5 I 18 ISSN 1614-2888 Österreich € 14,50

PowerCLI für Bash-Skripte Daten verwalten Luxemburg € 14,50

VMware vSphere debuggen gemäß DSGVO € 12,60 Schweiz CHF 20,50

Skripte für Admins:

Einfach
automatisieren
Abläufe programmieren mit
PowerShell, Python, Bash und Co.

Richtig eingesetzt
Best Practices für
die PowerShell
Bequem skripten
Sechs kostenlose
Editoren im Vergleich
Updates automatisch
WSUS mit Puppet steuern
Grafische Oberfläche für die PowerShell
AppSphere
ScriptRunner im Test

www.it-administrator.de
Die Anforderungen an
die IT steigen rasant,
durch uns sind Sie immer
ganz vorne mit dabei.

Edge Computing
bei Thomas-Krenn
Egal welche Anforderungen Sie an Leistung, Skalierbarkeit
und Ausstattung stellen, mit der dezentralen Daten-
verwaltung von Edge Computing werden die Daten genau
dort verarbeitet, wo sie entstehen – nämlich direkt vor Ort.
Mit unserer ausgewählten Hardware und den sicheren
Edge-Rechenzentren unserer Partner beschleunigen Sie die
Datenverarbeitung und Ihrem Vorhaben steht nichts mehr
im Weg. thomas-krenn.com/edge

+49 (0) 8551.9150-300

E D I TO R IAL Die Suche geht weiter

Im letzten Heft gab es ein Streitgespräch unter IT-Experten über den Nutzen
und Nachteil der PowerShell bei der Administration von Windows-Rechnern.
Das Ergebnis: We agree to disagree. Zwar kann die PowerShell bei der Auto-
matisierung von Problemlösungen helfen, aber ob sie immer dazu beiträgt,
diese zu beschleunigen, ist fraglich, wenn etwa andere Faktoren bremsen. Auch
ist nicht gesagt, ob sich der Aufwand für das Skripten seltener
Anwendungsfälle immer lohnt.

Die Auseinandersetzung wird auch über die Betriebssys-

temgräben hinweg geführt. So sei die klassische Unix-Shell
"nur" textorientiert, während die PowerShell typisierte Ob-
jekte bietet, die zu mehr Zuverlässigkeit bei der Verarbeitung
führten. Allerdings ist das Unix-Lager auch schon einige
Jahre weiter und hat sich von der Shell als primäres Konfigu-
rationstool emanzipiert. Jetzt sorgen Konfigurationsmanagement-
systeme wie Puppet, Ansible, Chef oder Saltstack für mehr Struktur.

Auch hier ist aber zu beobachten, dass keine letztgültige Lösung des Problems
erreicht ist. Kaum begeistert ein neuer Ansatz durch Einfachheit und deklarative
Syntax die Anwender, wird schnell der Wunsch nach komplexeren Ausdrucks-
möglichkeiten wie logischen Operatoren, Schleifen und so weiter laut, also Aus-
drucksmöglichkeiten, die ausgewachsene Skriptsprachen bieten. Dann wird Stück
für Stück komplexere Syntax durch die Hintertür eingeführt, bis der anfängliche
Charme der Einfachheit auf der Strecke bleibt und alles wieder von vorne beginnt.

Unser Schwerpunkt gibt Tipps zu bewährten Tools und stellt neue Ansätze vor,
um die immer wiederkehrenden Probleme zu lösen. Wir unterziehen das Soft-
ware-Bundle Chef Automate einem Test, das etwa mit der Inspec-Komponente
hilft, automatisiert IT-Umgebungen auf die Einhaltung von Compliance-Regeln
zu testen. In eine ähnliche Richtung geht das freie Tool Testinfra, das wie au-
tomatisierte Tests in der Software-Entwicklung die eigene Infrastruktur daraufhin
prüft, ob sie die gewünschten Anforderungen erfüllt.

Für die Automatisierung von Cloudumgebungen bei Amazon ist Boto3 gedacht,
ein Python-Modul, das nahezu alle AWS-Funktionen abdeckt. In die gleiche
Kerbe schlägt die PowerCLI-Toolbox, die VMware-Admins bei ihrer Arbeit
helfen soll. Sie stellen wir ab Seite 68 vor. Aber auch die Anwender der (neo)klas-
sischen Admin-Tools für Windows, der Bash respektive PowerShell, kommen
nicht zu kurz: Sie können neue Tricks über das Debugging von Bash-Skripts
kennenlernen oder sich an den Best Practices für die PowerShell orientieren.

Viel Spaß beim Lesen

Oliver Frommel
Leitender Redakteur

www.it-administrator.de Mai 2018 3

Inhalt 05/2018 Skripte für Admins

BlueParq PowerShell
Studio 1.0
26 Wollen Administratoren
Abläufe per PowerShell
automatisieren, ist der Einstieg
meist steinig und langwierig.
"Das muss doch einfacher gehen,
wenn sich der Nutzer nicht mit
dem Code beschäftigen muss,
sondern den Ablauf einfach per
Diagramm zusammenklicken
kann" dachten sich die Gründer
von BlueParq und schufen ein
neuartiges Programmiertool, das
BlueParq PowerShell Studio.

Schulungen
mit H5P
40 Mitarbeiter sollten regelmäßig in Sachen
IT geschult werden. Denn nicht nur findet
immer wieder neue oder aktualisierte Software ihren
Weg ins Unternehmen, auch die Security-Awareness
bleibt nur dank wiederkehrender Schulungen er-
halten. Um den Unterricht dabei ansprechend und
informativ zu gestalten, bietet sich mit H5P eine in-
teraktive Lernplattform an. Diese ist leicht aufzu-
setzen und zu bedienen.
AKTUELL
06 News
12 IBM Think 2018, 18. bis 22. März, Las Vegas
14 IT-Administrator Trainings und Intensiv-Seminare
TESTS
16 Chef Automate
Chef Automate konkurriert mit Werkzeugen wie Ansible Tower oder Puppet Enterprise.
Wir haben uns angesehen, ob die Lösung hält, was der Hersteller verspricht.
22 AppSphere ScriptRunner 2018R2
Mit der PowerShell wurde Scripting auch unter Windows beliebter. Mit einer Erweite-
rung von AppSphere lassen sich Skripte bequem nutzen und stärker automatisieren.

26 BlueParq PowerShell Studio 1.0

Den Skriptablauf einfach per Diagramm zusammenklicken, das soll das Programmier-

Serverkonfigurationen tool von BlueParq möglich machen.

32 Softinventive Lab Total Network Monitor 2.3.0

testen mit Testinfra Mit etwas Geschick und Talent erarbeitet sich der Administrator beim Monitoring
eine Überwachung mit automatischer Reaktion auf Veränderungen – zum Beispiel
mit Total Network Monitor.

92 Wie läuft's beim Server? Ob

alle Server korrekt konfiguriert
sind, prüft halbautomatisch das kleine
Tool Testinfra. Es nutzt dabei ein etab-
liertes Framework aus der Software-
Entwicklung und nimmt so dem Admi-
nistrator einige Arbeit ab.
PRAXIS
36 Angriffe erkennen und verhindern mit Suricata
Suricata ist ein Werkzeug, um Angriffe aus dem Netz zu unterbinden oder wenigstens
frühzeitig zu erkennen. Das Tool besticht durch seinen riesigen Funktionsumfang.
40 Schulungen mit H5P
Mitarbeiter sollten regelmäßig in Sachen IT geschult werden. Um den Unterricht da-
bei ansprechend und informativ zu gestalten, bietet sich mit H5P eine interaktive
Lernplattform an.

44 DSGVO: Personenbezogene Daten identifizieren

Das neue EU-Datenschutzrecht bringt IT-Verantwortlichen zahlreiche Neuerungen im
Umgang mit personenbezogenen Daten. Aber wo sind eigentlich diese Informationen?

48 Revisionssichere Datenlöschung
Löschen Unternehmen ihre Daten nicht ordnungsgemäß, müssen sie mit Bußgeldern
rechnen. Professionelle Produkte zur Datenlöschung helfen.

4 Mai 2018 www.it-administrator.de

 50 Open-Source-Tipp
Der Open-Source-Tipp in diesem Monat zeigt, wie sich kryptografische Schlüssel
auch in Cloudumgebungen einsetzen lassen.

52 Security-Tipp
Verzeichnisdienste mit LDAP sind fest etablierter Bestandteil von IT-Systemland-
schaften. Im Security-Tipp geht es um die Absicherung von OpenLDAP mit einem
Let's-Encrypt-Zertifikat.

54 Tipps, Tricks & Tools

SCHWERPUNKT
58 Optimierung und Standardisierung
von PowerShell-Skripten
Werden aus PowerShell-Einzeilern ausgewachsene Skripte, müssen sich IT-Verant-
wortliche mit Konzepten aus der Softwareentwicklung befassen. Wir zeigen aktuel-
le PowerShell-Best-Practices.

62 Datenbankzugriffe mit der PowerShell

Da immer wieder Datenbanken gelesen oder beschrieben werden müssen, zeigt
dieser Beitrag, wie die Nutzung von Datenbanken mit Hilfe von .NET-Klassen aus
der PowerShell heraus gelingt.

66 Security-Module für die PowerShell

Zahlreiche Zusatzmodule stellen für die PowerShell Sicherheits- und Angriffsfunk-
tionen bereit. Diese erlauben Penetrationstests und forensische Analysen.

68 Schnelleinstieg in die PowerCLI für vSphere

Unser PowerCLI-Crashkurs liefert kompakt das wichtigste Know-how und stellt
Ressourcen für fertige Skripte vor.

74 Windows-Client-Management
mit Puppet und WSUS
Wer seine Update-Infrastruktur von der von Microsoft abkoppeln will, nutzt als
Werkzeug der Wahl meist den WSUS-Server – seine Eintragung auf Seiten des
Clients übernimmt nun bei Bedarf Puppet.

78 Kostenlose Editoren im Überblick

Ob Sie eine Konfigurationsdatei bearbeiten oder eine Protokolldatei analysieren
wollen – meist genügt ein leistungsfähiger Texteditor. IT-Administrator hat kosten-
lose Editoren unter die Lupe genommen.

86 Management-Helfer für Vim-Plug-ins

Vim ist einer der beliebtesten Editoren und verbreitetsten Open-Source-Tools über-
haupt. Ein Grund für seine Popularität ist seine über Plug-ins erweiterbare Funktio-
nalität, von denen es über 1500 gibt.

88 Bash-Skripte automatisiert debuggen

Jeder sollte sich beim Skript-Debugging technische Unterstützung holen. Wir stel-
len im Workshop Erweiterungs-Frameworks vor, die das Leben von Entwicklern und
Administratoren leichter machen.

92 Serverkonfigurationen testen mit Testinfra

Ob alle Server korrekt konfiguriert sind, prüft halbautomatisch das kleine Tool Test-
infra. Es nutzt ein etabliertes Framework aus der Software-Entwicklung und nimmt
dem Administrator einige Arbeit ab.

96 Phishing-Domains aufspüren mit dnstwist

Mit einem kleinen Skript können Administratoren Phishing-Domains ausfindig ma-
chen und gleichzeitig prüfen, ob sie die eigene Webseite imitieren.

98 Python-Modul Boto3 für die Amazon-Cloud

Das Boto-Modul hilft, Ressourcen in der Amazon-Cloud mit Python zu managen.
Dieser Artikel gibt eine Einführung in die Programmierung mit dem Modul.

RUBRIKEN
03 Editorial
04 Inhalt
102 Buchbesprechung
103 Fachartikel online
105 Forschungslabor
106 Vorschau, Impressum, Inserentenverzeichnis

www.it-administrator.de
Aktuell News
Wenig Energie, große Abdeckung
Sierra Wireless bringt mit dem AirLink LX60 den ersten
LPWA-Mobilfunk-Router (Low Power Wide Area) für kom-
merzielle und Enterprise-IoT-Anwendungen auf den Markt.
Mit LTE-Cat-4 und LTE-M&NB-IoT ist er laut Hersteller für
kommerzielle und Unternehmensanwendungen einsetz-
bar. Die Neuvorstellung erlaubt laut Sierra Wireles die
IoT-Edge-Programmierbarkeit und unterstützt das ALE-
OS Application Framework für eingebettete Anwendun-
gen sowie integrierte Cloud-Services und APIs. Die LTE-
M/NB-IoT-Unterstützung soll eine fünf- bis zehnfach
erweiterte Abdeckung in abgelegenen Standorten oder
Gebäuden ermöglichen und gleichzeitig die laufenden
Kosten für die Sendezeit um bis zu 60 Prozent reduzieren.
Der AirLink LX60 ist in zwei Varianten verfügbar: LTE-
M/NB-IoT (bis zu 300 KBit/s Downlink) für erweiterte
Abdeckung und LTE Cat 4 (bis zu 150 MBit/s Downlink)
für höheren Durchsatz. Er verfügt über zwei GBit-Ether-
net-Ports, umschaltbares LAN und WAN für primäre und
Backup-Konnektivität sowie RS-232-, RS-485- und I/O-
Ports, sodass sich bestehende Maschinen ohne zusätzliche
Adapter und Konverter anschließen lassen. Die LTE-Cat-4-
Variante ist mit optionalen WLAN- und GNSS-Funktio-
Cloudverwaltung aus einem Guss
VMware hat die Bestandteile seiner vRealize Cloud Ma-
nagement Platform einer Aktualisierung unterzogen. Leich-
ter fallen soll die Verwaltung von hybriden Cloud-Infra-
strukturen unter anderem mit vRealize Operations 6.7, das
diverse neue Funktionen zur Leistungs- und Kapazitätspla-
nung beinhaltet. Dazu hat VMware unter anderem eine
neue Engine integriert, die Unternehmen mit Hilfe von
ARIMA-Techniken und -Layern einen Echtzeitüberblick
zur Kapazitätsauslastung und -nachfrage bieten soll. Was-
wäre-wenn-Szenarien für die Planung zukünftiger Projekte
und eine nachfragebasierte Kapazitätsplanung über Clouds
hinweg gehören zu den weiteren Merkmalen. Bei der Per-
formance-Automatisierung nutzt die Software vorausschau-
ende Analysen und automatisiertes Workload-Balancing zur
kontinuierlichen Optimierung. Nicht zuletzt kommt vRea-
lize Operations 6.7 mit einer Out-of-the-Box-Integration
mit Wavefront by VMware, damit IT- und Anwendungsver-
antwortliche Probleme schneller analysieren und lösen kön-
nen. Überarbeitet wurde weiterhin die Benutzeroberfläche,
deren Bedienung der Hersteller mithilfe eines personalisier-
ten Quick-Start-Dashboards vereinfacht haben will.
Ein weiteres Element der vRealize Cloud Management
Platform ist vRealize Automation in Version 7.4. Darin will
VMware unter anderem das Erstellen von Anwendungs-
Blueprints drastisch beschleunigt haben, da über 120 kos-
tenlose, kuratierte Blueprints und OVF-Dateien sofort ver-
fügbar sind. Gemeinsam mit Bitnami hat der Hersteller 20
neue Blueprints und über 100 neue OVFs gängiger Anwen-
6 Mai 2018
Mit dem AirLink LX60 will
Sierra Wireless eine zuverlässige LTE-Konnektivität in IoT-
Anwendungen etwa bei der Gebäudeautomatisierung bieten.
nen erhältlich und eignet sich laut Hersteller ideal für die
Verbindung von Einzelhandels- und kommerziellen Flot-
tenanwendungen. (ln)
Sierra Wireless: www.sierrawireless.com
dungen und Datenbanken wie GitLab, Hadoop, Jenkins und
MongoDB hinzugefügt, um die Anwendungsentwicklung
und -bereitstellung zu beschleunigen. Der benutzerdefinier-
te Formulardesigner soll IT-Teams die einfache Erstellung
umfangreicher Serviceanfrageformulare für vRealize Auto-
mation 7.4-Katalogelemente ermöglichen und die Ausbrei-
tung von Blueprints reduzieren. Außerdem bietet vRealize
Automation 7.4 Einblick in filterbasierte Netzwerkdienste
und Infrastrukturelemente pro Mandant und unterstützt die
neueste, jetzt auch mandantenfähige Version von vRealize
Orchestrator.
Der neue vRealize Suite Lifecycle Manager 1.2 weitet das
Lifecycle-Management auf das integrierte IT-Content-Ma-
nagement in Infrastruktur- und Cloudumgebungen aus. Zu
den neuen Funktionen gehört unter anderem ein In-Pro-
duct-Marketplace. Unternehmen sollen damit von einem
integrierten AppStore-ähnlichen Erlebnis profitieren und
können so Out-of-the-box-Werkzeuge von VMware und
Partnern nutzen. Diese umfassen vRealize Operations Ma-
nagement Packs, vRealize Log Insight Content Packs und
vRealize Automation Blueprints sowie Plug-ins. Die Con-
tent-Management-Funktionen sollen es Nutzern erlauben,
Infrastrukturinhalte als Applikationen einzusetzen und
DevOps-Prinzipien anzuwenden, um vRealize-Inhalte
schnell und einheitlich über mehrere Umgebungen hinweg
zu verwalten. Die neu vorgestellten Versionen sollen laut
VMware ab Anfang Mai erhältlich sein. (ln)
VMware: www.vmware.com/de/
www.it-administrator.de

TLS 1.3 fertig spezifiziert
Die Internet Engineering Steering Group (IESG) hat die
Spezifikation von Transport Layer Security (TLS) Protocol
Version 1.3, die die zuständige Working Group erarbeitet
hat, zur Standardisierung vorgeschlagen. Neben erhöhter
Sicherheit stand im Fokus der Entwicklung auch eine bes-
sere Performance, die der immer höheren Verbreitung von
HTTPS gerecht wird. Alle Krypto-Algorithmen, die als
Fedora 28 Beta verfügbar
Seit Anfang April steht die Betaversion von Fedora 28 zum
Download bereit. Die Linux-Distribution gibt es in den Va-
rianten "Fedora Server", "Fedora Atomic Host" und "Fedora
Workstation". Jede Edition besteht aus einem gemeinsamen
Satz von Basispaketen, die die zentrale Grundlage des Fedo-
ra-Betriebssystems bilden. Wie bei allen neuen Versionen
von Fedora enthält Fedora 28 Beta viele kleinere Bug Fixes
und Verbesserungen an den zugrundeliegenden Kompo-
nenten. Neu hinzugekommen sind unter anderem glibc
2.27, die aktuelle Version der Compiler Collection (GCC) 8
und Updates zu vielen Open-Source-Sprachen, beispiels-
weise Golang 1.10 und Ruby 2.5.
Die wichtigste Änderung bei Fedora 28 Server Beta be-
trifft die Ergänzung der "Modularity"-Initiative. Modularity,
als Add-on für Fedora 28 Server Beta verfügbar, erleichtert
die Integration von Software- und Updateversionen, die
nicht Bestandteil des Default-Releases sind. Darüber hinaus
unterstützt Fedora 28 Server Beta nun AArch64 als Archi-
tektur und bietet Systemadministratoren somit eine zusätz-
liche Betriebssystem-Option. Fedora 28 Workstation Beta
und die Version 3.28 des GNOME-Desktops versprechen
Entwicklern und Anwendern dagegen ein verbessertes
Globales Datenmanagement in der Cloud
Von Rubrik kommt mit Polaris eine neue SaaS-Plattform
für Datenmanagementanwendungen. Die Neuentwicklung
stellt ein globales Policy-Framework, Workflow-Orchestrie-
rung und tiefgehende Datenanalyse in Form von cloudba-
sierten Anwendungen bereit. Die SaaS-Plattform bietet ein
einheitliches System, das zur Erfassung von Geschäftsinfor-
mationen in allen Unternehmensanwendungen, die in Re-
chenzentren und Clouds ausgeführt werden, dient.
Das System bietet neben der Workflow-Orchestrierung
auch eine native Suche und einen globalen Inhaltskatalog.
Diese Funktionen werden über eine offene API-Architek-
tur verfügbar gemacht. Rubrik und andere Entwickler sol-
len diese APIs nutzen, um Datenverwaltungsanwendun-
gen für Datenrichtlinien, Datenkontrolle, Datensicherheit
und tiefgehende Datenanalytik bereitzustellen. Polaris
GPS ist die erste Datenverwaltungsanwendung, die auf der
Link-Codes eingeben auf www.it-administrator.de
News Aktuell
veraltet gelten, wurden aus TLS entfernt. Gleichzeitig bie-
ten alle verwendeten Schlüsselaustauschmechanismen jetzt
Forward Secrecy. Umstritten war innerhalb der Working
Group der Zero-Roundtrip-Modus (0-RTT) von TLS 1.3,
der jetzt eine andere Sicherheitseinstufung bekommen hat
als der Rest des Protokolls. Laut IESG gibt es bereits zehn
interoperable Implementierungen des Standards. (of)
Desktoperlebnis. Zu den Ergänzungen zählen die Unterstüt-
zung von Thunderbolt-3-Verbindungen und standardmäßig
integrierte Energiesparfunktionen zur Verlängerung von
Akkulaufzeiten. Fedora 28 Atomic Host Beta stellt nicht zu-
letzt ein "Base Image" für die Erstellung virtueller Maschi-
nen, ein "Atomic Host"-Image für die Erstellung von Con-
tainer-Deployment-Hosts sowie Container-Images für
Fedora-basierte containerisierte Applikationen bereit. (dr)
Fedora: https://getfedora.org/
Fedora ist erhältlich als "Server", "Atomic Host" und "Workstation".
neuen SaaS-Plattform debütiert. Das Werkzeug bietet eine
einzige Konsole zur Datenkontrolle und Richtlinienver-
waltung für global verteilte Geschäftsanwendungen, die
lokal von den Cloud-Data-Management-Instanzen von
Rubrik verwaltet werden.
Eine interaktive globale Karte visualisiert dabei alle An-
wendungen und Daten, die in physischen, virtuellen und
Cloudtopologien enthalten sind. Die Makroansicht soll die
Behebung von Systemfehlern vereinfachen, sodass Unter-
nehmen mit großen, komplexen Umgebungen Vorfälle
schnell identifizieren, isolieren und priorisieren können.
Zudem können Unternehmen mit einer globalen Daten-
verwaltungsrichtlinie Datensätze erstellen, um die SLA-
Compliance für Daten, die über lokale und mehrere
Clouds verteilt sind, zu belegen. (ln)
www.rubrik.com/product/polaris-overview/
Mai 2018 7
Aktuell News

Mitarbeiter
als schwächstes Glied
Im vergangenen Jahr sank die Anzahl kompromittierter Da-
tensätze um fast 25 Prozent, da Cyberkriminelle den Schwer-
punkt auf Ransomware-Angriffe verlagerten. Letztes Jahr
wurden allerdings immer noch mehr als 2,9 Milliarden Da-
tensätze gehackt, gegenüber vier Milliarden im Jahr 2016. Zu
diesem Schluss kommt IBM in seinem kürzlich veröffentlich-
ten X-Force "Threat Intelligence Index 2018". Während die
Anzahl der gehackten Datensätze damit noch immer signifi-
kant war, dominierte 2017 das Phänomen Ransomware, da
Angriffe wie WannaCry, NotPetya und Bad Rabbit versuch-
ten, Chaos über mehrere Branchen hinweg zu stiften. Dane-
ben zeigt der Bericht einen historischen 424-prozentigen An-
stieg bei Hacks im Zusammenhang mit falsch konfigurierter
Cloud-Infrastruktur, hauptsächlich aufgrund menschlicher
Fehler. Auch war die Finanzbranche erneut mit den meisten
erfolgreichen Angriffen Spitzenreiter unter den Angriffszie-
len: 27 Prozent aller Angriffe zielten auf den Bankensektor.
Menschliches Versagen bleibt derweil das schwache Glied
in der Sicherheitskette. Im Jahr 2017 nutzten Cyberkrimi- Ransomware dominierte die IT-Security im letzten Jahr.
nelle weiterhin menschliche Fehler und Irrtümer bei Infra-
strukturkonfigurationen, um Angriffe zu starten. Tatsäch- in Bezug auf kompromittierte Datensätze, die durch Fehl-
lich zeigt der Bericht, dass unbeabsichtigte Aktivitäten wie konfigurationen in Cloudservern exponiert wurden. Neben
eine falsch konfigurierte Cloud-Infrastruktur für 70 Prozent falsch konfigurierten Clouds machten Einzelpersonen, die
der kompromittierten Datensätze verantwortlich waren. über Phishing-Attacken gehackt wurden, ein Drittel der
Auch werden Cyberkriminelle zunehmend auf die Existenz Vorfälle im Thema menschliches Versagen aus, die 2017 zu
von falsch konfigurierten Cloudservern aufmerksam. Eine einem Sicherheitsvorfall führten. (dr)
Folge: 2017 gab es einen sehr starken Anstieg (424 Prozent) IBM: www.ibm.de

Intelligenter Clientverwalter
VMware erweitert "Workspace ONE" um den cloudbasier-
ten Dienst "Workspace ONE Intelligence", der Aggregation
und Korrelation der Nutzer, Anwendungen, Netzwerke
und Daten von Endpunkten miteinander kombiniert. Zu-
dem stellt der Hersteller das "Workspace ONE Trust Net-
work" vor, das die Daten und Analysen von Workspace
ONE mit Sicherheitslösungen vertrauenswürdiger Partner
kombiniert, um vorausschauende und automatisierte Si-
cherheit zu gewährleisten. Und schließlich bringt "Work-
space ONE AirLift" eine neue Windows-10-Co-Manage-
ment-Technologie, die Unternehmen beim
PC-Lifecycle-Management unterstützen soll.
Workspace ONE Intelligence nutzt dabei eine inte-
grierte "Decision Machine", die Handlungsempfehlungen
und automatisierte Prozesse auf Basis vorliegender Da-
ten liefert. So soll die IT-Abteilung Probleme erkennen
und proaktiv beheben können, bevor diese sich auf die
Arbeitsplätze auswirken. Auch steuern Administratoren
mit dieser Technologie Zugriffsrichtlinien über Geräte
und Plattformen hinweg. Für mehr Transparenz im ge-
samten IT-Ökosystem und somit weniger übersehene
Schwachstellen will das Workspace ONE Trust Network
sorgen. Durch Kombination der eigenen Sicherheits-
funktionalitäten mit dem neuen VMware-Security-Part-
nernetzwerk lassen sich Bedrohungsinformationen aus-
tauschen und abgleichen. Workspace ONE AirLift
ermöglicht das Co-Management von Windows 10 neben
Microsoft System Center Configuration Management.
Diese Koexistenz soll für eine schnellere Umstellung auf
Windows 10 mit gleichzeitig weniger Risiken sorgen, in-
dem Aufgaben wie Device Onboarding, Patching, Soft-
wareverteilung und Remote-User-Support migriert wer-
den. Darüber hinaus integriert der Hersteller ein
besseres Management von Mac-Rechnern, Sicherheit für
Office 365 durch Data Loss Prevention und Geräteüber-
wachung sowie mit "Boxer" die Möglichkeit, für Aufga-
ben mehrere Business-Applikationen wie Salesforce, Jira
oder Concur gleichzeitig zu nutzen, ohne die Boxer-E-
Mail-Anwendung zu verlassen. (jp)
VMware: www.vmware.com/de/

8 Mai 2018 www.it-administrator.de


Gerätesichtbarkeit erhöhen
ForeScout Technologies hat Version 8 von ForeScout CounterACT
um diverse neue Funktionen ergänzt. Die erweiterte ForeScout-
Plattform für Gerätesichtbarkeit soll unter anderem eine höhere
Skalierbarkeit, cloudbasierte Erkenntnisse über die Geräte, Bewer-
tung von IoT-Geräten und eine flexible, zentralisierte Lizenzertei-
lung bieten. Dazu zählen industrielle Systeme und Systeme für kri-
tische Infrastrukturen, IPv6-adressierbare Geräte sowie Geräte, die
von Cloudcontrollern wie Cisco Meraki verwaltet werden. Statt ei-
ner Million Geräte kann im neuen Release eine einzige Implemen-
tierung jetzt auf zwei Millionen Geräte skalieren. So sollen die Un-
ternehmen mit dem Gerätewachstum Schritt halten können.
Zugleich können sie laut Hersteller die Nutzung der Stellflächen
und Rechenzentren optimieren, da eine einzige 1U-Appliance mit
umfassendem 10 GBit/s Traffic-Monitoring nun bis zu 20.000 Ge-
räte verwalten kann. Eine neue Option zur virtuellen Bereitstellung
unterstützt neben VMware und Hyper-V auch KVM. Die neue
Funktion zur automatischen IP-Zuweisung schließlich gibt Nut-
zern die Möglichkeit, die Verteilung und Verwaltung der IP-Adres-
sen in einem Multi-Appliance-Cluster zu automatisieren und da-
durch manuelle Verwaltungsaufgaben zu reduzieren. Überarbeitet
hat der Hersteller außerdem seine Flexx-Lizenzierung. (ln)
ForeScout: www.forescout.com
WAN-in-a-Box
Dell EMC stellt mit der "Virtual Edge Platform" (VEP) eine
Werkzeugfamilie für softwaredefinierte Wide Area Networks
(SD-WAN) auf Grundlage des neuen Prozessors Intel Xeon D-
2100 vor. Diese neuen virtualisierten Produkte sollen teure
Zugangshardware, die ausschließlich fest definierte Funktio-
nen bietet, verbessern oder ersetzen. Damit können Organisa-
tionen ihr Network Edge über universelle Teilnehmer-Endge-
räte (universal Customer Premise Equipment, uCPE) mit der
Cloud verbinden.
Dell EMC VEP4600 unterstützt mehrere virtuelle Netzwerk-
funktionen (Virtual Network Functions; VNF) gleichzeitig.
Zahlreiche proprietäre physische Endgeräte sollen sich so in
einem einzigen universellen Teilnehmer-Endgerät konsolidie-
ren lassen, ohne nach Angaben von Dell das für das Hosting
zahlreicher Devices benötigte hohe Leistungsniveau zu verlas-
sen. VEP4600 will mit dem Intel-Xeon-D-2100-Chip, der Intel
QuickAssist-Technologie und dem Data Plane Development
Kit bei der Optimierung von Rechenressourcen und bei der
Effizienzsteigerung der stetig zunehmenden Security Work-
loads helfen.
Damit Unternehmen die Bereitstellung vereinfachen kön-
nen, bietet Dell EMC drei validierte Lösungen für die
VEP4600. Sie stellen schlüsselfertige SD-WAN-Funktionen
mit vorvalidierten und vorintegrierten Konfigurationen zur
Verfügung, die die Infrastruktur und Support-Services von
Dell EMC mit der SD-WAN-Software von Silver Peak Systems,
VeloCloud Networks und Versa Networks kombinieren. (jp)
Dell: www.dell.com/en-us/work/shop/povw/virtual-edge-platform-4600
Link-Codes eingeben auf www.it-administrator.de
News Aktuell
Couchbase gibt mit Couchbase Mobile 2.0 den Startschuss
für die neueste Version seines Werkzeugs zur mobilen Da-
tenverwaltung. Das aktuelle Release bietet Entwicklern un-
ter anderem eine vereinfachte API, Volltextsuche, automati-
sche Konfliktlösung und SQL-Abfragen. Neu ist zudem das
Replikationsprotokoll, das auf WebSocket aufsetzt und da-
mit deutlich schneller sein soll. Einer der Bestandteile,
Couchbase Lite, wurde laut Hersteller vollständig neu ge-
schrieben. Weiterhin soll eine On-device Replica Entwicklern
erlauben, HA/DR an der Edge zu liefern. (ln)
Link-Code: I5A11
Veeam und Pure Storage liefern gemeinsam eine integrierte
Datenmanagement-Plattform. Die Integration des FlashAr-
ray von Pure Storage in die Veeam Availability Platform ist
ab sofort als Storage-Plug-in verfügbar. Die Neuvorstellung
soll die Ausfallsicherheit von Geschäftsprozessen verbessern
und für permanente Datenverfügbarkeit sorgen. Die Integra-
tion basiert auf der neuen Veeam Universal Storage API, mit
der die Speicherintegration in die Veeam Availability Plat-
form laut Anbieter erheblich vereinfacht wird. (ln)
Link-Code: I5A12
AnyDesk geht mit der neuen Version 4 der gleichnamigen
Remote-Desktop-Software an den Start. Das Release bringt
diverse Features sowohl für Windows- als auch für macOS-
Anwender. Neu dabei sind zum Beispiel Sitzungsaufzeich-
nung, integrierte Dateiverwaltung, automatisierte Updates
und erweiterte Unterstützung für Windows Terminal Server.
Um beim Fernzugriff auf unbeaufsichtigte Computer mehr
Sicherheit zu gewährleisten, bietet die neue Version eine
neue Funktion zum automatischen Sperren von Windows-
Sitzungen am Ende des Fernzugriffs. (ln)'
Link-Code: I5A13
A10 Networks erweitert sein Enterprise-Portfolio um das
Secure-Web-Gateway mit SSL-Insight. Mit dem auf der
Thunder-CFW-Plattform verfügbare Angebot sollen sich an-
spruchsvolle SaaS-Workloads leichter skalieren und Compli-
ance-Anforderungen umsetzen lassen. Die Secure Web
Gateway-Lösung mit SSL Insight ermöglicht dabei eine bidi-
rektionale SSL-Sichtbarkeit, indem sie das Offloading des re-
chenintensiven SSL/TLS-verschlüsselten Datenverkehr mit
nahezu doppelt so hohem Durchsatz im Vergleich zu Mitbe-
werbern umsetzen soll. (dr)
Link-Code: I5A14
Mai 2018 9
Aktuell News
Flexibler Pförtner
Der modulare Authentifizierungsserver privacyIDEA ist in
Version 2.22 auf dem Markt. Die aktuelle Version beinhaltet
einige wesentliche Neuerungen: So können Informationen
nun künftig flexibler über das RADIUS-Protokoll an Fire-
walls oder VPNs zurückgeliefert werden. Administratoren
erhalten außerdem die Möglichkeit, spezifische Rückgabe-
werte zu definieren. Darüber hinaus wurden unter anderem
die Unterstützung für proprietäre VASCO-Token, eine Ver-
sandmöglichkeit von SMS-Token über das SMPP-Protokoll,
ein Counter Handler und die Möglichkeit zur Bestimmung
von Tokenarten integriert.
Vor allem die Definition von Rückgabewerten schafft laut
Anbieter mehr Flexibilität für Administratoren. Die Informa-
tionen für die Definition dieser Werte könnten dabei bei-
spielsweise aus Attributen des Benutzers im Active Directory
stammen. Über reguläre Ausdrücke ließen sich diese Attribute
nochmals umformen, bevor sie über das RADIUS-Protokoll
an die Firewall oder das VPN zurückgegeben würden. Solche
personenbezogenen Attribute kämen in VPN-Systemen wie
Cisco ASA oder Citrix Netscaler oft zum Einsatz, um den Be-
nutzern gezielt Zugriff auf bestimmte Subnetze oder Netz-
werkressourcen zu gewähren. privacyIDEA ist ein modularer
Authentifizierungsserver, mit dem sich die Sicherheit beste-
hender Anwendungen wie lokale Logins, VPN, Remote Ac-
LXD 3.0 jetzt clusterfähig
Seit Anfang April ist LXD 3.0 erhältlich, eine vom Ubun-
tu-Distributor Canonical entwickelte Container-Lösung,
die auf den Linux-Containern LXC basiert. Das heraus-
ragende Feature ist die Möglichkeit, LXD im Cluster zu
betreiben, sodass der Verbund nach außen wie ein gro-
ßer LXD-Host erscheint. Dazu verwendet LXD mit dqli-
te eine Kombination aus der Embedded-Datenbank
SQLite und dem Raft-Consensus-Algorithmus. Das Se-
tup des Clusters soll keine besonderen Anstrengungen
erfordern, sondern einfach mit den gewohnten LXD-
Tools machbar sein. Ein neues Tool namens "lxd-p2c" er-
möglicht es, physische Rechner leicht in LXD-Container
umzuwandeln. Neben vielen weiteren kleinen Änderun-
gen, die in der Release-Ankündigung aufgelistet sind,
vereinfacht LXD 3.0 die Verwendung von NVidia-GPUs
in Containern.  Weitere Module befassen sich mit den Amazon-
LXD ist eine auf LXC basierende Lösung, die den Ein-
satz von Containern verspricht, der in seiner Einfachheit
mit der Benutzung virtueller Maschinen vergleichbar ist.
Im Gegensatz zu Ansätzen wie Kata, Clear oder
Hyper.sh kombiniert LXD aber keinen echten Hypervisor
mit Containern, sondern setzt zur Isolation auf die be-
kannten Mechanismen wie AppArmor, User Namespaces
und seccomp. (of)
Linux Containers: https://linuxcontainers.org
10 Mai 2018
Quelle: Netknights GmbH
Wenn eine Authentifizierung mit einem HOTP fehlschlägt,
wird ein Zähler hochgezählt, der für Statistikzwecke
ausgewertet werden kann.
cess, SSH-Verbindungen, Zugriff auf Websites oder Webporta-
le mit Zwei-Faktor-Authentifizierung erhöhen lässt. Ur-
sprünglich wurde privacyIDEA als OTP-Server (One Time
Password) entwickelt und funktioniert mit Authentifizie-
rungsverfahren wie Challenge Response, U2F, Yubikeys, SSH-
Schlüssel und x509-Zertifikate. Die Software ist Linux-basiert
und Open Source unter der AGPLv3-Lizenz. (dr)
privacyIDEA: www.privacyidea.org
Ansible 2.5 veröffentlicht
Version 2.5 der Konfigurationsmanagement-Software
Ansible bietet zahlreiche Neuerungen. Das sind bei-
spielsweise Blacklists für Module, des es ermöglichen,
in einer Firma nur offiziell zugelassene Module zu ver-
wenden und andere zu sperren. Für Windows gibt es
jetzt mehr Möglichkeiten, unterschiedliche Adminis-
trator-Rechte zu bekommen, etwa NT AUTHORITY\
System, NT AUTHORITY\LocalService und NT
AUTHORITY\NetworkService. Die Anwendung von
Ansible auf Cloudumgebungen steht laut der Ankündi-
gung der Version 2.5 weiter stark im Fokus. Dement-
sprechend wurden im neuen Release einige Cloud-
features ausgebaut. So gibt es für die Amazon Cloud
AWS nun ein neues ec2_instance- Modul, welches das
alte ec2-Modul ablöst.
Images AMI, dem Elastic Load Balancer, dem IAM-Ser-
vice und den AWS-Regionen. Auch für Azure gibt es
viele neue Module, die von Microsoft beigesteuert wur-
den. Für die Google Cloud Platform (GCP) bringt An-
sible 2.5 das neue Modul gcp_dns_managed_zone mit,
das von den Google-Tools automatisch generiert wur-
de. Viele neue Module gibt es auch zur Automation von
VMware-Umgebungen. (of)
Ansible: https://www.ansible.com/
www.it-administrator.de

Eingehegte KI
Sie gilt als Zukunftstechnologie mit den größten Möglichkei-
ten, als Motor der Vierten Industriellen Revolution: Künstliche
Intelligenz (kurz KI). Bürger und Entscheider in Deutschland
erkennen das Potenzial, das mit ihr verbunden ist – so glauben
60 Prozent, dass Künstliche Intelligenz Antworten auf eine
Vielzahl drängender Probleme der heutigen Gesellschaft geben
kann, etwa in den Bereichen Gesundheit, Mobilität oder Ener-
gie. Auch 72 Prozent der CEOs, die PwC befragt hat, sind da-
von überzeugt, dass KI der entscheidende Geschäftsvorteil der
Zukunft sein wird. Mehr als die Hälfte (54 Prozent) der Unter-
nehmen, die KI einsetzen, bestätigt, dass die neue Technologie
die Produktivität im eigenen Unternehmen bereits erhöht hat.
Bereits heute wird KI in vielen Bereichen eingesetzt, bei-
spielsweise zur Automatisierung von Prozessen in Unter-
nehmen, zur Diagnostik in der Medizin oder zur Vorhersa-
ge von Kundenverhalten im Einzelhandel. Doch wenn
Unternehmen das volle Potenzial nutzen wollten, müsse laut
PwC ein Umdenken in der gesamten Organisation einset-
zen. KI beschränke sich nicht auf die IT- oder Innovations-
abteilung, sondern erfasse das gesamte Unternehmen. Ent-
scheidend sei, dass Unternehmer vor der Einführung von KI
prüfen, ob die Software transparente Ergebnisse liefert.
Schon in der Entwurfsphase sollten Unternehmen daher
Kontrollen einplanen. Die Steuerung von Künstlicher Intel-
ligenz sei dabei ein kontinuierlicher Prozess. (dr)
PwC: www.pwc.de
Geräuscharme Konferenzen
HP stellt mit dem "Elite Slice G2" sowie einem neuen 55-
Zoll-Bildschirm mit 4K-Auflösung neue Ausrüstung für den
Konferenzraum vor. Das für die Zusammenarbeit konzipier-
te HP Elite Slice kommt mit zahlreichen Funktionen, um das
eMeeting-Erlebnis einfach und schmerzlos zu gestalten. Er-
gänzt wird das neue Angebot optional mit dem "Center of
Room Control", einem 12,3-Zoll-Touchscreen, der die Ver-
waltung von Konferenzanrufen vereinfacht und den "HP
Präsenzsensor" enthält, der erkennt, wenn ein Teilnehmer
den Raum betritt, um das Meeting zu beginnen.
Um sicherzustellen, dass Konferenzteilneh-
mer deutlich zu hören sind, und um den ge-
fürchteten "Ich dachte, ich war stumm geschal-
ten"-Fauxpas zu vermeiden, bietet das Gerät 90
dBa Audio für Klang und Klarheit, ein Fern-
feldmikrofon, das Geräusche aus bis zu fünf
Metern Entfernung aufnehmen kann, HP Noise
Cancellation, um ungewollte Gespräche und
Geräusche im Raum zu vermeiden.
HP Elite Slice bietet zur Administration eine
standardbasierte Benutzeroberfläche, das "HP
Manageability Integration Kit", und eine werkzeuglose Ein-
richtung. Da Konferenzgeräte in der Regel für mehrere Be-
nutzer freigegeben und oft für lange Zeit unbeaufsichtigt
Link-Codes eingeben auf www.it-administrator.de
News Aktuell
In der Falle
Palo Alto Networks liefert mit Version 5.0 seines Endpunkt-
schutzes "Traps" einen via Cloud bereitgestellten Manage-
ment-Service, Linux-Unterstützung sowie eine neu gestalte-
te Infrastruktur. So soll sich das Schutzwerkzeug nunmehr
einfacher nutzen und verwalten lassen und gleichzeitig er-
lauben, die Durchsetzung der erforderlichen Maßnahmen
mit der Cloud- und Netzwerksicherheit zu koordinieren,
um erfolgreiche Cyberangriffe zu verhindern. Im Detail
umfassen die Neuerungen neben dem erwähnten, via
Cloud bereitgestellten Management-Service für einfachere
Bereitstellung und tägliche Verwaltung eine neu gestaltete
Benutzeroberfläche für eine intuitivere Nutzung. Neu ist
auch die Unterstützung für Linux.
Zusätzlich sollen periodische Scans "schlafende" Malware
auf Endpunkten und angeschlossenen Wechseldatenträgern
finden. So gefundene infizierte Dateien lassen sich automa-
tisch in Quarantäne stellen, um sicherzustellen, dass sie
nicht in Umlauf gebracht werden. Abgerundet wird Traps
5.0 mit einer Integration mit dem Logging Service von Palo
Alto Networks. Dies ermöglicht die Erfassung detaillierter
Ereignisinformationen für eine bessere Analyse von End-
punkt-, Netzwerk- und Clouddaten. Das Werkzeug zum
Endpunktschutz schlägt bei Abnahme von 1000 Lizenzen
mit etwa 65 US-Dollar je Nutzer zu Buche. (jp)
Palo Alto Networks: www.paloaltonetworks.de/resources/datasheets/
endpoint-protection
sind, sorgt "HP Sure Start" mit Dynamic Protection für Si-
cherheit, indem es mit einem selbst-regenerierenden BIOS
und manipulationssicheren Anschlussabdeckungen ausge-
stattet ist. Ergänzt wird der neue Besprechungsraum von
dem "HP LD5512 4k Large Format Display", der die Zusam-
menarbeit von zu bis vier Nutzern optimiert abbildet. HP
Elite Slice G2 ist für etwa 800 Euro verfügbar, der ergänzen-
de UHD-Bildschirm liegt bei ungefähr 1000 Euro. (jp)
Hewlett Packard: www.hp.com
HP Elite Slice für Konferenzräume sorgt nicht zuletzt durch einen
namhaften Lautsprecherlieferanten für Videokonferenzen ohne
störende Hintergrundgeräusche.
Mai 2018 11
IBM Think 2018, 18. bis 22. März, Las Vegas
Gemeinsam gedacht
von Torben Volkmann
Erstmalig hat IBM keine einzelnen Events mehr für verschiedene Bereiche oder Zielgruppen,
sondern veranstaltet ab 2018 nur noch die "Think". Dabei standen Collaboration, künstliche
Intelligenz, Blockchain, Internet of Things oder Quanten-Computing auf der Agenda.
Der Andrang war entsprechend groß.
ass dieses Event nicht nur die Zu-
D kunft der IBM-Hausmessen, son-
dern auch die technologische Zukunft
darstellt, daran ließ gleich am ersten Tag
der "IBM Science Slam" keinen Zweifel.
Fünf IBM Wissenschaftler hatten jeweils
fünf Minuten Zeit, ihre Forschung und
deren Stand vorzustellen. Dabei handelte
es sich nicht um fertige Produkte, viel-
mehr referierten die Experten zu konkre-
ten gesellschaftlichen und technischen
Problemen. Dazu gehörte zum Beispiel
die Herausforderung beim Anlernen
künstlicher Intelligenzen.
Ein weiteres Thema war die Verknüpfung
von hergestellten Produkten mit der Block-
chain-Technologie zur Bekämpfung von
Produktpiraterie. Und wer hätte gedacht,
dass Plankton ein Gradmesser für die Ge-
sundheit der Meere ist und dass die größte
Herausforderung darin besteht, dieses le-
bend zu beobachten und zu erforschen?
Etwas, das bis heute noch nicht möglich
ist. Auch mit diesem Gebiet beschäftigen
sich die IBM-Forscher. Genauso wie mit
der Technik des Quanten-Computing und
dessen Auswirkung auf die Kryptografie.
12 Mai 2018
Dies sind Themen, die IBM und seine For-
scher auch in der nahen und fernen Zu-
kunft weiter begleiten wollen.
Wissen wächst exponentiell
mit der Hilfe von IBM Watson
Der zweite Tag stand ganz im Zeichen
der Keynotes: Den Auftakt machte IBM-
Chefin Ginni Rometty. Sie stellte vor, wie
IBM seine Forschung in die tägliche Ar-
beit integrieren möchte. Bis heute ist die
IT von zwei Gesetzen geprägt: Moors Law
des exponentiellen Rechenleistungszu-
wachs sowie Metcalfs Law des exponen-
tiellen Netzwerkwachstums. Ginge es
nach IBM, würde nun auch "Watsons
Law" hinzukommen. Denn laut dem Ge-
setz erfährt auch das Lernen von nun an
exponentielles Wachstum. Das Ganze soll
natürlich mit Hilfe von IBM Watson pas-
sieren. Hierbei handelt es sich um die ei-
gene künstliche Intelligenz, die sowohl
über APIs als Webdienst angesprochen
werden kann als auch in einzelne Pro-
dukte direkt integriert wurde.
Das neueste und prominenteste Mitglied
in dieser Familie ist nunmehr Apple. Mit-
hilfe von "Watson Services for Core Ma-
chine Learning" und "Cloud Developer
Console for Apple" sollen iOS-Entwickler
eine einfache Möglichkeit haben, auf die
Funktionen von IBM Watson zuzugreifen.
Den Anfang macht dabei die Paradedis-
ziplin der KI: die Bilderkennung. Damit
hat IBM eine weitere vielversprechende
Kooperation geschlossen. Überhaupt
scheint der Hersteller mit Partnern und
Kunden bei Watson aktuell gut aufgestellt
zu sein: Salesforce, Volkswagen, Ticket-
master und Lenovo gehören hier zu den
Partnern oder Kunden.
Die Bedeutung von Watson für IBM
sollte klar sein. Damit aber die Einstiegs-
hürde gesenkt wird, nämlich das Anler-
nen der KI, wurde mit "IBM Watson
Studio" eine Suite vorgestellt, mit der
die Klassifizierung und Kontrolle von
Daten zum Anlernen deutlich verein-
facht werden soll und die ohne eine
Programmiersprache oder -erfahrung
auskommt. Damit IBM Watson noch
leistungsfähiger in die Zukunft gehen
kann, wurde auch gleich der hauseigene
Chip POWER9 präsentiert, der zusam-
www.it-administrator.de
 BUNDESWEITE IT-SEMINARE

men mit Nvidia GPUs das Machine Learning um den Faktor

vier beschleunigen soll.

Ein weiteres Highlight der ersten Keynote war das Joint Ven-
ture zwischen IBM und Maersk. Zusammen wollen sie Dienst-
leistungen für den Handel und den Transport via Blockchain
anbieten. Insbesondere der Transport per Schifffahrt über
Landesgrenzen hinweg soll durch den Einsatz der Technologie
mehr Transparenz gewinnen und so Zollformalitäten deutlich
S EM I N AR E
vereinfachen.

Für diejenigen, für die künstliche Intelligenz und Blockchain

schon alte Hüte sind, wurde mit "IBM Q" ein Quantencomputer Von Adobe bis VMware, von
vorgestellt. Zweifelsfrei die Zukunft der Computer. Er arbeitet
fundamental anders als bisherige Rechner. Das beginnt schon
Basiswissen bis Highend
beim aufwändigen Betrieb, da der Kern vor sämtlichen äußeren
Einflüssen geschützt werden muss. Dieser Umstand ist der zu Wir bieten ein umfangreiches Seminarangebot aus
Grunde liegenden Quantenmechanik mit ihren physikalischen
Abhängigkeiten geschuldet. Damit jeder diese Architektur nut- • offenen Seminaren
zen kann, wird IBM Q als Webdienst angeboten. So kann sich • Firmenschulungen
jeder Interessierte mit Quanten-Computing und den Problemen, • Einzelcoaching
die damit gelöst werden sollen, beschäftigen. • Floorwalking
Neuigkeiten in in Hamburg, Hannover und über 20 weiteren
der Collaboration-Welt

  
Auch die bisherige IBM Connect zur Collaboration ist Teil der
IBM Think, sodass auch einige Neuigkeiten aus dieser Produkt-
 
 
familie gezeigt wurden. Da IBM die Entwicklung des Domino-
Applikationsservers an den Dienstleister HCL abgegeben hat, SEMINARE MIT DURCHFÜHRUNGSGARANTIE
wurden neben Roadmaps auch einige interessante Demos ge- FINDEN SIE AUF UNSERER WEBSEITE:
zeigt. Ein Highlight dabei: IBM-Domino-Applikationen auf ei-
nem iPad, ohne dass die Programmierung angepasst wurde. WWW.SYMPLASSON.DE/SEMINARE
Eine Option, die viele IBM-Domino-Kunden interessieren wird.

! 
Leider gab es noch keine Informationen darüber, wie in diesem
um unser umfangreiches
Zusammenhang mit den Limitierungen umgegangen wird, die
Apple für Programme unter iOS vorschreibt. Darüber hinaus
"#
$
wurde für den "IBM Watson Workspace Enterprise"-Messaging-
Dienst die Integration von Zoom-Videokonferenzen vorgestellt. Tel: 040 533071-80
Mail:%&#
 
Fazit
Neben all den Neuerungen fanden sich allerdings auch Kontraste
zur schönen neuen Welt. So setzten sich sowohl ein Mitarbeiter
der KPMG als auch einige Workshops kritisch mit dem Thema
Künstliche Intelligenz sowie ihren Gefahren und Folgen aus-
einander. Konkrete Antworten oder Lösungen konnten die Do- Wir machen IT SYMPATHISCH!
zenten zwar nicht liefern, waren sich aber unisono einig, dass
die künstliche Intelligenz unaufhaltsam auf dem Vormarsch ist. • IT-Service • Seminare
• Rechenzentrum *
Und auch aus organisatorischer Sicht gab es Kritik: Der Ver-
anstaltungsort war dem Besucherandrang nicht gewachsen. SYMPLASSON '(

"!)
Teilweise bewegte sich minutenlang nichts auf den Fluren und &#
 
die Besucher standen dicht an dicht gedrängt. Aber für dieses
Problem hat IBM schon die Lösung bekannt gegeben: Die nächs-
te IBM Think wird vom 12. bis 15. Februar 2019 im Moscone
Center in San Francisco stattfinden. (jp)

www.it-administrator.de
 Trainings, Intensiv-

Unsere Veranstaltungen 2018

Komplexe Aufgaben
Im neuen Intensiv-Seminar "Aufbau einer PKI unter Windows" ziehen die Teilnehmer in drei Tagen
eine PKI-Infrastruktur von Grund auf hoch. Durch Übungen am Rechner wird dabei der komplexe
Aufbau nachvollziehbar. Nicht immer einfach gestaltet sich auch das Drucken in
Windows-Netzwerken. In unserem zugehörigen Training im Herbst beleuchten wir
die größten Stolperfallen und geben Tipps. Nur noch wenige Plätze gibt es
derweil im Intensiv-Seminar "PowerShell für Admins" mit Thomas Wiefel.

Quelle: rawpixel – 123RF

Training IT-Notfallplanung für KMUs Link-Code: TIWI1

- Besondere Bedeutung der IT-Notfallplanung für KMUs
- Mögliche Optionen und Wahl des passenden Weges.
- Beispiele für Vorgehensweisen: Praxisorientiert oder normgerecht
- Die altmodische Methode mit Word und Excel
- Die Zwischenlösung: Berater als externe Unterstützung
- Die sichere Alternative über einen softwaregestützten Ansatz
- Herausforderungen bei der Umsetzung einer IT-Notfallplanung
- Einführung der IT-Notfallplanung und nachfolgende Schritte
- Mehrwerte einer IT-Notfallplanung bei der täglichen Arbeit und
darüber hinaus
Termin & Ort
17. Mai: Darmstadt
21. Juni: Dortmund
Das Training findet von 10 bis etwa 17 Uhr statt.
Teilnahmegebühren
Abonnenten 238 Euro*
Nicht-Abonnenten 299 Euro*
Dozent / Fachliche Leitung
Jörg Kretzschmar ist Senior Consultant
und Mitbegründer der CONTECHNET Ltd.
Sein Schwerpunkt liegt im Aufsetzen und
der Einführung einer IT-Notfallplanung in
Unternehmen und Behörden. Mit über
20 Jahren Berufserfahrung im IT-Security-
Segment hat Jörg Kretzschmar mittler-
weile an der Umsetzung von mehr als
200 Projekten mitgewirkt.

