In den Windows-Vorgängerversionen war es tatsächlich der DHCP-Client, der die dynamische Namensregistrierung in DNS vornahm (normalerweise innerhalb einer AD-Domäne). Das führte besonders auf Servern zu der unangenehmen Situation, dass Admins, die den DHCP-Client abschalteten – in der Annahme, auf einem Computer mit statischer IP-Adresse benötige man diesen nicht –, damit gleichzeitig die dynamische Namensregistrierung deaktivierten. In der Folge waren dann oft Servernamen nicht per DNS auflösbar, was erst nach langem Troubleshooting auffiel.

Dummerweise allerdings hat Microsoft vergessen, die Beschreibung der Dienste innerhalb von Windows anzupassen. Noch in Windows 7 heißt es beim DHCP-Client:

Beim DNS-Client hingegen findet sich durchaus ein Hinweis auf die neue Funktion – wodurch aber nicht eben Klarheit entsteht:

Es ist erfahrungsgemäß leider nicht damit zu rechnen, dass die Beschreibung für die aktuellen Betriebssysteme noch korrigiert wird. Ob es in Windows 8 richtig stehen wird, bleibt abzuwarten.

Verwandte Beiträge:

1. vSphere-Client auf Windows 7 installieren
   Der aktuelle vSphere-Client (früher: VI-Client) von VMware läuft nicht auf...
2. DHCP Failover in Windows Server “8”
   Eine kleine, aber feine Änderung wird der DHCP-Dienst (voraussichtlich) im...
3. Wie kann man einen DHCP-Server unter Windows ausfallsicher gestalten?
   Der erste Gedanke zielt an dieser Stelle meist in Richtung...

Es gibt sicher viele Wege, ein vergessenes Kennwort zurückzusetzen, aber diese hier ist glaube ich die Einfachste und funktioniert auch an Domänencontrollern mit dem Domänen-Administrator-Konto. Ein bisschen erschrocken war ich schon, aber zumindest wird jetzt hoffentlich auch noch dem letzten klar, dass physischer Zugriff zu einem Server absolut keine gute Idee ist…

• Man nehme eine original Windows Server DVD (getestet mit Server 2008 und 2008 R2) und boote davon.
• Sprache auswählen und weiter.
• “Repair your Computer”
• aktuelle Instanz auswählen und weiter
• als Recovery Option den Punkt “Command Prompt” auswählen
• am Command Prompt wechseln nach c:\Windows\system32

Jetzt kommt die Magie:

• Die Datei utilman.exe (das ist die Eingabehilfe) umbenennen
  (move Utilman.exe Utilman.exe.bak)
• eine Kopie der cmd.exe erstellen als utilman.exe
  (copy cmd.exe Utilman.exe)

Das war es auch schon. Fast unglaublich, oder? Jetzt nur noch DVD raus und rebooten. Nach dem normalen Start bei der Login-Aufforderung reicht jetzt ein “Windows-U”, und schon öffnet sich statt der Eingabehilfe ein CMD-Fenster. Was jetzt kommt, dürfte klar sein:

net user administrator N_eues!PW123

Und schon kann man sich als Administrator mit dem gerade gesetzten Passwort anmelden. Nicht vergessen, später die alte utilman.exe wieder zurück zu kopieren, wir wollen doch nicht, dass jemand den Rechner hackt, oder?

Und wer jetzt schimpft, wie man so eine Lücke lassen kann, der sei erinnert an den Eingangssatz: Physischer Zugang zum Server ist die Wurzel allen Übels!

Verwandte Beiträge:

1. UAC: Den Explorer mit Admin-Rechten starten
   Nach einer langen Phase der Kritik haben sich die meisten...
2. Kennwortänderungsaufforderung per Email mittels Password Reminder Pro
   Das Problem Stellen Sie sich vor, Sie sind der Administrator...
3. Maulkorb für den OU-Admin
   In vielen Active-Directory-Umgebungen wird die Möglichkeit genutzt, bestimmten Mitarbeitern Berechtigungen...

Natürlich gibt es dabei auch einige Dinge, die weniger befriedigend sind. Dazu zählt die Arbeit mit dem Windows-Explorer, wenn man Dateien in geschützten Systembereichen bearbeiten muss. Der Explorer ist nämlich der erste Anwenderprozess, den das System bei der Anmeldung startet, denn er stellt die Benutzeroberfläche dar. Alle weiteren Explorer-Fenster sind dann “Kind-Prozesse” und erben somit die Berechtigungen des “Ur-Explorer”. Die Folge: Aus dem Explorer kann man keine Prozesse mit erhöhten Rechten starten.

Die eingebaute Abhilfe ist wenig überzeugend: Versucht man, als Administrator unter UAC-Schutz auf einen geschützten Speicherbereich (wie etwa das System- oder das Programme-Verzeichnis) zuzugreifen, so bietet der Explorer an, höhere Rechte bereitzustellen. Im Hintergrund erledigt er das aber auf unerwartete Weise, denn er fügt das gerade angemeldete Benutzerkonto mit vollen Zugriffsrechten der Berechtigungsliste des Ordners bzw. der Datei hinzu. Das führt schnell zu unübersichtlichen Rechtestrukturen und liegt i.d.R. nicht in der Absicht des Admins.

