Vor der Installation schauten wir uns die Gegebenheiten noch einmal kurz an. Tatsächlich waren mehrere Stromleitungen vorhanden, die in Verteilerdosen endeten, sich von dort aber nicht fortsetzten. Potenzial für neues Equipment also.

Die bereits vorhandenen Gerätschaften waren mit jeweils einem Netzteil an eine schaltbare Mehrfachsteckdosenleiste (in Baumarktqualität) angeschlossen, welche in einer einfachen Wandsteckdose steckte. Das jeweils andere Netzteil steckte in einer zweiten Mehrfachsteckdosenleiste, die zunächst hinter dem Schrank verschwand. Wie sich herausstellte, endete die Leitung in einer weiteren Mehrfachdose, deren Kabel wiederum … in der ersten Dosenleiste mündete, welche die “ersten” Netzteile versorgte.

Immerhin eine originelle Y-Verkabelung. Glücklicherweise handelte es sich “nur” um Strom, und nicht um das Netzwerk, denn das hätte einen Loop ergeben …

Verwandte Beiträge:

1. Welche RDP-Sessions habe ich noch offen?
   Wer wie ich häufig mehrere Systeme remote verwaltet, setzt dazu...
2. Sichere Benutzerkonten
   Zur CeBIT plante unser Unternehmen, eine komplexe Lösung auf der...

Wenn wir jetzt noch berücksichtigen, dass “pot” ein amerikanischer Ausdruck für Marihuana ist …

Verwandte Beiträge:

1. Outlook 2010: Adressvorschläge beim Update manuell übertragen
   Kai Schneider hat in einem interessanten Artikel beschrieben, wie man...
2. Lokalisierung macht Spaß
   Windows Server 2008 R2 gibt (leider) viele Gründe für die...
3. Outlook: Adressen aus Vorschlagsliste löschen
   Es passiert leicht, dass man eine Mail an einen falschen...

Was ist geschehen? Nichts weiter als dass ich heute vormittag etwas Geld und die aktuellen Kontoauszüge aus den Automaten holen wollte. Ich ging daher zur nächstgelegenen Filiale der Sparkasse Hannover an der Hildesheimer Straße in Hannover. Hupps, dort wird umgebaut. Aber vor dem Gebäude steht ein Container, der die Automaten beherbergt. Prima, also rein dort und die Geschäfte verrichtet.

Also ich dort so stand und darauf wartete, dass meine Auszüge fertig wurden, schwoff mein Blick etwas umher. Neben dem Automaten wurde ich dann doch etwas stutzig … seht selbst:

Völlig ungeschützt sind dort nicht nur die Strom-, sondern auch die Netzwerkanschlüsse zugänglich. Dabei lernt man in jedem IT-Sicherheits-Grundkurs, dass der physische Schutz die erste Verteidigungsebene darstellt. Ist hier keine ausreichende Absicherung vorhanden, kann man alle weiteren Ebenen gleich von vornherein weitgehend vergessen.

An dieser Stelle kann jeder (!):

• Die Kabel abziehen und so innerhalb von Sekundenbruchteilen praktisch ohne Aufwand einen prima DoS-Angriff durchführen
• Die Kabel abziehen und wieder anstöpseln und schauen, wie das Gerät darauf reagiert
• Nach Belieben Geräte zwischen Dose und Gerätestecker einschleifen und den Datenverkehr abgreifen – sicher nicht uninteressant
• Direkt auf den Netzwerkanschluss der Geräte zugreifen und schauen, was man da so anstellen kann
• oder – oder – oder …

Wer nun einwendet: So schlimm sei das schon alles nicht, ein Finanzinstitut sorge schließlich für Verschlüsselung der Daten …

