Antary Blog

WordPress absichern und schützen

WordPress Logo

Die Blog-Anwendung WordPress erfreut sich nach wie vor großer Popularität. Dank den vielen und guten Plugins kann der Funktionsumfang beinahe beliebig ausgebaut werden, weshalb WordPress heutzutage auch oft als CMS oder Shopsystem verwendet wird. Insgesamt läuft WordPress auf gut ein Viertel aller Webseiten weltweit, weshalb die Anwendung ein sehr beliebtes Angriffsziel darstellt.

Nachfolgend eine umfangreiche Sammlung vieler sinnvoller Tipps und Plugins, um WordPress sicherer zu machen.

Basisschutz

Diese einfachen Tipps sollten von allen umgesetzt werden, die WordPress einsetzen.

  • regelmäßig Updates installieren
    • vor allem von WordPress selbst
    • aber auch Plugins und Themes sollten aktualisiert werden, wenn neue Versionen bereit stehen
  • nicht verwendete Plugins und Themes löschen
  • Administrator-Account
    • wenn möglich nur ein Administrator-Account
    • Administrator-Account sollte nicht den standardmäßig vergebenen Usernamen “admin” besitzen
    • keine Artikel mit dem Administrator-Account verfassen, sondern über separate Accounts mit Redakteurs-Rechten
  • verschiedene Passwörter für WordPress Admin, Datenbank und FTP benutzen
  • “sichere” Passwörter verwenden
    • Groß- und Kleinschreibung, Zahlen sowie Sonderzeichen verwenden
    • lange Passwörter, je mehr Stellen desto besser (12 Stellen oder mehr sind gut)
  • regelmäßige und automatische Datensicherung
    • Datenbank und Dateien sichern
    • beides kann zum Beispiel einfach mit dem Plugin BackWPup erledigt werden
    • Sicherungen nicht auf dem Server aufbewahren

Erweiterter Schutz

Die Tipps hier sind deutlich aufwendiger zu realisieren und sollten nur von erfahrenen Anwendern befolgt werden, die wissen was sie tun. Für Anfänger sind die Tipps unter “Basisschutz” ausreichend.

  • Zugriffsschutz für das Backend (Admin-Bereich) mit Hilfe von .htaccess
  • TLS-Verschlüsselung für das Backend oder direkt für die gesamte Webseite einsetzen
  • XML-RPC-Schnittstelle deaktivieren / Zugriffsschutz einrichten
    • ist seit WordPress 3.5 standardmäßig aktiviert
    • Nachteil: Trackbacks von anderen Blogs können nicht mehr empfangen werden
    • XML-RPC-Schnittstelle über die “functions.php” vollständig deaktivieren
      /* Disable XML-RPC */
      add_filter( 'xmlrpc_enabled', '__return_false' );
    • alternativ Zugriff auf Dateo “xmlrpc.php” einschränken
      # bis einschließlich Apache 2.3
      # auth protection xmlrpc.php
      <Files xmlrpc.php>
      AuthType Basic
      AuthName "Restricted Admin-Area"
      AuthUserFile /pfad/zur/.htpasswd
      Require valid-user
      </Files>
      
      # ab Apache 2.4
      # auth protection xmlrpc.php
      <Files xmlrpc.php>
      AuthType Basic
      AuthName "Restricted Admin-Area"
      AuthUserFile /pfad/zur/.htpasswd
      Require valid-user
      </Files>
  • Admin Zugang auf bestimmte IP-Adressen beschränken
    # bis einschließlich Apache 2.3
    # protect wp-login.php
    <Files wp-login.php>
    Order deny,allow
    Deny from all
    Allow from [DYNAMIC.DNS.NAME]
    </Files>
    
    # ab Apache 2.4
    # protect wp-login.php
    <Files wp-login.php>
    Require host example.org
    </Files>
  • zuverlässigen Hoster verwenden
    • aktuelle Versionen von PHP und Webserver (Apache, nginx, …)
    • saubere Webserver-Konfiguration

Plugins

  • Antispam Bee (Schutz gegen Spam)
  • AntiVirus (Schutz gegen Schadcode, der über Sicherheitslücken in WordPress, Plugins oder Themes eingeschleust wurde
  • Snitch (protokolliert ausgehende Verbindungen von WordPress-Plugins)

Kategorien: Internet Wordpress

Microsoft veröffentlicht Windows Server 2016

Windows Server 2016 Logo

Zum Auftakt der Ignite 2016 in Atlanta hat Microsoft die neue Windows Server Version offiziell veröffentlicht. Microsoft hatte dies bereits im Juli angekündigt und das Versprechen wurde erfüllt. Zurzeit steht von Windows Server 2016 lediglich eine 180 Tage gültige Evaluierungsversionen zum Download bereit. Der Download über MSDN oder das Volume Licensing Service Center (VLSC) sollten aber demnächst folgen. Ab Oktober wird es Windows Server 2016 dann auch zu kaufen geben.

