Bislang habe ich noch nichts über die kommende Windows-Version geschrieben, da in der Developer Preview noch ziemlich unklar ist, welche Features schließlich im fertigen Produkt vorhanden sein werden. Ich wollte mich einfach nicht an den Spekulationen und den häufigen Vorverurteilungen beteiligen, die in vielen Foren bereits jetzt die Wogen hochschlagen lassen. Besonders die Einführung des Metro-Designs auf dem Desktop sorgt für heftige Diskussionen. Bitte Leute, wartet mit euren Urteilen doch, bis klar ist, was Microsoft aus den Kacheln macht und welche Funktionalitäten letztendlich hinter diesen Designelementen stecken wird. Die Kacheln in der Developer Preview dienen wohl der Prüfung der Schnittstellen von Windows 8 und werden es vermutlich nicht ins fertige Produkt schaffen. Ich meine, dass das Metro-Design durchaus das Zeug hat, Windows 8 zum Renner zu machen, wenn Microsoft es schafft, die Kacheln mit sinnvollen Funktionalitäten zu hinterlegen, die den Anwender unterstützen und ihm helfen, Zeit zu sparen, indem sie ihm Routinearbeiten abnehmen. Gelingt Microsoft das nicht, kann das gleiche Metro-Design Windows 8 aber auch zum Flop werden lassen. Warten wir ab, was die Public Beta bringt, die wir für Ende Januar erwarten können.

Nachdem Microsoft in der letzten Zeit begonnen hat, einzelne Funktionalitäten in seinem Blog “Building Windows 8″ einzelne Funktionalitäten von Windows 8 vorzustellen, können wir wohl mit Fug und Recht davon ausgehen, dass diese Features mit großer Wahrscheinlichkeit auch im endgültigen Produkt vorhanden sein werden. Aus diesem Grund habe ich mich entschlossen, jetzt damit zu beginnen, diese Funktionalitäten vorzustellen, die besonders auf dem Tablet PC hilfreich sind.

Eine Aufgabe, die auf dem Tablet PC immer etwas mühsam zu erledigen war, ist das Einloggen in Windows. Es ist nun einmal mit dem Stift oder dem Finger auf der Bildschirmtastatur nicht so einfach wie auf einer echten Tastatur, ein komplexes Passwort einzugeben. Deshalb hat Microsoft bereits für Windows XP und Windows Vista Origami veröffentlicht. Diese Software, die ich in diesem Blog bereits berschrieben habe, ermöglicht ein Login, indem vorgegebene Bilder in einer bestimmten Reihenfolge angeklickt wurden. Diese Methode ist allerdings nicht gar so sicher, weshalb Microsoft die Funktionalität in Windows 8 gründlich überarbeitet und erweitert hat.

In Untersuchungen hat Microsoft festgestellt, dass die Eingabe eines komplexen Passworts mit einer sicheren Länge, das Ziffern, Sonderzeichen sowie mit Groß- und Kleinschreibung enthält, auf einer Bildschirmtastatur bis zu 30 Sekunden in Anspruch nehmen kann. Wir können davon ausgehen, dass Tablet PCs sowie andere Geräte mit Touchoberfläche und/oder Stiftbedienung in der Zukunft weitere Verbreitung finden werden. Daher hat Microsoft nun das “Picture Password” entwickelt. Ein deutscher Name ist bislang noch nicht gefunden worden.

Um Picture Password, das in der aktuellen Developer Preview bereits vorhanden ist, nutzen zu können, müssen Sie zunächst in Ihrer Bilder-Bibliothek ein eigenes Bild ablegen. Die von Microsoft mitgelieferten Beispielbilder können Sie nicht verwenden, da Microsoft der Meinung ist, dass Sie sich besser an Ihr Passwort erinnern, wenn Sie ein eigenes Bild verwenden. Außerdem steht zu vermuten, dass viele Anwender die gleichen Gesten verwenden, wenn sie alle mit den gleichen mitgelieferten Bildern arbeiten. Sie können als Anwender also entscheiden, welches individuelle Bild Sie verwenden wollen und welche Teile des Bildes für das Passwort entscheidend sein sollen. Außerdem freuen sich viele Anwender, wenn sie ihren Rechner etwas individualisieren können. Für diesen Artikel verwende ich Bilder, die Microsoft in seinem Blog veröffentlicht hat.

