by ·Keine Kommentare

Datensicherheit, ein wichtiges Thema, über das ich momentan etwas oberflächlich rüberschaue. Aber bevor ich mir den IT-Grundschutzkatalog des BSI mit seinen 4070 Seiten durchlese, schonmal etwas einfache Datensicherheit vorweg: wichtige und private Daten müssen verschlüsselt werden.

ArchiCrypt Live könnte eines dieser Tools sein, die diese Aufgabe erfüllen. Ich habe mir beim Hersteller ausreichend Keys für euch und mich besorgt und kann das Programm ArchiCrypt Live 6 jetzt hier mal vorstellen.

Die Oberfläche wirkt aufgeräumt, wenn auch ein wenig verspieltes Design und vermutlich hätte alles auch auf etwas weniger Fläche gepasst. Aber sie macht trotzdem einen guten Eindruck.
Wichtige Funktionen mittig, Schnellzugriffe auf vorhandene verschlüsselte Bereiche rechts, Infos zum Mouseover unten, Festplattenspeed oben. Selbsterklärend.

Neues verschlüsseltes Laufwerk erstellen:
Das Erstellen von neuen, verschlüsselten Bereichen ist so einfach wie in jedem Cryptprogramm. Typ (Dateicontainer oder ganzes Laufwerk), Größe und Eigenschaften wählen (wachsend, „ultraschnell“), Passwort und Verschlüsselung wählen (leider gibt es nur AES und Blowfish) und ein Passwort eingeben, fertig.

<Labern: aktiviert> Wie man das von Passworttestern kennt wird die Eingabe des Passworts genauestens überwacht und bewertet. Je komplexer das Passwort, desto besser. Besser wird auch der Spruch, der unter der Passworteingabe erscheint und die Komplexität mit Vergleichen versucht zu verdeutlichen. Hier mal ein paar Sprüche:
17 Zeichen: „Das Passwort bietet Schutz für Informationene, die für Jahrzehnte geheimgehalten werden sollen. Das Passwort ist gut geeignet, um Wirtschaftsgeheimnisse, wie z.B. das Rezept für Coca-Cola zu schützen.“ (17 Zeichen nur dafür?)
23 Zeichen: „Das Passwort bietet Schutz um Daten über einen Zeitraum von 40 Jahren zu schützen. Daten über eine Wasserstoffbombe haben eine entsprechende Sicherheitsanforderung.
30 Zeichen: „Das Passwort bietet Schutz um Daten über einen Zeitraum von 50 Jahren zu schützen. Daten mit entsprechenden Sicherheitsanforderungen sind z.B. personenbezogene Daten.“ (wessen Personendaten sind wichtiger als das Coca-Cola-Geheimnis oder Daten von Massenvernichtungswaffen? :D)
40 Zeichen: „Das Passwort bietet guten Schutz. Daten aus dem Bereich der Geheimdiplomatie besitzen eine entsprechende Sicherheitsanforderung.“ (man merkt, hier hat die Kreativität endgültig nachgelassen :D)

Während der Eingabe wird nebenbei ein Wörterbuchvergleich gemacht, kennt man ja. Hier geht allerdings irgendetwas schief.
Beispielsweise wurde mein 13 Zeichen langes Passwort angeblich im Wörterbuch gefunden. Und ich bin mir ziemlich sicher, dass dieses kranke Passwort in keinen Wörterbuch steht 😉
Also habe ich einen weiteren Test gemacht und siehe da: „Wort direkt in Wörterbuch gefunden – kein Schutz – sehr unsicheres Passwort„, das Passwort war:
gm4$M3?!g9)6j3!$x
Unsicher? Hmmm…. stimmt, steht im Wörterbuch direkt hinter „Glaube“ oder so… vielleicht ein göttliches Wörterbuch, wo eben auch gm4$M3?!g9)6j3!$x drinsteht.

Update: der Entwickler, Herr Remus, gab mir freundlicherweise den Hinweis, dass die „Sprüche“ von Bruce Schneier (Angewandte Kryptografie) stammen. Dass komplexe Passwörter als bekannt markiert werden liegt wiederum am Bloomfilter Effekt bei der verwendeten Hash-Generierung des Passworts.
<Labern: deaktiviert>

Naja jedenfalls ist nun ein Safe erstellt und kann als Schnellzugriff eingerichtet werden. Das ist ziemlich praktisch und einfach gemacht.
Bezeichnung eingeben, Laufwerksbuchstaben und Containerfile/-partition wählen, Modus (Nur-Lesen oder auch Schreiben) aussuchen und dann ein „Magic Word“ eingeben. Diese Zeichenkette könnt ihr dann überall im Windows eingeben, egal ob Programme geöffnet sind oder nicht, und ArchiCrypt wird auch das Öffnen des Safes anbieten. Nette Sache.

