Gleicher Name, gleiches Kennwort …

und der Zugriff klappt in einem Windows-Netzwerk … dachte ich jedenfalls bis jetzt. Heute wurde ich eines Besseren belehrt. 😉

Szenario eins: Anmeldung an Windows 10.0.10240 mit einem lokalen Konto. Zugriff auf Netzwerkfreigaben im Arbeitsgruppennetzwerk (mit Benutzer + Kennwort-Kombination, die auf der Freigabe als berechtigt hinterlegt ist):
Server 2012R1 … funktioniert
Windows 8.1 ….. funktioniert
Windows 10 …… funktioniert

Szenario zwei: Anmeldung an Windows 10.0.10240 mit einem Microsoft Konto. Zugriff auf Netzwerkfreigaben im Arbeitsgruppennetzwerk (mit Benutzer + Kennwort-Kombination, die auf der Freigabe als berechtigt hinterlegt ist):
Server 2012R1 … funktioniert
Windows 8.1 ….. funktioniert nicht
Windows 10 …… funktioniert nicht

Mit etwas Glück stößt man nach einigem Suchen auf die Information, dass der Zugriff mit Anmeldeinformation der Form Maschine\Benutzer erfolgen muss, damit dieser nicht zurückgewiesen wird.

Es welchem Grund Microsoft das Verhalten für lokale und Microsoft Konten unterschiedlich designed hat, weiß – wenn überhaupt – wohl nur Microsoft.

Ende von StartSSL Free im kommerziellen Umfeld?

Vor zwei Tagen habe ich bei start.com ein kostenloses Class 1 X.509 SSL-Zertifikat „StartSSL Free“für ein kleines Unternehmen beantragt, Zweck sollte der Zugriff von mobilen Geräten auf den internen Exchange-Server sein.

Die Registrierung als Benutzer verlief problemlos, ebenso die Einreichung des CSR. Dann jedoch erreichte mich folgende Nachricht von StartCOM: „… The request for a server certificate for <Domain> has been declined. For more information please contact us. Thank you!

Das tat ich dann auch, hier der relevante Teil der Antwort: “

Thank you for requesting a digital certificate with us. However Class 1 certificates are not meant to be used for commercial activities or financial transactions according to our policy. For this purpose please consider upgrading to Class 2 or higher verification level.

 Please see https://www.startssl.com/?app=32 about how to enroll.

 Thank you for your understanding.“

Nach erneuter Kontaktaufnahme und Hinweis darauf, dass in den Policies von StartCom eine Einschränkung auf private Verwendung nicht zu finden ist, kam nichts mehr. Weder eine Antwort noch ein Zertifikat.

Ralph Lehmann
Computerservice und IT-Beratung Leipzig

PDF Creator 1.4.1 – Vorerst keine weiteren Installationen auf Kunden-PCs

Im Forum von pdfforge macht sich derzeit einiger Unmut breit. Den Entwicklern des PDF Creator wird von einigen Benutzern vorgeworfen, bei der Installation der Software quasi „durch die Hintertür“ AdWare (derzeit SweetIM, AVG Toolbar und IncrediBar)  zu verbreiten.

Nach eigenen Tests konnte ich feststellen, dass zwar (wie von den Entwicklern im Forum beteuert) die Installation dieser zusätzlichen Software grundsätzlich vermieden werden kann. Richtig ist allerdings auch, dass der Installationsdialog – sehr vorsichtig ausgedrückt – nicht gerade dazu beiträgt, die Installation dieser potentiell aus Sicht des Benutzers unerwünschten zusätzlichen Software (die obendrein derzeit nur mit erheblichem Aufwand spurlos entfernt werden kann) zu vermeiden.

Ich werde deshalb bis zur endgültigen Klärung des Problems zu meinem großen Bedauern den an sich hervorragenden PDF Creator aus Sicherheitsgründen nicht mehr auf den Computern meiner Kunden installieren können.

Schade.

Computerservice und IT-Beratung Leipzig
Ralph Lehmann

Das halb-automatische Adobe Flash-Player Update

Einige Administratoren dürften hörbar aufgeatmet haben, als Adobe seinem Flashplayer im März diesen Jahres eine automatische Update-Funktion spendierte. Denn veraltete Flash-Versionen gelten seit langem als eines der Haupeinfallstore für schädliche Software. Und Flash-Player veralten ziemlich schnell.