14 Mai 2018 www.it-administrator.de

Seminare und Workshops
Intensiv-Seminar Aufbau einer PKI unter Windows Link-Code: TIWI3
- Grundsätzliche PKI-Alternativen & -Voraussetzungen Termin & Ort
- Richtlinien und PKI (Zertifikatrichtlinie, Sicherheitsrichtlinie, Zertifikats- 3. bis 5. Juli: Hamburg
verwendungserklärung) 19. bis 21. September: München
- Entwurf einer Zertifizierungsstellenhierarchie Das Intensivseminar beginnt am ersten Tag um 10 Uhr und endet am 3.
- Organisation der ausstellenden Zertifizierungsstellen Tag gegen 16 Uhr.
- Auswahl einer Architektur
Teilnahmegebühren
- Identifikation PKI-fähiger Anwendungen
Abonnenten 1490 Euro*
- Bestimmung von Anforderungen (Sicherheit, Technik, Betrieb, Externe, Nicht-Abonnenten 1670 Euro*
Active Directory)
- Grundlagen PKI Dozent / Fachliche Leitung
Michael Buth gründete Mitte der 90er-
- PKI-fähige Anwendungen (Code-Signing, Bereitstellung von Smart-
cards, sichere E-Mail et cetera) Jahre die Firma EDV-System Service Buth.
Seit 1997 ist er zugleich freiberuflicher
- Wifi mit 802.1x Authentifizierung
Dozent und IT-Trainer. Sein Fokus liegt auf
- Windows Enterprise Zertifikatsdienste nutzen PKI, Security und Netzwerkmanagement.

Training Drucker in Windows-Netzen Link-Code: TIW06

Windows-Druckserver verwalten Termin & Ort
- Technischer Hintergrund 18. September: Hamburg
- Windows-Druckarchitektur 23. Oktober: Dietzenbach bei Frankfurt
- Einrichten von Druckservern Das Training findet von 10 bis etwa 17 Uhr statt.
- Typische Aufgaben und Administration Teilnahmegebühren
- Verwaltung und Konfiguration Abonnenten 238 Euro*
- Weitere Funktionen Nicht-Abonnenten 299 Euro*
Dozent / Fachliche Leitung
Nicolay Schöttler ist gelernter Fachinfor-
Best Practices & Troubleshooting
matiker und hat Wirtschaftsinformatik an
- Best Practices für Druckserver
der Universität Siegen studiert. Er arbeitet
- Drucken über WAN-Strecken
seit 2014 beim K-iS Systemhaus als Sys-
- Drucken im Terminalserver-Umfeld tem Engineer, steadyPRINT-Consultant
- Bekannte Probleme & Troubleshooting und Trainer.

Intensiv-Seminar PowerShell für Admins Link-Code: TIWI2

- Einführung und Basiswissen Termin & Ort
- Architektur der PowerShell und Versionsunterschiede 6. bis 8. Juni: Hamburg
- Cmdlets, Cmdlet-Parameter und Hilfefunktionen 27. bis 29. Juni: Garching bei München
- Objekt-Pipeline und Ausgabefunktionen Beginn am ersten Tag um 10 Uhr, Ende am dritten Tag gegen 16 Uhr.
- Navigationsmodell (PowerShell-Provider) Teilnahmegebühren
- Scripting Abonnenten 1090 Euro*
- PowerShell Language (PSL): Variablen und Kontrollstrukturen
Nicht-Abonnenten 1270 Euro*
- Objektorientiertes Programmieren mit Klassen (ab PowerShell 5.0)
- Sicherheitsfunktionen (Execution Policy) Dozent / Fachliche Leitung
- Vordefinierte Variablen, Fehlerbehandlung und Fehlersuche Thomas Wiefel ist seit 20 Jahren Experte
*alle Preise inkl. 19% MwSt

für die Automatisierung von Client- und

- Scripting mit PowerShell Integrated Scripting Environment (ISE)
Serversystemen. Er ist dabei im Team von
- Aufbauwissen
IT-Visions zuständig für die Themen Power-
- Fernaufruf/Fernadministration mit WS-Management (Remoting)
Shell, AutoIT, Scripting, Active-Directory-
- Serververwaltung Active Directory und Automatisierung von Azure Automatisierung sowie Docker.

Mehr Informationen zu allen Trainings unter www.it-administrator.de/trainings Mai 2018 15

Chef Automate
Seite an Seite
von Martin Loschwitz
Umfassende Lösungen für das Lifecycle-Management von Servern boomen seit Jahren.
Chef Automate geht als Konkurrent von Werkzeugen wie Ansible Tower oder Puppet Enterprise
ins Rennen. Hält die Software, was der Hersteller verspricht?
or 15 Jahren war es üblich, Syste-
V me händisch zu verwalten, und
zwar auch dann, wenn es sehr viele waren.
Automation war kein umfassendes Kon-
zept, sondern höchstens der Tatsache ge-
schuldet, dass die Admins dieser Welt
nicht immer und immer wieder dieselben
Aufgaben händisch erledigen wollten. Oft
waren abenteuerliche Shellskript-Kon-
struktionen das Mittel der Wahl.
Bald traten die Automatisierer auf den
Plan: Im Fahrwasser von DevOps war es
nicht zuletzt Puppet, das den Shellskript-
Wildwuchs in Form einer definierten
Syntax eindämmte und häufig verwendete
Funktionen zentral in vereinheitlichter
Form anbot. Und der Bedarf wird größer:
Cloud Computing, das sich gerade auch
vom Hype zum Gamechanger in der IT
wandelt, sorgt dafür, dass Setups immer
größer werden. Wo Admins früher viele
kleine Setups verwalteten, haben sie es
plötzlich mit riesigen Umgebungen zu
tun, die ohne Automation gar nicht mehr
sinnvoll zu betreuen sind. Automation
und DevOps profitieren gegenseitig von-
einander: Große Setups mit hohem Au-
tomationsgrad ermöglichen neue Ge-
schäftsmodelle, die wiederum rasantes
Wachstum mit sich bringen und die Set-
ups so noch größer werden lassen.
16 Mai 2018
Ein Füllhorn von Lösungen
Zwar ist Puppet in Europa bis heute der
Platzhirsch in Sachen Automation und
Ansible reklamiert für sich, eine junge,
unkomplizierte und äußerst flexible Al-
ternative zum scheinbar etwas schwerfäl-
ligen Puppenspiel zu sein. Das ändert aber
nichts daran, dass auch Chef als Dritter
im Bunde eine große Fangemeinde hat
und kommerziell relevant ist. Der gleich-
namige Hersteller wirbt mit seinem Pro-
dukt Chef Automate um Kunden und hat
dieses in den vergangenen Monaten um
diverse interessante Funktionen erweitert.
Etwas seltsam mutet die Tatsache an, dass
sich im Gegensatz zu Ansible Tower oder
Puppet Enterprise bei Chef Automate nicht
sofort erschließt, worum es bei dem Pro-
dukt eigentlich geht oder aus welchen
Komponenten es besteht. Dabei ist Chef
gar nicht großartig anders als andere Au-
tomatisierer – der Anspruch des Herstellers
ist es, seinen Kunden ein Werkzeug an die
Hand zu geben, mit dem sie sowohl ihre
physischen Systeme verwalten als auch
fremde oder selbst entwickelte Software
auf ihnen ausrollen können. Chef ist also
auf der einen Seite ein klassischer Auto-
matisierer; andererseits wildert es im Me-
tier der Lösungen für Continuous Integra-
tion und Continuous Delivery.
Quelle: callipso – 123RF
Chef Automate selbst ist ein recht junges
Produkt, doch der Hersteller hat das Rad
für dieses Produkt nicht neu erfunden:
Unter der Haube ist Automate eine Kom-
bination aus drei existierenden Werkzeu-
gen, nämlich Chef als Automatisierer für
Infrastruktur, Habitat als Software-Auto-
matisierer und InSpec für das automati-
sche Überwachen von Compliance. Zu-
sammen hält dieses Konstrukt eine Art
Chef Automate
Produkt
Automationslösung für Systeme und Applika-
tionen mit integrierter Compliance-Kontrolle.
Hersteller
Chef
www.chef.io
Preis
Pro Server 137 US-Dollar.
Systemvoraussetzungen
Unterstützte Plattformen für den Chef-Server:
CentOS 6/7, Oracle Enterprise Linux 6/7, Red
Hat Enterprise Linux 6/7, SUSE Linux Enter-
prise Server 11 SP4, 12 SP1, Ubuntu 14.04,
16.04
64-Bit-Rechner, mindestens vier Cores, 8
GByte RAM, 18 GByte Festplattenspeicher
Technische Daten
www.it-administrator.de/downloads/
datenblaetter
www.it-administrator.de

Bild 1: Das Chef-Automate-Webinterface zeigt Informationen zu einzelnen Knoten
wie die dort aktiven Chef-Cookbooks an.
Klammer, die aus einer grafischen Ober-
fläche und diversen Programmen besteht,
die dafür sorgen, dass die verschiedenen
Tools nahtlos ineinandergreifen. Nicht
unerwähnt bleiben darf der selbst pro-
klamierte Anspruch der nahtlosen Ska-
lierbarkeit: Laut Hersteller ist es völlig
egal, ob man mit Chef Automate fünf
oder 5000 Server verwaltet – die Funk-
tionalität ist in beiden Fällen dieselbe.
Alter Bekannter: Chef
Der Automatisierer Chef ist das Produkt,
das Chef als Firma erst groß gemacht hat
und ihr so die Möglichkeit verschaffte,
Chef Automate auf den Markt zu bringen.
Entsprechend ist Chef ein Kernbestandteil
von Automate: In der Lösung kümmert
es sich um die Konfiguration von Syste-
men und darum, auf den Systemen be-
stimmte Programme auszurollen.
Unter der Haube basiert Chef auf Ruby
und Erlang. Wie Puppet setzt Chef auf
eine domain-spezifische deklarative Spra-
che für die eigene Syntax. Dabei orientiert
es sich, anders als etwa Ansible, vorrangig
am State, also am Zielzustand, den ein
System nach der Bearbeitung durch Chef
haben soll. Der Admin verfasst zu diesem
Zweck Recipes ("Rezepte"), die sich zur
einfacheren Handhabung zu Cookbooks
("Kochbücher") kombinieren lassen. Diese
wiederum unterstützen Parameter, die
für einzelne Hosts die Konfiguration fest-
legen. Der Admin weist schließlich ein-
www.it-administrator.de
zelne Cookbooks spezifischen Hosts zu
und weist Chef an, diese Konfiguration
auszurollen (Bild 1).
Das Chef-Design folgt dem Server-Client-
Prinzip: Einerseits existiert der zentrale
Chef-Server, der den gewünschten Zu-
stand aller Knoten inklusive der dort aus-
zurollenden Software kennt. Andererseits
läuft auf diesen Servern der Chef-Client,
der seine Cookbooks vom Server erhält
und dann die darin für den Host ver-
zeichneten Veränderungen lokal umsetzt.
Das erklärte Chef-Ziel ist "IAC", also In-
frastructure as Code: Der Admin definiert
den gewünschten Zielzustand seiner IT-
Infrastruktur in der zu Chef gehörenden
deklarativen Sprache und kann die dafür
benötigten Recipes sowie Cookbooks et-
wa auch in einem Git-Verzeichnis verwal-
ten. Jederzeit lassen sich dann Systeme
auf Basis dieses Git-Ordners auf Knopf-
druck reproduzieren. Alle Aufgaben, die
zwischen dem installierten Betriebssystem
und der gewünschten Funktionalität der
Maschine stehen, erledigt Chef. Das führ-
te im Test erwartungsgemäß zu keinen
Problemen: Chef existiert von allen Au-
tomate-Komponenten am längsten und
ist entsprechend erprobt – als Admin er-
halten Sie also ein solides Stück Software.
Mittlerweile funktioniert Chef übrigens auf
einer Vielzahl verschiedener Systeme, dazu
gehören alle gängigen Enterprise-Distri-
Chef Automate Te s t s
butionen für Linux ebenso wie FreeBSD,
macOS oder Windows. Und auch für die
Cloud hat Chef etwas in petto: Ressourcen
in AWS oder Azure verwaltet Chef mitt-
lerweile ebenfalls nativ, und auf Wunsch
legt es dort sogar neue solche an.
Habitat für Applikationen
Neben Chef selbst gehört auch Habitat
zu Chef Automate. Wie Chef ist Habitat
ein Werkzeug zur Automation, allerdings
betrachtet es das Thema aus einer ande-
ren Sicht als Chef, nämlich aus der Sicht
der Applikation. Der Anwendungsent-
wickler muss sich immer noch Gedanken
darüber machen, wie sein Werk möglichst
sinnvoll den Weg auf die Zielsysteme fin-
det. Meist führt das dazu, dass Entwickler
RPM- oder DEB-Pakete ihrer Produkte
anbieten und entsprechende Konfigura-
tionstemplates beilegen. Diese Art, eine
Applikation zu verteilen, ist allerdings
schwerfällig und schwierig zu warten.
Hier betritt Habitat die Bühne: Am besten
lässt sich das Programm als eine Mi-
schung aus Konfigurationsmanagement
und Paketmanagement beschreiben. Ha-
bitat muss Teil einer Umgebung für Con-
tinuous Integration und Continuous De-
livery sein; es richtet sich vorrangig an
"Cloud Ready"-Applikationen, also an sol-
che Werkzeuge, die möglichst fein in Mi-
croservices aufgeteilt sind. Die Idee: Die
verschiedenen Entwickler arbeiten ge-
meinsam an einer Applikation und zu je-
dem Zeitpunkt baut Habitat aus den
Quellen der Applikation verteilbare Ver-
sionen des Programms, die sich auf be-
liebigen Systemen ausrollen und auch
steuern lassen. Dieses Ausrollen über-
nimmt Habitat gleich selbst; es versteht
sich auf den Umgang mit öffentlichen
Cloudumgebungen ebenso wie mit Do-
cker, Kubernetes oder Mesosphere.
Ändert ein Entwickler den Quelltext einer
Applikation und lädt diese in das zentrale
Quelltextverzeichnis hoch, wird Habitat
aktiv: Automatisch erstellt das Tool neue
Abbilddateien der jeweiligen Komponen-
te. Hat der Admin Habitat zuvor ange-
wiesen, die Applikation tatsächlich auf
einem Zielsystem auszurollen, spielen die
Habitat Supervisors im Anschluss eine
entscheidende Rolle: Sie sorgen dafür,
Mai 2018 17
 Te s t s Chef Automate
Bild 2: Das Webinterface enthält Details zu den einzelnen Knoten des Setups und
zeigt etwa auch an, welche Cookbooks auf einem Knoten aktiv sind.
dass die jeweiligen Applikationen in Con-
tainerform so laufen, wie der Admin es
per Konfiguration festgelegt hat. Der Lö-
sung erwächst dabei zum Vorteil, dass sie
beim Bauen der Container auch gleich
die benötigte Konfiguration in diese packt
– der Admin muss sich also nach dem
Ausrollen der Container nicht mehr da-
rum kümmern, dass das Programm noch
die passende Konfiguration bekommt.
Habitat nimmt für sich also in Anspruch,
den Dreischritt aus "Build, Deploy, Ma-
nage" komplett abzubilden. Praktisch steht
die Lösung damit in Konkurrenz zu Pro-
dukten wie OpenShift von Red Hat, das
ebenfalls CI/CD für Cloud-Apps sowie
deren umfassendes Management bietet.
Wobei Habitat freilich den Vorteil hat, in
Chef Automate komplett integriert zu
sein. Containerisierte Applikationen las-
sen sich dadurch letztlich unter derselben
GUI-Oberfläche verwalten wie die phy-
sischen Hosts.
Im Test machte Habitat einen guten Ein-
druck: Wer ohnehin auf der Suche nach
einer Lösung für CI/CD ist, findet in Ha-
bitat ein funktionierendes Werkzeug für
eben diese Aufgabe. Ein großer Habitat-
Vorteil ist zweifellos, dass sich die Lösung
unmittelbar nach ihrer Installation nutzen
lässt. Vergleichbare Umgebungen auf Ba-
sis von Git, Jenkins & Co. sind in der Pra-
xis ebenfalls verbreitet, sie bedingen aber
viel Konfigurations- und Zusatzarbeit.
18 Mai 2018
Compliance durch InSpec
Es dürfte auf diesem Planeten nur wenige
Systemadministratoren geben, die mit
dem Thema Compliance nicht schon in
irgendeiner Weise zu tun gehabt hätten.
Klassischerweise taucht das Thema etwa
im Rahmen einer Zertifizierung des ei-
genen Rechenzentrums auf. Im Netz fin-
den sich etliche Anleitungen und Ratge-
ber, die Vorschläge für eine umfassende
Compliance-Regelung enthalten. Und
praktisch jedes Zertifikat, das man für
die eigene Infrastruktur erlangen möchte,
kommt mit einem oft riesigen Katalog
eigener Compliance-Anforderungen da-
her. Hinunter bis auf die Ebene von ein-
zelnen Dateien auf Servern ist dann fest-
gelegt, was Sache sein soll, damit ein
System als "konform" gilt. Für den Admin
stellt sich freilich die Frage, wie er in ei-
nem Setup von tausenden Servern sicher-
stellt, dass die festgelegten Regeln auf den
einzelnen Systemen auch tatschlich ein-
gehalten werden. An dieser Stelle kommt
InSpec ins Spiel.
Ein deutsches Produkt
InSpec gehört noch nicht allzu lange zu
Chef: Das Unternehmen erwarb InSpec
im Jahr 2015 im Paket mit dessen deut-
schen Hersteller Vulcano Security. In-
Spec ist eine Art Framework, das aus
mehreren Teilen besteht. Der Kern der
Lösung ist eine Test-Engine, die vorde-
finierte Tests auf einem System ausführt
und entsprechende Rückmeldung liefert.
Ein solcher Test könnte etwa sein, ob in
der Datei "/etc/ssh/sshd_ config" eine
bestimmte Zeile vorkommt, die dort
nicht vorkommen soll. Ist das der Fall,
schlägt InSpec Alarm, andernfalls erklärt
es den Test für "bestanden".
Das alleine ist freilich nicht der Reiz, der
von InSpec ausgeht, denn eine solche
Funktionalität ließe sich auch mit Shell-
skripten nachbauen. Wirklich praktisch
an dem Werkzeug ist, dass es einerseits
eine "domain-specific language" (DSL),
also eine deklarative Skriptsprache, bietet,
in der Sie als Admin die Tests verfassen
können. Darüber hinaus kommt InSpec
ab Werk mit verschiedenen Funktionen,
so genannten Ressourcen, die das Um-
setzen vieler Tests signifikant erleichtern.
So existiert etwa eine "sshd_config"- Res-
source, die den Inhalt von "/etc/ssh/
sshd_config" automatisch auswertet, so-
dass der Admin in einem InSpec-Test
über die InSpec-DSL direkt spezifische
Parameter abfragen kann.
In Summe stehen Dutzende solcher Res-
sourcen bereit. Andere prominente Bei-
spiele sind Ressourcen für das Auswerten
der Apache-Konfiguration ("apache_
conf ") oder für das Prüfen von MySQL
("mysql_session"). Wer Dienste auf AWS
oder Azure nutzt, findet in InSpec sogar
Ressourcen, um diese auf ihre Compli-
ance hin zu überprüfen, etwa die AWS
Security Groups, die im Wesentlichen Pa-
ketfiltern entsprechen.
Stark allein und stark im Team
Wie Chef und Habitat ist auch InSpec ein
Werkzeug, das unabhängig von Chef Au-
tomate genutzt werden kann und das un-
ter einer freien Lizenz steht. Der Vorteil,
das Produkt im Verbund mit den anderen
Tools von Chef Automate zu verwenden,
besteht darin, dass es mit ihnen dann
nahtlos integriert ist: Rollen Sie als Admin
Änderungen der Systemkonfiguration
aus, können Sie per Chef-Automate-
Frontend anschließend durch InSpec au-
tomatisch und regelmäßig prüfen, ob die
Änderungen auf den Servern nach wie
vor aktiv sind. Rollt ein Entwickler per
Habitat neue Software aus, kann auch er
direkt aus dem Workflow heraus auf In-
Spec zugreifen und Compliance-Tests
www.it-administrator.de
 Chef Automate Te s t s

Lösung und als "nukleare Option", wenn

es um das Erzwingen von Compliance auf
den eigenen Systemen ging. Wer sich um
die Einhaltung von Compliance-Regeln
kümmern muss, schläft dank InSpec besser.
Übrigens: Auch wenn Sie Chef Automate
nicht "am Stück" bei sich ausrollen möch-
ten, lohnt es sich vermutlich, einen genaue-
ren Blick auf das Tool zu werfen. Die
Open-Source-Variante lässt sich problemlos
auch ohne die restlichen Chef-Tools aus-
rollen. Erleichternd kommen zudem die
bereits erwähnten Checks und Richtlinien
hinzu, die im Netz bereits existieren und
die sich prima in InSpec umsetzen lassen,
falls nicht ohnehin schon entsprechende
Templates im Netz existieren.

Bild 3: InSpec ist ausgesprochen praktisch: Auf der Basis von Tests in festgelegter Der Kleber,
Syntax überprüft es den Compliance-Zustand eines Systems. der alles zusammenhält
Chef, Habitat und InSpec sind allesamt
durchführen. Dazu genügt es, im Auto- Im Test machte InSpec jedenfalls eine aus- Open-Source-Anwendungen, die sich
mate-Frontend dem Host oder der Ap- gezeichnete Figur: Diverse Aufgaben hin- auch einzeln verwenden lassen. Chef Au-
plikation ein "Audit"-Cookbook zu ver- sichtlich seiner Funktionalität absolvierte tomate ist der Kleber, der Chef, Habitat
passen. Es ist hinterher in den Workflow das Werkzeug mit Bravour (Bild 3). Kein sowie InSpec zusammenhält. Der Anbie-
der Host-Verwaltung und des Baus der Wunder: Schon vor seiner Aufnahme in ter garniert das mit einem Webinterface,
Applikation nahtlos integriert. Chef Automate galt InSpec als mächtige über das sich alle zentralen Parameter

»Know your enemy

and know yourself.« – Sun Tzu
Nur wenn Sie verstehen, wie ein Angreifer denkt, können
Sie Ihre Systeme auch wirklich schützen. Dieses Buch ist der
Schlüssel dazu.
Die Security-Profis rund um Bestseller-Autor Michael Kofler
vermitteln Ihnen auf über 1.000 Seiten das ganze Know-how,
um Ihre Infrastrukturen wirksam abzusichern.

1.064 Seiten, gebunden, 49,90 Euro

ISBN 978-3-8362-4548-7

Auch als E-Book und im Bundle erhältlich.

www.rheinwerk-verlag.de/4382
 Te s t s Chef Automate
konfigurieren lassen und über das sich
etwa auch der Zustand physischer Syste-
me herausfinden lässt.
Hinzu kommen viele Funktionen, die das
Management von Chef Automate selbst
für den Admin erleichtern sollen: Es ist
etwa möglich, einen zweiten Chef-Auto-
mate-Server aufzusetzen, der als Hot-
Standby und Replikationspartner für den
ersten Server dient. Gibt der erste Auto-
mate-Server den Geist auf, übernimmt
der verbliebene die benötigten Funktio-
nen automatisch und das CI/CD-Frame-
work des Unternehmens steht nicht kom-
plett still. Backups legt Chef Automate
per Klick im Web-GUI automatisch an.
Und verschiedene Applikationen, die
Chef Automate im Hintergrund nutzt,
versteckt es beinahe komplett vor dem
Admin. Dass Chef Automate etwa ein
ausgewachsenes ElasticSearch mitbringt,
merkt der Admin meist nur durch Zufall.
In Summe weiß Chef Automate im Test
zu überzeugen. Es nimmt dem Admin
die Arbeit ab, die verschiedenen Chef-
Werkzeuge händisch miteinander zu in-
tegrieren und spart so einige Zeit. Das
wird auch und gerade dann besonders of-
fensichtlich, wenn es um Updates geht –
der Admin spielt lediglich die neuen Pa-
kete für die neue Automate-Version ein,
um alles andere kümmern diese sich
selbst. Zumindest dann, wenn der Admin
den Versionssprung nicht durch das kon-
sequente Verzögern von Updates zu groß
werden lässt.
Abzüge gibt es allerdings für das Webin-
terface: Es reagierte im Test an manchen
Stellen etwas träge und glänzt auch nicht
gerade durch eine besonders intuitive Be-
dienung. Andere Werkzeuge wie Ansible
Tower leisten hier mehr.
Gute Skalierbarkeit, aber
explodierende Kosten
Ein zentrales Versprechen des Herstellers
ist, dass Chef Automate nach Belieben in
die Breite skaliert. 1500 Hosts sollen die
Lösung genauso wenig wie 5000 Systeme
vor Probleme stellen. Freilich gilt für Chef
wie für alle anderen Automationslösun-
gen, dass die Skalierbarkeit nicht unend-
lich ist; die Art und Weise, wie Chef etwa
20 Mai 2018
Cookbooks an die Zielsysteme verteilt,
ist ressourcenintensiv. Letztlich erbt Chef
Automate aber seine Skalierbarkeitsfä-
higkeiten von den drei beteiligten Werk-
zeugen Chef, Habitat und InSpec, und für
alle drei Komponenten ist nachgewiesen,
dass sie sich mit Knotenmengen in der
Dimension von 5000 Stück nicht schwer
tun. Selbst große Setups stellen die Lösung
nicht vor unmögliche Aufgaben; das Kri-
terium der Skalierbarkeit ist klar erfüllt.
Chef Automate ist ein kommerzielles An-
gebot, das dem Admin die Arbeit abneh-
men soll, Chef, Habitat und InSpec als freie
Software zu installieren und miteinander
zu verzahnen. Der Hersteller greift dabei
auf ein einfaches Preismodell zurück: Wer
Chef Automate in seinem Rechenzentrum
ausrollen will, zahlt pro Knoten, den die
Lösung anschließend verwaltet, 137 US-
Dollar pro Jahr – nach aktuellem Wechsel-
kurs also gut 110 Euro. Das klingt nicht
nach einem großen Betrag, doch Kleinvieh
macht auch Mist: Für ein Setup, das aus
150 Knoten besteht, fallen so jährliche Kos-
ten in Höhe von 16.500 Euro an. Ein Setup
mit 1500 Knoten kostet im Vergleich dazu
bereits 165.000 Euro pro Jahr.
Grundsätzlich ist mit dem Kauf von Chef
Automate auch Support verbunden, je-
doch sind die Bedingungen, unter denen
Chef diesen Support gewährt, undurch-
sichtig: Das Base-SLA sieht eine maximale
Reaktionszeit von zwei Stunden bei kri-
tischen Problemen vor, allerdings nur
12x5 – also wochentags und zur US-
Westküstenzeit. Hinzu kommen die Sup-
port-Varianten "Standard" und "Premi-
um", die ebenfalls nur 12x5-Support nach
Westküstenzeit enthalten, dafür aber für
besonders kritische Probleme Reaktions-
zeiten von 60 oder 30 Minuten vorsehen.
Preise, die für die höheren Support-Levels
anfallen, waren auf der Chef-Website al-
lerdings nicht zu finden.
Lediglich ein Onlineshop listet für das
Premium-Paket einen Aufpreis von fast
25.000 US-Dollar. Angaben zur Laufzeit
oder zu eventuellen Grenzen im Hinblick
auf die unterstützte Anzahl der Knoten
enthielt jene Seite allerdings leider nicht.
Somit reiht sich Chef damit in die Riege
der Hersteller ein, für die man um ein
spezifisches Angebot für das eigene Ein-
satzszenario bitten möchte. Dies ist in je-
dem Fall die dringende Empfehlung.
Fazit
Chef Automate ist ein leistungsfähiges
und sehr umfassendes Werkzeug, um Au-
tomation sowohl auf der System- als auch
auf der Applikationsebene zu verwirkli-
chen. InSpec kümmert sich obendrein
um Compliance und ist ein echtes Allein-
stellungsmerkmal; weder bei Puppet noch
bei Ansible findet sich hierzu ein passen-
des Gegenstück. Das Produkt weiß zu
überzeugen: Die Funktionen, die der Her-
steller verspricht, sind gegeben und funk-
tionieren auch gut und zuverlässig.
Chef Automate ist aber kein komplettes
Lifecycle-Management für Server. Die
Frage, wie ein frischer Computer ein neu-
es Betriebssystem bekommt, beantwortet
die Lösung ganz bewusst nicht. Möchte
der Admin auch diesen Teil automatisie-
ren, muss er sich Gedanken über zusätz-
liche Software machen. (of)
So urteilt IT-Administrator
Automation mit Chef 7
CI/CD mit Habitat 8
Compliance mit InSpec 10
Chef Automate 6
Skalierbarkeit 8
Die Details unserer Testmethodik finden Sie
unter www.it-administrator.de/testmethodik
Dieses Produkt eignet sich
optimal für Unternehmen, die eine umfas-
sende Automationslösung suchen, die so-
wohl die Verwaltung physischer Infrastruktur
abdeckt als auch die Entwicklung von Cloud-
Ready-Applikationen erleichtert.
bedingt für Unternehmen, die zwar einen
Teil der Automatisierungs-Funktionalität
brauchen, aber nicht alle Komponenten.
nicht für Unternehmen, die ihre gesamte
Infrastruktur schon mit Puppet oder Ansible
verwalten und ein gut funktionierendes
Setup haben.
www.it-administrator.de
 Q V F K XW]
'DWH HLQ
PDG \
Q
*HUPD

+,%#"ȧ1#04#0 +,%#"ȧ!*-3"
$GPQRȧ!J?QQȧ1CPTGACȧ5GPȧň@CPLCFKCLȧ 1I?JGCP@?PICGRȧKGRȧ.PGT?RC
CRPGC@
ȧ3NB?RCQȧSLBȧ)MLȏESP?RGMLCL MBCPȧ&W@PGBȧ!JMSBȧ1RPSIRSPCL

"#"'!2#" 4'023* +,%#" 1!* *#

UUUACLRPMLBC

/ŚƌZĞĐŚĞŶnjĞŶƚƌƵŵŝŶ

'DWHQKDOWXQJDXVVFKOLH‰OLFKLPFHQWURQ5HFKHQ]HQWUXPLQ'HXWVFKODQG
 Te s t s AppSphere ScriptRunner 2018R2
AppSphere ScriptRunner 2018R2
Gehäuse für
die PowerShell
von Thomas Bär und Frank-Michael Schlede
Jahrelang galt das Scripting unter Windows im Ver-
gleich zu Unix als vernachlässigtes Anhängsel und
kaum für den professionellen Einsatz geeignet. Mit
der PowerShell änderte sich das grundlegend und
dank einer äußerst gelungenen Erweiterung von
AppSphere kann selbst die Hotline bequem auf
Skripte zugreifen und noch stärker automatisieren.
ie Zeiten, in denen Administrato-
D ren Windows nur als Klickibunti-
Oberfläche für den Endbenutzer wahr-
nahmen, sind glücklicherweise schon
lange vorbei. Auch wenn es dem Wort
"Windows" eigentlich nicht mehr gerecht
wird, ist eine Core-Installation mit mini-
maler GUI möglich. Fernadministration
aus einer grafischen Oberfläche heraus
ist dann der Standard, ebenso wie die Ver-
wendung der PowerShell für Automati-
sierungsvorhaben. Die Rückkehr auf die
Kommandozeile wird dem IT-Profi durch
die Leistungsfähigkeit der PowerShell ver-
süßt. Der direkte Vorgänger, der
Windows Script Host, wandte sich eher
an Entwickler als an die Ad-hoc-Aufga-
benbewältigung von Administratoren.
Seit 2009 ist die PowerShell, seinerzeit in
der Version 2.0, ein fester Bestandteil von
Windows und seit 2016 ist die Weiterent-
wicklung unter der MIT-Lizenz als Open
Source plattformübergreifend auch für
Linux und macOS nutzbar, zumindest als
Alpha-Kandidat. Ganz im Gegensatz zur
Tatsache, dass IT-Profis heute faktisch al-
les über die PowerShell in Windows lösen
können, kommt die Technik nicht überall
zum Einsatz. Selbst eher aufgeschlossenen
IT-Profis und Scripting-Fans ist das Er-
stellen und die Pflege einer umfangrei-
chen Sammlung von Skripten oft zu zeit-
raubend, kompliziert und aufwändig.
22 Mai 2018
Genau an dieser Stelle verspricht Script-
Runner Hilfe.
Hülle um die PowerShell
Die schwäbische Softwarefirma App -
Sphere hat sich auf IT-Werkzeuge für Ad-
ministratoren spezialisiert. Dazu gehört
neben Lösungen für Cloud- und Virtua-
lisierungsanwendungen und Program-
men rund um die Produktpalette von Ci-
trix vor allen Dingen auch Software für
die Arbeit im Rechenzentrum. Das Paket
ScriptRunner, das von der Firma aktuell
in der Version 2018R2 angeboten wird,
soll Administratoren bei der täglichen
Arbeit mit Skripten unterstützen und de-
ren Management, Verwaltung und Dele-
gation deutlich vereinfachen.
Der Schwerpunkt der seit einigen Jahren
am Markt verfügbaren Komplettlösung
für die PowerShell ist die Unterstützung
von Entwicklern, Administratoren, IT-
Managern und Helpdesk-Mitarbeitern.
ScriptRunner automatisiert Vorgänge
über Schnittstellen, erlaubt eine einfache
Integration in weitere Lösungen, beispiels-
weise PRTG, überwacht Vorgänge und
visualisiert die Ergebnisse in Dashboards.
Die Ergebnisse protokolliert ScriptRun-
ner, zudem ermöglicht das Programm ei-
ne vereinfachte Delegation an weitere
Mitarbeiter, beispielsweise im Help- be-
ziehungsweise Service-Desk.
Quell
e: ja
lcar
az
– 12
3R
F
Die drei weiteren Stichworte, die im Zu-
sammenhang mit der Software zu nen-
nen sind, lauten Organisation, Steuerung
und Entwicklung. Letztendlich legt sich
die Software um die PowerShell und lie-
fert den für den IT-Tagesbetrieb notwen-
digen Rahmen.
Schlankes Download-Paket
Für unseren Test stand uns Build 4.1.4755.0
von ScriptRunner 2018R2 zur Verfügung.
Mit der Zeit hat der Hersteller sein Edi-
tionskonzept mehrfach angepasst. Aktuell
ScriptRunner 2018R2
Produkt
Grafische Oberfläche zum Scripting
mit der PowerShell.
Hersteller
AppSphere AG
www.scriptrunner.com
Preis
Die Kosten liegen bei rund 45 Euro pro admi-
nistrativen Benutzer pro Monat in der kleins-
ten Staffel für zehn Administratoren oder Ser-
vice-Desk-Mitarbeiter.
Systemvoraussetzungen
Handelsübliche PCs und Server mit Windows
7 SP1 / 2008 SP2 und höher mit .NET Frame-
work 4.5 Client Profile, Windows PowerShell
3.0 oder höher und Internet Explorer 10 oder
höher. Der Internet Explorer 9 funktioniert
mit Einschränkungen.
www.it-administrator.de

Bild 1: Übersichtlich – auf einen Blick sieht der Administrator im ScriptRunner-Dashboard
die Anzahl erfolgreicher oder gescheiterter Aktionen.
gibt es die Software als "Term-Based Li-
cense" mit einem Nutzungsrecht für drei
bis maximal fünf Jahre. Die Lizenz um-
fasst die angegebene Anzahl an Benut-
zerlizenzen. Weitere Connectoren und
ScriptRunner-Host-Instanzen erfordern
zusätzliche Lizenzen.
Die Testsoftware stellte uns AppSphere
zum Download zur Verfügung. Die nur
knapp 36 MByte umfassenden Program-
me sind dabei schnell heruntergeladen
und ebenso schnell installiert. Eine De-
moversion für eine Laufzeit von 30 Tagen
bei maximal fünf Benutzern stellt der An-
bieter Interessenten zur Verfügung, im
Gegenzug dafür muss der Benutzer Na-
me, Firmenname, Telefonnummer und
E-Mail-Kontaktdaten preisgeben. Der
Hinweis "Unsere Software ist eine B2B-
Lösung. Bitte haben Sie daher Verständ-
nis, wenn wir unsere Testversion nicht an
'Wegwerf-E-Mail-Adressen' versenden."
macht deutlich, dass es ohne eine valide
E-Mail-Adresse eher schwierig ist, einen
Blick auf die Software zu werfen.
Mustergültige Dokumentation
Positiv möchten wir hervorheben, dass
alle PDF-Dokumente zur Installation, zu
den ersten Schritten und zur Architektur
von hoher Güte sind. Jede Anleitung ist
in sich abgeschlossen, es gibt nur an den
passenden Stellen Verweise auf andere
Anleitungen und insgesamt beschreibt
die Dokumentation die Funktionen und
www.it-administrator.de
AppSphere ScriptRunner 2018R2
Hintergründe in der notwendigen tech-
nischen Tiefe.
Gemäß der Empfehlung des Konfigura-
tionsleitfadens installierten wir den Script-
Runner-Dienst auf Windows Server 2012
R2, einem Mitgliedsserver in einer Test-
domäne. Die Clientanwendungen haben
wir auf verschiedenen Testsystemen ein-
gesetzt, sowohl unter Windows 10 als
auch zu Testzwecken auf dem Windows-
2012-Server selbst. Der Anbieter rät in
der Dokumentation dazu, im AD spezielle
Benutzergruppen zu definieren.
Bild 2: Mit wenigen Mausklicks fügt der IT-Profi weitere Zielsysteme ein.
Ein Container ist im Verständnis von ScriptRunner eine Gruppe von Computern.
Te s t s
Nach der Installation auf unserem Test-
server starteten wir die Administrator
App per Doppelklick und dank SSO durf-
ten wir sofort die moderne und optisch
gelungene Oberfläche in Augenschein
nehmen. Bei den meisten anderen Pro-
grammen begrüßt uns an dieser Stelle ein
Assistent, der uns die wichtigsten Schalt-
flächen und Konfigurationsmasken in der
logisch notwendigen Reihenfolge zeigt.
Das ist bei ScriptRunner nicht der Fall,
stattdessen kommt das PDF-Dokument
"Erste Schritte" zum Einsatz.
In dieser Anleitung lernt der Neubenut-
zer die wichtigsten Funktionen und tech-
nischen Hintergründe kennen, die es für
ScriptRunner zwingend zu wissen gibt.
Aufgrund potenzieller Fehlerquellen, ins-
besondere bei der Remote-Ausführung
von PowerShell-Skripten, ist ein vollaus-
formuliertes Dokument deutlich sinn-
voller als ein schnell überflogener Soft-
ware-Assistent. Sofern alle Demo-Skripte
aus dem Dokument ordnungsgemäß
durchführbar sind – hierbei erlernt der
Administrator das Hinzufügen neuer
Zielsysteme und Konten – ist zudem si-
chergestellt, dass die Software voll ein-
satzfähig ist. Bei Zielsystemen könnte es
sich um sogenannte Container oder Of-
fice-365-Dienste handeln. Bei den Con-
tainern handelt es sich aber nicht um eine
Anwendungscontainer-Virtualisierung
Mai 2018 23
 Te s t s AppSphere ScriptRunner 2018R2
im Sinne des stilisierten blauen Wals,
sondern schlichtweg um eine Gruppe
von Computern.
Logische Aktionsformulierung
Letztendlich verwaltet der Administrator
in der Oberfläche die verschiedenen Skrip-
te und Cmdlets, die als Aktionen in kon-
figurierbaren Richtlinien für den Kontext
aufbereitet sind. Bei diesen Richtlinien
handelt es sich um das Skript, die Parame-
ter und das Konto, unter dem der Ablauf
zu starten ist, und die ausgewählten Ziel-
systeme. Parameter- und Zielsystemaus-
wahl geschehen entweder interaktiv oder
durch programmierbare Vorbelegungen.
Ein intelligenter Schritt-für-Schritt-Assis-
tent unterstützt den Benutzer beim An-
legen, Ändern und Ausführen von Aktio-
nen. Der Aufbau und die Schrittfolge im
Assistenten sind dabei immer identisch,
was die Einarbeitung deutlich vereinfacht.
Je nach Konfiguration einer Aktion er-
kennt die Software automatisch, ob der
Anwender alle notwendigen Einstellungen
für die Richtlinie vorgenommen hat. Um
was genau es sich bei einer Aktion handelt,
wird im Skript-Code festgelegt.
Die typischen Klassiker sind dabei das
Auslesen von Systemdaten, wie beispiels-
weise des freien Festplattenspeichers, das
Anlegen oder Modifizieren von Objekten
und Elementen im Active Directory oder
sonstige per PowerShell veränderliche
oder lesbare Dinge. Aufgrund der hohen
Entwicklungsstufe der PowerShell dürfte
dies mittlerweile so ziemlich alles unter
Windows sein.
Zwei Clientanwendungen
zur Auswahl
Bei der Installation der Clientanwendun-
gen kann der Administrator entscheiden,
ob er nur die Administrator App oder
auch die sogenannte Delegate App auf
seinem System installieren will. Bei beiden
Apps kann er schon bei der Installation
die Adresse des Servers mit angeben, auf
dem der ScriptRunner-Dienst aktiv ist.
Danach muss sich der Nutzer nur noch
mit seinen Login-Daten anmelden.
Schon in früheren Tests der Version 2014
und 2015 stellten wir fest, dass die Dele-
24 Mai 2018
Bild 3: Die Ergebnisdarstellung in ScriptRunner entspricht dem Resultat der PowerShell-Kommandos.
gate App, die einen gezielt reduzierten
Leistungsumfang für die Verarbeitung in
Nicht-IT-Abteilungen bietet, zunächst auf
Englisch startet. Durch einen Mausklick
auf eine US-amerikanische Landesfahne
im Menübereich kann der Benutzer auf
deutschsprachige Dialoge umstellen.
Die Oberfläche richtet sich im Gegensatz
zu vielen anderen Profi-Softwarewerk-
zeugen für Windows in Aussehen und
Stil glücklicherweise nicht nach der MMC
(Microsoft Management Console), son-
dern orientiert sich zeitgemäß am Ka-
chel-Look modernerer Windows-Versio-
nen. Daher ist dieses Responsive Design
auch hervorragend für den Touch-Einsatz
geeignet, was wir im Zuge des Tests auf
einem iOTA One Convertible unter
Windows 10 überprüfen konnten.
Tools wie die Windows PowerShell ISE
(Integrated Scripting Environment) nut-
zen viele Administratoren eher selten, da
sie sie in erster Linie als Entwicklerwerk-
zeuge wahrnehmen, ihre eigenen Aufga-
ben jedoch viel mehr im Management und
der Systemkontrolle sehen. Auch Script-
Runner erweckt durch seine Oberfläche
zunächst etwas den Eindruck, es handle
sich hier um ein weiteres Werkzeug zur
Programmierung. Wer sich jedoch etwas
mit der Software beschäftigt, stellt schnell
fest, dass er es mit einem reinrassigen Ad-
ministrationswerkzeug zu tun hat.
Hilfreiche Sortierfunktion
ScriptRunner ist eine moderne Software,
die aber auch einige traditionelle Elemente
fortpflegt. Die Hilfefunktion – die sich al-
lerdings nicht über die Windows-übliche
F1-Taste starten lässt – arbeitet kontext-
sensitiv und ist von ebenso guter Qualität
wie die bereits genannte PDF-Dokumen-
tation. Ein besonderes Augenmerk sollten
Anwender auf die sogenannten "Tags" wer-
fen. Diese optionalen Stichworte unterstüt-
zen insgesamt die Organisation bei vielen
Skripten und helfen im Dashboard und an-
deren Ansichten bei der Filterung.
Möchte der Administrator aus der Ad-
min-App heraus direkt PowerShell-Skripte
auf verschiedene Zielsysteme aufbringen,
ist das an sich kein Problem. Ganz im klas-
sischen Windows-Stil ist eine Auswahl
mehrerer Systeme über die STRG-Taste
bei gleichzeitigem Mausklick möglich. Die
Auflistung arbeitet an dieser Stelle als in-
telligente Liste mit einem Ranking, das
nach größtmöglicher Übereinstimmung
von Tags, Aktionen und Zielsystemen sor-
tiert. Der Aufruf eines Skripts für eine OU
oder eine Gruppe aus dem Active Directo-
ry ist hier leider nicht vorgesehen.
Schnelleinstieg mit Action Packs
ScriptRunner liefert der Administration
die nötigen Verwaltungsfähigkeiten für ein
kollaboratives Zusammenspiel von Skript-
Jobs und IT-Verwaltung. Das Tool doku-
www.it-administrator.de

mentiert, wer welches Skript wie und wo
ausgeführt hat, ob dabei die richtige Skript-
Version zum Einsatz kam und ob Fehler
aufgetreten sind. Konnte die Software bei-
spielsweise eine Verbindung zu einem Ser-
ver nicht aufbauen, ist im Dashboard ein
roter Statuseintrag erkennbar.
Für die Skriptverwaltung bietet die Lö-
sung eine zentrale Bibliothek an, in der
bereits nach der Installation einige Power-
Shell-Skripte als Demo zur Verfügung
stehen. Zu ihnen erhält der Administrator
durch die Schaltfläche "Skripte" auf dem
Dashboard den direkten Zugang. Mittels
einer Filterfunktion ist der Nutzer in der
Lage, die Auswahl auf die verschiedenen
Tags zu beschränken, die ihn besonders
interessieren. Über so genannte "Action
Packs" können Kunden die Software kos-
tenlos gezielt erweitern.
Die Action Packs eignen sich auch für
PowerShell-Einsteiger, die so die Mög-
lichkeit haben, optimierte Skripte sofort
oder mit nur kleinen Anpassungen ein-
zusetzen. Die in den Packs gelieferten Er-
weiterungen stammen vom Entwick-
lungsteam des Herstellers und werden
dort gepflegt und weiterentwickelt. Zur
Verfügung stehen Pakete für das Active
Directory, Azure AD und Office 365.
Remote ausführen,
gekonnt delegieren
Beim Ausführen von Skripten kann ein
Administrator mit Hilfe der ScriptRun-
ner-Richtlinien gezielt steuern, wie Skripte
ablaufen, und dabei beispielsweise direkt
festlegen, auf welchen Systemen bestimm-
te Skripte Verwendung finden sollen.
Über den Button "Aktion" gelang es uns
im Test recht leicht, Skripte auf diese Art
nach unseren Wünschen zu konfigurie-
ren. Im Dashboard war es dann möglich,
deren Ausführung direkt zu überwachen.
Die Software protokolliert dabei die Ab-
läufe und damit auch etwaig auftretende
Fehler. Sehr gut hat uns dabei gefallen,
dass der Administrator auf den verschie-
denen Protokollseiten gleich die benötig-
ten Hinweise zu Fehlern erhält, wie bei-
spielsweise den Vermerk, dass für den
Zugriff auf ein bestimmtes System Be-
nutzernamen und Passwort nicht korrekt
www.it-administrator.de
by aikux.com
sind. Über einen integrierten Scheduler
ist der Administrator zudem in der Lage,
eine regelmäßige Ansteuerung von
PowerShell-Skripten zu realisieren, ohne FILESERVER UND
selbst eine Zeile des Codes anzupassen. AD KONSOLIDIEREN
Über die "Delegate"-Funktion legt der IT- Aufräumen, Umräumen,
Profi aus der Admin-App heraus fest, wel-
che Aktionen beispielsweise dem Help-
Aussortieren ...
Desk zur Verfügung stehen sollen. Das Eine saubere Sache!
ist praktisch, um wiederkehrende Aufga-
ben wie das Anlegen beziehungsweise Lö-
schen eines Nutzers im Active Directory
zu automatisieren: Ein Help-Desk-Mit-
arbeiter muss eigentlich nur noch den
Namen des Nutzers eingeben, der anzu-
legen oder zu löschen ist.
Fazit
ScriptRunner ist ein echtes DevOps-
Werkzeug, aber keine reine Entwicklungs-
umgebung. Systemprofis und Adminis-
tratoren hingegen, die ihre Verwaltungs-
Wir Suchen!
UI Entwickler/in
und Betreuungsaufgaben im Netzwerk www.aikux.com/jobs
automatisieren wollen und auf Scripting
setzen, finden hier ein mächtiges und pro-
fessionelles Werkzeug. Dabei können sie
nicht nur mit der PowerShell arbeiten, VOM IST ZUM SOLL
… UND DORT BLEIBEN
denn die Software unterstützt sogar Visu-
al-Basic-Skripte oder solche auf Unix/
Linux-Systemen. (ln)

So urteilt IT-Administrator
Einrichtung und Dokumentation 8 Berechtigungsmanagement
der nächsten Generation
Aktionssteuerung 8
Automatisierung
Delegationsmöglichkeiten 8
Nachvollziehbarkeit
Reporting 7
Sicherheit
Ergebnisvisualisierung 6
Die Details unserer Testmethodik finden Sie
unter www.it-administrator.de/testmethodik
Dieses Produkt eignet sich
optimal für Unternehmen mit tiefergehen-
den PowerShell-Kenntnissen, die Skripte von
der Hotline ausführen lassen möchten.
Neue Version:
bedingt für Organisationen mit geringem 2018
Anspruch an Automatisierungsvorhaben.
nicht für kleine Firmen, in denen Automatisie-
rung und Windows-Scripting kein Thema sind.
Jetzt Teststellung vereinbaren
www.aikux.com/demo