Laufwerke könne auch in Dateien versteckt werden. So wie man damals Viren in Bilddateien gepackt hat lassen sich jetzt auch die Safes in Bild-, Video- oder Exe-Dateien verstecken.

Die Bedienung läuft durchgehend simpel und einleuchtend, lässt sich durch Shortcuts und viele Einstellungen sogar noch besser an den Benutzer anpassen. In den Einstellungen finden sich auch Menüs zum Managen von Public Keys und Smart Cards, richtig eingerichtet kann man also auch damit hantieren.

Also ich bin mit ArchiCrypt Live 6 durchaus zufrieden und kann es weiterempfehlen. Aus diesem Grund werden auch von diesem Programm 3 Lizenzen im Weihnachtsgewinnspiel zu gewinnen sein.
Bis dahin!

by ·72 Kommentare

Word ermöglicht es schon seit einigen Versionen, die Bearbeitung von Dokumenten teilweise oder komplett einzuschränken. Diesen Dokumentschutz kann man mit einem Passwort oder einer Benutzerauthentifizierung versiegeln. Es gibt jedoch einige Möglichkeiten, diesen Schutz zu knacken oder zu umgehen und auch ohne Passwort die Inhalte (indirekt) bearbeiten zu können.

So wird der Passwortschutz aktiviert:

Achtung! Dieser Artikel bezieht sich nur auf Word 2003/2010 Dokumente mit Bearbeitungspasswort! Also die Dokumente, die zwar geöffnet, aber nur mit einem Passwort geändert werden können! Die Tricks helfen nicht bei einem Öffnen-Passwortschutz!

Vorher: Dokumentschutz prüfen
Vielleicht wurde der Dokumentschutz ohne Passwort oder andere Sicherheitsmaßnahmen aktiviert und kann ohne Aufwand deaktiviert werden.
Word 2003: Extras -> Dokumentschutz aufheben/etwas in das Dokument tippen -> Schutz aufheben
Word 2010: Überprüfen -> Bearbeitung einschränken/etwas in das Dokument tippen -> Schutz aufheben
Kommt jetzt eine Passwortabfrage? Dann wendet einen der nächsten Tricks an!

Trick 1: Passwort aus der .xml löschen
Speichert das Dokument als „Word XML-Dokument (.xml)“ und öffnet die .xml Datei mit einem Texteditor (z.B. Notepad++).
Sucht nach „w:unprotectPassword“, „documentProtection“ oder nach „salt“. Einer dieser Tags sollte euch zur entsprechenden Stelle im XML Dokument führen, an dem das Passwort (wenn vorhanden) definiert wird.
Löscht die gesamte documentProtection Zeile vom < bis zum > raus, siehe:
word-bearbeitungssperre-aufheben-word2010-xml
Alternativ kann man bei w:documentProtection mit unprotectedPassword auch einfach das kodierte Passwort zwischen den Anführungszeichen rauslöschen oder in Nullen ändern.

Danach könnt ihr die XML wieder in Word öffnen und den Schreibschutz einfach aufheben.

Trick 2: Kopieren & Einfügen
Das geschützte Dokument komplett markieren (Strg+A), kopieren (Strg+C und/oder Rechtsklick -> kopieren), in einem neuen Word Dokument einfügen. Es kann sein, dass das beim ersten Mal nicht funktioniert. Einfach im Originaldokument mehrfach Strg+C drücken, mehrfach Rechtsklick -> kopieren und dann funktioniert das irgendwann. Das Dokument sollte jetzt relativ 1:1 übernommen sein und lässt sich abspeichern und bearbeiten.

Trick 3: Speichern als .odt
Das geschützte Dokument verliert alle Schutzfunktionen, wenn es als Open Document Text (odt) gespeichert wird. Dieses Format könnt ihr dann mit Office, Open Office oder einigen anderen Programmen öffnen und damit arbeiten.

Trick 4: Speichern als .rtf
Auch das Speichern als .rtf entfernt das Passwort des Dokumentschutzes. Nach dem Speichern als .rtf am besten gleich wieder zu .doc(x) zurückspeichern und dort könnt ihr dann den Dokumentschutz (der noch aktiv ist, aber jetzt ohne Passwort) einfach aufheben.

Trick 5: Dokument einfügen
Öffnet ein neues Word Dokument und wählt über Einfügen -> Datei das geschützte Dokument aus. Mit [OK] bestätigen und schon ist es ohne Schutz eingefügt.

