Glorf.it

Glorf IT

Bedenkliches aus dem IT-Alltag

29. April 2009 um 23:41

Start in Minimalkonfiguration

Wir suchten dieser Tage eine gute Lösung für einen Supportproblem: Beim "Reconfigure" nach dem Ändern einer Konfigurationsoption kommt immer die Fehlermeldung, dass der SQL-Server das Recht "Lock Page in Memory" nicht habe.
Wenn man die Ursache erst mal kennt, dann ist die Lösung nahe liegend:
Vor Ort beim Kunden wurde "AWE enabled" eingeschaltet, dann viel später wurde der SQL-Server in einem anderem Benutzerkontext gestartet und dieser Benutzer hat nicht das Recht "Lock Page in Memory". Dann wird die Option beim Server-Start automatisch nicht als "Run-Value" gesetzt, aber als "Config-Value".

Wenn man nun irgendetwas anderes konfiguriert, dann bekommt man oben genannte FEhlrmeldung beim ausführen von "Reconfigure". Wenn man dann versucht das AWE auszuschalten, dann muss man dazu zunächst "show Advanced options" einschalten. Aber das geht nicht, weil ja schließlich das RECONFIGURE fehlschlägt. Was tun?

1. Abhilfe: Den User-Account das verlangte Recht geben. Das ist schnell erledigt, aber die Lösung ist ja viel zu einfach. Deswegen schauen wir uns die andere Lösung an:
2. Abhilfe: Den SQL Server mit dem Parameter "-f" ("minimal konfiguration") starten. Dann sind immer alle Konfigurationsoptionen zugänglich und man kann einfach "AWE enabled" ausschalten. Schon praktisch…

28. April 2009 um 22:35

Der Admin soll die Daten nicht sehen können

Heute fragte in der deutschen SQL-Server-Newsgroup im Usenet wieder jemand danach, wie man denn verhindern kann, dass der Sysadministrator (SA) des SQL-Servers die Daten in seiner Anwendungsdatenbank lesen bzw. ändern kann. Die Frage stellte ich mir auch schon so oft. Die traurige Tatsache ist, dass Microsoft hier eine ganz einfache Linie fährt: ein Admin darf alles. Das es in Deutschland Regelungen gibt, die anderes vorschreiben, ist nicht bei Ihnen angekommen.

Das geht über mehrere Stufen:

  • Wer Domänen-Admin ist, der ist auch lokaler Administrator.
  • Wer lokaler Windows-Admin oder Domänen-Admin ist, der ist auch SysAdmin im SQL-Server.
  • Wer SysAdmin im SQL Server ist, der hat auch volle Adminrechte auf jeder Datenbank.

Natürlich kann man jeden einzelnen Schritt gut begründen und sinnvolle Beispiele nennen. Leider gibt es aber auch für jeden Schritt exotische Sonderfälle in denen das nicht so ist. In unserer Firma gibt es zum Beispiel eine personelle Trennung zwischen den Administratoren der Windows-Server und den SQL-Server-Administratoren. Um das zu verhindern, kann man zwar der vordefinierten SQL-Server-Rolle NT-Autorität\Administrator den Zugang zunächst versperren, aber leider nicht nachhaltig. Durch Start des SQL-Servers im Single-User-Modus wird das wieder aufgehoben. Das sollte für einen Admin machbar sein… 😉

Wenn man also verhindern will, dass der Admin die Objektdefinitionen auslesen will, dann muss man die Objekte schon "WITH ENCRYPTION" anlegen. Aber auch dabei sollte man sich nicht zu sicher fühlen, denn die Anleitung zur Entschlüsselung ist auch nicht so wirklich schwierig. Für mich ist das in der gleichen Liga wie die Obfuscation bei .Net… 😉

OK, aber wenigstens kann man verhindern, dass der Admin die Daten lesen kann. Dazu muss man lediglich die Inhalte der Felder verschlüsseln. Ich nehme an, dass ein Admin die mittels der SQL-Server-Encrypt-Funktionen verschlüsselten Felder tatsächlich nicht lesen kann. Wenn es durch Austausch oder Neugenerieren des Database-Master-Key doch gehen sollte, dann kann man immer noch "EncryptByPassphrase" verwenden. Hier sollte man allerdings bedenken, dass das Passwort im Klartext über die Leitung geht. Und ein Admin, der keinen Netztrace ziehen kann, darf sich wohl kaum Admin nennen. Aber die auf Signaturen basierenden Encrypt-Funktionen halte schon für recht sicher, bin hier aber nicht sehr erfahren. 🙂