BlueParq PowerShell Studio 1.0
Betreutes
Skripten
von Jürgen Heyer
Wollen Administratoren Abläufe per
PowerShell automatisieren, ist der Einstieg
meist steinig und langwierig. "Das muss
doch einfacher gehen, wenn sich der Nutzer
nicht mit dem Code beschäftigen muss, sondern den Ablauf einfach per Diagramm
zusammenklicken kann" dachten sich die Gründer von BlueParq und schufen ein neuartiges
Programmiertool, das BlueParq PowerShell Studio. Wir wollten genauer wissen, inwiefern
dieses Werkzeug fehlende Programmierkenntnisse ersetzen kann.
er schon einmal ohne Program-
W mierkenntnisse versucht hat, ein
PowerShell-Skript zu erstellen, weiß, wie
mühevoll und häufig wenig erfolgreich
dies ist. Meist endet der Versuch des Pro-
grammierneulings damit, sich im Inter-
net auf die Suche nach Programmschnip-
seln zu begeben, um möglichst eine
passende Sequenz zu finden, die dann
nur wenig zu modifizieren ist. Oder er
kennt jemanden mit Know-how, und
überzeugt diese Person mit Engelszun-
gen, das Skript zu schreiben.
Genau diese unangenehme Situation muss
den Entwicklern von BlueParq bewusst
gewesen sein, als sie beschlossen, ein Werk-
zeug zu programmieren, mit dem ein
PowerShell-Neuling die benötigten Abläufe
grafisch zusammenklicken kann, während
der Code im Hintergrund entsteht.
Zum Testzeitpunkt gerade als Version 1.0
veröffentlicht, gehörten wir zu den ersten
Anwendern des neuen Tools und waren
gespannt, wie hilfreich es ist. Hinsichtlich
unserer PowerShell-Kenntnisse passten
wir recht gut in die Zielgruppe: Program-
mierkenntnisse in anderen Sprachen waren
vorhanden, aber eben nicht in der Power-
Shell. Wir hatten selbst in der Vergangen-
heit schon einige Male nach geeigneten
Skripten im Internet gesucht und waren
26 Mai 2018
dabei mehr oder weniger erfolgreich. In-
sofern konnten wir uns gut in die Lage po-
tenzieller BlueParq-Nutzer versetzen.
Geradlinige Installation
und zackige Updates
Für die Installation erhielten wir eine etwa
75 MByte große, gepackte Setupdatei und
einen Lizenzschlüssel. Außerdem konnten
wir eine Schnellstartanleitung herunter-
laden. Als Installationsvoraussetzung
muss auf dem Zielsystem das .NET-
Framework 4.6.1 eingerichtet sein. Das
Setup von BlueParq PowerShell Studio ist
im Nu erledigt. Beim ersten Aufruf erfolgt
die Registrierung wahlweise als 30-Tage-
Trial oder durch Eingabe einer Serien-
nummer wie in unserem Fall. Die Akti-
vierung kann online oder per E-Mail
erfolgen. Anschließend konnten wir die
Software nutzen.
Die Oberfläche besteht aus einer Kopf-
zeile und darunter einer zweigeteilten
Fensteransicht. Das rechte Fenster ist das
eigentliche Eingabefenster, das linke er-
möglicht den schnellen Zugriff auf ver-
wendete Eingabewerte, Variablen sowie
Datenquellen, worauf wir weiter unten
noch genauer eingehen.
Der Inhalt des rechten Fensters variiert
je nach der gewählten Funktion, wobei
Quelle: Dejan Bozic – 123RF
hier vier "Typen" zur Verfügung stehen.
Der Typ "Diagramm" dient dazu, Skripte
intuitiv visuell mittels Assistenten zu er-
stellen, was letztendlich das Kernfeature
darstellt. Als Nächstes gibt es den "Blue-
Parq Smart Editor", um PowerShell-Skrip-
te mit möglichst umfangreicher Syntax-
unterstützung, genannt "IntelliSense", zu
schreiben. Eine "PowerShell Console"
dient dazu, die Skripte ablaufen zu lassen,
und "Square" als letzte Funktion steht für
BlueParq PowerShell Studio 1.0
Produkt
Werkzeug zum Erstellen von PowerShell-
Skripten mit Hilfe von Ablaufdiagrammen.
Hersteller
BlueParq
www.blueparq.com
Preis
Im Programm "Foundation Hero" kosten die
ersten 18 Monate Nutzung 49 Euro. Der
reguläre Preis liegt bei jährlich 99 Euro.
Systemvoraussetzungen
Windows 7 oder höher (64-Bit)
Prozessor ab 1 GHz
2 MByte RAM
.NET-Framework 4.6.1 oder höher
PowerShell
Technische Daten
www.it-administrator.de/downloads/
datenblaetter
www.it-administrator.de

die Möglichkeit, fertige Skripte mit der
BlueParq-Online-Community zu teilen.
Beim Start des Studios findet stets eine Prü-
fung nach Updates statt und da während
des Tests intensiv weiterentwickelt wurde,
waren wir des Öfteren damit konfrontiert.
Es erscheint dann ein Fenster, dass ein Up-
date verfügbar ist mit einer kurzen Auflis-
tung, welche Features neu verfügbar sind
sowie welche Bugs beseitigt wurden. Sobald
der Anwender das Update akzeptiert, er-
scheint kurz ein Kommandozeilenfenster
mit einem Autoupdate-Aufruf, dann startet
das Programm in der neuen Version. Es ist
also nicht jedes Mal ein zeitraubendes Setup
zu durchlaufen, sondern die Aktualisierung
geschieht weitgehend im Hintergrund und
stört somit nicht.
Visuell darstellen
statt programmieren
Beim Aufruf des Tools startet das Power-
Shell Studio in der Diagramm-Ansicht und
zeigt ein fast leeres Fenster mit nur einem
Start-Objekt. Die Diagrammfläche ist re-
lativ groß dimensioniert, größer als die
sichtbare Bildfläche. Rechts unten im Fens-
ter ist eine Art Lupe zu finden, um den
sichtbaren Ausschnitt zu verschieben.
Beim Drücken der rechten Maustaste er-
scheint das sogenannte "Radial Dial", ein
Rad mit zehn Kommandos, die bei Aus-
wahl als Objekt auf der Diagrammfläche
angelegt werden. Dies sind unter anderem
Iteration (Schleife), Variable, Ergänzen ei-
nes Skript-Blocks, Bedingung sowie
Cmdlet-Aufruf. Jede Auswahl startet wie-
derum mit einem Assistenten, um die je-
weils benötigten Parameter abzufragen.
Für die erste Erfahrung mit dem Studio
empfiehlt es sich, den in der Schnellstart-
anleitung beschriebenen Ablauf für ein
erstes Diagramm abzuarbeiten, ein fort-
geschrittenes Hello-World-Skript.
Die angelegten Objekte besitzen entweder
auf dem Symbol oder knapp darüber be-
ziehungsweise darunter kleine Punkte in
Orange, Rot oder Grün. Diese symboli-
sieren die Ein- und Ausgänge, die Anzahl
variiert je nach Funktion, sodass beispiels-
weise eine Verzweigung einen Eingang
und zwei Ausgänge besitzt. Die Heraus-
forderung bei der Auswahl der Objekte
www.it-administrator.de
BlueParq PowerShell Studio 1.0
Bild 1: Im Diagramm-Modus kann der Anwender PowerShell-Skripte durch das Zusammenfügen von
Funktionsbausteinen erstellen, ohne den Programmcode beherrschen zu müssen.
und dem anschließenden Befüllen über
den Assistenten besteht darin, genau zu
wissen, was das Studio in dem Moment
erwartet und was die unterschiedlichen
Optionen innerhalb eines Objekts bedeu-
ten. Die integrierte Hilfe war zum Test-
zeitpunkt noch nicht umfassend befüllt.
Der Aufruf ist zwar vorgesehen, es ist aber
kaum etwas hinterlegt.
Durch das Aneinanderfügen beziehungs-
weise Verbinden mehrerer Diagramm-
objekte entsteht letztendlich ein Work-
flow, der den Programmablauf symbo-
lisiert. Streicht der Programmierer mit
der Maus über ein Objekt, erscheint ein
Popup-Fenster mit zusätzlichen Angaben.
Auch kann er bei einigen Objekten einen
zusätzlichen Kommentar eintragen. Beim
Doppelklick auf ein Objekt erscheint der
zugehörige Assistent, um Anpassungen
vornehmen zu können.
Ist ein Diagramm fertig erstellt, kann der
Programmierer es über den "Run"-Knopf
in der Kopfzeile ausführen oder über "Ge-
nerate Script" fertigen PowerShell-Code
erzeugen lassen, um diesen dann zu ver-
wenden. Wie bereits zuvor erwähnt er-
möglicht das linke Fenster des Studios
den Zugriff auf Eingabeparameter, Varia-
blen und Datenquellen des gerade bear-
beiteten Codes oder Diagramms. Beim
Te s t s
Klicken auf ein gelistetes Objekt erscheint
ein Fenster mit genaueren Informationen
und der Nutzer kann hier beispielsweise
einen Standardwert vergeben oder auch
ändern. Bei Variablen wird deren Inhalt
ausgegeben, auch hier ist eine Eingabe
zur Änderung möglich.
Vorhandene Skripte
visualisieren und optimieren
Neben der beschriebenen Möglichkeit, über
die Diagrammfunktion auf grafischem Weg
Skripte zu erzeugen, besitzt das Studio
ebenso die umgekehrte Möglichkeit, bereits
fertig erstellte Skripte als Diagramm dar-
zustellen. Dazu muss der Nutzer das Skript
nur mit dem Studio öffnen und dann über
die Schaltfläche "Generate Diagram" ana-
lysieren und als Diagramm darstellen las-
sen. In der Diagrammansicht kann er nun
zusätzliche Anpassungen vornehmen, das
Resultat ablaufen oder wieder ein Skript
erzeugen lassen.
Ein Nutzer kann dieses Tool also durch-
aus auch dazu verwenden, fertige Skripte
nach eigenem Bedarf zu modifizieren,
statt alles komplett neu zu schreiben. Wir
nutzten im Test diese Möglichkeit eben-
falls, um Erfahrungen mit dem Studio zu
sammeln, indem wir beobachteten, wie
ein fertiges Skript, dessen Funktion wir
kannten, in Diagrammform dargestellt
Mai 2018 27
 Te s t s BlueParq PowerShell Studio 1.0
Bild 2: Der intelligente Editor unterstützt den Anwender intensiv durch Vorschläge anhand der Eingabe.
wurde und wie die einzelnen Optionen
belegt waren. Das half uns dann wieder,
eigene Diagramme schneller zu erstellen.
Letzten Endes ist dieses Studio dazu ge-
eignet, sowohl grafisch als auch in Text-
form zu programmieren und je nach Wis-
sen sowie Fertigkeit zwischen den beiden
Ansichten zu wechseln. Mit zunehmender
Erfahrung dürften sich die Tätigkeiten
mehr und mehr in Richtung der direkten
Programmierung in Codeform verlagern.
Aber die individuelle Vorgehensweise
spielt nur eine untergeordnete Rolle,
Hauptziel der Software ist es, den Einstieg
in die PowerShell zu erleichtern.
Begrenzte Hilfe
bei der Dokumentation
Neben dem Einsatz als Programmierhilfe
besitzt die Diagrammansicht noch einen
weiteren Nutzen, nämlich den der Skript-
dokumentation. Dazu kann ein Program-
mierer die erstellten Diagramme als PNG-
oder PDF-Datei erzeugen lassen und so
abspeichern. BlueParq wirbt damit, dass
sich das Studio für die einfache Doku-
mentation eignet und somit an dieser
Stelle Aufwand und Kosten spart. Wir ha-
ben uns die fertigen Diagramme angese-
hen und mussten feststellen, dass sich der
grundlegende Ablauf mit Abhängigkeiten
und Schleifen durchaus erkennen, die
exakte Funktion aber nur sehr schwer he-
rauslesen lässt. Das liegt unserer Meinung
daran, dass das Diagramm zwar die funk-
tionalen Symbole enthält, aber nichts da-
rüber verrät, wie die einzelnen Optionen
gewählt oder befüllt sind. Es ist möglich,
einzelne Objekte (allerdings nicht alle)
durch einen kurzen Kommentareintrag,
28 Mai 2018
der auch in der Diagrammansicht ange-
zeigt wird, näher zu erläutern. Das sorgt
unserer Meinung nach aber nicht für sehr
viel mehr Transparenz.
Insgesamt liefert das Studio in unseren
Augen mit der grafischen Darstellung
durchaus eine gewisse Unterstützung bei
der Dokumentation. Wir sehen aber noch
Optimierungspotenzial durch eine Aus-
gabe zusätzlicher Informationen zu den
Objektinhalten.
Kontinuierliche
Optimierung des Studios
Wie eingangs erwähnt hatten wir die Mög-
lichkeit, die Software in einem recht frü-
hen Stadium als Version 1.0 zu testen. Ne-
ben der probeweisen Skriptneuerstellung
nutzten wir auch die zuvor beschriebene
Möglichkeit, fertige Skripte zu importieren
und zu visualisieren. Die Konvertierung
zwischen Diagramm und Code lässt sich
durchaus mehrfach durchführen, wobei
jedes Mal tatsächlich eine Neukonvertie-
Bild 3: Mit farbiger Schrift, Einrückungen und Klammern verbessert BlueParq die
Lesbarkeit des PowerShell-Codes.
rung stattfindet. Es wird also stets ein neu-
er Reiter mit einer neuen Ansicht erzeugt.
Das führt zwar schnell zu einer Vielzahl
an Fenstern, hat aber den Vorteil, dass
der Nutzer beim Ausprobieren immer
wieder prüfen kann, ob das Resultat wie
gewünscht arbeitet oder nicht. Falls nicht,
kann er auf eines der vorherigen Fenster
wechseln und von dort aus einen neuen
Versuch starten. Er kann so auch recht
gut beobachten, wie sich sein Programm
entwickelt und verschiedene Entwick-
lungsstände sowohl grafisch als auch in
Codeform vergleichen. Das wiederum
hilft, die PowerShell-Programmierung
schneller zu erlernen.
Ziemlich am Anfang unseres Tests impor-
tierten wir ein Skript mit einer WMI-Ab-
frage, konvertierten dieses in ein Diagramm
und von dort wieder zurück in ein Skript,
das wir dann starteten. Interessanterweise
war das Ergebnis in Form einer Textaus-
gabe nicht identisch, sondern das Power-
Shell Studio hatte den Code so ergänzt, dass
mehr ausgegeben wurde beziehungsweise
eine Zeile doppelt. Der Vergleich des ur-
sprünglichen Skripts mit dem aus dem Dia-
gramm erzeugten offenbarte auch, dass
hier eine Zeile ergänzt war, die die zusätz-
liche Ausgabe erzeugte. Der Effekt war sau-
ber reproduzierbar und wir schickten beide
Skripte zur Analyse an BlueParq. Vier Tage
später erhielten wir eine Antwort, dass das
Problem nun behoben sei und ein Update
verfügbar wäre. Nach der bequemen Ak-
tualisierung unseres Studios probierten wir
das Skript und dessen Konvertierung er-
neut aus und konnten bestätigen, dass nun
alles fehlerfrei funktionierte.
www.it-administrator.de
Abgesehen davon konnten wir sehen, dass ein importierter
Code bei der Konvertierung in ein Diagramm und wieder zu-
rück durchaus geringfügig in der Syntax verändert wird, weil
der integrierte Codegenerator etwas anders arbeitet, als ein An-
wender es schreiben würde. Das ist aber nicht tragisch, solange
die Funktionsweise nicht verändert wird. Auch verschiedene
Anwender werden etwas unterschiedliche Skripte erzeugen, die
dann das gleiche Ergebnis liefern – was letztendlich zählt. Ein
bereits mit dem PowerShell Studio erzeugter Code veränderte
sich bei mehrfacher Konvertierung in ein Diagramm und zurück
übrigens nicht mehr.

Insgesamt gut gefallen hat uns die prompte Reaktion von

BlueParq, erkannte Fehler zügig zu beseitigen, und wir konn-
ten dieses Bestreben auch im Gespräch feststellen. Es ist ver-
ständlich, dass die Software in einem so frühen Stadium noch
nicht gänzlich fehlerfrei arbeitet, und die Entwickler sind
ITK Training & Consulting
sehr dankbar für entsprechende Hinweise, um die Software
so zu verbessern. So war auch zu Beginn unseres Tests eine
große Bitte seitens BlueParq, dass wir sie auf Probleme und
Fehler hinweisen.
Cloud Services & SDN
Intelligenter Editor integriert Technologie-Know-how
Wer die Programmierung mittels PowerShell bereits beherrscht Cloud-Einsatz
oder auch über die Diagrammfunktion erstellte Skripte nach- Einstieg, Entwicklung und Migration (4 Tage)
bearbeiten möchte, wird sich über den integrierten Editor mit Cloud Computing Plattformen
der sogenannten IntelliSense-Funktion freuen. In der Tat un- Cloud Infrastrukturen und Cloud Security (5 Tage)
terstützt der Editor den Programmierer tatkräftig durch Be-
Cloud Security
fehlsvorschläge beim Tippen. Vom Prinzip her reicht die Eingabe Sicherheitskonzepte im automatisierten Data Center (2 Tage)
eines Buchstaben, um die daraus resultierenden Möglichkeiten
Cloud BootCamp
aufgelistet zu bekommen. Mit jeder weiteren Eingabe reduziert
Prozesse, Infrastruktur, Security, Migration und Marktüberblick (5 Tage)
sich die Auswahl.
OpenStack I, II & III
Grundlagen einer OpenStack-Plattform (5 Tage)
Auch von anderen Editoren her bekannt ist der Einsatz farbiger
Implementierung und Betrieb (5 Tage)
Schrift zur Unterscheidung von Befehlen, Parametern, Optionen
High Availability und Advanced Features (3 Tage)
und Variablen. Das erleichtert die Lesbarkeit. Zusätzlich werden
Schleifen und zusammengehörige Bereiche durch Klammern Docker im SDDC
Implementierung, Betrieb und Sicherheit (3 Tage)
visualisiert. Über kleine Schaltflächen oberhalb und unterhalb
des Programmierfensters kann der Anwender diverse Befehle Application Programmable Interfaces (API)
aufrufen. Dies beginnt beim Ausschneiden und Einfügen, um- Programmierschnittstellen zu Netzwerken (2 Tage)
fasst das einfache Ein- und Ausrücken von Textblöcken, eine Software-Defined Data Center
Umwandlung in Groß- sowie Kleinbuchstaben und bietet eine Konzepte und Implementierungen (2 Tage)
Suchfunktion. Auch kann der Programmierer über eine Schalt- Software-Defined Networking
fläche einen kompakten Code erzeugen, bei dem alle Leerzeilen Konzepte und Implementierungen (3 Tage)
gelöscht werden, eine zweite Schaltfläche erlaubt eine automa- Programmieren für Netzwerker I & II
tische Codeformatierung, die zusammenhängende Textblöcke Einstieg in Python (3 Tage)
in Schleifen oder in der Parameterdefinition einheitlich einrückt Praktische Anwendung im Netzwerk (2 Tage)
und so die Lesbarkeit verbessert.
... und alles mit garantierten Kursterminen!
Über die Schaltflächen am unteren Rand des Programmier-
fensters steht eine gute Handvoll an Assistenten zur Verfügung,
um ein Cmdlet oder eine Schleife einzufügen, ein AD-Objekt
zu ergänzen oder einen WMI-Explorer aufzurufen. Sobald der
Nutzer ein Skript ausführen lässt, wird das Programmierfenster
in der Höhe halbiert und im unteren Bereich erscheint das Aus-
gabefenster mit dem Resultat.
www.experteach.eu/go/katalog
Trainingskatalog anfordern!
www.it-administrator.de
www.experteach.de • www.experteach.at • www.experteach.ch
 Te s t s BlueParq PowerShell Studio 1.0
Bild 4: Die Square-Community soll den Austausch von Skripten fördern,
um allen Anwendern die Programmierung zu erleichtern.
Insgesamt konnten wir feststellen, dass
der Editor natürlich keine Programmier-
kenntnisse ersetzen kann, er erleichtert
aber die Befehlseingabe, hilft bei der Ver-
meidung von Syntaxfehlern und ist er-
freulich intuitiv bedienbar. Angesichts
des Preises dieses PowerShell Studios ist
unserer Meinung allein schon der Editor
sein Geld wert.
Arbeitsteilung
in der Community
Mit dem PowerShell Studio hat BlueParq
auch eine Community namens Square ins
Leben gerufen. Die Idee dahinter ist, dass
Anwender ihre erstellten Skripte bei
Square hochladen, um sie dort als soge-
nannte BluePrints anderen Anwendern
zur Verfügung zu stellen. Gleichzeitig sol-
len sie sich dort bei den Skripten anderer
Programmierer bedienen können – Ge-
ben und Nehmen ist hier das Motto.
Für eine einfache Bedienung ist der Zu-
griff auf Square voll in das PowerShell
Studio integriert. Klickt der Anwender
auf das gelbe Square-Symbol in der Kopf-
zeile, öffnet sich der Zugriff und er sieht
die abgelegten Skripte. Über eine Kate-
gorieliste am linken Rand kann er nach
Themen filtern. Um ein BluePrint zu nut-
zen, muss er nur die dazugehörige Sub-
scribe-Schaltfläche betätigen und kann
dann das Square-Fenster wieder schlie-
30 Mai 2018
ßen. Der Zugriff erfolgt anschließend
über das linke Fenster der Studio-Ober-
fläche, wo unter dem Eintrag "Local Blue-
prints" die abonnierten Blueprints aufge-
listet sind. Durch einen Klick auf einen
Eintrag kann er das Skript in ein Dia-
grammfenster laden und dort weiterbe-
arbeiten beziehungsweise in seinem Code
verwenden.
Auch hier hat uns wie beim übrigen Stu-
dio die intuitive Integration der Commu-
nity gut gefallen. Verständlichweise war
Square zum Testzeitpunkt noch nicht son-
derlich gefüllt, sondern nur mit einigen
Beispielen. Ein echter Mehrwert ist erst
dann zu erwarten, wenn viele Anwender
die Software nutzen und auch ihre Skripte
bei Square ablegen.
Fazit
Das BlueParq PowerShell Studio ist ein
neuer, aber unserer Meinung nach viel-
versprechender Ansatz, um Anwendern
den Einstieg in die PowerShell-Program-
mierung zu erleichtern. BlueParq wirbt
damit, dass sich über den Diagramm-Mo-
dus PowerShell-Skripte erstellen lassen,
ohne auch nur eine Zeile programmieren
zu müssen. Ganz so einfach ist es ver-
ständlicherweise nicht und auch die Pro-
grammierung per Diagramm erfordert
entsprechend Kenntnisse, um die Abläufe
korrekt zu erfassen. Vielmehr wird der
Anwender beim Strukturaufbau unter-
stützt, so dass er nicht bereits an der Syn-
tax scheitert. Welche Befehle und Cmdlets
er aber für seinen Code benötigt, muss
er immer noch selbst wissen, das kann
ihm die Software nicht abnehmen.
Wir sehen das PowerShell Studio in erster
Linie als interessante Unterstützung für
Nutzer an, die bereits Programmierkennt-
nisse in einer anderen Sprache besitzen
und nun PowerShell-Skripte erstellen wol-
len. Durch die Möglichkeit, bereits vor-
handene Skripte in das Studio zu impor-
tieren und dann darin weiter zu bearbeiten,
wahlweise über die Diagrammfunktion
oder im intelligenten Editor, erfordern in-
dividuelle Anpassungen nur wenige Pro-
grammierkenntnisse. Sobald ein Anwen-
der mit Hilfe der Software seine Power-
Shell-Programmiererfahrung ausbauen
konnte, wird das Studio sicher nicht un-
interessant werden, denn der leistungsfä-
hige Editor erleichtert die Programmierung
auf jeden Fall zu einem günstigen Jahres-
abonnementpreis. Sofern BlueParq für sein
Produkt aktive Nutzer gewinnen kann, ist
zu erwarten, dass sich die Community zu-
nehmend mit BluePrints füllt. (jp)
So urteilt IT-Administrator
Visuelle Programmierung 8
Integrierter Editor 8
Community-Einbindung 6
Dokumentation und Hilfe 4
Einrichtung 9
Die Details unserer Testmethodik finden Sie
unter www.it-administrator.de/testmethodik
Dieses Produkt eignet sich
optimal für Anwender, die PowerShell erler-
nen wollen und bereits Programmierkennt-
nisse in einer anderen Sprache besitzen.
bedingt für PowerShell-Spezialisten, denen
die Diagrammfunktion keinen oder nur wenig
Mehrwert bringt. Diese können aber trotz-
dem den intelligenten Editor einsetzen.
nicht für Anwender, die keine PowerShell-
Skripte erstellen wollen.
www.it-administrator.de
 12 Monatsausgaben im
ePaper
Print- & E-Paper-Format

+ Zwei Sonderhefte
im Print- & E-Paper-Format

Jahres-CD

Enthält alle Ausgaben von

Januar 2017 bis Dezember 2017
+ Jahres Archiv-CD
mit allen Monatsausgaben
im PDF-Format

Abo- und Leserservice

IT-Administrator
vertriebsunion meynen
Herr Stephan Orgel
Das Abo All-Inclusive
D-65341 Eltville
Tel: 06123/9238-251
Fax: 06123/9238-252
shop.heinemann-verlag.de
leserservice@it-administrator.de
Softinventive Lab Total Network Monitor 2.3.0

Quelle:Frederic Prochasson – 123RF

Kleine Wellen
im Blick
von Frank-Michael Schlede und von Thomas Bär

Die Überwachung von Ressourcen gehört zum administrativen Tagesgeschäft. Kein IT-Profi möchte
erst von einem Anwender hören, dass ein Dateidienst nicht verfügbar oder ein Router defekt ist.
Mit etwas Geschick und Talent erarbeitet sich der Administrator eine Überwachung mit automa-
tischer Reaktion auf Veränderungen, zum Beispiel mit Total Network Monitor.

en Markt zur Netzwerküberwa-
D chung haben sich zumindest im
deutschsprachigen Raum die Produkte
PRTG, WhatsUp, Nagios und NPM von
Solarwinds weitgehend untereinander
aufgeteilt. Alle Lösungen blicken auf eine
lange Historie zurück und erfreuen sich
einer hohen Beliebtheit. Während Nagios
als freie Software bei der Einrichtung eine
gewisse Vorbereitung und tiefgreifendes
Wissen in Bezug auf die Überwachungs-
techniken verlangt, punkten die anderen
Marktanbieter durch gut gemachte As-
sistenten, die eine Implementierung und
Inbetriebnahme für das Unternehmen
deutlich vereinfachen.
Kleine Überwachungslösung
Für kleinere Firmen und Überwachungs-
vorhaben sind die eben genannten Pro-
gramme möglicherweise überdimensio-
niert, zumindest gibt es eine ganze Reihe
überschaubarerer Überwachungsprogram-
me wie Total Network Monitor (TNM)
aus dem Hause des US-amerikanischen
Anbieters Softinventive Lab. Die Software
wurde nach Angaben des Herstellers dafür
entwickelt, lokale Netzwerke, Einzelrechner
und Dienste kontinuierlich zu überwa-
chen. Anstelle eines Monitorings aller Res-
sourcen beschränkt sich der Ansatz bei
TNM auf die Maschinen, die einer beson-
deren Aufmerksamkeit bedürfen.
Neben der reinen Datensammlung über
das Monitoring bietet das Programm über
Aktionen die Möglichkeit, eine oder meh-
rere gezielte Reaktionen automatisiert
einzuleiten. Im sogenannten "Monitor-
Log" speichert die Software die vollstän-
dige Historie der ausgeführten Aktionen
und erfasst die Werte aller Monitore. Im
täglichen Netzwerkmanagement erweisen
sich diese Daten möglicherweise als wert-
volle Informationsquelle, um entstandene
Probleme zu analysieren.
In Windeseile einsatzbereit
Die Inbetriebnahme von TNM ist denk-
bar einfach. Der Download der Software
ist direkt von der Webseite des Herstellers
möglich und erfordert keinerlei persön-
liche Daten. Dank der überschaubaren
Größe von nicht einmal 9 MByte ist das
Herunterladen fix erledigt. Der per Dop-
pelklick zu startende Installationsvorgang
beschränkt sich auf die Bestätigung der
Oberflächensprache, unter anderem ste-
hen Deutsch, Englisch und Französisch
zur Wahl, das Abnicken der EULA und
die Auswahl des Zielpfads. In wenigen
Sekunden ist das Programm installiert
und bietet im Anschluss seinen sofortigen
Start an. Konzeptionell arbeitet die Über-
wachung mit drei Status: Schwarz, Grün
und Rot. Während eine grüne Darstellung
signalisiert, dass alles in Ordnung ist, steht
rot für Schwierigkeiten. Schwarz symbo-
lisiert, dass es ein organisatorisch-tech-
nisches Problem gibt. Dies kann beispiels-

32 Mai 2018 www.it-administrator.de


weise passieren, wenn aufgrund von feh-
lerhaften Login-Informationen die Be-
stimmung des verbleibenden freien Fest-
plattenspeichers misslingt.
Dem Internet
auf die Finger schauen
TNM arbeitet nicht mit einem eingebau-
ten Webservice, sondern präsentiert sich
als klassische Windows-Applikation in
einer typischen Dreiteilung des Pro-
grammfensters. Ein gleichzeitiges Arbei-
ten mit mehreren Konsolen steht bei Total
Network Monitor nicht zur Verfügung.
Auf der linken Seite findet sich eine
Baumstruktur, rechts daneben die Detail-
ansicht und am unteren Bildschirmrand
eine chronologische Auflistung von Er-
eignissen. Dank einer intuitiven Farbwahl
und einer insgesamt sinnvollen Beschrif-
tung kann der Einsteiger auch ohne einen
Blick in die kontextsensitiven Hilfedialoge
in englischer Sprache mit dem Programm
arbeiten. Anstelle mit einem leeren Rah-
men zu beginnen, startet die Software mit
einigen voreingestellten Internet-Senso-
ren, die die Erreichbarkeit einiger Res-
sourcen wie Cisco, Facebook oder die
Total Network Monitor 2.3.0
Produkt
Monitoring-Werkzeug für
kleinere Umgebungen.
Hersteller
Softinventive Lab
www.softinventive.de/total-network-monitor/
Preis
Ein Exemplar der Software ohne Limitierung
bei den Monitoren und ohne zeitliche Befris-
tung kostet 170 Euro. Staatliche Institutio-
nen, Non-Profit-Organisationen und auch
Bildungseinrichtungen erhalten einen
Preisnachlass.
Systemvoraussetzungen
Zur Installation wird ein gängiger Windows-
Computer mit mindestens 1 GHz Taktfre-
quenz, 512 MByte RAM und rund 35 MByte
Festplattenspeicher benötigt. Netzwerkseitig
ist TCP/IP erforderlich. Windows-Sensoren
benötigen Windows NT4.0 oder höher, Admi-
nistrationsrechte, Zugriff auf ipc$ und ad-
min$, Remote-Registry-Rechte und einen of-
fenen Port 135 für den RPC-Zugriff auf WMI.
Dateisensoren benötigen NetBIOS/SMB und
die geöffneten Ports 445 und 139.
www.it-administrator.de
S o f t i n v e n t i v e L a b To t a l N e t w o r k M o n i t o r 2 . 3 . 0
Bild 1: TNM beschränkt sich bei der Überwachung weitgehend auf
klassische Internet- und Windows-Ressourcen.
Mailserver von Gmail prüfen. Neben dem
ICMP-Ping arbeitet die Überwachung
mit DNS-Prüfung auf Port 53, HTTP-Zu-
griffen auf Port 80, HTTPS-Aufrufen auf
443 und SMTP auf 25 sowie 587.
Klickt der Administrator in der Baum-
struktur auf eine Ressource, beispielsweise
den Eintrag für den Netzwerkausstatter
Cisco, zeigt die Software im Detailbereich
die drei eingerichteten Monitore für Ping,
HTTP und HTTPS. Eingestellt auf den
ICMP-Ping-Eintrag gibt die Software im
Kopfbereich die mittlere Roundtrip-Zeit
in Millisekunden an. Für die beiden Web-
service-Einträge gibt es lediglich den Hin-
weis, ob der letzte Verbindungsversuch
erfolgreich war. Statistische Informationen
beschränken sich auf die Einträge, wie oft
sich der Monitor im Status grün, rot oder
schwarz befand. Klickt der Benutzer im
unteren Fensterbereich auf die Zeitstatis-
tik, lässt sich anhand der Blockgrafik in
etwa erahnen, wann wohl ein Ausfall ge-
wesen sei. Einen zeitlichen Verlauf der
Messdaten selbst, wie die sich über die
Zeit verändernde Roundtrip-Dauer beim
Ping, gibt es nicht.
Sensoren recht spartanisch
Ein Scan-Wizard unterstützt den Admi-
nistrator beim Auffinden von Netzwerk-
geräten. Bei einem wiederholten Scan be-
steht zudem die Möglichkeit, diesen auf
bisher unbekannte Geräte zu reduzieren.
Die Suche arbeitet mit dem ICMP/ARP-
Ping. Die Eingabe von Login-Informa-
tionen ist nicht notwendig, da es keinerlei
Te s t s
Diensterkennung gibt. Die Suche be-
schränkt sich auf die Identifikation von
Geräten und arbeitet lediglich mit den
Einträgen IP-Bereich von/bis. Ein Vor-
blenden des eigenen Netzwerkbereichs
mit Subnetz gibt es ebenfalls nicht. Zwar
kann der Benutzer beim Anlegen eines
neuen Geräts auch manuell vorgehen und
aus einer Auflistung den Eintrag "ESX-
Host" auswählen – hinter diesem verbirgt
sich jedoch nicht mehr als ein Symbol.
Nur für Windows-Maschinen gibt es ein
paar zusätzliche Auswertfunktionen wie
Zugriff auf die Ereignisanzeige, Dienst-
Status-Überwachung, Zugriff auf die Re-
gistry oder Auslesen der Systemleistung.
In Bezug auf Datei-Monitoring-Aufgaben
stehen Präsenz, Größe, Vergleich, Anzahl,
CRC32-Prüfung, Inhalts-Scan und Fest-
plattenspeicherprüfung zur Auswahl.
Aber auch hier machen es die Entwickler
von TNM dem Administrator unnötig
schwer. Exemplarisch hierfür die CRC32-
Prüfung: Der IT-Profi kann für eine be-
nannte Datei prüfen, ob sich der Hashwert
verändert hat, hieraufhin in einen Status
wechseln und über dieses Umstellen eine
automatische Reaktion herbeiführen. Alles
ganz gut – aber die CRC32-Berechnung
für die Datei muss der Administrator in
einem anderen Programm durchführen,
denn TNM erledigt dies nicht.
Aktionsköcher nur halb gefüllt
Das Sammeln von Überwachungsdaten
ist bekanntlich nur die halbe Miete im
Monitoringgeschäft. Automatisierte Re-
Mai 2018 33
 Te s t s S o f t i n v e n t i v e L a b To t a l N e t w o r k M o n i t o r 2 . 3 . 0
aktionen und Benachrichtigungen ma-
chen aus dem Überwachungsprogramm
ein hoffentlich leistungsfähiges Steue-
rungswerkzeug. Fällt beispielsweise ein
Intranet-Service aus, könnte ein Neustart
des ganzen Servers eine automatische Ak-
tion darstellen. In den meisten Fällen ge-
hen Administratoren jedoch nicht mit
dieser Holzhammermethode vor, sondern
beschränken sich auf gezielte Neustarts
von Diensten oder Benachrichtigungen.
Praktischerweise unterscheidet TNM die
drei Status Schwarz, Grün und Rot und
erlaubt unterschiedliche Aktionszuord-
nungen je Status in beliebiger Anzahl.
Die Benachrichtigung und Protokollie-
rung besteht bei TNM aus Nachricht an-
zeigen, Protokolldatei schreiben, eine
Taskleisten-Nachricht ausgeben, eine
WAV-Datei als Sound abspielen oder ei-
nen Eintrag in der Ereignisanzeige anle-
gen. Über "Anwendung ausführen" ist der
Administrator in der Lage, faktisch jede
beliebige aufrufbare Ressource zu ver-
wenden. Mit den so genannten Makros,
hierbei handelt es sich um Variablen wie
"%MONITOR_NAME%" oder "%TIME_
STAMP%", ist eine dynamische Übergabe
an andere Programme realisierbar.
Die aktuelle Version von TNM stammt
aus dem Jahr 2017 und doch merkt der
Benutzer an einigen Stellen den Zahn der
Zeit. Das Aktionsmenü bietet das Aus-
senden von Jabber-IRC-Nachrichten auf
Basis des XMPP-Protokolls. Zwar erfreut
sich der Jabber-Server in Österreich einer
Bild 2: Mit automatisierten Reaktionen ergänzt der Total Network Monitor
die reinen Überwachungsfunktionen.
34 Mai 2018
solchen Beliebtheit, dass die Möglichkeit
zur Neuregistrierung Anfang des Jahres
deaktiviert wurde, doch ansonsten ist das
XMPP-Chatting als weitgehend ausge-
storben zu betrachten. Modernere Be-
nachrichtigungsmethoden sieht die Soft-
ware nicht vor.
Bleibt noch die gute alte E-Mail, das klas-
sische Vehikel für Nachrichten bei der
Überwachung. Auch hier gibt es die Mög-
lichkeit, mithilfe der Makro-Variablen ei-
nen vernünftigen Hinweistext zu gene-
rieren. Eine Spam-Flut von Nachrichten
kann der Administrator verhindern, in-
dem er die Konditionen klug wählt. Bei-
spielsweise "Ausführen, wenn Monitor
auf 'Rot' beim Start '1' mal hintereinan-
der". Eine zeitliche Steuerung wie "Nach-
richt nur einmal innerhalb einer Stunde
verschicken” oder gar Zeitfenster für eine
gezielte Unterdrückung von Meldungen
für Wartungsintervalle stellt das Pro-
gramm ebenfalls nicht bereit.
In unserer Teststellung konnten wir den
E-Mail-Versand problemlos mit einem
SMTP-Server eines bekannten deutschen
Providers mit Sitz in Montabaur unter
Verwendung von STARTTLS prüfen als
auch mit einem lokalen SMTP-Server oh-
ne Verschlüsselung. Die von Total Net-
work Monitor angebotene Funktion, die
Verbindungsparameter automatisch zu
identifizieren, funktionierte in keiner
Konstellation. Seltsam, denn der Thun-
derbird-Mailclient vollbringt diese Leis-
tung problemlos.
Überwachungsprojekt als Datei
Während die meisten Monitoring-Lösun-
gen über Datenbanken arbeiten, verwen-
det Total Network Monitor eine dateiba-
sierte XML-Ablage. Praktischerweise
kann der Administrator Überwachungs-
projekte als Datei gespeichert problemlos
in andere Installationen mitnehmen. Das
Dateimodell gefiel uns im Test gut, da ein
Ausprobieren von Überwachung und au-
tomatisierter Reaktion so recht schnell
möglich ist. Geht etwas daneben, startet
der Administrator einfach die zuvor ge-
speicherte Dateivariante.
Bei einem Neustart der Software beginnt
TNM stets mit der letztgeöffneten Über-
wachungsdefinition, die dateitechnisch
aus einer XML-Konfigurationsdatei und
einem Log besteht. Praktischerweise
entdeckt der IT-Profi in den Optionen
die Einstellungsmöglichkeit, das Pro-
gramm automatisch beim Start von
Windows zu aktivieren, und dies funk-
tioniert auch im minimierten Fenster-
status. Ob das Überwachungsintervall
greifen soll oder ob bei einem Pro-
grammstart zunächst alle Monitore auf-
zuführen sind, legt der Administrator
per Häkchen fest. Selbst wie sich das
Programm in der Taskleiste verhalten
soll, ob ständig minimiert in der Task-
leiste oder ob es nur beim Schließen zu
minimieren ist, regeln Optionsfelder.
Per Default nicht als Dienst
Spätestens nach dem Lesen des vorherigen
Abschnitts dürften erfahrene Überwa-
chungsprofis hellhörig sein: Wie sich das
Programm beim Start verhält? Lässt sich
eine Monitoring-Software gar per X-Schalt-
fläche im Fenster schließen? Das hat mit
Kontinuität nichts zu tun. Da hilft es wenig,
wenn die maximale Anzahl der gleichzei-
tigen Sensoraktivitäten frei zur Eingabe
bereitsteht. In der Tat arbeitet Total Net-
work Monitor in der Standardauslieferung
als Applikation und nicht als Dienst.
Um TNM als Service zu betreiben, muss
der Anwender im Dialog "Optionen" im
Rahmen "Programm als Dienst ausfüh-
ren" die Schaltfläche "Installieren" mit
Administrationsrechten ausführen. Es
folgt ein längerer Text in einem Fenster,
das den Benutzer darüber aufklärt, dass
www.it-administrator.de
Bild 3: Die statistische Auswertung der gesammelten Informationen bei TNM ist äußerst rudimentär.
es sich bei der Anwendung "als Dienst
ausführen" zurzeit um keine interne
Funktion des Programms handelt. Letzt-
endlich wird ein ganz gewöhnlicher
Dienst eingerichtet, den der Anwender
auch über die Konsole mit net start
TNMService einschalten kann.
Zwar werkelt der Monitor im Service-Be-
trieb weitgehend unbemerkt im Hinter-
grund, jedoch ohne einen direkten Zugriff
über die grafische Oberfläche. Im aktiven
Service-Betrieb bewirkt der Start der Ap-
plikation, dass ein Dialog erscheint, der
den Administrator darüber in Kenntnis
setzt, dass die Deaktivierung des Services
nun bis zu 30 Sekunden dauern wird, ehe
die Oberfläche sichtbar ist. Zwar konnten
wir in unseren Tests keine Probleme mit
dieser eigenwilligen Umsetzung feststellen,
doch wirkt diese Implementierung eines
Daemons doch eher rustikal.
Deutlich besser gefiel uns die eingebaute
Möglichkeit, Feedbacks zu schicken. Ein-
gebaute Feedback-Typen heißen "Fehler-
bericht", "Feature gefällt mir" oder "Fea-
ture gefällt mir nicht". Außerdem ist es
möglich, eine Feature-Anforderung ab-
zusenden und eine Textnachricht an die
Entwickler direkt aus dem Programm he-
raus zu verschicken. Bei der Einteilung
der Dringlichkeit in "Wie schlimm ist es?"
beweist der Hersteller durchaus Humor,
da selbst die Option "Hoffnungslos" zur
Verfügung steht.
Fazit
Total Network Monitor kann mit den be-
kannten Branchengrößen in keiner Leis-
tungskategorie mithalten und überzeugt
lediglich durch eine recht einfache Be-
dienung und den überschaubaren Preis.
www.it-administrator.de
Das kostenfreie Nagios bietet im Ver-
gleich deutlich mehr Funktionen an, setzt
aber eine sehr hohe Kompetenz in Über-
wachungsfragen voraus. Für kleinere Pro-
jekte oder Firmen ist TNM vielleicht ge-
nau das Richtige, sofern die Sensoren das
gewünschte Leistungsprofil abdecken.
An sich müsste das Programm jedoch
"Total Windows Monitor" heißen, denn
mit Ausnahme der Internet-Sensoren
überwacht TNM ausschließlich WMI-Da-
ten. Interessenten können die Software 60
Tage ohne Funktionseinschränkung tes- Bekämpfen
ten. Das gibt ausreichend Zeit, um die
Vor- und Nachteile abzuwägen. (ln) Sie Hardware-
So urteilt IT-Administrator Probleme mit
Einrichtungsassistent 5
PRTG
Grafische Darstellung 6
Windows Überwachung 7 Hardware geht genau dann kaputt,
wenn man es am wenigsten braucht.
Nicht-Windows-Überwachung 4 PRTG Network Monitor warnt Sie
rechtzeitig, damit es gar nicht so
Aktionsmöglichkeiten 5 weit kommt.
Die Details unserer Testmethodik finden Sie
unter www.it-administrator.de/testmethodik Mit PRTG haben Sie alles im Blick –
von CPU und RAM, über Festplatten
Dieses Produkt eignet sich
bis hin zu Druckern und Routern.
optimal für kleine Firmen, die primär ihre
Windows-Server überwachen möchten.
bedingt für mittelgroße Unternehmen, die
bereits andere Überwachungslösungen im
TESTEN SIE PRTG
Einsatz haben. 30 TAGE KOSTENLOS!
www.paessler.de/hardware
nicht für große Firmen mit verteilten Netz-
werken, die eine Überwachung von aktiven
Netzwerkkomponenten, UNIX/Linux-Syste-
men oder vSphere-Landschaften benötigen.
Paessler AG
info@paessler.com
www.paessler.de
000161/DE/20180410
Angriffe erkennen
und verhindern mit Suricata
Keine Chance
für Einbrecher
von Martin Loschwitz
Suricata ist ein umfangreiches Werkzeug, um Angriffe aus dem Netz von vornherein zu
unterbinden oder wenigstens frühzeitig zu erkennen. Das Tool besticht durch seinen riesigen
Funktionsumfang. Hier erfahren Sie, wie Sie es installieren und in Betrieb nehmen.
rfolgreiche, aber unbemerkte An-
E griffe auf Systeme sind das abso-
lute Horrorszenario jedes Administrators.
Freilich ist ein Angriff schon dann nicht
schön, wenn der Admin rechtzeitig Notiz
davon erlangt, weil ihn etwa eine der vie-
len CERT-Stellen im Netz darüber infor-
miert. Doch wenigstens ist es dann mög-
lich, die Gefahr für andere Nutzer im
Internet und besonders für die anderen
Knoten der eigenen Plattform zu bannen,
indem man das gehackte System kurzer-
hand aus dem Verkehr zieht und abschal-
tet. Bleibt der geglückte Angriff unbe-
merkt, besteht diese Möglichkeit nicht
und es drohen äußerst unangenehme
Konsequenzen. Etwa dann, wenn das Sys-
tem anschließend für illegale Aktivitäten
verwendet wird.
Will der Admin sich wirksam zur Wehr
setzen, muss er seine Installation adäquat
absichern. Ein Mittel, um Schutz für die
eigene Plattform zu realisieren, sind In-
trusion-Detection-Systeme (IDS) und In-
trusion-Prevention-Systeme (IPS): Erstere
sollen Angriffe schnell und zuverlässig
erkennen, während Letztere durch ver-
36 Mai 2018
schiedene Ansätze diese gleich von vorn-
herein verhindern sollen. Suricata ist eine
bekannte Kombination aus IPS und IDS
auf Basis freier Software, die dem Admin
beim Absichern seiner Setups unter die
Arme greifen möchte.
Was IDS und IPS unterscheidet
Wie erwähnt vereint Suricata die Funk-
tionen eines Intrusion-Prevention- mit
jenen eines Intrusion-Detection-Systems.
Zwar verwenden beide Ansätze im Hin-
tergrund oft dieselben Informationen zur
Analyse von Netzwerkverkehr, doch an-
sonsten handelt es sich um zwei unter-
schiedliche Konzepte.
Die vorrangige Idee bei einem IDS ist es,
einen Angriff zu erkennen, der gerade
stattfindet. Damit Suricata diese Aufgabe
erledigen kann, muss es den Traffic ana-
lysieren, der auf einem Host ankommt.
Der Linux-Kernel bietet hierzu die Mög-
lichkeit, ein Interface auf einem Host vir-
tuell zu klonen, also quasi einen lokalen
Spiegelport für die Traffic-Analyse zu
schaffen, damit die "echte" Netzwerk-
schnittstelle des Servers keine Perfor-
Quelle: danilov1991xxx – 123RF
manceprobleme bekommt. Beim IDS geht
es jedoch wirklich nur um die Erkennung
– aktiv wird Suricata nicht. Es warnt zwar,
wenn es Angriffe erkennt, startet jedoch
keine Gegenmaßnahmen.
Solche Gegenmaßnahmen kommen beim
IPS-Konzept hinzu: Suricata scannt auch
in diesem Szenario den Netzwerkverkehr
auf verdächtige Aktivitäten. Erkennt das
Tool einen Angriff, verhindert es durch
entsprechende Firewall-Regeln automa-
tisch, dass die verdächtigen Pakete wei-
terhin fließen. Suricata kann für diesen
Zweck auf IPTables zurückgreifen und
konfiguriert entsprechende Paketfilter-
regeln von sich aus. Das IPS-Konzept bie-
tet gegenüber IDS insofern den Vorteil,
dass es verdächtige Aktivitäten sofort un-
terbindet. Freilich hat diese Medaille auch
eine Kehrseite: Diagnostiziert Suricata
fälschlicherweise einen Angriff, gehen
möglicherweise Pakete verloren, die ei-
gentlich noch benötigt würden.
Woher kommen die Daten?
Bevor der Artikel sich ausgiebig mit Su-
ricata beschäftigt, stellt sich noch die Fra-
www.it-administrator.de

Bild 1: Für Ubuntu und diverse andere Distributionen stehen vorkompilierte Pakete von Suricata bereit.
ge, auf welchem Wege die zu analysieren-
den Daten zu Suricata finden. Wer IDS
und IPS in seinem Netzwerk nutzen
möchte, sollte sich darüber frühzeitig Ge-
danken machen – und damit implizit
auch über das Design seines gesamten
Netzwerks. Denn klar ist: Suricata kann
nur den Traffic analysieren, den es tat-
sächlich sieht. Kommt die Lösung auf ei-
nem Host zum Einsatz, während ein An-
griff auf einem anderen stattfindet,
bekäme Suricata hiervon zunächst gar
nichts mit und wäre nutzlos.
Es ergeben sich zwei grundsätzliche Mög-
lichkeiten, mit dieser Herausforderung
umzugehen. Option 1 leuchtet sofort ein
und besteht darin, Suricata einfach auf
jedem Host innerhalb der Plattform zu
installieren, der potenzielles Ziel von An-
griffen werden könnte. Das bedeutet zwar
viel Aufwand, weil Suricata auf jedem be-
troffenen Host auszurollen ist. Durch Au-
tomatisierer wie Ansible lässt sich der zu-
sätzliche Aufwand jedoch meistern. Zu
beachten ist aber, dass Suricata für das
Verarbeiten von Netzwerktraffic die lokale
CPU eines Systems in Beschlag nimmt,
und das nicht zu knapp. Wer Suricata auf
jedem Host nutzen möchte, sollte also für
genügend Reserven sorgen, was die CPU
angeht, und idealerweise gleich zu einer
oder mehreren aktuellen CPUs mit meh-
reren Kernen greifen. Denn auf die ist die
www.it-administrator.de
Engine von Suricata ausgelegt, die sich
um die Analyse von Paketen kümmert:
Suricata startet für die Analyse einzelner
Paket-Flows separate Threads und verteilt
diese auf die vorhandenen CPU-Kerne.
Mirror Ports
Option 2 folgt einem völlig anderen Prin-
zip: Hier existiert ein Server, der für alle
Hosts der Installation zentral den durch-
gehenden Traffic überprüft und im Falle
eines Falles Alarm schlägt. Letztlich war-
tet der Admin also nur eine Suricata-In-
stanz auf einem Rechner mit möglichst
viel CPU-Leistung und entgeht damit den
negativen Auswirkungen, die Suricata an-
dernfalls auf die CPUs jedes einzelnen
Hosts hätte. Im Gegenzug bedingt ein sol-
ches Setup allerdings professionelle Netz-
werkswitches, die ein spezielles Feature
bieten, nämlich die Konfiguration eines
Mirror Ports. Das Prinzip ist simpel: Per
Konfiguration des Switches weist der Ad-
min diesen an, sämtlichen Traffic, der
über irgendeinen Port des Switches das
Netzwerk betritt oder verlässt, direkt auf
einen zweiten, hierfür besonders ausge-
wählten Switchport zu spiegeln. Der ge-
nannte Switchport sieht de facto also
sämtlichen Netzwerktraffic. An ihm hängt
der Server mit Suricata, das folglich eben-
so sämtlichen Traffic sieht und auch ana-
lysieren kann. Das beschriebene Konzept
ist der klassische Ansatz für den Betrieb
Suricata Praxis
eines IDS – das ebenfalls bekannte Snort
kommt üblicherweise in einem solchen
Setup zum Einsatz.
Welche der beiden Varianten zu Ihrem
Netzwerk passt, hängt vorrangig von der
Funktionalität der verbauten Switches ab.
Generell gilt, dass die meisten Enter-
prise-Switche das Mirror-Port-Feature
anbieten, jedoch Unterschiede in der Im-
plementierung seitens der verschiedenen
Hersteller keine Seltenheit sind. Die Va-
riante mit Suricata auf jedem Host hin-
gegen lässt sich immer verwenden, wenn
man die beschriebenen Nachteile in Kauf
zu nehmen bereit ist. Im Folgenden geht
der Artikel von einem einzelnen System
aus, auf dem Suricata läuft, folgt also dem
Ansatz von Option 1.
Suricata installieren
Suricata ist in C geschrieben und lässt
sich mithin auf praktisch jedem halbwegs
aktuellen Linux-System übersetzen und
nutzen. Das umfasst ausdrücklich auch
die gängigen Enterprise-Distributionen
wie SUSE Linux Enterprise Server, Red
Hat Enterprise Linux oder Ubuntu LTS.
Für diesen Artikel haben wir uns für
Ubuntu 16.04 LTS als Basis entschieden
(Bild 1), weil aktuelle Suricata-Pakete für
dieses System in einem Ubuntu-PPA-Ver-
zeichnis vorkompiliert zur Verfügung ste-
hen [1]. Wer Suricata auf einer anderen
Distribution nutzen möchte, greift ent-
weder zu fertigen Paketen aus dem Netz
oder – falls diese nicht vorhanden sind –
übersetzt Suricata selbst. Entsprechende
Anleitungen finden sich im Netz für prak-
tisch alle gängigen Systeme. Beim Über-
setzen achten Sie aber besser gleich da-
rauf, dass Sie beim "./configure"-Schritt
die passenden Parameter angeben. Soll
Suricata als IPS zum Einsatz kommen,
benötigt es etwa die Header-Dateien der
Netfilter-Queue-Bibliothek, die meist in
Form eines "-dev"-Paketes durch den Ad-
min zu installieren sind.
Mit Suricata arbeiten
Suricatas Kernfunktion ist das, was seine
Entwickler als "Signature Language" be-
zeichnen. Der Begriff der "Signatur"
kommt Ihnen möglicherweise bereits aus
dem Antiviren-Kontext bekannt vor: Als
Signatur bezeichnen die Hersteller dort
Mai 2018 37
Praxis Suricata
ein spezifisches Angriffsmuster, das An-
tivirensoftware anhand verschiedener Kri-
terien automatisch zu identifizieren ver-
sucht. Ein einfaches Beispiel für eine
solche Signatur ist dieses: Falls eine Datei
mit dem Namen "Virus" an einer be-
stimmten Stelle im Dateisystem existiert
und die folgende SHA256-Summe als
Checksumme hat, handelt es sich um den
bekannten Virus "Beispiel-Virus".
Suricata geht bei der Erkennung von
Netzwerkangriffen grundsätzlich ähnlich
vor. Wie ein Virenscanner Dateien auf
der Festplatte überprüft, überprüft Suri-
cata den Netzwerkverkehr eines Systems.
Dabei versucht es, bestimmte Strukturen
automatisch zu erkennen: Geht etwa ein
TCP/IP-Paket mit einer spezifischen
Größe ein, dessen Inhalt dem eines be-
kannten Rootkits ähnelt, kann Suricata
auf dieser Basis einen Angriff erkennen
und Alarm auslösen oder IPTables in
Gang setzen.
Als "Signatursprache" bezeichnen die Ent-
wickler Suricatas Erkennungsfunktion,
weil die Regeln dafür, wie Erkennungs-
kriterien formuliert sind, in einer für Su-
ricata entwickelten Syntax verfasst sind.
Der Admin hat zwei Möglichkeiten, Su-
ricata mit Angriffsdefinitionen zu versor-
gen: Er legt entsprechende Regeln entwe-
der selbst an oder greift auf vordefinierte
Regeln zurück, die im Netz von verschie-
denen Stellen kostenfrei und kostenpflich-
tig angeboten werden.
Die Suricata-Sprache
Festgelegte Regeln für Suricata folgen ei-
ner strengen Syntax und bestehen aus drei
Feldern. Das erste Feld markiert gleich
die Aktion, die Suricata für Datenpakete
ausführen soll, die es im Netzwerkverkehr
erkennt. In den meisten Fällen ist die Ak-
Bild 2: Zwei Beispiele für Logging in Suricata:
Hier gibt Suricata seine Alarme wahlweise in eine separate Datei oder ins Syslog aus.
38 Mai 2018
tion "alarm", die Suricata dazu veranlasst,
in seine Logdatei einen entsprechenden
Eintrag zu verfassen. Alternativen dazu
sind "drop" und reject". Erstere sorgt da-
für, dass Suricata beim Einsatz als IPS das
Paket sofort und ohne Rückmeldung an
die Gegenseite verwirft. Bei "reject" hin-
gegen konfiguriert Suricata IPTables so,
dass eine REJECT-Meldung an die Ge-
genseite erfolgt.
Alles hinter dem ersten Leerzeichen legt
die Bedingungen fest, die Datenverkehr
erfüllen muss, damit Suricata sich den
Stream im Detail ansieht. Wer Suricata
etwa auf einem Gateway zwischen seinem
privaten Netz und dem Internet nutzt,
kann hier mittels "tcp $HOME_NET any
-> $EXTERNAL_NET any" erreichen,
dass aus dem privaten Netz in Richtung
Internet gehender Traffic untersucht wird.
"tcp" legt das Protokoll auf TCP/IP fest,
die Variablen "$HOME_NET" und "$EX-
TERNAL_NET" sind in Suricata separat
zu definieren und "any" bezieht sich je-
weils auf den Ziel- und Quellport.
Das dritte Feld ist das wichtigste und spe-
zifiziert die "Rule Options", gibt also ge-
nauere Parameter an, was die jeweilige
Regel prüfen soll. Ein recht simples Bei-
spiel hilft dabei, infizierte Rechner im ei-
genen Netzwerk zu finden, die per IRC-
Protokoll als Mitglied eines Botnets
ferngesteuert werden (Listing 1).
Die Regel ist weniger kryptisch, als sie
scheint: Jedes Feld ist vom nächsten Feld
per Semikolon getrennt; Feld 1 legt die
Nachricht fest, die Suricata auf der Kom-
mandozeile ausgibt oder ins Log schreibt,
falls ihm ein entsprechendes Paket über
den Weg läuft. Die beiden "flow"-Para-
meter legen fest, dass die Regel greift,
wenn es sich um eine Server-Verbindung
Listing 1: Muster für IRC-Trojaner
msg:"ET TROJAN Likely Bot Nick in IRC (USA+
..)", flow:established.to_server;
flowbits:isset.is_proto_irc; content:"NICK
"; pcre:"/NICK .*USA.*[0-9]{3,}/i"; class-
type:trojan-
activity;reference:url.doc.emergingthre-
ats.net/2008124;
reference:url.www.emergingthreats.net/cgi-
bin/cvsweb.cgi/sigs/VIRUS/TROJAN_IRC_Bots;
sid:2008124; rev:2;)
handelt, deren Protokoll IRC ist. "content"
definiert den Beginn der Nachricht. "pcre"
leitet einen regulären Ausdruck (regular
expression) ein, anhand dessen der Inhalt
des Pakets genauer untersucht wird. Das
Feld "classtype" legt die Angriffsart fest
und die beiden "reference"-Einträge geben
schließlich genauere Hinweise auf den er-
kannten Angriff, indem sie auf entspre-
chende Erklärungen im Netz verweisen.
"sid" und "rev" legen fest, unter welcher
ID Suricata die Regel intern führt – das
ist wichtig, wenn der Admin einzelne Re-
geln deaktivieren oder ändern möchte.
Regeln mit
Oinkmaster verwalten
Die nächste Frage ist, wie Sie Suricata mit
den wichtigsten Regeln ausstatten. Woll-
ten Sie für alle Angriffsszenarien selbst
Regeln definieren, wäre das eine ausufern-
de Fleißarbeit. Das ist aber nicht nötig,
denn im Netz finden sich entsprechend
vorbereitete Regeln gratis zum Download.
Ein Beispiel ist die Emerging-Threats-
Liste. Mittels Oinkmaster binden Sie diese
direkt in Suricata ein – ein Artikel im Su-
ricata-Wiki zeigt, wie das funktioniert[2].
In der Anleitung der Suricata-Entwickler
erfahren Sie auch, wie Sie einzelne Regeln
anhand ihrer SID gezielt deaktivieren, oh-
ne Suricata gleich ganz auszuschalten.
Zusätzlich kommt Suricata übrigens ab
Werk auch mit einigen Regeln, die in den
Dateien in "/etc/suricata/rules" definiert
sind. Damit diese Regeln greifen, ist es
jedoch notwendig, die jeweiligen Dateien
in "/etc/suricata/suricata.yml" in der Re-
gelliste zu aktivieren.
Suricata als IDS
Die Nutzung als IDS ohne aktives Ein-
greifen in die Systemkonfiguration ist der
Standardmodus von Suricata. In "/etc/su-
www.it-administrator.de

ricata/suricata.yaml" konfigurieren Sie
dazu zunächst den Eintrag "default-log-
dir". Haben Sie Suricata mittels Paketma-
nager installiert, ist der voreingestellte
Wert in der Regel in Ordnung. Zusätzlich
widmen Sie sich in "suricata.yaml" der
"outputs"-Sektion: Dort ist beschrieben,
welche Art von Output Suricata wohin
ausgibt. Es empfiehlt sich, wenigstens das
"fast"-Log zu aktivieren, dann sehen Sie
produzierte Alarme. Aktivieren Sie sämt-
liche Logs, wird Suricata sehr langsam.
Eine ausführliche Beschreibung der Op-
tionen fürs Logging finden Sie im Suri-
cata-Wiki [3].
Wenn in "suricata.yaml" das Logging kon-
figuriert und die Signaturdateien gemäß
den Oinkmaster-Vorgaben aktiviert sind
(Bild 2), genügt es, Suricata zu starten
und es dabei auf eine Netzwerkschnitt-
stelle loszulassen:
$ suricata -c /etc/suricata/surica-
ta.yaml -i bond0 --init-errors-fa-
tal
Haben Sie Suricata per Paketmanager in-
stalliert, liegt diesem möglicherweise auch
ein Init-Skript oder eine Systemd-Unit
bei, die die Steuerung übernimmt.
Einsatz als IPS
Wenn Suricata auch als IPS zum Einsatz
kommen soll, ist dafür gar nicht so viel
Umkonfiguration nötig. Wichtig ist je-
doch, dass Sie sich die Suricata-Regeln
anschauen. Dort, wo Regeln "alarm" als
Aktion beim ersten Feld definiert haben,
müssen Sie gegebenenfalls ran: Soll Su-
ricata die entsprechenden Flows verwer-
fen, muss hier statt "alarm" wahlweise
"drop" oder “reject" stehen.
Danach ist es nötig, mittels IPTables sämt-
liche Pakete so umzuleiten, dass sie bei
Suricata vorbeikommen. Kommt Suricata
etwa auf einem Gateway zum Einsatz, ist
das feste Anheften an eine Netzwerk-
schnittstelle nicht genug. Schließlich kann
Traffic aus mehreren Richtungen über
mehrere Interfaces ankommen oder das
Setup verlassen. Exemplarisch sei anhand
der IPTables-FORWARD-Chain beschrie-
ben, wie Sie allen Traffic an Suricata vor-
beischleusen:
Link-Codes eingeben auf www.it-administrator.de
Bild 3: In Kombination mit ElasticSearch, LogStash und Kibana
werden die durch Suricata gesammelten Logs ansehnlich.
$ iptables -N SURICATA iptables -A
FORWARD -j SURICATA iptables -A
SURICATA -j NFQUEUE
Suricata macht sich bei diesem Szenario
NFQueue zunutze, das in IPTables für
ähnliche Zwecke extra eingebaut ist. Dann
starten Sie Suricata wie gewohnt:
$ suricata -q 0 -c /etc/suricata/
suricata.yml
Wer mehrere Threads für Suricata nutzen
möchte, modifiziert dazu einerseits die
zuvor genannte IPTables-Regel und hängt
an "-j NFQUEUE" noch "queue-balance
0:3" sowie an Suricata die zusätzlichen
Parameter "-q 1", "-q 2" und "-q 3" an.
Die Log-Ausgabe von Suricata lässt sich
mit Werkzeugen wie Grafana oder Kibana
visualisieren. Das Setup ist dann aller-
dings etwas komplexer: Für Kibana sorgt
der Admin zunächst dafür, dass die Log-
dateien von den jeweiligen Systemen ih-
ren Weg in ein ElasticSearch finden, etwa
mittels LogStash oder Fluentd. Dort greift
Kibana auf sie zu und bereitet sie so auf,
dass sie für den Admin gut lesbar sind
(Bild 3). Wer InfluxDB für Zwecke des
Monitorings nutzt, kann die Daten alter-
nativ mittels Telegraf auslesen und sie so
in InfluxDB ablegen lassen. Das ist zwar
einiger Aufwand, der sich jedoch lohnt.
Clients mit Suricata absichern
Bisher ging es um die Absicherung und
Überwachung von Servern im Rechen-
zentrum. Das ist aber nur ein Teilbereich
des Vektors, den Bösewichte regelmäßig
für Angriffe verwenden. Desktops, Lap-
tops, Smartphones, Tablets und andere
Geräte mit alltäglichem Bezug sind eben-
Suricata Praxis
so denkbare Angriffsziele wie typische
RZ-Infrastruktur. Es schadet deshalb
nicht, Suricata auch für dieses Einsatz-
szenario in Erwägung zu ziehen und den
Traffic zu durchleuchten, der von Clients
ausgeht. Das Setup vieler Firmen spielt
diesem Use Case sogar in die Hände: Oft
ist den Clients der direkte Zugriff auf das
Internet gar nicht erlaubt; stattdessen
kommt ein Zwangsproxy zum Einsatz,
der etwa unliebsame Websites anhand
verschiedener Mechanismen erkennt und
den Zugriff auf sie blockiert. Dann kann
Suricata etwa auf dem Proxy andocken
und den fließenden Datenverkehr dort
unmittelbar überwachen.
Fazit
Suricata hinterlässt sowohl als Intrusion
Detection System als auch als Intrusion
Prevention System einen sehr guten Ein-
druck. Die Technik des Programms wirkt
ausgereift und sein Betrieb ist sehr stabil.
Minuspunkte gibt es dafür, dass nicht für
jede aktuelle (Enterprise-)Distribution
fertige Pakete zur Verfügung stehen. Im
schlimmsten Fall muss der Admin also
zum Compiler greifen und Suricata selbst
aus den Quellen übersetzen. Wer diese
Hürde hinter sich gebracht hat, darf sich
aber über deutlich bessere Analysever-
fahren im eigenen Netzwerk freuen. Die
im Netz erhältlichen Angriffssignaturen
tragen hierzu erheblich bei. (of)
Link-Codes
[1] Suricata für Ubuntu 16.04
I4P61
[2] Regeln mit Oinkmaster verwalten
I4P62
[3] Optionen für suricata.yaml
I4P63
Mai 2018 39
Schulungen mit H5P

Auf der Schulbank

von Dr. Holger Reibold

Mitarbeiter sollten regelmäßig in Sachen IT geschult werden. Denn nicht

nur findet immer wieder neue oder aktualisierte Software ihren Weg ins
Unternehmen, auch die Security-Awareness bleibt nur dank wiederkeh-
render Schulungen erhalten. Um den Unterricht dabei ansprechend und
informativ zu gestalten, bietet sich mit H5P eine interaktive Lernplatt-
form an. Diese ist leicht aufzusetzen und zu bedienen.