Die Evaluationsversion steht in mehreren Sprachen zur Verfügung und bringt ziemlich genau 5 GByte auf die Waage. Diese Version ist nur zum Testen geeignet und sollte nicht für den Produktivbetrieb verwendet werden.

Download Windows Server 2016 Evaluierungsversion 180 Tage

Details zu Windows Server 2016

Windows Server 2016 wird es in drei Versionen geben:

  • Datacenter (unlimitierte Virtualisierung und neue Features wie Shielded Virtual Machines, Software-defined Storage (SDS) und Software-defined Networking (SDN))
  • Standard (universelles Server-Betriebssystem mit limitierter Virtualisierung)
  • Essentials (für kleinere Unternehmen mit bis zu 25 Usern und bis zu 50 Geräten)

Nachfolgend die wichtigsten Unterschiede zwischen der Datacenter- und Standard-Edition:

Feature Datacenter Edition Standard Edition
Core functionality of Windows Server yes yes
OSEs / Hyper-V Containers Unlimited 2
Windows Server containers Unlimited Unlimited
Host Guardian Service yes yes
Nano Server* yes yes
Storage features including Storage Spaces Direct and Storage Replica yes no
Shielded Virtual Machines yes no
Networking stack yes no
Core-based pricing** 6.155 US-Dollar 882 US-Dollar

* Software Assurance is required to deploy and operate Nano Server in production.
** Pricing for Open (NL) ERP license for 16 core licenses. Actual customer prices may vary.

Eine detaillierte Übersicht aller neuen Features in Windows Server 2016 stellt Microsoft als PDF-Datei bereit.

Bei der Lizenzierung geht Microsoft neue Wege und stellt auf ein Core-basiertes Lizenzmodell um:

Auch hier stellt Microsoft weitere Informationen in einer PDF-Datei bereit.

Kategorien: Windows Windows 10

mRemoteNG wird weiterentwickelt, neue Version veröffentlicht

mRemoteNG Logo

Zum Management von Remoteverbindungen habe ich bis vor ca. einem Jahr auf die Software mRemoteNG vertraut. Zu diesem Zeitpunkt war die Weiterentwicklung bereits seit rund zwei Jahren eingestellt. Unter Windows 8.1 hatte ich mit mRemoteNG einige Probleme, weshalb ich mich nach einer Alternative umgeschaut habe und letztendlich bei Royal TS gelandet bin.

Heute habe ich zufällig gesehen, dass mRemoteNG Ende Juni 2016 eine neue finale Version (1.74) erhalten hat. Dem Projekt wurde wieder Leben eingehaucht und ein neues Entwicklerteam, geführt von David Sparer, kümmert sich um die Weiterentwicklung. Mittlerweile wird bereits fest an Version 1.75 gearbeitet. Die Entwicklung erfolgt bei Github, wo sich auch das ausführliche Changelog zu Version 1.74 einsehen lässt.

Ich persönlich bleibe vorerst bei Royal TS, da mir die Software richtig gut gefällt und tolle Features zu bieten hat. Dennoch werde ich die Entwicklung von mRemoteNG weiter im Auge behalten.

Download mRemoteNG

Kategorien: Software & Apps Windows

Alle Neuerungen von Firefox 49

Firefox Logo 23+

Mit einer Woche Verspätung wurde gestern Abend Firefox 49 veröffentlicht. Auf Firefox 50 soll die Verspätung keine Auswirkungen haben, denn die letzte stabile Version in diesem Jahr soll wie geplant am 8. November 2016 erscheinen. Version 49 bringt nur kleinere Änderungen mit sich.

  • Die WebRTC-Anwendung Firefox Hello wurde entfernt
  • Login-Manager kann nun Login-Daten von HTTP-Seiten auch unter HTTPS nutzen (umgekehrter Weg nicht möglich)
  • Im Lesemodus können jetzt sowohl Textbreite als auch Zeilenabstand angepasst werden
  • Unterstützung für die Sprachsynthese der Webspeech-API, kann z.B. zum Vorlesen von Texten im Lesemodus genutzt werden
  • Nutzerkreis für die Multiprozess-Architektur Electrolysis (e10s) deutlich erweitert (Nutzer mit Add-ons auf WebExtension-Basis)
  • Videowiedergabe bei Systemen ohne  Hardwarebeschleunigung verbessert (es wird jetzt SSSE3 verwendet)
  • Linux-User können Netflix und Amazon Video ohne Silverlight nutzen
  • Experimentelle Unterstützung für TLS 1.3 (standardmäßig noch deaktiviert, kann über “about:config” und den Schalter “security.tls.version.max” und den Wert “4” aktiviert werden)
  • Behebung diverser Sicherheitslücken

Download Firefox 49
Download Firefox 49 (64 Bit)
Portable Firefox @ Horst Scheuer

Kategorien: Firefox Software & Apps

Infos zum Microsoft-Patchday September 2016

Microsoft Logo

Morgen (zweiter Dienstag im Monat) steht der September-Patchday von Microsoft an. Der Softwareriese veröffentlicht 14 Security-Bulletins, von denen sieben als „kritisch“ und sieben als „hoch“ eingestuft werden.

