Schlagwort-Archive: Microsoft

Vorwurf: Windows-8-Feature behindert Linux

Microsoft bemüht sich um Klarheit um Secure Boot, das andere Betriebssysteme wie Linux auf PCs verhindern soll.

In einem Beitrag für den Blog „Building Windows 8“ erklärt der Microsoft-Mann Tony Mangefeste, wie das Feature Secure Boot den PC gegen so genannte Boot Loader Attacks schützen soll. Das ist Schadsoftware, die einen PC infiziert, bevor das Betriebssystem gestartet ist.

Secure Boot ist ein Feature des Unified Extensible Firmware Interface (UEFI), einer neuen Boot-Umgebung, die den traditionellen BIOS-Prozess ablösen soll. Und Windows 8 wird den Modus Secure Boot in UEFI nutzen, um das Betriebssystem schon vor dem Hochfahren vor Gefahren zu schützen. Der Linux-Entwickler Matthew Garret von Red Hat, kritisiert jedoch, dass die Sicherheitszertifikate, die Microsoft dafür verwendet, lediglich Microsoft-Betriebssysteme unterstützten werden.

„Ein System, das nur mit OEM- (Original Equipment Manufacturer) und Microsoft-Keys ausgeliefert wird, wird kein Linux booten“, so Garret in einem Blog. Das könnte sich jedoch auch auf die Installation neuer Hardware-Komponenten auswirken, erklärt Garret, denn auch diese müssten ebenfalls gegenüber der EFI-Umgebung authentifiziert werden. Eine neue Grafikkarte ohne entsprechendem Key würde von der Firmware keinen Grafik-Support bekommen.

Mangefeste bemüht sich jetzt um Schadensbegrenzung. Anwender hätten die Möglichkeit, Secure Boot zu deaktivieren und die Zertifikate zu verwalten, wenn sie andere Systeme im Dual-Boot-Modus betreiben oder die Hardware-Konfiguration verändern wollen. Microsoft unterstütze demnach die OEMs dabei, flexibel zu entscheiden, wer die Sicherheitszertifikate verwaltet und auch wie diese Zertifikate importiert und verwaltet werden. „Wir glauben, dass es wichtig ist, den OEMs diese Flexibilität zu geben und auch unseren Anwendern die Entscheidung zu überlassen, wie sie ihre Systeme verwalten wollen“, so Mangefeste.

Demnach könnten Nutzer, die „ältere Betriebssysteme“ verwenden wollen, Secure Boot deaktivieren oder auch die Zertifikate modifizieren. Microsoft würde also nicht festlegen, dass auch andere Betriebssysteme Secure Boot verwenden müssen.

Diese Einlassung bringt jedoch wiederum Garret auf den Plan, der diese Schilderung korrekt aber missverständlich nennt. Weil Microsoft mit den OEMs zusammenarbeite, könne Microsoft von den Herstellern verlangen, dass sie Zertifikate für Windows mitliefern, was andere Anbieter von Betriebssystemen wie etwa Red Hat nicht könnten. Damit wäre ein Nutzer nicht in der Lage, einen Secure Boot auf einem Nicht-Microsoft-System durchzuführen: „Die Wahrheit ist, dass Microsoft die Kontrolle vom Endnutzer wegnimmt und sie in die Hände von Microsoft und den Hardware-Herstellern legt.“ Es würde dadurch schwerer, ein anderes Betriebssystem als Windows zu verwenden. „UEFI Secure Boot ist ein wertvolles und wichtiges Feature, das Microsoft missbraucht, um eine bessere Kontrolle über den Markt zu gewinnen.

Den originalen Artikel mit Links von Martin Schindler, findet ihr unter Vorwurf: Windows-8-Feature behindert Linux von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Zertifiziertes Booten macht Linux Kummer

Will ein Hardware-Hersteller einen zertifizierten Rechner mit Windows-8-Logo verkaufen, muss er „sicheres Booten“ anbieten. Das aber macht einen Dualboot mit Linux (und älteren Windows-Versionen) schwierig bis unmöglich.

Wer sich zukünftig einen Rechner kauft, der für Windows 8 zertifiziert ist (mit dem Windows-Logo), sollte zweimal nachdenken: Der für das Zertifikat notwendige sichere Boot-Prozess von Windows 8 sperrt womöglich Nutzer anderer Betriebssysteme aus. Er erfordert für die am Bootprozess beteiligte Software und Firmware Zertifizierungen durch eine Certificate Authority (CA). Zudem muss die BIOS-Firmware durch UEFI ersetzt werden (PPTX-Dokument). Microsofts offizielle Begründung für diesen Schritt lautet Malware-Prävention.

