Sie möchten Kunden oder Familienangehörigen Zugang ins Web bieten, aber möglichst so, dass diese an System und Browser nichts ändern können? Der Artikel zeigt, wie weit Sie Firefox und Chrome bei dieser Aufgabenstellung bringen.

Unter einem Kiosk-System versteht man strenggenommen ein öffentliches Terminal mit inhaltlich sehr eingeschränkten Funktionen. Der Kiosk-Modus im Web-Browser hat aber nicht die Aufgabe, das Web inhaltlich zu filtern oder gar auf eine Site zu reduzieren. Es geht hier schlicht darum, die Surfer vom Betriebssystem fernzuhalten, und zwar möglichst ohne Wartungs- und Erklärungsaufwand.

1. Kiosk-Modus für Chrome/Chromium

Google Chrome und sein Open-Source-Ableger Chromium bieten unter Hunderten und größtenteils undokumentierten Startparametern auch einen für den Kiosk-Start:

google-chrome --user-data-dir=/home/%username%/TEMP --kiosk google.de

Wesentlich ist der Parameter „—kiosk“, die Angabe des User-Verzeichnisses sorgt zusätzlich für eine komplett autarke Chrome-Sitzung. Die an Schluss angegebene Seite erscheint im Vollbild ohne Adresszeile, Titelleiste, Menü, Navigationselemente und Lesezeichenleiste. Die Ansicht lässt sich im Unterschied zum normalen Vollbild nicht mit Taste F11 abschalten. Allerdings gibt es für den Chrome-Kiosk-Modus Einschränkungen, die unter -> Punkt 3 genannt werden.

Exkurs App-Verknüpfungen: Für einen gewissen Schutz vor unkontrollierter Internet-Nutzung durch Kinder oder gelegentliche Mitbenutzer bietet Chrome eine besonders einfache Option. Über das Menü „Tools –> Erstellen von App-Verknüpfungen“ legt Chrome Web-Seiten als Links wahlweise am Desktop oder im Programm-Menü ab, die er ohne Bedienelemente und vor allem ohne Adresszeile darstellt. Solche Verknüpfungen etwa zu den Kindersuchmaschinen http://blindekuh.de oder www.fragfinn.de bieten jede Menge kindgerechtes Internet – und führen erst mal nicht darüber hinaus. Eine wirksame Abschottung zum übrigen Internet sind solche App-Verknüpfungen natürlich nur mit Websites, die nur interne Links verwenden. Eine Abschottung des Systems ist mit App-Verknüpfungen nicht zu erreichen.

2. Besserer Kiosk-Modus für den Firefox

Der Mozilla-Browser hat keinen Startparameter für den Kiosk-Modus, aber es gibt die Erweiterung R-Kiosk 0.9.0 für Linux und Windows. Verwenden Sie das Firefox-Menü und „Add-ons“ und dort „Add-ons suchen“, um „R-Kiosk“ zu installieren. Die Erweiterung wird dann beim nächsten Browser-Start aktiv. Legen Sie vor diesem Browser-Start unter „Einstellungen -> Allgemein -> Startseite“ jene Start-Adresse, die Ihre Surfer als Ausgangspunkt nutzen dürfen – etwa http://www.google.de. Beachten Sie, dass R-Kiosk keine Navigation erlaubt: Wenn ein Surfer über Google auf eine abgelegene Seite gelangt, gibt es scheinbar keinen Weg zurück. Sie sollten Ihrer Firefox-Surfstation daher den klaren Hinweis aufkleben, dass die Tastenkombination Alt-Pos1 (Alt-Home) zur Startseite zurückführt. Das ist zwar Standard, aber keineswegs jedem geläufig.

Firefox mit R-Kiosk ist dem Kiosk-Modus von Chrome deutlich überlegen wie am Ende von -> Punkt 3 kurz skizziert. Beachten Sie aber, dass ein einmal installiertes R-Kiosk nicht so ohne weiteres zu beseitigen ist: Der radikale Weg ist es, unter /home/[user]/.mozilla/firefox das gesamte Profil zu löschen, also das Verzeichnis mit der Erweiterung „.default“. Sanfter ist es, mit dem abgesicherten Modus von Firefox Erweiterungen und Plug-ins vorübergehend abzuschalten. Dazu starten Sie den Browser mit diesem Kommando im Terminal:

firefox -safe-mode
Dann finden über das Menü „Add-ons“ unter anderem das deaktivierte R-kiosk und können es dort dauerhaft „Deaktivieren“ oder sogar „Entfernen“.

3. Nachbesserungen und Einschränkungen

Zahlreiche System-Hotkeys machen es leicht, absichtlich oder zufällig den Vollbild-Browser zu verlassen und Zugriff auf das Linux-System zu gewinnen. Daher sollten sämtliche Vorgaben konsequent abgeschaltet werden. Unter Ubuntu und Linux Mint geht das recht bequem unter „Systemeinstellungen -> Tastatur -> Tastaturkürzel“, indem Sie Einträge markieren und mit der Rücktaste die Hotkeys jeweils auf „Deaktiviert“ setzen. Die Hotkeys Alt-Tab und Umschalt-Alt-Tab sind hier nicht aufgeführt, sollten aber ebenfalls ausgeschaltet werden. Das erledigen Sie am elegantesten, indem Sie ihnen eine Dummy-Aktion zuweisen – etwa unter „Ton und Medien“ die Aktionen „Vorheriger Titel“ und „Nächster Titel“. Damit wird die normale Funktion dieser Hotkeys als Taskswitcher durch die selbstdefinierten Aktionen überdeckt und funktionslos.

Damit Sie als Administrator nicht selbst im Vollbild-Browser gefangen sind, vergeben Sie in der Kategorie „Starter“ ein bereits vorgegebenes Programm mit einem möglichst ungewöhnlichen Hotkey. Als Beispiel könnte etwa „Terminal starten“ mit Umschalt-Win-Rücktaste belegt werden, was Linux als „Umschalt-Super-Löschen“ einträgt. Dieser Hotkey lädt dann bei Bedarf das grafische Terminal und befördert dabei immer auch das Hauptpanel und unter Ubuntu die Starterleiste zu Tage, womit Sie vollen Zugang zum System erhalten.

Mit diesen Zusatzmaßnahmen ist der Browser, jedenfalls der Firefox, ein ziemlich stabiles Gefängnis für normale Anwender. Chrome kann insofern nicht mithalten, weil er im Kiosk-Modus ein großes Scheunentor offenlässt – den Rechtsklick auf URLs: Sobald man das Angebot „Link in neuem Fenster öffnen“ annimmt, hat man einen normalen Chrome im Fenstermodus vor sich und zudem den Linux-Desktop mit allen Elementen.

Exkurs Windows: Unter Windows würde es den Einsatz eines Tools wie Autohotkey erfordern, um die System-Hotkeys zu überdecken und damit zu deaktivieren. Deutlich einfacher ist es, vor dem Browser-Start im Kiosk-Modus den Explorer zu beenden, der für fast alle Hotkeys verantwortlich ist. Bleibt aber der System-Hotkey Strg-Alt-Del: Der ist durch keine Maßnahme abzufangen und bietet den Aufruf des Task-Managers an. Damit hat ein fortgeschrittener Nutzer das System in der Hand, und somit ist Windows für diese Aufgabe unterm Strich nicht geeignet.

