Leider nicht HTCPCP-kompatibel: das Serverbetriebssystem vom Marktführer unter dem Mikroskop

29. Mai 2024 Operierende Systeme

Im Unternehmen müssen die Dinge einfach funktionieren. Klar, da ist keine Zeit für Experimente, es geht schließlich um bares Geld. Daher setzt man direkt auf bewährte Technologie vom Marktführer, um seine Server zu betreiben, denn für gute Qualität muss man Geld locker machen.

Als Einstieg empfehlen wir Ihnen zunächst den Artikel “Abhängigkeiten“. In diesem wird beschrieben, dass der Einsatz von proprietärer Software zwingend notwendig ist, denn wir wollen unsere digitale Gesellschaft nicht von ein paar willkürlichen Open Source-Hippies abhängig machen. Mit diesem Verständnis wird klar: nicht nur organisatorisch, auch technisch ist der Einsatz eines professionellen proprietären Systems alternativlos, wie wir im kommenden Text beweisen.

Wir hatten für diesen Artikel die Möglichkeit mit einem Microsoft-Insider zu sprechen. Um ihn zu schützen nennen wir ihn nachfolgend nur BG (bitte ändern Sie jetzt auch Ihre Lesestimme, damit ihn wirklich niemand erkennen kann).

BG berichtet uns von einem schlimmen Lachkrampf, welcher fast tödlich endete, als er zum ersten Mal einen Linux-Server begutachtete. “Ein Betriebssystem so ganz ohne grafische Oberfläche? Damit versuchte der alte Finne uns den Garaus machen.” erzählt der sympathische Firmengründer lächelnd und erklärt, wie er diesen Frontalangriff praktisch im Schlaf zurückschlug: “Wir starten einfach eine cmd.exe anstatt der explorer.exe, das ist im Endeffekt genau das Gleiche.”

Die Unschlagbare Überlegenheit des Marktführers: “Was die Open Source-Frickler können können wir schon lange!”
Der Core Server, ein Windows “ohne GUI”, haha.
Glück gehabt, wir können AutoHotkey doch einsetzen: ein paar GUI-Anwendungen sind auch im CoreServer enthalten. Why not?

Und was die UX beim normalen Windows Server mit GUI anbelangt verweisen wir nur auf diesen Artikel. Spoiler: sie ist sehr gut.

Neusortierung von Gruppenrichtlinienobjekten

Ein Nachtrag vom 29.05.2024. Internationale Organisationen warnen seit kurzem: suizidgefährdete Menschen sollen nach Möglichkeit keine Neusortierung von Gruppenrichtlinien vornehmen. Der Grund dafür ist die bodenlose Frechheit an “grafischer Benutzeroberfläche”, welche einem der einstige Pionier solcher -Microsoft- hier im Jahr 2024 seinen Nutzern noch immer versucht anzudrehen.

  • Neusortierung via Drag & Drop? Nein.
  • Verschieben mehrerer Elemente gleichzeitig? Nein.
  • Flüssige UI beim Verschieben eines Objektes? Nein.
  • Video davon gefällig? Nein, aber Sie kriegen es trotzdem:

Details: (kein)

Ein Nachtrag vom 12.02.2024. Jedes Mal, wenn man versucht einen Gruppenrichtlinienergebnissatz [1] ohne Benutzerrichtlinien zu generieren, bekommt man (kein) Fehler. Also alles gut, Zwinkersmiley [2]!

[1] Unsere Empfehlung des Tages für Galgenraten.
[2] Transparenzhinweis: die Autokorrektur kennt dieses Wort nicht und schlägt stattdessen “Referenzwinkel” vor.

gpupdate serverseitig erzwingen funktioniert gar nicht mal so gut

Ein Nachtrag vom 23.01.2024. Die zentrale Verwaltung von Clients ist schon eine praktische Sache. Damit Richtlinienänderungen schnell bei den Clients ankommen, gibt es die Möglichkeit, ein Gruppenrichtlinienupdate vom Active Directory-Server aus zu erzwingen. Einfach einen Rechtsklick auf eine OU machen und das Update starten. Microsoft kam hierbei im Sinne höchster Transparenz auf die sehr gute Idee, das gpupdate in einem cmd-Fenster auch den Nutzern auf den Clients anzuzeigen, anstatt es unsichtbar im Hintergrund auszuführen. Gut gemacht, denn so ein schwarzes Fenster, das aus dem Nichts aufgeht, erscheint Endnutzern keineswegs sus, wie die Leenux-Gangstaz zu sagen pflegen.

Ich mag Kryptografie wie meinen Tee: bitte nicht zu stark

Kennen Sie schon das Group Key Distribution Protocol, welches Funktionen zur Verschlüsselung für verschiedene Benutzer und Gruppen in einer Domäne bereitstellt? Letztlich musste das neue Native LAPS dafür herhalten, als Microsoft verzweifelt nach einem Einsatzzweck suchte, was man damit denn jetzt eigentlich sinnvolles machen kann.

Als grundsolide und ausführlich getestete Enterprise-Software unterstützt es verschiedene Verschlüsselungsalgorithmen, neben RSA auch Elliptic-Curve Cryptography P256, P348 und natürlich ist auch P521 implementiert. Wundern Sie sich nicht, wenn Sie versuchen einen Root-Key der Kurve P521 zu generieren, jegliche Versuche Schlüssel länger als 512 Bit zu generieren wird das System mit dem Fehlercode HRESULT:0xD000000D quittieren. Dies dient lediglich zum Schutz Ihrer Daten: zu starke Crypto könnte man nicht mehr Brute-Forcen, wenn man den Key mal verliert.