Trick 6: Speichern als .txt
Am sichersten verschwindet der Schutz mit „Speichern als: Nur Text (.txt)“. Damit verschwinden aber auch Formatierungen, ganze Tabellen und mehr. Wer nur an bestimmte unformatierte Inhalte muss kann diesen Weg probieren.

by ·3 Kommentare

In den letzten Tagen habe ich auf Arbeit ein Upgrade von SPSS 17 auf SPSS 20 vorbereitet und vorgestern durchgeführt.
Die Verteilung erfolgte mit Gruppenrichtlinien über ein Active Directory auf etwa 120 Windows Clients (98,4% Windows 7).
Deployments dieser Größenordnung müssen ausführlich durchdacht und sorgfältig umgesetzt werden. An viele Dinge muss man denken bevor der Tag der Verteilung anbricht.

Zu diesem Zweck habe ich eine Präsentation vorbereitet, die die Herangehensweise und Durchführung einer Softwareverteilung, in diesem Beispiel SPSS 20, grob veranschaulicht. Die wichtigsten Schritte werden angeschnitten, jedoch nicht weiter vertieft, da dies natürlich den Rahmen sprengen würde.
Videos und Screenshots veranschaulichen einige Vorgehensweisen.

Download section
Präsentation ohne Videos: SPSS20-Deployment-om [.zip] (500KB)
Präsentation mit Videos: SPSS20-Deployment-mm [.zip] (110MB)

by ·10 Kommentare

Intro

Ziel soll es sein, mittels eines „Batch Ping Skripts“ die Erreichbarkeit eines Server/Clients zu testen. Dabei wird der Ping-Befehl benutzt, welcher mit Hilfe von ICMP-„Echo Request“-Paketen ein Netzwerkgerät kontaktiert und für gewöhnlich eine Antwort von diesem erhält. Die Antwort kann dann in Form von errorlevel automatisiert ausgewertet werden um die Erreichbarkeit anzugeben. Aber: Beim Batch Erreichbarkeits-Test mittels Ping gibt es Details, die beachtet werden müssen – der errorlevel kann trügen.

Technische Hintergründe

Die normale ICMP-Anfrage via CMD kann 3 verschiedene Ergebnisse erzeugen:
Normaler ping ohne Parameter von 192.168.178.20 zu 192.168.178.88:
Zeitüberschreitung der Anforderung“ – der Client antwortet nicht und keine andere Vermittlungsstelle reagiert. Der Errorlevel ist 1.
Antwort von 192.168.178.13: Zielhost nicht erreichbar.“ – der Ziel-Client antwortet nicht aber eine andere Gegenstelle reagiert. Gateway, Router, Switch o.Ä. melden, dass dieser Client zwar im Netzwerk gefunden wird aber auf den Ping nicht reagiert, ihn nicht auflösen kann oder etwas in der Art. Der Errorlevel ist 0! Obwohl der Ziel-Client nicht erreichbar ist wird der Rückgabewert 0 für erfolgreich zurückgeliefert.
Antwort von 192.168.178.88: Bytes=32 Time<1ms TTL=128“ – die Ziel-Client ist erreichbar, der Errorlevel ist 0.

Lösung – Code

Möchte man die tatsächliche Erreichbarkeit des Ziel-Clients erfassen, ist folgender Weg nötig:

REM Aufteilen der IP für bessere Automatisierung mehrerer Clients eines Netzes
set ipnetz=192.168.178
set serverip=88
ping %ipnetz%.%serverip% -n 2 -w 1000 -l 2000
if %errorlevel%==1 echo Fehler

Mit -l wird die Größe des Ping Pakets bestimmt, -w bestimmt die Wartezeit in Millisekunden. Beide Parameter in Kombination sorgen dafür, dass der Ping nur noch eine Zeitüberschreitung oder einen Erfolg liefern kann. Das Verwenden von Errorlevel ist somit also sicher.

Alternative:

ping  %server_ip% -n 1 -w 1000 -l 2000 -4 | find /i "TTL" >nul 2>&1
if errorlevel 1 (
echo Server offline
) else (
echo Server online
)

via Kommentar von Gerd – funktioniert ebenfalls zuverlässig, optimiert mit dem -4 Parameter, danke Rudolph.
batch-ping-erreichbarkeit-online-test-script


Update: Überlegung: 2000 Byte Pakete mit einem maximalen Zeitlimit von 1000 Millisekunden… dadurch ist zwar ein Ping bei 2 gut angebundenen Clients entweder erfolgreich oder komplett nicht erfolgreich. Was passiert aber mit 2 sehr langsamen Clients? Wenn der Zielhost eigentlich erreichbar wäre aber es in 1 Sekunde nicht schafft auf das 2KB Ping Paket zu antworten. Wäre das dann ebenfalls negativ? Eine solche Situation ist wohl eher nicht üblich, wenn nicht sogar recht unwahrscheinlich, aber rein logisch könnte sie Probleme bereiten. Wer dazu Anmerkungen hat, bitte kommentieren!

by ·3 Kommentare

Klingt einfach, hat aber einige Stolpersteine zu bieten.