Quelle: jenifoto – 123RF

eine Frage: Medienkompetenz
K wird in Zukunft immer wichtiger.
Das gilt für Schüler ebenso wie für die
Mitarbeiter von Unternehmen. Mit H5P
[1] gibt es eine benutzerfreundliche Lö-
sung, mit der auch Nichttechniker pro-
blemlos interaktive Lerninhalte erstellen
können. H5P als Akronym für "HTML5
Package" ist eine Editorumgebung, mit
der sich interaktive (Lern-)Inhalte ge-
nerieren lassen, die dann in bestehende
Websites integriert werden können. Da-
zu bedarf es lediglich eines Wirtssys-
tems, in dem der Content erzeugt und
publiziert wird. Aktuell existieren ent-
sprechende Plug-ins für Drupal, Moodle
und WordPress.
(Norwegian Digital Learning Arena) ge-
fördert. Im Januar 2018 feierte H5P sei-
nen fünften Geburtstag.
Voraussetzungen schaffen
Das Projekt verfolgte von Anfang an die
Intention, dass die Inhalte auch ohne
technische Kenntnisse erstellt werden
können. Die Inhalte können über die
H5P-Website oder aber in einer eigenen
Webumgebung erzeugt und gehostet wer-
den. Im ersten Fall benötigen Sie einen
Account auf h5p.org, in zweiten Fall in-
stallieren Sie das Plug-in in einer Dru-
pal-, Moodle- oder WordPress-Website.
Zur Inbetriebnahme von H5P bedarf es
einer bestehenden Wirtumgebung. Dru-
pal, Moodle und WordPress stellen In-
stallationsfunktionen für die entsprechen-
den Plug-ins bereit. Der einfachste Weg:
Sie laden sich die benötigte Erweiterung
von der H5P-Website [2] herunter und
installieren diese über den Plug-in-In-
stallationsmechanismus der jeweiligen

Prinzipiell können die interaktiven H5P-

Inhalte auch in andere Umgebungen ein-
gebettet oder als Laufzeitumgebung aus-
geführt werden. Dazu erzeugen Sie ein
Archiv, das die verwendeten Medien,
Programmbibliotheken (JavaScript, CSS)
und entsprechende Konfiguration
(JSON) umfasst. Insbesondere Medien-
pädagogen schwärmen von den vielfäl-
tigen Anwendungsmöglichkeiten von
H5P: Sie können Lehrvideos anreichern,
Inhalte interaktiv gestalten, Fragebögen
und Multiple-Choice-Tests erstellen, Lü-
ckentexte zum Ausfüllen oder Drag-and-
Drop-Aufgaben mit Bildern und Texten
generieren. Das Projekt wurde ursprüng- Bild 1: H5P ist installiert und kann über das Interface der Host-Umgebung
lich mit öffentlichen Geldern der NDLA (in diesem Beispiel WordPress) eingesetzt werden.

40 Mai 2018 www.it-administrator.de


Host-Umgebung. Besonders einfach ist
der Vorgang unter WordPress. Hier ver-
wenden Sie die Suche der Plug-in-Ver-
waltung, installieren und aktivieren das
Modul. Anschließend finden Sie die
H5P-Funktionen im gleichnamigen Me-
nüeintrag des WordPress-Back-Ends.
Hier können Sie dann erste interaktive
Content-Elemente erstellen oder sich ad-
ministrativen Aufgaben widmen.
Vor der eigentlichen Installation sind wie
bei vielen anderen PHP-basierten Ap-
plikationen Änderungen an der Datei
"php.ini" notwendig. Hier bestimmen Sie,
wie groß die Dateien sein können, die in
das System geladen werden. Damit Sie aus-
reichend große Dateien hochladen können,
sollten Sie der Option "upload_max_file-
size" den Wert "64M" und "post_max_size"
den Wert "128M" zuweisen.
Erste interaktive
Inhalte generieren
Nach der Installation der H5P-Plug-ins
ist die Host-Umgebung um mehrere H5P-
Menüeinträge erweitert. Wenn Sie mit
WordPress arbeiten, finden Sie unterhalb
des "Einstellungen"-Menüs den neu er-
zeugten Menüeintrag "H5P-Inhalt", über
den Sie neue Inhalte erzeugen, auf die Bi-
bliotheken zugreifen und die Ergebnisse
von Tests abrufen. Das Plug-in erweitert
außerdem die Konfiguration der Host-
Umgebung. Im Falle von WordPress fin-
den Sie im Menü "Einstellungen" das neue
Untermenü "H5P".
Um ein erstes interaktives Content-Ele-
ment zu erzeugen, führen Sie den Be-
fehl "Erstellen" des H5P-Menüs aus. Im
gleichnamigen Dialog weisen Sie dem
Element zunächst eine Bezeichnung zu.
Anhand eines einfachen Beispiels sei
die typische Vorgehensweise erläutert.
Nehmen wir an, Sie möchten einen On-
linetest zum Thema "Internet-Sicher-
heit" erstellen. Sie öffnen das Auswahl-
menü "Inhaltstyp auswählen" und
navigieren zu einem geeigneten Con-
tent-Typ. Alternativ verwenden Sie die
Suche, wenn Sie exakt wissen, welchen
Typ Sie verwenden wollen. In unserem
Beispiel verwenden wir das Element
"Multiple Choice" und klicken auf
"Übernehmen". H5P präsentiert Ihnen
www.it-administrator.de
Bild 2: Das erste interaktive Content-Element entsteht mit H5P.
Mit dem Content-Typ bestimmen Sie die Art des Elements.
anschließend einen Modul-spezifischen
Dialog mit verschiedenen Zusatzinfor-
mationen und der Installationsmöglich-
keit. Jedes Modul muss individuell in-
stalliert werden. Ein einmal installiertes
Modul steht für die spätere Verwendung
zur Verfügung, muss also nicht jedes
Mal neu installiert werden.
Wie wir es von anderen Plattformen ken-
nen, stehen zu jedem Modul Zusatzin-
formationen, Screenshots und Lizenzin-
formationen zur Verfügung. Betätigen Sie
die "Installieren"-Schaltfläche, um das
Multi-Choice-Modul einzurichten. Nach
der Installation klicken Sie auf "Benutzen",
um den Fragebogen anzulegen. Im Falle
eines Multiple-Choice-Tests können Sie
diesem ein Bild zuweisen. Dann geben
Sie die Fragen und die möglichen Ant-
worten an. Markieren Sie die richtige Ant-
wort beziehungsweise die richtigen Ant-
worten mit "Korrekt!". Sollten weitere
Antworten benötigt werden, wählen Sie
"Option hinzufügen".
Für die Bewertung der Antworten ver-
wenden Sie die Funktion "Gesamt-Feed-
back". Hier legen Sie Wertebereiche und
die zugehörigen Bewertungen an. Konkret
Schulungen mit H5P Praxis
können Sie beispielsweise dem Bereich 0
bis 30 Prozent das Attribut "Ungenügend",
dem Bereich 31 bis 69 das Attribut "Be-
friedigend" und dem Bereich 70 bis 100
Prozent den Wert "Klasse" zuweisen.
Im Falle des Multi-Choice-Moduls steht
Ihnen in den Moduleinstellungen eine
Fülle weiterer Konfigurationsmöglich-
keiten zur Verfügung. Sie können bei-
spielsweise die Wiederholung und die
Anzeige der korrekten Lösungen zulas-
sen. Damit Wiederholer nicht das Mus-
ter der falschen Antworten bei einem
Zweitversuch nutzen können, aktivieren
Sie die Option "Zufällige Antworten".
Das Modul zeigt standardmäßig die er-
reichte Punktzahl.
Sie können auch die Mindestanforde-
rung für das Bestehen definieren. Die ist
standardmäßig auf den Wert "100" ge-
setzt. Beachten Sie, dass diese Konfigu-
ration oft keine Wirkung zeigt. Mit ei-
nem abschließenden Klick auf "Erstellen"
sichern Sie Ihren ersten Test. Das H5P-
Menü führt alle erstellten Content-Ele-
mente in Tabellenform auf. Dort können
Sie beispielsweise auf einen Blick erken-
nen, bei welchen Elementen neue Ergeb-
Mai 2018 41
Praxis Schulungen mit H5P
nisse vorliegen. Auch das Bearbeiten ist Wenn diese ausführbar ist, bedeutet dies,
am einfachsten über die Content-Ele- dass Sie Inhalte mit dieser Bibliothek er-
mentenliste möglich. stellen können. Nicht ausführbare Biblio-
theken werden in der H5P-Terminologie
H5P installiert mit jedem neuen vorde- auch als Dienstprogrammbibliothek be-
finierten Content-Typ spezifische Biblio- zeichnet und greifen ihrerseits auf andere
theken. In einem H5P-Archiv sind Inhalte Bibliotheken zurück. Das Konzept der Bi-
sowie eine oder mehrere Bibliotheken ge- bliotheksabhängigkeiten funktioniert ein-
bündelt. Dabei sorgen die Bibliotheken fach: Eine interaktive Videobibliothek ist
für die Funktionalität und das Design. beispielsweise von der Videobibliothek
Die eigentlichen Inhalte, also primär Tex- abhängig, wobei diese wiederum für das
te, Einstellungen und Mediendateien, Rendern des Videos zuständig ist. Die in-
steuern das Verhalten und die Darstellung teraktive Bibliothek ist wiederum für die
mit Hilfe der Bibliotheken. Prinzipiell Darstellung aller Interaktionen über das
kann eine Bibliothek lauffähig sein, muss Video verantwortlich. H5P kennt über
aber nicht. 200 solcher Bibliotheken, viele allerdings
Ausgewählte Contenttypen
Element Beschreibung
Mit diesem Element können Sie einfache Übungen in den vier
Arithmetic Quiz
Grundrechenarten erstellen.
Erlaubt das interaktive Zusammenfügen verschiedener Inhalte.
Column Bilder, Textbausteine und Trennlinien erlauben eine ansprechen-
de Präsentation komplexer Inhalte.
Erlaubt die Gestaltung unterschiedlicher Ausgangsinhalte in
Course Presentation Form einer klassischen Präsentation. Kann auch mit Multiple-
Choice-Elementen und interaktiven Videos gespickt werden.
Stellt einen Assistenten bereit, mit dessen Unterstützung der
Documentation Tool Anwender einen Projektleitfaden mit Angaben von Zielen, Pro-
jektarbeiten, Evaluierung und Abschlussbericht erstellt.
Texte werden in kleine Bauteile unterteilt und können dann in
Drag the Words
der richtigen Reihenfolge zusammengesetzt werden.
Erlaubt das Hochladen von Bildern, bei denen im zweiten Schritt
Bereiche erstellt werden, die Informationen zu diesen enthalten.
Image Hotspots
Dabei kann es sich um Texte, aber auch um Audio- und Videoin-
halte handeln.
Hierbei handelt es sich um eines der beliebtesten Content-Ele-
mente. Stellt einen einfachen Videoeditor zur Verfügung, mit
Interactive Video
dem Sie interaktive Elemente wie Fragen, Links et cetera einbet-
ten können.
Dieser Elementtyp stellt umfangreiche Funktionen für das Er-
stellen von Fragebögen mit verschiedenen Fragetypen zur Verfü-
Quiz (Question Set) gung. Es können Lückentexte, Drag-and-Drop-Aufgaben mit Bild
oder Text, Multiple-Choice-Fragen und Wortmarkierungen in das
interaktive Content-Element eingebettet werden.
Klassisches Memory-Spiel, bei dem der Nutzer zwei verdeckte
Memory Game Karten aufdeckt und zuordnet. Dabei sind verschiedene Zuord-
nungen denkbar, beispielsweise Gegensätze oder Vokabelpaare.
Dieses Element eignet sich für das Erkunden und Ausprobieren
von Inhalten, mit denen der Schüler noch nicht vertraut ist. Da-
Summary zu werden Aussagen verwendet. Wählt der Schüler den korrek-
ten Eintrag, gelangt er zur nächsten Seite. Am Schluss werden
alle Informationen gebündelt präsentiert.
Dieses Element erlaubt die Erstellung eines interaktiven Zeit-
Timeline
strahls, der Ereignisse mit Text, Bildern und Videos besitzt.
Erlaubt das Einbetten von einfachen Falsch-Richtig-Optionen in
True/False Question
eine Präsentation.
42 Mai 2018
in unterschiedlichen Versionen. Der
Übersicht können Sie insbesondere Ab-
hängigkeiten entnehmen.
Administrative Aufgaben
H5P macht sich primär die administra-
tiven Funktionen der Hostumgebung zu-
nutze, beispielsweise die Benutzerver-
waltung. Hier müssen Sie primär die
Funktionen des Hosts anwenden. Wenn
Sie mit WordPress arbeiten, stehen Ihnen
im Menü "Einstellungen / H5P" einige
Konfigurationsmöglichkeiten zur Verfü-
gung. Diese beziehen sich allerdings pri-
mär mehr auf gestalterische Aspekte. Sie
können beispielsweise die Ansicht der
Buttons konfigurieren. Sie können au-
ßerdem Beschränkungen der Inhaltsty-
pen vornehmen und die automatische
Erstellung und Übermittlung der Benut-
zerstatistik aktivieren.
Besonders einfach ist die Übertragung
von einzelnen Mini-Anwendungen zwi-
schen H5P-Sites. Dazu muss zunächst in
den H5P-Einstellungen der Download
zugelassen werden. Der kann permanent
unterbunden oder für Redakteure und
für alle Benutzer freigegeben werden.
Nach der Freigabe können berechtigte
Nutzer ein Content-Element über den
Download-Link herunterladen. Der Im-
port ist ähnlich einfach: Sie erzeugen ein
neues Element und verwenden im zuge-
hörigen Dialog die Upload-Funktion.
Sicherheit an Bord
PHP-basierte Applikationen wie die
möglichen H5P-Hosts WordPress & Co.
sind nicht gerade für ihre Sicherheit
bekannt. Mit einem eigenen Sicherheits-
modell versucht die Umgebung, etwai-
gen Sicherheitsproblemen entgegenzu-
wirken. H5P erzeugt Archivdateien mit
der Dateierweiterung "H5P". Bevor eine
Datei in ein Archiv gepackt wird, erfolgt
ein Abgleich mit einer editierbaren
Whitelist. Dateien mit einer unbekann-
ten Dateierweiterung werden nicht in
das H5P-Archiv aufgenommen.
H5P führt außerdem bei allen Eingaben
eine Gültigkeitsprüfung durch. So werden
unsichere Parameter, Protokollangaben
oder kritische Eigenschaften vom System
ferngehalten. Die verschiedenen interak-
www.it-administrator.de
tiven Funktionen basieren primär auf JavaScript-Bibliotheken.
Intensiv-Seminar
Jede dieser Bibliotheken ist für das Voranstellen von Dateispei-
Aufbau ein
cherorten mit einem Bibliothekspfad oder einem Inhaltspfad
verantwortlich, damit die Benutzer URLs nicht manipulieren
können. Bisherige H5P-Versionen besitzen eine weitere Angriffs-
unter Win
er PKI
möglichkeit: Die Response wird auf der Client-Seite ausgewertet.
Das bedeutet, dass die korrekte Antwort bereits auf der Clientseite
dows
existiert und manipuliert werden kann. Dieses Problem werden
erst zukünftige Versionen lösen, indem die Verarbeitungsfunk-
tionen auf die Server-Seite verschoben werden.

Wollen Sie den Zugriff auf bestimmte Inhalte und Module re-
glementieren, können Sie diese mit den Access-Control-Me-
chanismen der Host-Applikation schützen. In Foren taucht

Quelle: goodluz – 123RF.com

immer wieder die Frage auf, wie sich der Download von H5P-
Content-Elementen verhindern lässt. Hierfür gibt es keine
wirksame Funktion. Einzig mit dem X-Frame-Options "HTTP
Response Header" können Sie Clickjacking-Attacken verhin-
dern und dass die Elemente in fremde Webseiten eingebettet
werden können.

Entwickler können außerdem funktionale Erweiterungen

und Anpassungen vornehmen. Die notwendigen Informa-
tionen für Button-, Design- und weitere Anpassungen finden 3. bis 5. Juli 2018
Sie in der umfangreichen Dokumentation. Von Vorteil für
Anwender ist außerdem, dass über die Projektwebsite eine Hamburg
Vielzahl von Beispielen bereitsteht, die die praktische Imple-
mentierung von pädagogisch sinnvoll gestalteten Elementen 19. bis 21. September 2018
verdeutlichen.
München
Die Entwickler haben für die Zukunft noch einige interessante
Funktionen angekündigt, die H5P noch spannender machen Anmeldung unter:
werden. So befindet sich beispielsweise eine Auswertungsfunk-
tion für das Backend in Vorbereitung und H5P soll durch Add-
www.it-administrator.de/
ons erweitert werden können. Mobile Apps sollen die Offline- trainings
Nutzung der Lerninhalte ermöglichen. Die Wiederverwert-
barkeit und die Interoperabilität mit anderen Lösungen stehen
Unser Angebot: Seminarpreise:
ebenfalls auf der To-do-Liste der Entwickler.
- Maximal 12 Teilnehmer Sonderpreis für
je Seminar Abonnenten des IT-Administrator:
Fazit
- Einen Rechner für jeden
Mit der Verfügbarkeit von H5P gibt es für Administratoren
Teilnehmer 1.490 Euro
keine Ausreden mehr, die Erstellung von digitalen Lerninhalten (inkl. 19% MwSt.)
- 3-tägiges Intensivseminar, das
für Mitarbeiter wäre zu kompliziert, zu zeitintensiv und zu
am ersten Tag um 10 Uhr für Nicht-Abonnenten:
teuer. Die quelloffene Umgebung zeigt, wie interaktives Lernen beginnt und am 3. Tag
in Zukunft aussehen kann. Selbst weniger versierte Anwender gegen 16 Uhr endet.
1.670 Euro (inkl. 19% MwSt.)
können nach kurzer Einarbeitungszeit interaktive Lerninhalte
generieren. Die wenigen Unzulänglichkeiten von H5P wie die Ihr Dozent: Agenda:
nicht durchgängige Lokalisierung verzeihen wir einer ansons-
- Grundsätzliche PKI-Alternativen & -Voraussetzungen
ten geglückten Lösung. (dr)
- Richtlinien und PKI (Zertifikatrichtlinie, Sicherheitsrichtlinie,
Zertifikatsverwendungserklärung)
Link-Codes - Entwurf einer Zertifizierungsstellenhierarchie
- Organisation der ausstellenden Zertifizierungsstellen
[1] H5P - Auswahl einer Architektur
I5P91 - Identifikation PKI-fähiger Anwendungen
[2] Erweiterungen für H5P - Bestimmung von Anforderungen (Sicherheit, Technik,
Betrieb, Externe, Active Directory)
I5P92
- Grundlagen PKI
- PKI-fähige Anwendungen (Code-Signing, Bereitstellung von
Smartcards, sichere E-Mail et cetera)
- Wifi mit 802.1x Authentifizierung
Link-Codes eingeben auf www.it-administrator.de Michael Buth - Windows Enterprise Zertifikatsdienste nutzen
Personenbezogene Daten für EU-DSVGO identifizieren
für Daten

Quelle: Artem Oleshko – 123RF

Nichts übersehen!
von Martin Kuppinger

Das neue EU-Datenschutzrecht bringt IT-Verantwortlichen

zahlreiche Neuerungen im Umgang mit personenbezoge-
nen Daten. Oft genannt werden die gestärkten Rechte der
Betroffenen, die hohen Bußgelder bei Verstößen und die
umfangreiche Dokumentationspflicht. Doch oft steht die
IT-Mannschaft vor einem scheinbar viel trivialeren Problem:
Wo sind eigentlich die Daten? Denn nur wer weiß, wo
personenbezogene Daten liegen, kann die regulatorischen
Anforderungen erfüllen.

ie EU-DSGVO (Datenschutz-
D Grundverordnung), die am 25.
Mai wirksam wird, bringt viele Änderun-
gen mit sich. Das beginnt damit, dass sie
als "Regulation" im Gegensatz zur "Di-
rective" das nationale Recht überschreibt
und nicht erst in nationale Gesetze um-
gesetzt werden muss. Sie hat auch einen
viel größeren Wirkungsbereich als die
bisherigen Regulierungen, weil sie für alle
Unternehmen gilt, die mit in der EU an-
sässigen Personen Geschäfte machen, wo-
zu beispielsweise auch soziale Netzwerke
oder Suchmaschinen zählen.
Definition personen-
bezogener Daten
Viele der Regelungen innerhalb der
DSGVO setzen dabei unmittelbar voraus,
dass Unternehmen wissen, wo die perso-
nenbezogenen Daten liegen. Der Begriff
der personenbezogenen Daten ist in der
DSGVO dabei sehr weit definiert und
umfasst alle Daten, die sich auf identifi-
zierte oder identifizierbare Personen be-
ziehen, wobei Artikel 4 (1) der DSGVO
auch eine indirekte Identifikation über
eine Kombination von Faktoren explizit
als personenbezogene Daten definiert.
Zu den Regelungen der DSGVO, die kei-
neswegs alle neu für den deutschen Rechts-
raum sind, zählen die in den Artikeln 12
bis 22 definierten Rechte der Betroffenen.
Dazu gehören das Recht auf Löschung von
Daten ("right to be forgotten"), aber auch
Auskunftsrechte, das Recht auf Datenmit-
nahme oder das Recht, die Verarbeitung
der eigenen personenbezogenen Daten zu
beschränken. Die aus den Rechten der Be-
troffenen entstehenden Pflichten für Un-
ternehmen lassen sich nur umsetzen, wenn
der IT-Verantwortliche weiß, wo welche
personenbezogenen Daten liegen, und
wenn er – was sehr komplex sein kann –
technisch in der Lage ist, beispielsweise die
Verarbeitung der Daten einer bestimmten
Person zeitweilig zu unterbinden.
Auch im Kontext der Regelungen zu
Schutzverletzungen ("Data Breaches") ist
das Wissen darüber, welche personenbe-
zogenen Daten eigentlich wo liegen, wich-
tig. Nur dann kann das Unternehmen ent-
scheiden, ob eine solche Schutzverletzung
vorliegt und damit die in den Artikeln 33
und 34 beschriebenen Benachrichtigungs-
pflichten einerseits der Datenschutzauf-
sichtsbehörden und andererseits der Be-
troffenen erfolgen müssen.
Ort der Verarbeitung kennen
Die DSGVO gibt aber auch vor, welche
Flüsse von personenbezogenen Daten wie
dokumentiert werden müssen, beispiels-
weise hin zu externen Datenverarbeitern.
Auch ein Datenfluss kann nur beschrieben
werden, wenn er bekannt ist. Die Heraus-
forderung entsteht hier nicht so sehr durch
Situationen, in denen Unternehmen ex-
plizit personenbezogene Daten verarbeiten
lassen, als durch die Fälle, in denen Daten
fließen, die indirekt geeignet sind, Perso-
nen zu identifizieren. Aber auch durch die
Situationen, in denen solche Daten bei-
spielsweise von Apps weitergegeben wer-
den: "Diese App möchte auf ihre Kontakte
zugreifen" ist in diesem Zusammenhang
eine durchaus heikle Anforderung.
Ganz konkret wird die Anforderung im Zu-
sammenhang mit den im Bild gezeigten
Standardphasen der Datenschutz-Folgen-
abschätzung (DPIA, Data Protection Impact
Assessment), wie sie von der DSGVO für
besonders sensible personenbezogene Daten
vorgeschrieben wird. Zu diesen Phasen ge-
hört explizit die Identifikation der Systeme,
die personenbezogene Daten verarbeiten.
Auch aus weiteren Artikeln der DSGVO
lässt sich zumindest indirekt die Anfor-
derung ableiten, genau zu wissen, welche
personenbezogenen Daten in welchen
Systemen verarbeitet werden. So gibt die
neue Regulierung vor, dass geeignete
Schutzmaßnahmen für personenbezoge-
ne Daten auf dem Stand der Technik er-
griffen werden müssen. Schützen lässt
sich aber nur Bekanntes.
Zusammenhänge zwischen
Personen: Sonderfall Familie
Nicht unmittelbar mit den gespeicherten
Daten hängen die Regelungen der

44 Mai 2018 www.it-administrator.de


Die wichtigsten Schritte der Datenschutz-Folgenabschätzung laut den von der EU-Kommission
vorgeschlagenen Phasen für eine Datenschutz-Folgenabschätzung.
DSGVO zu den Zustimmungsregelungen
(Consent) von Kindern zusammen, die
in Artikel 8 definiert sind. Hier wird vom
Datenverarbeiter erwartet, dass er in ver-
nünftigem Rahmen versucht, die Zustim-
mung der Eltern respektive Erziehungs-
berechtigten zu erhalten.
Das ändert nichts an der Herausforde-
rung zu wissen, wo personenbezogene
Daten eines Betroffenen liegen. Allerdings
wird die Zuordnung zwischen den per-
sonenbezogenen Daten, dem Betroffenen
und denjenigen, die der Verarbeitung zu-
stimmen müssen respektive die in den
Artikeln 12 bis 22 definierten Rechte ein-
fordern können, noch einmal komplexer.
In der Gesamtsicht auf die verschiedenen
Regelungen bedeutet das, dass Sie sowohl
wissen müssen, wo Daten liegen, als auch
zu wem sie gehören und welche Zustim-
mungen der Betroffene oder andere für
ihn zuständige Personen gegeben haben.
Die Daten finden
Dass ein Unternehmen wissen muss, wo
seine personenbezogenen Daten liegen,
von welchen Systemen sie genutzt werden
und auch wer sie verarbeitet, ergibt sich
unmittelbar oder mittelbar aus einer Viel-
zahl an Einzelregelungen innerhalb der
DSGVO. Dabei geht es keineswegs nur
um die zentralen Systeme wie beispiels-
weise das CRM (Customer Relationship
www.it-administrator.de
NEWSLETTER
jetzt abonnieren:
Management), sondern um alle Systeme,
die zentral oder dezentral personenbezo-
gene Daten speichern und verarbeiten –
wobei der Begriff des "Processing" in der
DSGVO bereits die Speicherung umfasst.
Aus dieser weiten Definition entsteht eine
spezielle Herausforderung, da beispiels-
weise auch Excel-Dateien, in denen per-
sonenbezogene Daten liegen, die aus an-
deren Systemen für Analysezwecke
exportiert wurden, unter die Regelungen
der DSGVO fallen. Es ist noch vergleichs-
weise einfach, einen Überblick über die
zentralen Systeme zu gewinnen, die per-
sonenbezogene Daten verarbeiten. Es ist
aber ausgesprochen komplex, das für die Jede Woche aktuelle
gesamte Vielfalt der Systeme auf die Beine
zu stellen. Hier gibt es keine einfachen News, freie Artikel
technischen Lösungen. Unternehmen
müssen sowohl technische als auch orga-
und Admin-Tipps
nisatorische Maßnahmen ergreifen, um
diese Herausforderungen zu adressieren.
Ein erster Schritt dabei ist ein geeignetes
IT-Assetmanagement, das die datenverar-
beitenden (zentralen) Systeme vollständig
erfasst. Viele, insbesondere größere Unter-
nehmen, haben solche Werkzeuge bereits
im Einsatz. Wichtig dabei ist, dass hier auch
gekennzeichnet wird, ob und welche Daten
die Systeme verarbeiten. Viele Firmen iden-
tifizieren heute zwar kritische Assets im
Sinne der Auswirkungen auf das Business,
wie beispielsweise Handelssysteme in Ban-
www.admin-magazin.de/
newsletter
Praxis DSGVO: Personenbezogene Daten
ken, durch deren missbräuchliche Nutzung
massive Schäden bis hin zur Gefährdung
des Unternehmens entstehen können. Sie
beziehen aber die nun durch die DSGVO
entstehenden Risiken noch nicht ein. Letzt-
lich bedeuten aber die Regelungen der
DSGVO im Ergebnis, dass auch die nicht
den Vorgaben entsprechende Verarbeitung
personenbezogener Daten ein System zu
einem "kritischen Asset" machen kann. Das
IT-Assetmanagement sollte also konse-
quent nicht nur erfassen, welche Systeme
es gibt, sondern die Systeme, die personen-
bezogene Daten verarbeiten, entsprechend
identifizieren.
Neben der Erfassung von Systemen geht
es im nächsten Schritt auch darum zu do-
kumentieren, wie Daten fließen. Daten,
die sich lokal auf Clients laden lassen kön-
nen, beispielsweise Kontaktdaten oder
Exporte in Excel-Tabellen, sollten konse-
quent dokumentiert werden. Damit lassen
sich dann auch die Vorgaben zur Doku-
mentation des Datenflusses erfüllen.
Dennoch ist es nicht trivial herauszufin-
den, wo personenbezogene Daten liegen,
insbesondere wenn es um die dezentrale
Verarbeitung geht. Hier sollte sich der Blick
neben der manuellen, Tool-unterstützten
Dokumentation beispielsweise über das
IT-Assetmanagement insbesondere auf die
eDiscovery-Werkzeuge richten, die es
schon seit langer Zeit gibt. eDiscovery be-
zeichnet Lösungen, mit deren Hilfe sich
Dokumente mit spezifischem Inhalt in den
IT-Systemen identifizieren lassen. Der Fo-
kus der DSGVO ist zwar wesentlich breiter
als die Regulierungen beispielsweise im
Finanzsektor, für die solche Tools ur-
sprünglich eingesetzt wurden – der Ansatz
ist aber vergleichbar.
Weitere Lösungsansätze kommen aus den
Bereichen der DLP (Data Leakage Pre-
vention) und der Informationsklassifizie-
rung. DLP-Anwendungen werden heute
vielfach eingesetzt, um das unerlaubte
Versenden und Weitergeben von Infor-
mationen in elektronischer Form zu ver-
hindern. Sie können das innerhalb ihrer
technischen Grenzen – beispielsweise der
genauen Erkennung, um welche Infor-
mationen es sich handelt – auch für per-
sonenbezogene Daten tun und dabei nicht
46 Mai 2018
nur die unerlaubte Weitergabe beschrän-
ken, sondern Unternehmen auch dabei
unterstützen, die Quellen dieser Infor-
mationen zu identifizieren. Werkzeuge
für die Informationsklassifizierung wer-
den häufig in Verbindung mit DLP ein-
gesetzt, weil die Klassifizierungen der
DLP bei der Filterung von Inhalten hel-
fen. Eine Klassifizierung von Informatio-
nen als "personenbezogen", mit Unter-
stützung sowohl durch automatisierte als
auch manuelle Verfahren, ist damit ein
weiterer wichtiger Baustein auf dem Weg
zur DSGVO-Compliance.
Auch IAM (Identity and Access Manage-
ment, Benutzer- und Berechtigungsma-
nagement) oder, weiter definiert, IGA
(Identity Governance and Administration)
hilft dabei, die Herausforderungen der
DSGVO zu adressieren. Neben dem Schutz
von Systemen mit personenbezogenen Da-
ten (wer darf diese wie nutzen?) können
insbesondere Berechtigungsmanagement-
prozesse und Rezertifizierungsprozesse im
Rahmen der Access Governance auch ge-
nutzt werden, um Systeme mit personen-
bezogenen Daten zu identifizieren.
Alle diese Maßnahmen sind keineswegs
rein technische Maßnahmen. Die Identi-
fikation von Systemen, Applikationen,
Apps, Datenbanken und Dateien, in denen
personenbezogene Daten verarbeitet wer-
den können, ist immer eine Kombination
von technischen und organisatorischen
Maßnahmen. Zu Letzteren gehört insbe-
sondere auch die klare Definition von Re-
geln für die Verarbeitung personenbezo-
gener Daten und ihre Kommunikation an
die Mitarbeiter. Die Kollegen müssen ver-
stehen, was im Kontext der DSGVO er-
laubt ist und was eben nicht. Nur dann
können sie das eigene Nutzungsverhalten
anpassen und auch erkennen, wenn es zu
Schutzverletzungen kommt.
Herausforderung Mobilgeräte
Eine spezielle Herausforderung stellen
mobile Endgeräte dar, auf denen häufig
beispielsweise Kontaktdaten von Kunden
gehalten werden. Unternehmen müssen
die Regeln für die Nutzung dieser End-
geräte und für Apps im Kontext der
DSGVO überprüfen, um unerlaubte Da-
tenflüsse zu verhindern. Das kann auch
Einfluss auf die vertraglichen Regelungen
haben, die mit Kunden getroffen werden.
Auch hier gibt es keinen einfachen Weg:
Gerade bei der Vermischung von privater
und geschäftlicher Nutzung von mobilen
Endgeräten ist aber besondere Vorsicht
geboten, weil im privaten Umfeld in der
Tendenz deutlich mehr Apps genutzt wer-
den, die in viel zu großem Umfang auf
Daten auf den Endgeräten zugreifen.
Auch für die Anbieter solcher Apps gilt
die DSGVO, sodass es hier sicher zu Ver-
änderungen bezüglich des Zugriffs und
der Zustimmungsregeln kommen wird.
Dennoch ist in jedem Fall ein granulares
Management von mobilen Endgeräten
und der darauf installierten Apps wichtig,
um hier potenziell entstehende Compli-
ance-Risiken zu verhindern.
Fazit
Da sich die zweijährige Übergangsphase
bis zum Wirksamwerden der DSGVO dem
Ende zuneigt, fehlt die Zeit, um Werkzeuge
wie eDiscovery-Tools noch vor dem 25.
Mai 2018 auszurollen und so zum Einsatz
zu bringen, dass ein vollständiges Bild der
personenbezogenen Daten im Unterneh-
men entsteht. Wer bisher noch keine ge-
eigneten Maßnahmen implementiert hat,
muss daher einerseits die Schritte einleiten,
um über das IT-Assetmanagement, über
eDiscovery-Werkzeuge, über die Informa-
tionsklassifizierung und über andere Lö-
sungen die erforderliche Übersicht zu und
Kontrolle von personenbezogenen Daten
zu erlangen. Andererseits müssen aber auch
die vorhandenen Werkzeuge wie beispiels-
weise IAM genutzt werden, um so viele In-
formationen wie möglich zu erlangen.
Für diese Sofortmaßnahmen sind auch or-
ganisatorische Maßnahmen von großer Be-
deutung. Sie lassen sich vergleichsweise
schnell definieren und umsetzen, um zu-
mindest die heikelsten Systeme und Nut-
zungsformen identifizieren zu können,
über die sich ohnehin (hoffentlich) schon
im Blickfeld befindlichen zentralen Systeme
wie beispielsweise das CRM hinaus. Der
Blick auf diesen Teilaspekt macht einmal
mehr deutlich, wie umfassend die Auswir-
kungen der DSGVO sind – weit über die
Umsetzung veränderter Zustimmungsre-
gelungen für Benutzer hinaus. (jp)
www.it-administrator.de
Hier werden Sie Windows-10-Insider!
Alles, was Sie über Windows 10 wissen sollten – in einem handlichen Buch!
Die erste Ausgabe der neuen Buchreihe IT-Administrator KOMPAKT bündelt
alle relevanten IT-Administrator-Artikel zum Einsatz des neuen Windows-OS
im Unternehmen: von der Einführung bis zur Sicherheit und allesamt von
unseren renommierten Fachautoren auf den neuesten Stand gebracht.

Sichern Sie sich

jetzt praxiserprobtes
Experten-Know-how zum
Betrieb von Windows 10
im Unternehmen.
Für Abonnenten zum
Vorzugspreis* von
nur Euro 12,90!

Ab sofort in unserem
Onlineshop erhältlich!
Abo- und Leserservice
IT-Administrator
vertriebsunion meynen Tel: 06123/9238-251
* Nichtabonnenten erhalten das Buch für Euro 14,90.
Herr Stephan Orgel Fax: 06123/9238-252 Die Preise verstehen sich inklusive 7% Mehrwertsteuer und Versandkosten im Inland.
D-65341 Eltville leserservice@it-administrator.de

shop.heinemann-verlag.de
Praxis Revisionssichere Datenlöschung
Revisionssichere Datenlöschung im Rahmen der DSGVO
Ausradiert
von Ruud de Wildt
Halten Unternehmen ihre Daten nicht ordnungsgemäß,
löschen diese nicht richtig oder können deren Verbleib
nicht lückenlos belegen, müssen sie mit horrenden
Bußgeldern rechnen. Bei regelmäßig wechselnden
Datenträgern im Unternehmen kann dies zur
Herausforderung werden. Professionelle
Produkte zur Datenlöschung helfen,
sofern sie wichtige Kriterien erfüllen.
n vielen Unternehmen sind es
I nicht die aktuell genutzten Fest-
platten und Storage-Geräte, die eine Si-
cherheitslücke darstellen, sondern alte,
ausrangierte oder geleaste Platten. Wer-
den sie nicht korrekt gelöscht, sind sie
eine Bedrohung für das Unternehmen
und sollten deshalb weit oben auf der
Agenda von IT-Managern stehen. Doch
viele Firmen haben weder einen Daten-
schutzbeauftragten noch feste Vorgaben
für die Außerbetriebnahme von Daten-
trägern. Eine Studie von techconsult be-
ziffert ihren Anteil auf 25 Prozent. Der
Untersuchung zufolge wurden außerdem
in jedem fünften Unternehmen bereits
einmal defekte, ausrangierte Platten ge-
stohlen. Befinden sich darauf personen-
bezogene Daten, drohen künftig Bußgel-
der von bis zu 20 Millionen Euro oder
bis zu vier Prozent des gesamten weltweit
erzielten Jahresumsatzes im vorangegan-
genen Geschäftsjahr.
Recht auf Löschung
Der Schutz personenbezogener Daten ist
eine zentrale Anforderung der DSGVO.
Dazu gehören das Recht auf Auskunft
oder Berichtigung, Einschränkungen der
Verarbeitung, die Datenübertragbarkeit
sowie das Recht auf Widerspruch. Artikel
17 der DSGVO spezifiziert dabei das
"Recht auf Löschung" personenbezogener
Daten. Dieses Recht muss allerdings gel-
tend gemacht werden, das heißt, der Be-
48 Mai 2018
troffene muss aktiv die Löschung bean-
tragen. Nach Artikel 17 Absatz 1 DSGVO
sind personenbezogene Daten künftig
unverzüglich zu löschen, wenn
- die personenbezogenen Daten für die
Zwecke, für die sie erhoben oder auf
sonstige Weise verarbeitet wurden,
nicht mehr notwendig sind.
- die betroffene Person ihre Einwilligung
widerruft und es an einer anderweiti-
gen Rechtsgrundlage für die Verarbei-
tung fehlt.
- die betroffene Person Widerspruch ge-
gen die Verarbeitung einlegt und keine
vorrangigen berechtigten Gründe für
die Verarbeitung vorliegen.
- die personenbezogenen Daten unrecht-
mäßig verarbeitet wurden.
- die Löschung der personenbezogenen
Daten zur Erfüllung einer rechtlichen
Verpflichtung nach dem Unionsrecht
oder dem Recht der Mitgliedstaaten er-
forderlich ist.
- die personenbezogenen Daten eines
Kindes in Bezug auf angebotene Diens-
te der Informationsgesellschaft, das
heißt Internet-Angebote, wie Medien,
Webshops oder Onlinespiele, erhoben
wurden.
Dokumentationspflicht
Der IT-Verantwortliche muss revisions-
sicher belegen können, dass die Daten
sicher gelöscht wurden. Darin liegt die
Krux: In Tests gelingt es durchaus, auf
3RF
ky – 12
domnic
Quelle:
einzelnen Festplatten eines RAID-Sys-
tems teilweise sensible und geschäftskri-
tische Daten wiederherzustellen. Gerade
defekte Datenträger oder Systeme, die im
Rahmen von Leasing-Verträgen ausge-
tauscht werden, müssen unbedingt sicher
gelöscht werden. Sonst lassen sich Infor-
mationen wie Unterschriftslisten, Kon-
taktinformationen, E-Mails oder Fotos
wiederherstellen. Davon leben Cyberkri-
minelle und Wirtschaftsspione. Wer eine
professionelle Lösung für die Datenlö-
schung einsetzt, ist auf der sicheren Seite.
Denn Anbieter zertifizierter Datenlö-
schungen übernehmen die Garantie da-
für, dass Daten tatsächlich gelöscht sind,
und belegen dies lückenlos.
Auswahlkriterien für
Datenlöschungsdienste
IT-Administratoren können auf eine Rei-
he etablierter Lösungen im Markt zurück-
greifen. Vom Datenlöschungsservice bis
zur Cloudlösung bieten Hersteller eine
breite Palette an Möglichkeiten. Bei der
Auswahl geeigneter Lösungen für Daten-
löschungen sollte der Administrator be-
sonders auf nachfolgende Punkte achten.
Das BSI gibt Richtlinien für zertifizierte
Datenlöschungen [1] vor, die Hersteller
von Datenlöschprodukten einhalten soll-
ten. Es gibt jedoch nur wenige Anbieter,
die den höchsten Standard erfüllen. Die
erste Wahl sollten Lösungen sein, die ent-
www.it-administrator.de

sprechend der Common Criteria for In-
formation Technology Security Evaluation
(ISO/IEC 15408) geprüft sind. Weltweit
gibt es nur drei Unternehmen, die nicht
nur einen Nachweis über die erfolgte Lö-
schung erbringen, sondern deren gesam-
ter Löschungsprozess zertifiziert ist.
Zusätzlich zur Zertifizierung ist es ratsam,
auf das Herkunftsland des Löschungsan-
bieters zu achten. Aufgrund der in Europa
geltenden und weitgehend durchgesetzten
Datenschutzgesetze sind Unternehmen
mit hiesigem Sitz vertrauenswürdiger als
beispielsweise Anbieter aus den USA.
Revisionssichere
Datenlöschprotokolle
Zertifizierte Datenlöschungen sollten au-
tomatisch ein Löschprotokoll auslösen,
das sicher übertragen, gespeichert und
revisionssicher vorgehalten wird. Kommt
eine cloudbasierte Lösung zum Einsatz,
ist es außerdem wichtig, dass sich Lösch-
protokolle und Zertifikate sicher aus der
Cloud übertragen und im Netzwerk ab-
legen lassen. Hier ist wichtig, dass das IT-
Sicherheits-Verschlüsselungsprotokoll ei-
nen hohen Standard beim Zugriff auf die
Cloud-Verwaltungsfunktion erfüllt. Als
derzeit sicherster Standard gilt TLS v1.2.
Wichtig ist, dass der Prozess der Daten-
sicherheit während der Übertragung zer-
tifiziert ist. Die Lösung muss tatsächlich
für jeden Prozess zertifiziert sein, nicht
nur für die Löschung an sich oder das
Unternehmen selbst.
Die eingesetzte Datenlöschung sollte
möglichst viele Speichermedien unter-
stützen. So werden dem IT-Administrator
keine unnötigen Steine in den Weg gelegt.
Besonders wichtig sind zentrale Techno-
logien wie SSD, IDE, SATA, SCSI, SAS,
Fibre-Channel, USB und RAID – die
marktführenden Lösungen unterstützen
alle Formate.
Einfache und zentrale
Verwaltung von Löschlizenzen
Die Arbeit des Datenschutzbeauftragten
wird immer komplexer und empfindliche
Bußgelder hängen wie ein Damokles-
schwert über dem Unternehmen. Er muss
deshalb in der Lage sein, jeden einzelnen
Link-Codes eingeben auf www.it-administrator.de
Revisionssichere Datenlöschung
Schritt nachvollziehen und ohne großen
Aufwand in Reportings präsentieren zu
können. Eine zentrale Managementplatt-
form ist die beste Möglichkeit, Informa-
tionen über Löschungen revisionssicher
und übersichtlich vorzuhalten. Sie spart
viel Zeit und liefert in verschiedenen For-
maten Reports und Audit-Hardware-In-
formationen. Idealerweise kann sie die
Ergebnisse in die Cloud speichern. Zu
den bedeutenden Funktionen in diesem
Bereich gehören
- die Generierung einzelner Löschbe-
richte als PDF, XML, HTML und XLS.
- ein integrierter Überprüfungsmecha-
nismus (hexviewer). Damit lässt sich
die Löschung visuell überprüfen und
Ergebnisse sind sofort ersichtlich.
- ein individuell einstellbarer Upload im
Managementtool (auf dem Speicher-
medium, manuell oder automatisch).
Ein solches Managementtool kann auch
User und Kunden verwalten. Das ermög-
licht die transparente Postenzuordnung
und Auftragsabwicklung. Gute Datenlö-
schungslösungen haben außerdem die
Funktion automatischer Updates.
Offline-Datenlöschungen
Unternehmen, die nicht über die Cloud
löschen möchten, können sich auch für
eine Software entscheiden, die mit den
gleichen Leistungsmerkmalen ausgestattet
auch im Offlinemodus funktioniert. Es
gibt Hersteller, die vollautomatisierte
LAN/PXE-Lösungen zur Datenlöschung
anbieten. Wichtig ist, dass diese möglichst
viele Löschmethoden unterstützen, um
Anwendern viele Optionen zu bieten.
Professionelle Produkte unterstützen bis
zu 13 Löschmethoden von Standard
Overwrite über NSA 130-2 bis hin zum
Gutmann-Algorithmus.
Ausgebaute und erweiterte Datenträger
sollten sich ebenso sicher löschen lassen.
Hierfür gibt es Datenlöschmaschinen, die
sowohl in der Cloud als auch offline lö-
schen. So lassen sich beispielsweise auch
in Hochsicherheitsgebäuden sicher zer-
tifizierte Daten löschen.
Individuelles Reporting
Datenschutzbeauftragte oder IT-Verant-
wortliche müssen für unterschiedliche
Praxis
Zwecke Berichte anfertigen. Entsprechend
kann es sehr unterschiedliche Anforde-
rungen an Inhalt und Format geben.
Um hier einen effizienten Workflow si-
cherzustellen, sollte eine geeignete Da-
tenlöschungslösung unbedingt über ein
anpassbares Lösch-, Audit- und Hard-
ware-Reporting verfügen, in dem alle
Hardware-Informationen individuell
wählbar sind und der Anwender ganz
einfach definieren kann, was in das Re-
porting einfließen soll. Auf diese Weise
lassen sich Audit-Reports für die weitere
Bearbeitung gestalten oder die Daten di-
rekt in ein Web-Portal oder ein ERP-Sys-
tem importieren.
Seriöse Datenlöschungsanbieter stehen
ihren Kunden nicht zuletzt rund um die
Uhr auch für kurzfristigen Support zur
Verfügung.
Fazit
Die Rechte der Betroffenen lassen dem
IT-Administrator oder Datenschutzbe-
auftragten wenig Spielraum. Er muss
erprobte, zertifizierte Lösungen für die
Verwaltung und Löschung von Daten
einsetzen. Die Zeiten, in denen Admi-
nistratoren um jeden Euro Budget kämp-
fen mussten, sollten damit endlich der
Vergangenheit angehören.
Angesichts potenziell horrend hoher
Bußgelder dürfte sich für keinen Ent-
scheidungsträger mehr die Kosten-Nut-
zen-Frage in Bezug auf die Datensicher-
heit und lückenlose Dokumentation
stellen. Die verbleibende Zeit bis zum
Inkrafttreten der neuen Verordnung
müssen Unternehmen und Organisatio-
nen, die noch nicht hinreichend vorbe-
reitet sind, vielmehr dazu nutzen, mög-
liche Lösungen zu evaluieren. (dr)
Ruud de Wildt ist CEO von Certus
Software. Das Augsburger Unternehmen
ist auf die zertifizierte und DSGVO-kon-
forme Löschung von Daten spezialisiert.
Link-Codes
[1] BSI-Richtlinien
für Datenlöschungen
I5P21
Mai 2018 49
Forwarding kryptografischer Keys
Her mit dem Schlüssel
von Thorsten Scherf
Kryptografische Schlüssel liegen zumeist lokal vor
und stehen somit nicht zwingend auch auf entfernten
Rechnern bereit. Der Open-Source-Tipp in diesem Monat
zeigt, wie sich solche kryptografischen Schlüssel auch in
Cloudumgebungen einsetzen lassen.
ryptografische Schlüssel liegen üb-
K licherweise auf der Festplatte, einer
Smart Card, einem Hardware Security Mo-
dule (HSM) oder einem USB-Token. Ty-
pische Anwendungen, die auf solche kryp-
tografischen Schlüssel zurückgreifen, sind
etwa SSH, GnuPG oder Crypto-Frame-
works wie OpenSSL, NSS oder GnuTLS.
Agent-Forwarding
Werfen wir zuerst einen Blick auf SSH:
Möchte sich ein Benutzer mit Public-Key-
Authentifizierung an einem entfernten
Rechner anmelden, so muss darauf der
öffentliche Schlüssel des Benutzers ver-
fügbar sein. Meistens wird dieser mit Hil-
fe der Anwendung ssh-copy-id zur Ver-
fügung gestellt. Der private Schlüssel des
Benutzers verlässt den lokalen Rechner
dabei natürlich nicht. Was passiert aber,
wenn es von dem entfernten Rechner wei-
tergehen soll? Beispielsweise weil dieser
Rechner nur eine Art Jump-Host darstellt,
von dem aus dann ein Login auf weitere
Systeme im Backend erfolgen kann. Dann
ist auf dem Remote-Rechner der Zugriff
auf den privaten SSH-Schlüssel des Be-
nutzers notwendig. Hierfür dient "ssh-
agent": Diesem Agenten lassen sich mittels
ssh-add beliebige private SSH-Schlüssel
übergeben, die dieser dann im Speicher
vorhält. Ist ein Zugriff auf einen dieser
Schlüssel notwendig, so lässt sich der
Agent über eine Socket-Datei ansprechen.
Der Name dieser Datei findet sich in der
Variablen SSH_AUTH_SOCK:
# echo "$SSH_AUTH_SOCK"
/tmp/ssh-j3OzPSWatFUl/agent.2395
50 Mai 2018
Mittels Agent-Forwarding lässt sich von
entfernten Rechnern auf diesen Agenten
zugreifen. Beim Aufbau einer Verbindung
mittels SSH existiert hierfür die Option
"-A". Alternativ dazu lässt sich die Option
natürlich auch in der SSH-Konfigurati-
onsdatei hinterlegen – hier lautet die Op-
tion "ForwardAgent". Diese ist standard-
mäßig auf "no" eingestellt. Aktivieren Sie
das Forwarding, sind nach dem Login auf
einem Remote-Rechner nach dem Aufruf
von ssh-add -l sämtliche Schlüssel zu se-
hen, die der SSH-Agent kennt. Somit be-
steht nun also die Möglichkeit, eine wei-
tere SSH-Verbindung mittels Public-Key-
basierter Authentifizierung aufzubauen,
indem einfach auf das Schlüssel-Material
des SSH-Agents zurückgegriffen wird.
Ähnlich verhält es sich mit dem Forwar-
ding eines GnuPG-Agent-Sockets, damit
der Zugriff auf den privaten GnuPG-
Schlüssel auch von einem Remote-Rech-
ner aus funktioniert. Hier müssen Sie al-
lerdings den Socket, den Sie weiterleiten
möchten, explizit in der SSH-Konfigura-
tionsdatei "~/.ssh/config" aufführen:
Host *.example.com
RemoteForward /home/User/.gnupg/
S.gpg-agent /home/User/.gnupg/
S.gpg-agent.extra
Außerdem muss in der lokalen Datei
"~/.gnupg/gpg-agent.conf " der Name die-
ses "besonderen" Sockets aufgeführt sein:
extra-socket /home/User/.gnupg/
S.gpg-agent.extra
Quelle: thodonal – 123RF
Wird im Anschluss eine Verbindung zu
einem der Hosts aus der Domäne "exam-
ple.com" aufgebaut, ist von diesen Hosts
der Zugriff auf den privaten Schlüssel aus
dem lokalen GnuPG-Schlüsselbund mög-
lich. Allerdings muss dazu auf dem Re-
mote-System der öffentliche Schlüssel be-
reits Teil des Schlüsselbundes sein.
PKCS#11-Forwarding
Weitaus weniger bekannt ist, dass auch
der Zugriff auf das Schlüsselmaterial von
PKCS#11-Karten aus der Ferne gelingt.
Hierbei kann es sich um klassische Smart
Cards oder aber auch um die etwas mo-
derneren USB-Varianten, wie etwa die
Yubikeys [1] oder Nitrokeys [2] handeln.
Diese Karten werden über eine PKCS#11-
Schnittstelle angesprochen, für die es ver-
schiedene Treiber gibt. Die bekanntesten
Vertreter sind hier Coolkey [3] und
OpenSC [4].
Das folgende Beispiel zeigt auf Basis von
Fedora, wie der Zugriff auf ein Token einer
Smart Card über einen weitergeleiteten
PKCS#11-Socket auch von Remote-Syste-
men aus gelingt. Wir gehen davon aus, dass
eine Smart Card bereits vorhanden ist und
auch schon provisioniert wurde. Als
PKCS#11-Treiber soll OpenSC zum Einsatz
kommen. Das Lesegerät, das wir einsetzen,
ist ein ONNIKEY 3121. Auf den beteiligten
Systemen sind zuerst einige Vorbereitungen
zu treffen, etwa die folgenden Pakete aus
dem Fedora-Repository zu installieren:
# dnf install p11-kit p11-kit-server
gnutls-utils libp11
www.it-administrator.de