Wenn man nun versucht, den Explorer per Rechtsklick ausdrücklich als Administrator zu starten, erhält man zwar eine UAC-Abfrage, aber der Vorgang ist wirkungslos. Auch ein derart gestartetes Explorer-Fenster ist in Wirklichkeit nämlich ein “Kind-Prozess” des ersten Explorers, der nun mal ohne Adminrechte läuft.

Thomas Vuylsteke hat nun eine Methode vorgestellt, mit der sich das Problem umgehen lässt. Es ist allerdings normalerweise nicht für Client-Rechner geeignet, sondern zielt eher auf Server, an denen Admins direkt etwas durchführen müssen. Auch dort hat das Vorgehen seine Schattenseiten, die man kennen sollte.

Windows bietet schon lange die Möglichkeit, Explorer-Fenster in einem eigenen Prozess zu starten. Sie verbirgt sich in den “Ordner- und Suchoptionen” des Explorers:

Wer dies allerdings aktiviert und nun erwartet, einzelne Explorer-Fenster mit Administratorrechten starten zu können, sieht sich getäuscht. Denn diese Einstellung funktioniert anders, als viele es erwarten. Es ist eine Grundsatzeinstellung, die im Wesentlichen den “Ur-Explorer” (also den Explorer-Prozess, der bei der Anmeldung die Bedienoberfläche darstellt) einerseits und alle danach geöffneten Explorer-Fenster andererseits voneinander trennt. In der Folge gibt es dann genau zwei Explorer-Prozesse: Der erste stellt das GUI dar und läuft ohne Adminrechte. Den zweiten Prozess erzeugt Windows, wenn der Anwender nach der Anmeldung das allererste Mal ein Explorer-Fenster öffnet. Alle danach folgenden Explorer-Instanzen leiten sich dann von diesem ersten manuell gestarteten Explorer ab und übernehmen dessen Prozessberechtigungen.

Wer also diese Einstellung setzt, muss danach zuerst alle offenen Explorer-Fenster schließen. Dann kann er per Rechtklick einen neuen Prozess mit Adminrechten starten – und siehe da, alle folgenden Explorer haben nun auch Adminrechte.

Vorsicht aber: Das bedeutet, dass auch alle Prozesse, die man von diesem Admin-Explorer aus startet, über volle Adminrechte verfügen! Effektiv bedeutet das, dass man auf diese Weise sehr weitgehend auf den Schutz durch UAC verzichtet. Als Standard-Maßnahme ist dies also nicht geeignet!

Für ein bestimmtes Einsatz-Szenario ist diese Technik aber eben gut geeignet: Für Administratoren, die auf Dateiservern Berechtigungen ändern müssen. Um den Vorgang für diesen Fall zu erleichtern, hat Thomas ein pfiffiges Verfahren entwickelt, das mit Hilfe von Group Policy Preferences die Voreinstellung automatisch ausrollt. Näheres siehe in seinem Posting:

[Using Windows Explorer together with UAC | ADdict]
http://setspn.blogspot.com/2010/11/using-windows-explorer-together-with.html

Verwandte Beiträge:

1. Admin-Kennwort ganz einfach zurücksetzen
   Dieser Beitrag erschien zuerst auf Ralfs Blog. Es gibt sicher...
2. Explorer in Windows 7: Einige Hinweise
   Mit jedem neuen Windows gibt es auch einen neuen Dateimanager....
3. Der Internet Explorer 9 kommt am 15. März
   Das Windows-Blog hat es gestern verkündet: Der Internet Explorer 9...

Gehört man nun zu denen, die regelmäßig unterschiedliche Betriebssysteme installieren, bei Kunden, in Schulungsräumen, zuhause, in Testumgebungen etc., dann ist es sicherlich interessant, auf einem USB Stick mehr als nur die eine Version zu hinterlegen. Dieser Artikel beschreibt es für Windows 7 und Server 2008, Vista und PE lassen sich über den gleichen Weg integrieren, selbst Linux ist möglich. Was noch ein interessantes Szenario für diverse Datenrecovery und auch Datenshredder bietet.

Kleiner Wermutstropfen: Man muss innerhalb der Systemarchitektur bleiben, also entweder nur x86 oder nur x64.

Benötigte Werkzeuge: cmd.exe, diskpart.exe, bcdedit.exe

1. USB Stick vorbereiten – Teil 1, Shorttrack

USB Stick partitionieren, aktivieren, mit Fat32 formatieren

cmd -> diskpart öffnen
list disk
select disk X (Nr. USB Drive)
clean
create partition primary
select partition 1
active
format fs=fat32 quick

2. Copy der Windows 7 DVD 1zu1 auf die CD

… fertig. Damit ist der Stick bootfähig und kann die Windows 7 Installation starten.

Wie bringe ich nun mehr als eine DVD auf den Stick?

Hier mal am Beispiel von Windows 7 und Windows Server 2008 als Erweiterung.

3. USB Stick vorbereiten – Teil 2, Shorttrack

Kleine Änderungen an der Verzeichnisstruktur zu Übersichtlichkeit
Definition von zwei Verzeichnissen, in denen das Installations-Image (install.wim) zu finden ist.

a) Rename \sources in \sources7
b) Copy \sources der 2008 DVD nach \sources2008R2 auf dem Stick
c) Copy der anderen Ordner der 2008 CD zB nach \CD-Win2008R2, denn adprep etc braucht man schon mal.

