüėČ

Die/das App gibt es auf der Site www.internet-sicherheit.de, und f√ľr alle, die kein Telefon mit Obst auf dem Geh√§use ihr Eigenen nennen, wird der Gewinn eines solchen in Aussicht gestellt. Sollte es mit dem Gewinnen nicht klappen, bleibt immer noch das Ausweichen auf den ebenfalls angebotenen E-Mail Nachrichtendienst.

Ralph Lehmann * IT-Service

Offizieller (aber leider fehlerhafter) Workaround von Heise f√ľr Adobe PDF-L√ľcke

Auf Heise ist heute zu lesen, dass f√ľr die derzeit offene L√ľcke in Adobe Acrobat und Adobe Reader inzwischen ein Workaround existiert. Administratoren k√∂nnen das Problem beheben, indem Sie an ihre Benutzer zwei neue Registry-Schl√ľssel verteilen.

Leider sind die bei Heise angegebenen Schl√ľssel noch immer falsch, obwohl Adobe selbst seinen eigenen Blogpost inzwischen berichtigt hat.

Deshalb hier noch einmal die zwei Befehle, die es z.B. in einem Anmeldescript zu platzieren gilt:

REG ADD „HKCU\Software\Adobe\Acrobat Reader\9.0\Originals“ /f /v bAllowOpenFile /t REG_DWORD /d 0
REG ADD „HKCU\Software\Adobe\Acrobat Reader\9.0\Originals“ /f /v bSecureOpenFile /t REG_DWORD /d 1

Sollten Sie noch mit Adobe Reader 8 arbeiten, muss das Script entsprechend angepasst werden.

Ralph Lehmann * IT-Service