4. Der Kiosk-Modus und das Fazit

Die Möglichkeiten, welche Chrome/Chromium mit Startparameter anbieten, vor allem aber der Firefox mit der Erweiterung R-kiosk bereitstellt, reichen ziemlich weit und sollten genügen, etwa einen Familien-PC oder eine Surfstation in einem übersichtlichen Laden oder einem Café hinreichend abzusichern. Der große Vorteil eines Firefox mit R-Kiosk ist es, dass sich das jeweilige Gerät für den Administrator ohne Umstände sofort wieder uneingeschränkt nutzen lässt.

Wenn eine Surfstation über Wochen und Monate unbeaufsichtigt und wartungsfrei funktionieren soll und auch mit destruktiv gesinnten Nutzern fertig werden muss, ist der Kiosk-Modus aber ungenügend. In solchen Fällen empfiehlt sich ein Linux-Live-System, das erstens immer jungfräulich bootet und zweitens am besten schon als Surfstation spezialisiert ist. Aktueller Favorit für diesen Job ist Porteus 3.0 (http://build.porteus.org, auch auf Heft-DVD), das es übrigens auch in einer restriktiven Kiosk-Variante mit Firefox pur gibt (http://porteus-kiosk.org). Siehe dazu auch den Beitrag in diesem Blog: Surfsystem Porteus.

Arp.exe – LAN-Tool für das Address Resolution Protocol
ARP ist das Vermittlungsprotokoll zwischen IP-Adressen und physikalischen MAC-Adressen. Das Address Resolution Protocol speichert IPs und zugehörige MAC-Adresse in einer Vermittlungstabelle. „Arp -a“ zeigt die derzeitige Tabelle an, „arp -s [IP-Adresse] [MAC-Adresse]“ kann einen statischen Eintrag erzwingen. Dies wird bisweilen von Sicherheitsexperten empfohlen. Im Heimnetz gibt es keinen Grund einzugreifen und Arp.exe überhaupt zu benutzen. Eine statische Zuordnung von IP- und MAC-Adressen kann auch nur dort funktionieren, wo statische IP-Adressen vergeben sind.
____________________________________________________________

FTP.exe – Web-Tool für FTP-Server
FTP ist für den interaktiven Zugriff auf FTP-Server heutzutage überflüssig, da es weit komfortablere Möglichkeiten gibt (Filezilla, Total Commander, Wget, Windows-Explorer). Microsoft schleppt das alte Tool dennoch mit bis in neueste Windows-Versionen (Windows 8), weil es nach wie vor unzählige Batch-Dateien gibt, die auf der Script-Fähigkeit von FTP.exe basieren:

ftp -s:%temp%\ftp.txt

startet FTP.exe und lädt mit dem Schalter „-s:“ die erforderlichen Befehle (etwa „open“, Username, Kennwort, „put“, „get“, „cd“…) aus einer Textdatei (in unserem Beispiel „ftp.txt“).
____________________________________________________________

Getmac.exe – Info-Tool für LAN-Konfiguration
Das kleine Programm liefert schnell die eindeutige(n) physikalische(n)  MAC-Adresse(n) des oder der im PC vorhandenen LAN-Adapter – am besten mit „getmac -v“, das auch Adapternamen anzeigt. MAC-Adressen werden manchmal als Sicherheitsmaßnahme für die MAC-Filterung im Router genutzt. Getmac ist aber weitestgehend entbehrlich, weil etwa Ipconfig die MAC-Adresse ebenfalls ermittelt.

____________________________________________________________

Ipconfig.exe – Info-Tool für LAN-Konfiguration
„ipconfig /all“ ist eines der beliebtesten Info-Kommandos für Administratoren. Es liefert für alle LAN-Adapter die IP-Adresse des Geräts, die IP-Adresse des Gateways, die MAC-Adresse, den Adapternamen, die DHCP-Konfiguration. Ipconfig kann ferner – bei IP-Konflikten – die IP-Adresse trennen oder eine neue IP-Adresse (vom DHCP-Server) anfordern

ipconfig /release
ipconfig /renew

oder den lokalen Cache für die Domain-Namen (DNS-Cache) anzeigen oder löschen:

ipconfig /displaydns
ipconfig /flushdns

Letzteres ist etwa sinnvoll, wenn für eine Internet-Site eine Domain-Umleitung eingerichtet wurde.
____________________________________________________________

Net.exe – Tool für LAN-Einstellungen und Benutzerverwaltung
Net ist mit zahlreichen Haupt-und Unterschaltern ein wichtiges Tool mit einem breiten Funktionsumfang. Trotz des Programmnamens sind echte Netzwerk-Befehle nur eine Untermenge von Net.exe, mehr als die Hälfte des Befehlsumfangs zielt auf die User-Verwaltung des lokalen Rechners. So weist etwa folgender Befehl dem Standardkonto „Administrator“ ein neues Kennwort zu:

net user administrator secreT-123

Weitere Hauptbefehle neben „net user…“, die zur User-Verwaltung dienen, lauten „net accounts…“, „net group…“ und „net localgroup…“.

Die wichtigsten der eigentlichen Netzwerk-Befehle lauten:
„net config server | workstation…“ (Parameter für Server- und Workstation-Rolle)
„net share…“ (Ordnerfreigaben per Kommandozeile)
„net statistics server | workstation“ (Sende/Empfangs-Analyse)
„net use…“ (Netzlaufwerk verbinden)
„net view…“ (Anzeige der Netzwerkserver)
____________________________________________________________

Netsh.exe – Netzwerk-Konfigurations-Shell
Netsh ist ein umfangreiches Analyse- und Konfigurationswerkzeug für alle Netzwerkprotokolle, IP-, Firewall- und Remote-Einstellungen. Eignet sich zur Script-gesteuerten Konfiguration von Arbeitsrechnern in einem größeren Netzwerk (Admin-Tool).
Es folgen einige einfachere Beispiele, die auch normalen Windows-Anwendern weiterhelfen können:

TCP/IP-Konfiguration anzeigen (ähnlich wie Ipconfig /all):
netsh interface ip show config

TCP/IP-Konfiguration in Datei speichern:
netsh.exe interface ip dump >dump.txt

Gespeicherte TCP/IP-Konfiguration aus Datei in das System importieren:
netsh -f dump.txt

Windows-Firewall komplett zurücksetzen (nur nach irreparabler Firewall-Verkonfiguration):
netsh firewall reset

Netzwerkadapter deaktivieren und wieder aktivieren:
netsh interface set interface "LAN-Verbindung" disabled
netsh interface set interface "LAN-Verbindung" enabled

TCP/IP-Konfiguration komplett zurücksetzen (nur in verzweifelten Notfällen!):
netsh interface ip reset [logfile]
Der Befehl schreibt die Registry-Schlüssel
Hkey_Local_Machine\System\CurrentControlSet\Services\Tcpip\Parameters\
Hkey_Local_Machine\System\CurrentControlSet\Services\DHCP\Parameters\
neu. Sie müssen am Ende der Kommandozeile ein Logfile angeben, in welches Netsh Ihre aktuelle Konfiguration speichert.

