Security through Obscurity1 funktioniert nicht. Das ist keine Behauptung, das ist ein immer wieder erwiesener Fakt. Der heutige Beweis hat einen besonders großen Impact für weltweit alle Microsoft Windows Installationen. Die Windows Security Center (WSC) API2 wurde dazu gebracht, jedes beliebige Programm als Anti-Virus Lösung zu akzeptieren. Die Funktionsweise der WSC ist wie folgt: Will ein Hersteller einer AV-Security-Lösung sein Schlangenöl installieren, muss er die in Windows laufenden Mechanismen erst ausschalten können, damit dieser nicht selbst als Malware erkannt und an diesem Versuch verhindert wird. Daher die bisher äußerst strenge Geheimhaltung dieser Schnittstelle. Read more

Mirosoft macht mal wieder typische Microsoft Dinge. Eine Passwörtänderung bewirkt bei Microsoft Konten bei RDP-Einwahlen genau nichts. Vorbei an Online-Prüfungen, zweiten Faktoren und Gruppenrichtlinien hat Microsoft seit Jahren heimlich und undokumentiert entschieden, dass alte Passwörter weiterhin für RDP-Anmeldungen akzeptiert werden, selbst wenn diese längst ersetzt wurden.1 Entscheidend für das “Credential Caching” ist die Erstanmeldung an einem System mit dem Microsoft- oder Azure-Konto. Bei dieser Online-Erstvalidierung wird quasi ein dauerhafter Zugang eingerichtet. Man nennt sowas auch Backdoor.2 Read more

Während bei Windows 10 durch Entfernen des Netzwerkkabels oder dem Vortäuschen eines anderen Landes1 die “Out of the Box Experience” OOBE ausgetrickst werden konnte, soll mit solchen Hacks jetzt Schluß sein wenn es nach Microsoft geht. Kein Windows 11 ohne Microsoft-Konto und ohne Möglichkeit, es offline zu installieren.2 This change ensures that all users exit setup with internet connectivity and a Microsoft Account. Das ist Marketing-Sprech kurz vor Erbrechen. Wenig verwunderlich und so typisch für Microsoft: Entfernt wird nur das bypassnro.cmd Skript, nicht die vom Skript vorgenommenen Registry-Settings. Read more

Diese Frage kommt immer häufiger in Foren und Diskussionen auf. Und auch wenn ich diese für mich längst beantwortet habe und über eine gefestigte Meinung dazu verfüge, fehlt bislang die Auseinandersetzung und Abwägung von Fakten. Das mache ich idealerweise beim Schreiben eines Blogs. Ich habe mich dazu entschieden, einen anderen Weg zu gehen und alles in einem Dialog mit einem Experten zu behandeln. Kein anderer als das aktuelle, kostenpflichtige ChatGPT Modell 4o dürfte da neutraler, genauer und präziser die richtigen Antworten liefern, so zumindest die Versprechungen von OpenAI. Read more

Nervt das ständige Nudging von Windows?1 Die penetrante Werbung für Online-Dienste und Abos? Die Bloatware,2 die ohne Zutun installiert wird? Das neue Recall oder der überall mit Gewalt “angeflanschte” AI-Copilot, laut Salesforce-CEO Mark Benioff ohne einen Mehrwert?3 Nicht zu vergessen die monatliche Angst vor’m Patchday,4 mit immer wieder neuen Problemen, die aktuell sogar Microsoft zur Aussetzung der Updates zwingen?5 Selbst die eher Microsoft Gesinnten aus Hannover legen den Umstieg auf einen Mac nahe.6 Doch ist das die Lösung? Ein Wechsel von einem proprietären System zum nächsten, ohne das eigentliche Problem an der Wurzel zu packen? Read more

Microsoft hat es getan. Der Kill-Switch ist mit KB50415801 bzw. KB50415712 umgelegt und alle anderen Betriebssysteme “ausgeknipst”. Ein PC mit aktiviertem Secure-Boot kann keine anderen Betriebssysteme mehr booten als das von Microsoft. Das schließt auch sämtliche Rettungs- und Image-Sicherungssysteme ein. Damit ist die seit vielen Jahren andauernde Kritik an Secure-Boot3 eingetreten. Zum technischen Hintergrund haben andere die Details bereits sehr gut zusammen getragen.4 Bitte den “Hannoveraner Pressemitteilungs-Abdruckdienst”5 und “Microsoft-Seminar-Verkäufer” mit seiner “Hofberichterstattung” ignorieren. Dort wird die Problematik mit Secure-Boot nicht erkannt und das Microsoft’sche Narrativ ohne Einordnung wiedergekäut: Alle anderen sind Schuld.6 Read more

Es ist wieder Microsoft-Patchday. In den verschiedenen Foren und Kommentaren1 häufen sich die regelmäßigen, echt peinlichen Nachfragen von verängstigten Administratoren: Wer hat’s schon installiert? Gibt’s Probleme? Irgendwelche Totalausfälle? Leute! Wenn die Updates eines Software-Lieferanten derart kritisch für Eure Infrastruktur sind, dann mitigiert das weg! Was ist Euer Job-Title nochmals? Wald-Wiesen-Windows Fensterschubser? Hier ein Impuls zum selbständig Denken und Handeln. Wie immer ohne Anspruch auf Vollständigkeit und Allgemeingültigkeit. Your mileage may vary. Read more

Schnell umsetzbare und technisch wenig aufwändige Tipps zum Absichern von Windows-Netzwerken: 1. Software Restrictions aktivieren Die seit XP in jedem Windows enthaltenen Software Restrictions1 aktivieren und per Gruppenrichtlinien im AD ausrollen. Wo alleinstehende Rechner außerhalb des AD im gleichen Segment stehen, müssen SRPs manuell in den lokalen Sicherheitsrichtlinien aktiviert werden.2 Auch wenn von Microsoft offiziell abgekündigt und bei Windows 11 aus Vorsatz oder Dummheit einen (leicht behebbaren) Bug eingebaut,3 stellen SRP weiterhin die sicherste und am weitesten funktionierende Implementierung eines App-Whitelisting dar. Read more

Vor einem Jahr hat Microsoft rückwirkend bis Windows 2008 Server KB50202821 veröffentlicht, das einen Lockout auch für lokale administrative Konten ermöglicht. Bis dahin war es ein bekanntes Phänomen, dass AD Gruppenrichtlinien dieses nicht verhindert haben. Umso erstaunlicher ist es, dass diese Policy ein Jahr nach Erscheinen in zumindest den mir bekannten Windows-Adminkreisen kaum bekannt, geschweige denn aktiviert ist. Selbstredend gehe ich davon aus, dass die zugehörigen Sperrzeiten gesetzt sind. Read more

Ein frisch installiertes Windows kommt immer mit einer Breitseite an Bloatware. Microsoft macht daraus kein Hehl: Das ehemalige Betriebssystem ist längst zu einer Zugangs-Plattform für die eigenen Cloud-Dienste und zahlenden Werbekunden geworden. Microsoft framed1 das als “Out of Box Experience”2. Die vielen bunten, blinkenden Kacheln erinnern mehr an die Seuche der 90er: Die AOL-Zugangssoftware.3 Ein Trick hilft, die Schmerzen etwas zu mildern: Bei einer Neuinstallation sind im ersten Dialogfeld die Fragen nach Sprache, Zeit-/Währungsformat und Tastatur-Layout mit “Englisch”, “Englisch (World)” und “US” zu beantworten. Es versteht sich von selbst, dass die Installation ohne Netzwerk erfolgt, damit kein Microsoft-Konto aufgezwungen wird. Read more