4. Bootmanager konfigurieren – Shorttrack

• Anschauen der aktuellen Boot Konfiguration
• kopieren des {default} Bootmenü Eintrags (2mal) mit Definition Namenseintrag
• löschen des {default} eintrags
• Eintragen der beiden kopierten EInträge anhand ihrer erzeugten GUID
• und Angabe des Pfades zur BOOT.WIM

In meinem Beispiel hat der USB-Stick den Buchstaben H:, und ich verwende die Ordner \sources7 und \sources2008R2. Achtet darauf, dass ihr die richtigen GUIDs dem passenden Pfad zuordnet.

H:\>bcdedit /store H:\BOOT\BCD 

Windows-Start-Manager
---------------------
Bezeichner              {bootmgr}
description             Windows Boot Manager
locale                  en-US
inherit                 {globalsettings}
default                 {default}
displayorder            {default}
toolsdisplayorder       {memdiag}
timeout                 30 

Windows-Startladeprogramm
-------------------------
Bezeichner              {default}
device                  ramdisk=[boot]\sources\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}
path                    \windows\system32\boot\winload.exe
description             Windows Setup
locale                  en-US
inherit                 {bootloadersettings}
osdevice                ramdisk=[boot]\sources\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}
systemroot              \windows
detecthal               Yes
winpe                   Yes
ems                     Yes 

H:\>bcdedit /store H:\BOOT\BCD /copy {default} /d Windows7-Enterprise
Der Eintrag wurde erfolgreich in {6d1a4c09-124f-11df-a634-0013773cb55d} kopiert. 

H:\>bcdedit /store H:\BOOT\BCD /copy {default} /d Windows2008-R2
Der Eintrag wurde erfolgreich in {744a4cdf-124f-11df-a634-0013773cb55d} kopiert. 

H:\>bcdedit /store H:\BOOT\BCD /delete {default}
Der Vorgang wurde erfolgreich beendet. 

H:\>bcdedit /store H:\BOOT\BCD 

Windows-Start-Manager
---------------------
Bezeichner              {bootmgr}
description             Windows Boot Manager
locale                  en-US
inherit                 {globalsettings}
displayorder            {6d1a4c09-124f-11df-a634-0013773cb55d}
                        {744a4cdf-124f-11df-a634-0013773cb55d}
toolsdisplayorder       {memdiag}
timeout                 30 

Windows-Startladeprogramm
-------------------------
Bezeichner              {6d1a4c09-124f-11df-a634-0013773cb55d}
device                  ramdisk=[boot]\sources\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}
path                    \windows\system32\boot\winload.exe
description             Windows7-Enterprise
locale                  en-US
inherit                 {bootloadersettings}
osdevice                ramdisk=[boot]\sources\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}
systemroot              \windows
detecthal               Yes
winpe                   Yes
ems                     Yes 

Windows-Startladeprogramm
-------------------------
Bezeichner              {744a4cdf-124f-11df-a634-0013773cb55d}
device                  ramdisk=[boot]\sources\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}
path                    \windows\system32\boot\winload.exe
description             Windows2008-R2
locale                  en-US
inherit                 {bootloadersettings}
osdevice                ramdisk=[boot]\sources\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}
systemroot              \windows
detecthal               Yes
winpe                   Yes
ems                     Yes 

H:\>bcdedit /store H:\BOOT\BCD /set {744a4cdf-124f-11df-a634-0013773cb55d} device ramdisk=[boot]\sources2008R2\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}
Der Vorgang wurde erfolgreich beendet. 

H:\>bcdedit /store H:\BOOT\BCD /set {744a4cdf-124f-11df-a634-0013773cb55d} osdevice ramdisk=[boot]\sources2008R2\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}
Der Vorgang wurde erfolgreich beendet. 

H:\>bcdedit /store H:\BOOT\BCD /set {6d1a4c09-124f-11df-a634-0013773cb55d} device ramdisk=[boot]\sources7\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}
Der Vorgang wurde erfolgreich beendet. 

H:\>bcdedit /store H:\BOOT\BCD /set {6d1a4c09-124f-11df-a634-0013773cb55d} osdevice ramdisk=[boot]\sources7\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}
Der Vorgang wurde erfolgreich beendet. 

H:\>bcdedit /store H:\BOOT\BCD 

Windows-Start-Manager
---------------------
Bezeichner              {bootmgr}
description             Windows Boot Manager
locale                  en-US
inherit                 {globalsettings}
displayorder            {6d1a4c09-124f-11df-a634-0013773cb55d}
                        {744a4cdf-124f-11df-a634-0013773cb55d}
toolsdisplayorder       {memdiag}
timeout                 30 

Windows-Startladeprogramm
-------------------------
Bezeichner              {6d1a4c09-124f-11df-a634-0013773cb55d}
device                  ramdisk=[boot]\sources7\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}
path                    \windows\system32\boot\winload.exe
description             Windows7-Enterprise
locale                  en-US
inherit                 {bootloadersettings}
osdevice                ramdisk=[boot]\sources7\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}
systemroot              \windows
detecthal               Yes
winpe                   Yes
ems                     Yes 

Windows-Startladeprogramm
-------------------------
Bezeichner              {744a4cdf-124f-11df-a634-0013773cb55d}
device                  ramdisk=[boot]\sources2008R2\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f} 

path                    \windows\system32\boot\winload.exe
description             Windows2008-R2
locale                  en-US
inherit                 {bootloadersettings}
osdevice                ramdisk=[boot]\sources2008R2\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f} 

systemroot              \windows
detecthal               Yes
winpe                   Yes
ems                     Yes

Verwandte Beiträge:

1. Windows Server 2008 und Vista SP1 sind fertig!
   Mittlerweile pfeifen es schon viele Spatzen von den Dächern: Seit...
2. Terminal Server 2008 einrichten
   Als Grundlage eines TS 2008 dient in diesem Beispiel ein...
3. Dynamische DNS-Updates seit Vista nicht mehr per DHCP-Client
   Gerade machte Yusuf Dikmenoglu auf ein Detail aufmerksam, das ich...

