Weiterlesen »]]> Bereits im Sommer diesen Jahres hatte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Websitebetreiber in Schleswig-Holstein aufgefordert, die immer weiter verbreiteten Social Plugins von ihren Websites zu nehmen, da diese nicht mit hiesigen Datenschutzrichtlinien vereinbar seien. Dieser Ansicht haben sich am 8. Dezember nun auch die im Düsseldorfer Kreis organisierten obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich angeschlossen und somit eine bundesweite Richtlinie zur Nutzung von Social Plugins, wie bspw. des Facebook Like-Buttons, geschaffen. Und diese besagt, dass die Nutzung derartiger Plugins ohne ausreichende Information der Nutzer darüber, dass Daten an das jeweilige Soziale Netzwerk übertragen werden, nicht zulässig ist.

Warum eigentlich? Hier eine kurze Erläuterung: ruft ein Nutzer eine Webseite auf, auf der z.B. der Facebook Like-Button integriert ist, so sendet der Browser des Nutzers automatisch

die Adresse der Webseite und ein eventuell bereits früher von Facebook gesetztes Cookie an die Facebook-Server. Ist dieser Nutzer zufällig zum gleichen Zeitpunkt bei Facebook angemeldet (das ist er auch dann, wenn Facebook zwar geschlossen ist, er sich aber beim Verlassen nicht abgemeldet hat), so enthält das Cookie auch dessen Sitzungs-ID und Facebook kann ihm den Webseitenaufruf persönlich zuordnen. Auf diese Weise lassen sich relativ einfach Bewegungsprofile im Internet erstellen. Selbst, wenn zum Zeitpunkt des Aufrufes kein Facebook-Cookie auf dem Rechner des Nutzers vorhanden sein sollte – z.B. weil er gar kein Facebookprofil besitzt – kann Facebook seine Bewegungen im Internet zukünftig trotzdem nachvollziehen, da einfach ein neues Cookie gesetzt wird, auf das später bei ähnlichen Aufrufen zurückgegriffen werden kann. Die so gesammelten Daten können dann zwar keinem richtigen Namen, aber einer in dem Cookie gespeicherten ID zugeordnet werden. Ähnliche Verfahren verwenden auch andere soziale Netzwerke wie Twitter und Google+.

Wie kann man nun als Website-Betreiber Social Plugins datenschutzkonform einbinden? Dazu hat sich der Heise-Verlag Gedanken gemacht und eine zweistufige Lösung sowohl entwickelt, als auch unter der Open-Source-Lizenz veröffentlicht, die den Anforderungen der Datenschützer gerecht wird. Beim Laden der aufgerufenen Seite sind die Buttons für Facebook, Twitter und und Google+ noch deaktiviert und senden keinerlei Daten an die entsprechenden Server. Erst durch einen gezielten Klick des Nutzers werden die Buttons aktiviert und können dann dementsprechend genutzt werden. Durch das bewusste Aktivieren gibt der Nutzer seine Zustimmung zum Datenversand, womit eine Einbindung der Buttons entsprechend der am 8. Dezember beschlossenen Richtlinie gewährleistet ist. Ich selber habe in mein Blog diese Lösung implementiert und dafür das entsprechende WordPress Plugin benutzt, welches im zentralen Plugin-Verzeichnis zur Verfügung steht.

Es kann also wieder geliked, getweeted und ge+1ed werden

Weiterführende Links zu dem Thema:
- Einschätzung von Rechtsanwalt Dr. Bahr
- ZDNet schaltet Social Plugins ab

Weiterlesen »]]> Viele Administratoren werden sicherlich schon einmal vor der Problem gestanden haben, ein Programm auf mehreren Rechnern (nach-)installieren zu müssen, ohne dafür auf eine richtige Softwareverteilung zurückgreifen zu können. In so einem Falle hat man mehrere Möglichkeiten: Entweder man nimmt sich jeden Rechner einzeln vor, oder man baut sich seine eigene “Softwareverteilung”. Ersteres dürfte wohl nur in relativ kleinen Netzwerken eine ernsthaft zu erwägende Option sein, da der Zeitaufwand spätestens ab zehn Rechnern in unverhältnismäßige Dimensionen steigt. Bleibt also nur der zweite Weg – und die Frage nach dem “Wie?”…

… Welche sich denn auch recht schnell und einfach beantworten lässt: mit knapp 60 Zeilen Skriptcode, ein wenig Basiswissen im Umgang mit VBScript und WMI, sowie einer passenden Installationsdatei. Im Falle des Internet Explorer 8 empfiehlt es sich, ein MSI-Paket zu verwenden, welches man sich aber leider erst selbst mit dem Internet Explorer Administration Kit (IEAK) 8 erstellen muss. Ist dies soweit gelungen, kann man sich an das Installationsskript machen. Ziel ist es, dass das Skript zentral ausgeführt wird und dann automatisch die Installation auf allen angegebenen Rechnern vornimmt. Und das Ergebnis sieht wie folgt aus:

'## Remote-Installationsskript v1.5 ##

Program = "Internet Explorer 8"
SrcPath = "P:\Browser\Internet_Explorer_8\"
SetupFile = "IE8-Setup-Full.msi"
InstOptions = " /quiet /qn /norestart"
ComputerListe = "ComputerListe.txt"
LogFile = ScrPath & Program & " Installation.log"

Set fso = createobject("scripting.filesystemobject")
Set oLogging = fso.OpenTextFile(LogFile, 8, true)
Set oComputerListe = fso.opentextfile(ComputerListe, 1, false)
if (Err.Number <> 0) then
WScript.echo "Cannot open " & ComputerListe
WScript.quit
end if

WScript.Echo "Beginning Remote Installation."

on error resume next

while not oComputerListe.atEndOfStream
Computer = oComputerListe.ReadLine()

'WScript.echo "Copying files to " & Computer & " ..."

fso.CopyFile SrcPath & SetupFile, "\\" & Computer & "\C$\Temp\", true
if (Err.Number <> 0) then
WScript.echo "Failed to copy File(s) on " & Computer & " with " & Err.Number
end if

Err.Clear

'WScript.echo "Connecting to " & Computer & "..."

if (Err.Number <> 0) then
WScript.echo "Failed to connect to " & Computer & "."
else

'WScript.echo "Installing " & Program

Set oWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & Computer & "\root\cimv2")
Set oProcess = oWMI.Get("win32_process")
oProcess.create "C:\Windows\System32\msiexec.exe /i C:\Temp\" & SetupFile & InstOptions
if (Err.Number <> 0) then
WScript.echo "Failed to start process on " & Computer & ": " & Err.Number
else
oLogging.WriteLine(Computer & ": " & Date)
end if
end if

Err.Clear

wend

oComputerListe.close()
oLogging.close()

WScript.echo "Exiting."

Das Skript greift auf die Datei “ComputerListe.txt” zu, in der die Zielhosts mit Name oder IP-Adresse definiert sind. Auf jeden Host wird das MSI-Paket nach C:\Temp kopiert. Ist der Kopiervorgang erfolgreich abgeschlossen, stellt das Skript eine WMI-Verbindung mit dem Zielhost her und startet auf diesem den Setupprozess. Ein fehlerfreier Start wird in einer Logdatei mit Datum protokolliert, eventuelle Fehlermeldung werden auf den Bildschirm ausgegeben. WICHTIG: Der Account, unter dem das Skript ausgeführt wird, benötigt auf den Ziel PCs die notwendigen Rechte, um auf WMI zugreifen und Programme installieren zu können. Im günstigsten Falle startet man das Skript also unter einem Domänenadmin-Account.

Natürlich ist dies bei weitem nicht mit einer wirklichen Softwareverteilung zu vergleichen, aber mit ein Bisschen Fleißarbeit kann man das Skript noch etwas aufbohren. So können z.B. Hosts aus einem Active Directory ausgelesen werden, anstelle aus der Textdatei. Ebenso kann man auch durch Überprüfung der Installationslogs auf den Rechnern das Ergebnis der Installation abprüfen und dieses z.B. in eine Datenbank schreiben – VBScript bietet hier viele Möglichkeiten, die man sich mit ein wenig Zeit und Lust zu nutze machen kann. Viel Spaß beim Skripten!

Weiterlesen »]]> Die Vorgehensweise zur Verwendung von Sysprep unter Windows 7/Server 2008 R2 ist ähnlich der für Windows Vista. Auch hier wird eine Antwortdatei im XML-Format verwendet, die mit dem Windows AIK erstellt wird. Dieser kann hier heruntergeladen werden (ca. 1,6 GB großes ISO-Image). Das Image muss auf DVD gebrannt und anschließend der AIK auf dem Zielcomputer installiert werden. Um diesen zu benutzen sollte man auch noch die Datei install.wim von der Windows 7 Installations-DVD aus dem Ordner sources auf die lokale Festplatte kopieren.

Erstellen der Antwortdatei
Zur Erstellung der Antwortdatei öffnet man über das Startmenü den Windows-Systemabbild-Manager (Windows System Imager; SIM), wählt damit die zuvor kopierte install.wim (über den Menüpunkt “Windows-Abbild auswählen”) und im Anschluss daran die Version von Windows 7 aus, die konfiguriert werden soll.