• … hat das Konzept der Layered Security noch nicht verstanden
• … stellt sich nicht ausreichend die Frage, ob eine Bank nicht etwas mehr für das Vertrauen der Kunden tun sollte
• … wird vielleicht durch folgende Geschichte nachdenklich: Vor einiger Zeit beschwerte ich mich bei der Sparkasse, dass das Online-Banking nur maximal fünf Zeichen lange Kennwörter zulässt. Alle Sicherheitsexperten warnen vor zu einfachen Kennwörtern, und nur fünf Zeichen gelten schon seit Jahren als grob fahrlässig. Die Antwort der Sparkassen-IT: Das sei schon okay so. Schließlich seien die tatsächlichen Transaktionen ja jeweils zusätzlich über TANs geschützt und daher bestehe praktisch keine Gefahr. Dass man ohne TAN aber bereits erhebliche Mengen hoch sensibler Daten abgreifen kann, ist den IT-Spezialisten der Bank offenbar nicht in den Sinn gekommen. Übrigens lässt das System auch 2010 noch keine längeren Kennwörter zu …

Update 15. August 2010: Die Sparkasse Hannover hat schnell reagiert und die von uns kritisierten Punkte verbessert. Siehe unseren Artikel: http://www.faq-o-matic.net/2010/08/16/sparkassen-sicherheit-eine-reaktion/

Verwandte Beiträge:

1. Sparkassen-Sicherheit: Eine Reaktion
   Vor einigen Tagen berichtete ich über ein IT-Sicherheitsproblem, das mir...
2. Warum kann ich einen User nicht mit dem "memberOf"-Attribut einer Gruppe hinzufügen?
   Das Feld "memberOf" ist ein sog. "Backlink"-Feld, das zur Abfragezeit...
3. Warum funktioniert die Änderung einer Gruppenmitgliedschaft nicht?
   Windows nutzt ein Access Token, das bei der Anmeldung generiert...

Da machte Windows mir ein Angebot, das ich nicht annehmen mochte …

Update 23. Juli 2010: Michel Lüscher von Microsoft hat das Verhalten untersucht und ein paar Hintergründe dazu geliefert:

[Removable Virtual Hard Disk, Bug oder by Design? | Server Talk]
http://www.server-talk.eu/2010/07/23/removable-virtual-hard-disk-bug-oder-by-design/

Verwandte Beiträge:

1. Hinweise zu SP1 für Windows Server 2008 R2 und Hyper-V
   Das Service Pack 1 für WIndows Server 2008 R2 steht...
2. SCVMM: VM aus der Datenbank entfernen
   In einer speziellen Situation ergab sich die Anforderung, eine virtuelle...
3. Zwei Hyper-V-FAQs: Pagefile und Hyper-Threading
   Zwei oft gestellte, aber nur selten beantwortete Fragen zu Hyper-V...

Oder was haltet ihr von dieser Meldung?

Standort "ABC" verfügt über kein LDAP-Server für Nicht-Domänennameskontext "DomainDnsZones.xyz.domain.tld". LDAP-Server an Standort "Default-First-Site-Name" sollen Standort "ABC" für Nicht-Domänen- namenskontext "DomainDnsZones.xyz.domain.tld" aufgrund der konfigurierten Replikationskosten des  Verzeichnisservers automatisch verwalten.

Gut, diese Meldung taucht nur selten auf, daher lag hier offenbar keine Priorität in der Übersetzung. Nur wenn sie eben auftaucht – dann wird guter Rat bei dieser Sprache teurer, nicht günstiger …

Verwandte Beiträge:

1. Service Pack 1 per WSUS macht Probleme
   Zahlreiche Meldungen – und leider auch Erfahrungen im eigenen Unternehmen...
2. Lokalisierung und wie man’s nicht machen soll
   Die Lokalisierung von Windows 7 gehört … naja … nicht...
3. Carmen: Query Active Directory Using SQL Syntax
   My script-based query tool “Carmen” for Active Directory has been...

Etwas überrascht war ich dann aber doch, als ich den Scan-Dialog und seine Optik sah. Er entspricht ziemlich genau den Designvorgaben von Windows … 3.1. Nur die Fensterelemente, die das Betriebssystem beisteuert, sind aktuell. Seht selbst:

Verwandte Beiträge:

1. Alte Hardware unter Windows Vista betreiben
   Vista wird viel gescholten: Es gebe kaum Treiber, alte Hardware...
2. “Alte” Programme an die Taskleiste heften
   Windows 7 erlaubt es, Programme oder Dokumente an der Taskleiste...
3. Es ist ice-Zeit!
   Vor gut zwei Stunden hat die Community-Konferenz ice:2010 in Lingen...