Vor einigen Wochen, am 3. Dezember 2009, machte dann eine Pressemitteilung des Fraunhofer SIT Furore, in der das Institut über einen erfolgreichen Angriff auf BitLocker berichtete. Viele Medien zogen daraus den Schluss: “BitLocker ist geknackt!” Ist das wirklich so?

Alarmistische Reaktionen auf die Fraunhofer-Mitteilung waren z.B. diese:

[Fraunhofer Institut knackt TPM Bitlocker-Verschlüsselung]
http://www.datenrettung-fakten.de/Fraunhofer-Institut-knackt-TPM-Bitlocker-Verschlusselung.html

Andere reden von “gefährlichen Sicherheitslücken”, “offenen Toren für Industriespione” und ähnlichem. Um das besser einschätzen zu können, ist es hilfreich zu sehen, was Fraunhofer denn da wirklich gefunden hat.

Was BitLocker ist

Zunächst einmal: BitLocker ist keine Allround-Verschlüsselung und kein All-in-one-Sicherheitswerkzeug. Vom Design her soll es ein Windows-System ausschließlich gegen eine bestimmte Form so genannter “Offline-Attacken” sichern, also Angriffe gegen das nicht laufende Betriebssystem. Dazu verschlüsselt es den Festplatteninhalt und gibt den Zugriff darauf nur frei, wenn das vorgesehene Betriebssystem auf dem vorgesehenen Rechner gestartet wird. Die Verbindung zum Rechner wird über das Trusted Platform Module (TPM, eine Art eingebaute Smartcard) hergestellt. Sind die Umgebungsvoraussetzungen gegeben, gestattet BitLocker den Zugriff auf die Platte und startet das dort installierte Betriebssystem.

Läuft Windows dann, spielt BitLocker keine praktische Rolle mehr. Weder ist Windows dann sicherer, noch greift BitLocker irgendwie in die Kommunikation mit der Außenwelt ein. Ebenso schützt BitLocker nicht einzelne Dateien oder Applikationen. Für den Schutz des laufenden Systems ist Windows selbst verantwortlich – und damit die Administratorin des Systems, die für die sichere Konfiguration sorgen muss. Hat sie etwa Schnittstellen ungeschützt offen gelassen, dann kann man diese online angreifen. Hat sie unsichere Kennwörter zugelassen, dann kann man über diesen Weg das System kompromittieren.

Was das Fraunhofer SIT wirklich gefunden hat

Wie jeder kompetente Angreifer hat sich auch das Fraunhofer SIT auf ein Detail in BitLocker gestürzt, das eine potenzielle Schwachstelle darstellt. Allgemein wird empfohlen, dass man den Startprozess von BitLocker nicht nur durch das TPM absichert (dadurch prüft BitLocker, ob es sich auf dem richtigen Rechner befindet und verhindert z.B., dass die Festplatte einfach in einen anderen Rechner eingebaut und dort gelesen wird), sondern zusätzlich eine “Pre-Boot Authentication” in Form einer PIN aktiviert. Beim Start muss der Benutzer so die richtige PIN eingeben, sonst bricht BitLocker den Startvorgang ab.

An dieser Stelle setzt die Fraunhofer-Attacke ein: Ähnlich wie das PIN-Ausspähen am Geldautomaten versuchen die Angreifer, an die PIN des Benutzers für BitLocker zu kommen. Dazu tauschen sie den BitLocker-Bootloader gegen einen eigenen Bootloader aus, der den BitLocker-Startbildschirm imitiert und den Benutzer zur Eingabe seiner PIN bringt. Diese speichert das Programm ab und startet im zweiten Schritt den echten BitLocker-Bootloader, der dann das System normal startet. Der Benutzer muss seine PIN erneut eingeben, diesmal aber an BitLocker selbst.

Die eigentliche Verschlüsselung von BitLocker hat das Fraunhofer SIT aber eben nicht geknackt – es hat sie ja nicht einmal angegriffen!

Das Angriffsszenario

Auf diesem Weg kann ein Angreifer also an die PIN des Benutzers kommen. Mit deren Hilfe kann der Angreifer dann den Rechner des Ausgespähten starten – viel mehr aber eben nicht! Um tatsächlich an die Daten zu kommen, muss der Angreifer nun also auch noch die Sicherheitssysteme des laufenden Windows überwinden.

