Ein Kunde von mir hat ein Programm, dass als Serverdienst Daten für die Clients im Netzwerk bereitstellt. Dieses Programm ist als normale ausführbare .exe geschrieben.

Das Problem dass sich nun ergab, war das auf dem Server immer jemand angemeldet sein musste um unter den User-credentials diese .exe laufen zu lassen. Das ist per se ja schon mal ein unnötiges Sicherheitsrisiko.

Nachdem ich den Software-Hersteller mehrfach darum gebeten hatte, diese .exe doch lieber als Dienst zur Verfügung zu stellen, kam dieser mit einem interessantem Workaround. Die Software läuft fast ausschließlich in Kleinstbetrieben ohne Serverstruktur, daher sei der Aufwand einen Dienst zu Programmieren zu hoch.
Aber man hätte ein Tool gefunden:

runassvc     als Freeware erhältlich von Pirmasoft

Aus meiner Sicht macht dieses Tool nichts anderes als das Microsoft Kommandozeilen Tool Srvany.exe, ist aber deutlich komfortabler. Einschließlich der Möglichkeit den Dienst über die Software-Steuerung wieder zu deinstallieren!

Als Ergebnis kann ich nur sagen das Tool funktioniert, aber es bleibt die Frage warum Software-Hersteller immer noch die Struktur von Microsoft ignorieren.
Gerade die Benutzersteuerung mit verschiedenen Berechtigungsstufen ist ja aus sicherheitsrelavanten Aspekten erschaffen worden. Und das Server-Dienste unter den geschützten Systemrechten laufen hat sollten auch jeder verstehen… 
Diese Struktur gibt es ja schon Windows 2000… wie gesagt für mich ein Mysterium!!

Abschließend kann ich das Tool runassvc auf jeden Fall empfehlen.
Vielen Dank an Dieter Schmeer

Das unter Vista Passworte wichtig sind ist ja gut und richtig so.
Aber wenn man dem User klarmachen soll, dass er bei jeder Passwortänderung zum Beispiel  die Druckerfreigabe auf dem nebenstehenden XP-Rechner neu anpassen muss….
Also entweder hinfahren und sauber einrichten… oder die kurze und für die meisten
bequeme Lösung:
Man sorgt dafür, dass die Passworte nicht mehr ablaufen.

Man macht das, in dem man die Kommandozeile als Administrator öffnet ( Rechtsklick
auf den Eintrag im Startmenü, als Administrator ausführen ) und folgen Befehl eingibt:

net accounts /maxpwage:unlimited

Thanks to jma

Immer wieder kommt die Anfrage, wie richte mein WLAN ein und wie ist es richtig sicher?

Oder schlimmer: Es gibt Probleme und ich stelle fest, das die Einstellungen gemacht worden sind ohne sich zu informieren und sich Gedanken zu machen.

Ein Funknetzwerk einzurichten ist doch eigentlich gar nicht schwer, wenn man sich an ein paar Regeln hält.

Damit keiner an die Daten herankommt und keiner den Datenstrom “mitschneiden” kann ist es notwendig diesen zu verschlüsseln.

Ich möchte an dieser Stelle gar nicht groß darauf eingehen, wo die Unterschiede zwischen WEP, WPA und WPA2 sind. Es ist ja mittlerweile hinlänglich durch Funk,
Fernsehen und Presse bekannt, dass die älteren ( sprich WEP und WPA ) Verschlüsselungsverfahren nicht “State of Art” sind.

Was sollte man also beachten?

1. Man sollte auf jeden Fall das Standardpasswort des Routers oder WLAN-Accespoints ändern.
2. Die SSID (also der Name des Funknetzwerkes) sollte so gewählt werden, dass man nicht erkennen kann an welchem Standort sich das Netzwerk befindet, wer das Netzwerk betreibt und welchen Zweck es erfüllt.
   Also nicht “StrasseHausnr” , “Familienname” oder “Firmenname”!!
3. Wenn vorhanden, sollte man die mögliche Fernwartung abschalten.
4. Den Accesspoint oder das WLAN am Router abschalten wenn das
   Funknetztwerk nicht benötigt wird.
5. Regelmäßig Firmwareupdates durchführen.

Man kann auch immer wieder lesen, dass man die SSID-übermittlung abschalten soll, wobei hier kein wirkliches Sicherheitsplus gegeben ist, da die SSID ja auf jeden Fall im vom Client mit übertragen wird.
Auch das Mac-Filtern ist eher fragwürdig, da eine Mac-Adresse leicht zu fälschen
ist.
Das Absichern des Accespoints durch eine zusätzliche Firewall ist wohl eher nur für Firmennetzwerke oder öffentlich Hotspots sinnvoll.

Wenn man sich also an die oberen Regeln hält, dann sollte das “WLAN” schon sicher sein. Anbschließend bleibt dann natürlich noch der Hinweis, dass die Clients natürlich auch sicher konfiguriert sein sollten..