Nachfolgend ein grober Überblick über die erscheinenden Bulletins und die betroffenen Produkte. Weitere Details stellt Microsoft wie immer im Security TechCenter zur Verfügung. Üblicherweise funktioniert der Link erst ab Diens­tag­abend deutscher Zeit.

Bulletin ID Bulletin Title Maximum Severity Rating and Vulnerability Impact Restart Requirement Affected Software
MS16-104 Kumulatives Sicherheitsupdate für Internet Explorer (3183038) Critical
Remote Code Execution
Requires restart  Internet Explorer on all supported releases of Microsoft Windows.
MS16-105 Kumulatives Sicherheitsupdate für Microsoft Edge (3183043) Critical
Remote Code Execution
Requires restart Microsoft Edge on all supported releases of Windows 10.
MS16-106 Sicherheitsupdate für Microsoft-Grafikkomponente (3185848) Critical
Remote Code Execution
Requires restart All supported releases of Microsoft Windows.
MS16-107 Sicherheitsupdate für Microsoft Office (3185852) Critical
Remote Code Execution
May require restart Microsoft Office 2007, Office 2010, Office 2013, Office 2013 RT, Office 2016, Office for Mac 2011, Office 2016 for Mac, Office Compatibility Pack, Excel Viewer, PowerPoint Viewer, Word Viewer, SharePoint Server 2007, SharePoint Server 2010, SharePoint Server 2013, Office Web Apps 2010, Office Web Apps 2013, and Office Online Server.
MS16-108 Sicherheitsupdate für Microsoft Exchange Server (3185883) Critical
Remote Code Execution
May require restart  Microsoft Exchange Server 2007, Exchange Server 2010, Exchange Server 2013, and Exchange Server 2016.
MS16-109 Sicherheitsupdate für Silverlight (3182373) Important
Remote Code Execution
Does not require restart  Microsoft Silverlight 5 and Silverlight 5 Developer Runtime.
MS16-110 Sicherheitsupdate für Windows (3178467) Important
Remote Code Execution
Requires restart  All supported releases of Microsoft Windows, excluding Itanium servers.
MS16-111 Sicherheitsupdate für Windows Kernel (3186973) Important
Elevation of Privilege
Requires restart  All supported releases of Microsoft Windows.
MS16-112 Sicherheitsupdate für Windows-Sperrbildschirm (3178469) Important
Elevation of Privilege
Requires restart  Microsoft Windows 8.1, Windows RT 8.1, Windows Server 2012 R2, and Windows 10.
MS16-113 Sicherheitsupdate für den sicheren Windows-Kernelmodus (3185876) Important
Information Disclosure
Requires restart  Microsoft Windows 10 and Windows 10 Version 1511.
MS16-114 Sicherheitsupdate für SMBv1-Server (3185879) Important
Remote Code Execution
Requires restart  All supported releases of Microsoft Windows.
MS16-115 Sicherheitsupdate für Microsoft Windows-PDF-Bibliothek (3188733) Important
Information Disclosure
May require restart  Microsoft Windows 8.1, Windows Server 2012, Windows RT 8.1, Windows Server 2012 R2, and Windows 10.
MS16-116 Sicherheitsupdate in OLE-Automatisierung für VBScript-Skriptmodul (3188724) Critical
Remote Code Execution
Requires restart  All supported releases of Microsoft Windows.
MS16-117 Sicherheitsupdate für Adobe Flash Player (3188128) Critical
Remote Code Execution
Requires restart  Adobe Flash Player on all supported editions of Microsoft Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, and Windows 10.

Kategorien: Windows

EU-Kommission plant verschärftes Leistungsschutzrecht

EU Flagge

Achja das Leistungsschutzrecht, fast hätte ich es schon wieder vergessen. Meine einzigen beiden Artikel über das Thema habe ich bereits im Jahr 2012 veröffentlicht, als es noch ein Gesetzentwurf war. Anschließend wurde es am 7. März 2013 mit Wirkung zum 1. August 2013 verabschiedet. Drei Jahre später kann man ohne jeden Zweifel konstatieren, dass es grandios floppte. Was war passiert?

Das ursprüngliche Ziel des sogenannten Leistungsschutzrechts war es, die Werke von Verlagen und Autoren im Internet zu schützen. Konkret bedeutet dies, dass die Verlage Gebühren erhalten sollen, wenn kommerzielle Internetdienste Inhalte der Verlage verwenden oder auf diese verweisen. Kleinste Textauszüge (Snippets) sollen allerdings nicht darunter fallen. Nach langen Diskussionen wurde außerdem klargestellt, dass sich das Leistungsschutzrecht primär gegen Suchmaschinen und automatisierte Nachrichtenportale richten soll. Soziale Netzwerke oder gewerbliche Blogger sollen nicht davon betroffen sein.