Aufgefallen ist die neue Anforderung Matthew Garrett. Das Problem sei weniger die UEFI-Spezifikation für das Booten (Linux unterstützt den Vorläufer EFI), sondern die Zertifizierung, schreibt Garrett in seinem Blog. Die werde mit Schlüsseln umgesetzt, die von Microsoft stammen oder vom Hardware-Hersteller. Ohne die passenden Schlüssel verweigere der Rechner das Booten. Damit also Linux bootet, müssten der Bootloader Grub oder – in Zukunft – der Kernel signiert werden. Das sei nicht nur für selbstgebaute Kernel ein Problem, sondern auch für den unter der GPL stehenden Bootloader Grub.

Garrett verfällt jedoch nicht in Panik: Die Hardware-Hersteller würden vermutlich eine Boot-Option anbieten, um das sichere Booten zu unterdrücken. Dann bliebe allerdings noch ein gravierendes anderes Problem: Für Dual-Boots müssten die Anwender jedes Mal zwischen sicherem und unsicherem Booten umschalten. Das würde aber auch für einen Dual-Boot mit Windows 7 oder früher gelten. Insofern wird vielleicht sogar Microsoft selbst dafür sorgen, sich nicht ins eigene Bein zu schießen und rechtzeitig eine Lösung für das Problem finden.

Den originalen Artikel mit Links von Kristian Kißling, findet ihr unter Zertifiziertes Booten macht Linux Kummer von Linux-Magazin.

Freundliche Grüße
das OSS-Haus Team

Linux-Thin-Clients für Brandenburger Behörden

Linux-Thin-Clients sollen in Brandenburg dabei helfen, die IT-Infrastruktur in den höheren Landesbehörden effizienter zu gestalten. In einem ersten Projekt wurden 1500 Arbeitsplätze als Thin Clients auf Basis der Linux-Lösung des Anbieters Univention eingerichtet.

Die quelloffene Lösung von Univention führt unterschiedlichste Client-Hardware in ein zentrales Verwaltungssystem zusammen. Dabei arbeitet die Software mit den Terminal-Servern von Microsoft, Citrix, VMware und NoMachine zusammen und beherrscht die gängigen Protokolle, die beim Betrieb von Thin-Client-Systemen eingesetzt werden.

Beim ersten Start booten die Clients in den Brandenburger Behörden per PXE-Boot über das Netzwerk. Während der anschließenden Konfiguration wird das schlanke Linux-Betriebssystem in den lokalen Flash-Speicher eingespielt, über den alle weiteren Startvorgänge stattfinden. Über diverse Terminalserver haben die Behördenmitarbeiter Zugriff auf Windows-basierte Büro-Software sowie auf diverse Fachanwendungen, die ebenfalls unter Microsofts-Betriebssystem laufen.

Die Synchronisierung von Benutzerdaten zwischen Active Directory und UCS Thin Client Services sorgt dafür, dass die Lösung nicht gerätebezogen, sondern anwenderbezogen arbeitet. So spielt es keine Rolle, an welchem Client sich ein Benutzer anmeldet, er findet überall im Netzwerk seine gewohnte Arbeitsumgebung vor.

UCS Thin Client Services lassen sich nach Angaben des Herstellers mit geringem Aufwand an spezifische Anforderungen anpassen. Dazu gehören zum Beispiel das Branding von Startbildschirm und Anmeldemaske mittels ‚Themes‘. Bei den Brandenburger Behörden beschleunigte Univention zudem das Rollout-Verfahren, indem die Registrierung der Thin-Client-Systeme im Management-System vereinfacht wurde.

Den originalen Artikel mit Fotogalerien und allen Links von Lutz Poessneck, findet ihr unter Linux-Thin-Clients für Brandenburger Behörden von silicon.de.

Freundliche Grüße
das OSS-Haus Team

LiMux: Münchens Erfahrungen mit Open Source

Das große Linux-Prestige-Projekt München läuft auf vollen Touren, auch wenn das Projekt nicht mehr ganz im Mittelpunkt des Interesses steht. Florian Maier, Leiter Entwicklung des Basis-Clients, ist dennoch vollauf zufrieden, auch wenn es immer wieder zu kleinen ‚Herausforderungen‘ kommt.

Es ist einer der heißesten Tage im Jahr, als sich das silicon.de-Filmteam zu dem Büro in der Sonnenstraße aufmacht, um dort mit den Entwicklern des LiMux-Basis-Clients zu sprechen. Wie die Hitze nimmt das Team um Leiter Florian Maier mit der gleichen stoischen Gelassenheit aber auch die Tatsache hin, in einem der größten städtischen Migrationsprojekte weltweit mitzuwirken.

Inzwischen arbeiten in München 33.000 Angestellte und Mitarbeiter mit quelloffener Software. Über die Stadt verteilt unterhält die Verwaltung 15.000 PC-Arbeitsplätze in 51 verschiedenen Büros und Ämtern und nochmals 28.000 an den Schulen im Stadtbereich. Rund 1000 Mitarbeiter in der IT unterhält die Stadt und auf knapp 7000 dieser Rechner läuft bereits der Basis-Client LiMux. Bis 2012 sollen es 8500 sein.