Zudem setzt der Angriff gleich zweimal den Zugriff auf den Zielrechner voraus, wobei der tatsächliche Benutzer zwischendurch arglos den Computer normal nutzen muss. Der erste “Besuch” des Angreifers dient dazu, das Bootprogramm von BitLocker auszutauschen. Danach muss der normale Benutzer wieder ran, denn er muss die auszuspähende PIN ja überhaupt eingeben. Die Methode bringt es dann mit sich, dass der Computer nach PIN-Eingabe unvermittelt neu startet und gleich nochmal die PIN verlangt. Das muss der Benutzer ohne Verdacht hinnehmen. Danach muss der Angreifer denselben Rechner ein zweites Mal in die Finger bekommen, um die nun gespeicherte PIN auszulesen und zu versuchen, die eigentlichen Daten abzugreifen.

Die Bedrohung

Sogar die Forscher des Fraunhofer SIT stufen diese Bedrohung als überschaubar ein, weil sie nur unter ganz bestimmten Voraussetzungen überhaupt funktioniert. Sie kommen zu dem Schluss, dass BitLocker trotz dieser gefundenen Angriffsmöglichkeit ein gutes und sinnvolles System bleibt. Zum Nachlesen:

[Fraunhofer SIT - Security Test Lab - Attacking the BitLocker Boot Process]
http://testlab.sit.fraunhofer.de/content/output/project_results/bitlocker_skimming/

In dieselbe Richtung argumentiert das Windows Security Blog in einer indirekten Reaktion auf die Fraunhofer-Mitteilung. Die dort getroffene Einordnung als “relatively low risk” ist durchaus angemessen.

[Windows BitLocker Claims - Windows Security Blog - The Windows Blog]
http://windowsteamblog.com/blogs/windowssecurity/archive/2009/12/07/windows-bitlocker-claims.aspx

Insbesondere hebelt der Angriff nicht den Schutz in dem Zielszenario von BitLocker aus: Wird ein Notebook oder auch ein Server gestohlen, kann der Dieb durch die beschriebene Methode nicht an die dort gespeicherten Daten kommen. Es sei denn, er stieht das Notebook gleich zweimal. Hat er aber die Möglichkeit, den Angriff vorzubereiten, dann ist es wesentlich wahrscheinlicher, dass er auch andere Wege nutzen könnte, an sein Ziel zu kommen. Er könnte z.B. auch gleich das laufende System angreifen (statt es erst zum Laufen zu bringen), er könnte die PIN auf andere Weise ausspähen, er könnte das Netzwerk angreifen, in dem der Rechner sich befindet …

Viel Wind um … wenig

Das Problem, von einigen Medien als riesige Sensation aufgemacht, entpuppt sich als Scheinriese: Je näher man ihm kommt, desto kleiner wird er. Die Lücke existiert, keine Frage. Aber ihre Auswirkungen sind überschaubar. Darüber hinaus ist das konkrete Vorgehen zwar neu und vom Fraunhofer SIT gut aufbereitet, aber Angriffsmöglichkeiten dieser Kategorie sind schon mehrere Jahre lang diskutiert worden.

Als Fazit kann man wohl festhalten: BitLocker ist und bleibt eine gute Möglichkeit, sich mit Festplattenverschlüsselung gegen bestimmte Datenspionage-Gefahren abzusichern. Wie jedes andere Sicherheitswerkzeug schützt es aber nur vor einer ganz bestimmten Risikokategorie und ersetzt kein umfassendes Sicherheitskonzept. Überzogene Erwartungen sind hier wie auch bei jeder anderen Technik nicht angebracht.

Verwandte Beiträge:

1. Sicherer Stick: BitLocker to Go in Windows 7
   Unter den vielen neuen Features von Windows 7 ist eines,...
2. UAC: Den Explorer mit Admin-Rechten starten
   Nach einer langen Phase der Kritik haben sich die meisten...
3. Admin-Kennwort ganz einfach zurücksetzen
   Dieser Beitrag erschien zuerst auf Ralfs Blog. Es gibt sicher...

So sieht das aus:

Und so kommt man ran – Kay erläutert alles Nötige und Wissenswerte:

[Windows 7 | Vista: Erweiterte Systemsteuerung aktivieren [{ED7BA470-8E54-465E-825C-99712043E01C}] – [Weblog von Kay Giza]]
http://www.giza-blog.de/Windows7VistaErweiterteSystemsteuerungAktivierenED7BA4708E54465E825C99712043E01C.aspx

Update 6. Januar 2010: Auch Ina Fried von CNET hat die Diskussion um dieses angebliche “Superfeature” mitbekommen. Albernerweise bezeichnet sie es als “GodMode”, was auch fleißig von vielen anderen Quellen übernommen wird. Das wird durch die Tatsache, dass die “Entdeckung” schon mehrere Wochen alt ist (Kay hat schlappe zwei Wochen vor ihr darüber berichtet), nicht unbedingt besser …

[Understanding Windows 7's 'GodMode' | Beyond Binary - CNET News]
http://news.cnet.com/8301-13860_3-10423985-56.html?part=rss&subj=news&tag=2547-1_3-0-20

Update 8. Januar 2010: Wie ich gerade erfahre, ist die Geschichte in Wirklichkeit noch älter. Der Tipp tauchte bereits Anfang Oktober 2009 bei der deutschen PC-Welt auf (angeblich haben die das selbst gefunden):

[Geheime Zentrale für mehr als 250 Tasks - Tipp - PC-WELT]
http://www.pcwelt.de/start/software_os/tipps_tricks/windows/systemeinstellungen/2104061/geheime_zentrale_fuer_mehr_als_250_tasks/index.html

Und der Name “GodMode” kommt angeblich von Blogger Caschy – am 12. Dezember 2009.