Sollte an dieser Stelle eine Meldung erscheinen, dass keine Katalogdatei(en) gefunden wurde(n), erstellt man diese einfach durch Bestätigung der Meldung. (Unter Umständen kann an dieser Stelle eine Meldung erscheinen, dass die Datei nicht gespeichert werden konnte. In diesem Fall entfernt man einfach den Schreibschutz aus den Attributen der Datei.) Ist das erledigt, findet man im Bereich “Windows-Abbild” unter “Components” alle Komponenten, die in die Antwortdatei übernommen werden können. Um diese zu erzeugen geht man über “Datei” auf “Neue Antwortdatei…”, woraufhin der SIM eine leere Antwortdatei erstellt. Diese besteht aus sieben Kategorien, die für die einzelnen Windows-Installationsabschnitte stehen:

• windowsPE legt Windows PE-spezifische Einstellungen fest, sowie von Installationseinstellungen (z.B. Partitionieren und Formatieren, Auswählen einer Partition, das Verwenden eines Product Keys und eines Administratorkennworts)
• offlineServicing dient zur Anwendung der Einstellungen für eine unbeaufsichtigte Installation auf ein Windows-Offlineabbild. Hier können Sprachpakete, QFE-Updates (Quick Fix Engineering) und andere Pakete hinzufügt werden.
• generalize wird von Windows Setup verwendet, um ein Windows-Referenzabbild zu erstellen, das im gesamten Unternehmen verwendet werden kann. Wenn ein System generalisiert wird, werden spezielle Konfigurationsdaten der grundlegenden Windows-Installation entfernt. So werden beispielsweise die eindeutige Sicherheits-ID (SID) und andere hardwarespezifische Einstellungen aus dem Abbild entfernt. Der Konfigurationsdurchlauf generalize wird nur ausgeführt, wenn man den Befehl später Sysprep mit der Option /generalize aufruft.
• specialize wendet computerspezifische Informationen für das Abbild an. Beispielsweise kann man Netzwerkeinstellungen, internationale Einstellungen sowie Domäneninformationen konfigurieren.
• In der Phase auditSystem werden Einstellungen für eine unbeaufsichtigte Installation im Systemkontext verarbeitet. Unmittelbar darauf folgt die Phase auditUser, die zur Anwendung von Einstellungen im Benutzerkontext eingesetzt wird. ACHTUNG: Diese Phasen werden nur durchlaufen, wenn man Sysprep mit der Option /audit aufruft.
• Unter oobeSystem werden die Einstellungen für den ersten Start durch den Endbenutzer konfiguriert (Windows-Willkommensseite). Die oobeSystem-Einstellungen werden vor der ersten Anmeldung eines Benutzers bei Windows verarbeitet.

Um nun Eigeschaften in der Antwortdatei festzulegen sucht man erst unter “Components” die entsprechende Komponente und fügt diese dann per Rechtsklick einem Abschnitt hinzu. Durch Drücken von F1 bekommt man zu der gerade ausgewählten Komponente eine (englische) Beschreibung angezeigt. Konfigurierte Werte werden in der Übersicht dunkelblau, nicht konfigurierte hellblau dargestellt.

Wenn die Parameter soweit angepasst sind, speichert man die Datei unter einem beliebigen Namen (am besten direkt unter C: um später Fehler bei dem Dateipfad zu vermeiden). Nicht konfigurierte Unterkategorien werden beim Speichern automatisch aus der Antwortdatei entfernt. Ebenso werden eingetragene Passwörter beim Abspeichern verschlüsselt. Ein “Merkzettel” kann also nicht schaden, da die Passwörter nicht wieder unverschlüsselt dargestellt werden können.

Sysprep ausführen
Syprep wird unter Windows 7 wie unter Vista am Besten über die Kommandozeile aufgerufen (zu finden unter C:\Windows\System32\sysprep), da nur so die Angabe einer Antwortdatei möglich ist. Für den Aufruf stehen verschiedene Parameter zur Verfügung (fettgeschriebene Angaben sind Pflicht):

sysprep.exe [/oobe | /audit] [/generalize] [/reboot | /shutdown | /quit] [/quiet] [/unattend:<Pfad Antwortdatei>]

Bsp.: sysprep.exe /audit /generalize /reboot /quiet /unattend:C:\unattend.xml

/oobe startet den Computer im Modus der Windows-Willkommensseite neu (bekannt aus dem normalen Setup der Windows 7 Installation). Mit Hilfe der Windows-Willkommensseite können Endbenutzer ihr Windows-Betriebssystem anpassen, Benutzerkonten erstellen, einen Namen für den Computer festlegen und andere Aufgaben durchführen. Alle Einstellungen in der Konfigurationsphase oobeSystem einer Antwortdatei werden unmittelbar vor dem Start der Windows-Willkommensseite verarbeitet.