Google ging darauf verständlicherweise nicht ein und verweigerte die Zahlung von Gebühren. Stattdessen ging Google in die Offensive und stellte die Verlage vor die Wahl: Entweder willigen die Verlage einer kostenlosen Nutzung durch Google ein, oder sie werden einfach nicht mehr bei Google gelistet. Daraufhin kam es zu einem Rechtsstreicht, der aber zugunsten von Google entschieden wurde. Mittlerweile gingen die Verlage, allem voran Axel Springer, in Berufung und der Streit setzt sich in nächster Instanz fort.

Neues Leistungsschutzrecht auf EU-Ebene

Unterdessen plant die EU im Zuge der Urheberrechtsreform ein europaweites Leistungsschutzrecht. Nach ersten Informationen soll die EU-Richtlinie gegenüber der deutschen Variante, in der “kleinste Textauszüge” ausgenommen werden, noch restriktiver ausfallen. Demnach sollen auch einzelne Zitate oder kreative Überschriften geschützt werden. Des Weiteren sollen die Verlage für 20 Jahre das exklusive Nutzungsrecht auf die kommerzielle Verwertung bekommen – in Deutschland ist aktuell nur ein Jahr vorgesehen. Ebenso fällt auf, dass sich der Entwurf nicht nur an “gewerbliche Anbieter von Suchmaschinen” oder “gewerbliche Anbieter von Diensten, die Inhalte entsprechend aufbereiten” richtet, sondern alle kommerziellen Angebote davon betroffen sind. Lediglich für private Nutzer soll sich laut Oettinger nichts ändern.

Interessant ist die Frage, warum dieses Leistungsschutzrecht erfolgreicher sein sollte? Wie oben beschrieben ist es in Deutschland gescheitert und auch in Spanien sah es nicht anders aus. Dort wurde Google News kurzerhand komplett geschlossen. Selbst EU-Abgeordnete sind skeptisch und sehen keinen Erfolg des Leistungsschutzrechts. Die Abgeordnete Julia Rada sprach von einem “Wahnsinn”.

Ich bin gespannt, wie sich das Thema weiter entwickelt. Vor einer Verabschiedung müssten dem Entwurf der EU-Kommission schließlich auch noch das EU-Parlament und die Mitgliedstaaten zustimmen.

Kategorien: Internet Sonstiges

Lösung: Windows ignoriert Gruppenrichtlinieneinstellung Point-and-Print-Einschränkungen

In größeren Firmennetzwerken mit vielen Clients wird oftmals von der Gruppenrichtlinieneinstellung Point-and-Print-Einschränkungen (Point and Print Restrictions) Gebrauch gemacht, um den Administrationsaufwand gering zu halten. Mit dieser Einstellung lässt sich steuern, wie Benutzer Druckertreiber von Druckerservern installieren können.

Seit einigen Wochen kommt es allerdings teilweise zu Problemen. Einige User berichten von einer Sicherheitsmeldung, wenn sie bestimmte Drucker verknüpfen bzw. installieren wollen. Die Meldung lautet “Vertrauen Sie diesem Drucker?”.

Vertrauen Sie diesem Drucker?

Ursache des Problems ist das Security-Bulletin MS16-087 aus dem Juli-Patchday. Genauer gesagt KB3170455 unter Windows 7 bzw. 8.1 und KB3163912 unter Windows 10 bzw. KB3172985 bei Windows 10 v1511. Nach der Deinstallation des entsprechenden Updates ist das Problem verschwunden und die Benutzer können ohne Warnmeldung Drucker installieren. Allerdings ist dieser Workaround nicht empfehlenswert und in vielen Netzwerken auch gar nicht möglich.

Auf der Suche nach einer sinnvollen Lösung bin ich auf den Thread “KB3163912 breaks Point and Print Restrictions GPO settings” im TechNet gestoßen. Hier berichten viele User von ähnlichen Problemen. Nach weiterer Fehlersuche war schnell klar, dass dieses Problem lediglich bei Druckern auftritt, die keine “packaged”-Treiber verwenden.

Einige haben sogar einen Case via Microsoft-Premiumsupport eröffnet. Die offizielle Antwort von Microsoft lautet, den Druckerhersteller zu kontaktieren und “packaged” Treiber zu verwenden. Leider existiert in einigen Fällen aber kein “packaged”-Treiber, was vor allem (aber nicht ausschließlich) ältere Drucker betrifft.

Lösung

Schlussendlich hat ein findiger User doch noch eine brauchbare Lösungsmöglichkeit vorgeschlagen. Mit Hilfe der Registry lässt sich ein “un-packaged”-Treiber in einen “packaged”-Treiber verwandeln. Dazu öffnet man den Registrierungseditor und navigiert zu folgendem Pfad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Enviroments\Windowsx64\Drivers\...\

Dort angekommen wählt man links den betroffenen Druckertreiber aus, in meinem Beispiel den “Brother PCL5e Driver”.

