Category Archives: Vista

“Run Windows Explorer as administrator”

Posted on by .

[For an ENGLISH version, click this line!]

Seit Microsoft mit Vista die Benutzerkontensteurung (“User account control”) einführte, stellte diese sicherheitsrelevante Neuerung Administratoren vor Herausforderungen. Besonders fragwürdig erscheint es, dass sich der Windows Explorer nur dem ersten Anschein nach mit erweiterten Rechten starten lässt. In der Grundkonfiguration erscheint zwar der Erweiterungsdialog (“Elevation prompt”), die Rechte des Anwenders werden aber nicht erweitert. Gleiches gilt unabhängig davon, ob der Anwender mit einem administrativen Konto angemeldet ist (als “Protected Admin”) oder sich impersonifiziert. Das System unterscheidet auch nicht zwischen “Run as administrator” und “Run as different user”.

Gut versteckt im Betriebssystem findet sich ein Registry-Key, der es erlaubt, den Explorer.exe-Prozess mit erweiterten Rechten zu starten:

HKEY_CLASSES_ROOT\AppID\{CDCBCFCA-3CDC-436f-A4E2-0E02075250C2}\RunAs

Löscht oder ändert man den o.g. Schlüssel (zum Beispiel in “RunA_”) lässt sich der Explorer mit erweiterten Rechten starten.

Es lauern aber  weitere Fallen: Der Schlüssel ist vor leichtfertigen Änderungen dadurch geschützt, dass der “Trusted Installer” als Eigentümer eingetragen ist. Will man den Schlüssel modifizieren, muss man zunächst den Besitz übernehmen. Leider kenne ich kein Bordmittel, um diese Änderung script-gesteuert vorzunehmen: “regini.exe” kann keine Besitzrechte übernehmen, das PowerShell-Cmdlet “Set-ACL” scheitert an den vorgegebenen Zugriffsrechten (es sei denn man impersonifiziert sich zuvor als “SYSTEM”-Benutzer, was ebenfalls Zusatzwerkzeuge erfordert).

Ein Workaround bietet Helge Kleins Freeware-Werkzeug “setacl.exe”; diese populäre Werkzeug meistert, was die Bordmittel nicht schaffen.

Das vorliegende PowerShell-DemoScript “Enable-ExplorerRunAs.ps1” lädt Helges Werkzeug herunter, führt die nötigen Änderungen durch und löscht die temporären Dateien schließlich.  Das Script benötigt lokale Adminrechte, die Änderungen greifen unmittelbar.

Ein abschließender Tipp noch für Windows 8/Windows Server 2012:  Das Kontextemenü bietet standardmäßig keine Erweiterungsdialoge. Legt man jedoch eine Verknüpfung für “explorer.exe” neu an, so sind die nötigen Kontexteinträge sichtbar.

 

Download als Textdatei  Enable-ExplorerRunAs.ps1 oder Vorschau auf GitHub

 
Ein Artikel des Kollegen Helge Klein erinnerte mich an dieses Demoscript, das ich schon vor einiger Zeit veröffentlichen wollte. Helges lesenswerter Artikel über die Unzulänglichkeiten des Windows Explorer findet sich hier:

http://helgeklein.com/blog/2013/04/why-every-self-respecting-administrator-should-ditch-explorer-for-good/

Mythos KMS, heute: Aktivierung ohne Domänenmitgliedschaft

Posted on by .

Der KMS (Key Management Service) bietet reichlich Anlass für hitzige Diskussionen; oft missverstanden und unbeachtet, traut sich so mancher Admin nur unter Vorbehalt an dieses Thema heran. Eine beliebte Frage ist, in wie fern die Aktivierung über den KMS für ein Nicht-Domänenmitglied gesteuert werden kann.

KMS-SRV-Eintrag im DNS

Wie man an der Abbildung oben erkennt, wird ein KMS über einen SRV-Eintrag im DNS gefunden. Damit dieser vom Client nun aucht tatsächlich zum Zwecke der Aktivierung angefragt wird , muss das primäre DNS-Suffix des KMS-Clients so konfiguriert werden, dass es der DNS-Domäne entspricht, in der der “_VLCMS“-Eintrag erstellt wurde. Im Beispiel oben ist das “contoso.com“.