Wir amüsierten uns vor allem über die Geräte, deren Bild nicht die “echte Welt” abbildet. Einige Komponenten sehen mit ihrem Standardsymbol eher aus wie Kühlschränke aus den Fünfzigerjahren.

Ein Kollege zeigte uns dann, wie sein iPhone dort auftaucht …

PS. Dies ist der Beitrag Nr. 500 in faq-o-matic.net!

Verwandte Beiträge:

1. Drucken unter Windows 7 in der Domäne
   Unter Windows 7 haben sich mal wieder die Sicherheitseinstellungen für...
2. Wo ist die Hosts-Datei unter 64-Bit-Windows?
   Die feinen Unterschiede zwischen den 32- und 64-Bit-Versionen von Windows...
3. Unter Windows 7 Active-Directory-Benutzerkonten suchen
   Mit jeder Windows-Version wurde die Suche aufpoliert, das gilt auch...

Hier ein besonders schönes Beispiel: In der Hilfe zu dem Berechtigungs-Werkzeug hat der (oder die) Zuständige offenbar einen Aküfi ausgelebt. Seht selbst:

C:\Users\NilsK>cacls /?

 Hinweis: Cacls ist veraltet. Verw. Sie Icacls.

 Zeigt Datei-ACLs (Access Control List) an o. bearbeitet sie.

 CACLS Dateiname [/T] [/M] [/L] [/S[:SDDL]] [/E] [/C] [/G Benutzer:Berechtig.]
        [/R Ben. [...]] [/P Ben.r:Berechtig. [...]] [/D Benutzer [...]]
    Dateiname     Zeigt ACLs an.
    /T            Ändert ACLs der angeg. Datei im aktuellen
                  Verzeich. U. allen Unterverz.
    /L            Verarb. d. symbol. Verknüpf. anstelle des Ziels.
    /M            Ändert ACLs von auf e. Verzeich. bereitgest. Volumes.
    /S            Zeigt d. SDDL-Zeichenf. fr d. DACL an.
    /S:SDDL       Ersetzt d. ACLs mit den in d. SDDL-Zeichenf. angeg. ACLs
                  (nicht gült. m. /E, /G, /R, /P oder /D).
    /E            Bearb. ACL anstatt sie zu ersetzen.
    /C            Setzt d. Vorg. bei Zugriffsverweig. fort.
    /G            Benutzer:Berechtigung  Lässt angeg. Zugriffsarten zu.
                  Mögl. Berecht.: R Lesen
                                  W Schreiben
                                  C Ändern (Schreiben)
                                  F Vollzugr.
    /R Ben.       Hebt die Zugriffsr. des Ben. auf (nur gültig m. /E).
    /P Benutzer:Berecht.  Ersetzt d. Zugriffsr. d. Benutzers.
                  Mögl. Berechtig.: N Kein
                                    R Lesen
                                    W Schreiben
                                    C Änd. (Schreib.)
                                    F  Vollzugr.
    /D Ben.       Verweig. angeg. Zugriffsrechte.
 Platzhalterz. können f. mehrere Dateien verwendet werden.
 Mehrere Ben. können in e. Befehl angeg. werden.

 Abkürz.:
    CI - Containervererb.
         Der ACE-Eintr. wird von Verzeichn. geerbt.
    OI - Objektvererbung
         Der ACE-Eintr. wird von Dat. geerbt.
    IO - Nur vererben
         ACE-Eintr. bezieht sich nicht auf d. akt. Datei bzw. d. Verzeichnis.
    ID - Vererbt
         Der ACE-Eintr. wurde vom ACL des übergeordn. Verzeichn. geerbt.