Alle bislang genutzten WLAN-Netze protokollieren und als XML-Datei ausgeben:
netsh wlan export profile
____________________________________________________________

Netstat.exe – Web- und LAN-Verbindungsanalyse
Netstat analysiert abhängig von den angegebenen Parametern summarisch oder detailliert alle Netzwerkverbindungen. Wer den Verdacht hat, dass der Rechner unerwünschte Internetverbindungen herstellt, kommt an diesem nützlichen Analyse-Werkzeug nicht vorbei. Die auch für unerfahrene User empfehlenswerte Schalterkombination (beide Varianten gehen)

netstat -b -v
netstat -bv

zeigt zu den aktiven Verbindungen auch den Prozessnamen, also etwa den Browser-Namen. Die meines Erachtens informativste Ausgabe leistet folgende Schalterkombination:

netstat -abo

Netzwerkadministratoren verwenden Netstat für Dauerprotokolle: Eine Intervallangabe nach der gewünschten Parameterkombination wiederholt das Protokoll im abgegebenen Sekundenintervall:

netstat -f 40

Die Anzeige der Verbindungen wiederholt sich alle 40 Sekunden.
____________________________________________________________

Nslookup.exe – Web-Server- und DNS-Analyse
Das aus der Unix-Welt nach Windows übernommene Kommandozeilen-Tool liefert die umfangreichsten Informationen über Web-Sites: Name Server, Mailserver, Hosting und mehr. Das Programm zeigt seine Fähigkeiten erst im interaktiven Modus, nach Aufruf von „nslookup“ und nachfolgender Anfrage „help“ oder „?“.
Im interaktiven Modus erscheinen nach (Beispiel)

set type=all
microsoft.com

alle Infos zur angegebenen Site.

Die Abfrage lässt sich durch „type=“ einschränken („type=mx“ auf Mail-Server, „type=ns“ auf die Domain Name Servers, „type=a“ auf IP-Adressen.
Nslookup ist unzugänglich und schlecht kommentiert, aber zuverlässiger als manche Alternativen (etwa Nirsoft’s DNSDataView).
____________________________________________________________

Openfiles.exe – LAN-Tool für Netzfreigaben
Das Kommandozeilen-Tool ist für Normalanwender entbehrlich, weil die Konsole für Netzfreigaben (Fsmgmt.msc) dieselben Funktionen bequemer anbietet. Auf der Kommandozeile leistet „net file“ ähnliches.
Openfiles zeigt nach „openfiles /query“ die aktuell geöffneten Dateien auf den Netzwerkfreigaben des lokalen Rechners. Das Tool kann dies auch auf anderen Netzwerkrechnern analysieren, sofern dort Administratorrechte bestehen.
Nach
openfiles /local on
kann das Programm auch die Dateien anzeigen, die am PC vom System und vom lokalen User geöffnet sind (also ohne Netzwerkzugriff).
____________________________________________________________

Pathping.exe – Web-Tool zur Routenverfolgung
Pathping entspricht weitgehend Tracert und liefert alle Vermittlungsseiten mit Name und IP bis zur angegebenen Ziel-Site – etwa:

pathping wikipedia.de

Pathping analysiert etwas genauer als Tracert, sofern es verlorene Pakete auf dem Vermittlungsweg anzeigt. Die Pathping-Analyse kann helfen, Leistungseinbrüche oder Zugriffsprobleme bei einer bestimmten Web-Seite zu erklären. Sie kann theoretisch auch Betrugsversuche entlarven.
____________________________________________________________

Ping.exe – Web- und LAN-Tool zur Erreichbarkeitskontrolle
Ping mit nachfolgender Angabe eines Geräts im internen LAN oder einer Web-Site im externen WAN zeigt umgehend, ob Rechner oder Site online und verfügbar ist. Ping ist ferner nützlich, um aus dem Rechnernamen im LAN oder aus dem Domain-Namen im Web die zugehörige IP zu ermitteln:

ping google.de
ping -4 notebook

Umgekehrt auch mit Schalter „/a“, um aus einer bekannten IP den Namen zu ermitteln (reverse DNS):

ping -a 192.168.1.1

Bei Zugriffsproblemen im LAN hilft es oft, statt des Server-Namens die so ermittelte IP zu verwenden.
____________________________________________________________

Route.exe –
____________________________________________________________

Telnet – Remotesteuerung auf Kommandozeile
Telnet entspricht dem Remotedesktop – ohne Desktop. Zur erfolgreichen Verwendung ist auf Benutzer-Seite der Telnet-Client notwendig. Auf neueren Windows-Systemen wird dieser nicht mehr standardmäßig installiert, das kann aber über die Windows-Systemsteuerung (Programme und Funktionen, Windows-Funktionen) nachgeholt werden. Auf dem Remote-Gerät muss der Telnet-Server laufen.
Telnet sieht keinerlei Verschlüsselung vor und ist weitgehend antiquiert, weil PC-Systeme grafische Lösungen anbieten, Router- oder NAS-Geräte heute bequem über eine Konfigurationsseite im Web-Browser bedient werden.
____________________________________________________________

Tracert.exe – Web-Tool zur Routenverfolgung
Tracert entspricht weitgehend dem Tool Pathping. Es liefert mit Angabe der gewünschten Internetadresse alle Vermittlungsseiten mit Name und IP (oder nur die IP mit „tracert -d…“) bis zur angegebenen Ziel-Site – etwa:

tracert wikipedia.de

Diese Analyse kann helfen, Leistungseinbrüche oder Zugriffsprobleme bei einer bestimmten Web-Seite zu erklären. Sie kann theoretisch auch Betrugsversuche entlarven.

Das Motiv für Geheimschrift ist so fast alt wie Schriftlichkeit: Ein Text soll nur für den Texteigentümer oder für genau einen Textempfänger lesbar sein. Wer den Schlüssel nicht kennt, hat sinnlose Zeichen vor sich. Vor 2000 Jahren reichte eine Cäsar-Verschlüsselung für militärische Geheimbotschaften: Dabei wurde jeder Buchstabe um eine bestimmte Stellenanzahl im Alphabet vorgerückt wird – aus A wird dann etwa D, aus B wird E und so fort. Heute durchschaut diesen Code jeder clevere Grundschüler. Demgegenüber gehört heutzutage eine hochkomplexe Verschlüsselung zum Alltag, die gar nicht oder jedenfalls nicht mit vertretbarem Aufwand zu knacken ist. Ermöglicht wird dies durch schnelle Computer und passende Software. Was da eigentlich passiert, ist allerdings den wenigsten PC-Benutzern transparent. Dieser Beitrag erläutert die Grundmechanismen.