Das könnte ein ganz normales Foto von der letzten Familien- oder Firmenfeier sein. Auf diesem Bild können Sie nun Ihre Gesten festlegen. Dabei stehen Ihnen drei Gestenarten zur Verfügung: Tipp, Kreis und Linie. Ob die Gestenarten diese Namen bekommen werden ist selbstverständlich derzeit noch unsicher. Ich habe hier einfach die englischen Begriffe tap, circle und line übersetzt. Die folgende Abbildung zeigt diese drei Gestenarten (beim Login werden die Gesten selbstverständlich nicht angezeigt, sondern sie wurden von Microsoft in das Bild gezeichnet).

Um die Gesten erfolgreich als Passwort auszuwerten müssen die folgenden Kriterien erfüllt sein:

1. Die Reihenfolge der Gesten muss stimmen.
2. Die Gesten müssen an der richtigen Stelle ausgeführt werden.
3. Die Gesten Kreis und Linie müssen in der richtigen Richtung ausgeführt werden. Wird beispielsweise die Linie, die zwei Punkte verbindet, in der falschen Richtung gezogen, wird die Geste nicht mehr als richtig erkannt.

Die Gesten sollen auch mit der Maus ausführbar sein. Das habe ich nun nicht ausprobiert; ich kann mir  aber vorstellen, dass besonders der Kreis mit der Maus eventuell schwierig zu ziehen ist. Nach fünf fehlerhaften Versuchen in Folge wird das Picture Password deaktiviert und das Login muss über die traditionelle Bildschirmtastatur durchgeführt werden. Sollten Unternehmen Bedenken bezüglich der Sicherheit des Picture Passwords haben, können die Administratoren dieses Feature per Gruppenrichtlinie deaktivieren.

Weitere Informationen zum Picture Password und dessen Funktionsweise finden Sie im MSDN-Blog.

Gestern abend hat Microsoft ein außerplanmäßiges Sicherheitsupdate veröffentlicht, das eine Sicherheitsanfälligkeit in der Windows Shell beseitigt. Das Update betrifft alle unterstützten Versionen von Windows (Windows XP SP2 und höher). Anwender, die Windows Update aktiviert haben, müssen sich um nichts kümmern, da in diesem Fall das Update automatisch installiert wird. Allen anderen Anwendern empfiehlt Microsoft, das Update möglichst sofort zu installieren. Informationen zu diesem Update finden Sie auf Technet.

Kay Giza, MSDN Online Team-Lead bei Microsoft Deutschland, hat in seinem Blog einen umfangreichen Artikel veröffentlicht, in dem er sich mit den meist unbegründeten Bedenken gegenüber Microsoft Update und Windows Update beschäftigt. Ich kann nur jedem empfehlen, den Link zu diesem Artikel anzuklicken und den Artikel zu lesen. Er widerlegt leicht verständlich und unterhaltsam geschrieben die meisten der immer wieder auftauchenden Bedenken gegen die automatischen Updates. Besser bekomme ich das auch nicht hin und werde hier deshalb die Inhalte auch nicht wiederholen, sondern lediglich noch einige wenige Anmerkungen anbringen:

Kay bringt den folgenden Mythos ins Spiel: Mein PC läuft danach langsamer oder unstabil! Dazu schreibt er: “Die Dienste Windows Update oder Microsoft Update und die automatische Installation der Updates und die Suche nach Updates bewirken in der Regel keine Verlangsamung Ihres Computers, da die Aktionen im Hintergrund ablaufen.” OK, “in der Regel” stimmt diese Aussage. Allerdings widerspricht diese Aussage einem Statement von Microsoft, das ich auf einer Veranstaltung gehört habe. Dort wurde ausgeführt, dass für den Fall, dass ein sicherheitskritisches Loch gefixt wird, der Hotfix sich auf das Stopfen dieses Lochs konzentriert und dass er in diesem Fall nicht optimiert ist. Die Optimierung findet in diesem Fall erst am nächsten Patchday statt. Aber sollte das wirklich ein Grund sein, keine automatischen Updates zu verwenden? Die Frage ist doch, ob es besser ist, kurzfristig mit einem halben Prozent Performanceverlust oder doch lieber mit einem potentiell unsicheren Rechner zu arbeiten. Die Antwort sollte klar sein.

Manche Sicherheitsupdates werden von Microsoft als “kritisch” eingestuft. Diese Einstufung erfolgt sicher zu Recht, wird aber von etlichen Anwendern vollkommen missverstanden. Ich weiß nicht, wie vielen Anwendern ich schon erklärt habe, dass nicht die Installation des Updates kritisch ist, sondern dass es kritisch ist, mit dem ungepatchten System weiterzuarbeiten. Eventuell könnte sich Microsoft einmal eine andere Benennung der Einstufung überlegen. Die ersten Male ist die Aufklärung des Anwenders ja noch witzig, irgendwann wird sie aber doch nervtötend. Das aber nur nebenbei.