/audit startet den Computer im Überwachungsmodus neu. Mit dem Überwachungsmodus kann man Windows zusätzliche Treiber oder Anwendungen hinzufügen. Außerdem kann eine Installation von Windows getestet werden, bevor diese an einen Endbenutzer weiter gegeben wird.
Wenn eine Datei für die unbeaufsichtigte Installation (Antwortdatei) angegeben ist, führt der Überwachungsmodus von Windows Setup die Konfigurationsphasen auditSystem und auditUser durch

/generalize bereitet die Abbilderstellung der Windows-Installation vor. Wenn diese Option angegeben wird, werden alle eindeutigen Systeminformationen aus der Windows-Installation entfernt. Der Secure Identifier (SID) wird zurückgesetzt, alle Wiederherstellungspunkte sowie Ereignisprotokolle werden gelöscht.
Beim nächsten Starten des Computers wird die Konfigurationsphase specialize ausgeführt. Es wird eine neue SID erstellt und der Zähler für die Windows-Aktivierung zurückgesetzt, sofern dieser nicht bereits drei Mal zurückgesetzt wurde.

/reboot startet den Computer neu. Diese Option wird verwendet, um den Computer zu überwachen und um sicherzustellen, dass die Erstausführung korrekt funktioniert.

/shutdown fährt den Computer nach Beenden von Sysprep herunter.

/quit schließt Sysprep nach dem Ausführen der angegebenen Befehle, ohne den Computer herunter zu fahren.

/quiet führt Sysprep ohne Anzeige von Bestätigungsmeldungen auf dem Bildschirm aus.

/unattend:Antwortdatei.xml wendet Einstellungen in einer Antwortdatei während der unbeaufsichtigten Installation auf Windows an.

In Abhängigkeit von den angegebenen Parametern tritt nach der Ausführung von Sysprep einer der folgenden vier Fälle ein:
- Sysprep wird einfach nur beendet
- Windows fährt herunter
- Windows startet neu mit der Willkommensseite
- Windows startet neu mit dem Anmeldebildschirm

Weiterlesen »]]> Was wäre das iPhone wohl ohne die Unmassen an Apps, die für Apples Smartphone zur Verfügung stehen? Wahrscheinlich trotzdem noch Kult aber eben nicht mehr als ein normales Mobiltelefon. Auf einem meiner Streifzüge durch den App-Store bin ich auf zwei interessante Tools gestoßen, die ich hier kurz vorstellen möchte: Remote und VLC Remote.

Beide Apps dienen der Fernsteuerung von iTunes (Remote), bzw. des VLC Media Players (VLC Remote) auf einem Mac oder PC. Remote erlaubt den Zugriff von einem iPhone (oder iPod Touch) aus auf die gesamte Mediathek der gerade aktiven iTunes-Instanz. Um das iPhone mit einer Mediathek zu verbinden, wählt man in der App “Hinzufügen”, worauf ein vierstelliger Zahlencode eingeblendet wird. Diesen gibt man in iTunes unter “Geräte” bei dem entsprechenden iPhone ein und fertig. Allerdings müssen dazu drei Voraussetzungen sein: das iPhone muss über WLAN den PC/Mac erreichen können, der Bonjour-Dienst muss auf dem PC/Mac aktiviert sein und in den iTunes-Einstellungen muss unter “Geräte” die Option “Bedienung von iTunes von entfernten Lautsprechern aus zulassen” aktiviert sein.

Die Einrichtung von VLC Remote ist etwas umständlicher. Der Ziel-Computer sollte über eine feste IPv4-Adresse verfügen, welche in der App unter “Computer hinzufügen” eingegeben werden muss. Alterantiv besteht auch die Möglichket, jedesmal das Netzwerk automatisch nach dem Ziel-PC durchsuchen zu lassen, was nicht immer zuverlässig funktioniert. Damit die Verbindung aber überhaupt zustande kommen kann, müssen auf dem Computer noch einige Einstellungen vorgenommen werden. Zuerst muss in den erweiterten VLC-Einstellungen (Ansicht umstellen auf “alle”) unter “Interface” im Menü “Hauptinterfaces” die Option ”HTTP-Verbindungsinterface” aktiviert sein. Als zweiter Schritt muss in der Datei .hosts im Ordner “http” im VLC-Programmverzeichnis definiert werden, aus welchem Netz/von welcher IP-Adresse aus der Player ferngesteuert werden darf. In der Datei sind bereits verschiedene Netze eingetragen und auskommentiert. Prinzipiell kann man hier einfach den entsprechenden Adressbereich durch entfernen des führenden Zeichens aktivieren. Ich habe einem iPhone aber eine feste IP-Adresse gegeben und diese dann eingetragen – macht das ganze ein klein wenig sicherer. Zu guter Letzt muss noch die Firewall auf dem PC entsprechend angepasst werden und schon kann auch der VLC-Player vom iPhone aus ferngesteuert werden. Dabei hat man z.B. die Möglichkeit, durch die Verzeichnisse des PCs zu navigieren und einzelne Dateien oder ganze Ordner abzuspielen.