1. Symmetrische Verschlüsselung

Wer im PC-Alltag Daten verschlüsselt, nutzt in der Regel eine symmetrische Verschlüsselung. Diese kennzeichnet sich dadurch, dass beim Verschlüsseln wie beim Entschlüsseln derselbe Schlüssel benutzt wird. Die angesprochene Cäsar-Substitution ist ein extrem einfaches Beispiel für symmetrische Verschlüsselung. Der Schlüssel lautet „Alphabetposition plus | minus n“, wobei für „n“ nur 26 Möglichkeiten bestehen. Je nach Richtung – Chiffrierung oder De-Chiffrierung – werden dann die Einzelbuchstaben ersetzt.
Rar-, 7-Zip oder auch speziellere Kryptographie-Werkzeuge wie Bitlocker oder Truecrypt verwenden ebenfalls symmetrische Verschlüsselung, doch ist der Zugangsschlüssel hier ein variables, frei wählbares Kennwort. Dadurch gibt es theoretisch beliebig viele Schlüssel, und die Sicherheit der codierten Daten hängt wesentlich von der Länge und Komplexität des gewählten Kennworts ab.
Exkurs: Um genau zu sein, ist das Kennwort zwar für den Benutzer der Schlüssel zum Decodieren der chiffrierten Datei, technisch handelt es sich jedoch um einen hexadezimalen Schlüssel definierter Länge (etwa 256 Bit = 32 Byte). Diesen tatsächlichen Schlüsselcode kann das jeweilige Programm eindeutig aus dem Kennwort errechnen.

Um nun zu skizzieren, was bei der symmetrischen Verschlüsselung unter der Haube geschieht, verwenden wir ein vereinfachtes Beispiel. Die zu verschlüsselnde Datei enthält nur das Wort „PCWELT“, und das Kennwort lautet „geheim“. Die jeweilige Software – immer noch Rar, 7-Zip, Truecrypt, Bitlocker und Co. – kann nun zur Erhöhung der Sicherheit verschiedene Methoden einsetzen: etwa Transposition, also Verschieben von Bytes innerhalb eines definierten Blocks oder auch Ersetzungen nach dem logischen Vorbild der Cäsar-Verschlüsselung. Bei diesen kryptographischen Umwandlungen spielt der Schlüssel (Kennwort) immer eine wesentliche Rolle. Die verbreitete und bewährte symmetrische Verschlüsselung nach AES (Advanced Encryption Standard) sieht mehrere Umwandlungen innerhalb von 8-Byte-Blöcken unter Berücksichtigung des Schlüssels vor. Wie viel Aufwand eine Software im Einzelnen treibt, ist immer eine pragmatische Entscheidung zwischen höchstmöglicher Sicherheit und vertretbarem Rechenaufwand.
Anders als bei der simplen Cäsar-Rotation geschehen solche Codierungen aber nicht auf der Zeichen-, also der Byte-Ebene, sondern auf Bit-Ebene, also auf der untersten Informationsebene der Nullen und Einsen. Dabei spielt das selbstinverse XOR in moderner Kryptographie eine entscheidende Rolle.

Um diese zu verdeutlichen, kommen wir wieder zum Klartext „PCWELT“ und zum einfachen Kennwort „geheim“: Ausgangstext und Schlüssel (hier der Einfachheit halber mit dem Kennwort gleichgesetzt) werden im einfachsten Fall Byte für Byte verglichen und XOR-verknüpft. Beginnen wir beim ersten Byte: Das erste Zeichen und Byte in „PCWELT“ ist das „P“. Wie alles bei der digitalen Datenverarbeitung wird dieses „P“ intern durch eine Zahl dargestellt, nämlich mit dem (Ascii-) Wert 80, „g“ in „geheim“ mit dem Wert 103. In der Binärschreibweise im Rechner mit Nullen und Einsen sieht das so aus:

P = 80 (dez) = 01010000 (Bin)
g =103 (dez) = 01100111 (Bin)
XOR ————————-
7 = 55 (dez) = 00110111 (Bin)

XOR vergleicht Bit für Bit von Position 1 bis 8: Sind zwei Bits an der jeweiligen Position identisch, also „0 und 0“ oder „1 und 1“, so ergibt sich die „0“. Sind die zwei Bits unterschiedlich, also einmal die „0“ und einmal die „1“, so ergibt sich die „1“ als Ergebnis. In diesem Beispiel kommt XOR zu dem Bitmuster 00110111. Das entspricht dezimal 55 und das verschlüsselte Resultat ist am Ende die „7“ (Ascii 55).
Nach analogem Vorgehen für die weiteren Bytes wird aus „PCWELT“ der chiffrierte Text „7&? %9“.
Das Erfreuliche an der XOR-Verknüpfung: Bei der Dechiffrierung des Codes mit dem richtigen Kennwort, kommt dann wieder der Klartext zum Vorschein. Wieder soll das erste Byte als Beispiel genügen:

7 = 55 (dez) = 00110111 (Bin)
g =103 (dez) = 01100111 (Bin)
XOR ————————-
P = 80 (dez) = 01010000 (Bin)

Aus der „7“ wird also wieder das „P“ von „PCWELT“. Was sehr aufwändig aussieht und hier nur für ein einziges Byte beschrieben ist, erledigen Packer oder Verschlüsselungsprogramme selbst bei großen Dateien in Sekunden.

2. Einsatzgebiete symmetrischer Verschlüsselung

Truecrypt-Container oder 7-Zip-Archive mit einem komplexen Passwort als Schlüssel bieten zuverlässigen Schutz für persönliche Daten auf Cloud-Speichern oder mobilen Datenträgern – also bei Daten ohne Empfänger, bei Daten, die Sie nur selbst nutzen und geschützt wissen wollen. Muss jedoch ein Empfänger den Kennwort-Schlüssel erhalten, ist dies nur sicher, wenn der Schlüssel auf einem zweiten Kanal übermittelt wird – etwa telefonisch. Dies macht die symmetrische Verschlüsselung entweder unbequem oder unsicher, wenn Sie aus Bequemlichkeit denselben Schlüssel dauerhaft nutzen und an viele Empfänger weitergegeben.

3. Asymmetrische Verschlüsselung

Das entscheidende Merkmal der asymmetrischen Verschlüsselung sind zwei unabhängige Schlüssel: Einer dient zum Verschlüsseln, der zweite zum Entschlüsseln. Die beiden Schlüssel generiert die Software – prominent etwa PGP (Pretty Good Privacy) und Abkömmling OpenPGP – auf Ihrem Rechner. Danach wird der erste Schlüssel, also der öffentliche zum Verschlüsseln (public key), ohne Geheimniskrämerei individuell an alle Kommunikationspartner geschickt oder auch zu einem öffentlichen Key-Server im Internet. Nun können alle Partner Nachrichten an Sie mit diesem öffentlichen Schlüssel chiffrieren – Sie sind die einzige Person, die solche Nachrichten mit dem passenden privatem Schlüssel (private key) lesbar machen kann. Umgekehrt verschlüsseln Sie Ihre Nachrichten mit den öffentlichen Schlüsseln Ihrer Partner und haben die Sicherheit, dass nur der Empfänger mit dem komplementären privaten Schlüssel die Nachricht wird lesen können.
Das nicht ganz triviale Prinzip behebt das entscheidende Problem symmetrischer Codierung: die sichere Übermittlung des Schlüssels. Open-Source-Initiativen haben außerdem gewisse Bedienungshürden weitestgehend abgebaut: Key-Server, OpenPGP, Thunderbird mit Enigmail-Erweiterung machen sichere Mail-Kommunikation relativ komfortabel. Trotzdem haben sich PGP und Nachfolger nie entscheidend durchsetzen können, am wenigsten in der Windows-Welt.