Rechts muss der Wert “PrinterDriverAttributes” angepasst werden. Das niedrigste Bit des Wertes ist für die Eigenschaft “Package Aware” zuständig und muss entsprechend auf “1” gesetzt werden. Der vorhandene Wert muss dabei ungerade gemacht werden, d.h. ein Wert von “0” wird auf “1” gesetzt, ein Wert von “2” auf “3” usw. Wenn der Wert beispielsweise “5” ist dann passt er bereits und es muss nichts geändert werden. Danach muss noch der Druckdienst (Spooler, deutsch: Druckerwarteschlange) neugestartet werden. Ab diesem Zeitpunkt meldet sich der Treiber als “packaged” und kann ohne weiteren Benutzereingriff installiert werden.

Alternativ kann der betroffene Druckertreiber auch von Hand in einen “packaged”-Treiber umgewandelt werden. Hierzu reicht eine kleine Anpassung der INF-Datei aus. Bei Microsoft existieren weitere Informationen dazu. Vielleicht bekommen es damit auch einige Druckerhersteller gebacken, endlich “packaged”-Treber anzubieten.

Ab Oktober 2016 nur noch kumulative Updates für Windows 7 und 8.1

Microsoft Logo

Microsoft hat bekannt gegeben, dass es für Windows 7 und 8.1 zukünftig keine einzelnen Updates mehr, sondern nur noch kumulative Rollup-Pakete geben wird. Die Änderung soll ab Oktober 2016 Einzug halten und betrifft auch Windows Server 2008 R2, 2012 und 2012 R2.

Die kumulativen Rollup-Pakete werden ab Oktober eingeführt und werden ab diesem Zeitpunkt dann auch jeweils die Korrekturen der Vormonate enthalten. Längerfristig möchte Microsoft aber nach und nach auch alle bisher erschienenen Updates in die kumulativen Pakete integrieren. Für das .NET-Framework, Flash und den Internet Explorer sollen jeweils eigene Rollup-Pakete erscheinen. Durch den Einsatz von sogenannten “Express Packages” möchte Microsoft das Downloadvolumen für die Pakete klein halten. Dabei lädt der Windows-Client nur die tatsächlich benötigten Teile eines Update-Pakets herunter.

Neben den Rollup-Paketen, welche sowohl sicherheits- und nicht-sicherheitskritische Updates enthalten, wird Microsoft für Firmenkunden auch monatliche Sicherheits-Sammelpatches anbieten. Diese sind nicht kumulativ und enthalten alle Sicherheits-Updates für den jeweiligen Monat.

Durch diese Änderung möchte Microsoft die starke Fragmentierung von Windows 7 und 8.1 eindämmen und bestenfalls komplett beenden. Gleichzeitig möchte der Softwareriese damit die Anzahl der unterschiedlichen Systemkonfigurationen und potenziellen Fehlerquellen verringern. Ein Vorteil dabei ist, dass ein frisch installiertes Windows 7 oder 8.1 im besten Fall nur wenige Pakete installieren muss, um den aktuellen Patch-Stand zu erreichen. Allerdings bietet das Vorgehen von Microsoft auch einige Nachteile. Beispielsweise können problematische Patches dann nicht mehr wie bisher einzeln deinstalliert werden. Außerdem könnte Microsoft damit noch einfacher unerfreuliche funktionelle Änderungen verbreiten, Stichwort Telemetrie-Updates oder das GWX-Tool.

WordPress 4.6 veröffentlicht – Die Neuerungen

WordPress Logo

Vor wenigen Minuten wurde WordPress 4.6 “Pepper” veröffentlicht. Wie immer steht die neue Version bereits als manueller Download und auch über die automatische Updatefunktion zur Verfügung. Selbstverständlich ist bereits auch die deutsche Sprachvariante erhältlich. Ich habe mich bereits an das Update gewagt und konnte bisher keine Probleme feststellen. Dennoch solltet ihr vor dem Update ein aktuelles Backup anfertigen, sicher ist sicher ;-)

Nachfolgend ein kurzer Überblick der wichtigsten Neuerungen. Genauere Details findet ihr im ausführlichen Changelog im WordPress-Codex.

  • “Shiny Updates v2”, Plugins und Themes können nun ohne Neuladen der Seite aktualisiert, instlalliert und entfernt werden (bisher war nur das Update von Plugins und Themes via AJAX möglich)
  • Open Sans im Admin-Backend als Schriftart entfernt, stattdessen wird auf System-Schriftarten gesetzt
  • TinyMCE-Editor auf Version 4.4.0 aktualisiert
  • nicht gültige Links (HTTP-Status-Code 404) werden rot umrandet angezeigt
  • Wiederherstellen von gespeichertem Inhalt optimiert
  • Unterstützung von Resource Hints
  • verbesserte HTTP-API (fügt Header unabhängig von Groß- und Kleinschreibung hinzu, erlaubt parallele HTTP-Anfragen und unterstützt internationalisierte Domain-Namen)
  • Aktualisierung von JavaScript-Bibliotheken (Masonry 3.3.2, imagesLoaded 3.2.0, MediaElement.js 2.22.0, TinyMCE 4.4.1 und Backbone.js 1.3.3)

Kategorien: Wordpress

Schwarzer Sperrbildschirm in Windows 10 Anniversary Update beheben

Windows 10 Logo

Mit Windows 10 hat Microsoft die neue Funktion Windows-Blickpunkt (englisch Windows spotlight) eingeführt, die zufällig neue Hintergrundbilder für den Sperrbildschirm anzeigt. Außerdem bietet Windows 10 die Möglichkeit, dass der Anmeldebildschirm dasselbe Hintergrundbild verwendet.