Nun zeigt "p11tool" aus dem gnutls-utils-
Paket alle Tokens der Smart Card an:
# p11tool --list-tokens
[...]
Token 3:
URL:pkcs11:model=PKCS%2315;manu-
facturer=EXAMPLE%20COM;serial=1010
4303570;token=Signature%20PIN%11%2
233%20PKI%11Card%00
[...]
Ein solches Token lässt sich nun an ein
beliebiges System "weiterreichen". Das
p11-kit-server-Paket stellt ein Modul mit
dem Namen "p11-kit-client.so" zur Ver-
fügung, mit dessen Hilfe sich das Token
über diesen Socket ansprechen lässt. Um
den Socket zu erzeugen, rufen Sie p11-
kit zusammen mit der URL des Tokens
und dem PKCS#11-Treiber auf:
# p11-kit server --provider /usr/
lib64/pkcs11/opensc-pkcs11.so
"pkcs11:model=PKCS%2315;manufactu-
rer=EXAMPLE%20COM;serial=101043035
70;token=Signature%20PIN%11%2233%2
0PKI%11Card%00"
P11_KIT_SERVER_ADDRESS=unix:path=/
run/user/1000/p11-kit/pkcs11-21564
P11_KIT_SERVER_PID=21564
Wie an der Variable "P11_KIT_SERVER_
ADDRESS" zu sehen ist, liegt die Socket-
Datei innerhalb des Runtime-Directory ei-
nes Benutzers ("/run/user//p11-kit"). Vor
der Weiterleitung des Sockets müssen also
erst einmal zwei Dinge sichergestellt sein:
- Das Runtime-Directory des Remote-
Users ist in Erfahrung zu bringen.
- Das Unterverzeichnis, das von p11-kit-
client.so verwendet wird, muss im bes-
ten Fall automatisch angelegt werden.
Das Runtime-Directory eines Users auf ei-
nem Remote-System ermitteln Sie per:
# ssh tscherf@tiffy systemd-path
user-runtime
/run/user/1000
Durch das Aktivieren des systemd-Ser-
vices "p11-kit-client" auf dem Remote-
System wird für den Benutzer das erfor-
derliche "p11-kit"-Verzeichnis innerhalb
des Runtime-Directory angelegt:
Link-Codes eingeben auf www.it-administrator.de
# systemctl --user enable --now p11-
kit-client.service
Das Verzeichnis steht nun zur Verfügung:
# ls -ld /run/user/1000/p11-kit
drwxr-xr-x. 2 tscherf tscherf 60
Mar 5 11:28 /run/user/1000/p11-kit
Schließlich lässt sich nun der eigentliche
PKCS#11-Socket weiterleiten. Im fol-
genden Beispiel erfolgt dies einfach mit-
tels ssh auf der Kommandozeile, aber
natürlich besteht auch die Möglichkeit,
einen entsprechenden Eintrag in der
SSH-Konfigurationsdatei "~/.ssh/config"
vorzunehmen:
# ssh -R /run/user/1000/p11-
kit/pkcs11:/run/user/1000/p11-
kit/pkcs11-21564 tscherf@tiffy
Ist kein Fehler aufgetreten, sollte der So-
cket auf dem Remote-System nun zur
Verfügung stehen:
# ll /run/user/1000/p11-kit/
total 0
srw-------. 1 tscherf tscherf 0
Mar 5 11:36 pkcs11
Und auch der Zugriff auf das Token der
Smart Card sollte nun möglich sein. Für
den Zugriff wird das erwähnte Modul
"p11-kit-client.so" benötigt:
# p11tool --provider /usr/lib64/pkcs11
/p11-kit-client.so --list-tokens
Token 0:
URL:pkcs11:model=PKCS%2315;manu-
facturer=EXAMPLE%20COM;serial=1010
4303570;token=Signature%20PIN%11%2
233%20PKI%11Card%00
[...]
Damit der Zugriff auf das Token auch aus
den verschiedenen Crypto-Frameworks
heraus funktioniert, müssen diese natür-
lich wissen, dass hierfür das Modul p11-
kit-client.so notwendig ist. Für OpenSSL
sind die folgenden Änderungen nötig:
# mkdir .config/pkcs11/modules/
# echo “module:
/usr/lib64/pkcs11/p11-kit-
client.so” >.config/pkcs11/modu-
Open-Source-Tipp Praxis
les/p11-kit-client.module
Danach gelingt auch der Zugriff auf das
Token über OpenSSL und das Modul "en-
gine_pkcs11". Für das NSS-Framework
müssen Sie das Modul "p11-kit-client.so"
mittels modutil einbinden:
# modutil -dbdir /etc/pki/nssdb -add
p11-kit-client -libfile /usr/
lib64/pkcs11/p11-kit-client.so
Anschließend ist ein neuer Eintrag zwi-
schen den anderen Modulen zu sehen:
# modutil -dbdir /etc/pki/nssdb
-list
[...]
3. p11-kit-client
library name:
/usr/lib64/pkcs11/p11-kit-
client.so
uri: pkcs11:library-manufactu-
rer=OpenSC%20Project;library-des-
cription=OpenSC%20smartcard%20fra-
mework;library-version=0.17
slots: 1 slot attached
status: loaded
Wer das weitergeleitete Token zur Au-
thentifizierung einer SSH-Verbindung be-
nötigt, kann das neue PKCS#11-Modul
einfach dem ssh-Kommando übergeben:
# ssh -I /usr/lib64/pkcs11/p11-kit-
client.so tscherf@kermit
Fazit
Sensibles Schlüsselmaterial sollte nicht
zwischen Systemen kopiert werden. Wie
der Artikel zeigt, gibt es wesentlich ele-
gantere und sicherere Methoden, um
trotzdem auf Schlüssel, beispielsweise ei-
ner Smart Card, auch aus der Ferne zu-
greifen zu können. (of)
Link-Codes
[1] Yubikeys
F6P48
[2] Nitrokeys
H7PB2
[3] Coolkey
I5PC3
[4] OpenSC Git Repository
I5PC4
Mai 2018 51
Praxis Security-Tipp
OpenLDAP mit Let's Encrypt absichern
Zertifiziert
von Matthias Wübbeling
Vor allem ältere LDAP-Verzeichnisdienste sind noch nicht umfassend
mit TLS abgesichert, insbesondere wenn sie nur im Intranet ihre
Dienste anbieten. Der Security-Tipp in diesem Monat zeigt, wie Sie
Ihre OpenLDAP-Installation mit einem Let's-Encrypt-Zertifikat absichern.
ersion 1.0 von OpenLDAP wurde
V 1998 veröffentlicht. Die kurz zuvor
als RFC 2251 vorgestellte Version 3 des
Lightweight Directory Access Protocol
(LDAPv3) wurde dabei noch nicht berück-
sichtigt. Schon kurz nach der Veröffentli-
chung von OpenLDAP begann der Erfolg
der Implementierung. Viele Verzeichnis-
dienste, die heute in Unternehmen zur Au-
thentifikation von Personen oder für die
Zuordnung von Eigenschaften wie Hard-
ware zum Einsatz kommen, sind von die-
ser Zeit bis heute gewachsen. Neben der
Umsetzung von LDAPv3 und damit der
Einführung von TLS/SSL-Unterstützung
für Version 2.0 war die Einführung der
Konfigurationsdatenbank in Version 2.3
eine der maßgeblichen Änderungen in der
Entwicklung. Seit 2005 lässt sich damit die
Konfiguration des Dienstes in dem Ver-
zeichnis selbst speichern. Das erlaubt ins-
besondere die Anpassung von Konfigura-
tionsparametern über LDAP selbst. Das
Bearbeiten von Textdateien zur Konfigu-
ration ist damit (fast) überflüssig gewor-
den. Nur noch ältere Erweiterungen benö-
tigen die Konfiguration mittels Textdateien.
Bei Anpassungen der Konfigurationsda-
tenbank werden durchgeführte Änderun-
gen unmittelbar aktiv, Diensteneustarts
oder spezielle Updatekommandos sind da-
mit ebenfalls überflüssig.
Diesem Artikel liegt OpenLDAP in der
aktuellen Version 2.4.45 zugrunde. Die
im Juni 2017 veröffentlichte Version be-
hebt dabei noch einige Probleme bei der
Replizierung über GnuTLS oder der Ver-
wendung von OpenSSL in Version 1.1.
Falls nötig, sollten Sie also die aktuelle
Version installieren.
52 Mai 2018
Let's-Encrypt-Zertifikat nutzen
Für die Absicherung mit TLS möchten
wir ein Let's-Encrypt-Zertifikat verwen-
den. Der Servername des OpenLDAP-
Servers könnte "ldap.it-administrator.de"
lauten. Damit die Let's-Encrypt-Server
Ihre Domain auflösen können, müssen
Sie diese im öffentlichen DNS registrie-
ren, falls Sie den Dienst bisher nur im
internen DNS aufgelöst haben. Für die
Authentifikation müssen Sie eine Chal-
lenge auf dem Webserver hinterlegen,
die unter Ihrer Domain erreichbar sein
muss. Die Let's-Encrypt-Software bringt
glücklicherweise einen eingebauten Mi-
ni-Webserver mit, der nur bei Bedarf,
also während der Zertifikaterstellung,
aktiv ist.
Benötigen Sie Ihren OpenLDAP-Server
ausschließlich intern, können Sie die Si-
cherheit noch erhöhen. Wenn Sie einen
Webserver in Ihrer DMZ nutzen, registrie-
ren Sie diesen als Ziel im externen DNS.
Dieser könnte dann als Reverse-Proxy nur
die Anfragen für das Unterverzeichnis
"/.well-known" an den LDAP-Server in-
nerhalb Ihres geschützten Netzbereichs
weiterleiten. Alle anderen Anfragen an die-
se Domain routen Sie einfach entsprechend
um. Das klappt natürlich nur dann, wenn
Sie einen eigenen internen DNS-Server
verwenden, der auf den richtigen LDAP-
Server zeigt.
Das Ausstellen von Wildcard-Zertifikaten
durch Let's Encrypt wird zum Zeitpunkt
der Artikelerstellung bereits getestet und
funktioniert vermutlich bereits im Pro-
duktivbetrieb, wenn Sie diesen Beitrag
lesen. Wildcard-Zertifikate bieten Ihnen
Link-Codes eingeben auf www.it-administrator.de
Quelle: andreykuzmin – 123RF
einen Ausweg, wenn Sie keinen internen
DNS betreiben. Dann können Sie näm-
lich einfach auf einem beliebigen Server
Ihrer Domain das Zertifikat erstellen
und anschließend auf den OpenLDAP-
Server übertragen.
Wenn der Dienst direkt auf die Let's-En-
crypt-Zertifikate zugreifen soll, müssen
Sie dem OpenLDAP-Nutzer noch ent-
Listing 1: /tmp/tls.ldif
dn: cn=config
changetype: modify
replace: olcTLSCACertificateFile
olcTLSCACertificateFile:
/etc/letsencrypt/live/<domain>/fullchain.pem
-
replace: olcTLSCertificateFile
olcTLSCertificateFile:
/etc/letsencrypt/live/<domain>/cert.pem
-
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile:
/etc/letsencrypt/live/<domain>/privkey.pem
Listing 2: /etc/openldap/slapd.conf
# Die komplette Zertifikatkette in einer PEM-
Datei
TLSCACertificateFile
/etc/letsencrypt/live/domain/fullchain.pem
# Das Server-Zertifikat in einer PEM-Datei
TLSCertificateFile /etc/letsencrypt/live/do-
main/cert.pem
# Der private Schlüssel in einer PEM-Datei
TLSCertificateKeyFile
/etc/letsencrypt/live/domain/privkey.pem
Link-Codes
[1] Let's Encrypt
I5PD1

sprechende Berechtigungen zuweisen.
Passen Sie dafür die ACL der Zertifikat-
dateien an. Für den Benutzer "openldap"
geht das wie in folgendem Kommando:
# setfacl -m "u:openldap:r"
/etc/letsencrypt/live/domain/{full
chain,cert,privkey}.pem
In diesem und allen folgenden Befehlen
tragen Sie statt "domain" einfach die
Hauptdomain Ihres Zertifikats ein.
Konfiguration
Nutzen Sie das Konfigurationsverzeich-
nis von OpenLDAP, können Sie einfach
in der laufenden Instanz die Pfade für
das Zertifikat hinterlegen. Dafür legen
wir zunächst die Konfiguration im
LDAP Data Interchange Format – LDIF
(Listing 1) ab. Wenden Sie diese Ände-
rungen nun auf Ihrem System an. Dafür
nutzen Sie ldapmodify mit externer
SASL-Authentifikation. Gemeinsam mit
ldapi wird dabei der OpenLDAP-Socket
verwendet und auf die Betriebssystem-
Authentifikation zurückgegriffen. Das
Praxis-Know-how für Admins:
Das IT-Administrator Sonderheft II/2017
Erfahren Sie auf 180 Seiten
alles rund um das Thema:
Troubleshooting
Microsoft-Server
Windows-, Exchange- und SQL-Server-
Probleme erkennen und beheben
Bestellen Sie jetzt zum Abonnenten-
Vorzugspreis* von nur 24,90 Euro!
Abo- und Leserservice
IT-Administrator
vertriebsunion meynen Tel: 06123/9238-251
Herr Stephan Orgel
D-65341 Eltville
Fax: 06123/9238-252
leserservice@it-administrator.de
folgende Kommando übernimmt die
Änderungen:
# ldapmodify -Y EXTERNAL -H lda-
pi:/// -f /tmp/tls.ldif
Sollten Sie dem root-Benutzer Ihres Sys-
tems keine Rechte im Verzeichnis zuge-
wiesen haben, verwenden Sie ldapmodify
mit dem entsprechenden "binddn" und ge-
ben das Passwort im Prompt ein. Die Ar-
gumente lauten dann statt "-Y EXTERNAL"
entsprechend "-D binddn" und "-W". Nut-
zen Sie für Ihre Installation weiterhin Text-
dateien für die Konfiguration, können Sie
TLS mit kleinen Änderungen in der Datei
"slapd.conf " konfigurieren, wie in Listing
2 dargestellt. Nun müssen Sie den Dienst
"slapd" noch neu starten. Das geschieht bei-
spielsweise auf einem OpenRC-System mit
/etc/init.d/slapd restart.
Verwenden Sie nun ldapsearch mit dem
Argument "-ZZ", um die TLS-Verbindung
zu testen. Wird die Verbindung korrekt
aufgebaut, haben Sie die Zertifikate er-
folgreich eingebunden. Das erste "Z" der
* IT-Administrator Abonnenten erhalten das Sonderheft II/2017 für € 24,90. Nichtabonnenten zahlen € 29,90.
Alle Preise verstehen sich inklusive Versandkosten und Mehrwertsteuer.
shop.heinemann-verlag.de
Security-Tipp Praxis
Argumentliste wählt TLS als bevorzugte
Methode, das zweite "Z" sorgt dafür, dass
ldapsearch TLS erzwingt und im Fehlerfall
keine Verbindung aufbaut.
Neustart nach
Zertifikaterneuerung
Nutzen Sie Konfigurationsdateien für
OpenLDAP, sollten Sie in Ihrem Cronjob
für Let's Encrypt noch ein Post-Hook-
Kommando mitgeben, der slapd nach er-
folgreicher Erneuerung der Zertifikate di-
rekt neu startet: certbot renew --quiet
--post-hook "/etc/init.d/slapd restart".
Wenn Sie hingegen einen Webserver in der
DMZ für die Zertifikaterstellung nutzen,
sollten Sie einen Cronjob auf dem LDAP-
Server anlegen, der regelmäßig die aktuel-
len Zertifikatdaten aus der DMZ lädt.
Fazit
Mit Let's Encrypt lassen sich nicht nur
Webserver, sondern auch Verzeichnisdiens-
te wie OpenLDAP schützen. Dieser Secu-
rity-Tipp demonstrierte die notwendigen
Schritte, um Ihren Verzeichnisdienst damit
erfolgreich zu konfigurieren. (dr)
Praxis T i p p s , Tr i c k s & To o l s
Tipps, Tricks und Tools
In jeder Ausgabe präsentiert Ihnen IT-Administrator
Tipps, Tricks und Tools zu den aktuellen Betriebssystemen
und Produkten, die in vielen Unternehmen
im Einsatz sind. Wenn Sie einen tollen Tipp
auf Lager haben, zögern Sie nicht und
schicken Sie ihn per E-Mail an
tipps@it-administrator.de.
Sind auf einem Rechner mehrere Betriebssysteme
installiert, zum Beispiel Linux oder ältere Win-
dows-Versionen, ist die Startpartition oft nicht
als aktiv gekennzeichnet. Das ist aber notwendig,
damit Windows 10 booten kann. Können Sie kurz
schildern, wie wir in der Befehlszeile die Konfi-
guration entsprechend überprüfen oder reparie-
ren können?
Über die Befehlszeile starten Sie zunächst
diskpart. Mit select disk 0 wählen Sie dann
die erste Festplatte im System aus. Nun
nutzen Sie select partition 1 für die erste
Partition der ersten Festplatte. Der nächs-
te Befehl ist active. Das funktioniert aber
nur, wenn es sich bei der Festplatte um
eine MBR-Festplatte handelt, nicht aber
bei GPT-Festplatten. Startet der Bootma-
nager noch immer nicht, nutzen Sie den
Befehl bcdboot C:\Windows /s C: /f BIOS.
Erscheint ein Fehler, geben Sie bcdboot
D:\Windows /s C: /f BIOS ein. Weitere Be-
fehle, die den Boot-Manager reparieren,
sind bootsect.exe /nt60 ALL /force und
bootsect.exe /nt60 C: /mbr /force.
Gefällt Ihnen die neue Anzeige des
Boot-Managers in Windows 10 nicht, kön-
nen Sie auch die ältere Version von
Windows 7 aktivieren: bcdedit /set {default}
bootmenupolicy legacy. Diesen Befehl füh-
ren Sie am besten nach dem Start von
Windows 10 in einer Eingabeaufforderung
mit administrativen Rechten durch. Mit
bcdedit /set {default} bootmenupolicy stan-
dard nutzen Sie wieder das Standardaus-
sehen von Windows 10. Für die Verwal-
tung des Bootmanagers unter Windows
10 verwenden Sie das Befehlszeilentool
54 Mai 2018
"bcdedit.exe". Um Änderungen vorzuneh-
men, müssen Sie die Befehlszeile mit Ad-
ministratorrechten starten. Geben Sie ein-
fach bcdedit ein, sehen Sie die Daten des
Boot-Managers, welche Betriebssysteme
integriert sind und welches System gerade
gestartet ist.
Um die Beschreibung eines Betriebssys-
tems im Boot-Manager zu ändern, booten
Sie am besten das entsprechende Betriebs-
system. Geben Sie dann den Befehl bcdedit
/set {current} description "Beliebige Beschrei-
bung" ein. Starten Sie das System beim
nächsten Mal, sehen Sie die neue Bezeich-
nung. Wollen Sie das Standardbetriebssys-
tem des Bootvorgangs ändern, starten Sie
das System und tippen Sie msconfig im
Suchfeld des Startmenüs ein. Wechseln Sie
auf die Registerkarte "Start", wo Sie das
Standardbetriebssystem anpassen. (ln)
BitLocker stellt unter Windows 10 einen interes-
santen Schutz für unsere Rechner bereit. Aller-
dings finden wir die zentrale Verwaltung der Ver-
schlüsselung nicht gerade ideal gelöst. Microsoft
bietet ja über das Desktop Optimization Pack
für Unternehmen mit Wartungsvertrag das Tool
"Microsoft BitLocker Administration and Moni-
toring" (MBAM) an. Können Sie hier eine kurze
Einführung geben?
Mit MBAM verwalten Sie zentral die mit
BitLocker verschlüsselten Rechner im
Netzwerk und erstellen Berichte zur Nut-
zung. Bestandteil des MBAM ist ein
MBAM-Server, den Sie über die MDOP-
CD installieren. Die Clients verbinden
sich mit dem Server zur zentralen Ver-
waltung von BitLocker und dem Erstellen
von Berichten oder der Wiederherstellung
von Daten. Dazu ist ein Agent auf den
verwalteten Clients notwendig. Den
Tipps & Tricks ohne Gewähr
Client können Sie entweder manuell, über
den System Center Configuration Mana-
ger (SCCM) oder mit Gruppenrichtlinien
installieren. Windows 10 wird ab MBAM
2.5 SP1 unterstützt.
Der Client ist der zentrale Bereich von
MBAM. Er setzt auf den Clientcomputern
die Einstellungen um, die Sie in den
Gruppenrichtlinien für MBAM festgelegt
haben. Administratoren können Einstel-
lungen ändern oder die Verschlüsselung
einschränken. Ebenfalls dabei ist eine
Webkonsole, mit der Anwender ihre ei-
genen Kennwörter ändern oder einen
Wiederherstellungsvorgang starten kön-
nen, wenn der eigene verschlüsselte Com-
puter nicht mehr startet. MBAM unter-
stützt zu diesem Zweck ein rollenbasiertes
Verwaltungsmodell.
MBAM kann dazu selbst Wiederher-
stellungsschlüssel für BitLocker erstellen
und zuweisen. Die Daten kann das Tool
in SQL-Datenbanken speichern. Ohne
MBAM liegen die Daten direkt in der
Active-Directory-Datenbank. Anwender
oder Supportmitarbeiter benötigen also
mit MBAM keinen Zugriff auf die AD-
Datenbank mehr, wenn Daten wieder-
hergestellt werden sollen. Bestandteil des
MBAM-Servers sind Vorlagen für Grup-
penrichtlinien, mit denen Sie MBAM-
Clients verwalten. Haben Sie den Server
installiert, rufen Sie die Webkonsole auf,
indem Sie den Namen des Servers und
den Port eingeben.
Nach der Installation des MBAM-Ser-
vers müssen Sie noch die Benutzer in die
entsprechenden lokalen Gruppen auf dem
Server aufnehmen, um ihnen Zugriff auf
das Webportal zu gewähren. Die Grup-
penrichtlinieneinstellungen von MBAM
www.it-administrator.de

finden Sie über "Computerkonfiguration/
Richtlinien / Administrative Vorlagen /
Windows-Komponenten / MDOP MBAM
(BitLocker Management)". Damit diese
auch auf den Domänencontrollern zur
Verfügung stehen, installieren Sie auf die-
sen nur die Komponente "Policy Template
von MBAM". (ln)
Wir planen in unserem Unternehmen, Amazon
WorkSpaces einzusetzen, möchten aber aus Si-
cherheitsgründen nicht, dass Mitarbeiter sich
mit einem beliebigen Gerät anmelden. Wie stellen
wir das sicher?
In der Voreinstellung haben sämtliche
Devices, die von der Desktop-as-a-Ser-
vice-Lösung unterstützt werden, auf diese
Zugriff. Mitarbeiter können sich also per
Benutzername und Passwort mit einem
Gerät ihrer Wahl (Windows, macOS, iOS,
Android) einloggen. Es ist jedoch mög-
lich, den Zugriff auf einzelne ausgewählte
Geräte (Trusted Devices/Managed Devi-
ces) zu beschränken. Das funktioniert
über digitale Zertifikate. Sie bieten zu-
sätzliche Sicherheit in Form eines digita-
len Identitätsnachweises, der für einen
bestimmten Zeitraum gilt. Dabei kom-
men im Prinzip zwei Arten von Zertifi-
katen zum Einsatz: Stammzertifikate,
auch Root-Zertifikate genannt, werden
von einer oberen Zertifizierungsstelle
(Root-CA) ausgestellt und dienen dazu,
die Gültigkeit aller untergeordneten Zer-
tifikate zu validieren. Dazu gehören die
Clientzertifikate, die an ein einzelnes Ge-
rät gebunden sind. Nur Rechnern mit
dem passenden Zertifikat wird der Zugriff
auf die WorkSpaces gewährt.
Über digitale Zertifikate können Sie
den Zugriff auf WorkSpaces von macOS-
und Microsoft-Windows-Clientgeräten
blockieren oder freigeben. Dazu laden Sie
Ihre Stammzertifikate in die Amazon-
WorkSpaces-Managementkonsole hoch
und verteilen Ihre Clientzertifikate auf
diejenigen macOS- und Windows-Geräte,
die Sie als vertrauenswürdig einstufen.
Zum Verteilen Ihrer Clientzertifikate ver-
wenden Sie Ihre bevorzugte Lösung wie
www.it-administrator.de
den Microsoft System Center Configu-
ration Manager (SCCM) oder Mobile-
Device-Management-Software. In jedes
Amazon-WorkSpaces-Verzeichnis können
Sie bis zu zwei Stammzertifikate jeweils
für macOS- und Windows-Geräte impor-
tieren. Wenn zwei Stammzertifikate im-
portiert sind, zeigt WorkSpaces beide
Stammzertifikate auf dem Clientgerät an.
Es nutzt das erste Zertifikat, das in einem
der Stammzertifikate als Nächstes kommt.
(AWS/ln)
Monitoring
Wir möchten gerne Informationen
einer Internet-Seite mittels der API-
Schnittstelle abrufen und die gewonnenen Werte
in PRTG überwachen. Einige der IT-Kollegen im
Büro beschäftigen sich momentan viel mit dem
Thema Bitcoin. Es wäre deshalb interessant, stets
den aktuellen Bitcoin-Kurs abzufragen und den
Kursverlauf in PRTG anzuzeigen. Wie können wir
dafür idealerweise vorgehen?
Sofern die abzufragende Internetseite eine
auf JSON beziehungsweise XML basie-
rende RestAPI anbietet, lässt sich die An-
forderung in PRTG mit wenig Aufwand
realisieren. PRTG stellt dafür den Rest-
Custom-(BETA)-Sensor zur Verfügung.
Dieser funktioniert mit nahezu allen End-
points, die eine JSON- oder eben XML-
Ausgabe zur Verfügung stellen. Um den
aktuellen Bitcoin-Kurs abzufragen, erläu-
tern wir in den folgenden Schritten die
Einrichtung einer Kommunikation mit
der API-Schnittstelle von coindesk.com.
Über die richtige API überwachen Sie mit PRTG nicht nur Ihre Netzwerkumgebung,
sondern auch den aktuellen Bitcoin-Kurs.
T i p p s , Tr i c k s & To o l s Praxis
Werfen Sie zunächst einen Blick auf die
Daten, die die API-Schnittstelle bereitstellt.
In unserem Beispiel öffnen Sie dazu die
API-URL "http://api.coindesk.com/
v1/bpi/currentprice.json" im Browser und
machen Sie sich mit den angebotenen Da-
ten vertraut. Als Nächstes erstellen Sie ein
Template in PRTG. Darin legen Sie fest,
welche Informationen über die API aus-
gelesen und in PRTG angezeigt werden
sollen. Für unser Beispiel nutzen Sie am
besten das unter [Link-Code: I5PE1] zum
Download erhältliche Template mit diver-
sen Informationen: Während der Descrip-
tion-Bereich die optionale Erläuterung der
Vorlage enthält, sind im Result-Bereich
die notwendigen Kanäle und Metriken
enthalten. In unserem Beispiel gibt es drei
Kanäle für die verschiedenen Währungen
(Dollar, Pfund, Euro), der Sensortext des
Kanals ist der jeweilige Kurswert. Die er-
stellte Vorlage speichern Sie nun in PRTG
unter folgendem Pfad: "C:\Program Files
(x86)\PRTG Network Monitor\Custom
Sensors\rest\". Im nun noch folgenden
Schritt führen Sie die gewonnenen Infor-
mationen zusammen. Richten Sie dazu in
PRTG ein neues Gerät mit dem Namen
"api.coindesk.com" ein und fügen dort ei-
nen REST-Custom-Sensor hinzu. Den
Sensor konfigurieren Sie folgendermaßen:
Timeout: 10s
Rest Query:
/v1/bpi/currentprice.json
Scanning Interval: 10 Minutes
REST Configuration: coindesk.bit-
coin.priceindex.template
Mai 2018 55
Praxis T i p p s , Tr i c k s & To o l s
Ab jetzt kontaktiert der neu eingerich-
tete Sensor im Abstand von zehn Minuten
die API von coindesk.com, holt die in un-
serem Template definierten Daten ab und
zeigt sie in PRTG an. Im nächsten Schritt
können Sie optional die Werte in PRTG
auf einer Map visualisieren, Grenzwerte
im Sensor hinterlegen oder Benachrich-
tigungen konfigurieren. Dieses Beispiel
lässt sich auf viele weitere Anwendungs-
fälle übertragen. Sobald eine Internetseite
eine RestAPI-Schnittstelle bereitstellt, kön-
nen Sie wie eben beschrieben vorgehen.
Ob Fahrplanauskunft, Börsenkurse, Wet-
teraufzeichnungen oder Preisbeobachtun-
gen – Ihrer Fantasie sind hier kaum Gren-
zen gesetzt. Neben der PRTG-Vorlage zum
Download finden Sie unter dem erwähn-
ten Link weitere Informationen zum ge-
schilderten Anwendungsfall.(Paessler/ln)
Viele weitere Tipps und
Tricks rund um das Thema
Monitoring mit PRTG fin-
den Sie Knowledge Base von Paessler un-
ter https://kb.paessler.com.
Benutzer bekommen in unserer Citrix-Umgebung
nur einen schwarzen Bildschirm angezeigt, wenn
sie sich in einen HDX-3D-Pro-Desktop einloggen.
Wenn Sie die Größe oder den Fokus innerhalb
des Desktops ändern (etwa Vollbild/Fenstermo-
dus), wird das Desktopbild wiederhergestellt.
Dies geschieht, wenn die Richtlinie von Microsoft
für "Nachrichtentext für Benutzer, die versuchen,
sich anzumelden" aktiviert ist. Wo liegt denn
hier das Problem?
Das von Ihnen geschilderte Problem ist
leider bekannt, wenn HDX-3D-Pro die
Nvidia-API NvFBC nutzt sowie der An-
meldebanner aktiviert ist. Dann kommt
es zu einer Abweichung in der Monitor-
anzeige, was wiederum in einem schwar-
zen Bildschirm resultiert. Aktualisieren
Sie als Lösung die VDA-Software auf
7.15.1000 oder höher und verwenden Sie
den folgenden Registrierungsschlüssel:
PATH: HKEY_LOCAL_MACHINE\SOFTWARE\
Citrix\HDX3D\BitmapRemotingConfig
NAME: HKLM_DisableMontereyFBCOnInit
VALUE: DWORD
DATA: 1
56 Mai 2018
Durch das Anwenden des Registrie-
rungsschlüssels wird NvFBC nur während
der Anmeldung deaktiviert, wodurch die
Nvidia-Treiber nach erfolgter Anmeldung
trotzdem performant in die Sitzung ein-
gebunden werden, ohne den besagten
Fehler zu verursachen. (Citrix/ln)
Hardware
Wir wollen den lüfterlosen Mini-
Server "LES network" von Tho-
mas-Krenn als SMS-Gateway für das Monitoring
unserer IT-Infrastruktur nutzen. Als wir den Rech-
ner aufgeschraubt haben, um die SIM-Karte in
das LTE-Modul einzusetzen, konnten wir den Slot
aber nicht finden. Können Sie uns hier mit einer
Anleitung weiterhelfen?
Leider ist der Slot für die SIM-Karte nicht
auf den ersten Blick ersichtlich, sobald
eine Festplatte verbaut ist, da er darunter
sitzt. Gehen Sie deshalb folgendermaßen
vor: Nachdem Sie den LES ausgepackt
haben, entfernen Sie alle Portabdeckun-
gen und legen diese bei Seite. Entfernen
Sie nun die Schrauben der beiden seitli-
chen Blenden. Drehen Sie die Schrauben
der Unterseite heraus und entfernen die
Abdeckung. Eine Seite der Frontblenden
wird durch den Stromanschluss festge-
halten – entfernen Sie deshalb die Schrau-
be des Stromanschlusses mithilfe eines
Schraubenschlüssels. Trennen Sie nun die
Batterie von ihrem Anschluss. Entfernen
Sie jetzt alle vier Schrauben des verbauten
Um an den SIM-Karten-Slot des LES Network zu kommen, müssen Sie zunächst den
eingebauten Datenträger vollständig entfernen.
Link-Codes eingeben auf www.it-administrator.de
Datenspeichers, meist dürfte dies eine
SSD sein. Nehmen Sie die SSD aus der
Halterung. Halten Sie nun die Steher mit
einer Zange fest und drehen Sie die untere
Schraube heraus, damit Sie die Schiene
bewegen können. Schieben Sie die Schie-
ne nun etwas zur Seite, damit sich der
SIM-Kartenslot öffnen lässt. Setzen Sie
die SIM-Karte ein und bauen Sie den LES
Network danach wieder zusammen.
(Thomas-Krenn/ln)
Viele weitere Tipps und
Tricks zum Server-Manage-
ment, Virtualisierung und Linux finden Sie
im Thomas-Krenn-Wiki unter www.tho-
mas-krenn.com/de/wiki/Hauptseite.
Tools
Die Sicherheitslücken Spectre und
Meltdown haben IT-Verantwort-
liche vor eine schwierige Wahl gestellt: Entweder
sie entscheiden sich für einen sofortigen Patch
und riskieren dabei mögliche systemweite Pro-
bleme oder aber sie testen die Patches zunächst
auf einem oder mehreren für ihr Unternehmen
typischen Systemen, setzen sich dabei aber der
Gefahr von Angriffen über eben jene Sicher-
heitslücke aus. Zudem ist aktuell noch unklar,
inwieweit die Patches überhaupt umfassenden
Schutz bieten. Viele Unternehmen haben diese
Entscheidung bis heute nicht getroffen, weshalb
viele Endgeräte den Hackern noch immer aus-
geliefert sind. Dies gilt insbesondere für Linux-
basierte Systeme, für die bisher noch überhaupt
 T i p p s , Tr i c k s & To o l s Praxis

keine umfassende Schutzlösung ver- mit IPv6 ist dies jedoch zum
öffentlicht wurde. Scheitern verurteilt, weil ein
Hier hilft das kostenlose "Black- Scanvorgang zu viel Zeit erfor-
smith" von SentinelOne. Das dert. NeDi geht deshalb bei der
Tool identifiziert Spectre- und Erfassung aller Komponenten
Meltdown-Exploits auf allen Li- im Netz wesentlich intelligenter
nux-Systemen und ermöglicht vor: Es fragt einige wenige so-
es Linux-Administratoren, An- genannte "Seed Devices" nach
griffe zu stoppen, bevor sie im weiteren Geräten, die diese ken-
System Fuß fassen. Dabei nutzt nen. Per SNMP-Abfragen er-
Blacksmith die Funktion der fährt NeDi beispielsweise vom
Leistungszählung moderner Default-Router alle Nachbarn,
Chipsätze, um Prozesse auf bös- die dieser kennt. Über dieses
artiges Caching-Verhalten hin und ähnliche Verfahren erhält
zu überwachen. Sowohl die NeDi Informationen zu den Ge-
Meltdown- als auch die Spect- räten, arbeitet diese hinsichtlich
re-Schwachstellen erzeugen die- ihrer Nachbarn ab und ermittelt
se Muster während des Exploits, so die Topologie. Nebenbei sam-
und Blacksmith verwendet den melt das Tool zusätzliche Infor-
eingebauten Linux-Mechanis- mationen wie Systemnamen
mus "perf events", um Informa- WhySoSlow findet heraus, was mit der Leistung von und -klassen, Betriebssystem in-
Windows-Rechnern nicht stimmt.
tionen über die laufenden Pro- klusive Versionsnummer, CPU-
zesse zu sammeln. Für ältere Prozessoren ist. Dazu bietet WhySoSlow in seiner Last, Speicherauslastung, Temperatur,
und virtuelle Umgebungen identifiziert "Tools"-Sektion auch gleich passende Hel- Durchsatz und Fehler auf den einzelnen
Blacksmith einen bestimmten Typ von ferlein. Darüber hinaus ist eine dauerhafte Schnittstellen und natürlich alle ange-
Seitenfehlern, der auf Meltdown-Exploit- Überwachung des lokalen Systems mit schlossenen Hosts in den konfigurierten
Versuche hinweist. (jp) WhySoSlow möglich. Dazu lassen sich VLANs. Nach einem Durchlauf hat NeDi
Link-Code: I5PE7 Schwellenwerte etwa für die CPU-Tem- alle notwendigen Informationen für eine
peratur hinterlegen, bei deren Überschrei- Abbildung des kompletten Netzes und
Egal welche Windows-Version zum Einsatz tung eine Alarmierung erfolgt. Als inte- kann Auskunft darüber geben, an wel-
kommt, ein Verhalten zeigen die meisten Rechner ressante Ergänzung hat das Tool ein chem Switch und Port ein bestimmter
mit diesem Betriebssystem: Sie werden mit der Feature namens "AntiFreeze" an Bord. Da- Rechner angeschlossen oder wie ein
Zeit langsamer. Nicht vollständig deinstallierte bei handelt es sich um einen Notfall-Task- Switch an den Core angebunden ist. Das
Software, mehr Programme im Autostart, Pro- manager, der sich selbst dann noch starten Tool kennt alle Verbindungen zwischen
bleme mit der Hardware – die Ursachen dieses lässt, wenn das System eigentlich vollstän- den Geräten. Es beurteilt alle gesammelten
Phänomens sind Legion. Genauso wie die Tools, dig eingefroren ist. WhySoSlow unterstützt Daten bei jedem Durchlauf und gibt In-
die dem Anwender helfen sollen, sein System Windows in 32- und 64-Bit-Varianten ab formationen, Warnungen oder Alarme
wieder flott zu machen. Version 7 beziehungsweise Server 2012; aus, falls es etwas Ungewöhnliches gefun-
Doch während die meisten dieser Werk- hier allerdings nach Herstellerangaben den hat.
zeuge mehr oder weniger zahlreiche Pa- noch nicht Windows Server 2016. (jp) Über die Oberfläche des Tools gelangt
rameter isoliert betrachten, versucht sich Link-Code: I4PE8 der Admin an eine grafisch aufbereitete
das kostenlose "WhySoSlow" in einer ganz- Ausgabe dieser Daten. Zu jeder automa-
heitlichen Analyse der Performancepro- In großen Netzen fällt es oft schwer, den Über- tisch gefundenen Schnittstelle lässt sich
bleme. Dazu untersucht WhySoSlow die blick zu behalten. Aber auch Administratoren eine Grafik für Durchsatz, Fehler, ver-
CPU-Temperatur und -Taktung, die lau- kleiner Infrastrukturen wünschen sich ein Werk- worfene Pakete und Broadcasts abrufen.
fenden Prozesse, RAM-Nutzung, Frag- zeug, das automatisch das Netz durchforstet, Auch stehen Grafiken über die Anzahl
mentierung, Antwortverhalten von An- alle Geräte mit ihren Verbindungen katalogisiert, der angeschlossenen Endgeräte und eine
wendungen und Kernel, das Bios, Treiber alle Hosts kennt, die Infrastruktur grafisch dar- Übersicht der vorhandenen Schnittstellen
und vieles mehr. Vielmehr muss der Nut- stellt und außerdem auf Schwierigkeiten hinweist. und deren tatsächliche Nutzung bereit.
zer letztendlich auch nicht wissen, denn Das kostenlose "NeDi" (kurz für "Network Zusätzlich versucht NeDi, alle entdeckten
nach dem Start des Tools reicht ein Klick Discovery") verspricht, all dies zu leisten. Geräte automatisch nach Standort zu
auf den Analyze-Button für eine Leistungs- Üblicherweise ermitteln vergleichbare klassifizieren. Damit dies vollumfänglich
untersuchung des Rechners. Als Ergebnis Tools Informationen über Router, Switches klappt, steht jedoch der Admin in der
erhält der Anwender innerhalb einer Mi- und Rechner, indem sie die Netze scannen Pflicht, diese Informationen auf allen Ge-
nute einen Bericht, der Empfehlungen aus- und nach verwertbaren Informationen su- räten zu pflegen. (jp)
spricht, wie die Maschine zu optimieren chen. In großen Netzen und besonders Link-Code: I5PE9

www.it-administrator.de Mai 2018 57

 Optimierung und Standardisierung
von PowerShell-Skripten
SCHWERPUNKT
tti – 123RF
Quelle: Alfio Sc
ise
In Schönschrift
er Einsatz von Skripten im opera-
D tiven Umfeld hat sich in der letzten
Dekade stark verändert. Sie dienten zu-
nächst der Abbildung einer Stapelverar-
beitung mit rudimentären Kontrollstruk-
turen, Funktionen und "Executables"
sollten nur in Abhängigkeit von Ereignis-
sen und Rückgabewerten aufgerufen wer-
den. Der Funktionsumfang der Skript-
sprache selbst war darum stark auf die
Verarbeitung von Zeichenketten ausge-
richtet. Die Sprachen des letzten Jahrhun-
derts wie "Perl", "AWK" oder "Bash Shell-
Skript" sind vorzügliche Werkzeuge, um
mit regulären Ausdrücken Logdateien oder
Ergebnisse eines Befehls zu analysieren.
Die PowerShell fokussiert sich dagegen
viel stärker auf die Schnittstellen von Ser-
verdiensten, Systemen und Prozessen. Der
Umweg über Rückgabewerte entfällt.
Eine weitere Veränderung des Skripting
betrifft Relevanz und Konstruktion einer
Skriptapp: Skripte wurden Prä-PowerShell
in der Regel von einem Administrator
zur Unterstützung seiner Arbeit entwi-
von Thomas Wiefel
Werden aus PowerShell-
Einzeilern ausgewachsene
Skripte, die unternehmensweit
wirken, müssen sich IT-Verant-
wortliche mit Konzepten aus
der Software-Entwicklung
befassen. Wir zeigen Power-
Shell-Best-Practices zu Skript-
Aufbau, Notation, Fehlerbe-
handlung und Dokumentation.
ckelt. Dieses quasi private Verständnis
bezüglich des Einsatzes der Anwendung
wirkte sich auch auf die verwendeten
Standards aus: Es gab keine. Die üblichen
Prinzipien waren damals:
- Quick and dirty: Nur die Funktion ist
von Bedeutung.
- Dokumentation ist überflüssig: Ich
habe das Skript ja geschrieben.
Dass die fehlende Dokumentation sich
gerade gegen den Autor wendet, kann in
Migrationsprojekten zu kostenintensiven
Verzögerungen führen, wenn der Admin
selbst seinen Code von vor drei Jahren
nicht mehr versteht.
Grundlegende Prinzipien für
unternehmenskritische Skripte
Die Bedeutung der PowerShell (WPS) da-
gegen ist aktuell am besten mit "Enter-
prise Scripting" zu umschreiben. WPS-
Skripte sind in vielen Microsoft-Servern
die einzige Möglichkeit einer umfassen-
den Administration, wie etwa Exchange
und das Azure Active Directory zeigen.
Damit erreicht ein Skript unternehmens-
kritische Relevanz. Beim Erstellen müssen
Sie darum darauf achten, wie unter den
Bedingungen von Mitarbeiterwechseln,
Umstrukturierungen und Versionswech-
seln in der Serverarchitektur die Skript-
funktionalität erhalten bleibt.
www.it-administrator.de

Bild 1: Empfohlene Unterordnerstruktur für
PowerShell-Skripte.
Die zentralen Prinzipien sind daher War-
tungsfreundlichkeit, Auslagerung und
Wiederverwendbarkeit sowie ausführliche
Dokumentation. Und im Rahmen der
Skript-Erstellung sollten diese Punkte im
Fokus stehen:
- Standardisierung der inneren und äu-
ßeren Struktur eines Skripts.
- Modularisierung durch Auslagerung
von Komponenten.
- Namenskonventionen für Variablen
und Funktionen.
- Ausnahmebehandlung.
- Definition einheitlicher Exitcodes.
- Templates für Skripte und Funktionen.
- Normierte Dokumentation des Codes.
- Regeln für optimale Ablaufsteuerung.
Zudem wäre es eine Überlegung wert, die
Einhaltung der Normen durch eine Art
"Skriptbeauftragten" zu prüfen. Auch die
Anlage unternehmensweiter Skript-Re-
positorien wirkt der Redundanz bei der
Entwicklung entgegen.
Stabilen Skript-Rahmen bauen
Eine einheitliche, relative Pfadstruktur er-
möglicht die Portierung der Anwendung
auf andere Systeme. Absolute Pfade sollten
Sie vermeiden, da deren Anpassung einen
unnötigen Aufwand darstellt. Bewährt hat
sich das Anlegen einer Unterordnerstruk-
tur wie in Bild 1 zu sehen: Unterhalb des
Basisordners aller Skriptapps liegen die
einzelnen Anwendungen, hier beispielhaft
"MyApp1" und "MyApp2" genannt. In je-
dem Anwendungsordner lagert nur die
Hauptverarbeitungsdatei mit gleichem Na-
men wie der Anwendungsordner, in die-
sem Beispiel "MyApp1.ps1". Der Anwen-
dungsordner lässt sich dynamisch aus dem
PowerShell-Skript ermitteln:
www.it-administrator.de
PowerShell-Skripte optimieren
$StrSkriptFolder = (myinvocation.My-
Command).Path |split-Path -Parent
Die relative Struktur lässt sich dann wie-
derum leicht im Code abbilden:
$StrOutputFolder = $ActualSkriptPath
+ "\output"; […]
Die Unterordner sind den wesentlichen
Skriptbestandteilen "Logging", "Bibliothe-
ken", "Reports" und "externe Steuerung"
zugeordnet. Jedes Skript sollte nachvoll-
ziehbare Spuren hinterlassen: Traten bei
der Verarbeitung kritische Fehler auf, soll-
ten diese in einem Error-Log landen. Zur
späteren Analyse empfehlen wir die Spei-
cherung als CSV-Datei mit klar zugewie-
senen Spalten: Datum und Uhrzeit des
Fehlers, Verarbeitung, die diesen Fehler
erzeugt hat, Fehlerlevel wie "error","war-
ning", "info" und optional "Zeile im Quell-
code" sind eine gute Wahl. Für die Stan-
dardisierung der Error-Logs ist die Ver-
wendung einer echten Funktion (im Ge-
gensatz zu add-content) sinnvoll. Neben
Fehlern oder nicht erwarteten Rückgabe-
werten sollten Sie immer auch Aktionen
des Skripts protokollieren, etwa das Erstel-
len, Löschen, Verschieben und Umbenen-
nen von Objekten. Um diese Logs vom Er-
ror-Log zu unterscheiden, werden sie im
Unterordner "functionlog" gespeichert. Er-
stellt ein Skript Reporte, ist der Ordner
Bild 2: Eine klar Struktur des Skripts erleichtert die Fehlersuche.
Schwerpunkt
"Output" der Speicherort. Dies entspricht
zudem der durch die "Comment based
help" vergebenen Struktur, die wir im Ab-
schnitt "Dokumentation" noch erläutern.
Steuerungsinformationen (zum Beispiel
welche Objekte in welcher Domäne sollen
wie überwacht werden) sollten nicht in-
nerhalb des Quellcodes liegen. Zum einen
ist dann eine nachträgliche Anpassung
schwer möglich, da die Informationen in
der Programmierlogik gefunden werden
müssen, zum anderen ist die Übergabe
der Datenpflege an Fachpersonal, das kei-
ne Programmierkenntnisse hat, schwierig.
Das Prinzip der Wartbarkeit wird somit
verletzt. Der passende Ort für Steuerungs-
informationen ist der "Input"-Ordner.
Neben Daten lassen sich Skriptfragmente
und Konstanten auslagern. Für diese
"Skriptlets" empfiehlt sich im Sinne der
Wiederverwendbarkeit ein eigener Ord-
ner. In der Geschichte der Software-Ent-
wicklung hat sich der Ordnername "inc"
– Kurzform für "include" – etabliert.
Quelltext sauber formatieren
Eine klare innere Struktur vereinfacht die
Fehlersuche und deren Behandlung stark.
Auch hier sollten einheitliche Vorgaben
vorliegen, wie Bild 2 zeigt: Das Schlüssel-
wort "Region" fasst Bereiche des Quell-
codes zu einer logischen Einheit zusam-
Mai 2018 59
Sch w e rp unk t PowerShell-Skripte optimieren
men, doch für die Verarbeitung durch
den Interpreter spielen sie keine Rolle.
Die Regionen lassen sich verschachteln,
also auch auf der Achse "Eltern-Kind" an-
gelegen. Neben den im Bild beschriebe-
nen Basis-Regionen "init", "process",
"clear" ist eine Region "test" empfehlens-
wert. Hier können Sie Pfade im Dateisys-
tem oder externe Bibliotheken auf ihre
Existenz hin überprüfen. Weitere Regions
lassen sich beispielsweise durch inhaltlich
zusammenhängende Einheiten innerhalb
der Hauptsektionen bilden.
Zu lesbarem Code gehört auch die Abgren-
zung von Anweisungsblöcken. Sobald "fo-
reach", "if" und so weiter in verschachtelter
Form vorliegen, ist eine einheitliche Form
der Einrückung wichtig. Dabei stehen zwei
bis vier Leerzeichen oder Tabulator-Vor-
schübe zur Verfügung. Einige Editoren wie
etwa Visual Studio Code bieten Unterstüt-
zung bei der Formatierung des Quelltexts.
Besonders die Position der einleitenden
und schließenden geschweiften Klammern
ist bei Entwicklern umstritten. Die Klam-
mern in eine eigene Zeile zu setzen, ist eine
gute Vorgabe, wie Bild 3 zeigt.
Normalized Skript
Notation nutzen
Konventionen für die Benennung von Va-
riablen, Konstanten und Funktionen sind
im administrativen Scripting nicht vor-
handen. Die Folge sind nicht mehr nach-
vollziehbare Abläufe, denn Variablen haben
eben nicht nur die Funktion eines Werte-
speichers, sondern erfüllen auch Doku-
mentationsaufgaben. Bei der Vergabe von
Bezeichnern können Sie Konventionen aus
der allgemeinen Software-Entwicklung
aufgreifen. Die Problematik einer verbind-
lichen Notation existiert, seit es Programm-
entwicklung gibt. Die Ansätze einer Nor-
mierung betreffen die Syntax und die
Bestandteile eines Variablennamens, be-
rücksichtigen also die Fragestellungen "Wie
kann ich die Lesbarkeit eines Bezeichners
erhöhen?" und "Wie ist Typ und Funktion
eines Wertes aus dem Namen ableitbar?".
Die Konzepte, die für eine Normalisie-
rung administrativer Skripte interessant
sind, versuchen diese beiden Probleme
aufzulösen: "Upper Camel Case" und
"Hungarian Notation". "Upper Camel
60 Mai 2018
Bild 3: Die Übersichtlichkeit im Code erhöht sich, wenn Klammern eigene Zeilen erhalten.
Case" geht davon aus, dass Namen in der
Regel aus zusammengesetzten Bestand-
teilen bestehen. Ist dies der Fall, sollte
jede Teilzeichenkette mit einem Groß-
buchstaben beginnen, wie zum Beispiel
"StrUser". Die von Charles Simonyi kon-
zipierte "Ungarische Notation" beschreibt
durch ein Präfix die Funktion – hier auch
Typ genannt – einer Variablen. Die Prä-
fixe "p" verweisen auf den Typ "pointer",
"dn" auf eine Domain, "rg" auf ein Feld.
Schon durch diese Beispiele wird das Pro-
blem einer klaren Zuordnung von "Typ"
deutlich. Ist mit "Typ" der Datentyp oder
die Funktion im Programm gemeint? Da
sich dies nicht eindeutig beantworten
lässt, hat sich die "Ungarische Notation"
in zwei Richtungen aufgespalten: "Apps
Hungarian" als funktionaler Ansatz und
"Systems Hungarian" als Datentyp-spe-
zifische Deklaration. Für die Entwicklung
von Skripten – auch in der PowerShell –
sind beide Ansätze allein aufgrund ihrer
Nachteile nicht praktikabel:
- Präfix schlecht lesbar durch schwierige
Trennung der beiden Bestandteile eines
Namens.
- "Apps Hungarian" beinhalten altmodische,
C-lastige Datentypen wie "w" (word).
- Typänderungen in beiden Systemen be-
deuten Neubenennung.
- "System Hungarian" durch Erweiterung
des Typ-Systems zu komplex.
Eine Spezifikation für die Verwendung
bei administrativen Skripten sollte intuitiv
und einfach umsetzbar sein. Die Verbin-
dung der genannten Ansätze wäre die
"Normalized Skript Notation". Diese un-
terscheidet prinzipiell zwischen der Ver-
arbeitung von Objekten, Strukturen und
Werte-Containern. Bei der Speicherung
von Zeichenketten oder Eigenschaften ei-
nes Objektes werden wenige Basisdaten-
typen verwendet:
$StrToolPath = $StrActualSkriptPath
+ "\tools\tools.ps1";
$BlnFlag = $FALSE;
Dabei können die grundlegenden Daten-
typen aus der gleichnamigen Tabelle Ver-
wendung finden.
Dagegen bestimmen bei der Verarbei-
tung von Objekten die schematischen
Typen die Präfixe. Neben dem Typ des
Datenspeichers fließt noch die Unter-
scheidung, ob es sich um ein Element
oder eine Liste handelt, in den Varia-
blennamen ein. Nach den zweistelligen
Präfixen für den Providertyp würde "l"
eine Liste anzeigen, "i" ein einzelnes Ele-
ment. Für die Arbeit mit "Microsoft
Active Directory" wäre dieser Standard
als Basis verwendbar:
- Benutzer-Liste: AdUl
- Benutzer-Element: AdUi
- Gruppen-Liste: AdGl
- Gruppen-Element: AdGi
- Computer-Liste: AdCl
- Computer-Element: AdCi
Eine Besonderheit stellen Konstanten dar,
also Speicher, die sich nach der ersten
Zuweisung nicht mehr ändern lassen. Da
in der PowerShell kein Schlüsselwort
"CONST" existiert, um Konstanten von
Variablen zu unterscheiden, hilft die kom-
plette Großschreibung einer Konstante,
wie etwa $STRADSPATH = "ou=Skrip-
ting,dc=Mydom,dc=com".
Fallstricke bei der
Benennung von Funktionen
Funktionen machen gute Skripte aus.
Durch Kapselung von Anweisungen und
die Möglichkeit, Parameter zu übergeben,
wird Enterprise Scripting erst möglich.
Wiederverwendbarkeit statt sogenanntem
"Spaghetti Code" – Anweisungen in einer
linearen Abfolge.
www.it-administrator.de