Eigentlich gibt es nur einen Grund, die automatischen Updates (temporär) auszuschalten – immer dann wenn man mobil online geht. Was das mobile Internet angeht ist Deutschland immer noch Entwicklungsland, die Netzabdeckung beträgt aktuell je nach Anbieter zwischen 51 und 81 % der Fläche, im Durchschnitt sind es 70 % (Quelle: Bundesnetzagentur). Auf dem Land sieht es also wirklich mau aus. Wer schon einmal ein etwas umfangreicheres Update mit GPRS-Tempo heruntergeladen hat, würde sich wünschen, dass Windows erkennt, dass eine Funkverbindung vorliegt und dass das Update auf einen späteren Zeitpunkt verschoben würde, wenn wieder eine WLAN- oder Kabelverbindung vorhanden ist. Auch die Flatrates der Anbieter sind meist eher dürftig. Teilweise wird das Tempo bereits nach 200 MB auf GPRS-Tempo gedrosselt. Ein automatisches Update kann also das schnelle mobile Internet für einen ganzen Monat verbrennen.

Gerade hat Microsoft die folgende Pressemitteilung veröffentlicht, die ich hier unkommentiert weitergebe:

Unterschleißheim, 21. Januar 2010. Wir haben in den letzten zwei Tagen zahlreiche Kundenanfragen zur Verfügbarkeit eines Sicherheitsupdates für die bekannte Lücke in allen Internet Explorer Versionen und damit verbundenen HTML Attacken bekommen. Wir wissen, dass gerade für Unternehmenskunden diese Information wichtig ist, weil sie entsprechende Ressourcen zum Einspielen des Updates auf den PCs der Mitarbeiter einplanen müssen. Deshalb war die Abwägung für oder gegen ein sogenanntes “out-of-band” Update nicht leicht. Wir sind aber davon überzeugt, dass ein “außer-der-Reihe” Update jetzt die richtige Entscheidung ist. Das Update für das unter Security Advisory 979352 bekannte Problem wird heute (21.1.2010 MESZ) am frühen Abend zur Verfügung stehen.

Wenn Ihr Rechner häufig auch von einer anderen Person verwendet wird, wollen sie eventuell den Zugriff dieser Person auf Ihre Anwendungen, Dateien oder Dokumente beschränken. Mit dem Werkzeug AppLocker haben Sie einige Möglichkeiten, den Zugriff anderer Anwender auf ausführbare Dateien, Installationspakete oder Skripte einzuschränken. Drücken Sie einfach die Windows-Taste und geben Sie gpedit.msc ein. Damit rufen Sie den Editor für lokale Gruppenrichtlinien auf. Wechseln Sie in ihm zu Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Anwendungssteuerungsrichtlinien -> Applocker. Klicken Sie mit der rechten Maustaste auf eine der Optionen (Ausführbare Regeln, Windows Installer-Regeln oder Skriptregeln) und erstellen Sie eine neue Regel. Diese kleine Aufgabe wird Ihnen in der Zukunft viel Arbeit ersparen.

Microsoft gestern, Dienstag 28. Juli 2009, gegen 19.00 Uhr deutscher Zeit zwei außerplanmäßige Sicherheitsupdates veröffentlicht. Die Updates betreffen alle unterstützten Versionen des Windows Internet Explorer (Internet Explorer 5, 6, 7 und 8 für Windows 2000, Windows XP und Windows Vista sowie Windows Server 2003 und Windows Server 2008) sowie die Visual Studio-Produktfamilie (Microsoft Visual Studio .NET 2003, 2005, 2008 sowie Visual C++ 2005 und 2008).

Microsoft empfieht dringend, die verfügbaren Sicherheitsupdates umgehend und direkt über Microsoft Update zu installieren.
Für IT-Professionals hat Microsoft unter ‘Microsoft Security Bulletin MS09-034 – Critical: Cumulative Security Update for Internet Explorer (972260)‘ und ‘Microsoft Security Bulletin MS09-035 – Moderate: Vulnerabilities in Visual Studio Active Template Library Could Allow Remote Code Execution (969706)‘ bereits englischsprachige technische Beschreibungen der Updates in Form von Security Bulletins hinterlegt, die innerhalb der nächsten 24 Stunden im TechNet-Sicherheitscenter auch in deutscher Sprache verfügbar sein werden.

