Die inkonsequente Windows Sicherheit

Seit Windows XP SP2 hat sich die Sicherheit grundlegend verbessert. Leider war und ist unter Windows XP das allgemeine Arbeiten ohne Admin-Rechte nicht immer möglich. Das liegt zum einen an doofen Programmen, welche irgendwelche Rechte in der Registry oder geschützten Verzeichnissen Schreibzugriff wählen. Andrerseits wird unter XP leider nicht standardmäßig angeboten, dass man das Programm mit erhöhten Rechten (nach Eingabe des Admin-Passwortes natürlich) starten möchte. Das geht bei Linux mit „sudo“ schon relativ lange und wird dort auch bei grafischen Interaktionen angeboten.
Entweder sind da die Programmierer einfach so schlau oder das Rechte-System vom Kernel ist einfach ausgereifter. Unter XP gibt es natürlich auch immer die Möglichkeit mit „runas“ ein Programm mit erhöhten Rechten auszuführen. Doch meistens ging dann hinterher wieder irgendwas nicht mehr… Vielleicht sind die Programmierer von Windows Programmen auch einfach generell der Meinung, dass der Benutzer sowieso immer standardmäßig mit vollen Rechten arbeitet und daher alles darf. :)

Mit Windows 7 (Windows Vista war ja nur das Preview-Windows 7) hat sich die Situation doch wieder verbessert. Es wird meistens immer angeboten, dass man erhöhte Rechte gewähren kann (Admin-Kennwort eingeben). Doch habt ihr schon mal versucht, den nervigen Java-Updater als normaler Domänen-Benutzer erfolgreich auszuführen? Oracle ist einfach immer noch der Meinung, dass die meisten Leute sowieso als Standard-Admin Nutzer arbeiten und somit immer volle Rechte haben. Man bekommt hier einfach eine Aufforderung für erhöhte Rechte. Wenn man dann den Admin-Account eingibt, bricht der Updater wieder ab und sagt, dass er die Datei nicht gefunden hat. Gut, vielleicht führt in dem Fall auch Windows 7 den Updater mit falschen Pfaden in die Irre. Es ist aber trotzdem immer noch ein „Pain in the Ass“ und verursacht Zeitaufwand für mich. Ich muss mich nämlich wieder als Administrator anmelden.
Da hat sich Adobe doch um einiges verbessert: Wenn der Updater kommt und nach erhöhten Rechten frägt, lädt der Updater hinterher auch weiter und bricht nicht einfach ab. Windows 7 ist in Punkto Sicherheit um einiges besser geworden, aber die gute Umsetzung von „sudo“ oder „runas“ ist leider noch nicht gegeben. Vermutlich sind aber auch ein paar inkompetente Entwickler großer Firmen an diesem Desaster schuld. Vorrangig sei hier mal Oracle erwähnt. Wäre Sun nicht aufgekauft worden, wäre das Problem wohl schon längst gefixt. :)

Der absolute Hammer in Sachen Fahrlässigkeit finde ich folgendes: (schon etwas älter aber immer noch interessant) Man verschafft sich physischen Zugriff auf einen Firmenserver oder ein Laptop, auf welchem kein BIOS / EFI Kennwort gesetzt ist und die Festplattenverschlüsselung auch erstmal nicht genutzt wird. Dann kann man sich mit relativ einfachen Mitteln Zugriff auf den Server beschaffen:
1. Server von einer Windows 7 oder Windows 2008 CD booten.
2. In den Reparaturoptionen wählt man sich die Konsole aus.
3. Man wechselt ins Windows Verzeichnis der Serverplatte und benennt einfach die Utilman.exe im System32 nach Utilman.exe.bak um. Alternativ kann man die Datei auch einfach löschen… :)
4. Man kopiert sich die lokale CMD.exe ins System32 und benennt diese nach Utilman.exe um.
5. Man startet Windows von der eingebauten Festplatte.
6. Sobald Windows 7 oder eben auch Windows 2008 R2 gestartet ist, kann man die Eingabehilfen öffnen und hat damit eine normale Kommandozeile vor sich.
Die Möglichkeiten dürften damit relativ klar sein. Man kann sich beispielsweise einen neuen Administrator-Account anlegen und sich mal in aller Ruhe das AD oder die Inhalte der Festplatte anschauen. Falls es sich um einen DC handelt, kann man diesen Server nach ein paar Tagen wieder an den ursprünglichen Platz stellen und sich im Firmennetz nach ein paar Leckerbissen umschauen. Wenn die lokalen Administratoren nicht misstrauisch werden und den zusätzlichen Administrator nicht bemerken, hat man auch für eine Weile domänenweit „Root“.
Das ist eigentlich ein schwerwiegender Bug und sollte von Microsoft irgendwie unterbunden werden können.