[Windows 7 GodMode]
http://stadt-bremerhaven.de/windows-7-godmode/

Die Hysterie, die um dieses angebliche Superfeature entbrannt ist (was soll daran eigentlich so toll sein? Ich finde es eher unpraktisch), ist ein hübsches Beispiel für virales Marketing. “Much ado about nothing”, wusste schon Shakkes.

Verwandte Beiträge:

1. Adminpak auf Windows Vista
   Update 14.3.2007: Mit dem Windows Vista Application Compatibility Update von März...
2. rsh in Windows Vista bis Windows 7
   Admins benötigen für manche Serverzugriffe das Remote-Shell-Programm rsh. Dieses ist...
3. Alte Hardware unter Windows Vista betreiben
   Vista wird viel gescholten: Es gebe kaum Treiber, alte Hardware...

Achtung: Im Falle von Vista und Windows 7 ist dafür die Enterprise oder Ultimate Edition nötig!
Und: Aus Sicherheitsgründen wird vom Einsatz von rsh abgeraten. Sofern möglich, sollten sichere Alternativen wie ssh genutzt werden.

• Aktivieren Sie dazu zunächst in der Systemsteuerung unter „Programme und Funktionen“/„Windows-Funktionen aktivieren oder deaktivieren“ (bzw. auf dem Server: im Server-Manager unter „Features hinzufügen“) das Feature „Subsystem für UNIX-basierte Anwendungen“.
• Laden Sie dann die unterstützenden Dienstprogramme von Microsoft herunter: http://go.microsoft.com/fwlink/?LinkId=67558 
• Installieren Sie die Dienstprogramme per Doppelklick. Wählen Sie die Custom Installation. Sie benötigen nur die „Basic Utilities“ und die „GNU Utilities“. Die erweiterten Sicherheitsoptionen für „su“, nach denen der Installer fragt, lassen Sie bitte alle deaktiviert.
• Nach einem Neustart können Sie rsh nutzen. Sie müssen es aufrufen aus dem Pfad %systemroot%\SUA\bin.

Update 8. Oktober 2010:

Vorsicht: Die Windows-Firewall blockiert den rsh-Zugriff. Für eine korrekte Funktion müssen folgendte TCP-Ports ein- und ausgehend geöffnet werden:

• 514
• 1022
• 1023

(Danke für den Hinweis an meinen Kollegen Feuerwehrbrot.)

Verwandte Beiträge:

1. Adminpak auf Windows Vista
   Update 14.3.2007: Mit dem Windows Vista Application Compatibility Update von März...
2. Vista Anytime Upgrade: Stolperstein .Net 2.0
   Mein Tablet PC, der mit einem Vista Business OEM daherkam,...
3. Windows Server 2008 und Vista SP1 sind fertig!
   Mittlerweile pfeifen es schon viele Spatzen von den Dächern: Seit...

Dummerweise hatte ich selbst gerade diesen Fall. In meiner ehemaligen Vista-Installation hatte das hervorragend geklappt, die neue Windows-7-Installation zeigte aber das angesprochene Problem. Die Details zur Meldung gaben an, dass noch mehrere tausend Objekte zu indizieren seien. Normalerweise eine Sache von Stunden (unter Windows 7 übrigens mit weniger spürbarer Auswirkung, weil die Priorität des Indexers verändert wurde). Bei mir hielt das aber schon bald zwei Wochen an.

Die Lösung fand ich in einem Blog-Artikel. Da dieser zugriffsbeschränkt ist, posaune ich das hier noch mal aus.

Der Trick besteht darin, dass man den Index komplett neu aufbaut. Die dafür vorgesehene Funktion ist von selbst nicht radikal genug, daher wendet man einen zusätzlichen Kniff an:

1. Outlook beenden.
2. Die Indizierungsoptionen aufrufen. (Schnellster Weg: Startmenü öffnen und “indiz” eintippen; der oberste Eintrag ist es.)
3. Den Button “Ändern” klicken. Es erscheint ein Fenster mit Ankreuzoptionen für die Indizierung. Vorsichtshalber notieren, wie die Häkchen gesetzt sind.
   
4. Alle Haken entfernen, inklusive Outlook.
5. Mit OK bestätigen, dann den Button “Erweitert” klicken (UAC bestätigen).
   
6. Unter “Problembehandlung” den Button “Neu erstellen” betätigen.
   
7. Ein paar Momente später sollte der Index anzeigen, dass er 0 Elemente hat. Unter Windows 7 bleiben einige Einträge trotz entfernten Häkchens erhalten und erzeugen gleich einige –zig neue indizierte Einträge. Das ist okay.
8. Nun über “Ändern” die vorher gesetzten Elemente wieder hinzufügen, einschließlich Outlook.
9. Mit OK bestätigen und eine Weile warten.

In meinem Fall war die Outlook-Indizierung eine Zeit später (der Rechner war kaum genutzt und brauchte für mein recht großes Postfach mit mehr als 50.000 Elementen etwa zwei Stunden) vollständig und korrekt abgeschlossen. Die Fehlermeldung beim Suchen erscheint nicht mehr, und was ich benötige, findet die Suche umgehend.