Jedes NT-Windows ist ein Mehrbenutzersystem. Das bedeutet nicht nur, dass die Benutzerdateien getrennt und gegenseitig abgesichert sind, sondern vor allem, dass unterschiedliche Rechte für zwei Kontentypen bestehen: die uneingeschränkten Administrator-Konten und die eingeschränkten Benutzerkonten. Im Gegensatz zum Administrator ist normalen Benutzern die Installation von Software und Treibern ebenso untersagt wie der Schreibzugriff auf Systemordner oder die Registrierungsdatenbank. Die eingeschränkten Rechte des normalen Benutzerkontos bieten zuverlässigen Schutz gegen Systemveränderungen: Wo der Benutzer nichts darf, kann er auch nichts kaputtmachen. Und weil ein eingeschränkter Windows-Explorer seine limitierten Rechte an alle durch ihn gestarteten Programme weitervererbt, kann auch ein Virus wenig ausrichten.

Konsequente PC-Arbeit mit eingeschränkten Konten hat sich aber unter Windows nie durchgesetzt. Schuld daran ist nicht Windows selbst, sondern die dort mangelnde Abwärtskompatibilität zu „alter“ Software und zu „alten“ Usern: Viele Benutzer wollen und kennen nur die vollen Zugriffsrechte. Hauptproblem sind aber nicht die Benutzer, sondern Tausende von alten Windows-Programmen, die einfach unlimitierte Administrator-Rechte voraussetzen. Die Windows-Explorer-Option „Ausführen als“ kann solche Kompatibilitätsprobleme nicht befriedigend kompensieren. Vor Jahren wurde daher mit Windows Vista die Benutzerkontensteuerung eingeführt.

Die seit Windows Vista eingeführte Benutzerkontensteuerung (User Account Control, UAC) ist Microsofts Reaktion auf die Tatsache, dass sich unter Windows die Arbeit im sicheren eingeschränkten User-Konto nie durchgesetzt hat. Viele Benutzer kamen vom alten DOS-basierten Windows und wollen und kennen nur die vollen Zugriffsrechte.

Die Benutzerkontensteuerung erfüllt zwei Aufgaben:

Sie soll Administrator-Konten sicherer und Benutzerkonten bequemer machen.

Trotzdem wird sie gerne mißverstanden als Nerv-Mechanismus für Admin-Konten: Denn bei (standardmäßig) aktivierter UAC besitzen auch Administratoren erst mal nur Benutzerrechte und müssen alle Aktionen, welche die Konfiguration des Systems ändern, explizit per Dialogbox bestätigen.
Das ist aber nur die eine Seite. Weitere Aufgabe der Benutzerkontensteuerung ist es, dem eingeschränkten Benutzer temporär Admin-Rechte einzuräumen (nach Kennwortabfrage) und damit die Systembenutzung im sicheren Benutzer-Kontext zu erleichtern. Eine aktive Benutzerkontensteuerung sorgt so auch bei Administrator-Konten für eingeschränkte Rechte. Das ist die nachhaltigste Sicherheitsmaßnahme, die ein Windows-Nutzer einsetzen kann. Wer die Abfragen der UAC liest und ernst nimmt, besitzt einen Basisschutz vor Viren und Schadprogrammen.

Die Benutzerkontensteuerung versucht überdies, eingeschränkte Rechte durch Virtualisierung zu kompensieren: Ein Programm, das nur eine Konfigurationsdatei unter %programfiles% schreiben will, muss dazu nicht mit Administrator-Rechten laufen. Stattdessen wird die Datei in den Profilordner „%userprofile%\AppData\Local\VirtualStore“ umgelenkt, Zugriffe auf die Registry landen unter „Hkey_Current_User\Software\Classes\VirtualStore“. Sobald das Programm mit eingeschränkten Rechten später im Programme-Ordner seine Daten sucht, reicht die Benutzerkontensteuerung die Daten aus dem „VirtualStore“ weiter. Diese Virtualisierung leistet unter der Haube eine stille Modernisierung von veralteter Software, die ohne Not auf Systemordner zugreifen oder nach „Hkey_Local_Machine“ schreiben wollen.

Entschärfte Benutzerkontensteuerung seit Windows 7

Die lästigen Rückfragen der UAC unter Windows Vista waren kontraproduktiv – viele User waren davon so genervt, dass sie die UAC komplett deaktivierten. Unter Windows 7 und Windows 8 gibt es gegenüber dem simplen „Ein“ oder „Aus“ von Vista zwei weitere Zwischenstufen. Dies hat die Akzeptanz dieses Schutzmechanismus erheblich gefördert.
Zudem wurde die Events, die eine Kontenanhebung (User –> Admin) erfordern, seit Windows Vista generell überarbeitet und reduziert. Die UAC meldet auch auf der Höchststufe etwa 30 Prozent seltener. Hinzu kamen gegenüber Vista erweiterte Regeln in den Sicherheitsrichtlinien (Secpol.msc oder Gpedit.msc), um das UAC-Verhalten genauer steuern zu können („Lokale Richtlinien –> Sicherheitsoptionen“).

Tipp: UAC-Abfrage via Aufgabenplanung umgehen
Mit der Aufgabenplanung lässt sich die UAC-Abfrage für einzelne Programme gezielt umgehen. Ich erkläre die Prozedur am Beispiel des Registry-Editors.
1. Sie starten die Aufgabenplanung (Taskschd.msc).
2. Sie wählen „Aktion, Aufgabe erstellen“ („Action, Create Tasks“) und geben der zukünftigen Verknüpfung auf der Registerkarte „Allgemein“ („General“) unter „Name“ einen eindeutigen Namen, etwa „regedit“.
3. Sie aktivieren die Option „Mit höchsten Privilegien ausführen“ („Run with highest privileges“).
4. Sie wechseln auf die Registerkarte „Aktionen“ („Actions“) und klicken auf „Neu“ („New“).
5. Wählen Sie dann als Aktion „Programm starten“ („Start a progam“), und tragen Sie in das Feld „Programm/Skript“ den Registry-Editor inklusive seines kompletten Pfades ein – meist „c:\windows\regedit.exe“.
6. Auf der Registerkarte „Bedingungen“ („Conditions“) deaktivieren Sie die Option „Aufgabe nur starten, falls Computer im Netz betrieben wird“ („Start the task only if…“).
7. Zum Test können Sie über die „Aufgabenplanungsbibliothek“ („Task Scheduler Library“) den soeben erstellten Task „regedit“ mit „Ausführen“ („Run“) aufrufen: Startet der Registry-Editor ohne Rückfrage, ist die Konfiguration gelungen, und Sie können die Verknüpfung erstellen.
8. Erstellen Sie an beliebiger gewünschter Stelle eine neue Verknüpfung mit dem Ziel:

schtasks.exe /run /tn „regedit“

Der Name (hier „regedit“) muss genau dem entsprechen, was Sie vorher (2.) im Taskplaner definiert haben.

Tipp: Benutzerkontensteuerung mit dem Application Compatibility Toolkit umgehen
Mit einem speziellen Microsoft-Tool können Programme der UAC-Kontrolle entzogen werden. Damit entfällt der Warndialog (beim Administrator) bzw. die Passworteingabe (beim User). Der Ausschluss erfolgt über eine spezielle „Application Fix“-Datenbank. Um sie anzulegen, brauchen Sie ein Konto mit Administrator-Rechten und müssen sich das englischsprachige Application Compatibility Toolkit von Microsoft herunterladen und installieren.