Seitdem ist scheinbar alles sehr einfach – einmal mit administrativen Rechten die automatische Aktualisierung zulassen, und ab sofort kümmert sich der Windows-Taskplaner resp. die Aufgabenplanung im Stundentakt um die Beschaffung und Installation neuer Player-Versionen.

Schade und ziemlich gefährlich ist allerdings, dass Adobes neueste Versionen  11.3.xxx vom Auto-Update nicht auf den Windows-PC geladen und installiert wird und die Version 11.2.xxx nicht länger automatisch mit Updates versorgt wird. Wer sich also blind auf den Update-Mechanismus verlässt, ist ziemlich schlecht beraten und womöglich noch stärker gefährdet als früher, weil sie/er sich in trügerischer Sicherheit wähnt.

Computerservice und IT-Beratung Leipzig
Ralph Lehmann

GEMA Trojaner und BKA Viren – Noch immer voll im Trend

Es ist schon eine Weile her, seit die ersten Exemplare dieser Art von Erpressungs-Software auftauchten, aber nach wie vor scheint die Anzahl der betroffenen PC-Benutzer ziemlich hoch zu sein.

Es erscheint mir deshalb angebracht, aus den zahllosen im Internet verfügbaren Tipps jene zusammenzufassen, die im Schadenfall gute Aussicht auf Erfolg haben.

Methode 1 (radikal, aber grundsätzlich totsicher): Sichern Sie Ihre Daten (aber das tun Sie ohnehin regelmäßig, oder??), installieren Sie alles neu, bringen Sie Windows und alle Programme auf den aktuellen Stand, prüfen Sie Ihre Datensicherung auf schädliche Software und spielen das Backup schließlich zurück.

Methode 2 (derzeit ziemlich sicher): Besorgen Sie sich eine Kaspersky Rescue Disk 10 incl. Widowsunlocker. (Sollte Ihr PC über kein CD-Laufwerk verfügen, können Sie den Inhalt des CD-Abbildes mit Hilfe eines speziellen Tools auf einen USB-Sick kopieren.) Laden Sie die Anleitung zur Notfall-CD herunter und informieren Sie sich über die Vorgehensweise. Lesen Sie auf der Webseite zu Windowsunlocker nach, wie dieser bedient wird.

Bereinigen Sie schließlich gem. der Anleitungen die Windows-Registrierung und eliminieren Sie die schädliche Software.

Beachten Sie, dass der WindowsUnlocker nur einige Schlüssel automatisch auf korrekte Werte überprüft und ggf. zurücksetzt. Es könnte also erforderlich sein, mit Hilfe des auf der CD enthaltenen Registrierungs-Editors weitere Einträge von Hand zu korrigieren.

Methode 3 (für Laien nicht emfehlenswert): Besorgen Sie sich eine andere Rescue-Disk. Korrigieren Sie fehlerhafte Registry-Einträge manuell.

Methode 4: Versuchen Sie es mittels abgesichertem Modus und Systemwiederherstellung. Derzeit kaum empfehlenswert.

Vergessen Sie in keinem Fall, nach der Beseitigung der Malware das Einfallstor für eventuelle „Nachfolger“ zu schließen.

Computerservice und IT-Beratung Leipzig
Ralph Lehmann

Nachtrag (22.03.2012): Ein neues Mitglied dieser Erpressungs-Software hat das Licht der Welt erblickt. Es ist der GVU-Trojaner. An den „Features“ hat sich allerdings nicht viel geändert.

Aufmerksam machen möchte ich an dieser Stelle außerdem noch auf eine Sammlung von lesenswerten  Sicherheits-Hinweisen von Ukash.

Kommentar zu den „BSI-Empfehlungen zur Cyber-Sicherheit“ (Teil1)

Am 03.02.2012 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Lösungsvorschläge zur Konfiguration von PCs unter Microsoft Windows für Privatanwender einerseits sowie kleine Unternehmen und Selbstständige andererseits veröffentlicht. Die Hinweise können auf der Website des BSI eingesehen und von dort auch als PDF heruntergeladen werden.

Da sich beide Versionen nur geringfügig unterscheiden, werde ich hier nur auf die Version für kleine Unternehmen und Selbstständige eingehen.

Zitat: „Sofern zusätzliche Funktionen … nicht benötigt werden, sind kostenlose Virenschutzprogramme ausreichend. Dazu zählen z.B. Microsoft Security Essentials welches bis zu fünf Lizenzen kostenlos erhältlich ist.“
Anmerkung:
Microsoft Security Essentials ist für kleine Unternehmen mit bis zu 10 PCs kostenlos verfügbar.