Leider kenne ich keine Möglichkeit, wie man verhindern kann, dass der Admin Datensätze löscht oder ändert. Man kann allenfalls erzeugte Signaturen von Sätzen erstellen und inline speichern, um Änderungen einzelner Sätze zu bemerken. Und die Anzahl von Datensätzen zu bestimmten Schlüsseln verschlüsselt abspeichern, um das nachträgliche Anfügen oder Löschen zu bemerken. Das dürfte die gängigsten Fälle abdecken. Nur gegen mutwilligen Vandalismus ist man machtlos. Aber dafür gibt es ja hoffentlich Datensicherungen… 🙁

Das Resümee ist: Microsoft hat festgelegt, dass man dem Admin vertrauen muss. Wenn das nicht der Fall ist, dann sollte man schleunigst den Vertrag kündigen und die Admin-Passwörter ändern… 😉

26. April 2009 um 20:12

SQL Server 2008: Verschiedene Maximalwerte

Wer wissen will, wie viele Tabellen maximal in einer Datenbank des Microsoft SQL Servers sein können oder wie viele Columns in einem SELECT verwendet werden dürfen, der bekommt eine Antworten hier:

25. April 2009 um 10:22

Schon wieder PaintShop Pro

… diesmal nicht die vorvorletzte Version X kostenlos, sondern die vorletzte Version XI für 20 Euro bei Pearl: PaintShop Pro Photo XI.

PaintShop Pro Photo XI bei PearlDie Version X, die ich neulich installierte hat nämlich den Nachteil, dass sie bei mir nur funktioniert, wenn der Benutzer Administratorrechte hat. Sie stammt aus dem Jahre des Herrn 2003 und war damals rechtetechnisch wohl nicht ganz auf die aktuellen Stand. An den Funktionen gibt es nichts auszusetzen, aber beim Start immer ein Passwort eingeben zu müssen finde ich mehr als lästig.

Weiß jemand, ob die Version XI auch mit eingeschränkten Benutzerrechten läuft? Ich meine damit Benutzer, die unter Windows XP in der Gruppe "Benutzer" oder "Hauptbenutzer" sind.

24. April 2009 um 18:15

manuelle Deinstallation des "SQL Server 2005"

Damit ich den Artikel wieder finde, wenn ich es brauche, hier ein Merker:
Im Posting "How to un install SQL Server 2005" werden mehrere relevante Artikel zur manuellen Deinstallation des SQL Servers 2005 gesammelt. Das benötigt man beispielsweise manchmal bei Kunden, wenn der Update z.B. mit SP3 fehlschlug, weil das System verkorkst ist. Dann klappt manchmal auch die automatische Deinstallation nicht. Danach lässt es sich dann hoffentlich wieder komplett installieren, sonst hat man ein noch größeres Problem… 😉

23. April 2009 um 20:05

Visual Studio Team System 2008 Database Edition GDR R2 verfügbar

Bis ich den Namen aussprechen konnte, musste ich echt lange üben: "Visual Studio Team System 2008 Database Edition GDR R2". Zur Erinnerung: Das ist die Visual-Studio-Edition mit der man Datenbank-Projekte komfortabel erstellen kann und die Unit-Tests für Datenbank-Objekte ermöglicht. Weil die Edition asynchron zu den anderen Studio-Editionen erscheint, haben die ein Namensproblem. Mit dem Visual-Studio-2008 erschien im Prinzip die bisherige 2005er Version in leicht neuem Gewand. Kurze Zeit später erschien die "echte" neue Version für Visual-Studio-2008, sie wurde "GDR" genannt, um den Unterschied deutlich zu machen.

Jetzt erschien davon das zweite Release, also "R2". Das steht nun zum Download bereit und kann von allen genutzt werden, die entweder damals eine Lizenz für die Database-Edition kauften, die gleich die ganze Team-Suite haben oder (seit ein paar Monaten) auch alle, die eine Developer-Lizenz haben.

Die Liste der Fehlerbehebungen ist echt lang, die Features klingen wenig spektakulär, aber extrem nützlich. Auf einer Clip-Seite von Microsoft stehen sie:

Zusätzlich zur Unterstützung für SQL Server 2008-Datenbankprojekte beinhaltet diese Version eine Vielzahl zuvor veröffentlichter Power Tools sowie mehrere neue Features, etwa getrennte Build- und Bereitstellungsphasen, Analyse von statischem Code und eine verbesserte Integration mit SQL CLR-Projekten.

Wobei ich dachte, das würde schon von der GDR unterstützt. Aber da kann ich mich täuschen.

Hier die Links:

23. April 2009 um 19:49

Mit Internet-Explorer 8 ein Radl gewinnen

HauptgewinnWer den Internet-Explorer aus dem Internet lädt und sich mit seiner Live-/Passport-Adresse anmeldet, der kann ein amerkanisches Radl gewinnen. Als ich das hörte habe ich mich freilich sofort angemeldet. Erst hinterher sah ich auch die Homepage für diese Aktion: "Internet Explorer 8: Downloaden und Beachcruiser gewinnen!"