Das Application Compatibility Toolkit – Schritt für Schritt:
1. Sie öffnen „Start, Alle Programme, Microsoft Application Compatibility Toolkit“,
klicken mit rechter Maustaste auf „Compatibility Administrator“, und gehen
auf „Als Administrator ausführen“.
2. Nachdem Sie den UAC-Warndialog bestätigt haben und das Toolkit gestartet wurde, klicken Sie mit der rechten Maustaste auf den Eintrag „New Database(1) [Untitled_1]“ und wählen „Create New, Application Fix“.
3. Im Fenster „Program Information“ tragen Sie unter „Name of the program to be fixed“ den Namen der ersten Anwendung ein, die erlaubt werden soll.
4. Sie klicken auf „Browse“ und wählen die entsprechende ausführbare Datei dazu aus.
5. Klicken Sie nun auf „Weiter“ und aktivieren die Option „None“.

Microsoft’s Powershell (früher Codename „Monad“) erlaubt es, das gesamte System von einer Zentrale aus zu steuern. Der objektorientierte Ansatz dieser Kommandozeile ist traditionellen Shells, die mühsam Textoutput filtern müssen, um Längen überlegen. Auf der negativen Seite steht eine hölzern-sperrige interaktive Bedienung. Beachten Sie in diesem Zusammenhang auch den Beitrag Powershell für Ubuntu.

Dass Microsoft überhaupt in eine Kommandozeilen-Shell investiert, muss überraschen. Gut, bei Tüftlern, Script-Fans und Admins ist die Befehlszeile nicht totzukriegen – aber Microsoft hat eigentlich genug schlechte Erfahrungen gesammelt, um dieses Feld einfach anderen zu überlassen. Die berüchtigte und wenig genutzte „Eingabeaufforderung“ hat wenig Ruhm geerntet: Die Variante Command.COM unter Windows 98/ME war grauenhaft, die Cmd.EXE von Windows 2000/XP gerade mal alltagstauglich. Normale Windows-Anwender sehen heute kaum noch Anlass, krude Befehle auf einer solchen Kommandozeile einzugeben – sie halten sich an bequeme Mausaktionen.

Ein völlig neues Kapitel: Die Powershell wirft alle Altlasten über Bord und verwirklicht eine ehrgeizige Synthese. Monad verbindet die Fähigkeiten einer Unix-Shell mit dem objektorientierten .NET Framework. Wir erläutern, was das konkret heißt, wer das tatsächlich braucht und wo die Vorteile gegenüber den bekannten Instrumenten liegen (Cmd, Wmic, Windows Scripting Host). Die Powershell ist eindeutig ein Scripting-Instrument für Profis, bietet aber auch Einsatzmöglichkeiten für den normalen Anwender.

1. Was eine Shell (und warum Powershell eine) ist
Unter einer „Shell“ versteht man eine System-Zentrale, die einen möglichst umfassenden Zugang zu sämtlichen Komponenten eröffnet. Eine Shell sollte also Informationen zur gesamten Hard- und Software liefern, alle externen Programme und Scripts starten, ferner Benutzerdateien selbst bearbeiten oder an Anwendungsprogramme weitergeben. Die grafische Windows-Shell, der Explorer, bietet jedoch keinen umfassenden Zugang – an die Registry, die Prozesse oder die Systemdienste etwa kommen Sie nur über eigene Programme heran – in diesen Fällen Regedit, Task-Manager und MMC (Management-Konsole). Viele weitere Windows-Komponenten sind zwar irgendwo integriert. Wo sie jeweils zu finden sind, lässt sich aber nicht intuitiv erschließen. Eine gute Shell zeichnet sich vor allem dadurch aus, dass sie alle Programme, Inhalte und Methoden an einem Punkt integriert. Die Powershell startet praktisch alles, womit man sie füttert: EXE, BAT, MSC, VBS … Benutzerdateien wie DOC, JPG, XLS, PDF lädt die Shell direkt in die passende Anwendung. Übrigens: Steht der Dateiname in Anführungszeichen, muss ein „&“ vorangestellt werden, um den Befehlszeilenmodus zu erzwingen. Meister aller Klassen: Die Powershell holt via WMI (Windows Management Instrumentation) Informationen aus allen verfügbaren Windows-Klassen und steuert COM-Anwendungen wie den Internet Explorer oder Office-Programme. Ein Beispiel:

$dlg = new-object -ComObject "shell.application"
$tmp = $dlg.BrowseForFolder(0,"",1,17)

Die beiden Zeilen starten den Windows-Dialog „Ordner suchen“. Der gewählte Ordner landet dann in der Variablen $tmp. Das ist nur ein kleines Beispiel für die Möglichkeiten. Dreh- und Angelpunkt sind die derzeit 153 vordefinierten Befehle, welche die Powershell nach „get-command“ auflistet, Ein erstes „Cmdlet“ („Commandlet“ – so der Name dieser Kommandos) deutet an, dass die Shell Objekte integriert, die bislang nicht unter einen Hut zu bringen waren:

get-psdrive

listet nicht nur die Laufwerke auf, sondern auch die Registry („hklm:“ und „hkcu:“), Variablen und Funktionen. Da diese Objekte als Laufwerke gemountet sind, lassen sie sich auch genauso ansprechen:

cd hklm:\software\classes\exefile
dir

„cd“ und „dir“ sind DOS-freundliche Aliases für die eigentlichen Cmdlets „set-location“ und „get-childitem“. Das Beispiel zeigt, dass die Shell in der Registry, in Funktionen und Variablen ebenso wie in Datei-Ordnern spazierengeht. Ändern, Löschen, Eintragen ist natürlich mit den passenden Cmdlets ebenso möglich. Nur noch zwei Beispiele:

get-itemproperty "hkcu:\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders"
stop-process -processname notepad*

Der erste Befehl zeigt die Windows-Standardordner des aktuellen Benutzers, der zweite beeendet Notepad oder Notepad2.

2. Der Prompt und die Datei Profile.PS1

Von der Bedienung gibt es starke Ähnlichkeiten mit der gewohnten Kommandozeile Cmd.EXE: Das Editieren der Zeilen geschieht auf dem Prompt auf vergleichbare Weise. Das gilt für die automatische Pfad- und Datei-Namenserweiterung mit der-Taste, ebenso wie für die History-Funktion, bei der Sie mitoderdie letzten Befehle zurückholen. Zahlreiche Aliases für die umständlichen Cmdlets orientieren sich an alten Cmd-Kommandos („dir“, „del“, „cls“, „ren“, „md“, „type“ …). Eine eigenes Alias ist mit

new-alias n notepad.exe

schnell angelegt (um mit „n“ den Editor zu starten). Der Wert der Aliases ist aber begrenzt, da sie nur als Kommandoabkürzung taugen und keinerlei Argumente zulassen. Weit leistungsfähiger sind Functions:

function n {notepad.exe $args}

Jetzt kann auf dem Prompt der Dateiname gleich mitgegeben werden („n“). $Args ist eine Standardvariable, die sämtliche oder einzelne ($Args[]) Argumente weitergibt. Da der Powershell-Prompt eine Eingabe wie „3.14 * 6.34“ oder „0x2A1“ (Hexzahl) direkt als Rechenaufgabe interpretiert und löst, können Sie mit etwas Code auch komplexere Aufgaben umsetzen:

function Tage {((get-date("$args"))-(get-date)).days}

Die Eingabe „tage 22.10.2009“ gibt dann die Anzahl der Tage bis zum eingegebenen Datum zurück. Die Powershell geizt mit vorgefertigten Funktionen, aber es ist nur eine Frage der Zeit, bis Anwender selbstgestrickte im Web anbieten werden. Der in einer Funktion abgelegte Code gilt so lange, bis die Shell geschlossen wird. Aber es ist natürlich nicht zumutbar, komplexere Funktionen oder Befehle jedes Mal neu per Hand einzugeben. Hier kommt das Script Profile.ps1 ins Spiel, das die Shell beim Start automatisch einliest. Es kann alle möglichen Variablen, selbstgestrickte Funktionen und Aliases enthalten. Der Standardpfad der aktuellen Version 3.0 ist