Natürlich verhält es sich auch mit diesen Apps, wie mit den meisten anderen auch: man braucht sie eigentlich nicht wirklich. Aber wer sie einmal kennt, möchte auf keinen Fall mehr darauf verzichten

Weiterlesen »]]> Seit Montag zeigte meine 1TB-Platte von Samsung (HD103UJ) Ausfallerscheinungen. Windows hängte sich beim Kopieren auf, aus meinem PC kamen immer merkwürdigere Geräusche. Die Fehlerursache vermutete ich gleich bei einer der eingebeuten Festplatten, also machte ich mich an die Diagnose. Zuerst habe ich die windowseigene Datenträgerüberprüfung bemüht, was leider keine Ergebnisse zum Vorschein brachte. Checkdisk war der Meinung, dass meine Festplatten in Ordnung seien. Also habe ich etwas tiefer gegraben und mir die SMART-Attribute jeder einzelnen Platte vorgenommen. SMART ist eine Technologie zur Selbstüberwachung, die heutzutage in allen Festplatten implementiert ist. Als Tool habe ich dazu die kostenlosen smartmontools für Windows von Sourceforge verwendet. Damit kann man auch unter Windows 7 ohne Probleme die SMART-Attribute von Festplatten auslesen, woran andere Programme, die unter XP noch liefen, unter Microsfts aktuellem Betriebssystem scheiterten.

Mit dem Befehl smartctl -A sdx -d ata habe ich nacheinander alle drei Festplatten ausgelesen (x steht dabei für die jeweilige Festplatte). Zur Auswertung betrachtet man nur die Werte von VALUE (aktueller Wert), WORST (schlechtester Wert bisher) und THRESH (vom Hersteller gesetzte Grenze, bei deren Unterschreiten das Medium als nicht mehr zuverlässig/gefährdet gilt). Je höher der Wert, desto besser ist er zu bewerten. Mit Erstaunen musste ich dabei feststellen, dass nicht meine mittlerweile drei Jahre alte Systemplatte, sondern die noch relativ frische 1TB-Datenplatte betroffen war. (Siehe Screenshot, Klicken zum Vergrößern)

Der Grenzwert von Raw_Read_Error_Rate (nicht korrigierbare Fehler beim Lesen) war bereits unterschritten und die anderen Werte für Lesefehler wiesen auch auf ein Problem hin – meine Festplatte würde bald den Geist aufgeben. Also habe ich bei meinem Internethändler des Vertrauens schnell eine neue (und bei der Gelegenheit auch gleich größere) Platte bestellt, den PC ausgeschaltet und gewartet. Bis Dienstag, da wurde die neue Festplatte glücklicherweise schon geliefert. Schnell eingebaut und Daten kopiert… Wäre es mal so einfach gewesen. Einbau war natürlich kein Problem, aber beim Kopieren hängte sich Windows regelmäßig auf. Naja, vielleicht kann hier ja die bootfähige CD von Acronis TrueImage weiterhelfen? Konnte Sie nicht. Acronis erkannte nur eine einzige von nun vier Platten. Blieb mir also nur noch ein Versuch mit KNOPPIX. Und der führte dann zum Erfolg. Zwar auch erst im zweiten Anlauf (beim ersten habe ich eine zu alte Distribution verwendet, die von meinem System nicht booten wollte) und nach vielen Stunden geduldigen Wartens auf das Ende des Kopiervorgangs, aber immerhin…

Die quasi defekte Festplatte hat noch Garantie, also habe ich mir den Spaß gemacht und sie nach dem Ausbau nochmal über eSATA angebunden und lasse sie seitdem mit Daten befeuern. Wenn das gute Stück dann ganz hinüber ist, werde ich sie als Garantiefall einschicken. Der Sinfonie aus Krack-, Ratter- und Schleifgeräuschen, die die ganze Zeit an mein Ohr dringen, nach zu urteilen, sollte das wohl bald der Fall sein ;-)