Grundlegende Datentypen der Normalized Skript Notation
Typ
String
Integer
Double
Boolean
DateTime
Object
Variant
Bei der Benennung lauert aber eine schwer-
wiegende Fehlermöglichkeit: Soll eine
Anwendung zum Beispiel nicht mehr be-
nötigte Gruppen im Active Directory er-
mitteln, wird die PowerShell Zugriff auf
die "LDAP Metabase" der AD-Objekte neh-
men müssen, um valide Daten zu erhalten.
Kapseln Sie diesen Zugriff in einer Funk-
tion mit dem Namen "Get-AdObject", ha-
ben Sie das Prinzip "Verb-Noun" umgesetzt.
Allerdings gibt es ein Cmdlet mit dem glei-
chen Namen im PowerShell-Modul "Ac-
tiveDirectory". Sobald die Funktion geladen
ist, überschreibt diese das Cmdlet mit un-
gewollten Seiteneffekten. Im Ranking der
Verarbeitung gleichlautender Befehle liegt
ein Cmdlet nur auf Position 3, hinter Alias
und Function.
Um dies zu vermeiden, empfiehlt sich die
Verwendung einer Kennzeichnung für
Funktionsnamen. "Verb-DU_Noun" ist ein
gutes Schema, wobei "Verb" für die in der
PowerShell bekannten Aktionen (siehe get-
verb), "UD_" für "User defined" und
"Noun" für das administrative Ziel steht.
Software ohne
Dokumentation ist wertlos
Mangelhafte Dokumentation wird Skript-
autoren dann schmerzlich bewusst, wenn
diese ihr Werk nach einigen Monaten be-
trachten. Ein PowerShell-Skript sollte zwei
Formen der Dokumentation beinhalten,
die "comment based help" und eine
"inline documentation". Die "comment
based help" ersetzt den Skript-Header an-
derer Sprachen und arbeitet mit Schlüs-
selwörtern in einem Kommentarblock.
Die Bedeutung der einzelnen Abschnitte
ist über die integrierte Hilfe per get-help
about_Comment_Based_Help in der
PowerShell-Konsole abrufbar. Beschrei-
www.it-administrator.de
PowerShell-Skripte optimieren
Präfix
Str
Int
Dbl
Bln
Dtm
Obj
Vnt
bungen, Beispiele und Parameterverwen-
dung sollten das Minimum einer "com-
ment based help" bilden.
Die Kommentare innerhalb des Quelltex-
tes stehen immer vor der Anweisung, die
erläutert werden soll. Der Inhalt sollte da-
bei ausführlich und inhaltlich so gestaltet
sein, dass auch Kollegen, die nicht an der
Entwicklung dieses Programms beteiligt
waren, die Operationen im Skript nach-
vollziehen können.
Ausnahmen behandeln,
nicht Fehler
Bei der Entwicklung von PowerShell-
Skripten steht vor der Übergabe in die
Produktion eine ausführliche Testphase.
Unterstützung bieten PowerShell-Module
wie "Pester" (get-help about_Pester). Zu-
dem können Einstellungen des Debug-
Levels hilfreich sein:
> Set-PSDebug -trace 2
startet zeilenweises Debugging mit Va-
riablenverfolgung. Doch trotz Sorgfalt bei
der Entwicklung können Fehler zur Lauf-
zeit durch fehlende Netzwerkverbindung,
Checkliste
PowerShell-Fehlerbehandlung
Folgende Maßnahmen sind Best Practices der
Fehlerbehandlung:
- "$ErrorActionPreference" auf "stop"
setzen.
- Anweisungsbezogene Fehlerbehandlung
mit "try/catch" verwenden.
- Einsatz von ExitCodes.
- Standardisierung von ExitCodes (tabella-
risch bestimmten Fehlertypen zuordnen).
- Verwendung von Error-Logs.
Schwerpunkt
nicht ausreichende Berechtigungen, nicht
erreichbare Server und so weiter auftre-
ten. Um solche Fehler abzufangen, müs-
sen Sie zunächst die Einstellungsvariable
"ErroractionPreference" strikter setzen.
Voreingestellt ist der Wert "continue", der
nur kritische Fehler behandelt. Um jeden
Fehler als kritisch einzustufen, setzen Sie
den Wert auf "stop". Dann kann die an-
weisungsbezogene Fehlerbehandlung mit
"try / catch / finally" eingesetzt werden.
Wenn als Reaktion auf einen Fehlerfall die
Anwendung beendet wird, ist es wichtig,
der Anweisung "exit" einen Wert mitzu-
geben. Dieser ist über die Umgebungsva-
riable "$LastExitCode" abrufbar. Ist die
Skriptapp Teil eines Workflows, könnte sie
dann den Ausstiegspunkt ermitteln.
Abschließend noch einige Hinweise, was
sich nicht in einem Skript befinden sollte:
- Die PowerShell erfüllt durch das durch-
gängige Verb-Noun-Prinzip schon ei-
nen selbstdokumentierenden Ansatz.
Dies sollte nicht durch irreführende
Aliase, positionierte oder verkürzte Pa-
rameter verschenkt werden.
- Vorsicht bei häufigem Einsatz der Pipe-
line, da die Gesamtverarbeitungszeit da-
runter leidet. Ein Test mit measure-Com-
mand schafft darüber schnell Klarheit.
- Fehlende Deklaration von Abhängig-
keiten, notwendiger Hostversion oder
Ausführungsberechtigungen. Abhilfe
schafft die Steuerung mit #requires"
[get-help about_requires].
- Auskommentierte Codeelemente als
Rest einer Versuchsreihe. Dies wirkt
nur verwirrend. Für unterschiedliche
Wege empfiehlt sich die Arbeit mit
"brunches" und Versionierungstools.
Fazit
Die Freiheit bei der Codierung von
Skriptsprachen ist Segen und Fluch zu-
gleich. Sobald die Anwendungen eine
wichtige Funktion im Unternehmen über-
nehmen, ist die Standardisierung Pflicht.
Für den IT-Verantwortlichen kann die Si-
tuation im Team bereits mit einem Skrip-
ter nervenzehrend sein, Teamfähigkeit
fängt im Quellcode an. Werden umfas-
sende Leitplanken gesetzt. erhöht das die
Qualität der PowerShell-Skripte und
schafft Zukunftssicherheit. (jp)
Mai 2018 61
Datenbankzugriffe mit der PowerShell

Quelle: Adrian Hillman – 123RF

Datenangler
von Dr. Holger Schwichtenberg

Auch zwölf Jahre nach ihrem Erscheinen besitzt die PowerShell noch keine Cmdlets und auch
keinen Navigation Provider für Datenbankzugriffe. Da im Administratoren-Alltag aber immer
wieder Datenbanken gelesen oder beschrieben werden müssen, zeigt dieser Beitrag, wie die
Nutzung von Datenbanken mit Hilfe von .NET-Klassen aus der PowerShell heraus gelingt.

as Microsoft .NET Framework,
D das Grundlage für die Windows
PowerShell 1.0 bis 5.0 ist, bietet seit seiner
ersten Version die Komponente ADO.NET
(ActiveX Data Objects .NET) für den Da-
tenbankzugriff. In ".NET Core", das Basis
für Windows PowerShell Core 5.1 sowie
die PowerShell 6.0 ist, gibt es seit .NET
Core 2.0 ebenfalls weite Teile des ursprüng-
lichen ADO.NET.
ADO.NET als Grundlage
für DB-Zugriffe
ADO.NET ist eine providerbasierte Soft-
warekomponente, geschaffen für Software-
Entwickler – nicht für Administratoren.
In der Dokumentation [1] finden sich da-
her auch nur Beispiele in C#, Visual Basic
.NET und C++, nicht aber in der Power-
Shell-Sprache. In ADO.NET wird für den
Zugriff auf ein konkretes Datenbankma-
nagementsystem ein Datenbankprovider
(alias .NET Data Provider oder Managed
Data Provider) benötigt. ADO.NET im
.NET Framework wird mit folgenden vier
Datenprovidern ausgeliefert:
1. System.Data.SqlClient: Spezieller Trei-
ber für Microsoft SQL Server ab Ver-
sion 7.0.
2. System.Data.OracleClient: Spezieller
Treiber für Oracle-Datenbanken, gilt aber
als veraltet. Microsoft empfiehlt hier, den
offiziellen Treiber von Oracle oder einen
Treiber eines Drittanbieters wie DevArt
oder DataDirect zu verwenden.
3. System.Data.OLEDB: Brücke zu OLE-
DB-Providern, erlaubt die Anbindung
von Access-Datenbanken, aber auch Mi-
crosoft SQL Server und andere.
4. System.Data.Odbc: Brücke zu ODBC-
Treibern, ermöglicht die Anbindung von
Datenspeichern, für die es nur alte ODBC-
Treiber gibt (zum Beispiel DBase).
Weitere Provider (etwa für MySQL, SQ-
Lite, DB2, Sybase, Informix und Ingres)
werden von anderen Herstellern geliefert.
Die auf einem System registrierten
ADO.NET-Datenprovider listen Sie über
eine statische .NET-Methode auf:
[System.Data.Common.DbProviderFacto-
ries]::GetFactoryClasses()
Dies funktioniert aber nicht in .NET Core
und damit nicht in PowerShell Core 6.0.
Zentrale Konzepte von ADO.NET sind
Connection-, Command-, DataReader-
sowie DataAdapter-, CommandBuilder-
und DataSet-Objekte:
- Ein Connection-Objekt dient dazu, die
Verbindung zu einer Datenbank aufzu-
bauen mit "Open()". Eine solche Verbin-
dung schließen Sie mit "Close()", sobald
sie nicht mehr gebraucht wird. ADO-
.NET schließt die Verbindung aber nicht
wirklich, sondern hält sie noch eine Zeit
lang in einem sogenannten "Connection
Pool" zur Wiederverwendung vor.
- Mit einem Command-Objekt senden
Sie einen beliebigen SQL-Befehl zur

62 Mai 2018 www.it-administrator.de


Bild 1: Die verschiedenen Datenladestrategien bei DataReader und DataSet.
Datenbank (zum Beispiel SELECT, IN-
SERT, UPDATE, DELETE).
- Mit dem DataReader lesen Sie Ergeb-
nismengen von SQL-Befehlen (in der
Regel SELECT) aus.
- DataAdapter und DataSets sind ein spe-
zielles Konzept, mit dem Sie eine Kopie
einer Teilmenge der Datenbank ins
RAM laden, dort bearbeiten und später
(mit Hilfe von CommandBuilder-Ob-
jekten) Änderungen in einem Rutsch
zur Datenbank übertragen können.
Die Tabelle "Unterschiede zwischen Da-
taReader und DataSet" und Bild 1 zeigen
den entsprechenden Vergleich.
In administrativen Skripten kommt meist
das DataSet zum Einsatz. Zwar ließe sich
der Datenzugriff auch mit Hilfe von Da-
taReader- und Command-Objekten rea-
lisieren, das wäre aber umständlicher. Die
höhere Lesegeschwindigkeit, die ein Da-
taReader gegenüber einem DataSet bringt,
macht sich bei wenigen Datensätzen nicht
bemerkbar. Der Geschwindigkeitsvorteil
wird erst beim Lesen von ein paar tausend
Datensätzen signifikant. So viele Daten-
sätze kommen in administrativen Skrip-
ten meist nicht vor.
Das DataSet-Objekt besteht wieder aus
Unterobjekten (siehe Bild 2). Ein Data-
www.it-administrator.de
Datenbankzugriffe mit der PowerShell
Set-Objekt besteht auf oberster Ebene aus
einer Menge von DataTable-Objekten
(DataTableCollection). Jedes DataTable-
Objekt besitzt über das Attribut "DataSet"
einen Verweis auf das Dataset, zu dem es
gehört. Das DataTable-Objekt besitzt eine
"DataColumnCollection" mit DataCo-
lumn-Objekten für jede einzelne Spalte
in der Tabelle und eine "DataRowCol-
Bild 2: Das Objektmodell eines DataSet-Objekts besteht aus vielen Unterobjekten.
Schwerpunkt
lection" mit DataRow-Objekten für jede
Zeile. Innerhalb eines DataRow-Objekts
lassen sich die Inhalte der Zellen durch
das indizierte Attribut "Item" abrufen.
Item erwartet alternativ den Spaltenna-
men, den Spaltenindex oder ein DataCo-
lumn-Objekt.
Hilfreiche Hilfsroutinen
Die Handhabung des DataSet ist etwas
komplizierter, als die meisten Adminis-
tratoren vermuten. Sie können einem Da-
taSet nicht einfach per SQL-Befehl und
Verbindungszeichenfolge sagen, dass es
eine bestimmte Datenmenge aus einer
bestimmten Datenbank lesen soll. Da das
DataSet darauf ausgerichtet ist, auch
mehrere Datenmengen aus einer oder
sogar verschiedenen Datenbanken auf-
nehmen zu können, sind folgende Schrit-
te notwendig:
1. Öffnen einer Verbindung zu der Da-
tenbank mit einem Connection-Objekt:
Hierzu brauchen Sie eine Verbindungs-
zeichenfolge, die den Datenbankprovi-
der und den Namen der Datenbank
enthalten muss. Anschließend müssen
Sie "Open()" aufrufen.
2. Erstellen eines Command-Objekts:
Hierzu benötigen Sie neben dem Con-
nection-Objekt einen SQL-SELECT-
Befehl.
Mai 2018 63
Sch w e rp unk t Datenbankzugriffe mit der PowerShell
3. Erstellen eines DataAdapter-Objekts:
Hierzu dient das Command-Objekt.
4. Dann können Sie endlich das DataSet
erstellen und mit der Methode "Fill()"
unter Angabe des DataAdapter-Objekts
befüllen.
5. Danach sind die Daten im RAM und
Sie sollten die Verbindung zur Daten-
bank mit "Close()" schließen.
Diese immer wiederkehrende Befehlskette
schreit nach einer Kapselung in Hilfsrou-
tinen. Listing 1 zeigt die selbstdefinierten
PowerShell-Funktionen "Get-DBCon-
nection", "Get-DBDataAdapter", "Get-
DBTable" und "Set-DBTable":
- "Get-DBConnection" öffnet auf Basis
einer Verbindungszeichenfolge eine Da-
tenbankverbindung und liefert ein ge-
öffnetes Connection-Objekt zurück.
- "Get-DBDataAdapter" erwartet ein
Connection-Objekt und eine SQL-SE-
LECT-Befehlszeichenkette und liefert
ein DataAdapter-Objekt zurück. Dies
ist eine Hilfsroutine für "Get-DBTable"
und "Set-DBTable".
- Der Nutzer dieser Hilfsbibliothek muss
weder "Get-DBConnection" noch "Get-
DBDataAdapter" direkt aufrufen. Er er-
hält die Daten einfach per "Get-DBTa-
ble". Bei der Implementierung von
"Get-DBTable" fällt auf, dass zwischen
"return" und "$table" ein überflüssiges
Komma zu sein scheint. Tatsächlich ist
das Komma nicht überflüssig, denn oh-
ne dies würde die PowerShell auf Basis
eines eingebauten Automatismus nicht
das DataTable-Objekt, sondern eine
Pipeline gefüllt mit DataRow-Objekten
liefern. Wir brauchen aber zum späte-
ren Speichern von Änderungen das
ganze DataTable-Objekt. Das Komma
verhindert das Auspacken, weil es eine
Pipeline mit einem DataTable-Objekt
als Inhalt erzeugt.
- Mit "Set-DBTable" können Sie dann
später Änderungen an einer Tabelle in
die Datenbank zurückschreiben.
Konkret bedeutet dies, dass Sie nach dem
Einbinden dieser Hilfsroutine via Dot
Sourcing mit nur einem Aufruf von "Get-
DBTable" eine Datenmenge ins RAM la-
den können (Listing 2). Dort sehen Sie
auch, wie Sie einen Datensatz verändern
und mit "Set-DBTable" persistieren. In
64 Mai 2018
Unterschiede zwischen DataReader und DataSet
DataReader DataSet
DataTable, DataRow, Data-
Zugehörige Konzepte Command
Adapter, CommandBuilder
Allgemeiner Namensraum
Providerspezifischer Namens- System.Data.DataSet (Data-
Namensraum raum, zum Beispiel System. Adapter und CommandBuil-
Data.Sql-Client.SqlDataReader der sind in providerspezifi-
schem Namensraum)
Daten lesen Ja Ja
Daten vorwärts lesen Ja Ja
Daten rückwärts lesen Nein Ja
Direktzugriff auf beliebigen
Nein Ja
Datensatz
Direktzugriff auf beliebige
Ja Ja
Spalte in Datensatz
Nein, nur über separate
Daten verändern Ja (über Datenadapter)
Command-Objekte
Befehlserzeugung Teilweise automatisch
Komplett manuell
für Datenänderung (CommandBuilder)
Zwischenspeicher für Daten Nein Ja
Änderungshistorie Nein Ja
Speicherverbrauch Niedrig Hoch
Geeignet für
Nein Ja
Offline-Szenarien
Geschwindigkeit Hoch Geringer
RAM-Bedarf Gering Höher
diesem Fall wird willkürlich in die Spalte nannten drei Befehlen zu beachten sind,
"UserDescription" der ersten Zeile der Er- kann die manuelle Festlegung freilich Sinn
gebnismenge ein neuer Wert geschrieben. ergeben. Der SELECT-Befehl, den Sie bei
Es mag verwundern, dass Sie bei "Set- "Set-DBTable" für den CommandBuilder
DBTable" den SQL-SELECT-Befehl, den übergeben, muss keineswegs die gleiche
Sie bei "Get-DBTable" angegeben haben, Datenmenge liefern, die ursprünglich ge-
erneut verwenden müssen. Allerdings ist laden wurde. Es reicht auch ein Befehl,
es zwingend notwendig, hier einen SQL- der keine Datensätze liefern würde (etwa
SELECT-Befehl für die betreffende Tabelle Select * from users where 1=0). Es geht
anzugeben, weil in "Set-DBTable" die hier lediglich darum, dass der Ole-
.NET-Klasse "System.Data.OleDb. OleDb- DbCommandBuilder die Struktur der Ta-
CommandBuilder" zum Einsatz kommt, belle bekommt. Konkrete Datensätze
die aus dem SELECT-Befehl dann einen braucht er nicht.
INSERT-, UPDATE- und DELETE-Befehl
ableitet. Wenn Sie dies nicht machen, In den Hilfsroutinen in Listing 1 und
müssten Sie den INSERT-, UPDATE- und dem Skript in Listing 2 kommt der
DELETE-Befehl selbst manuell formulie- OLEDB-Provider zum Einsatz. Er ist not-
ren, was keinen Spaß bereitet. In Ausnah- wendig für den Zugriff auf Microsoft Ac-
mefällen, wo Besonderheiten bei den ge- cess. Mit ihm können Sie aber auch Mi-
www.it-administrator.de
 Datenbankzugriffe mit der PowerShell Schwerpunkt

Listing 1: Hilfsroutinen für Datenbankzugriffe Listing 2: Testskript für Hilfsrou-

tinen für Datenbankzugriffe
#######################################
# Hilfsroutinen für Datenbankzugriffe #######################################
######################################## # Testskript für Hilfsroutinen für
Datenbankzugriffe
# Öffnen der Verbindung mit OLEDB ########################################
function Get-DBConnection([string] $CONNSTRING)
{ $VerbosePreference = "continue"
# Datenbank öffnen
Write-verbose "Öffne die Datenbank... $CONNSTRING" . i:\skripte\DBUtil.ps1
$conn = New-Object System.Data.OleDb.OleDbConnection($CONNSTRING)
$conn.open() $CONNSTRING =
Write-verbose ("Zustand der Datenbank: " + $conn.State) "Provider=Microsoft.Jet.OLEDB.4.0;Data
return $conn Source=i:\Daten\users.mdb"
} $SQL = "Select * from users where UserSurname
like 'm%' order by UserSurname"
# Einlesen einer Tabelle mit OLEDB
function Get-DBTable([string] $CONNSTRING, [string] $SQL) $tabelle = Get-DBTable $CONNSTRING $SQL
{ $Tabelle | ft UserID, UserFirstName, UserSur-
Write-Verbose "Get-DBRows $SQL..." name, UserContainer, UserGroup
$conn = Get-DBConnection $CONNSTRING
$ada = Get-DBDataAdapter $Conn $SQL $ersteZeile = $Tabelle.Rows[0]
$ds = New-Object System.Data.DataSet
$ada.Fill($ds) | out-null $ersteZeile.UserDescription = "Getestet am "
$table = $ds.Tables[0] + [System.DateTime]::Now
$conn.close() # Verbindung schließen
Set-DBTable $CONNSTRING $SQL $Tabelle
# Ausgabe
Write-verbose ("Anzahl der Tabellen im Dataset: " + $ds.Tables.Count)
Write-verbose ("Anzahl der Datensätze in Tabelle 1: " + $table.Rows.Count)
Write-verbose "Ausgabe der Daten:"
Bit-Version von Microsoft Access in-
return ,$table stalliert, aber die PowerShell im 64-
} Bit-Modus gestartet haben. Sie müssen
in diesem Fall die x86-Variante der
# Erstellen eines Datenadapters
function Get-DBDataAdapter([System.Data.OleDb.OleDbConnection]$conn, [string]$SQL) PowerShell starten.
{ - "Operation must use an updateable
$cmd = New-Object System.Data.OleDb.OleDbCommand($sql,$conn)
query" deutet darauf hin, dass die Mi-
$ada = New-Object System.Data.OleDb.OleDbDataAdapter($cmd)
return $ada crosoft-Access-Datenbank schreibge-
} schützt ist oder Sie keine Schreibrechte
auf der Datei haben.
# Speichern einer Tabelle mit OLEDB
function Set-DbTable([string]$CONNSTRING, [string]$SQL, [System.Data.DataTable] $table)
- "The table users is already opened
{ exclusively by another user, or it is al-
Write-Verbose "Set-DbTable $SQL" ready open through the user interface
$conn = Get-DBConnection $CONNSTRING
and cannot be manipulated" bedeutet,
$ada = Get-DBDataAdapter $Conn $SQL
$cb = new-object System.Data.OleDb.OleDbCommandBuilder($ada) dass Sie die Tabelle in Microsoft Ac-
$cb.DataAdapter = $ada cess im Entwurfsmodus geöffnet ha-
Write-Verbose $cb.GetDeleteCommand().CommandText
ben. Es ist hingegen kein Problem,
Write-Verbose $cb.GetUpdateCommand().CommandText
Write-Verbose $cb.GetInsertCommand().CommandText wenn Sie die Tabelle in der Datenblatt-
$anzahl = $ada.Update($table) ansicht geöffnet haben. Damit kommt
$conn.close() # Verbindung schließen ADO.NET klar.
Write-verbose ("Anzahl gespeicherter Änderungen: " + $anzahl)
}
Fazit
Dass Microsoft keine Cmdlets für Daten-
Link-Codes crosoft SQL Server und andere Daten- bankabfragen mit der PowerShell liefert,
banken ansprechen. sondern auf ADO.NET zurückgreift,
[1] ADO.NET Dokumentation schreckt auf den ersten Blick ab. Doch mit
I5ZA1
Beim Zugriff mit ADO.NET auf Access- diesem Beitrag haben wir das theoretische
[2] PowerShell Commandlet Datenbankdateien sind drei Fehlermel- Fundament für ADO.NET geschaffen. Teil
Extension Library
dungen sehr typisch: 2 liefert dann die Praxis in Form eines Zu-
I5ZA2
- "The Microsoft.Jet.OLEDB.4.0 provi- griffs auf Access per PowerShell. Die Skrip-
[3] Listings zum Download
I5ZA3
der is not registered on the local ma- te des Artikels finden Sie in unserer Down-
chine": Dies bedeutet, dass Sie eine 32- load-Rubrik sowie unter [3]. (jp)

Alle Listings zum Download unter www.it-administrator.de Mai 2018 65


Security-Module für die PowerShell
Skript-
Kiddies 4.0
von Thomas Wiefel
Für die PowerShell existieren zahlreiche Zusatzmodule, die Sicherheits- und Angriffsfunktionen
bereitstellen. Diese bieten Penetrationstests und forensische Analysen. Wie der Administrator
damit nach Sicherheitslücken im Netzwerk fahndet, zeigt unser Workshop.
enetrationstests versuchen, Schwä-
Pchen in der Sicherheit eines Sys-
tems zu finden und legal auszunutzen,
um das Computersystem sicherer zu ver-
walten. Über ein automatisiertes Tool
oder eine manuelle Methode (oder als
Kombination beider) lassen sich Securi-
ty-Probleme identifizieren. In diesem
Umfeld kann die PowerShell im Zusam-
menspiel mit invasiven Techniken her-
vorragende Ergebnisse liefern.
Die PowerShell bietet dazu Module für
"Penetration Testing" und "Exploits". Ei-
nige PowerShell-Erweiterungen vergrö-
ßern den Befehlsraum und/oder liefern
sicherere Alternativen zu Standardver-
fahren – wie etwa SSH als Alternative zur
WINRM-Fernwartung. Sogar Schad-
codescanner sind als PowerShell-Kom-
ponenten implementiert.
Windows-Systeme testen
Für Penetration-Tests und als Schwach-
stellenscanner dient das PowerShell-Modul
"PowerSploit" [1], das für Penetrationstester
und Reverse Engineers entwickelt wurde.
Die PowerShell ist unter Windows das
ideale "Post-Exploitation Utility". Dies liegt
in ihrer Fähigkeit begründet, eine breite
Palette von administrativen und Low-Le-
vel-Aufgaben auszuführen, ohne Spuren
66 Mai 2018
auf der Festplatte zu hinterlassen. Power-
Shell-Skripte laufen komplett im Speicher
und sind zudem remote-fähig. Das Modul
will IT-Verantwortliche bei folgenden Auf-
gaben unterstützen:
- Code-Execution: Ausführung von Low-
Level-Code und Code-Injektion.
- Script-Modification: Modifizieren und/
oder Vorbereiten von Skripten für die
Ausführung auf einer kompromittierten
Maschine.
- Reverse Engineering mit entsprechen-
den Tools.
- Filtern: Zugriff auf sensible Daten von
einer kompromittierten Maschine.
- Chaos: Destruktive Anweisungen.
- Recon: Unterstützung in der Aufklä-
rungsphase eines Penetrationstests.
Die lokale Installation mittels Install-Mo-
dule aktiviert unter Umständen Ihren Vi-
renscanner. Wichtig ist zudem, dass Sie
alle ZIP-Dateien, die Sie vom GitHub Re-
pository herunterladen, entblocken. An-
dernfalls scheitert das Laden der nach-
folgenden Module.
Durch Kombination von Anwendungen
wie Applocker, rigider Beschränkung der
Zugriffsmöglichkeiten und PowerSploit-
Cmdlets kann die optimale Konfiguration
ermittelt werden. So lässt sich eine aus-
Quelle: Lenar Nigmatullin – 123RF
gewogene Balance zwischen Funktiona-
lität und Sicherheit finden. Das Einsatz-
gebiet ist daher primär simulierte Angriffe
auf entfernte Rechner.
Die Invoke-ShellCode-Funktion injiziert
ausführbare Anweisungen im Kontext
laufender Anwendungen, wobei Sie den
Wirtsprozess über die Prozess-ID aus-
wählen. Eine Zuordnung von Prozessen
und Prozess-ID ist über den Befehl:
> Get-Process | Select-Object
-Property name, ID
leicht umzusetzen. PowerSploit erwartet
eine Liste von Bytes in der Form von
"0xXX,0xXX,0xXX". Um das korrekte
Format zu generieren, ist die Backtrack-
Toolsammlung hilfreich:
> msfpayload windows/exec CMD="cmd
/k calc" EXITFUNC=thread C | sed
'1,6d;s/[";]//g;s/\\/,0/g' | tr -d
'\n' | cut -c2-
Diese Befehlskette bereitet den Parame-
terwert für "-ShellCode” korrekt auf. Bei
der Übergabe an "-ShellCode" und ohne
Angabe einer Prozess-ID startet das In-
voke-ShellCode-Cmdlet den Rechner im
Prozessraum der aktuellen PowerShell.
www.it-administrator.de
 PowerShell Security-Module Schwerpunkt

Unbekannte Boot Sektor und Analyse

Freigaben finden der Partitionstabelle
Netzwerkfreigaben, die nicht in- - Dateisystem (FAT, NTFS)
ventarisiert sind, deren Berechti- - Windows Registry
gungsstruktur veraltet ist und auf - Spuren der Benutzer im
Benutzer verweisen, die nicht mehr Betriebssystem
im Unternehmen aktiv sind, stellen
ein Sicherheitsproblem dar. Die Die Suche nach Artefakten im
Dokumentation der existierenden Betriebssystem ist dabei der
Shares ist ein notwendiger erster zentrale Punkt des Werkzeugs.
Schritt zur Bereinigung der beste- So lassen sich Einträge in der
henden Struktur und einem kon- Windows-Suche via Get-Fo-
zeptionellen Neubeginn. rensicWindowsSearchHistory-
Cmdlet ermitteln und weiter-
Die Invoke-ShareFinder-Funktion verarbeiten. Als Rückgabetyp
aus PowerSploit ist für diese Ziel- dient dabei ein eigenes Objekt
setzung sehr hilfreich. Diese sucht mit den Schnittstellen "User"
den lokalen Domainnamen für und "Searchstring". Beide lassen
einen Host mit dem Get-NetDo- sich mit Wildcards und regu-
main-Cmdlet und fragt die Do- lären Ausdrücken filtern. Für
main nach allen aktiven Rech- den Zugriff auf den Browser ist
nern (über das Get-NetCom- das Get-ForensicTypedUrl-
Damit der Download weiterer Module klappt, muss für ZIP-Dateien die
puter-Cmdlet). Jeder Server listet Cmdlet vorgesehen.
Blockade des Downloads deaktiviert werden.
aktive Freigaben per Get-Net-
Share-Cmdlet auf. heitstest speichern Sie zunächst die Datei Generell krankt das PowerForensics-Mo-
und laden sie mittels Sourcing in den dul ein wenig an der schlechten Perfor-
Sichere Passwörter Scope der Konsole: mance. Auch gilt bei PowerShell-Modu-
Invoke-Mimikatz ist eine weitere Exploit- len, dass der Wert für den Anwender in
Funktion von PowerSploit. Sie ermöglicht . .\invoke- DllInjection.ps1 erster Linie von der Dokumentation ab-
die Extraktion von Klartext-Anmeldein- hängt. Dass bei den exportierten Funk-
formationen aus dem Speicher, Kenn- Danach steht die gleichlautende Funktion tionen durchweg auf eine Kommentar-
wort-Hashes aus lokalen SAM/NTDS.dit- zur Verfügung. Nun benötigen Sie eine basierte Hilfe verzichtet wurde, erschwert
Datenbanken, erweiterten Kerberos- Schadsoftware in Form einer DLL-Datei deren Verwendung unnötig.
Funktionen und mehr. Die Mimikatz- und einen Prozess samt Prozess-ID:
Codebasis ist in PowerSploit im Vergleich Fazit
zum Original leicht modifiziert, arbeitet > Start-Process c:\windows\system32\ PowerShell-Module bieten ein flexibles
nur im Speicher und hinterlässt keine notepad.exe -WindowStyle Hidden; Verfahren, Funktionalitäten temporär be-
Spuren auf der Festplatte. get-Process -Name notepad; Invoke- reitzustellen. Wird die Konsole geschlos-
DllInjection -ProcessID 251 -Dll sen, verschwinden alle nicht über Profile
DLLs manipulieren C:\temp\test.dll geladenen Erweiterungen aus dem Spei-
Es ist nicht immer nötig, das vollständige cher. Da zudem Aktionen und Skripte
Modul bereitzustellen, gelegentlich reicht Forensische Analyse folgenlos auf Speichermedien bleiben
auch ein einzelner Test. So zum Beispiel, nach Angriffen können, sind die "Penetration Tests" sehr
wenn Sie eine DLL manipulieren möch- Wurde ein System – oder das gesamte wirklichkeitsnah. Fehler in der Sicher-
ten. Die entsprechende Funktion ist un- Netzwerk eines Unternehmens – kom- heitsarchitektur, inklusive einer nicht kon-
ter [2] im Quellcode verfügbar. Der in promittiert, muss die Ursache des Angriffs figurierten Fernwartung, werden dann
dieser Funktion hinterlegte Angriff ver- und die zugrundeliegende Schwachstelle schnell aufgedeckt. (jp)
folgt das Ziel, eine DLL-Datei im Pro- ermittelt werden. Für die PowerShell exis-
zessraum eines anderen Prozesses aus- tiert das Modul "PowerForensics" [3], das Link-Codes
zuführen. Eine DLL ist Sammlung von Sicherheitsbeauftragte und Administra-
[1] PowerSploit
Code beziehungsweise Daten, die von toren bei der Analyse von digitalen Me-
I5Z91
mehreren Anwendungen (oder anderen dien und Computersystemen unterstützt.
[2] DDL-Manipulation
Bibliotheken und Modulen) verwendet
I5Z92
werden können. Somit lässt sich in einer Das PowerForensics-Modul ist in folgen-
[3] Modul "PowerForensics"
solchen Datei beliebiger ausführbarer de Sektionen unterteilt: I5Z93
Schadcode verstecken. Für einen Sicher- - Festplattentools: Zugriff auf den Master

Link-Codes eingeben auf www.it-administrator.de Mai 2018 67

Sch w e rp unk t Crashkurs PowerCLI
Schnelleinstieg in die PowerCLI für VMware vSphere
Skriptessenz
von Dennis Zimmer
Die PowerShell ist heutzutage das mächtigste
Werkzeug im Werkzeugkasten des vSphere-
Administrators. Doch sich in alle Details der
Shell einzuarbeiten, kostet zu viel Zeit,
wenn Admins nur Routinearbeiten als
Einzeiler speichern wollen. Daher
liefert unser PowerCLI-Crashkurs
kompakt das wichtigste Know-how
und stellt Ressourcen für fertige
Skripte vor.
Mware hat bereits 2007 als einer
V der ersten Nicht-Microsoft-Her-
steller den Nutzen der PowerShell erkannt.
Damals startete die Beta der PowerCLI als
"VMware Infrastructure Kit" mit genau
acht Cmdlets, heute sind es bereits über
600. Zur Historie inklusive einiger Kom-
mentare der wirklich großartigen Com-
munity empfehlen wir das Video zum
zehnjährigen Geburtstag [1].
Obwohl bereits "PowerShell Core" verfüg-
bar ist, nutzen wir für diesen Artikel haupt-
sächlich die VMware PowerCLI [2], da
diese aktuell den größten Funktionsum-
fang bietet. Zum Abschluss des Artikels
gehen wir jedoch genauer auf die zukünf-
tige Version der PowerShell (Core) und
die Ende Februar 2018 veröffentlichte Ver-
sion der PowerCLI Core ein. Die Power-
Shell Core bietet den Vorteil, auch auf Li-
nux und macOS zu laufen.
PowerCLI installieren
In einer PowerShell-Session führen Sie
die Installation der Shell mit einem ein-
zelnen Befehl durch:
> Install-Module -Name
VMware.PowerCLI
Soll dies nur für den aktuell angemeldeten
Benutzer geschehen, greifen Sie auf
68 Mai 2018
> Install-Module -Name VMware.Power-
CLI -Scope CurrentUser
zurück. Danach ist das PowerCLI- Mo-
dul verfügbar und geladen. Alle nutzba-
ren Inhalte zeigt Ihnen nun Get-Module
und alle Befehle des PowerCLI-Core-
Moduls liefert:
> Get-Command -Module VMware.VimAu-
tomation.Core
Hier sollten Sie sich merken, dass das
VMware.VimAutomation.Cis.Core-Modul
für die Verbindungen zu VMware ESXi
oder zum vCenter benötigt wird und das
VMware.VimAutomation.Core-Modul die
restlichen Cmdlets enthält.
Um die PowerCLI immer direkt beim Start
der PowerShell mitzuladen, nutzen Sie ei-
nen Eintrag im PowerShell-Profil. Dazu
führen Sie in der gestarteten PowerShell-
Sitzung $profile aus und erhalten so die Lo-
kation der Profildatei. Dieser Datei, die
standardmäßig im Dokumente-Verzeichnis
liegt (etwa "C:\Users \ Benutzer \ Docu-
ments \ WindowsPowerShell \ Microsoft.
PowerShell_profile.ps1"), fügen Sie am En-
de folgende Zeile hinzu:
> Import-Module -name VMware.VimAu-
tomation.Core
Quelle: Sergey Kolesnikov – 123RF
Diesen Befehl können Sie auch spontan
in einer PowerShell-Session ausführen,
um die gebräuchlichsten PowerCLI-Be-
fehle zu laden.
Verbindung zum
ESXi-Host und vCenter
Bevor Sie nun aber richtig loslegen kön-
nen, müssen Sie sich entweder direkt mit
dem ESXi-System oder dem VMware
vCenter verbinden. Der Befehl für beide
Vorgänge lautet connect-viserver. Dabei
können Sie den Vorgang aber auch noch
weit differenzierter angehen. So ist zum
Beispiel Single Sign-On möglich, das
heißt, der angemeldete Benutzer hat
Rechte im VMware vCenter:
> Connect-VIServer vCenter IP oder
DNS-Name
Poster aller PowerCLI-Befehle
Vor einigen Jahren entwarf die Community
ein PowerCLI-Poster [4], das einen sehr gu-
ten Überblick über die Grundlagenbefehle
gibt und anfangs auf einem DINA4-Blatt
Platz fand. VMware hat die Poster-Idee
übernommen und aktualisiert es stetig. Das
letzte Release zur PowerCLI 6.5.2 passt lei-
der nicht mehr zu einem Standarddrucker,
sondern eher zu einem Plotter (1 m auf 50
cm wird empfohlen).
www.it-administrator.de

Bild 1: Alle für VMware verfügbaren Module lassen sich in der PowerShell auflisten.
Und so fragen Sie Anmeldedaten ab:
> Connect-VIServer vCenter IP
oder DNS-Name -Credential
(Get-Credential)
Und dieser Befehl gibt Benutzerdaten mit:
> Connect-VIServer vCenter IP oder
Nützliche PowerCLI-Befehle für die vSphere/ESXi-Administration
Aufgabe
Zusatzinformationen einer VM anzeigen (Status,
IP-Adresse – wenn vorhanden und VMware Tools
installiert – und Gastbetriebssystem).
Liste aller VMs, auf denen Snapshots aktiv sind.
Liste mit VMs, deren Snapshots älter als
sieben Tage sind.
Löschen aller Snapshots, die älter als sieben Tage
sind.
Liste aller VMs und dem Datastore, auf dem diese
registriert sind.
VM über das Betriebssystem herunterfahren (soft).
Festplatten der virtuellen Maschine anzeigen.
CPU-Ressourcen-Limitierungen entfernen.
Speicherressourcen-Limitierungen entfernen.
Anzeige von VMs inklusive MAC-Adresse und
Netzwerk-Portgruppe.
VM mit einer bestimmten MAC-Adresse finden.
Netzwerk-Portgruppe auf allen Hosts
im Cluster anlegen.
DataStores und Anzahl der VMs anzeigen.
Multi-Pathing überprüfen.
SSH auf allen ESXi-Hosts aktivieren.
Anzeige aller ESXi-Hosts und deren aktueller Uhrzeit.
Liste aller VMs, die mit dem ESXi-Host die Zeit
synchronisieren.
Ereignisse herausfiltern, etwa An/Ausschalten von
virtuellen Maschinen.
Storage vMotion ausführen.
www.it-administrator.de
Crashkurs PowerCLI Schwerpunkt
-Password Passwort -Port 8443
-Protocol https
Sie sollten beachten, dass unterschiedliche
Befehle zur Verfügung stehen, je nachdem,
ob Sie mit VMware vSphere oder VMware
ESXi verbunden sind. Sobald die Verbin-
dung zum vCenter steht, kann es losgehen.
Dann verfügbare, sehr nützliche Befehle
zeigt Tabelle 1. Eine sehr gute Sammlung
von PowerShell-Einzeilern und -Skripten
DNS-Name -User Benutzername -Password finden Sie unter [3].
Passwort
Berichte erzeugen
ZurVerwendung unterschiedlicher Ports Ein sehr nützlicher Bericht ist der "Storage
ist diese Befehlskette gefragt: vMotion Report" [5], der in einer HTML-
> Connect-VIServer vCenter IP oder Datei sämtliche vMotion-Aktivitäten der
DNS-Name -User Benutzername letzten sieben Tage auflistet. In diesem
Befehl
Get-VMGuest -VM (Get-VM -Name VMName)
Get-VM | Get-Snapshot | Select VM,Name,Created,sizemb
Get-VM | Get-Snapshot | Select VM,Name,Created,sizemb | Where {$_.Created -lt
((Get-Date).AddDays(-7))}
Get-Snapshot | Select VM,Name,Created,sizemb | Where {$_.Created -lt ((Get-Date).
AddDays(-7))} | Remove-Snapshot
Get-Cluster | Get-VM | select name, @{N="Datastore";E={Get-Datastore -VM $_}} |
sort name
Shutdown-VMGuest -VM (Get-VM -Name "VMname")
Get-VM VMName | Get-HardDisk | ft Parent, Name, Filename, CapacityKB
-AutoSize
Get-VM | Get-VMResourceConfiguration | Where-Object {$_.CpuLimitMhz -ne ‘-1‘} |
Set-VMResourceConfiguration -CPULimitMhz $null
Get-VM | Get-VMResourceConfiguration | Where-Object {$_.MemLimitMB -ne ‘-1‘} |
Set-VMResourceConfiguration -MemLimitMB $null
Get-VM | Select Name, @{N="Network Adapter";E={$_ | Get-NetworkAdapter| foreach-object
{$_.Type}}}, @{N="MacAddress";E={$_ | Get-NetworkAdapter| ForEach-Object {$_.MacAd-
dress}}}, @{N="PortGroup";E={Get-VirtualPortGroup -VM $_}}
Get-VM | Select Name, @{N="Network";E={$_ | Get-NetworkAdapter | ? {$_.macaddress -eq
"00:50:56:00:00:00"}}} |Where {$_.Network -ne ""}
Get-Cluster "clustername" | Get-VMHost | Get-VirtualSwitch -Name "vSwitch_name" |
New-VirtualPortGroup -Name "VLAN-xx" -VLanId XX
Get-Datastore | Select Name, @{N="NumVM";E={@($_ | Get-VM).Count}} | Sort Name
Get-VMHost | Get-ScsiLun | Select VMHost, ConsoleDeviceName, Vendor, MultipathPolicy,
LunType
Get-VMHost | Foreach {Start-VMHostService -HostService ($_ | Get-VMHostService |
Where { $_.Key -eq "TSM-SSH"} )}
Get-VMHost | sort Name | select Name,@{Name="Current VMHost Time";Expression={(Get-
View $_.ExtensionData.ConfigManager.DateTimeSystem).QueryDateTime()}}
Get-View -viewtype virtualmachine -Filter @{'Config.Tools.SyncTimeWithHost'='True'} |
select name
Get-VM VMname | Get-VIEvent | Where {$_.fullFormattedMessage -like "*Power*"}
Get-VM VMname | Move-VM -datastore (Get-datastore "Ziel-Datastore")
Mai 2018 69
Sch w e rp unk t Crashkurs PowerCLI
Bild 2: Das frei verfügbare "Storage vMotion Report"-Skript untersucht vMotion-Aktivitäten.
Skript finden Sie direkt am Anfang eine
"# Variables"-Sektion, die Sie auf die je-
weilige Umgebung anpassen müssen.
Wollen Sie zum Beispiel über die sieben
Tage hinausgehen, passen Sie das Skript
entsprechend an:
$vmotions = get-motionhistory
-Entity ($vms) -days 30 | ?{$_.
type -eq "svMotion"}
Sehr häufig benötigt der Administrator
einen schnellen Überblick der Perfor-
mance von virtuellen Maschinen inner-
halb einer gewissen Zeit, beispielsweise
der letzten Stunde. Dazu dient das Skript
in Listing 1, das für alle VMs eine Über-
sicht generiert, die CPU, Memory, Netz-
werk und Festplattenleistungsdaten der
letzten Stunde anzeigt. Um hier mehr In-
formationen als nur zur letzten Stunde
zu erhalten – im folgenden Beispiel für
den letzten Tag – modifizieren Sie die
"$Start"-Zeile: "$start = (Get-Date).Add-
Days (-1)."
Um die Skriptausgabe in eine Datei (etwa
eine CSV-Datei) umzuleiten, müssen Sie
ein "|"-Zeichen hinter den letzten Eintrag
stellen und eine Export-Zeile hinzufügen:
@{N='Disk(KBps';E={"{0:N2}" -f
($_.Group | where{$_.MetricId -eq
'disk.usage.average'} | Measure-
Object -Property Value -Average |
select -ExpandProperty Average)}}
|
Export-Csv .\report.csv -NoTypeIn-
formation -UseCulture
Audit-Skript für VMware
Zum Nachverfolgen von Änderungen an
virtuellen Maschinen wie Hauptspeicher-
erweiterungen oder Netzwerkanpassungen
liefert [6] ein fertiges Skript. Dieses sollten
Sie immer im selben Verzeichnis aufrufen,
da es eine CSV-Datei nutzt, um beim ers-
ten Start den Anfangsstand der Infrastruk-
70 Mai 2018
Skripte als geplanter Task
Speziell Reporting-Skripte laufen übli-
cherweise als Task jeden Tag oder jede
Woche. Dazu eignen sich die geplanten
Tasks unter Microsoft Windows. Aus der
Kommandozeile rufen Sie den Scheduler
mit control schedtasks auf. Und hinterle-
gen dort entweder
tur anzulegen und diesen bei späteren Auf-
rufen zum Vergleich zu nutzen. Daher soll- C:\WINDOWS\system32\windowspowers-
ten Sie das Skript von der Webseite laden hell\v1.0\powershell.exe "&
und in einer Datei (zum Beispiel "C:\Skrip- Pfad\Skript.ps1"
te \ vmaudit.ps1") speichern.
oder
Sollen bestimmte Personen von der Er-
fassung der Änderungen ausgenommen C:\WINDOWS\system32\windowspowers-
werden, ändern Sie die Zeile "$admins": hell\v1.0\powershell.exe -file
"Pfad\Skript.ps1"
$admins = "com.vmware.vadm|adminis-
trator|IhrAccount" Damit die Skripte auch zuverlässig über
die PowerCLI-Befehle verfügen, müssen
Außerdem passen Sie die Zeile mit den Sie sicherstellen, dass die Module geladen
Angaben zum Mailserver an: sind. Dazu fügen Sie einfach zu Anfang
des Skripts folgende Zeile hinzu:
Send-MailMessage -From "E-Mail-Ad-
dresse Absender" -To "E-Mail-Ad- > Import-Module -name VMware.VimAu-
dresse Empfänger" -Subject "vSphe- tomation.Core
re Audit Report" -BodyasHtml -Body
$body -SmtpServer "SMTP Server" Gesundheit der
Virtualisierung ermitteln
Soll das Skript als geplanter Task angelegt Das vCheck-Health-Check-Skript [7] ist
werden, müssen Sie zu Beginn des Skripts das mit Abstand mächtigste und umfang-
noch die PowerCLI laden und sich mit reichste PowerShell-Reporting-Pro-
dem vCenter verbinden: gramm, das kostenfrei zur Verfügung
steht. Dieses Skript hat seit Januar eine
Import-Module -name VMware.VimAutoma- neue Optik, die auf einer VMware-De-
tion.Core Connect-ViServer vCenter signvorlage basiert. Definitiv sehr profes-
-username Benutzer -pass Passwort sionell und super strukturiert, liefert es
einen wertvollen Beitrag zur täglichen
Da nur Leserechte benötigt werden, soll- Routine von VMware-Administratoren.
ten Sie hier auch nur einen Benutzer mit Das Skript laden Sie einfach als ZIP-Datei
Read-Only-Rechten im vCenter angeben. herunter und entpacken es in ein belie-
Listing 1: VM-Performancereport
$vms = Get-VM
$start = (Get-Date).AddHours(-1)
Get-Stat -Entity $vms -Start $start -ErrorAction SilentlyContinue |
Group-Object -Property {$_.Entity.Name} |
Select @{N='VM';E={$_.Name}},
@{N='CPU(%)';E={"{0:N1}" -f ($_.Group | where{$_.MetricId -eq 'cpu.usage.average'} |
Measure-Object -Property Value -Average | select -ExpandProperty Average)}},
@{N='Memory(%)';E={"{0:N1}" -f ($_.Group | where{$_.MetricId -eq 'mem.usage.average'} |
Measure-Object -Property Value -Average | select -ExpandProperty Average)}},
@{N='Net(KBps)';E={"{0:N2}" -f ($_.Group | where{$_.MetricId -eq 'net.usage.average'} |
Measure-Object -Property Value -Average | select -ExpandProperty Average)}},
@{N='Disk(KBps';E={"{0:N2}" -f ($_.Group | where{$_.MetricId -eq 'disk.usage.average'} |
Measure-Object -Property Value -Average | select -ExpandProperty Average)}}
Alle Listings zum Download unter www.it-administrator.de
 Intensiv-Seminar
PowerShe
für Adminll
s

Quelle: goodluz – 123RF.com

Bild 3: Es ist sinnvoll, bestimmte Skript-basierte Reporte über
Windows-Tasks regelmäßig laufen zu lassen.

biges Verzeichnis. Dabei sollten Sie beachten, dass Windows

beim Download von Dateien aus dem Internet eine Sicher-
heitseinstellung vornimmt, die Sie vor dem Extrahieren erst
aufheben müssen.