Ich wollte Windows 8 in einer VM einrichten und testen.
Zuerst hatte ich noch VMware Player installiert, irgendeine alte Version, 2 oder 3 oder so. Neue VM erstellt, 2 Kerne, 3GB RAM, 30GB HDD. Die Minimalanforderungen sprechen von 1GHz, 1GB RAM (2GB für x64) und 16/20GB HDD.
Die Windows 8 ISO eingebunden und hochgefahren.
Bluescreen

HAL_INITIALIZATION_FAILED“ ist also der erste Fehler. Hier sehen wir auch gleich das neue Design eines Bluescreens. Dieser soll einfacher erkennbar machen, welcher Fehler aufgetreten ist. Stimmt, mehr als der Fehler und etwas statischer Text wird ja jetzt auch nicht mehr angezeigt.
Dieser Fehler kann einige Ursachen haben. In Verbindung mit Windows 8 und Virtualisierung gibt es allerdings nur wenige passende Erklärungen. Eine lautet: die Virtualisierungssoftware ist zu alt und kann den neuen Hardware Abstaction Layer von Windows 8 nicht ordentlich bedienen. Diese Seite behandelt den Fehler recht übersichtlich.

VMware Workstation 8 ist eine der neuen Virtualisierungssoftware, die Windows 8 beherrscht. Diese kann man 30 Tage lang kostenlos testen. Also download und dort den Spaß nochmal. ISO eingebunden, gestartet, ab in die Installation!
Doch schon am Anfang der Installation das nächste Problem:

Windows cannot read the setting from the unattend answer file.“ Welche unattend answer file?? Falsches Image? Nein, VMware Standardeinstellung glaube ich. Bin mir nicht sicher ob das bei anderen Virtualisierern auch kommt.
Jedenfalls müsst ihr die Einstellungen der VM öffnen und die Floppy Komponente verändern. Dort ist nämlich eine solche Antwortdatei eingestellt. Am besten einfach Floppy deaktivieren.

Nun startet auch die Installation endlich. Die Schritte sind direkt im neuen Metro Look. Regler lassen sich anklicken oder schieben. Warum Mini-Schieberegler wo man erstmal überlegen muss wie man ihn jetzt benutzt? Keine Ahnung, ich finds irgendwie unnötig. Checkboxen tun ihren Job seit Jahrzehnten.

Informationen an Microsoft senden?

Windows Live ID oder doch lokale Computeraccounts? Mit einer Windows Live ID werden Einstellungen, Apps und vieles mehr synchronisiert. Zudem wird SkyDrive direkt eingebunden glaube ich. Mehr dazu zum Beispiel hier. Ich werde allerdings alles lokal testen, soll fürs Erste reichen. Also unten auf das unscheinbare „Don’t want to log in with a Windows Live ID?“ geklickt.

Sobald die Installation durchgeklickt ist erscheint der neue Metro Startbildschirm. Hier werden Apps und Widgets aufgereiht und angezeigt. Über die Verwendung dieser neuen Oberfläche kann man etliche Posts schreiben. Davon gibt es aber schon genug im Netz.

Bei VMware sollte der nächste Weg die Installation der VMware Tools sein. Diese verbessern erfahrungsgemäß Kompatibilität und Performance der VM.

Das wars zur Installation in VMware. Nun gibt es in Windows noch viel zu tun. Schon die erste Stunde wirft viele Fragen auf und ich kam aus dem Grummeln gar nicht mehr raus. Aber dazu später mehr.

by ·2 Kommentare

[Trigami-Review]

Okay, heute möchte ich euch von dem Digitus KM Switch Cable berichte, dass ich zum Testen kostenlos bekommen habe. Wie der Name schon sagt ist es ein Keyboard-Mouse-Switch und ermöglicht es, Maus und Tastatur an 2 Computern zu nutzen, ohne umstecken zu müssen. Beide Computersysteme brauchen nur einen USB Port und ein Windows Betriebssystem (XP oder höher).

Das Produkt hebt sich unter Anderem dadurch von der kostenlosen softwareseitigen Konkurrenz ab, dass es einen Dateiaustausch durch einfaches Drag&Drop zwischen den verbundenen Computern ermöglicht, es einen Bild-in-Bild (PIP) Modus gibt und zwischen den Computern automatisch die Zwischenablage synchronisiert (Clipboard).