Zitat: „Sofern erforderlich können Sie einige … zusätzlichen Funktionen auch mithilfe von kostenlosen Lösungen abdecken, z.B. … erweiterte, verhaltensbasierte Erkennung von Schadsoftware mit Threatfire (engl.) …“
Anmerkungen:
a) Threatfire ist nur im privaten Umfeld kostenlos.
b) Eine
verhaltensbasierte Erkennung von Schadsoftware ist in den Microsoft Security Essentials bereits enthalten.
c) Die Qualitätvon Threatfire ist in Fachkreisen nicht gerade unumstritten.

d) Von der Threatfire-Website gibt es auch eine deutsche Version.

Zitat: „Für Backups, also Sicherheitskopien sowohl des Systems als auch Ihrer Daten, können Sie die in Windows 7 eingebaute backup-and-restore Funktionalität verwenden.“
Anmerkung: Man hätte die Funktionalität vielleicht auch – wie Microsoft – mit Sicherungs- und Wiederherstellungs-Funktionalität bezeichnen können. Zumal bei einer deutschen Behörde.

Zitat: „Der Kauf einer gesonderten Backup-Software ist unter Windows 7 nicht erforderlich.“
Anmerkung: In dem zitierten Satz fehlt eindeutig ein relativierender Zusatz wie z.B. meistens, gewöhlich oder auch in der Regel.

Zitat: „Insbesondere sollte Ihr Internet-Provider die Abwehr von Botnetzen … mit wirksamen Maßnahmen auf demselben Niveau betreiben wie Provider, die in der Anti-Botnet-Initiative zusammengeschlossen sind.“
Anmerkung: Irgendwie frage ich mich, wie der gewöhnliche Kunde eines Internetproviders das beurteilen kann.

Zitat: „Bei allen Anwendungsprogrammen sollten Sie darauf achten, dass die Sicherheitsaktualisierungen vom Software-Hersteller auch tatsächlich automatisch installiert werden, ohne dass Sie bei den einzelnen Aktualisierungen aktiv werden müssen.“
Anmerkung: Die automatische Aktualisierung ohne Eingriff des Benutzers ist derzeit unter Windows nur eingeschränkt möglich, besonders dann, wenn der Benutzer – wie von Microsoft empfohlen – mit einem eingeschränkten Konto arbeitet.

Computerservice und IT-Beratung Leipzig
Ralph Lehmann

Gut zu wissen: Google informiert zu den Themen Passwörter, Phishing, Malware, Sichere Websites etc.

Google hat seine Initiative „Gut zu wissen“ – erreichbar unter http://www.google.de/gutzuwissen – gestartet. Geboten werden leicht verständliche Informationen zu Computersicherheit, Banking, Datenschutz usw., schön aufgelockert durch kurze Videos.

Interessant ist außerdem, dass Google bei der Gelegenheit sehr deutlich macht, wie es mit den persönlichen Daten seiner Benutzer umgeht.

Fazit: Unbedingt lesenswert.

Computerservice und IT-Beratung Leipzig
Ralph Lehmann

Hinweise zur Absicherung von Windows basierten Computern

Eigentlich ein alter Hut, aber offensichtlich immer noch nicht bis in den letzten Winkel vorgedrungen: Man kann Windows sicher betreiben! Ein paar Regeln gilt es allerdings einzuhalten, wie folgender Artikel zeigt:

—————————————————————

Ich unterstelle einfach mal, dass Sie sich bereits für einen Windows basierten Computer entschieden haben. 😉
(Sie werden dafür Ihre Gründe haben). Unterschiede zwischen den Sicherheitsarchitekturen von Windows, MacOS X, Linux, etc. werden in diesem Artikel nicht debattiert.

Dieser Artikel kann und will das ideologische Minenfeld namens Sicherheit von Windows basierten Computern nicht bis ins letzte behandeln. Weitere Informationen hierzu finden Sie unter anderem auf meiner Website Ralph-Lehmann.de

1.       Auf einem Rechner sollten nur die tatsächlich benötigten Softwarepakete installiert sein.

Zur  Sicherung Ihres Rechners müssen Sie sich zuerst darum kümmern, dass dieser lediglich von Ihnen wirklich  benötigte Software enthält. Alle Programme, die unnötigerweise auf Ihrem Computer installiert sind, stellen potentielle Sicherheitslücken dar. Es ist deshalb sehr wichtig, dass Sie entweder die von Ihnen nicht benötigten Programme vom Computer entfernen, oder aber Windows und die von Ihnen wirklich benötigten Anwendungen von Hand und sauber neu installieren.