Wenn man sich das Bild dort ansieht, dann bekommt man möglicherweise ein Rad mit dem man in Deutschland gar nicht fahren darf. Aber das kann ich mir ja gar nicht vorstellen. Kann es echt sein, dass an dem Radl weder Licht, noch Reflektoren dran sind? Auch kein Gepäckträger oder Kettenschutz? Immerhin scheint das Modell eine dieser alten Drei-Gang-Nabenschaltungen zu haben. Ich fange jetzt mal besser gar nicht an Parallelen zwischen dem Hauptgewinn und dem IE8 zu suchen, oder? Das war sicher auch von Microsoft nicht beabsichtigt… 😉

PS: Komischerweise konnte ich mit dem Firefox den IE8 nicht downloaden. Dabei habe ich für Microsoft sogar extra Javascript erlaubt… Jetzt habe ich dazu eigens den IE7 starten müssen.

23. April 2009 um 19:07

Anti-Age Gesichtspflegecreme für mich

Als ich bemerkte, dass ich eine Zeitschrift las in der eine Probe einer Anti-Age Gesichtspflegecreme ("Nivea for men") drin klebte, war ich schon etwas geschockt. Auf dem Bild wird ein End-Vierziger mit grauen Haaren und baby-glatter Gesichtshaut dargestellt, allenfalls in den Augenwinkeln sind ein paar Ansätze zu den notwendigen Augenfalten. Das Gesicht wirkt dadurch so synthetisch, dass es mich spontan abstieß. Der Mann schaut verklärt in die Ferne während eine Frau von hinten den Arm um seinen Hals legt.

Die Frage ist nun, was das über mich aussagt, wenn ich zu der Zielgruppe von so einer Werbung gehöre. Echt schocking.

PS: Die Zeitschrift war übrigens "Harvard Business Manager"…

22. April 2009 um 22:02

Legendenbildung

In den letzten Wochen konnte ich ganz gut verfolgen, wie sich Legenden bilden. Hintergrund sind unsere Firmenausweise, die früher hauptsächlich zur Zugangskontrolle dienten, aber mittlerweile auch für andere Dinge genutzt werden. Damals als ich eingestellt wurde, wurde strikt darauf geachtet, dass man den Ausweis gut sichtbar mit sich trägt. Damit man gut erkennen kann, wer ein Mitarbeiter ist und wer einen Besucherausweis trägt und deswegen nicht unbeaufsichtigt rumlaufen darf. Das ist sogar Bestandteil des Arbeitsvertrages und wurde von jedem Mitarbeiter unterschrieben. Im Laufe der Zeit wurde das nicht mehr so nach gehalten, die Leute trugen sie irgendwo außen an der Hosentasche und ein paar wenige junge Mitarbeiter sogar bloß in der Geldbörse bzw. Hosentasche.

Vor ein paar Wochen kam über die Chefs die freundliche Ermahnung, dass die Ausweise doch bitte gut sichtbar zu tragen seien. Erstaunlicherweise führte das bei einigen Mitarbeitern zu Unzufriedenheit. Aber darum geht es mir nicht. Ich habe inzwischen drei Stories gehört, die angeblich dahinter stecken. Ob da etwas dran ist, kann ich nicht sagen.

  • 1. Legende: Einem hohen Manager aus unserem Bereich, dessen Büro nahe der Kantine liegt, soll ein Mitarbeiter aufgefallen sein, der täglich sehr oft in der Kantine zum Kaffeetrinken war (nach anderer Version: dort Kaffee holte). Weil der keinen Ausweis sichtbar trug, soll er diesen Mitarbeiter nicht habe identifizieren können.
    Diese Story ist eher unwahrscheinlich, weil die Aufforderung auch in anderen Standorten und in anderen Bereichen erfolgte. Außerdem sind wir gar nicht so viele…
  • 2. Legende: Ein Vorstandsmitglied solle einen vor seinem Büro herumlungernden Mitarbeiter angesprochen haben, ob er nichts zu tun habe. Der habe daraufhin mehr als patzig geantwortet. Weil der aber seinen Namen nicht nennen wollte und auch keinen Ausweis sichtbar trug, sei er nicht identifizierbar gewesen.
    Das klingt zwar auf den ersten Blick möglich, aber wer den betreffenden Vorstand kennt, der wird kaum glauben können, dass er den Namen nicht herausfinden konnte bzw. sich nicht zu helfen wusste. Also eher unwahrscheinlich…
  • 3. Legende: Zwei Mitarbeiter sollen angeblich die Ausweise an den Kaffeeautomaten vertauscht haben. Man legt seinen Firmenausweis auf einen Leser und bekommt dann die Kosten vom Guthaben abgezogen, z.B. 25 Cent pro Kaffee. Die Beiden seien also nun tagelang mit den falschen Ausweisen rumgelaufen und bekamen daher die Arbeitszeiten des anderen Mitarbeiters auf der Zeitaufschreibung gebucht. Weil sie die Ausweise immer in der Hosentasche trugen, habe das lange Zeit niemand bemerkt. Als sie dann dahinter kamen, wollten sie angeblich Ihre echten Zeiten auf das eigene Konto umgebucht haben und deswegen flog das auf.
    Es ist für mich schwer ersichtlich, wie man am Kaffeeautomat, der immer nur einen Kaffee gleichzeitig brüht, seine Ausweise vertauschen kann. Aber gut, das klingt so verrückt, das könnte stimmen, aber vermutlich ist auch das erfunden… 😉