Microsoft untersucht eine vertraulich gemeldete Sicherheitsanfälligkeit im Microsoft Video-ActiveX-Steuerelement. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Benutzer erlangen. Wenn Internet Explorer verwendet wird, wird die Codeausführung von einem Remotestandort aus durchgeführt und erfordert möglicherweise keinen Benutzereingriff.

Uns ist bekannt, dass es zu Angriffen unter Ausnutzung der Sicherheitsanfälligkeit gekommen ist.

Unsere Untersuchung hat ergeben, dass es keine geplanten Verwendungen für dieses ActiveX-Steuerelement in Internet Explorer gibt, was alle Klassenkennungen innerhalb der Datei “msvidctl.dll” umfasst, die dieses ActiveX-Steuerelement hostet. Benutzern von Windows XP und Windows Server 2003 empfiehlt Microsoft, die Unterstützung für dieses ActiveX-Steuerelement in Internet Explorer zu entfernen und alle Klassenkennungen zu verwenden, die im Abschnitt Problemumgehung aufgeführt werden. Auch wenn Windows Vista und Windows Server 2008 nicht von dieser Sicherheitsanfälligkeit betroffen sind, empfiehlt Microsoft den Benutzern, die Unterstützung für dieses ActiveX-Steuerelement in Internet Explorer zu entfernen und dieselben Klassenkennungen als Tiefenverteidigungsmaßnahme zu verwenden.

Benutzer können verhindern, dass das Microsoft Video-ActiveX-Steuerelement in Internet Explorer ausgeführt wird. Dies kann entweder manuell mithilfe der Anweisungen im Abschnitt Problemumgehung erfolgen oder automatisch mithilfe der Lösung im Microsoft Knowledge Base-Artikel 972890. Durch das Verhindern der Ausführung des Microsoft Video-ActiveX-Steuerelements in Internet Explorer wird die Anwendungskompatibilität nicht beeinträchtigt.

Wir arbeiten aktiv mit Partnern in unserem Microsoft Active Protections Program (MAPP) zusammen, um Informationen bereitzustellen, mit denen sie einen umfassenderen Schutz für ihre Kunden bereitstellen können.

Microsoft arbeitet derzeit an der Entwicklung eines Sicherheitsupdates für Windows, um diese Sicherheitsanfälligkeit zu beheben, und wird das Update veröffentlichen, wenn eine Qualität erreicht ist, die für eine breite Verteilung angemessen ist.

Schadensbegrenzende Faktoren:

Ich habe ja eine gute Erziehung genossen und dabei auch gelernt, dass Schadenfreude äußerst unhöflich ist. Trotzdem fällt es mir manchmal schwer, diese unhöfliche Gefühlsregung zu unterdrücken. So auch in diesem Fall.

Conficker – ein Virus wie aus dem Museum

Eigentlich hatte ich ja gedacht, dass Schadsoftware, die sich per Wechseldatenträger verbreitet, mit der Verbreitung des Internets veraltet ist und nicht mehr entwickelt wird. Conficker beweist das Gegenteil. Die Software verbreitet sich wirklich über USB-Sticks und installiert sich über die Autorun-Funktion von Windows. Obwohl Microsoft bereits Ende Okotober 2008 einen Sicherheitspatch bereitgestellt hat, hat Conficker auf diese Weise nach verschiedenen Schätzungen bereits mehrere Millionen Rechner infiziert. Dabei handelt es sich nicht nur um Rechner von Privatanwendern, auch das Netz der Landesregierung von Kärnten hat es erwischt. Wie konnte es dazu kommen?

OK, jeder steckt mal einen USB-Stick in einen fremden Rechner. Dass sich dabei eine Schadsoftware auf den Stick kopiert ist nicht auszuschließen. Das kann jedem passieren. Aber wie kommt die Schadsoftware anschließend auf den eigenen Rechner? Zunächst einmal muss der Administrator irgendwann einmal angegeben haben, dass Installationsprogramme auf Wechseldatenträgern automatisch gestartet werden. In vielen Fällen ist das ja auch ganz bequem, beispielsweise wenn eine DVD eingelegt wird, von der eine Software installiert werden soll. Automatisch werden die Bildschirme des Installationsprograms angezeigt. Aber wenn es sich um eine Schadsoftware handelt, ist es mit der Bequemlichkeit  schnell vorbei. Sicher – der Virus ist problemlos installiert – aber will man das wirklich? Bei mir ist die Autorun-Funktion auf allen Rechnern ausgeschaltet.