In einer PowerShell-Sitzung kann das vCheck-Skript direkt auf-

gerufen werden. Besser ist jedoch, es zunächst zu konfigurieren 6. bis 8. Juni 2018
und Einstellungen des vCenters, E-Mail-Servers oder des Inhalts
des Reports festzulegen. Diese Konfiguration starten Sie über Hamburg
den Schalter "-config":
27. bis 29. Juni 2018
> .\vCheck.ps1 -config
München/Garching
Die Konfiguration ist sehr umfangreich, da der Health-Check-
Report zahlreiche Informationen abfragt und später aufbereitet. Anmeldung unter:
Nach der Erstkonfiguration startet der erste vCheck-Aufruf au-
tomatisch und sendet den finalen Report per E-Mail (wenn
www.it-administrator.de/
dies so konfiguriert wurde). Um diesen in einem bestimmten trainings
Verzeichnis abzulegen, das Sie nicht während der Erstkonfigu-
ration angegeben haben, hilft das OutputPath-Argument:
Unser Angebot: Seminarpreise:
> .\vCheck.ps1 -OutputPath C:\vCheckOutput\ - Maximal 12 Teilnehmer Sonderpreis für
je Seminar Abonnenten des IT-Administrator:
Zielverzeichnis
- Einen Rechner für jeden
Teilnehmer 1.090 Euro
PowerShell Core (inkl. 19% MwSt.)
- 3-tägiges Intensivseminar, das
und PowerCLI Core am ersten Tag um 10 Uhr für Nicht-Abonnenten:
Microsoft hat jüngst die Entscheidung bekannt gegeben, dass beginnt und am 3. Tag
PowerShell Core die zukünftige Plattform sein wird und diese gegen 16 Uhr endet.
1.270 Euro (inkl. 19% MwSt.)
war zur Drucklegung in Version 6 verfügbar. Sie läuft nicht
nur auf Microsoft Windows, sondern auch auf Linux- und Ihr Dozent: Agenda:
macOS-Systemen. Die PowerCLI-Module funktionieren al-
· Einführung und Basiswissen
lerdings noch nicht zu 100 Prozent unter PowerShell Core,
Architektur der PowerShell und Versionsunterschiede / Cmdlets,
werden aber stetig verbessert. Daher sind einige Skripte, die Cmdlet-Parameter und Hilfefunktionen / Objekt-Pipeline und
aktuell zu finden sind – auch das vCheck-Skript – noch nicht Ausgabefunktionen / Navigationsmodell (PowerShell-Provider)
unter PowerCLI Core lauffähig. · Scripting
PowerShell Language (PSL): Variablen und Kontrollstrukturen /
Objektorientiertes Programmieren mit Klassen (ab PowerShell
Trotz dieser Einschränkungen ist es ein enormer Schritt, die 5.0) / Sicherheitsfunktionen (Execution Policy) / Vordefinierte
PowerShell und die PowerCLI Core unter diesen Betriebs- Variablen, Fehlerbehandlung und Fehlersuche / Scripting mit
systemen universell verwenden zu können. Außerdem wird PowerShell Integrated Scripting Environment (ISE)
· Aufbauwissen
Fernaufruf/Fernadministration mit WS-Management
(Remoting) / Serververwaltung Active Directory und
www.it-administrator.de Thomas Wiefel Automatisierung von Azure
Sch w e rp unk t Crashkurs PowerCLI
die Windows PowerShell nicht mehr
weiterentwickelt und erhält nur noch si-
cherheitsrelevante Updates. PowerShell
Core setzt auf die plattformübergreifen-
de .NET-Core-2.0-Runtime und ist für
Windows, macOS sowie für die Linux-
Distributionen Debian, Ubuntu, Cent-
OS, RedHat Enterprise, OpenSUSE und
Fedora verfügbar. Außerdem gibt es in-
offizielle Versionen für Arch Linux, Kali
Linux und Appimage sowie experimen-
telle Fassungen für die ARM-Version
von Windows und für Raspbian.
Leider war es (bis zur Drucklegung)
noch nicht möglich, PowerCLI Core
unter PowerShell Core zu installieren.
Daher müssen Sie einen Fling [8] von
VMware nutzen. Zudem ist die Power-
Shell Core aktuell nicht in den Systemen
direkt integriert, sondern nur als Funk-
tion aktivierbar. Daher laden Sie die für
Ihr Betriebssystem verfügbare Version
von der GitHub-Seite [9] von Microsoft
herunter. Diese Webseite wird übrigens
offiziell auf der Microsoft-PowerShell-
Website angegeben, um neue Versionen
herunterzuladen. Mit einer Standard-
installation landen die Daten in "C:\
Program Files \ PowerShell" bezie-
hungsweise in "PowerShell $env:Pro-
gramFiles \ PowerShell". Die seit 28.
Februar 2018 verfügbare PowerCLI 10
lässt sich hingegen sehr einfach instal-
lieren und ist die erste PowerCLI-Ver-
Bild 4: Das kostenlose vCheck-Health-Check-Skript liefert
Statusinformationen aus der Virtualisierungsumgebung.
72 Mai 2018
sion mit PowerShell-Core-Unterstüt-
zung. Dazu führen Sie einfach in einer
bestehenden PowerShell-Core-Sitzung
folgenden Befehl aus:
> Install-Module -Name VMware.Power-
CLI -Scope CurrentUser
Sind keine gültigen Zertifikate im vCenter
hinterlegt, sollten Sie folgenden Befehl
ausführen, damit die PowerCLI auch in
diesem Fall eine Verbindung mit dem
vCenter herstellt:
> Set-PowerCLIConfiguration -Inva-
lidCertificateAction Ignore
Danach laden Sie die Module mit
> Get-Module -ListAvailable VMware*
| Import-Module
Sie können sich jetzt per Connect-ViServer
verbinden.
Folgende PowerCLI-Befehle werden nicht
mehr unterstützt:
- Get-VMGuestNetworkInterface
- Set-VMGuestNetworkInterface
- Get-VMGuestRoute
- New-VMGuestRoute
- Remove-VMGuestRoute
Netzwerkeinstellungen, die auf diesen
Cmdlets beruhen, müssen Sie mit dem
Link-Codes eingeben auf www.it-administrator.de
Invoke-VMScript-Cmdlet vornehmen –
hier als Beispiel die Änderung der IP-
Adresse im Gast:
$ipAddr = "192.168.10.25"
$subMask = "255.255.255.0"
$gw = "192.168.10.1"
$netsh = "c:\windows\system32\
netsh.exe interface ip set address
""Local Area Connection"" static
$ipAddr $subMask $gw 1"
Invoke-VMScript -VM $VM -GuestCre-
dential $creds -ScriptType bat
-ScriptText $netsh
Neue PowerCLI-Versionen laden Sie üb-
rigens ganz einfach mit dem Update-Mo-
dule-Befehl:
> Update-Module VMware.PowerCLI
Fazit
Auch Nicht-PowerShell-Experten unter
den vSphere-Administratoren sollten die
im Artikel vorgestellten Einzeiler und
Skripte die tägliche Routine deutlich er-
leichtern. Die PowerShell und PowerCLI
sind tolle und vielfältige Werkzeuge, die
immer wichtiger werden, je häufiger glei-
che Aufgaben zu erledigen sind und je
größer die Infrastruktur wird. Vielleicht
hat unser Crashkurs ja Appetit auf mehr
gemacht. (jp)
Link-Codes
[1] VMworld 2017 Power Hour:
vSphere PowerCLI
10th Birthday Edition
I5ZC1
[2] VMware PowerCLI
I5ZC2
[3] Skripte auf virtu-al.net
I5ZC3
[4] PowerCLI-Poster
I5ZC4
[5] Storage vMotion Report
I5ZC5
[6] PowerCLI Report
I5ZC6
[7] vCheck-Skript
I5ZC7
[8] PowerCLI Core
I5ZC8
[9] PowerShell auf GitHub
I1P31
 Praxis-Know-how zum Vorbestellen:
Das IT-Administrator Sonderheft II/2018

Erfahren Sie auf 180 Seiten

alles rund um das Thema:

IT-Sicherheit
für KMUs
Konzepte, Werkzeuge
und Best Practices

Bestellen Sie jetzt zum Abonnenten-

Vorzugspreis* von nur 24,90 Euro!
Erhältlich
O k t o b e r
ab
Abo- und Leserservice
2018
IT-Administrator
vertriebsunion meynen Tel: 06123/9238-251 * IT-Administrator Abonnenten erhalten das Sonderheft II/2018 für € 24,90. Nichtabonnenten zahlen € 29,90.
IT-Administrator All-Inclusive Abonnenten "zahlen" für Sonderhefte nur € 16,00 - diese sind im Abonnement
Herr Stephan Orgel Fax: 06123/9238-252
dann automatisch enthalten. Alle Preise verstehen sich inklusive Versandkosten und Mehrwertsteuer.
D-65341 Eltville leserservice@it-administrator.de

shop.heinemann-verlag.de
Windows-Client-Management mit Puppet und WSUS

Quelle: irontrybex – 123RF

Tanz nach der Pfeife
von Tam Hanna

AMD-Workstations starben nach dem Einspielen von Microsofts Meltdown-Patch einen schnellen
Tod – gut weg kamen all jene, die ihre Update-Infrastruktur von der Microsoft’schen abgekoppelt
hatten. Das Werkzeug der Wahl ist seit jeher der WSUS-Server – seine Eintragung auf Seiten des
Clients übernimmt nun bei Bedarf Puppet.

m mögliche Missverständnisse
U schon vorab auszuräumen: wsus_
client ist kein Werkzeug zur Konfigura-
tion des WSUS-Servers. Das Werkzeug
befasst sich mit der Konfiguration des
WSUS-Subsystems auf den auserwählten
Clients – die Auswahl der zu installieren-
den Updates, ihr Herunterladen und an-
dere Dinge erfolgen nach wie vor aus-
schließlich am WSUS-Server.
Wir wollen in den folgenden Schritten
eine kleine Infrastruktur aus einer Gruppe
von virtuellen Maschinen errichten, um
die Möglichkeiten und Grenzen von
wsus_client kennenzulernen. Neben ei-
nem als WSUS-Deployer dienenden
Windows Server 2012 benötigen wir auch
einen unter Linux laufenden Puppetmas-
ter. Bild 1 zeigt die resultierende Archi-
tektur, die als Beispiel für andere Deploy-
ments dienen darf.
Kompatibilitäts-Spiele
Der wsus_client ist laut der unter [1] be-
reitstehenden Webseite des Moduls ein
von PuppetLabs offiziell unterstütztes
Plug-in. Ärgerlicherweise steht es um die
Kompatibilität nicht zum Besten (Bild 2),
und die Puppet-Enterprise-Versionen sind
generell besser unterstützt als das frei ver-
fügbare Puppet. Wir setzen uns an dieser
Stelle frech über die Beschränkung auf
maximal Puppet 5.0.0 hinweg.
Erzeugen Sie zuerst eine neue virtuelle
Maschine auf Basis von Ubuntu Server
16.04 und weisen Sie ihr nur 2 GByte
RAM zu. Damit wollen wir an dieser Stel-
le auch die Konfiguration eines "speicher-
armen" Puppet-Masters demonstrieren.
Wichtiger ist das Vergeben des Hostna-
mens "puppet", da es sonst beim Verbin-
dungsaufbau zu Fehlern bei der Zertifi-
katerzeugung kommt.
Zur Installation einer aktuellen Version
von Puppet müssen Sie im ersten Schritt
die Repositories einpflegen, um danach
den Downloadbefehl anzustoßen. Die
hier abgedruckten Kommandos gelten
nur für Ubuntu 16.04 – für andere OS-
Versionen sind andere Repositories zu
verwenden:
$ wget https://apt.puppetlabs.com/
puppet5-release-xenial.deb
$ sudo dpkg -i puppet5-release-
xenial.deb
$ sudo apt update
$ sudo apt-get install puppetserver
Aufgrund des fehlenden Arbeitsspeichers
muss die Datei "/etc/default/puppetserver"
angepasst werden. Suchen Sie die mit "JA-
VA_ARGS" beginnende Zeile und passen
Sie sie folgendermaßen an:
JAVA_ARGS="-Xms512m -Xmx1g"
Puppet läuft in einer Java-VM und ist
dementsprechend den Einstellungen der
Umgebung unterworfen. Xms und Xmx
sind der klassische Zweikampf der VM-
Parametrierung – die beiden Variablen
legen gemeinsam fest, in welchem Bereich
der Speicherbedarf der JVM liegen darf.
Die Installation erfolgt nach einem Neu-

74 Mai 2018 www.it-administrator.de


Bild 1: wsus_client ist aus architektonischer Sicht nicht sehr kompliziert.
start des Puppet-Servers (oder der ganzen
VM) mittels puppet module install:
$ puppet module install puppetlabs-
wsus_client --version 1.0.3
Ein Ärgernis für Quereinsteiger ist, dass
die Firewall von Ubuntu Server den für
die Kommunikation mit Clients erforder-
lichen Port 8140 blockiert. Dieses Pro-
blem lässt sich mit iptables schnell lösen:
$ sudo ufw disable
$ sudo iptables -I INPUT -m state --
state NEW -m tcp -p tcp --dport
8140 -j ACCEPT
Zu guter Letzt müssen Sie den Puppet-
master anwerfen – das Kommando
nimmt einige Zeit in Anspruch. Prüfen
Sie zudem, ob der Dienst in der Ausgabe
von netstat -ln auftaucht:
$ sudo systemctl start puppetserver
Alle meine Klassen
Auch wenn sich wsus_client auf die Ver-
waltung von Windows-Elementen kon-
zentriert, bleibt der logische Aufbau der-
selbe. Deployments lassen sich über eine
Klasse vom Typ wsus_client steuern – die
Basisversion sieht folgendermaßen aus:
class { 'wsus_client':
server_url => 'http://myserver:my-
port',
} sollte nicht mit einer roten Verbindungs-
Server_URL ist hierbei der wichtigste Pa-
rameter: Er beschreibt, wo der jeweilige
Client den WSUS-Server vorfindet. Über-
www.it-administrator.de
geben Sie hier einen Wert, der Ihren Be-
dürfnissen entspricht – die Installation
des WSUS-Servers selbst ist in der MSDN
hinreichend beschrieben und soll uns hier
nicht weiter aufhalten. Zur Laufzeit prüft
Puppet nur, ob der Wert mit dem String
"http" oder "https" beginnt.
In der Praxis sollten Sie zumindest einen
Aktualisierungsplan festlegen. Eine Ba-
sisversion der dazu notwendigen Config-
Klasse sieht folgendermaßen aus:
class { 'wsus_client':
server_url =>
'http://myserver:8530',
auto_update_option => "Schedu-
led",
scheduled_install_day => "Tues-
day",
scheduled_install_hour => 2,
} VirtualBox unnötige Arbeit verursacht,
"auto_update_option" legt hierbei fest,
wie der WSUS-Server mit eingehenden
Updates umgehen soll. Übergeben Sie
"NotifyOnly", werden die Nutzer nur über
das Vorhandensein von Updates infor-
miert. "AutoNotify" lädt automatisch he-
runter, lässt dem Nutzer aber die alleinige
Wahl über den Deployment-Zeitpunkt.
Der hier verwendete Wert liefert automa-
tisch aus und installiert zu einem be-
stimmten Zeitpunkt, während die Option
"AutoInstall" eine vollständige Automa-
tisierung anweist.
"scheduled_install_day" und "scheduled_
install_hour" legen dann den Zeitpunkt
fest, wann das eigentliche Deployment
der Aktualisierungen zu erfolgen hat. Wer
Puppet und WSUS Schwerpunkt
sich bei den Parametern an die Windows-
Registry erinnert fühlt, liegt nicht falsch
– mehr dazu weiter unten.
Server herbei
Zum Testen des Plug-ins brauchen wir
logischerweise eine Installation von
Windows Server 2012, im Interesse des
einfacheren Handlings entscheiden wir
uns für eine vollwertige Version samt
GUI. Puppet unterstützt in der Commu-
nity-Edition neben den Servern nur
Windows 10 Enterprise, die Bezahlversion
des Produkts ist in Sachen Unterstützung
etwas breiter aufgestellt.
Besuchen Sie im Server sodann die URL
http://downloads.puppetlabs.com/win-
dows/puppet5/, um die Datei puppet-
agent-5.3.3-x64.msi herunterzuladen.
Achten Sie darauf, beide virtuelle Maschi-
nen in ein gemeinsames Netzwerk ein-
zubuchen – der als Agent bezeichnete
Client sollte den Puppet-Master schon
während der Installation auffinden.
Von geradezu lebensbedeutender Wich-
tigkeit ist es, dass sich Puppetmaster und
Puppetagent unter dem selben Namen
ansprechen: Wer die IP-Adresse des Pup-
petmasters im Installationsassistenten des
Agenten eingibt, bekommt zur Laufzeit
eine Fehlermeldung über ein nicht veri-
fiziertes Zertifikat.
Da das Einrichten eines DNS-Servers in
editieren wir stattdessen die Datei "C:\
Windows\System32\drivers\etc\hosts".
Sie verhält sich analog zu ihrem Unix-
Gegenstück "/etc/hosts" und erlaubt das
Anlegen von "virtuellen" DNS-Aliasen.
Deklarieren Sie die Addresse der VM und
weisen Sie den Namen "puppet" zu. Nach
einem Neustart (oder einem Refresh des
DNS-Caches per ipconfig) sind Sie für
den nächsten Schritt bereit.
Für einen ersten Verbindungsversuch
reicht es aus, die Startmenüverknüpfung
"Run Puppet Agent" zu aktivieren. Dies
fehlermeldung scheitern – das Ausgeben
eines grünen Texts mit Informationen
über fehlende Serverzertifikate ist derweil
kein Problem. Beachten Sie, dass die Ein-
Mai 2018 75
Sch w e rp unk t Puppet und WSUS
Bild 2: Die Kompatibilität zu den Puppet-Enterprise-Versionen ist besser als zur freien Version.
gabe von puppet cert list beim Arbeiten
als "Normaluser" keine Resultate liefert –
die anstehenden Ergebnisse werden nur
dann angezeigt, wenn man Puppet als su-
do ausführt. Unter Ubuntu Server kommt
es dabei allerdings zu einem Fehler.
Die Ursache des Problems ist, dass Puppet
die Arbeitsumgebung des Superusers nicht
korrekt parametriert. Als Brutallösung
bietet sich das Finden der Datei mittels
which an, die daraufhin zur Signierung
der Requests zweimal in Folge aufgerufen
wird. Das Nutzen des "all"-Parameters sig-
niert alle anstehenden Requests: In einem
produktiven Deployment sollten Sie da-
rauf achten, nur jene Clients zu signieren,
die Konfigurationsdaten beziehen dürfen.
An dieser Stelle verhält sich der Windows-
Node im Großen und Ganzen so, wie Sie
es von einem unter Unix laufenden Pup-
pet-Agenten erwarten würden.
Ein "smoke test" mit einer .pp-Datei und
dem Puppet-Apply-Brecheisen scheitert
bei Ausführung am unter Ubuntu laufen-
den Puppetmaster mit einem Verweis auf
fehlende Bibliotheken. Arbeiten Sie unter
Windows in einem Kommandozeilenfens-
ter, so müssen Sie das fehlende Modul vor
der erstmaligen Benutzung herunterladen.
Die korrekte Einrichtung des WSUS-Ser-
vers lässt sich per Regedit überprüfen –
auch mit dem an sich nicht unterstützten
Puppet 5.3.3 landen die Schlüssel dort, wo
man sie erwartet.
Deep config...
Schlecht konfigurierte Auto-Updater trei-
ben Nutzer zur Weißglut – in einem be-
freundeten Rüstungsbetrieb brachten ge-
quälte Mitarbeiter irgendwann eigene
Firewall-Appliances mit, um die lästigen
automatisierten Neustarts zu unterbinden.
Zur Umgehung des Problems bietet sich
76 Mai 2018
das Setzen von "no_auto_reboot_with_
logged_on_users" an – als Parameter sind
"true" und "false" zulässig:
class { 'wsus_client':
...
no_auto_reboot_with_logged_on_users
=> true,
wsus_client ist in der Lage, vom Admi-
nistrator angegebene Anweisungen in
mehrstufige Parametrierungsprozesse
umzusetzen. Als Beispiel dafür die beiden
folgenden Befehle, die die Aktualisie-
rungsrate entweder auf eine Stunde oder
aber auf Null setzen:
class {'wsus_client':
server_url =>
'http://myserver:8530',
detection_frequency_hours => 1
} Datei "manifests/init.pp" die zur Verfü-
class {'wsus_client':
server_url => 'http://my-
server:8530',
detection_frequency => false
} $server_url
Puppet erkennt, dass der zweite Fall die
automatisierte Suche deaktiviert – steht
dort stattdessen ein numerischer Wert,
setzt Puppet den "allgemeinen" Aktivie-
rungsschlüssel in der Registry. wsus_client
bietet einen weiteren Parameter, mit dem
Sie den in WSUS integrierten Reporting-
Assistenten aktivieren können:
class { 'wsus_client':
server_url =>
'http://myserver:8530',
enable_status_server => true,
} = undef,
Steht "enable_status_server" auf true, setzt
Puppet den Schlüssel "WUStatusServer".
Ab diesem Zeitpunkt bekommt der je-
weilige WSUS-Server Informationen über
den Updatevorgang – beachten Sie, dass
Microsoft in der Dokumentation das Auf-
teilen zwischen Auslieferungs- und Re-
porting-Server explizit verbietet.
Wer seine WSUS-Installation unter
Nutzung der weiter oben vorgestellten
Klasse einrichtet, freut sich darüber, dass
alles problemlos funktioniert. Normaler-
weise geht dies gut – interessant wird es,
wenn es plötzlich nicht mehr funktioniert.
Zum Verständnis: wsus_client ist eine Art
Einstellungsassistent für WSUS-Clients
auf Windows-Zielen. Der WSUS wird le-
diglich konfiguriert, nimmt selbst aber
keine Befehle von Puppet entgegen.
Windows-erfahrene Entwickler wissen,
dass die Einstellungen in der Registry un-
ter "HKLM\Software\Policies\Micro-
soft\Windows\WindowsUpdate" bereit-
stehen. wsus_ client hat aber darauf kein
Exklusivabonnement. Wer WSUS über
Gruppenrichtlinien oder mittels eines
Skripts steuert, muss damit rechnen, dass
sich die Konfigurationswerkzeuge in die
Quere kommen.
Wer mehr über das Problem erfahren
möchte, findet im Code des Moduls Hilfe.
Puppet Labs deklarieren am Beginn der
gung stehenden Parameter – hier findet
sich ein gutes Dutzend alter Bekannter:
class wsus_client (
= undef,
$enable_status_server
= undef,
$accept_trusted_publisher_certs
= undef,
$auto_update_option
= undef, #2..5 valid values
$auto_install_minor_updates
= undef,
$detection_frequency_hours
= undef,
$disable_windows_update_access
= undef,
$elevate_non_admins
$no_auto_reboot_with_logged_on_
users = undef,
$no_auto_update
www.it-administrator.de
 = undef,
$reboot_relaunch_timeout_minutes
$reboot_warning_timeout_minutes
= undef,
$reschedule_wait_time_minutes
= undef,
$scheduled_install_day
= undef,
$scheduled_install_hour
= undef,
$always_auto_reboot_at_scheduled_
time = undef,
$always_auto_reboot_at_scheduled_
time_minutes = undef,
$target_group
= undef,
$purge_values
= false,
Weiter unten findet sich die Deklaration
des Schlüssels, der WSUS konfiguriert.
Damit ist bewiesen, dass die Theorie der
"Konfiguration durch Setzen von Regis-
try-Werten" korrekt ist:
$_basekey = $::operatingsystemre-
lease ? {
default => 'HKLM\Software\Poli-
cies\Microsoft\Windows\WindowsUp-
date'
} lung ihres aktuellen Werts hier noch ein
Das Herausschreiben der Werte erfolgt
mit Hilfe der Settings-Klasse, die im Git-
hub-Repository an separater Stelle bereit-
steht. Als Beispiel hier noch der Aufruf,
um den Wert von "AcceptTrustedPubli-
sherCerts" in den Konfigurationsspeicher
des Clients zu schieben:
wsus_client::setting {
"${_basekey}\\AcceptTrustedPublis-
herCerts":
data => $accept_trus-
ted_publisher_certs,
has_enabled => false,
validate_bool => true,
} WSUS-Einstellungen lohnt, ist schwerer
Interessant ist auch das in "puppetlabs-
wsus_client/lib/puppet/parser/functions/
parse_scheduled_install_day.rb" liegende
Parsing des weiter oben besprochenen
Installationstages. Microsoft speichert in
der Registry ein von null bis sieben lau-
fendes Integer, das unter Nutzung einer
Link-Codes eingeben auf www.it-administrator.de
Hashtabelle aus den im Skript anzuge-
benden Werten entsteht:
day_hash = {'Everyday' => 0,
'Sunday' => 1,
'Monday' => 2, NEWSLETTER
'Tuesday' => 3,
'Wednesday' => 4, jetzt abonnieren:
'Thursday' => 5,
'Friday' => 6,
'Saturday' => 7}
wsus_client ist unserer Ansicht nach eines
der besser geschriebenen Plug-ins für
Puppet. Wer mehr über Puppet-Module
für Windows erfahren möchte, kann den
gut strukturierten Code studieren.
Englischsprachige Quellen versprachen
nach dem Erscheinen des Clients das
baldige Nachliefern eines Moduls, das
die Konfiguration des WSUS-Servers
beackert. Leider gibt es hier keine po-
sitiven Informationen zu vermelden.
Andererseits sind WSUS-Server sehr
effizient: Laut Berichten sind 100.000
Clients pro Server beim Anpassen der
von Microsoft eher konservativ einge-
stellten Variable "MaximumAllowed-
Computers" kein Problem. Zur Ermitt-
kleines PowerShell-Skript:
$config = (Get-WsusServer).GetConfi-
guration()
$config.MaximumAllowedComputers
Fazit Jede Woche aktuelle
Wenn Windows-Clients ihre Konfigura-
tion per Puppet erhalten und ein WSUS- News, freie Artikel
Server zur Verfügung steht, spricht nichts
dagegen, wsus_client eine Chance zu ge-
und Admin-Tipps
ben. Schließlich bedeutet jeder automa-
tisiert ablaufende Schritt eingesparte Ar-
beitszeit, die sich anders produktiver
nutzen lässt. Ob sich das Deployen von
Puppet ausschließlich zur Verwaltung der
zu beantworten – bedenken Sie, dass Mi-
crosoft mit den Gruppenrichtlinien ein
ähnliches Werkzeug anbietet. (of)
Link-Codes
[1] wsus_client
I5Z31
www.admin-magazin.de/
newsletter
 Quelle: pressmaster – 123RF
Kostenlose Editoren im Überblick

Alles im Griffel
Dr. Holger Reibold

Gleich, ob Sie nun eine Konfigurationsdatei bearbeiten, eine Protokolldatei analysieren oder eine
einfache App programmieren wollen: Sie benötigen keine komplexe Entwicklungsumgebung,
meist genügt ein leistungsfähiger Texteditor. IT-Administrator hat kostenlose Editoren unter
die Lupe genommen.

ällt das Stichwort "Editor", denken
F viele Windows-Anwender gleich
an Notepad – und der einfache Texteditor
hat durchaus seine Berechtigung, wenn
es um das Bearbeiten simpler CONF-,
INI- oder TXT-Dateien unter Windows
geht. Doch für komplexe Aufgaben ist
das Programm nicht zu gebrauchen,
denn es fehlen essenzielle Funktionen
wie eine intelligente Eingabehilfe, Auto-
vervollständigung, Rechtschreibprüfung,
Syntaxhervorhebung, Such- und Ver-
gleichsfunktion; ganz zu schweigen von
Makro- oder Projektmanagement- oder
gar von Backupfunktionen.
Ein Blick in Software-Archive zeigt, dass
es eine Vielzahl von Texteditoren gibt.
Neben einer Handvoll Klassiker existieren
durchaus interessante kostenlose Alter-
nativen, die einen Blick wert sind. In die-
sem Artikel nehmen wir acht Textedito-
ren unter die Lupe und arbeiten Stärken
und Schwächen heraus.
Prinzipiell muss ein Editor unterschied-
liche Codierungen sowie Programmier-
und Auszeichnungssprachen unterstüt-
zen. Auch Autovervollständigung, einen
Makrorecorder für die Aufzeichnung wie-
derkehrender Arbeiten und eine leis-
tungsfähige Suchfunktion gehören zur
Grundausstattung. Ein praxistauglicher
Texteditor kann außerdem Textpassagen
für die Wiederverwendung verwalten.
Komfortabel wird der Umgang mit Back-
upfunktionen, einer eigenen Projekt -
verwaltung, integriertem FTP-Client,
Exportmöglichkeiten und einer erweiter-
baren Architektur. Gerade bei den Zu-
satzfunktionen gibt es zum Teil erhebliche
Unterschiede. Last but not least sind auch
die Bedienung und das Programmhand-
ling ein wichtiger Aspekt.
Die Klassiker: Emacs und Vim
An der Frage, welcher der beste Texteditor
für Administratoren und Entwickler ist,
reiben sich bereits Generation von Unix-
Anwendern auf. Als Höhepunkt dieses
Wettstreits gilt der selbstausgerufene "Edi-
tor War" [1]. Das Kernproblem von
Emacs und Vim: Die beiden Editoren be-
sitzen eine sehr flache Lernkurve. An-

78 Mai 2018 www.it-administrator.de

 Editoren Schwerpunkt

wender müssen viel Zeit inves- für unterschiedliche Skript-

tieren, um einen der Editoren und Programmiersprachen.
zu beherrschen. Die meisten Notepad++ verfügt zwar über
Administratoren entscheiden einen Makrorecorder, mit dem
sich daher für einen der beiden Sie Aktionen aufzeichnen und
Editoren. Unabhängig davon bei Bedarf abspielen können,
sind sie natürlich in der Lage, doch bietet er kaum Bearbei-
sich relativ schnell in die grund- tungs- und Strukturierungs-
legenden Funktionen des ande- möglichkeiten.
ren Editors einzuarbeiten.
Für Web-Entwickler interes-
Ein Blick auf Emacs und Vim sant: Notepad++ kann Quell-
weckt Assoziationen mit längst dateien in verschiedene For-
vergangenen Zeiten. Beide Edi- mate exportieren, auch nach
toren wirken, als wäre die Zeit HTML, und die Exporte mit
stehen geblieben. Insbesondere Hilfe des integrierten FTP-
Linux-Administratoren schwö- Clients auf einen entfernten
ren aber auf sie, weil sie die Pro- Server übertragen. Der schlan-
gramme permanent geöffnet Bild 1: Emacs in Aktion. Auch wenn das Handling gewöhnungsbedürftig ist, ke Editor kann außerdem dank
lassen und administrative Auf- schwören viele Administratoren auf den Klassiker. seiner Setup-Möglichkeiten ein-
gaben erledigen können. Der fach auf USB-Sticks installiert
Emacs-Editor (Bild 1) kann in verschie- Windows ausgeführt werden. Funktional und eingesetzt werden. Wiederkehrende
denen Modi betrieben werden, die für die gibt es an Vim wenig Kritik zu äußern: Elemente verwalten Sie mit dem Block-
Erstellung von Quelltext in unterschied- Das Programm bietet alle wichtigen Editor. Mit der F12-Taste lässt sich der
lichen Programmier- beziehungsweise Funktionen für das Editieren von Code- Post-it-Modus aktivieren, der alle Bedien-
Auszeichnungssprachen relevant sind. und Textdateien, darunter Standardfunk- elemente des Editors ausblendet und den
tionen wie einen Makrorecorder und eine Editor im Vordergrund fixiert. Für um-
Emacs kann beispielsweise als HTML- Vergleichsfunktion. Um Einsteigern Vim fangreiche Arbeiten stellt Notepad++ eine
Editor eingesetzt werden und übernimmt schmackhaft zu machen, wurden im Lau- Projektverwaltung zur Verfügung. Wenn
wie alle anderen hier vorgestellten Werk- fe der Zeit verschiedene Modifikationen Ihnen die Basisfunktionalität nicht ge-
zeuge Syntaxüberprüfungen. Die meisten entwickelt. Die bekannteste dürfte die nügt, können Sie das Programm um Er-
dieser Betriebsarten bieten Syntaxhervor- GUI gVim sein, die dem Editor eine Be- weiterungen funktional aufbohren.
hebung. Emacs unterstützt auch Überset- nutzerschnittstelle verpasst, wie man sie
zungsvorgänge und bietet einen Debug- von anderen Texteditoren kennt. Für den Der Unbekannte: PSPad
ger. In der Basiskonfiguration verfügt Einsatz von Vim sprechen seine Kom- Es müssen nicht immer die benannten
Emacs über einen Kalender, mehrere paktheit und Schnelligkeit. und vermeintlich etablierten Werkzeuge
News- und Mailreader mit POP- und sein, die eine gute Figur machen. Zu den
IMAP-Support, eine eingebaute Shell und Der Klassiker: Notepad++ zu Unrecht weniger beachteten Textedi-
einen FTP-Client. Außerdem können ver- Ein echter Klassiker unter den Textedi- toren gehört PSPad (Bild 3). Auf den ers-
schiedene Tools in Emacs integriert wer- toren ist Notepad++, das als Ersatz für ten Blick wirkt die Benutzerschnittstelle
den, sogar Webserver. Emacs bildet die den Windows-Standard-Editor konzipiert ein wenig altbacken, doch funktional
Basis für verschiedenste Klone und Wei- ist (Bild 2). Wie viele Konkurrenzpro- muss sich der von Jan Fiala entwickelte
terentwicklungen – auch kommerzielle. gramme wirkt auch bei diesem Werkzeug Editor nicht hinter anderen Werkzeugen
Neben Linux- existieren auch Windows- die Benutzerschnittstelle antiquiert. Das verstecken – im Gegenteil.
Portierungen, die sich funktional kaum mag auch daran liegen, dass dieses Genre
unterscheiden. nur eine begrenzte Zielgruppe hat und PSPad ist laut Angaben des Entwicklers
diese tendenziell weniger auf Benutzer- ein für Programmierer und Webdesig-
Bei Vim (Vi Improved) handelt es sich komfort als auf Funktionalität setzt. Wie ner zugeschnittener Unicode-fähiger
um eine Weiterentwicklung des Unix- bei vielen anderen Editoren wirkt die Editor für Windows. Zu seinen beson-
Texteditors vi. Der freie Editor kann wie Oberfläche überladen und auf den ersten deren Merkmalen gehört das einfache
Emacs auf eine lange Tradition zurück- Blick wenig schlüssig. Arbeiten mit verschiedenen Entwick-
blicken und wird seit 1991 federführend lungsumgebungen. Der Editor bietet
von Bram Moolenaar entwickelt. Vim Notepad++ bietet eine Fülle von Stan- Syntaxhervorhebung für unzählige Pro-
kennt wie Emacs verschiedene Betriebs- dardfunktionen wie Syntaxhervorhebung, grammiersprachen. Für Webdesigner
Modi. Eine weitere Parallele zu Emacs: Code-Prüfung, Autovervollständigung steht eine HTML-Vorschau zur Verfü-
Auch Vim kann unter Linux und und die Verwendung von Farbschemata gung, die ein Tastendruck öffnet. Mit der

www.it-administrator.de Mai 2018 79

Sch w e rp unk t Editoren
Bild 2: Notepad++ gehört zu den Klassikern unter den kostenlosen Texteditoren für Windows, bietet
aber letztlich nur Hausmannskost.
Integration von HTML Tidy kann
HTML-Code validiert und in CSS, XML,
XHTML umgewandelt werden.
PSPad besitzt den Funktionsumfang eines
professionellen Editors bei gleichzeitig
geringer Dateigröße, kann aber prinzipiell
beliebig große Dateien editieren. Im Un-
terschied zu anderen Editoren verfügt
PSPad über ein eigenes Projektmanage-
ment. Die Suche kann dateiübergreifend
angewendet werden. Autoren profitieren
von der Autokorrektur und der Suchfunk-
tion. Auch hinsichtlich der Erweiterbar-
keit und Automatisierung macht das Pro-
gramm eine gute Figur, da der Editor die
Skriptsprachen des Windows Scripting
Hosts verwendet. Mit Hilfe des Makro-
Rekorders können Sie Makros aufneh-
men, speichern und wiederverwenden.
PSPad erlaubt den Vergleich von Dateien
mit farbiger Hervorhebung der Unter-
schiede. Überall dort, wo das Programm
an seine Grenzen stößt, können externe
Programme eingebunden werden. Auch
die Integration von externen Compilern
für das Auffangen des Outputs ist mög-
lich. In der Praxis sind es manchmal die
kleinen Dinge, die das Leben einfach ma-
chen: So können Sie farbige Hervorhe-
bung der Syntax bei der Druckausgabe
und der Druckvorschau verwenden.
PSPad bietet in der Summe eine tolle
Funktionsvielfalt gepaart mit hohem Be-
80 Mai 2018
nutzerkomfort. Sowohl für Autoren als
auch Entwickler bietet das Programm alle
wichtigen Funktionen – ein gelungener
Mix, der ihn zu einem der besten Text-
editoren für Windows-Anwender macht.
Einziges Manko: Die Weiterentwicklung
ist seit 2015 ins Stocken geraten. Daher
ist unklar, ob und wenn ja wann mit einer
neuen Version zu rechnen ist.
Plattformübergreifend: jEdit
Der Java-basierte Editor jEdit (Bild 4) ist
insbesondere für die Administratoren in-
teressant, die auf verschiedenen Plattfor-
men arbeiten. So ist sichergestellt, dass
Bild 3: Zwar längst kein Geheimtipp mehr, doch präsentiert sich der weniger bekannte Editor PSPad
als bester Allrounder in diesem Vergleich.
die Entwicklung in einer vertrauten Um-
gebung erfolgen kann und es nicht zu
Kompatibilitätsproblemen beim Einsatz
von Add-ons, Makros, Templates oder
sonstigen Erweiterungen kommt.
Da für die Ausführung von jEdit eine
JRE-Installation benötigt wird, sollte der
Rechner über ausreichende Ressourcen
verfügen, damit ein flüssiges Arbeiten
möglich ist. Anwender, die aus der Win-
dows-Welt kommen, müssen sich ein we-
nig einarbeiten, weil das Handling sich
nicht immer sofort erschließt. Unterschie-
de gibt es beispielsweise bei den Öffnen-
und Speichern-Dialogen.
Zu den Highlights von jEdit gehört die
Suchfunktion, mit der Sie die Suche auf
bestimmte Dateien, Richtungen, Ver-
zeichnisse und weitere Kriterien be-
schränken können. Auch die Verwendung
weiterer Filter ist möglich. Über den Plug-
in-Manager können Sie die Basisfunktio-
nalität um zusätzliche Module, Werkzeuge
und Bibliotheken erweitern.
Auch wenn jEdit sich funktional eher im
Mittelmaß der hier vorgestellten Werk-
zeuge bewegt, zählen die Makrofunktio-
nen zweifelsohne zu den Highlights des
Editors. jEdit erlaubt nicht nur die Auf-
zeichnung, sondern stellt umfangreiche
Funktionen für die Nachbearbeitung zur
Verfügung. Lob hat sich außerdem die
www.it-administrator.de
 Editoren Schwerpunkt

umfangreiche Hilfe verdient, die den An-

wender in die wesentlichen Konzepte des
Programms einführt und jede Menge In-
formationen zur Makro-Entwicklung und
-Bearbeitung bietet.

Geheimtipp: SynWrite
Auch der SynWrite-Editor (Bild 5) gehört
zu den weniger bekannten Texteditoren
und wird häufig zwischen den bekannten
Werkzeugen übersehen. Bereits die Web-
site des Projekts macht einen eher redu-
zierten Eindruck, doch der Editor bietet
für Administratoren und Entwickler eine
ganze Menge. Rein optisch erinnert Syn-
Write sehr an PSPad und Notepad++. Die
Benutzeroberfläche wirkt auf den ersten
Blick unübersichtlich und daran ändert
sich auch nach dem ersten Kennenlernen
nur wenig.
Bild 4: Administratoren und Entwickler, die auf mehreren Betriebssystemplattformen unterwegs sind,
Über die Werkzeugleiste stehen die ver- sind mit dem Java-basierten jEdit bestens bedient.
schiedenen Funktionen wie der Dateiex-
plorer und FTP-Client zur Verfügung. Write die Baumstruktur aller Program- Der Editor führt über die Inhalte Buch,
Die Stärken des Programms liegen ein- mierroutinen ein. Das sorgt für einen bes- die Sie in die Zwischenablage kopiert ha-
deutig bei den Programmierfunktionen. seren Überblick und vereinfacht die Na- ben. Per Mausklick können spezifische
Bei unterstützten Code-Dateien liest Syn- vigation in den Programmierprojekten. Elemente erneut verwendet werden.

Praxis-Know-how für Admins:

Das IT-Administrator Sonderheft I/2018

Erfahren Sie auf 180 Seiten

alles rund um das Thema:

Exchange Server 2016

Migration, Verwaltung
und Optimierung

Bestellen Sie jetzt zum Abonnenten-

Vorzugspreis* von nur 24,90 Euro!

Abo- und Leserservice

* IT-Administrator Abonnenten erhalten das Sonderheft I/2018 für € 24,90. Nichtabonnenten zahlen € 29,90.
IT-Administrator Alle Preise verstehen sich inklusive Versandkosten und Mehrwertsteuer.
vertriebsunion meynen Tel: 06123/9238-251
Herr Stephan Orgel
D-65341 Eltville
Fax: 06123/9238-252
leserservice@it-administrator.de shop.heinemann-verlag.de
Sch w e rp unk t Editoren
Bild 5: Trotz manch funktionaler Schwächen und einer wenig gelungenen
Benutzerführung ist SynWrite bestens für Entwickler geeignet.
Außerdem verfügt SynWrite über leis-
tungsfähige Makrofunktionen, mit denen
Sie nahezu beliebige Prozeduren automa-
tisieren und bei Bedarf abspielen lassen.
Entwickler profitieren von den Plausibi-
litäts- und Gültigkeitsprüfungen, die be-
reits während der Programmierarbeit den
Code unter die Lupe nehmen und auf
mögliche Probleme hinweisen.
Ein Highlight von SynWrite trägt die Be-
zeichnung "Document mini-map". Da-
hinter verbirgt sich eine Visualisierung
eines geladenen Dokuments. Auch dieses
Feature vereinfacht die Navigation in Tex-
ten. Nicht minder interessant sind neben
den Projekt- die Backupfunktionen, die
das Erstellen von Sicherheitskopien er-
lauben. Mit Hilfe der leistungsfähigen
Suchfunktionen spüren Sie jedes Element
in Dateien auf. Dabei können auch regu-
läre Ausdrücke verwendet werden.
Längst keine Selbstverständlichkeit: Für
den englischsprachigen Editor steht
auch die deutsche Sprachdatei zum
Download bereit. Diese muss allerdings
manuell installiert werden. Ein echtes
Manko von SynWrite ist die mangelhafte
Benutzerführung. Das Programmhand-
ling ist bisweilen umständlich und
schwer nachvollziehbar. Die Stärken von
82 Mai 2018
SynWrite liegen zweifelsohne mehr bei
Programmieraufgaben als bei der Bear-
beitung von Dateien.
Ein Muss für Mac-Anwender:
TextWrangler
Mac-Anwender müssen schon einige Mü-
he aufbringen, um einen leistungsfähigen
Texteditor zu finden. Noch schwieriger
wird es, wenn es sich um einen kosten-
losen Editor handeln soll. Mit TextWrang-
ler (Bild 6) hat Bare Bones Software einen
guten kostenlosen Texteditor für Apples
Bild 6: TextWrangler ebnet für macOS-Anwender den Einstieg in die Welt der kostenlosen
Texteditoren, ohne allerdings wirklich zu überzeugen.
Betriebssystem entwickelt. Inzwischen ist
das Projekt allerdings eingestellt und wird
als BBEdit 12 weiterentwickelt.
TextWrangler ist ein Allzweck-Code- und
Texteditor, der die identische Benutzer-
schnittstelle wie der HTML- und Texte-
ditor BBEdit verwendet. Von Haus aus
bietet der Editor lediglich Basisfunktionen
für die Bearbeitung von Code- und Text-
dateien. Eines der wenigen Highlights ist
die Vergleichsfunktion, die Unterschiede
zwischen zwei Dateien identifiziert. Die
Suchfunktion kann sich ebenfalls mit de-
nen anderer hier vorgestellter Editoren
messen. Für das Erstellen von Skripts grei-
fen Sie zum integrierten Skript-Editor.
Doch auch der bietet kaum mehr als
grundlegende Funktionen.
Immerhin: TextWrangler kann Dateien
von entfernten FTP-Servern laden, be-
arbeiten und auch wieder dort ablegen.
Eine Integration von anderen Diensten
ist nicht vorgesehen. Wenn Sie primär
HTML-Dokumente bearbeiten wollen,
werden nach Angaben der Entwickler
die aktuellen W3C-Standards nicht voll-
ständig unterstützt. Ein Live-Preview ist
ebenfalls nicht verfügbar. TextWrangler
bietet auch keine durchgängige Textver-
vollständigung oder komfortablen Funk-
tionen für den Umgang mit Code- oder
Textbausteinen sowie zwischenkopierten
Elementen. Projektmanagementfunktio-
nen lässt das Tool genauso wie Work-
flow-Unterstützung vermissen. Alles in
www.it-administrator.de
 Editoren Schwerpunkt

Editoren im Überblick
Notepad++ SynWrite TextWrangler Visual Studio
Emacs 25.3 jEdit 5.4.0 PSPad 4.6.2 Vim 8.0p
7.5.5 6.40 5.5.2 Code 1.12.1
Richard Bram
Verschiedene Bare Bones
Entwickler Stallman, Guy Don Ho Jan Fiala UVViewSoft Moolenaar und Microsoft
Freiwillige Software
L. Steele Jr. u.a. andere
Lizenz GPL GPL GPL Freeware GPL Freeware GPL MIT-Lizenz
Linux/Unix, Linux/Unix, Linux/Unix, Linux/Unix,
System-
macOS, macOS, Windows Windows Windows macOS macOS, macOS,
voraussetzungen
Windows Windows Windows Windows

Ausstattung

Makrorecorder Nein Ja Ja Ja Ja Nein Ja Nein

Über FTP-
FTP-Client Ja Über Add-in Über Add-in Ja Ja Ja Über Plug-in
Extension
Projektverwaltung Nein Nein Nein Ja Ja Nein Nein Ja
Backupfunktionen Ja Nein Nein Nein Nein Nein Nein Nein
Erweiterbare
Ja 200+ Plug-ins Ja Ja Python Plug-ins Nein Ja Ja
Architektur
Erweiterungen,
Flexibilität, Stil- Erweiterungen, Document
Besonderheiten Code-Faltung Visual Mode Aufgabenver-
Versionkontrolle Konfiguration Hex-Editor mini-map
waltung

Funktionen

Über Plug-in
Textfunktionen Ja Nein Ja Ja Ja Ja Ja
TextFX
Text-/Code-
Ja Ja Ja Ja Ja Ja Ja Ja
Bausteine
Rechtschreibprüfung Ja Ja Ja Ja Eingeschränkt Ja Ja Nein
Verwaltung
Ja Ja Ja Ja Ja Ja Ja Ja
Zwischenablage
Suchen&Ersetzen Ja Ja Ja Ja Ja Ja Ja Ja
Syntaxhervorhebung Ja Ja Ja Ja Ja Ja Ja Ja
Farbschema Ja Ja Ja Ja Ja Ja Ja Ja
Referenz Nein Nein Nein Ja Nein Nein Nein Nein
54, über Plug-
Unterstützte Sprachen k. A. 200+ ins weitere Über 30 Über 75 k. A. 500+ k. A.
möglich
Export Ja Nein Ja Ja Ja Ja Ja Ja
Druck/Vorschau Ja / Nein Ja / Nein Ja / Nein Ja / Ja Ja / Ja Ja / Nein Über Hardcopy Nein / Nein

ITA-Bewertung Gut Gut Gut Sehr gut Gut Befriedigend Gut Befriedigend

allem ist TextWrangler kein schlechter,
aber eben doch nur ein rudimentär aus-
gestatteter Texteditor.
Multi-Plattform-Code Editor:
Visual Studio Code
Auch Microsoft bietet für Administrato-
ren und Entwickler interessante kosten-
lose Werkzeuge – und das sogar für den
plattformübergreifenden Einsatz. Mit Vi-
sual Studio Code (Bild 7) stellt Microsoft
seit 2016 einen Code-Editor bereit, der
nativ nicht nur unter Windows arbeitet,
sondern auch für Linux entwickelt wird.
Laut Microsoft soll Visual Studio Code
das blitzschnelle Programmieren in Hun-
derten Sprachen erlauben, doch sind an-
dere hier vorgestellte Editoren dank einer
schlanken Code-Basis subjektiv schneller.
Visual Studio Code bietet klassische
Funktionen eines Programmierwerkzeugs
wie die Syntaxhervorhebung, Klammer-
anpassung, automatische Einrückung,
Boxauswahl und Snippets. Über indivi-
duell anpassbare Tastaturkürzelzuord-
nungen wird das Navigieren in umfang-
reichen Projekten einfach. Serielles
Codieren wird durch Textblöcke verein-
facht. Visual Studio Code enthält inte-
grierte Unterstützung für die Intelli-
Sense-Code-Vervollständigung, seman-
tisches Code-Verständnis und -Navigation
sowie Code-Refactoring. Visual Studio
Code verfügt über einen interaktiven De-
bugger, mit dem Sie den Quellcode und
Variablen prüfen können.
Visual Studio Code integriert außerdem
verschiedene Build- und Scripting-Tools,
mit denen Sie häufige Aufgaben bewälti-
gen und die Arbeitsabläufe beschleunigen.
Eine weitere Besonderheit: Visual Studio

www.it-administrator.de Mai 2018 83

Sch w e rp unk t Editoren
Bild 7: Visual Studio Code tut, was es soll – nicht mehr, aber auch nicht weniger.
unterstützt Git, das heißt, Sie können mit
der Quellcodeverwaltung arbeiten, ohne
den Editor zu verlassen.
Die technologische Basis von Visual Stu-
dio Code bildet der Atom-Editor von Git-
hub, wobei Visual Studio Code eine adap-
tierte Variante der in Atom eingesetzten
Electron Shell verwendet, die Node.js und
Chromium zur Darstellung der Oberflä-
che nutzt. Der entscheidende Vorteil die-
ser Architektur: Die Portierbarkeit und
Bild 8: UltraEdit macht seinem Namen alle Ehre und bietet
eine schier unerschöpfliche Funktionsvielfalt. Mehr geht kaum für knapp 100 Euro.
84 Mai 2018
Erweiterbarkeit des Editors sind einfacher.
Laut Microsoft soll Visual Studio Code
in Zukunft so erweitert werden, dass die
Plug-in-Schnittstelle auch von externen
Entwicklern genutzt werden kann.
Auch für Visual Studio Code gilt: Der
Editor ist sicherlich kein schlechtes Werk-
zeug, kann aber hinsichtlich der Ausstat-
tung und des Benutzerkomforts nicht
wirklich mit anderen hier vorgestellten
Werkzeugen mithalten.
Link-Codes eingeben auf www.it-administrator.de
Außer Konkurrenz: UltraEdit
"Einer für alles" lautet das Motto von Ultra-
Edit [2] (Bild 8). Seinen exzellenten Ruf ver-
dankt UltraEdit seiner enormen Funktions-
vielfalt. Manchen Einsteiger wird das
Angebot an Funktionen regelrecht erschla-
gen, doch kann die Benutzerschnittstelle an
die jeweiligen Wünsche angepasst werden.
UltraEdit kennt alle wichtigen Programmier-
und Skriptsprachen und bietet dafür Syntax-
Hervorhebung. Mit Hilfe von Themes und
Layouts kann die Umgebung an die eigenen
Wünsche angepasst werden. Die integrierte
Vergleichsfunktion arbeitet schnell und be-
nutzerfreundlich. Der integrierte FTP-Client
überträgt die Daten auf jedes beliebige Ziel.
Bei größeren Projekten profitieren Anwender
von dem Datei- und Projektmanager. Einen
guten Eindruck hinterlässt die Suchen- und
Ersetzen-Funktion.
Anwender, die mit mehreren Systemen arbei-
ten, profitieren von der 3-für-1-Lizenz: Beim
Erwerb einer Lizenz kann UltraEdit auf drei
Endgeräten eingesetzt werden. Da es sich bei
UltraEdit um eine Multiplattform-Lösung
handelt, steht einem parallelen Einsatz unter
macOS, Linux und Windows nichts im Wege.
Für knapp 100 Euro erhält man mit UltraEdit
einen erstklassigen Editor, der auch an-
spruchsvolle Anwender glücklich macht.
Fazit
Welcher im Einzelfall der optimale Editor
ist, hängt primär vom Anwendungsbereich
ab. Alle hier vorgestellten Editoren ver-
richten ihren Dienst und machen bei Ba-
sisfunktionen eine gute Figur. Die Spreu
trennt sich vom Weizen, wenn es um Zu-
satzfunktionen wie eine Projektverwaltung
geht. Als bester Allrounder, der für Admi-
nistratoren genauso geeignet ist wie für
Autoren und Entwickler, entpuppte sich
der weniger bekannte PSPad. Wer mehr
Funktionalität und Benutzerkomfort be-
nötigt, muss wohl oder übel ein wenig
Geld in eine UltraEdit-Lizenz investieren.
Liegt der Fokus auf klassische administra-
tive Aufgaben, machen Sie mit Emacs und
Vim nichts falsch. (of)
Link-Codes
[1] Emacs vs. Vim
I5Z81
[2] UltraEdit
I5Z82
 Kompetentes
Schnupperabo
sucht neugierige
Administratoren
Sie wissen, wie man Systeme
und Netzwerke am Laufen hält.
Und das Magazin IT-Administrator weiß,
wie es Sie dabei perfekt unterstützt:

Mit praxisnahen Workshops, aktuellen

Produkttests und nützlichen Tipps und
Tricks für den beruflichen Alltag.