Seit dem Anniversary Update existiert aber ein Fehler, wodurch kein Hintergrundbild angezeigt wird und der Sperrbildschirm schwarz bleibt (siehe Screenshot). Wenn man die Maus bewegt oder eine Taste auf der Tastatur drückt, erscheint der Anmeldebildschirm und auch das Hintergrundbild. Der Sperrbildschirm selbst bleibt aber schwarz.

Schwarzer Sperrbildschirm

Dieser Fehler lässt sich jedoch relativ leicht beheben. Zuerst muss in die erweiterten Systemeinstellungen gewechselt werden. Es existieren mehrere Möglichkeiten um dorthin zu kommen:

  • über die Suchfunktion in der Taskleiste, “Erweiterten Systemeinstellung” suchen
  • Rechtsklick auf das “Dieser PC”-Icon auf dem Desktop, “Eigenschaften” wählen und links auf “Erweiterte Systemeinstellungen” klicken
  • in der Systemsteuerung auf “System” klicken und links auf “Erweiterte Systemeinstellungen” klicken

Erweiterte Systemeinstellungen

Dort müsst ihr im oberen Drittel unter “Leistung” auf “Einstellungen…” klicken.

Im neuen Fenster “Leistungsoptionen” muss dann die Einstellung “Animation beim Minimieren und Maximieren von Fenstern” aktiviert werden.

Wenn ihr das Fenster mit “OK” schließt wird auf dem Sperrbildschirm fortan wieder ein Hintergrundbild angezeigt. Zur Überprüfung ob es funktioniert einfach kurz den PC mit der Windows-Taste + L sperren.

Microsoft beschneidet Gruppenrichtlinien unter Windows 10 Pro

Windows 10 Logo

Microsoft hat das Anniversary Update für Windows 10 am 02. August 2016 veröffentlicht. Unternehmenskunden müssen sich noch etwas gedulden, denn dort ist Windows 10 Version 1607 erst ab dem 16. August per WSUS erhältlich. Die administrativen Vorlagen (.admx) für die neue Windows-10-Version sind aber bereits verfügbar. Mit dem Update auf Version 1607 hat Microsoft wieder ein paar Überraschungen an Bord. Einige Gruppenrichtlinien-Einstellungen stehen ab sofort nicht mehr für Windows 10 Pro zur Verfügung.

Dieses Verhalten hat sich bereits im November Update (Version 1511) angedeutet. Hier war es unter Windows 10 Pro nicht mehr möglich, den Zugriff auf den Store zu blockieren. Mit Version 1607 setzt Microsoft diesen Kurs verstärkt fort. Folgende Gruppenrichtlinien-Einstellungen sind nur noch für Windows 10 Enterprise und Education anwendbar bzw. wirksam:

Name Pfad
Configure Spotlight on lock screen User Configuration > Administrative Templates > Windows Components > Cloud Content
Turn off all Windows Spotlight features User Configuration > Administrative Templates > Windows Components > Cloud Content
Turn off Microsoft consumer features Computer Configuration > Administrative Templates > Windows Components > Cloud Content
Do not display the lock screen Computer Configuration > Administrative Templates > Control Panel > Personalization
Do not require CTRL+ALT+DEL
&
Turn off app notifications on the lock screen
Computer Configuration > Administrative Templates > System > Logon

Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options > Interactive logon

Do not show Windows Tips Computer Configuration > Administrative Templates > Windows Components > Cloud Content
Force a specific default lock screen image Computer Configuration > Administrative Templates > Control Panel > Personalization
Start layout User Configuration\Administrative Templates\Start Menu and Taskbar
Turn off the Store application Computer Configuration > Administrative Templates > Windows Components > Store > Turn off the Store application

User Configuration > Administrative Templates > Windows Components > Store > Turn off the Store application

Only display the private store within the Windows Store app Computer Configuration > Administrative Templates > Windows Components > Store > Only display the private store within the Windows Store app

User Configuration > Administrative Templates > Windows Components > Store > Only display the private store within the Windows Store app

Don’t search the web or display web results Computer Configuration > Administrative Templates > Windows Components > Search > Don’t search the web or display web results

Microsoft hat die Auflistung der entsprechenden Einstellungen mittlerweile auch im TechNet veröffentlicht.