Was geschieht eigentlich während der Installation einer Schadsoftware? Zunächst einmal muss sich die Software an eine Stelle kopieren, an der sie nicht so einfach gefunden werden kann. Zwischen den Dokumenten des Anwenders würde sie auffallen und würde schnell entdeckt. In c:\Windows\system oder einem ähnlichen Verzeichnis ist sie erheblich besser versteckt und die Gefahr, dass der Anwender die Schadsoftware entdeckt und einfach löscht, ist erheblich geringer. Dann muss sich die Software noch in der Registry eintragen, damit sie beim nächsten Systemstart erneut gestartet wird. In vielen Fällen muss sie auch noch weitere Funktionalitäten aus dem Internet nachladen und dafür eine Lücke in der Firewall aufmachen. Alle diese Aufgaben erfordern Adminrechte. Diese Adminrechte hat eine Software aber nur, wenn sie unter einem Administrator-Account gestartet wird. Ein “normaler” Benutzer hat weder das Recht, in die Systemverzeichnisse zu schreiben, noch darf er die Registry verändern oder die Firewall öffnen. Damit Sie sich einen Virus oder eine andere Malware einfangen können, müssen Sie daher zum Einen mit Adminrechten arbeiten, und Sie müssen die Sicherheitsabfrage deaktiviert haben, in der Sie Ihr Passwort eingeben müssen, bevor Sie eine Aktion ausführen können, die Adminrechte erfordert. Wie dieser Sicherheitsmechanismus deaktiviert wird, stand kurz nach Erscheinen von Vista in allen Gazetten, da sie ja so furchtbar störend ist. Wenn Sie diese Abfrage ausgeschaltet haben, erhalten Sie jetzt die Quittung und Sie müssen nicht einmal bestätigen, dass Sie den Virus auch wirklich haben wollen.

Eigentlich ist es doch ganz einfach, sich gegen die Schadsoftware zu schützen. Fassen wir noch einmal zusammen:

• Deaktivieren Sie die Autorun-Funktion
• Arbeiten Sie immer mit den geringsten Benutzerrechten, die Sie benötigen. Loggen Sie sich nur dann mit Admin-Rechten ein, wenn Sie sie auch wirklich benötigen.
• Lassen Sie die Sicherheitsabfrage vor den Aktionen mit Adminrechten eingeschaltet.
• Sollte auf Ihrem Rechner das automatische Update ausgeschaltet sein, ändern Sie dies, damit Ihr Rechner durch die aktuellsten Sicherheitspatches geschützt wird.

Auch ja, benötigen Sie dann noch eine Anti-Virensoftware? Selbstverständlich. Aber das sollte halt nicht der einzige Schutz sein, sondern lediglich der Sicherheitsanker für Situationen, in denen alle anderen Mechanismen nicht greifen können.

Gerade kam aktuell die folgende Sicherheitswarnung:

Am Wochenende wurde gemeldet, dass es verstärkte Angriffe auf die Sicherheitslücke gibt, die in dem Microsoft Security Bulletin MS08-067 beschrieben wurde. Hierin wurde auf die Verfügbarkeit von Angreifer-Code hingewiesen, der die in Security Bulletin MS08-067 adressierte Sicherheitsanfälligkeit im Serverdienst ausnutzt und Remotecodeausführung ermöglichen kann. Betroffen sind Systeme unter Windows 2000, Windows XP und Windows Server 2003, auf denen das in MS08-067 bereitgestellte Sicherheitsupdate noch nicht installiert wurde.

Empfehlung: Microsoft empfiehlt Benutzern die sofortige Installation des Updates.

Sicherheitsupdate für Microsoft Internet Explorer (960714)

Version: 1.0

Allgemeine Informationen

Dieses Sicherheitsupdate wird für Internet Explorer 5.01, Internet Explorer 6, Internet Explorer 6 Service Pack 1 und Internet Explorer 7 als kritisch eingestuft. Informationen zu Internet Explorer 8 Beta 2 finden Sie im Abschnitt Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate. Weitere Informationen finden Sie im Unterabschnitt Betroffene und nicht betroffene Software in diesem Abschnitt.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem geändert wird, wie Internet Explorer Datenbindungsparameter überprüft und den Fehler verarbeitet, der zu der Sicherheitsanfälligkeit führt. Weitere Informationen zu der Sicherheitsanfälligkeit finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ im nächsten Abschnitt, Informationen zu Sicherheitsanfälligkeiten.

Mit diesem Sicherheitsupdate wird auch die Sicherheitsanfälligkeit behoben, die erstmals in der Microsoft-Sicherheitsempfehlung 961051 beschrieben wurde.

Empfehlung. Microsoft empfiehlt Benutzern die sofortige Installation des Updates.

Bekannte Probleme. Keine