Verwandte Beiträge:

1. Outlook 2010: Adressvorschläge beim Update manuell übertragen
   Kai Schneider hat in einem interessanten Artikel beschrieben, wie man...
2. Öffentliche und private Kalender in Outlook 2007 anzeigen
   Wir haben auf einem Exchange Server 2007 für unsere Mitarbeiter...
3. Exchange Server 2007 Outlook Anywhere: Autodiscover und ISA Server 2006
   Aktuell geht es um das Problem des Autodiscover und Download...

Beide Kommentar-Varianten legt die GPMC (bzw. eigentlich der Gruppenrichtlinien-Editor) als Textdateien im Speicherordner der Gruppenrichtlinien ab, der sich in der SYSVOL-Freigabe des Dateisystems befindet. Dabei werden die Varianten auch als Dateien unterschiedlich gehandhabt: Kommentare des gesamten Gruppenrichtlinienobjekts liegen als Textdatei mit dem Namen "GPO.cmt" direkt im GPO-Speicherordner vor. Kommentare zu einzelnen Einstellungen, derzeit leider nur für die Administrativen Vorlagen verfügbar, legt das Programm als XML-Datei mit dem Namen "comment.cmtx" im Unterordner Machine bzw. User ab.

Anders, als man erwarten könnte, liegen diese Metadaten also nicht in Active Directory vor, sondern als relativ simple Textdateien. Einerseits ist das etwas inkonsistent, weil die meisten beschreibenden Daten zu GPOs eben sehr wohl in Active Directory stehen (z.B. die Versionsnummer oder die Information, welcher GPO-Abschnitt aktiv ist). Zur Auswertung der vollständigen Metadaten sind also zwei verschiedene Techniken nötig: Ein Zugriff auf AD und ein Dateizugriff. Andererseits erreicht Microsoft mit diesem Ansatz größtmögliche Kompatibilität, denn die Kommentare sind so nicht von Active Directory und seinem Schema abhängig und auch nicht von einer bestimmten Windows-Version.

Kommentare zu GPOs

Zu der Datei "GPO.cmt" findet sich im Internet bislang praktisch gar nichts, vor allem keine Dokumentation durch den Hersteller. Es liegt aber durchaus nahe, die Datei programmatisch auszuwerten oder zu erzeugen, daher benötigt man schon einige Rahmendaten. Hier die Ergebnisse meiner Experimente:

• Die Datei muss im Unicode-Format vorliegen. Mit ANSI-Dateien können weder die GPMC noch der Gruppenrichtlinien-Editor etwas anfangen und zeigen unleserliche Schriftzeichen an (weil sie die Daten falsch interpretieren).
• Es gibt anscheinend keine vorgegebene Schnittstelle im System, um die Datei auszuwerten. Dies ergibt sich daraus, dass die GPMC und der GP-Editor leicht unterschiedlich reagieren – siehe die folgenden Punkte. Es dürfte als Schlussfolgerung derzeit also durchaus machbar sein, die Datei direkt anzusprechen, weil die Windows-Tools das anscheinend auch tun.
• Angaben zur maximalen Dateigröße finden sich nirgends. Meine Versuche haben aber eine ungefähre Maximalgröße ergeben:
  • Bei manueller Eingabe lässt der GP-Editor maximal 2047 Zeichen zu.
  • Fügt man Text aus der Zwischenablage ein, wird dieser nach 2031 Zeichen abgeschnitten. Man kann dann auch manuell keine Zeichen mehr hinzufügen, jedenfalls nicht im selben Arbeitsschritt.
  • Fügt man in die Datei GPO.cmt direkt Text ein, so kann dieser länger sein als 2031 bzw. 2047 Zeichen. Der GP-Editor zeigt allerdings dann ohne weitere Meldungen nur die ersten 2031 Zeichen an. Die GPMC hingegen zeigte in meinem Versuch 2035 leserliche und einige unleserliche Zeichen an.
  • Als Quintessenz lässt sich derzeit also nur die vage Empfehlung aussprechen, dass der Kommentar nicht mehr als 2000 Zeichen umfassen sollte, wenn nichts verschluckt werden soll. Dadurch sind der Nutzbarkeit der Kommentare natürlich Grenzen gesetzt: Eine komplette Änderungshistorie etwa kann man so nicht ablegen. Dies muss man bei Bedarf weiterhin in separaten Dokumentationen tun.
• Andere Werkzeuge, die die Datei GPO.cmt direkt ansprechen, stehen nicht unter dieser Größenbeschränkung. Mein Doku-Tool José gibt z.B. klaglos auch viel längere Kommentare aus. Da man diese dann aber nicht mehr im GP-Editor bearbeiten kann, sollte man das oben skizzierte Limit nicht überschreiten.

Kommentare zu Einstellungen

Einstellungskommentare legt der GP-Editor in XML-Dateien ab. Das Format dieser Dateien ist nur scheinbar gut dokumentiert – zwar erwähnt die Microsoft-Dokumentation sie, aber Details fehlen dann doch. Daher hier ein Beispiel einer solchen Datei:

Hier habe ich (bislang) keine Experimente bezüglich der Dateigröße gemacht.