Das besondere ist hierbei, dass ausschließlich der Eintrag über die Systemeigenschaften relevant ist (rechte Maustaste auf den Arbeitsplatz bzw. “Computer”, Eigenschaften). DNS-Suffixe, die in der Netzwerkkonfiguration festgelegt werden, beachtet das System diesbezüglich nicht. Da beim Eintritt in eine Domäne genau dieser Wert automatisch festgelegt wird, ist bei vielen Admins der falsche Eindruck enstanden, dass der Eintritt in die Active Directory-Domäne erforderlich sei. Im Umkehrschluss ließe sich daraus eine Grundsicherung des KMS ableiten. Diese Annahme ist falsch.

Die zweite Möglichkeit, einen KMS ohne Domänenmitgliedschaft zu nutzen, zeigt die folgende Abbildung:

SLMGR.VBS -SKMS

Dieser Fall wird in den Microsoft Whitepapern empfohlen. Durch den Aufruf von

slmgr.vbs -skms

wird ein Registrywert gesetzt, wie in der dritten Abbildung zu sehen ist:

SLMGR.VBS -SKMS erzeugt einen Registryeintrag

Abschließend ist noch die Frage offen, wie man diese Aktivierung denn nun verhindern kann. Die Antwort ist: nicht über den KMS, der kennt keine Zugriffsbeschränkungen. Welche Clients aktiviert werden dürfen lässt sich nur über den beschränkten Zugriff auf das Intranet definieren. VLANs, 802.1X-Authentifizierung, IPSec etc. bieten Möglichkeiten der Absicherung des Datenverkehrs. Andererseits gibt es keinen Anlass für übertriebene Panik: ein KMS aktiviert unabhängig von der tatsächlich lizensierten Hardware prinzipiell unbegrenzt Clients. Man braucht also nicht zu fürchten, dass der KMS die Dienste ab irgendeinem Schwellwert einstellt.

Windows 7 und R2 evaluieren ohne Produktschlüssel (PID)

Posted on by .

Seit der Veröffentlichung von Vista lassen sich alle Windows-Betriebssysteme sehr komfortabel evaluieren, ein Produktschlüssel (PID) ist in keinem Fall erforderlich. Jedoch sollte man wissen, wie man die eingebaute Evaluierungsphase effizient nutzen kann. In Windows 7 und dem Windows Server 2008 R2 hat sich diesbezüglich im Vergleich zu den Vorgängerversionen einiges geändert.

Autounattend.xml und Default-PIDs
In Vista/WS2008 musste man bei Verwendung einer Datei zur unbeaufsichtigen Installation einen Produktschlüssel hinterlegen; dazu eigneten sich die so genannten “OPK PIDs” vorzüglich (siehe OPK-PIDs Vista und WS 2008 ). Das Verwenden dieser Platzhalter ist in Win7/R2 nicht mehr erforderlich, aber noch immer möglich.

Automatische Aktivierung ausschalten
Nach der Installation der Enterprise-Editionen erwarten Win7/R2 einen KMS (“Key Management Service”) im Unternehmen. Aus diesem Grund sieht man im Dialogfenster “System” (Windowstaste + PAUSE), dass 3 Tage für die automatische Aktivierung verbleiben.

3 Tagesfrist für die automatische Aktivierung

In Wirklichkeit stehen jedoch 30 Tage zu Einrichtung und Testen zur Verfügung. Die automatische Aktivierung lässt sich über den nachfolgenden Registry-Schlüssel deaktivieren:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\Activation]
“Manual”=dword:00000001

Anschließend sieht man den vollständigen Testzeitraum, das System aktiviert sich nicht mehr selbständig im Hintergrund:

30 Tagesfrist für die Aktivierung

Der o.g. Schlüssel wurde in Win7/R2 an diesen Ort verschoben, in Vista und WS 2008 befand sich der Registry-Schlüssel an dieser Stelle:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SL\Activation]
“Manual”=dword:00000001

Neu laden
Mit dem allseits bekannten “slmgr.vbs -rearm” lassen sich nach Ablauf dieser 30 Tage weitere 30 Tage frei schalten. In Win7/R2 ist dies insgesamt drei mal möglich, so dass man auf einen Gesamtzeitraum von 120 Tagen kommt.
In Vista/WS2008 war dies nicht einheitlich: Vista ließ sich maximal 6 x 30 Tage evaluieren, WS 2008 4 x 60 Tage.