ECDH P521? Eine Schlüssellänge von 521 Bit sind aber ganz schön lang, lieber nicht.

Sichere Passwörter, die Basis für sichere IT-Systeme

Aufkleber "Dieses System ist sicher"
Auf Windows-Geräten darf dieser Aufkleber nur mit dem Zusatz “Im Rahmen des unter Windows Möglichen” aufgebracht werden.

Natürlich bietet die Speerspitze unter den Serverbetriebssysteme auch Möglichkeiten zur automatisierten Installation. So lässt sich z.B. das Administratorkennwort in der Setup-XML-Datei voreinstellen. Bemerkenswert ist, wie ausgefuchst das Kennwort vor nicht autorisierten Blicken geschützt werden kann: indem man <PlainText>false</PlainText> setzt und das Kennwort dann Base64-kodiert in der XML-Datei ablegt. Unverständlich, warum Linux-Installer an dieser Stelle so unnötig kompliziert auf gesalzene Hashwerte setzen. Security first: Microsoft selber erwähnt in der offiziellen Doku nicht, dass es sich um eine Base64-Kodierung handelt, sondern sagt nur, dass man das Passwort damit “verstecken” kann – so weiß niemand mit welchem Algorithmus man den Klartext wiederherstellen kann.

<settings pass="oobeSystem">
	<component name="Microsoft-Windows-Shell-Setup" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
		<UserAccounts>
			<AdministratorPassword>
				<Value>V2VyIGRhcyBsaWXDn3QgaXMgZG9vZi4=</Value>
				<PlainText>false</PlainText>
			</AdministratorPassword>
		</UserAccounts>
	</component>
</settings>

Übrigens: das fertig installierte Windows speichert Kennwörter intern noch immer als MD4-Hash über ein UTF-16LE-kodiertes Passwort, und natürlich nicht gesalzen. So erwartet man das bei einem professionellen IT-System, zudem läuft diese sehr sichere und ausgiebig bewährte Hashfunktion auf 32-Bit-Prozessoren besonders schnell.

Servicehinweis: Sie benötigen eine CMD mit Systemrechten während der Windows-Installation? Drücken Sie mal SHIFT+F10 und danken Sie mir später.

Bitte nicht schief angucken: Legacy und Native LAPS mögen sich nicht so sehr

Mit LAPS, der Local Administrator Password Solution, lassen sich die lokalen Adminpasswörter in einer Windows-Domäne verwalten. Früher war das ein separat zu installierendes Programm, 2023 wurde eine überarbeitete Version direkt in Windows integriert. Es wäre jedoch nicht Microsoft, gäbe es nicht ein Szenario, bei dem das System kaputt geht. Wenn das alte, “Legacy LAPS” installiert wird, nachdem das Windows-Update mit dem neuen “Native LAPS” installiert wurde, failed das System spektakulär: das LAPS-Passwort wird im AD aktualisiert, jedoch nicht am lokalen Konto geändert. Aber fällen Sie jetzt kein vorschnelles Urteil, natürlich ist dies Absicht. Nur durch diese Maßnahme (galant am Admin vorbei) kann ein vollständig sicheres System hergestellt werden. Wäre jemand im Besitz eines gültigen Passworts wäre dies ein nicht unerhebliches Sicherheitsrisiko. Also, immer erst einmal innehalten und nicht gleich voreilige Schlüsse ziehen!

Eine ordentliche Ordnerstruktur ist das halbe Leben!

Besonders hervorheben möchten wir den gut strukturierten Verzeichnisbaum des Systems unter C:\Windows. Schauen Sie nur einmal wie praktisch das ist: direkt in der ersten Ebene finden Sie einige Logdateien, Executables, ini-Dateien.

Natürlich liegt dort nur ein Teil der Logdateien. Den Rest der Plaintext-Logs finden Sie unter C:\Windows\Logs, das meiste fällt aber in den Windows Event Logs an, welche in einem proprietären Format unter C:\Windows\System32\winevt\Logs\*.evtx gespeichert werden.

Noch schöner ist nur der Ordner C:\Windows\System32. Ein buntes Sammelsorium aus Libraries, Executables, Bildschirmschonern (sind ja eigentlich auch Executables, hihi), Bildern(!), ini-Dateien, etc. Freuen Sie sich auf einen Strauß Buntes!

Erklärt mir bitte mal jemand warum der Ordner des öffentlichen Desktops standardmäßig versteckt ist?
Ab Windows Server 2022 war es Microsoft wohl zu peinlich von “Windows Server” zu sprechen. Stattdessen wird es jetzt als “Microsoft Server-Betriebssystem” bezeichnet.

Klar, jedes System hat Probleme, aber für eine solch herausragende Softwarequalität muss man eben doch in die Tasche greifen.

FAZIT
Nur weil Alkohol gefährlich ist (unumstritten), ist Cannabis kein Brokkoli.

(Disclaimer: geschrieben von ChatGPT im Internet Explorer, welcher glücklicherweise neben dem edgy Edge noch immer bei Windows Server mit an Bord ist. Wer weiß was alles kaputt geht, wenn der entfernt werden würde!)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

  1. Keine Kommentare.