Nun frage ich mich, wie solche Legenden entstehen? Ist es ein natürlicher Drang für alles eine gute Erklärung zu haben?

22. April 2009 um 18:52

MP3-Tags komfortabel bearbeiten

Seit gestern habe ich einen neuen MP3-Player, der die Lieder anhand von den tags auswählen kann. Meine bisherigen gingen immer nach den Verzeichnisstrukturen. Daher war ich besonders in der Anfangszeit recht schlampig beim taggen, wenn ich meine CDs in MP3s umwandelte. (Seitdem ich eine Flatrate habe, holen die Tools eigentlich immer die richtigen Tags aus einer Datenbank. Obwohl ich die "Genre"-Angaben oft genug seltsam finde.)

Jedenfalls muss ich jetzt in großem Stil die Tags nachziehen, wenn ich den Player sinnvoll nutzen will. Dazu entdeckte ich das Werkzeug Mp3tag mit dem man sehr komfortabel die MP3-Tags bearbeiten kann. Meine persönlichen Highlights:

  • Man kann z.B. den "Title", "Autor" und/oder "Track" aus dem Dateinamen extrahieren lassen. Echt klasse.
  • Man kann für viele Dateien gleichzeitig einzelne Tags setzen, z.B. das Genre oder das Album. Die anderen bleiben unverändert.
  • Man kann in einem Grid die Tags manuell setzen und kommt mit einem "Enter" zur nächsten Datei.

Das Tool kann ich wärmstens empfehlen.

21. April 2009 um 22:18

komische Werbung

Herr Wagner, EinkaufHeute stolperte ich über eine komische Telekom-Werbung. Leider fand ich keinen direkten Link, aber hier ist sie zu sehen, falls man keine Werbe-Blocker hat und die Werbung dort nicht rotiert. In Zeiten der Abhörskandale ist Werbung schon ein gutes Mittel um Aufmerksamkeit zu erregen. Aber ist diese Werbung ernst gemeint oder ironisch? Oder verstehe ich das einfach alles falsch?

MaierFür alle, die nicht wegen einer Werbung auf einer unbekannten Seite Scripts/Flash bzw. "Ads" zulassen wollen, hier eine kurz Beschreibung der Werbung:

Das Gesicht eines Mannes erscheint. Darunter steht "Herr Wagner, Einkauf". Er schaut mit genervtem Blick auf den Betrachter, über ihm erscheint eine leere Sprechblase. Er verschindet.

Im Hintergrund erscheint ein kräftiger Mann mit kurzen Haaren, weißem Hemd, Krawatte aber ohne Jacket. Er hat eine Art Weste an mit allen möglichen Gadgets daran und so einen halben Hörer auf dem Kopf, wie er in Kriminalfilmen immer zum Mithören benutzt werden. Er schaut recht wichtig/zufrieden. Darunter steht "Herr Maier, Telefonanlage". Auch über ihm ist eine leere Sprechblase.

Eine Werbeschrift erscheint: "Das geht auch einfacher."

Meine spontanen Assoziationen: Herr Maier hört mit und Herr Wagner ist deswegen genervt? Telekom: Das geht auch einfacher.
Ist die neue Masche Selbstironie? Ich kannte bisher nur die Persiflage von xdrei. Aber diese Werbung scheint echt zu sein.

17. April 2009 um 17:34

Die eigenen SQL-Server kompromitieren?

Durch den Heise-Online-Artikel "SQL-Injection reloaded: Zugriff auf das Betriebssystem" wurde ich auf das Tool sqlmap aufmerksam. Damit kann man versuchen (eigene?) Systeme mittels SQL-Injection zu kompromittieren.

Sqlmap scheint sich aber vorwiegend auf web-basierte Clients zu konzentrieren. Schade, ich hätte das gerne mal gegen unsere Windows-Anwendungen laufen lassen. Das ist schon deswegen interessant, weil die normalen Benutzer nicht genug Rechte haben sollten, um die vom Tool verwendeten Funktionen (z.B. xp_cmdshell) zu nutzen. Aber wer weiß, vielleicht nutzt es ja vorher eine mir bisher unbekannte Methode der escalation of rights… 😉