%windir%\System32\WindowsPowerShell\v1.0

Eine hier abgelegte Profile.ps1 liest die Shell beim Start in jedem Fall neu ein. PS1-Scripts werden aber erst ausgeführt, wenn die Policy entsprechend eingestellt ist:

Set-ExecutionPolicy unrestricted

3. Der Kern der Powershell: Objekte in der Pipeline

Bis hierher habe ich die Powershell wie eine Unix-ähnliche Shell beschrieben. Damit sind wir aber noch nicht beim Kern der Sache. Der heißt nämlich: Objektorientierung im Verbund mit Pipelines. Pipes wie „Sort“ oder „Find“ unter Cmd filtern einfach Text, Pipes in der Powershell hingegen das gesamte Objekt inklusive aller Eigenschaften und Methoden. Dazu ein Beispiel:

$a=get-process

Das Kommando schreibt die aktuelle Prozessliste in die Variable $a (alle Variablen, gleich welchen Typs, beginnen mit „$“). Einfaches

$a

zeigt dann die Prozessliste mit acht Eigenschaften an. Diese Repräsentation ist aber nur freundliche Formathilfe der Shell. Die Variable enthält in Wahrheit wesentlich mehr:

$a | where {$_.name -like "*explorer*"}|format-list *

Hoppla: Jetzt liefert Variable zu dem einen Prozess „Explorer“ gut die doppelte Menge an Daten, die sie vorher über sämtliche Prozesse zurückgab – eine Unzahl weiterer Eigenschaften, welche die Shell ohne explizite Formatangabe automatisch wegfiltert. Erst „format-list *“ (Kurzform: „fl *“) liefert das Ganze. Um herauszufinden, welche Eigenschaften und Methoden für ein Datenobjekt insgesamt vorliegen, gibt es einen systematischeren Weg:

"Hallo" | get-member

„Hallo“ ist ein String-Objekt, daher erhalten wir eine Liste der .NET-Methoden zur Stringverarbeitung, so etwa „ToUpper“ – und folgerichtig gibt dann

"Hallo".toupper()

„HALLO“ zurück. Über „get-member“ ermittelte Pipes helfen dann, Objekt-Variablen genau auf das inhaltlich Gewünschte einzugrenzen:

$aktuell=dir c:,d:,e: -recurse -include *.doc,*.xls | where {$_.lastaccesstime -gt "1.10.2008"} | select name,lastaccesstime

Schon der „Dir“-Befehl grenzt ein, der „Where“-Filter lässt auch davon nur die jüngst genutzten Dateien übrig, und „Select“ reduziert dann die Objekteigenschaften auf zwei. Das Objekt enthält jetzt nur noch diese zwei Eigenschaften der zuletzt genutzten DOC- und XLS-Dateien auf den Laufwerken C:, D: und E:. Beachten Sie, dass nun für diese Objektvariable scheinbar selbstverständliche Datei-Eigenschaften tatsächlich fehlen: Eine Sortierung nach der Extension („sort extension“) wäre etwa nicht mehr möglich. Aus dem gleichen Grund kann

dir -recurse|select name,length|where {$_.CreationTime -gt "1.10.2008"}

nie ein Ergebnis befördern, weil die Eigenschaft des Erstellungsdatums (CreationTime) durch den Select-Befehl ausgefiltert wurde und nicht mehr existiert. Die zwei Pipes sind also syntaktisch umzustellen. Ein letztes praktisches Beispiel für kombinierte Pipes:

$doppel=dir c: -recurse *.mp3 | group length|where {$_.count -gt 1}|select -expand group| ft name,length

Diese eine Zeile beantwortet eine komplexe Frage: Wenn es auf Laufwerk C: MP3-Dateien gleicher Bytezahl gibt, werden diese untereinander angezeigt. Lautet dann auch noch der Name ähnlich, handelt es sich offenbar um überflüssige Doppel.

4. Powershell mit umfassenden Script-Fähigkeiten

Die Beispielzeilen in diesem Beitrag sind – der Lesbarkeit halber – bewusst knapp gehalten. Komplexe Objekt-Pipes per Hand einzugeben ist weder vergnüglich noch notwendig. Der Platz für globale Funktionen und Variablen ist die schon angesprochene Profile.PS1 , weiterer Code kann in beliebigen Textdateien mit Endung PS1 abgelegt und in der Shell durch Eingabe der Code-Datei abgerufen werden. Die umfangreichen Script-Möglichkeiten, um Objektvariablen weiter zu bearbeiten, können wir hier kaum andeuten. Sie entsprechen in vielen Belangen der Syntax von Unix-Shells, sind aber auch für jeden WSH-oder Batch-Erfahrenen durchaus zugänglich – an „If“, „For“, „Foreach“, „While“ oder „Switch“ in der einen oder anderen Form kommt keine Sprache vorbei. Die Fehlermeldungen des Interpreters sind informativ und zielführend, das Hilfesystem verdient hingegen bislang seinen Namen nicht. Den simpelsten Zugang zum Scripten bieten sicherlich Filter, die den Datenstrom der Pipeline entweder weiterfließen lassen oder nicht. Die einzelne Instanz wird in jedem Filter (auch in „Where“ oder „Foreach“) mit der globalen Variable „$_“ bezeichnet. Darf das Ding oder eine Eigenschaft desselben also durch, schreibt man einfach „$_“ oder „$_.“. Ganz einfaches Beispiel:

Filter Dirs {if ($_.parent) {$_}}
dir -recurse|Dirs|select name

Um mit Kontrollstrukturen wie „If“ oder „While“ Entscheidungen zu treffen, helfen die üblichen Vergleichsperatoren:

-eq gleich (equal)
-ne ungleich (not equal)
-lt kleiner (lower than)
-le kleiner oder gleich (lower or equal)
-gt größer (greater than)
-ge größer oder gleich (greater or equal)