Bedauerlicherweise werden die meisten derzeit verkauften Windows basierten Computern nicht nur mit vorinstalliertem Betriebssystem sondern auch einer Vielzahl von Softwarepaketen geliefert, die Sie wahrscheinlich nie einsetzen werden. Und in der Regel dürfte die Entfernung der von Ihnen nicht benötigten Tools, Demos, 90-Tage-Testversionen, etc.  einen nicht unerheblichen Zeitaufwand verursachen. Aus diesem Grund ist es meistens einfacher, den Windows basierten Computer von Grund auf und anhand der eigenen Bedürfnisse neu zu installieren.

Am besten verwenden Sie zum aufsetzen Ihres Windows-Systems statt dem vom Hersteller mitgelieferten Wiederherstellungs-Medium eine Original Windows CD bzw. DVD entsprechend der von Ihnen lizenzierten Edition (oder eine DVD, die sämtliche Editionen umfasst). Benutzen Sie die Medien des Computerherstellers nur zur Installation der benötigten Gerätetreiber (falls überhaupt notwendig, denn Windows 7 kennt zahlreiche Geräte bereits „von Haus aus“). So können Sie vermeiden, dass die zahlreichen o.g. und oft sehr zahlreichen Softwarepakete installiert werden, welche zwar der Quersubventionierung des Computerherstellers dienlich sind – für Sie hingegen allerdings keinerlei Nutzen haben dürften.

Als Lohn ihrer Sorgfalt erhalten Sie ein schlankes, übersichtliches und mit Sicherheit deutlich schnelleres System.

2.       Halten Sie die auf dem Windows basierten Computer installierten Programme aktuell.

Während der Einrichtung von Windows werden Sie gefragt, ob Sie das Betriebssystem automatisch auf dem aktuellen Stand halten wollen. Falls Sie zustimmen, bedeutet das allerdings noch nicht, dass alle installierten Microsoft -Anwendungen von Microsoft ebenfalls automatisch aktualisiert werden. Denn hierfür ist die Aktivierung von Microsoft Update erforderlich, und diese müssen Sie manuell erledigen. Bei dieser Gelegenheit sollten sie auch gleich festlegen, dass neben den Sicherheits-Updates von Microsoft die so genannten empfohlenen Updates ebenfalls angewandt werden.

Bitte behalten Sie im Hinterkopf, dass sich Microsoft um die Applikationen von anderen Anbietern gewöhnlich nicht kümmert. Zwar bringen einige dieser Programme (z.B. von Adobe oder Google) ihren eigenen Update-Automatismus mit, viele andere müssen Sie jedoch manuell auf dem aktuellen Stand halten.

Es ist deshalb nicht die schlechteste Idee, sich der Dienste von Tools zu bedienen, die sämtliche installierten Programme auf dem Computer im Auge behalten. Als Beispiel sei an dieser Stelle das Überprüfungswerkzeug namens „Updatecheck“ (eine Software der Firma Secunia) genannt, dass im Sicherheitsbereich von Heise online kostenlos verfügbar ist.

3.       Beziehen Sie Applikationen von anderen Anbietern nur aus vertrauenswürdigen Quellen.

Wenn Sie im stationären Handel Software erwerben, können Sie davon ausgehen, dass diese keinen absichtlich schädlichen Programmcode enthält. Ebenso können Sie Datenträgern vertrauen, die Sie z.B. beim Kauf einer renommierten Computerzeitschrift erhalten.

Sollten Sie Ihre Software online beziehen, ist wesentlich mehr Vorsicht angezeigt. Achten Sie darauf, nur Programme zu installieren, die Sie von bekannten Plattformen wie etwa Heise online, Chip, PC Welt usw. bezogen haben. Vergewissern Sie sich im Zweifel, dass Sie sich wirklich auf der Website des von Ihnen gewählten Anbieters befinden!

Installieren Sie dagegen nie Software, die Ihnen zum Beispiel ungefragt per E-Mail angeboten worden ist.

4.       Benutzen Sie ein eingeschränktes Benutzer-Konto ohne Admin-Rechte

Verwenden Sie für die tägliche Arbeit ein Benutzerkonto, das nicht zur Installation neuer Programme berechtigt ist und keine Änderungen am System durchführen darf. Dadurch können Sie vermeiden, dass zum Beispiel durch einen versehentlichen Klick auf einer dubiosen Website Ihr Computer mit Malware verseucht wird.