„Derzeit rollen wir jede Woche zwischen 40 und 100 neuer Clients aus“, berichtet Maier. Die einzelnen Abteilungen können dann ihren Desktop über ein Script-basiertes System noch erweitern und an ihre Bedürfnisse anpassen. Natürlich komme es bei speziellen Anforderungen der einzelnen Fachgruppen immer wieder zu Überraschungen, aber weder die Kommunikation mit Windows-Clients noch der erhöhte Schulungsaufwand bei den Nutzern sorge für unüberwindliche Probleme.

Auch politisch scheint das Projekt nach wie vor solide aufgestellt zu sein. Fernziel ist, bis 2014 80 Prozent aller Rechner auf LiMux umgestellt zu haben und daran mag derzeit wohl auch niemand mehr rütteln. „Es gibt einfach Fälle, da ist eine Umstellung auf Linux einfach nicht wirtschaftlich“, erklärt Maier.

Mit der Version 4 des LiMux-Clients nutzten die Münchner noch die KDE-Version Trinity (3.5.12). In kürze wollen die Münchner aber die Oberfläche wechseln. „Dieser Umstieg ist mit einigen Hürden verbunden“, erklärt Maier. Den meisten Ärger haben Maier und seine Team-Kollegen laut eigenen Angaben jedoch mit Druckern. „Das kennt man ja auch von zu Hause, dass die nicht so wollen, wie man sich das vorstellt“, erklärt Maier. Doch mit Hilfe der Hersteller, die offenbar sehr engagiert in dem Projekt mitwirken, lassen sich auch hier Lösungen finden.

Eine weitere überraschende Erkenntnis ist, dass den Anwendern das Betriebssystem und dessen Oberfläche scheinbar gleichgültig sind. „Wichtig für unsere behördlichen Anwender ist, dass ihre Anwendungen wie SAP, Browser oder OpenOffice laufen“, erklärt Maier.

Aber lassen sich bereits erste Früchte der ehrgeizigen Migration ernten? Maier: „Die Stadt hat natürlich vor dem Projekt eine Wirtschaftlichkeitsuntersuchung gemacht. Wie viele Tausend Euro wir bislang durch Einsparungen bei Lizenzen gemacht haben, kann ich nicht sagen.“ Doch Maier sieht andere Vorteile, die sich bereits jetzt voll auszahlen. „Nachdem ja sämtliche Schnittstellen offen sind, tun wir uns bei den Ausschreibungen deutlich leichter. Wir können sagen: hier ist ein Problem, wer kann das machen.“ Und das sei unter proprietären Systemen nicht immer so einfach gewesen. Dank Open Source sei es nun viel einfacher, auch lokale Dienstleister einzubinden, die wie die großen Konkurrenten höchste Professionalität bieten. „Damit fördern wir den lokalen IT-Mittelstand.“

Den originalen Artikel mit einer Fotogalerie von Martin Schindler, findet ihr unter LiMux: Münchens Erfahrungen mit Open Source von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Schritt für Schritt zum virtuellen Desktop

Die Virtualisierung des Desktops steht in den Startlöchern. Zu den bekannten Implementierungen zählen ‚VMware View‘ und ‚Citrix XenDesktop‘. Daneben liefern aber auch andere Hersteller Lösungen zur Virtualisierung der Desktops. In diesem Beitrag zeigen wir exemplarisch den Aufbau eines virtuellen Desktops mit Hilfe von ‚Quest vWorkspace‘.

Die Virtualisierung des Desktops ist eine weitere Stufe auf dem Weg zu einer vollständig virtualisierten IT. Die Desktop-Virtualisierung vereinfacht die Bereitstellung von Arbeitsumgebungen für die Benutzer. Unter dem Fachbegriff der Virtual Desktop Infrastructure (VDI) wird dieses vor allem von Citrix, VMware, Microsoft und Quest vorangetrieben.

Mitunter werden unter dem Begriff der Desktop-Virtualisierung mehrere unterschiedliche Modelle zusammengefasst. Auch Citrix subsummiert unter XenDesktop unterschiedliche Varianten der Desktop-Bereitstellung. Teilweise fliesen die Modelle auch ineinander über oder werden in eines integriert.

Der Aufbau einer virtuellen Desktop-Architektur erfordert vor allem eine umfassende Planung im Vorfeld. Viele der Arbeitsschritte, die für physische Desktops notwendig sind, entfallen bei der Virtualisierung der Desktops. Dazu ein Beispiel: anstelle des Patch-Management für physische Desktops tritt nun die Verwaltung und Anpassung der Templates, aus der die virtuellen Desktops abgeleitet sind. Die eigentliche Erstellung des virtuellen Desktop ist ein vergleichsweise einfacher Vorgang, wie wir in der Bildergalerie zeigen.

Den kompletten Artikel mit Bildergalerien und weiterführenden Links von Johann Baumeister, findet ihr unter Schritt für Schritt zum virtuellen Desktop von silicon.de.

Freundliche Grüße
das OSS-Haus Team