Besonders hübsch sind die viele unterschiedlichen Abkürzungen für dasselbe Wort. Sowas kannte ich bislang nur von NVidia-Treibern und deren Dialogen, in denen man ähnlich rätseln muss, was den Verfasser geritten hat …

Verwandte Beiträge:

1. Lokalisierung macht Spaß
   Windows Server 2008 R2 gibt (leider) viele Gründe für die...
2. Exchange 2007/2010: Besprechungsraum-Kalender einsehbar machen
   Mit Exchange 2007 ist der vormals separate “Auto-Accept Agent” Teil...
3. Dynamische DNS-Updates seit Vista nicht mehr per DHCP-Client
   Gerade machte Yusuf Dikmenoglu auf ein Detail aufmerksam, das ich...

In einer Testumgebung kam ich gerade in den Genuss dieser Funktion. Zunächst wies mich ein pompöses Startfenster auf diese unglaubliche Freiheit hin und kündigte an, dass ich nun aber gleich echt wählen darf. Ich klickte OK, aber was ich dann sah, ist sicher nicht das, was damit gemeint ist …

In den Vordergrund drängelte sich nämlich das Konfigurationsfenster des Internet Explorer 8. Auch dieses ist so eingerichtet, dass es neuen Benutzern als erstes ins Auge springt. Geschickterweise verdeckt es dabei die Browserauswahl. Ein Schelm, wer Absicht dahinter vermutet …

Verwandte Beiträge:

1. WebDAV: Dateien sicher übers Internet übertragen
   Viele Admins stehen vor der Aufgabe, mobilen Mitarbeitern den Zugriff auf...
2. Geheimer geht es nicht mehr
   Vor einigen Tagen hatte ein Kunde ein Supportproblem mit einer...
3. IT-Sicherheit, der physische Layer und warum man auch Banken nicht trauen kann
   Heute muss ich ein Bekenntnis loswerden: Seit Jahrhunderten bin ich...

Gerade entwerfe ich für einen Kunden einige Sicherheitseinstellungen für Active Directory. Unter anderem wollen wir per Gruppenrichtlinie steuern, wer sich an welchen Maschinen anmelden darf. Kein Problem – GPO auf die passende OU verlinken, in der die Computer stecken, und dort über die Sicherheitseinstellungen das Recht “Lokale Anmeldung erlauben” vorgeben. In meinem Fall sollen nur die “Administratoren” und die Gruppe “DOM\Abt02-Erlauben” drinstehen.

Tja – nur der Test schlägt fehl. Jeden Anmeldeversuch mit einem AD-Konto, das der Gruppe “Abt02-Erlauben” angehört, wird von XP abgewiesen mit dem Hinweis: “Die lokale Richtlinie erlaubt es Ihnen nicht, sich interaktiv anzumelden.” Ja, Kruzi!

Nach langem Suchen und vielen vergeblichen Versuchen fiel es mir dann wie der Schuppen vom Stall: Ich versuchte die ganze Zeit, per RDP auf die XP-Maschine zuzugreifen. Vorher hatte ich das immer als Admin getan. Normale Benutzer dürfen aber nur per RDP zugreifen, wenn man sie separat in die Gruppe “Remotedesktop-Benutzer” aufnimmt. Die Fehlermeldung, die XP gibt, bezieht sich aber (weil XP da eben noch sehr mit Windows 2000 verwandt ist) auf die “Interaktive Anmeldung”.

Tja, und das war’s dann auch: Beim Zugriff direkt auf der lokalen Konsole verhielten sich XP (und damit auch meine Gruppenrichtline) genau so, wie es geplant war …

Verwandte Beiträge:

1. Wie kann ich per GPO den Zugriff auf USB-Sticks oder andere Devices sperren?
   Bis einschlißelich Windows XP: Gar nicht. Die einzige Möglichkeit, die...
2. Vorsicht Falle! Vererbung im AD
   Im Active Directory kann man ja, wie allseits bekannt, auf...
3. Wie kann ich überprüfen, welche Benutzer gesperrt oder deaktiviert sind?
   Das ist recht komplex. Es gibt zwar einen LDAP-Query, den...