Ziehen Sie in Betracht, die Ausführung von Software mittels Systemrichtlinien weiter einzuschränken. Verhindern Sie zum Beispiel die Ausführung von Programmen, die nicht im Windows Verzeichnis oder im Programmverzeichnis liegen. Die Ausführung von unerwünschter Software lässt sich so in der Praxis so gut wie sicher ausschließen.

5.       Benutzen Sie die Windows Firewall

Seit Windows XP liefert Microsoft einen eingebauten Paketfilter mit. Die Windows Firewall funktioniert erfreulich zuverlässig und drängt sich nicht in den Vordergrund. Sie ist deshalb bestens geeignet, um Ihren sauberen Computer sauber zu halten.

Gelegentlich wird kritisiert, dass die Windows Firewall nicht in der Lage sei, einen bereits infizierten Computer davor zu bewahren, unbemerkt Daten ins Internet zu versenden. Hierzu sei angemerkt, dass diese Aussage zum einen seit dem Erscheinen von Windows Vista grundsätzlich nicht mehr richtig ist. Viel wichtiger ist jedoch, dass der auf einem kompromittieren PC laufenden Sicherheitssoftware ohnehin nicht länger vertraut werden kann. Die Verhinderung ungewollten Daten-Versands in Richtung Internet kann deshalb prinzipiell nicht zuverlässig funktionieren.

Es erscheint außerdem zweifelhaft, ob die pausenlose Meldung von vermeintlichen Attacken aus dem Internet (wie es bei vielen Drittanbieter-Produkten übliche Praxis ist) für die Sicherheit eines Windows PCs tatsächlich hilfreich ist.

6.       Nutzen Sie einen Anti-Viren-Programm als zusätzliches Sicherheitsnetz

Theoretisch könnten Sie bei Beachtung der vorherigen Abschnitte auf den Einsatz eines Virenscanners verzichten. Allerdings zeigt sich in der Praxis oft, dass Sicherheitskonzepte Lücken haben können und auch ein vorsichtig handelnder Computerbenutzer mitunter Fehler macht. Die Installation eines guten Programms zur Abwehr bösartiger Software ist deshalb in der Regel nicht die schlechteste  Idee.

Bedenken Sie außerdem, dass sie im Schadensfall (z.B. wenn von Ihrem verseuchten Computer ohne Ihr Wissen urheberrechtlich geschütztes Material in alle Welt verbreitet wurde … ) von einem Richter gefragt werden könnten, ob Sie tatsächlich alles in Ihrer Macht stehende getan haben, um Ihren Rechner nach den Regeln der Technik abzusichern.

iPhone App vom Institut für Internet-Sicherheit der FH-Gelsenkirchen

Per E-Mail wurde ich darum gebeten, auf die Neuentwicklung einer (oder eines?) App hinzuweisen, die/das gratis über sicherheitsrelevante Themen aus dem Sündenpfuhl Internet informiert. Nun – warum eigentlich nicht? 😉

Die/das App gibt es auf der Site www.internet-sicherheit.de, und für alle, die kein Telefon mit Obst auf dem Gehäuse ihr Eigenen nennen, wird der Gewinn eines solchen in Aussicht gestellt. Sollte es mit dem Gewinnen nicht klappen, bleibt immer noch das Ausweichen auf den ebenfalls angebotenen E-Mail Nachrichtendienst.

Ralph Lehmann * IT-Service

Offizieller (aber leider fehlerhafter) Workaround von Heise für Adobe PDF-Lücke

Auf Heise ist heute zu lesen, dass für die derzeit offene Lücke in Adobe Acrobat und Adobe Reader inzwischen ein Workaround existiert. Administratoren können das Problem beheben, indem Sie an ihre Benutzer zwei neue Registry-Schlüssel verteilen.

Leider sind die bei Heise angegebenen Schlüssel noch immer falsch, obwohl Adobe selbst seinen eigenen Blogpost inzwischen berichtigt hat.

Deshalb hier noch einmal die zwei Befehle, die es z.B. in einem Anmeldescript zu platzieren gilt:

REG ADD „HKCU\Software\Adobe\Acrobat Reader\9.0\Originals“ /f /v bAllowOpenFile /t REG_DWORD /d 0
REG ADD „HKCU\Software\Adobe\Acrobat Reader\9.0\Originals“ /f /v bSecureOpenFile /t REG_DWORD /d 1

Sollten Sie noch mit Adobe Reader 8 arbeiten, muss das Script entsprechend angepasst werden.

Ralph Lehmann * IT-Service