Verwandte Beiträge:

1. Sichern und Wiederherstellen von GPOs über die GPMC
   Wer mit Gruppenrichtlinien arbeitet, sollte sich auch Gedanken über die...
2. Excel-Daten in echtes CSV exportieren
   Die Bearbeitung einer CSV-Datei mit Excel ist keine Freude. Excel...
3. Navision: Texte auf 30 Zeichen begrenzen
   Viele Navision-Felder haben die Eigenart, dass sie nur 30 Zeichen...

Also nichts wie installieren. Zuerst mal die Restore-CD rein. Dort zuerst mal zwei Partitionen anlegen: 60 GBytes für das System und 90 GBytes für die Daten. Und dann den System Restore des nackten Systems machen. Es handelt sich um ein Fujitsu T2010. Die Installation dauert lange, ist aber vollständig und läuft mit wenigen Interaktionen ab. Kurz angetestet, alles läuft wie erwartet. Graphiktreiber funktionieren, zweiter Monitor ist aktivierbar, Dockingstation tut, alles paletti. Dann noch mit dem SBS 2003 verbinden.

Nun zum Upgrade. Die Anytime-Upgrade-DVD einlegen (bei laufendem Vista) und uups: Da kommt eine Meldung, dass zuerst mal das SP1 installiert werden müsse, bevor ich den Upgrade machen könne. Nichts geht. Also DVD wieder raus, mit dem Internet verbinden und runterladen. Einige hundert MBytes, einige Neustarts und viele Stunden später ist es dann soweit. Vista ist auf SP1 Level. Sofort wieder die DVD rein und nochmals versuchen.

Jetzt kann der Upgrade auf Vista Ulitmate wie gewünscht vorgenommen werden. Also starten und warten. 4 Stunden später ist der drauf. Toll denke ich, aber nun beginnt die grosse Überraschung. Nichts läuft mehr, wie es sollte. Die Touchbuttons reagieren nicht, auf welche ich im Tablet-PC-Betrieb angewiesen bin, der zweite Monitor hängt sich dauernd wieder ab und die Graphikkarte kehrt in den Ein-Monitor-Zustand zurück, es erscheinen unerklärliche Fehlermeldungen und der Bildschirm flackert alle paar Minuten wirr herum und das Touchpad reagiert auch nicht so, wie ich es konfiguriert habe. Ich installiere das Update des Graphiktreibers von Intel. Es wird nicht besser. Es sind scheinbar die Utilities von Fujitsu, die benötigt werden, um die Fujitsu-Buttons neben dem Tablet Display zu aktivieren, die nicht mehr wollen. Zumindest erzeugen die jeweils die Fehlermeldungen.

Nach langem Suchen im Internet finde ich einen Hinweis, dass diese Utilities mit dem .NET Framework 2.0 programmiert wurden. Also denke ich mir: Deinstalliere mal das .Net Framework und installiere es neu. Aber nichts da, dieses ist ja im SP1 von Vista fest eingebaut. Ich finde einen weiteren Hinweis, dass die Utilities nicht richtig laufen könnten, wenn das .Net Framework nach den Utilities installiert werde. Das war sicher nicht der Fall, weil diese ja mal funktioniert haben. Plötzlich geht mir ein Licht auf: Beim Upgrade auf das SP1 wurde das eigenständige .NET Framework deinstalliert und das im SP1 enthaltene aktiviert. Dabei gingen gerieten wohl die Utilities außer Kontrolle.

Lösung: Alles deinstallieren, was nicht mit dem Betriebssystem daher kam und evtl. auf das .NET Framework angewiesen sein könnte. Dies sind unter anderem einige Treiber, wie z.B. die Synaptics Touchpad Treiber (Version 10), aber auch alle Fujitsu Utilities. Danach den Rechner neu starten und nun die gleichen Treiber/Utilities wieder installieren. Und Verdacht bestätigt: Jetzt läuft wieder alles wie erwartet.

Vermutlich hätte ein .NET-Guru eine bessere Lösung gewusst, die Anwendungen an das integrierte .NET Framework 2.0 zu binden, als alles zu deinstallieren und neu zu installieren. Nur würde ich eigentlich erwarten, dass dies bei der Installation des Anytime Upgrades automatisch gemacht wird, was wohl nicht der Fall ist.

Und zu guter Letzt: Die Konfiguration, die die Recovery-DVD vorgenommen hat, ist nicht Bitlocker-tauglich. Ich weiß noch nicht wieso, vermute aber, es ist die 1.5 GByte große EISA-Partition, die die Recovery-DVD automatisch vor die eigenen Partitionen hinstellt, welche das verhindern. Wie ich diese allerdings loswerden könnte, entzieht sich meiner Kenntnis, und die Informationen, die man im Internet dazu findet sind auch nicht gerade hilfreich.

Fazit: 141 US$ und 2 Tage verschwendet. Der einzige Vorteil, den es hat: Ich kann jetzt mit den optionalen Ultimate-Features den Tablet PC auch mit Thailändischer Schrift betreiben

Verwandte Beiträge:

1. Dateisystem aufräumen nach einem Upgrade auf Windows 7
   Nach einer Upgrade-Installation bleiben bestimmte Ordner und Dateien erhalten, welche...
2. rsh in Windows Vista bis Windows 7
   Admins benötigen für manche Serverzugriffe das Remote-Shell-Programm rsh. Dieses ist...
3. CSV als Datenbank: Unterschiede zwischen Vista und XP
   Zugegeben, es ist ein etwas exotischer Fall. Trotzdem wird der...