Sysprep
Wenn man die maximale Anzahl an “Rearms” erreicht hat, so lässt sich allerdings kein SYSPREP mehr ausführen.
(Siehe u.a. KB 929828)
Screenshot


Die verbleibende Anzahl der möglichen Verlängerungen ermittelt das “Microsoft Genuine Advantage Diagnostic Tool“.
Screenshot

OPK-PIDs Vista und WS 2008

Posted on by .

Die NT6-Familie (Vista, WS 2008) benötigt zur Installation keinerlei Produktschlüssel (englisch auch gerne PID abgekürzt). Die so genannten “Default Keys” oder “Default PIDs” setzt das System bei der manuellen Installation im Hintergrund ein.

Bei einer unbeaufsichtigten Installation muss man jedoch einen Schlüssel angeben, da auf diesem Weg die Auswahl der Edition getroffen wird. Zu diesem Zweck sollte man die Platzhalter-Schlüssel, also die Default-Keys, kennen. Unten sind sie aufgelistet.

Ausnahme: bei der Vista Enterprise Edition liegt auf der DVD die Datei “sources\pid.txt”, sie enthält den Standardschlüssel für die Enterprise Edition. Des Weiteren enthält die Enterprise-DVD nur ein WIM-Abbild in der Datei “install.wim”, es ist nicht nötig über den Produktschlüssel in der Unattended-Datei die Edition zu wählen.

Will man die 180 Tage-Gnadenfrist ausschöpfen, so sollte man nach der Installation die automatische Registrierung deaktivieren:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SL\Activation]
“Manual”=dword:00000001

Nachdem dies geschehen ist (wobei dies nicht in allen Distributionen nötig ist) hat man zunächst 30 Tage (Vista) bzw. 60 Tage (WS 2008) Zeit, das System zu testen und einzurichten. Spätestens nach Ablauf der Frist muss man eine Verlängerung der Gnadenfrist freischalten:

“slmgr.vbs -rearm”

In Vista lässt sich dies (legal) 5 mal wiederholen: 6 x 30 Tage = 180 Tage

In WS 2008 sein 3 Verlängerungen möglich: 4 x 60 Tage = 240 Tage

Den aktuellen Status zeigt :

“slmgr.vbs -dli”

Default-PIDs Vista

  • Business
    4D2XH-PRBMM-8Q22B-K8BM3-MRW4W
  • BusinessN
    76884-QXFY2-6Q2WX-2QTQ8-QXX44
  • HomeBasic
    RCG7P-TX42D-HM8FM-TCFCW-3V4VD
  • HomeBasicN
    HY2VV-XC6FF-MD6WV-FPYBQ-GFJBT
  • HomePremium
    X9HTF-MKJQQ-XK376-TJ7T4-76PKF
  • Ultimate
    VMCB9-FDRV6-6CDQM-RV23K-RP8F7
  • Enterprise (DVD\sources\pid.txt)
    VKK3X-68KWM-X2YGT-QR4M6-4BWMV

Default-PIDs für WS 2008

  • Windows Server 2008 Datacenter
    7M67G-PC374-GR742-YH8V4-TCBY3
  • Windows Server 2008 Datacenter without Hyper-V
    22XQ2-VRXRG-P8D42-K34TD-G3QQC
  • Windows Server 2008 for Itanium-Based Systems
    4DWFP-JF3DJ-B7DTH-78FJB-PDRHK
  • Windows Server 2008 Enterprise
    YQGMW-MPWTJ-34KDK-48M3W-X4Q6V
  • Windows Server 2008 Enterprise without Hyper-V
    39BXF-X8Q23-P2WWT-38T2F-G3FPG
  • Windows Server 2008 Standard
    TM24T-X9RMF-VWXK6-X8JC9-BFGM2
  • Windows Server 2008 Standard without Hyper-V
    W7VD6-7JFBR-RX26B-YKQ3Y-6FFFJ
  • Windows Web Server 2008
    WYR28-R7TFJ-3X2YQ-YCY4H-M249D

Die Standardschlüssel sind in den OPKs  dokumentiert. OPK steht für “OEM Preinstallation Kit”.