Ich kenne Microsofts Ziele nicht, aber für mich sieht es so aus, als ob sie Unternehmenskunden mittel- bis langfristig zum Umstieg von Windows 10 Pro auf Enterprise bewegen möchten. Für kleinere Firmen dürfte dies aber oft keine Alternative sein, da Windows 10 Enterprise teurer ist und nur mit Volumenlizenzierung (Software Assurance) verwendet werden kann.

Kategorien: Windows Windows 10

Funkschlüssel bei 100 Millionen Autos sind unsicher

Was den meisten IT-affinen Menschen schon seit Jahren klar sein sollte wurde jetzt abermals bestätigt: Funkschlüssel sind extrem unsicher. Forscher aus Deutschland und Großbritannien haben eine gravierende Sicherheitslücke bei Funkschlüssel von mehreren Autoherstellern gefunden. Besonders hart trifft es den VW-Konzern, aber auch andere Hersteller werden nicht verschont. Laut Berichten von NDR, WDR und Süddeutscher Zeitung sind Modelle von 15 Herstellern betroffen. Insgesamt sollen über 100 Millionen Autos geknackt werden können.

Den Forschern ist es gelungen, das vom Autoschlüssel an den Wagen gesendete Signal mitzuschneiden und zu entschlüsseln. Prinzipiell ist dies nichts Neues. Bei den betroffenen Volkswagen-Autos reicht allerdings ein einziger Mitschnitt und das verschlüsselte Funksignal ist in weniger als einer Sekunde geknackt. Anschließend konnten die Forscher das Funksignal beliebig oft reproduzieren. Bei den anderen Herstellern ist das Verfahren etwas komplexer und zum Knacken musste mehr als ein Funksignal mitgehört werden.

Durch die Sicherheitslücke können Fahrzeuge ohne Originalschlüssel geöffnet und wieder verschlossen werden. Kriminelle könnten somit ein Auto ausrauben, ohne dass der Besitzer es bemerkt. Da keine Spuren hinterlassen werden kann der Diebstahl im Nachhinein auch nicht nachvollzogen werden.

Offensichtlich geht die Sicherheitslücke 21 Jahre zurück, denn fast alle VW-Modelle ab dem Baujahr 1995 sind betroffen. Ebenso betroffen sind die VW-Töchter Audi, Seat und Škoda. Die Ursache liegt an der geringen Zahl der für die Funkschlüssel verwendeten Passphrasen. Volkswagen teilte mit, dass das Problem bekannt sei und es nicht mehr auf die aktuellen Modelle zutreffe. Was mit “aktuelle Modelle” genau gemeint ist ließ der Konzern offen. Unklar ist auch, wie VW damit weiter umgehen wird und ob es zu einer Rückrufaktion kommen wird. Die unglückliche Kommunikation zeigt, dass VW offensichtlich nichts aus dem Diesel-Skandal gelernt hat.

Laut der Tagesschau sind die Schlüssel der folgenden Modelle betroffen:

  • Audi: A1, Q3, S3, TT, R8
  • VW: Amarok, Beetle, Bora, Caddy, Crafter, Eos, Fox, Golf 4, Golf 5, Golf 6, Golf Plus, Jetta, Lupo, Passat, Polo, Transporter T4, Transporter T5, Scirocco, Sharan, Tiguan, Touran, Up/e-Up
  • Seat: Alhambra, Altea, Arosa, Cordoba, Ibiza, Leon, MII, Toledo
  • Skoda: City Go, Roomster, Fabia 1, Fabia 2, Octavia, Superb, Yeti
  • Fiat Punto: (Typ 188), 500, Abarth 500, Bravo, Doblo, Ducato, Fiorino, Grande Punto, Panda, Punto Evo, Qubo
  • Alfa Romeo: Guilietta (Typ 940)
  • Lancia: Delta (Typ 844), Musa
  • Mitsubishi: Colt (Z30)
  • Citroen: Nemo, Jumper
  • Opel: Astra (Modell H), Corsa (Modell D), Vectra (Modell C), Combo, Meriva, Zafira
  • Ford: Ka (RU8)
  • Dacia: Logan II, Duster
  • Renault: Clio, Modus, Trafic, Twingo, Master
  • Nissan: Micra, Pathfinder, Navara, Note, Qashqai, X-Trail
  • Peugeot: Boxer, Expert, 207

Kategorien: Hardware Sonstiges

Administrative Vorlagen (.admx) für Windows 10 Version 1607 und Windows Server 2016 verfügbar

Windows 10 Logo

Wenige Tage nach Veröffentlichung des Anniversary Updates für Windows 10 alias Windows 10 Version 1607 hat Microsoft auch die administrative Vorlagen (.admx) für die neue Version zum Download freigegeben. Neben Windows 10 v1607 sind diese auch für Windows Server 2016 geeignet.

