MUENCHEN (hi) - Seit zwei Monaten steht Microsofts Windows 95 im Ring. Nach dem ersten Schlagabtausch in der Praxis zeigt der Newcomer, der anfangs vor allem durch sein Aeusseres, die neue Benutzeroberflaeche, bestach, bereits Wirkung. Gerade die als schlagkraeftig gelobten Connectivity-Features weisen im Alltag Schwaechen auf.
Waehrend der eine Systemverwalter die in Windows 95 integrierten Netzfunktionen als Segen empfinden wird, duerfte sein Kollege im Nachbarunternehmen diese wahrscheinlich bald verdammen. Zwar erlaubt der juengste Spross aus Microsofts Betriebssystem-Familie die einfache Einbindung eines Rechners mit wenigen Mausklicks in ein LAN, doch ebenso schnell legt der unbedarfte User dieses Netz per Maus lahm. Der Grund: Verfuehrerisch laedt in der Systemsteuerung unter dem Punkt "Netzwerk" die Option "Daten- und Druckerfreigabe" dazu ein, Kollegen auf oft benoetigte Dokumente oder gemeinsam genutzte Adressbestaende den Zugriff zu ermoeglichen. An und fuer sich eine sinnvolle Funktion fuer Arbeitsgruppen, doch sie birgt einen Fallstrick.
Waehlt der Desktop-Anwender in einer Netware-Umgebung die "Datei- und Druckerfreigabe fuer Netware-Netzwerke", schliesslich befindet er sich in einem Netware-Netz, so fungiert sein urspruenglicher Client als Netware-Server. Gefaehrlich wird es dann, wenn der User in der irrigen Annahme, er koenne den Login-Prozess fuer seine Kollegen vereinfachen und seinem Rechner den gleichen Namen gibt wie dem Orginal-Server. In diesem Moment hat er mit Erfolg sein Netzsegment, unter Umstaenden sogar das komplette LAN lahmgelegt. Alle Anfragen an den originaeren Netware-Server landen in diesem Fall naemlich nun auf seiner Maschine. Da sie natuerlich nicht ueber die Ressourcen und Datenbestaende des Originals verfuegt, haben andere Mitglieder keinen Zugriff mehr.
Der Kopierversuch endet im Nirwana
Doch nicht nur der Netzfunktionalitaet droht Gefahr, ebenso ist die Datenintegritaet unter Windows 95 gerade im Netz gefaehrdet. So kann ein Anwender beispielsweise im Netz eine Datei auf sich selbst kopieren. Das Ergebnis ist verblueffend: Die Datei enthaelt danach null Bytes, ist also de facto geloescht. Zwar fragt Windows den Anwender zuvor noch, ob die Datei wirklich ersetzt werden soll - wird dies bejaht, endet der Kopierversuch jedoch im Daten-Nirwana.
Dieses Phaenomen tritt vor allem in zwei Situationen auf. Zum einen beim Kopieren einer Datei auf sich selbst, wenn sich diese auf einem Laufwerk befindet, das mit dem "Subst"-Befehl eingerichtet wurde, zum anderen im Netz. Werden hier die gleichen Daten von einer logischen Ressource auf eine andere uebertragen, droht Datenverlust, wenn diese, physikalisch betrachtet, das gleiche Laufwerk und Verzeichnis sind. Hier sei in erster Linie vor dem Mapping des gleichen Verzeichnisses mit verschiedenen Laufwerksnamen gewarnt (Beispiel: Map F:=Server/Verzeichnis, Map Z:=Server/Verzeichnis). Der gleiche Fehler tritt auch beim Kopieren von einem Laufwerk mit Buchstabenkennung auf eine als Universal Naming Convention (UNC, siehe Lexikothek) definierte Ressource auf.
Zwar ist Microsoft diese Problematik bekannt, doch bis Redaktionsschluss war auf dem Internet-Server von Microsoft (Adresse:
" http://www.microsoft.com/windows/software/shellupd.html") nur ein Patch fuer die englische Version zu finden. Lokalisierte Updates sollen zu einem spaeteren, nicht weiter definierten Zeitpunkt folgen. Nach Angaben des Win-95-Support-Teams laesst sich das englische Update auch mit der deutschen Version installieren, allerdings auf eigenes Risiko.
Gefahr droht einem Netzwerk, infolge des Windows-Clients aber auch von aussen.
Mit dem "Plus-Pack fuer Windows 95" wird das DFUE-Netzwerk um eine Funktion erweitert, vor der manchem Netzadministrator grauen duerfte. Der unscheinbare Windows-95-Desktop-Client steigt naemlich in den Rang eines Gateways auf. Dank zusaetzlichem Server-Modul im Plus-Pack laesst sich der Arbeitsplatzrechner nun so konfigurieren, dass von aussen via Modem die Einwahl ins Netz moeglich ist.
Sicherlich eine nuetzliche Funktion, denn wer musste nicht schon einmal von zu Hause aus rasch auf Unternehmensdaten zugreifen und wollte sich dabei den langen Weg in die Firma ersparen.
Allerdings fehlt es Windows 95 beim remoten Access an elementaren Sicherheitsfunktionen. Ausser einer Passwortabfrage bietet das Betriebssystem als Gateway keinerlei Sicherheitsfunktionen wie beispielsweise einen Call-Back. Zudem kann ein Hacker sein Glueck so lange versuchen, bis er Erfolg hat, da das DFUE-Netzwerk beliebig viele Einwahl-Anlaeufe erlaubt.
Angesprochen auf die obigen Sicherheitsluecken, teilte die deutsche Microsoft-Niederlassung in Unterschleissheim mit, dass das DFUE- Netzwerk nicht fuer den professionellen Einsatz konzipiert und ein Trusted-Server auf NT-Basis zu bevorzugen sei. Zudem raet man Unternehmen zu einer zentralen, Server-gestuetzten Win-95- Installation. Auf diese Weise lasse sich vermeiden, dass kritische Funktionen auf dem Desktop implementiert werden. Weiterhin empfahl man in Unterschleissheim die Verwendung des "System Management Server" (SMS), um die Funktionalitaet des Desktops kontrollieren zu koennen. In Faellen wo dies nicht moeglich ist, bietet sich auch die Verwendung zentraler "User-Profiles" auf dem Server an, so dass der Anwender nur Zugriff auf bestimmte Programme hat.
Eine weitere Moeglichkeit, um die Desktops in den Griff zu bekommen, ist die remote Administration der Windows-95-Maschinen. Doch auch diese Loesung erkaufen sich die Anwender mit einem Sicherheitsrisiko, wie Microsoft selbst einraeumt. Ist naemlich auf dem entsprechenden Rechner sowohl das "File und Print Sharing fuer Netware" eingeschaltet und die Option der remoten Administration aktiviert, so haben neben dem Administrator auch andere Anwender einen Read-only-Zugriff auf den Client. Microsoft erklaert das Problem damit, dass bei der remoten Verwaltung einige versteckte "Folders" angelegt werden. Dadurch haetten andere User nach dem Logoff des Administrators ebenfalls Zugriff auf den Desktop- Rechner, solange der Anwender seinen Rechner nicht neu starte. Ein englisches Update der Treiber ist ueber Microsofts WWW-Server beziehbar.