Einen Schutz gegen diese Art von Manipulation gibt es momentan noch nicht. Gruppenrichtlinien würden nichts bringen, da der Zugriff von „außen“ erfolgt.
Der einzig wirksame Schutz ist folgendes: Den Server in einen verschließbaren Raum abstellen und den Schlüssel nur an vertrauenswürdige Personen austeilen. Bei Laptops mit sensiblen Daten einfach die Festplattenverschlüsselung aktivieren. Wenn der Laptop dann geklaut wird oder verloren geht, sind wenigstens keine Firmendaten abhanden gekommen.

Ansonsten finde ich Windows 7 trotz allem ein sehr robustes und gutes Betriebssystem. Die Sicherheit und die Möglichkeiten zur Härtung haben sich gegenüber Windows XP doch um einiges verbessert und es gibt für dieses System einfach die meisten Anwendungen. Und wenn man sich mal mit der Konsole näher beschäftigen möchte ist PowerShell auch eine gute Lösung. Fast alles, was per GUI ausgeführt werden kann, ist auch über die Konsole möglich (wenn man es denn auch so will ).

Von Ubuntu wieder zurück auf Windows 7

Manchmal wünsche ich mir einfach wieder ein gutes System, dass auch daheim richtig gut funktioniert. Da ich aufgrund eines iPhones mehr oder weniger auf Windows Programme angewiesen bin um Sachen drauf zu bekommen habe ich mir damals sogar eine VM mit Windows XP eingerichtet. Doch die ist neuerdings aufgrund ungewisser Gründe abgestürzt und startet nun nicht mehr. Gut in der VM sind glücklicherweise keine wichtigen Daten gespeichert, daher ist es nicht weiter tragisch.
Ich hatte auch lange Zeit mal Office 2007 unter Ubuntu zum Laufen gebracht. Doch mit den ganzen Updates kommen nun leider auch immer wieder Probleme und die Integration von Office 2007 ins Ubuntu hat dann nicht mehr richtig geklappt. Da ich nun aber gerade wieder ein paar Spendenbescheinigungen ausstellen muss, brauche ich eben ein gescheites Office. Da ist Open Office einfach der letzte Scheiß. Open Office ist für normale User, die kein Office von M$ kennen sehr gut zu gebrauchen, aber für „Profis“ wie mich einfach nicht zu gebrauchen.

Weiter habe ich nun wieder einen MSDNAA Zugang und somit eine freie Windows 7 Pro Lizenz bekommen. Also wäre es doch mal wieder an der Zeit meinen Rechner wieder zu einer Windows 7 Maschine zu machen. Denn damit läuft wenigstens mein iPhone ohne Probleme, ich kann wieder Dateien mit meinem Bruder teilen und kann meine Steuererklärung endlich wieder am eigenen Rechner machen. :)

Ubuntu ist zwar schön und gut und hat auch so seine schönen Seiten, besonders das Terminal für „wget -O …“ aber letztendlich will ich nun doch wieder Windows 7. Linux ist eben doch ein Bastel-OS, wo vieles anders ist und nicht richtig klappt. Vielleicht haben auch die letzten Microsoft Kurse mich dazu gebracht, dass Windows trotz allem Gemecker seit Windows 7 ein sehr leistungsfähiges System geworden ist. Man installiert es einfach und dann tut es auch. Bei Linux ist man da nie so ganz sicher. Übrigens hat Windows die cooleren Apps:
Phase 5
Irfan View
Winamp
Visual Studio
und nicht zuletzt die ganzen herrlichen Spiele wie DOOM 1 & 2!
UND: Der Remote Desktop läuft um einiges flüssiger, als unter Ubuntu.

P.S.: Ich muss ja nicht so wie mein Bruder werden und alle halbe Jahre das OS neu aufsetzen. Das ist nämlich gar nicht notwendig. :)