Download Administrative Templates (.admx) für Windows 10

Kategorien: Windows Windows 10

Microsoft-Patchday August 2016

Microsoft Logo

Am heutigen Patchday veröffentlicht Microsoft neun Security-Bulletins, von denen fünf als „kritisch“ und vier als „hoch“ eingestuft werden. Insgesamt sollen 34 Sicherheitslücken durch die Updates behoben werden. Neben den obligatorischen Updates für den Internet Explorer und Edge-Browser, stehen auch Updates für Office und Skype for Business bereit.

Nachfolgend ein grober Überblick der zur Verfügung stehenden sicherheitsrelevanten Updates. Weitere Details stellt Microsoft wie immer im Security TechCenter zur Verfügung.

Bulletin ID Bulletin Title Maximum Severity Rating and Vulnerability Impact Restart Requirement Affected Software
MS16-095  Cumulative Security Update for Internet Explorer (3177356) Critical
Remote Code Execution
Requires restart
MS16-096  Cumulative Security Update for Microsoft Edge (3177358) Critical
Remote Code Execution
Requires restart
MS16-097  Security Update for Microsoft Graphics Component (3177393) Critical
Remote Code Execution
May require restart
MS16-098  Security Update for Windows Kernel-Mode Drivers (3178466) Important
Elevation of Privilege
Requires restart
MS16-099 Security Update for Microsoft Office (3177451) Critical
Remote Code Execution
May require restart
MS16-100 Security Update for Secure Boot (3179577) Important
Security Feature Bypass
Does not require restart
MS16-101 Security Update for Windows Authentication Methods (3178465) Important
Elevation of Privilege
MS16-102 Security Update for Microsoft Windows PDF Library (3182248) Critical
Remote Code Execution
May require restart
MS16-103 Security Update for ActiveSyncProvider (3182332) Important
Information Disclosure
Requires restart

Windows 10 Anniversary Update beschleunigt Netzwerk-Stack

Windows 10 Logo

Das Anniversary Update für Windows 10 ist seit dem 2. August erhältlich und bringt einige kleinere oder größere Neuerungen mit. Aber auch unter der Haube hat Microsoft einige Verbesserungen eingebaut. So sollen fünf neue Features für einen schnelleren Netzwerk-Stack sorgen und gleichzeitig die Übertragungsleistung verbessern. Die neuen Features werden auch in Windows Server 2016 enthalten sein.

Drei dieser Funktionen liegen bereits als endgültige RFC-Spezifikationen vor:

  • TCP Fast Open (TFO) (RFC 7413)
    • TCP Fast Open wurde ursprünglich von Google entwickelt und befindet sich bereits seit Ende 2012 im Linux-Kernel. Nach dem ersten Verbindungsaufbau sendet der Server ein kryptografisch sicheres Cookie an den Client. Alle darauffolgenden TCP-Verbindungen können damit schneller initialisiert werden. Damit lassen sich wiederholte Drei-Wege-Handshakes zum gleichen Server vermeiden, was insbesondere beim Laden von Webseiten mit vielen TCP-Verbindungen einen deutlichen Geschwindigkeitsschub bringt. Ohne TCP Fast Open ist für jede einzelne Verbindung ein Drei-Wege-Handshake erforderlich. Mit TCP Fast Open lassen sich bis zu 1 RTT (Round Trip Time) einsparen.
  • Initial Congestion Window 10 (ICW10) (RFC 6928)
    • Microsoft erhöht das Congestion Window von 4 auf 10 MSS (Maximum Segment Size – maximale Anzahl von Bytes, die als Nutzdaten in einem TCP-Segment versendet werden können). Im Ergebnis können schnelle Internetleitungen besser ausgenutzt werden, wodurch insbesondere die Übertragung von kleinen Dateien beschleunigt wird.
  • Low Extra Delay Background Transport (LEDBAT) (RFC 6817)
    • Mit LEDBAT sollen Übertragungen geringer Priorität im Hintergrund ermöglicht werden, ohne sich störend auf andere TCP-Verbindungen auszuwirken. Salopp gesagt werden unkritische Datenströme entsprechend langsam gesendet, sodass keine Auswirkungen auf andere Übertragungen bemerkbar sein sollten.

Bei den zwei anderen Features handelt es sich noch um experimentelle Entwürfe:

  • Recent ACKnowledgment (RACK)
    • Diese Technologie soll den Verlust von TCP-Paketen früher bemerken. Daraus ergibt sich automatisch, dass verlorene Segmente schneller erneut gesendet werden. Laut Microsoft kommt das neue Feature nur bei Verbindungen mit einer höheren Latenz als 10 ms zum Einsatz. Bei LAN-Verbindungen kommt das Feature demnach nicht zum Einsatz. RACK ist seit Anfang 2016 im Linux-Kernel vorhanden.
  • Tail Loss Probe (TLP)
    • TLP soll bei Paketverlusten helfen und sorgt dafür, dass die Latenz bis zur Sendewiederholung geringer ausfällt.

Das Windows Networking Team teilte mit, dass es sich um den ersten Schub von neuen Features handelt und mit den kommenden Redstone-Releases weitere Features kommen werden.

Kategorien: Windows Windows 10