In folgendem Video-Review habe ich das Wichtigste erwähnt und getestet:

Nochmal kurz ein paar zusammenfassende Stichpunkte:

  • einfache Installation und fortwährende Nutzung; aber Achtung beim Abziehen, vorher unbedingt Beenden!
  • Treiber sind enthalten aber Windows XP muss den Treiberassistenten durchklickern | Update: ein weiteres System mit Windows XP hat die Software und alle Funktionalitäten ohne jegliche Benutzerinteraktion installiert und gestartet. Dauer: ca 1 Minute. Also ich korrigiere die Aussage, bei neueren Windows XP Systemen (SP3) scheint die Software optimal zu laufen. Mein Testlaptop im Video hatte leider noch SP2, uralt also.
  • Windows Systeme werden unterstützt, Linux, Mac und mobile Betriebssysteme jedoch nicht
  • nach dem Anstecken wird die Software automatisch gestertet und die Computer verbunden
  • es gibt keine GUI, dadurch ist die Software nur 2MB groß aber es sind auch keinerlei Einstellungsmöglichkeiten gegeben
  • die Software installiert sich automatisch in den Windows Autostart
  • Dateitransfer per Drag&Drop allerdings nur vom Desktop zum Desktop
  • Clipboard wird synchronisiert allerdings nur Text, keine Bilder oder Dateien
  • Bild-in-Bild (PIP) Modus ermöglicht teilweise KVM Funktionalität, deaktiviert aber gleichzeitig die KM Switch Funktionalität, nach dem Schließen des PIP muss der KM Switch Modus manuell wieder ausgewählt werden
  • 2. Bildschirm wird gut unterstützt, der KM Switch setzt also erst einen Bildschirmrand weiter ein, möglicherweise sind Windows 7 Aero Glass Effekte beim KM Switch etwas fehlerhaft (erst einmal beobachtet)
  • Handbuch auf Deutsch und Englisch, 5 Jahre Garantie

Fazit: Das Produkt ermöglicht mit Datenaustausch, Clipboard und PIP schon durchaus fortschrittliche Sachen. Jedoch scheint die ganze Software noch ein wenig Arbeit zu benötigen, es gibt überall Einschränkungen, die meistens nicht sein müssten. Es ist nicht allzu lange her da habe ich Synergy (auch mit Video) getestet. Diese softwareseitige Lösung bewerkstelligt das Gleiche mit etwas mehr Stabilität, bietet dafür aber nicht die oben erwähnten Features an. Man muss also abschätzen, welche Funktionalitäten man braucht (Transfer, PIP usw).

Ein Online Verkäufer der Digitus Produkte ist z.B. Conrad. Hier gibt es das KM Switch Cable für 29,95€.

by ·Keine Kommentare

Das Windows 7 Mobilitätscenter ist eine echt gute Neuerung, die eigentlich für mobile Computer gedacht ist. Hier werden wichtige Windows Funktionen in einem PopUp gebündelt. Dieser schnelle Zugriff ist aber auch für Desktop PCs sinnvoll.
An einem Desktop PC bekommt man allerdings den Fehler „Windows-Mobilitätscenter ist nur auf Laptops verfügbar“. Aktivieren? Gerne!

Dank des kurzen Beitrags im Winside Blog ist das Mobilitätscenter schnell aktiviert und kann mit

mblctr

gestartet werden (da es im Startmenü nicht angezeigt wird).

Ich habe die nötigen Registry Änderungen mal in eine .reg Datei gepackt:
Download section
mblctr [.reg]
Rechtsklick -> Speichern unter…

Für die Änderungen sind keine Admin-Rechte erforderlich, einfach per Doppelklick ausführen und die Meldungen bestätigen.

Und nochmal schnell schriftlich:
Unter

HKEY_CURRENT_USER\Software\Microsoft\

einen neuen Schlüssel „MobilePC“ anlegen.
2 weitere Unterschlüssel in MobilePC anlegen: „AdaptableSettings“ und „MobilityCenter“. In „MobilityCenter“ kommt ein 32bit DWORD „RunOnDesktop“ mit dem Wert 1 und bei „AdaptableSettings“ kommt ein 32bit DWORD „SkipBatteryCheck“ ebenfalls mit dem Wert 1. Letzterer aktiviert das Mobility Center auf einigen problematischen Laptops, der RunOnDesktop ist selbstsprechend.

Gleich im Anschluss, ohne Neustart, ist das Mobilitätscenter aktiv.