Also etwa:
if ($a -lt 1000) {write-host "Kleiner"}

5. Super-Shell? Nicht jetzt und nicht für jeden …

Objektorientierung und Scriptsprache der Shell sind konzeptionell beeindruckend. Selbst die sperrigen Cmdlets verlieren zusehends ihren Schrecken, wenn man sich eingearbeitet hat und ihre konsistente Grammatik kennt: „get-content“ („gc“) funktioniert einfach immer, wenn ein „Content“ vorliegt, also bei der Datei Boot.INI ebenso wie bei der Funktion „Prompt“. Für Fehlerbehandlung („Trap“), Testläufe („-Whatif“ bei Methoden), automatische Erkennung von Variablentypen und saubere Gültigkeitsbereiche der Variablen („Scopes“) ist ebenso gesorgt wie für die Erweiterbarkeit: Das .NET-Framework mit dem C#-Compiler enthält alles, um neue DLLs und darin enthaltene Cmdlets zu erstellen. Die Shell kann wesentlich mehr als Cmd und der Scripting Host zusammen und macht nebenbei eine ganze Reihe von Windows-Applets arbeitslos.
Den Geschmack der Admins und Tüftler dürfte die Shell treffen. Den normalen Anwender wird sie kaum auf die Kommandozeile locken: Das Editieren der Zeilen ist so spartanisch wie bei Cmd, vor allem aber mangelt es noch an interessanten, fertigen Funktionen, die sofort Produktivität versprechen. Die derzeit verfügbare Beta kommt buchstäblich nackt zum Anwender: Er muss sie erst selbst Funktion um Funktion zu einem tauglichen Werkzeug machen. Es ist wohl nur eine Frage der Zeit – aber im Moment sind im Web überzeugende Scripts und Funktionen noch Mangelware.
Nicht ganz nebensächlich ist ferner der Ressourcenverbrauch: Schon die nackte Shell ist mit ihren .NET-Bibliotheken kein Leichtgewicht. Einige größere Objektvariablen mit Dateiobjekten eingelesen, und die Powershell wird im Handumdrehen zum RAM- und CPU-Konsumenten Nummer 1.

6. Einige Kommandozeilen-Beispiele

Zur Ausgabe auf dem Prompt bietet die Shell verschiedene vordefinierte Farbcodes.

write-host "Starte Vorgang..."
write-warning "Achtung..."
write-error "Fehler..."

So definieren Sie das Erscheinungsbild (hier blaue Schrift auf weißem Hintergrund) und Titel.

$host.UI.RawUI.ForegroundColor = "DarkBlue"
$host.UI.RawUI.BackgroundColor = "White"
$host.ui.rawui.WindowTitle = "Powershell on ${env:userdomain}${env:username}" + " " + (get-date -uformat "%A, %d.%m.%Y [%T]")

Folgende Pipe gibt die 50 größten Dateien auf Laufwerk D: zurück.

Get-ChildItem -recurse d:\ | Select name,length | Sort-Object length -descending | Select-Object -first 50

Ähnlich der folgende Befehl, der Dateigrößen und den kompletten Pfadnamen der 50 größten Dateien zurückgibt:

Get-ChildItem d:\ -recurse | Sort length -descending | Select -first 50 | fl length,fullname

Das folgende Kommando filtert gezielt alle Dateien, die größer sind als 50 MB (Out-Gridview bietet eine grafische Tabelle außerhalb der Powershell):

Get-ChildItem d:\  -recurse | Where {$_.Length -gt 50MB} | select fullname,length | out-gridview

Die nächste Pipe gibt die 10 größten Dateien auf Laufwerk D: zurück und zeigt an, wie lange die Aktion dauert.

measure-command {Get-ChildItem -recurse d: | Select name,length | Sort-Object length -descending | Select-Object -first 10 }

So lesen Sie die Shellfolder aus der Registry in eine Variable und nutzen diese zur Navigation:

$UserFolder=get-itemproperty "HKCU:SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders"

push-location $UserFolder.Desktop

Folgender Befehl erzwingt eine Pause von 5 Sekunden:

start-sleep -s 5

Die folgenden Befehle erstellen ein COM-Objekt und nutzen es dann zur Fensterdarstellung:

$dlg = new-object -ComObject "shell.application"
$dlg.CascadeWindows()
$dlg.MinimizeAll()
$dlg.UndoMinimizeAll()

Das nachfolgende Kommando (eine Zeile!) listet die Windows-Dienste mit ihren beschreibenden Namen auf und kennzeichnet alle laufenden Dienste rot, die beendeten grün:

get-service | foreach {if ($_.status -eq "stopped") {write-host -f green $_.displayname} else {write-host -f red $_.displayname}}

Das nächste Kommando beendet den Explorer:

stop-process -processname explorer

Die kleine Funktion „n“ verkürzt den Aufruf von Notepad auf die Eingabe „n“. Die Standardvariable $Args sorgt dafür, dass eine übergebene Datei in Notepad geöffnet wird:

Function n{Notepad.EXE $args}
n c:\boot.ini

Folgende Funktion liefert eine Tabelle aller verfügbaren Laufwerke mit Typ, Größe und freiem Speicher:

Function Disks {
$Disks = Get-WMIObject Win32_LogicalDisk -computer "."
""
write-host " Kennung Typ GB GB frei" -BackGroundColor DarkRED -ForeGroundColor White
""
ForEach ($d in $Disks) {
$typ=$d.drivetype
Switch ($typ) {
2 {$typ="FDD"}
3 {$typ="HDD"}
4 {$typ="Net"}
5 {$typ="CD "}
}
" {0} {1} {2,7:n} {3,10:n}" -f $D.DeviceID, $typ, $($d.Size/1024/1024/1024), $($d.freespace/1024/1024/1024)
}
""
}

Das nächste Beispiel (eine Zeile!) liefert eine Statistik zu den Dateierweiterungen im aktuellen Ordner (inkl. Unterordner):

dir -recurse|group-object -property extension|sort count|Format-table @{expression="name";width=8},@{expression="group";width=65},@{expression="count";width=5}

Wenn Sie mit „format-table“ (oder Kurzform „ft“) die Ausgabe als Tabelle anfordern, lässt die Powershell zwischen den Spalten oft große, störende Zwischenräume. Das lässt sich mit „format-table -autosize“ oder kürzer „ft -auto“ unterbinden:

dir -recurse | sort length | select length,fullname | ft -auto

Folgender Ablauf könnte in einem PS1-Script erfolgen: Aufruf eines Tasks – Warten auf dessen Abschluss – Fortsetzen des Scripts:

notepad.exe
$a=get-process notepad
$a.WaitForExit()
write-host "Weiter..."

Die nachfolgenden Zeilen greifen eine Webseite ab und legen den Inhalt in einer Textdatei ab:

$wc = new-object System.Net.WebClient
$wc.DownloadString('http://www.beispiel.de/index.html') | out-file s.txt
get-content s.txt


Das nächste Beispiel zeigt eine einfache Textsuche mit dem Cmdlet Select-String:

Select-String -path *.txt -SimpleMatch "Monitor"

Um dieselbe Suche auf alle Unterverzeichnisse auszuweiten, hilft folgende Kombination mit Get-Childitem (oder gci) und dem Parameter -recurse:

gci -include *.txt -recurse | Select-String -SimpleMatch "Monitor"

Eine seit Version 2.0 eingeführte attraktive Out-Variante ist „Gridview“. Die Objektdaten werden grafisch dargestellt und lassen sich filtern und sortieren:

get-service | select status, name, displayname, servicesdependedon | out-gridview