Damit Sie sich Zeit,

Nerven und Kosten sparen.

e n S i e j e t z t
Test
A u s g a b e n zum
sechs i !
i s v o n d r e
Pre

Abo- und Leserservice IT-Administrator

shop.heinemann-verlag.de
vertriebsunion meynen Tel: 06123/9238-251
Herr Stephan Orgel Fax: 06123/9238-252
D-65341 Eltville leserservice@it-administrator.de
Management-Helfer
für Vim-Plug-ins
Schreib-
hilfe
von Bruce Byfield
Vim ist einer der beliebtesten Editoren und eines der beliebtesten Open-Source-Tools
überhaupt. Ein Grund für seine Popularität ist seine über Plug-ins erweiterbare Funktionalität,
von denen es über 1500 gibt. Die hier vorgestellten Tools helfen dabei, diese Erweiterungen
zu installieren und zu verwalten.
ie meisten Anwender verwenden
D wahrscheinlich weniger als ein
Dutzend Plug-ins für ihren Editor, aber
selbst eine so geringe Zahl zu managen,
ist schon nicht ganz einfach. Liegen sie
unbeachtet im Verzeichnis "$HOME
/.vim/plugin", wird die Aktualisierung
schon schwierig. Deshalb gibt es einige
Plug-in-Manager, die dabei helfen, Plug-
ins zu installieren, zu aktualisieren und
zu löschen: Vim-Addon-Manager, Patho-
gen sowie dessen Ableger Vundle und
Neobundle. Welche Lösung Sie verwen-
den, hängt von Ihren spezifischen Be-
dürfnissen ab, aber sie alle helfen dabei,
Vim-Plug-ins einfacher zu verwalten.
Vim-Addon-Manager
Anders als die anderen Lösungen wird
der Vim-Addon-Manager unabhängig
von Vim als extra Paket installiert. Das
ist nicht schwer, denn das Tool ist Teil
vieler Linux-Distributionen, etwa Debian,
Ubuntu und Fedora. Typischerweise
kommt es im Gespann mit einem Paket
von etwa zwei Dutzend der beliebtesten
Vim-Plug-ins. Üblicherweise greift es auf
86 Mai 2018
eine Registry verfügbarer Erweiterungen
in "/usr/share/vim", ein Quellverzeichnis
"/usr/share/vim/addons" und ein Instal-
lationsziel "$HOME/.vim" für einzelne
User oder "/var/lib/vim/addons" für alle
Anwender zurück. Diese Verzeichnisse
lassen sich mit den Aufrufschaltern "-r",
"-s" und "-t" ändern. Um verfügbare Plug-
ins anzuzeigen, verwenden Sie:
$ vim-addons list
Sie sehen dann zu jeder Erweiterung den
Status (installed, removed, disabled, bro-
ken, unavailable), den Sie für einzelne
Plug-ins mit vim-addons status Plug-in
ermitteln. Ein Plug-in installieren Sie mit
$ vim-addons install Plug-in
Pathogen
Anders als der Vim-Addon-Manager ist
Pathogen selbst ein Vim-Plug-in. Am bes-
ten lässt es sich mit Github als Quelle für
Extensions nutzen, denn viele Vim-Ewei-
terungen werden heute dort gehostet. Die
Innovation von Pathogen besteht darin,
Quelle: bowie15 – 123RF
für jede Vim-Erweiterung ein eigenes
Verzeichnis anzulegen, was das Manage-
ment sehr erleichtert. Allerdings kann
Pathogen Plug-ins nicht automatisch ak-
tualisieren oder löschen.
Weil Pathogen eine andere Verzeichnis-
struktur nutzt als Standard-Vim, sollten
Sie vor der Installation die alten Verzeich-
nisse und Files wie ".vim" und ".vimrc"
speichern und umbenennen. Um Patho-
gen zu installieren, legen Sie zuerst zwei
Verzeichnisse an und laden das Plug-in
über die Homepage des Autors Tim Pope
von Github herunter:
$ mkdir -p ~/.vim/autoload
~/.vim/bundle
$ curl -LSso ~/.vim/autoload/patho-
gen.vim
https://tpo.pe/pathogen.vim
Nun fügen Sie der Datei "~/.vimrc" die
folgenden Zeilen hinzu:
execute pathogen#infect()
filetype plugin indent on
www.it-administrator.de

Diese Zeilen starten Pathogen vor allen
anderen Plug-ins, sodass es sich um alle
anderen Vim-Erweiterungen kümmern
kann. Optional hängen Sie noch die fol-
genden Zeilen an:
call
pathogen#runtime_append_all_bund-
les()
call pathogen#help_tags()
Damit wird bei jedem Start von Vim auch
die eingebaute Hilfe aktualisiert. Weitere
Plug-ins installieren Sie, indem Sie in das
Verzeichnis "~/.vim/bundle" wechseln
und dort den Extension-Code entpacken
oder direkt von Github auschecken.
Vundle
Das Vim-Paket "Vundle", dessen Name
ein Portmanteau aus "Vim" und "Bundle"
ist, wurde ausgehend von Pathogen wei-
terentwickelt. Dementsprechend verwen-
det auch Vundle eine von Standard-Vim
abweichende Verzeichnisstruktur. Im Ge-
gensatz zu Pathogen kann Vundle aber
selbständig die installierten Plug-ins auf
dem laufenden Stand halten.
Windows-Anwender kommen sogar in
den Genuss einer GUI, wenn sie mit
Vundle Vim-Erweiterungen installieren.
Die Installation von Vundle selbst lässt
sich unter Linux in einem einzigen Schritt
erledigen:
$ git clone https://github.com/Vund-
leVim/VundleVim.git ~/.vim/bund-
le/Vundle.vim
Anders als Pathogen wird Vundle aber
nicht in "~/.vim/bundle/" direkt installiert,
sondern in einem Unterverzeichnis. Um
automatische Updates zu aktivieren, ver-
wenden Sie die folgenden Einträge in
"~/.vimrc":
set rtp+=~/.vim/bundle/Vundle.vim
call vundle#begin()
Plugin "VundleVim/Vundle.vim"
Die obigen Zeilen setzen den Runtime-
Pfad "rtp" auf das Vundle-Verzeichnis
"~/.vundle/bundle/Vundle.vim", initiali-
sieren das Plug-in und weisen Vundle an,
sich selbst zu managen. Unterhalb der
www.it-administrator.de
letzten Zeile sollen die anderen von
Vundle verwalteten Plug-ins folgen.
Die Installation von Vundle stattet Vim
zusätzlich mit vier weiteren Befehlen aus,
die sich im Editor aufrufen lassen und de-
ren Namen selbsterklärend sind: "Bun-
dleList", "BundleInstall", "BundleSearch"
und "BundleClean". Künftig sollen die Be-
fehle umbenannt werden und statt "Bun-
dle" die Vorsilbe "Plugin" verwenden.
NeoBundle
Wie Vundle baut auch NeoBundle auf
Pathogen auf. Eine Zeit lang war es
schwierig, NeoBundle zu verwenden, weil
es kontinuierlich weiterentwickelt wurde
und die Dokumentation nur auf Japa-
nisch verfügbar war. Seit kurzem ist es
in einen Maintenance-Mode eingetreten
und auch englischsprachige Dokumen-
tation ist vorhanden.
NeoBundle besitzt alle Funktionen von
Vundle und sogar noch einige zusätzliche.
So beherrscht es neben Git auch die Ver-
sionskontrollsysteme Mercurial und Sub-
version. Außerdem verträgt es sich gut
mit anderen Plug-ins aus der Hand seines
Erfinders Shougu Matsushita. Fortge-
schrittene Vim-Anwender etwa könnten
Gefallen an seinem Unite-Plug-in finden,
das die Suche in Files, Copy-and-Paste
und Funktionen für den Umgang mit
Vim-Buffern mitbringt.
Neobundle setzt Vim 7.2.051 oder neuer
voraus. Die Integration mit anderen Er-
weiterungen wie etwa Unite erfordert
noch weitere Module wie vimproc. Um
NeoBundle zu installieren, klonen Sie wie
gehabt das Quellcode-Verzeichnis in das
Vim-Bundle-Directory:
$ mkdir ~/.vim/bundle
$ git clone https://github.com/Shou-
gu/neobundle.vim
~/.vim/bundle/neobundle.vim
Zur Konfiguration können Sie das Bei-
spiel ".vimrc" von der Github-Seite he-
ranziehen. Die wesentlichen Zeilen daraus
sind die folgenden:
if &compatible
set nocompatible
Vim-Plug-ins Schwerpunkt
endif
set runtimepath+=~/.vim/bundle/neo-
bundle.vim/
call
neobundle#begin(expand('~/.vim/bun
dle/'))
NeoBundleFetch
'Shougo/neobundle.vim'
call neobundle#end()
filetype plugin indent on
Wenn Sie ein neues Plug-in installieren,
stellen Sie sicher, dass in der Konfigura-
tion der entsprechende Aufruf von "Neo-
Bundle" steht, etwa
NeoBundle "Shougo/vimshell"
Hier dürfen Sie auch eine spezifische Ver-
sion angeben, um sie für ein Plug-in fest
einzutragen:
NeoBundle "Shougo/vimshell" {'rev':
Version}
Die mit NeoBundle ausgelieferten Utilities
sind: NeoBundleUpdate/NeoBundleIn-
stall, die Vim-Plug-ins installieren res-
pektive aktualisieren. Ohne weitere Zu-
sätze verwendet, werden alle installierten
Plug-ins aktualisiert, aber es lassen sich
auch Versionsnummern angeben. Neo-
BundleList zeigt die installierten Erwei-
terungen an, während NeoBundleClean
unbenutzte Plug-ins löscht. NeoBundle
bindet wie oben gezeigt ein Plug-in ein.
Wird eine Versionsnummer angegeben,
versucht NeoBundle nie ein Update.
Fazit
Um Plug-ins in Vim zu installieren und
anstehende Updates zu managen, gibt es
einige Möglichkeiten. Bahnbrechend war
Pathogen, das eine Zeit lang quasi der De-
facto-Standard für die Aufgabe war. Seit-
her sind aber Nachfolger wie NeoBundle
und Vundle angetreten, um dem Anwen-
der noch mehr Features zu bringen, etwa
ein automatisiertes Update der installier-
ten Plug-ins.
Dass das Ende hier noch nicht erreicht
ist, zeigt der Versuch des NeoBundle-Au-
tors, der bereits an einem Nachfolger sei-
ner Lösung arbeitet. (of)
Mai 2018 87
Sch w e rp unk t Bash-Skripte automatisiert debuggen

Bash-Skripte automatisiert debuggen

Auf Käferjagd
von Tam Hanna

In Zeiten von nahezu unendlicher Rechenleistung

kommt es einem Frevel gleich, sich beim Skript-
Debugging keine technische Unterstützung zu holen,
sondern quasi mit Ausdruck und Lupe zu arbeiten.
Wir stellen deshalb in diesem Workshop einige Erweite-

F
rungs-Frameworks vor, die das Leben von Entwicklern

3R
– 12
und Administratoren leichter machen.

ls Erstes wollen wir einen Blick auf
A die integrierte Entwicklungsum-
gebung (IDE) Eclipse werfen. Die IDE
mag sehr umfangreich sein, bietet aller-
dings diverse Komfortfunktionen. Laden
Sie im ersten Schritt unter Nutzung des
Eclipse Installers die Variante "Eclipse
IDE for Java Developers" [1] herunter –
die folgenden Schritte basieren auf der
Version Oxygen.2 vom Dezember 2017.
Besorgen Sie sich im nächsten Schritt die
Shell-Erweiterung für Eclipse, die unter
[2] bereitsteht. Der Install-Knopf lässt
sich per Drag-and-Drop an seinen Platz
bringen, worauf die Installation der Shell-
Erweiterung automatisch startet. Achten
Sie allerdings darauf, dass sie den Knopf
nicht versehentlich auf dem Welcome-
Bildschirm ablegen, sondern auf einer
leeren Editor-Seite (Bild 1). Der in neuen
Versionen von Eclipse integrierte Markt-
platz-Client beginnt dann automatisch
mit der Installation des Plug-ins.
Eclipse einrichten
Ärgerlicherweise nutzt das Eclipse-Plug-in
in der Standardeinstellung die Dash-Shell,
die mit Bash in Sachen Komfort nicht ver-
gleichbar ist. Klicken Sie deshalb auf "Win-
dow / Preferences / Shell Script / Interpre-
ters" und legen Sie wie in Bild 2 gezeigt
einen neuen Interpreter vom Typ "bash" an.
Im nächsten Schritt legen Sie unter "File
/ New / Other" ein neues Shell-Skript-Pro-
jekt an. Es handelt sich dabei um einen
Container, der die Shell-Skripte in ein für
die Eclipse-IDE verständliches Format
bringt. Das neu angelegte Projekt weist zu
Beginn keine Inhalte auf. Klicken Sie es
daher mit der rechten Maustaste an und
wählen Sie die Option "New / Other...",
um ein neues Skript hinzuzufügen.
Schon jetzt können Sie Shell-Skripte unter
Nutzung der Syntaxhervorhebung von
Eclipse bearbeiten und lokal ausführen.
Problematischerweise ist es noch nicht
möglich, Breakpoints zu setzen. Hierzu
müssen Sie zunächst das unter [3] bereit-
stehende ZIP-Archiv des "BASH Debug-
ger Project" (bashdb) herunterladen und
extrahieren. Im nächsten Schritt wandern
die beiden JAR-Dateien bei herunterge-
fahrener IDE in das Verzeichnis "/home/
home/java-oxygen/eclipse/dropins".
Beachten Sie, dass Eclipse bei der Nut-
zung von OpenJDK leider zu diversen
Fehlern neigt. Stellen Sie deshalb sicher,
dass Sie Eclipse in einer Oracle-JDK-Um-
gebung ausführen.
Pfade korrekt anpassen
Die eigentliche Kommunikation zwischen
BASH Debugger und Eclipse erfolgt über
ein Skript namens "_DEBUG.sh", das fol-
genden Inhalt aufweist:
exec 33/dev/tcp/localhost/33333
function _________DEBUG_TRAP ()
{ cken Sie hierzu auf "Run / Debug Con-
local _________DEBUG_COMMAND
read -u 33 _________DEBUG_COMMAND
eval $_________DEBUG_COMMAND
ya
ka
ols
st od
lle:
Que
}
set -o functrace
trap _________DEBUG_TRAP DEBUG
bashdb nutzt das Trap-Feature des Betriebs-
systems zur Einrichtung einer Funktion,
die vom Remote-Debugger eingehende Be-
fehle entgegennimmt und in der offenen
Session parst. Aus der Logik folgt, dass dies
nicht unbedingt sicher ist – die Arbeit in
einem sicheren Netzwerk sollte allerdings
kein allzu großes Risiko darstellen.
Kopieren Sie die Datei in das Verzeichnis
des Projekts und legen Sie sodann das aus-
zuprobierende Skript an. Unser Testobjekt
ist in den folgenden Schritten eine Gruppe
von Bash-spezifischen Sprachkonstrukten:
. _DEBUG.sh
echo $SHELL
a=1234567890
echo ${a}
echo ${a:3}
Von besonderer Bedeutung ist hier das
Einbinden des Debug-Skripts, das anhand
des weiter oben abgedruckten Codes eine
Verbindung zwischen der Shell und der
Entwicklungsumgebung herstellt.
Im nächsten Schritt müssen Sie eine
Ausführungskonfiguration anlegen. Kli-
figurations" und erstellen Sie eine neue
Konfiguration auf Basis der Vorlage
"Bash script...". Der von der normalen

88 Mai 2018 www.it-administrator.de


Bild 1: Um die Shell-Erweiterung für Eclipse zu installieren, ziehen Sie den Install-Knopf
per Drag-and-Drop auf eine leere Editor-Seite.
Arbeit mit Eclipse bekannte Ausfüh-
rungskonfigurations-Generator bietet
Ihnen sodann einen Einstellungsassis-
tenten an, den Sie wie in Abbildung drei
gezeigt parametrieren. Der Debugger-
Port lautet übrigens immer 33333 – zu-
mindest solange, wie sie "_DEBUG.sh"
nicht eigenmächtig anpassen.
Letzte Eclipse-
Erweiterung einbinden
Im nächsten Schritt klicken Sie in Eclipse
auf "Debug", um die Programmausfüh-
rung anzustoßen. Achten Sie darauf, dass
die IDE selbst nicht in der Lage ist, unser
kleines Skript anzuwerfen. Klicken Sie
stattdessen auf das Perspektivenwechsel-
symbol in der oberen rechten Bildschirm-
ecke, um einen Perspektivenwechsel in
die Debugger-Perspektive von Eclipse
durchzuführen. Öffnen Sie sodann ein
neues Shell-Fenster, in dem sie durch Ein-
gabe von bash ./Skriptname die Ausfüh-
rung des Skripts anweisen:
tamhan@TAMHAN14:~/work-
space/ITATest1$ bash
./firsttest.sh
/bin/bash
1234567890
4567890
In der vorliegenden Ausfüh-
rungskonfiguration reagiert
Eclipse darauf mit der Ein-
blendung einer Fehlermel-
dung der Bauart "Unable to
open editor, unknown editor Bild 2: Die Einrichtung des Bash-Interpreters für die Shell-Erweiterung von
ID". Das liegt daran, dass Eclipse gestaltet sich nicht sonderlich kompliziert.
www.it-administrator.de
Bash-Skripte automatisiert debuggen
BASH Debugger auf Seite von Eclipse ei-
nen bestimmten Editor-Pfad voraussetzt.
Die Lösung des Problems besteht darin,
die eigentlich abgekündigte Sourceforge-
Webseite des ShellEd-Projekts [4] zu be-
suchen. Ignorieren Sie die Hinweise, dass
die dort enthaltenen Informationen veraltet
sind und laden Sie die Datei "net.source-
forge.shelled-site-2.0.3.zip" herunter.
Öffnen Sie im nächsten Schritt Eclipse
und klicken Sie auf "Help / Install new
software". Im nun erscheinenden Dialog
zum Hinzufügen neuer Programmfunk-
tionen müssen Sie im ersten Schritt auf
den "Add"-Button neben der Adresszeile
klicken, um das Fenster zum Einfügen
von lokalen Repositories zu öffnen. Nut-
zen Sie dort das Feld "Location", um einen
Verweis auf unser Archiv einzupflegen.
Nach dem Bestätigen beginnt der Instal-
lationsprozess, der einen Neustart der
IDE voraussetzt und einige Warnungen
Schwerpunkt
bezüglich veralteter Zertifikate auswirft.
Ab diesem Zeitpunkt können Sie Skripte
im Großen und Ganzen so debuggen,
wie sie es von Java- oder C-Code ge-
wohnt sind.
Fehlersuche auf
Kommandozeilenebene
Das Hantieren mit Eclipse ist bequem, in
der Praxis aber nicht immer möglich, et-
wa auf einem Server ohne grafische Ent-
wicklungsumgebung. Auch wenn bashdb
für Eclipse in der Lage ist, mit auf frem-
den Servern laufenden Shell-Skripten
Kontakt aufzunehmen, so ist diese Vor-
gehensweise nicht sonderlich komforta-
bel. Als bessere Alternative bietet sich
BASH Debugger an, der sich durch Ein-
gabe von sudo apt-get install bashdb auf
Ihrer Workstation installieren lässt.
Nach dem erfolgreichen Durchlaufen der
Installation können Sie Skripte durch Vo-
ranstellen des Kommandos bashdb in-
strumentiert ausführen. Unser weiter
oben erzeugtes und im Eclipse-Work-
space liegendes Skript starten Sie bei-
spielsweise folgendermaßen:
tamhan@TAMHAN14:~/workspace/ ITATest1$
bashdb ./firsttest.sh
bash debugger, bashdb, release 4.2-
0.8
. . .
bashdb ist ein klassischer schrittweiser
Debugger, der gut zwei Dutzend Kom-
mandos mitbringt. Eine Komplettliste
finden sie auf der entsprechenden Sour-
ceforge-Seite. Die Kommandozeile des
Programms gibt sich allerdings etwas
verwirrend – als Beispiel wollen wir uns
folgenden Extrakt ansehen:
:
3:a=1234567890
bashdb<2>
Der Debugger informiert bei jeder
Zeile darüber, in welchem Skript
wir uns gerade befinden und wel-
che Anweisungen die jeweilige
Zeile enthält. Darunter findet sich
der bashdb-Prompt, der für das ei-
gentliche Eingeben der Komman-
dos verantwortlich ist.
Mai 2018 89
Sch w e rp unk t Bash-Skripte automatisiert debuggen
Bild 3: Achten Sie darauf, die Pfade beim Debugging mit Eclipse an Ihre Situation anzupassen.
Interessant ist der in spitzen Klammern
gehaltene Wert. Die normalerweise nur
fortlaufende Zahl wird ein- oder mehrfach
eingeklammert, wenn sich die Ausführung
tiefer in Stackframes verschachtelt.
Wer einfach Schritt für Schritt durch den
Code wandern möchte, kann dies durch
mehrfaches Eingeben von next bewerk-
stelligen – das Resultat ist in Bild 4 ge-
zeigt. Bedenken Sie, dass bashdb nach
dem Ende der Programmausführung
nicht terminiert – drücken Sie daher auf
"q" und "Enter", um die Debugger-Maske
letztendlich zu verlassen.
Stufenweise Analyse
mit Exit-Option
Mit dem GNU Debugger aufgewachsene
Entwickler wissen, dass stufenweise vor-
gehende Debugger eine vergleichsweise
komplexe Kommandozeile implementie-
ren, über die der Nutzer auch Informa-
tionen über die Inhalte der gerade gela-
denen Variablen beziehen kann. Der
momentan aktuelle Inhalt einer Variable
lässt sich beispielsweise über das Kom-
mando examine ausgeben, wenn Ihnen
der Variablenname bekannt ist:
bashdb<6> examine a
declare -- a="1234567890"
Bash-Skripte lassen sich durch Funktionen
und Schleifen verschachteln. Als Beispiel
wollen wir folgendes Skript annehmen,
das innerhalb einer Funktion eine als
Platzhalter dienende Berechnung ausführt:
function arbeiter {
for i in `seq 1 10`;
do
90 Mai 2018
echo "arbeiter sagt: " $i
done
} tausend Zeilen umfasst. Zur Umgehung
echo "los!"
arbeiter
echo "ende!"
Wer das vorliegende Programm in bashdb
ausführt, stellt fest, dass er nur dreimal
next eingeben muss. Der gesamte Korpus
von "arbeiter" wird in einem Schritt ab-
gearbeitet. Die Kontrolle kehrt erst bei
der Zeile "echo 'ende!'" zurück.
Als Alternative bieten sich die Befehle
step und finish an. Dies ist eine Beson-
derheit von bashdb – Zeilen wie unsere
For-Schleife "for i in `seq 1 10`;" haben
die unangenehme Eigenschaft, aus meh-
reren Statements zu bestehen. Mit dem
Befehl step weisen sie den Debugger an,
einen Schritt tiefer in ihr Programm zu
gehen. Jede Programmzeile wird dabei
nur ein einziges Mal angesprungen: Im
Fall unserer Schleife wechseln Sie also
Bild 4: Regelmäßiges Eingeben von next führt beim Debugging
mit Eclipse Schritt für Schritt durch das Programm.
zwischen dem for- und dem echo-State-
ment. Ist Ihnen diese Vorgehensweise ir-
gendwann langweilig, können sie bashdb
durch Eingabe von finish bashdb anwei-
sen, den aktuellen Ausführungskontext
zu verlassen. Dabei muss es sich allerdings
um eine ins Skript geladene Datei oder
eine aufgerufene Funktion handeln – zum
gegenwärtigen Zeitpunkt ist es nicht mög-
lich, eine "klassische" Schleife auf diese
Art und Weise zu verlassen.
Mit Breakpoints arbeiten
Das "lineare Ausführen" von Code gerät
spätestens dann zum Ärgernis, wenn Ihr
Shell-Skript einige hundert oder gar einige
dieses Problems bietet es sich an, Break-
points zu verwenden. Sie verhalten sich
in bashdb im Großen und Ganzen so, wie
sie es von anderen Programmiersprachen
her gewohnt sind.
Entwickler haben an dieser Stelle zwei
Möglichkeiten: Erstens können Sie die
gewünschten Breakpoints nach dem Start
der bashdb-Sitzung anlegen. Der Debug-
ger kennt verschiedene Breakpoint-
Deklarationen, die das Ansprechen von
Zeilennummern, Dateien und Funktions-
namen ermöglichen. Beginnen wir mit
dem Setzen eines Breakpoints in der
Funktion "arbeiter":
9: echo "los!"
bashdb<0> break arbeiter
Breakpoint 1 set in file /home/tam-
han/workspace/ITATest1/functest.sh
, line 1.
www.it-administrator.de
 Bash-Skripte automatisiert debuggen Schwerpunkt

bashdb in komfortabel
Microsofts Javascript-basierte Entwicklungs-
umgebung Visual Studio Code hat im Bereich
der Shellskript-Programmierung mittlerweile
massiv Anhänger gewonnen. Das unter [5]
bereitstehende Plug-in ermöglicht die Inte-
gration in bashdb, was beim Vorhandensein
eines GUI-Stacks Zeit und Nerven spart.
Als Alternative dazu bieten sich die fol-
genden drei Statements an:
break 28
Breakpoint 2 set in file parm.sh,
line 28.
break parm.sh:29
Breakpoint 3 set in file parm.sh,
line 29.
break 28 if x==5
Breakpoint 4 set in file parm.sh,
line 28.
Statement Nummer eins setzt einen
Breakpoint in der angegebenen Zeile der
gerade geöffneten Datei. Statement zwei
demonstriert das Ansprechen "ferner"
Dateien – leider ist es hier nicht möglich,
Funktionsnamen anzugeben.
Zu guter Letzt gibt es noch konditionale
Breakpoints. Es handelt sich dabei um eine
spezielle Art von Unterbrechung, die nur
dann aktiviert wird, wenn ihre Bedingung
erfüllt ist. In allen Fällen erfolgt das Lau-
fenlassen eines mit Breakpoints versehe-
nen Programms durch Eingabe von cont:
bashdb<1> cont
Nach der Eingabe von cont läuft der Code
so lange, bis bashdb die Aktivierung einer
Unterbrechung erkennt. Dann dürfen Sie
entweder mit next agieren oder durch
Eingabe von cont einen weiteren Durch-
lauf befehlen. Wenn Sie sich stattdessen
für spezifische Änderungen von Variablen
interessieren, sollten Sie Watchpoints nut-
zen. Ihre Einrichtung erfolgt mittels
watch. Die Vorgehensweise ist analog zu
klassischen Breakpoints.
Viel Code, viel Arbeit
Das permanente Neusetzen von Break-
points artet in Arbeit aus. Das von Py-
thonDB, Gdb und Co bekannte Save-
Kommando ist in bashdb nicht vorhanden.
Zur Umgehung des Problems legen wir
die Debugger-Anweisungen im Shell-
Skript ab. Das ist auch deshalb vernünftig,
weil die Ausführung eines Skripts inner-
halb des Debuggers mit einer wesentlichen
Verlangsamung einhergeht. Bei einem klei-
nen Skript ist dies irrelevant. Wer aber ei-
nen kompletten Compile-Vorgang analy-
siert, leidet selbst auf schnellen Maschinen.
Hierzu müssen Sie im ersten Schritt die
Datei "bashdb-trace" laden. Der hier ab-
gedruckte Pfad stimmt auf der Worksta-
tion des Autors, könnte auf Ihrer Maschi-
ne aber anders ausfallen:
source /usr/share/bashdb/bashdb-trace
function arbeiter {
. . .
}
echo "los!"
arbeiter
_Dbg_debugger ; : ; :
echo "ende!"
Das eigentliche Anwerfen des Debuggers
erfolgt dann durch das Konstrukt "_Dbg_
debugger ; : ; :" – wozu die beiden "toten"
Semikolons erforderlich sind, ist gemäß
Dokumentation wohl selbst den bashdb-
Autoren nicht ganz klar.
Eine wichtige Bemerkung zum Schluss:
Beachten Sie sowohl in bashdb als auch
in Eclipse, dass ablaufende Bash-Skripte
Shell-Skripte sind und bleiben. Löschen
Sie also etwa während des Debuggings
eine Datei, so lässt sich diese danach nicht
wiederherstellen.
Fazit
Wer Fehler in Bash-Skripten von Hand
sucht, verschwendet in Zeiten von Acht-
kern-Workstations seine Zeit. Wer mit Shell-
Skript arbeitet, sollte jedoch auf jeden Fall
einige Zeit in das Studium der Werkzeuge
investieren. Aufgrund der immensen Ver-
breitung von Bash ist es im Rahmen eines
kürzeren Fachartikels allerdings nicht mög-
lich, eine komplette Übersicht zum Debug-
ging zu bieten. Für weitere Information ma-
chen Sie etwa auf Seiten wie "stackover-
flow.com" mit dem Suchbegriff "shell script
debugger" eine Vielzahl von Diskussionen
zu diversen Methoden ausfindig. (ln)
Link-Codes
[1] Eclipse IDE for Java Developers
I5Z51
[2] Eclipse Shell Script (DLTK)
I5Z52
[3] Debugger BashEclipse
I5Z53
[4] Sourceforge ShellEd-Projekt
I5Z54
[5] Debugging with the BASH debugger
I5Z55
[6] Visual Studio Code Bash Debug
I5Z56

Lesen Sie den IT-Administrator als E-Paper

Testen Sie kostenlos und unverbindlich die elektronische
IT-Administrator Leseprobe auf www.it-administrator.de.
Wann immer Sie möchten und wo immer Sie sich gerade befinden –
Volltextsuche, Zoomfunktion und alle Verlinkungen inklusive.
Klicken Sie sich ab heute mit dem IT-Administrator einfach
von Seite zu Seite, von Rubrik zu Rubrik! Auch als App
fürs iPad, Android
Infos zu E-Abos, E-Einzelheften und Kombiangeboten finden Sie auf:
und Amazon!
www.it-administrator.de/
magazin/epaper

Server-Konfigurationen testen
mit Testinfra
Wie läuft's?
von Tim Schürmann
Ob alle Server korrekt konfiguriert sind,
prüft halbautomatisch das kleine Tool
Testinfra. Es nutzt dabei ein etabliertes
Framework aus der Software-Entwicklung
und nimmt so dem Administrator
einige Arbeit ab.
ippfehler in Konfigurationsdateien
T fallen nach Murphys Gesetz im-
mer erst im Betrieb auf – beispielsweise
wenn die Datenbank aufgrund einer fal-
schen Zeichenkodierung alle Umlaute
zerbröselt zurückliefert. Konfigurations-
werkzeuge wie Ansible, Puppet, Chef und
Co. helfen hier nur bedingt, verlangen sie
doch vom Administrator komplex aufge-
baute und somit ebenfalls fehleranfällige
Konfigurationsrezepte. Wer alternativ Do-
cker nutzt, greift gerne auf vorgefertigte
Container-Images zurück, vorzugsweise
aus dem Docker Hub. Das Ergebnis ist
dann häufig eine Black Box, von der man
nicht weiß, ob sie tatsächlich den eigenen
Anforderungen genügt.
Lieber testen
Insbesondere in produktiven Umgebun-
gen kommt man somit nicht umhin, die
Konfiguration der gestarteten Systeme
zu prüfen. Das sollte sicherheitshalber
auch immer wieder im laufenden Betrieb
geschehen, etwa nach einem Neustart
oder einer Konfigurationsänderung. Je
mehr Systeme ein Administrator jonglie-
ren muss, desto schwieriger und aufwen-
diger gestalten sich allerdings solche Tests.
Glücklicherweise gibt es das kleine Test-
werkzeug Testinfra [1]. Es meldet sich
92 Mai 2018
selbstständig auf jedem System an, führt
dort dann eine Reihe vorgegebener Tests
aus und liefert am Ende einen detaillier-
ten Bericht. Dieser ist zudem nützlich,
um gegenüber Kunden oder Vorgesetzten
die ordnungsgemäße Konfiguration zu
protokollieren.
Allerdings gibt es ein paar kleine Haken:
Testinfra basiert auf dem Test-Framework
Pytest, mit dem eigentlich Python-Pro-
grammierer ihre Software testen. Dieses
Framework erweitert Testinfra in Form
eines Plug-ins um zusätzliche Fähigkeiten,
dank denen Pytest auch Serverkonfigu-
rationen überprüft. Die einzelnen Tests
formulieren Administratoren dabei als
kleine Python-Skripte. Letztgenannte ver-
wenden zwar eine recht einfache Syntax,
sodass Sie für die ersten Gehversuche we-
der Python- noch Pytest-Kenntnisse be-
nötigen. Das volle Potenzial von Testinfra
kann jedoch nur ausschöpfen, wer sich
mit der Skriptsprache und dem Test-
Framework auskennt. Darüber hinaus fo-
kussiert sich Testinfra derzeit noch fast
vollständig auf Linux- und BSD-Systeme,
wenngleich auch eine rudimentäre Un-
terstützung für Windows existiert.
Um Testinfra nutzen zu können, stellen
Sie zunächst sicher, dass auf Ihrem System
Quelle: ammentorp – 123RF
mindestens Python 2.6 und dessen Pa-
ketmanager "pip" installiert sind. An-
schließend holen Sie mit folgendem Kom-
mando Testinfra hinzu:
$ pip install testinfra
Im Fall von Python 3 müssen Sie gege-
benenfalls "pip3" verwenden, für eine sys-
temweite Installation den Befehl zudem
als Benutzer "root" absetzen beziehungs-
weise via "sudo" aufrufen. In jedem Fall
holt "pip" alle benötigten Abhängigkeiten
hinzu, einschließlich Pytest. Für einen
ersten Test erstellen Sie eine neue Text-
datei namens "test_ssh.py" mit dem Inhalt
aus Listing 1. Dieses Python-Skript findet
heraus, ob auf dem zu prüfenden System
das Programm "ssh" verfügbar ist.
Die erste Zeile definiert einen neuen Test
namens "test_ssh_is_available". Technisch
handelt es sich dabei um eine Python-
Funktion, die Testinfra beziehungsweise
Pytest später automatisch aufruft und
ausführt. Ihr Name muss mit "test" be-
Listing 1: Einfache Prüfung
von SSH (test_ssh.py)
def test_ssh_is_available(host):
assert host.exists("ssh")
www.it-administrator.de

Bild 1: Wie die letzte Zeile bescheinigt, hat hier die Ausführung eines Tests 0,02 Sekunden gedauert.
ginnen, ansonsten können Sie ihn belie-
big wählen. Da er später im Abschluss-
bericht auftaucht, sollten Sie sich wie in
Listing 1 für einen möglichst sprechenden
Namen entscheiden. Die Funktion be-
kommt in den Klammern ein Objekt
übergeben, das den zu überprüfenden
Computer repräsentiert. Python- und Py-
test-Kenner dürfte interessieren, dass es
sich dabei um ein sogenanntes Fixture
handelt. Über dieses Objekt namens
"host" lassen sich unter anderem System-
informationen abfragen. Das macht sich
direkt die zweite Zeile in Listing 1 zunut-
ze: Dort fragt die Funktion "hosts.exists()"
das System, ob das Programm "ssh" zur
Verfügung steht. Es muss dazu in einem
Verzeichnis liegen, das im Suchpfad ein-
gebunden ist, unter Unix-Systemen also
in der Umgebungsvariable "$PATH" steht.
Im Erfolgsfall gibt die Funktion "true"
zurück. Das vorangestellte "assert" prüft
abschließend, ob der dahinterstehende
Ausdruck "true" ergibt. Nur dann gilt die
entsprechende Prüfung als bestanden.
Prüfung ausführen
Den kompletten Test können Sie jetzt pro-
beweise auf Ihr eigenes System ansetzen:
$ py.test -v test_ssh.py
Dieser Befehl startet die Tests im Skript
"test_ssh.py" auf dem aktuellen System.
Der Parameter "-v" sorgt dabei für einen
etwas ausführlicheren Bericht. In älteren
Testinfra-Versionen erfolgte der Start noch
über das Skript "testinfra". Dieses gilt zwar
mittlerweile als veraltet, liegt dem Testin-
fra-Paket aber weiterhin bei. Sollten Sie
in Beispielen oder der offiziellen Testin-
fra-Dokumentation noch über "testinfra"
stolpern, ersetzen Sie es durch "py.test".
Alle Listings zum Download auf www.it-administrator.de
Das Ergebnis der Prüfung zeigt Bild 1.
Im generierten Bericht finden Sie zu-
nächst allgemeine Informationen über
das System sowie die Python-Umgebung.
Ganz unten bescheinigt die Zeile
test_ssh.py::test_ssh_is_installed[l
ocal] PASSED
dass die Funktion "test_ssh_is_installed()"
ordnungsgemäß auf dem lokalen System
("[local]") durchgelaufen und somit der
Test bestanden ist ("PASSED"). Sollte "ssh"
auf Ihrem System nicht installiert sein,
erhalten Sie hingegen eine entsprechende
Fehlermeldung.
Test für MySQL
Alle von Ihnen benötigten Tests kapseln
Sie nach dem gezeigten Prinzip jeweils in
einer eigenen Funktion. Listing 2 zeigt
dafür ein Beispiel: Es prüft, ob MySQL
installiert ist, dessen Konfigurationsdatei
mit korrekt gesetzten Rechten existiert
und die Datenbank gerade im Hinter-
grund läuft.
Die erste Funktion "test_mysql_is_instal-
led()" testet zuerst, ob das Paket "mysql-
server" installiert ist. Dazu holt sie mittels
"host.package()" ein Objekt, das wieder-
um das Paket namens "mysql-server" re-
präsentiert. Mit ihm prüft die dritte Zeile,
ob das Paket überhaupt installiert ist
("mysql.is_installed" wäre in diesem Fall
"true"). Die dann folgende Zeile kontrol-
liert zusätzlich noch, ob die Versionsnum-
mer des vorhandenen MySQL-Servers
mit "5.7" beginnt. Die nächste Funktion
"test_mysql_conf_file()" überprüft, ob die
zentrale Konfigurationsdatei von MySQL
("/etc/mysql/mysql.cnf ") überhaupt exis-
tiert und ob sie die korrekten Rechte be-
Te s t i n f r a Schwerpunkt
sitzt. Dazu ruft sie im ersten Schritt "host.
file()" auf. Diese Funktion liefert ein Ob-
jekt zurück, das die angegebene Datei re-
präsentiert. Über dieses Objekt lassen sich
insbesondere die Dateieigenschaften ab-
fragen. Listing 2 testet auf diese Weise
nacheinander, ob die Datei überhaupt
existiert ("mysqlcnf.exists"), ob der Be-
sitzer der Datei "root" heißt ("mysqlcnf.
user == "root""), ob die Datei der Gruppe
"root" zugewiesen ist ("assert mysqlcnf.
group == "root"") und ob die derzeitigen
Zugriffsrechte der Oktalnotation 0644
entsprechen ("mysqlcnf.mode == 0o644").
Sofern es sich wie im Beispiel um eine
Textdatei handelt, dürfen Sie sogar ihren
Inhalt inspizieren:
assert mysqlcnf.contains("!include-
dir /etc/mysql/conf.d/")
Mit dieser Zeile würde Testinfra zusätzlich
prüfen, ob der Text "!includedir /etc/
mysql/conf.d/" in der Konfigurationsdatei
vorkommt und somit MySQL im Beispiel
die weiteren Konfigurationsdateien im
Unterverzeichnis "/etc/mysql/conf.d/" be-
rücksichtigt.
Startet der Dienst beim Booten?
Die letzte Funktion "test_mysql_enab-
led_and_running()" testet schließlich
noch, ob der MySQL-Dienst schon beim
Booten hochfährt und derzeit läuft. Dazu
liefert "host.service("mysql")" ein Objekt
zurück, das den laufenden Dienst namens
"mysql" repräsentiert. Mit seiner Hilfe
prüft die Funktion, ob der Dienst aktiviert
Listing 2: Einfache Prüfung
einer MySQL-Installation
(test_mysql.py)
def test_mysql_is_installed(host):
mysql = host.package("mysql-server")
assert mysql.is_installed
assert mysql.version.startswith("5.7")
def test_mysql_conf_file(host):
mysqlcnf =
host.file("/etc/mysql/mysql.cnf")
assert mysqlcnf.exists
assert mysqlcnf.user == "root"
assert mysqlcnf.group == "root"
assert mysqlcnf.mode == 0o644
def test_mysql_enabled_and_running(host):
mysql = host.service("mysql")
assert mysql.is_enabled
assert mysql.is_running
Mai 2018 93
Sch w e rp unk t Te s t i n f r a
Bild 2: Hier hat Testinfra auf dem lokalen System drei Tests ausgeführt: MySQL ist installiert,
die Konfigurationsdatei ist an der richtigen Stelle und der Dienst läuft im Hintergrund.
ist ("mysql.is_enabled") und ob er derzeit
läuft ("mysql.is_running"). Die Bezeich-
nung des Dienstes entspricht unter Linux
dem von Systemd beziehungsweise SysV-
Init genutzten Namen.
Kapselungen
Welche Prüfungen Sie in welchen Funk-
tionen verstauen, bleibt prinzipiell Ihnen
überlassen. Der in einer Funktion gekap-
selte Test gilt allerdings nur dann kom-
plett als bestanden, wenn in ihm alle mit
"assert" markierten Ausdrücke zutreffen.
Läuft etwa im Beispiel aus Listing 2 der
MySQL-Server munter in der Version 5.6
im Hintergrund, würde der komplette
erste Test "test_mysql_is_installed" fehl-
schlagen, da dieser explizit die Version
5.7 abfragt.
In jedem Fall führt Testinfra immer alle
im Skript enthaltenen Funktionen aus
(wie in Bild 2 zu sehen). Sofern die Tests
aufeinander aufbauen, kann das zu zu-
sätzlichen Fehlermeldungen führen. Wäre
etwa im Beispiel aus Bild 2 der MySQL-
Server gar nicht installiert, würde sich
Testinfra auch noch munter über die feh-
lende Konfigurationsdatei beschweren
und obendrein den nicht laufenden
Dienst bemängeln. Eine gute Planung der
gewünschten Tests erleichtert später die
Fehlersuche.
Als weitere Hilfe dürfen Sie die Tests auf
mehrere Skripte verteilen. Auf diese Wei-
se könnten Sie beispielsweise in einem
Skript die MySQL-Installationen prüfen,
während sich ein zweites Skript die Web-
server zur Brust nimmt. Alle im aktuel-
len Verzeichnis lagernden Skripte führt
94 Mai 2018
Testinfra rekursiv aus, indem Sie einfach
py.test -v aufrufen.
Sofern im Beispiel MySQL nicht läuft, er-
halten Sie eine Fehlermeldung. Wie Bild
3 zeigt, markiert Pytest dort zunächst die
fehlgeschlagene Zeile im Test-Skript mit
einem ">". Darunter sehen Sie die Feh-
lerbeschreibung. Wenn sie Ihnen zu kryp-
tisch erscheint, sollten Sie sie von unten
nach oben durchgehen. In Bild 3 können
Sie so ablesen, dass der Dienst "mysql"
nicht läuft ("isrunning" ist "false"). Bei
mehreren Fehlern werden die Meldungen
oft ziemlich lang und unübersichtlich.
Hier hilft im Extremfall nur, die Ausgaben
in eine Textdatei umzuleiten und dann
in Ruhe Schritt für Schritt durchzugehen.
Bild 3: Hier ist der MySQL-Server zwar installiert (der erste Test lief durch), doch wie die rote
Fehlermeldung belegt, läuft er aber derzeit nicht im Hintergrund.
Entfernte Ausführung
Bislang hat Testinfra immer nur das Sys-
tem unter die Lupe genommen, auf dem
Sie es aufgerufen haben. In der Regel
möchte man jedoch externe Server tes-
ten. Die dazu notwendige Kommunika-
tion wickelt Testinfra über sogenannte
Back-Ends ab. Diese Komponenten bau-
en zunächst eine Verbindung auf und
führen dann auf dem entfernten System
die notwendigen Befehle remote aus. Je-
des Back-End kümmert sich dabei um
eine konkrete Verbindungsart.
Soll Testinfra via SSH auf die entfernten
Server zugreifen, dürfen Administratoren
zwischen zwei verschiedenen Back-Ends
wählen: Testinfra kann die Verbindung
mithilfe des Kommandozeilenprogramms
"ssh" aufbauen oder aber Paramiko ein-
spannen. Letztgenanntes ist eine SSHv2-
Implementierung für Python und gleich-
zeitig die von den Testinfra-Entwicklern
bevorzugte Variante [2]. In beiden Fällen
kann Testinfra allerdings keine SSH-Pass-
wörter abfragen. Sie müssen folglich SSH
vorab so konfigurieren, dass Sie sich ohne
Passworteingabe auf dem entfernten Sys-
tem anmelden können. Das gelingt ent-
weder über den Austausch von Schlüsseln
oder mithilfe des "ssh-agent". Sofern Sie
eine Verbindung via Paramiko aufbauen
wollen, holen Sie zunächst auf Ihrem Sys-
www.it-administrator.de

tem per "pip install paramiko" das ent-
sprechende Python-Paket hinzu.
Jetzt starten Sie die Tests im Skript "test_
mysql.py" auf dem Server mit der Adresse
192.168.1.102 mit folgendem Befehl:
$ py.test -v --hosts=admin@
192.168.1.102:22 test_mysql.py
Wenn Sie anstelle von Paramiko das be-
reits installierte Kommandozeilenpro-
gramm "ssh" verwenden möchten, brau-
chen Sie noch einen weiteren Parameter:
$ py.test -v --connection=ssh --
hosts=admin@192.168.1.102:22
test_mysql.py
Hinter "--hosts=" folgt die IP-Adresse
oder der Hostname des entfernten Rech-
ners. "admin" ist der Benutzername, mit
dem sich Testinfra dort anmeldet. Die
Angabe des Ports (im Beispiel 22) ist op-
tional. Falls notwendig, binden Sie mit
dem zusätzlichen Parameter "--ssh-con-
fig=/pfad/zur/ssh_config" eine alternative
SSH-Konfigurationsdatei ein.
Parallele Prüfungen
Hinter "--hosts=" können Sie auch meh-
rere Server auflisten, die Testinfra dann
alle der Reihe nach prüft:
$ py.test -v --hosts=localhost,ad-
min@192.168.1.102:22,admin@exam-
ple.com test_mysql.py
Bei sehr vielen Systemen wird die Kom-
mandozeile recht lang. Sie können des-
halb auch die Server direkt im Test-Skript
vorgeben. Dazu fügen Sie ganz am An-
fang des Skripts folgende Zeile hinzu:
testinfra_hosts = ["localhost", "
admin@192.168.1.102:22",
"admin@example.com"]
In den eckigen Klammern stehen die zu
prüfenden Server jeweils durch ein Kom-
ma getrennt und in Anführungszeichen
eingerahmt (dies definiert eine Liste in
Python). Wenn Sie die Server direkt in
einem Test-Skript hinterlegen, führt Test-
infra nur auf ihnen die im Skript enthal-
tenen Prüfungen aus. Auf diese Weise
Link-Codes eingeben auf www.it-administrator.de
Bild 4: Hier liefen zwei Prozesse gleichzeitig: Der erste "[gw0]" hat den entfernten Rechner geprüft,
der zweite "[gw1]" hat sich hingegen um den "localhost" gekümmert.
können Sie die MySQL-Tests auf die Da-
tenbank-Server beschränken.
In jedem Fall verbindet sich Testinfra
nacheinander mit den Servern. Eine Pa-
rallelverarbeitung können Sie über das
Pytest-Plug-in "pytest-xdist" erreichen.
Das installieren Sie zunächst via:
$ pip install pytest-xdist
Beim Start der Tests übergeben Sie mit
"-n" die Anzahl der gleichzeitig laufenden
(Test-)Prozesse. Der folgende Befehl wür-
de die Tests auf allen drei Systemen pa-
rallel ausführen:
$ py.test -n 3 --hosts=localhost,ad-
min@192.168.1.102:22,admin@exam-
ple.com test_mysql.py
Aufgrund der gleichzeitigen Ausführung
mischen sich allerdings die Ausgaben im
Abschlussbericht. Welche Meldungen zu-
sammengehören, kennzeichnen die An-
gaben in eckigen Klammern vor jeder
Zeile (wie in Bild 4).
Container testen
Neben dem Verbindungsaufbau via SSH
existieren noch weitere Back-Ends, die
unter anderem laufende Docker-Contai-
ner testen, auf einem Salt-Server Kom-
mandos über die Salt Connection Chan-
nels ausführen, die Ansible-Python-API
nutzen, in Kubernetes laufende Container
prüfen und via Pywinrm auf das Windows
Remote Management (WinRM) zurück-
greifen [3]. Um etwa im Docker-Contai-
Te s t i n f r a Schwerpunkt
ner "mysql" die Tests aus "test_mysql.py"
zu starten, genügt dank des Docker-
Back-Ends folgender Aufruf:
$ py.test -v --connection=docker
--hosts=mysql test_mysql.py
Hinter "--hosts=" folgen durch Kommas
getrennt die Namen oder die IDs der zu
testenden Docker-Container. Diese müs-
sen allerdings schon laufen.
Fazit
Dank seines Kommandozeileninterfaces
arbeitet Testinfra auch mit anderen Werk-
zeugen zusammen, wie etwa Nagios. In
der offiziellen Dokumentation finden Sie
dazu einige Beispiele. Dort wartet zudem
in der Rubrik "Modules" eine Referenz
mit allen von Testinfra angebotenen Ob-
jekten beziehungsweise Klassen. Wer mit
Ansible, Salt oder Puppet arbeitet, be-
kommt sogar einige darauf zugeschnittene
Funktionen angeboten. Auf diesem Weg
lassen sich beispielsweise elegant Puppet-
Ressourcen abfragen. Um die vollen Mög-
lichkeiten richtig auszuschöpfen, sollten
sich Administratoren jedoch unbedingt
auch in Pytest einarbeiten. (of)
Link-Codes
[1] Testinfra
I5Z11
[2] "Paramiko öffnet
SSH-Verbindungen", ADMIN 06/2012
I5Z12
[3] Pywinrm
I5Z13
Mai 2018 95
Sch w e rp unk t Phishing-Domains aufspüren
Phishing-Domains aufspüren mit dnstwist
Fallensteller
von Thomas Bär und Frank-Michael Schlede
Es gibt viele Möglichkeiten, Nutzer mit
ihrem Browser auf einen anderen als den
eingegebenen Domänennamen umzulenken:
Als probates Mittel dafür hat sich beispielsweise
die Variation der URL durch Buchstabendreher und
ähnliche Namen erwiesen. Mit einem kleinen Skript
können Administratoren Phishing-Domains ausfindig machen
und gleichzeitig prüfen, ob sie die eigene Webseite imitieren.
er für Betrieb und Pflege einer Un-
W ternehmenswebseite zuständig ist,
kennt sicher die unterschiedlichsten Be-
schwerden und Notrufe seiner Nutzer,
dass eben diese Seite nicht erreichbar sei.
Häufig stellt sich dann heraus, dass die
Nutzer sich einfach vertippt haben. Das
wird erst dann zum Problem, wenn eine
solche falsche Adresse auf eine Seite führt,
die auf dem Rechner des Nutzers Schaden
verursacht, beispielsweise durch die In-
stallation von Malware.
Noch schlimmer wird es, wenn beispiels-
weise Kunden auf die vermeintliche Web-
seite der Firma gelangen, es sich dabei je-
doch um eine böswillig angelegte Kopie
handelt, die den Nutzer bestenfalls nur ver-
wirrt oder ihm im schlimmsten Fall Schad-
software installiert oder finanziellen Scha-
den zufügt. Deshalb kann es beispielsweise
für die IT-Mitarbeiter, die die Firmenweb-
seite verantworten, sinnvoll sein, nach Do-
mänen mit ähnlichem Namen zu suchen.
Dann können sie überprüfen, ob diese
eventuell gefährliche Inhalte verbreiten,
und die eigenen Nutzer davor warnen.
Automatische Namensfindung
Natürlich ist es nun möglich, per Hand die
verschiedenen Kombinationsmöglichkeiten
eines Domänen-Namens durchzuprobie-
ren. Das ist nicht nur umständlich, sondern
dauert auch definitiv lange und ist fehler-
anfällig. Eine solche Aufgabe kann und
sollte automatisiert werden. Marcin Uli-
96 Mai 2018
kowski, der als Security Consultant bei So-
ny tätig ist, hat bereits vor mehr als zwei
Jahren ein Python-Skript entwickelt, das
diese Arbeiten sehr schnell und zuverlässig
ausführt. Er erläutert dazu auf seiner Web-
seite, dass ein Nutzer, der per Hand alle
Varianten von "google.com" überprüfen
wollte, dafür eine Anzahl von mehr als
300.000 Anfragen benötigen würde und
dass sich diese Zahl beispielsweise für
facebook.com dann schon auf über fünf
Millionen Anfragen erhöhen würde.
Ein guter Grund, diese Tätigkeit seinem
Python-Skript "dnstwist" zu überlassen.
Die Arbeitsweise dieses Skripts ist dabei
recht einfach: Es bekommt einen Domä-
nennamen übergeben. Danach verwendet
es diesen Namen, um Domänennamen
mit unterschiedlichen, passenden Abwei-
chungen und Veränderungen zu generie-
ren und zu überprüfen, die beispielsweise
für Phishing-Angriffe eingesetzt werden
könnten. Im Anschluss kontrolliert das
Skript, ob diese Namen im DNS regis-
triert sind, und zeigt an, auf welche IPv4-
oder auch IPv6-Adresse sie verweisen.
Wir haben dnstwist auf einem Ubuntu-
System 17.10 (64-Bit-Version) installiert.
Das System lief virtualisiert unter VM-
ware-Workstation. Laut Angaben auf der
GitHub-Seite zu dieser Open-Source-
Software kann das Skript ab der Ubun-
tu-Version 15.04 mit folgendem Aufruf
auf das System gebracht werden:
RF
– 123
pintar
: james
Quelle
$ sudo apt-get install python-dnspy-
thon python-geoip python-whois \
python-requests python-ssdeep
python-cffi
Das funktionierte auf unserer Plattform
ohne Probleme. So wurden alle zusätzli-
chen Pakete auf unserem System mittels
dieses Aufrufs nach einer Nachfrage des
Systems ebenfalls heruntergeladen und
auch installiert. Das Skript arbeitete ohne
Fehler mit der auf dem System standard-
mäßig installierten Python-Version 2.7.14
zusammen. Der Entwickler weist explizit
darauf hin, dass dieses Skript alle Mög-
lichkeiten erst dann entfalten kann, wenn
die folgenden Python-Module ebenfalls
auf dem System installiert sind, was bei
unserer Installation automatisch geschah:
- A DNS toolkit for Python: Dieses Tool-
kit unterstützt fast alle Record-Typen
von DNS und kann sowohl für Abfra-
gen, Zone-Transfers als auch für dyna-
mische Updates eingesetzt werden.
- Python GeoIP: GeoIP-Datenbank der
Firma MaxMind.
- Python WHOIS: Python-Modul/Bi-
bliothek, mit deren Hilfe WHOIS-In-
formationen von Domänen abgefragt
werden können.
- Requests: HTTP for Humans: Eine Apa-
che2-lizenzierte HTTP-Bibliothek, ge-
schrieben in Python, für das vereinfach-
te Arbeiten mit HTTP/1.1 in Python.
- ssdeep Python wrapper: Ein Python-
Wrapper für ssdeep. Diese Bibliothek
www.it-administrator.de

verarbeitet sogenannte "Context Trig-
gered Piecewise Hashes (CTPH)", die
auch als "Fuzzy Hashes" bezeichnet
werden.
Weiterhin gibt der Entwickler Hinweise
auf die Möglichkeit, das Skript unter mac-
OS via Homebrew (eine Paketverwaltung
für die Apple-Systeme) oder als offizielles
Docker-Image direkt vom Docker-Hub
zu installieren. Nach der Installation auf
dem Linux-System stehen im Verzeichnis
"dnstwist" neben der eigentlichen Python-
Datei "dnstwist.py" auch noch Verzeich-
nisse mit der Dokumentation und einem
zusätzlichen Tool in Form eines Shell-
Skripts bereit. Die Dokumentation be-
schränkt sich dabei im Wesentlichen auf
eine Readme-Datei und Beispielscans der
Webseite "google.com" im CSV- und
JSON-Format, die im Unterverzeichnis
"examples" zu finden sind.
Phisher aufspüren
Angreifer, die mittels einer Phishing-At-
tacke auf die Unternehmensseite zielen,
versuchen die Nutzer oft auf eine geklon-
te Version der Webseite zu locken, um
sie dort dann beispielsweise mit Schad-
software zu infizieren. Nun ist es eben-
falls sehr unpraktisch und zeitraubend,
all die durch das Skript gefundenen Sei-
ten manuell im Browser aufzurufen, um
festzustellen, ob dort eine Phishing-Seite
beziehungsweise ein Klon der eigenen
Unternehmenswebseite eingerichtet wur-
de und betrieben wird. Um dieses Pro-
blem in den Griff zu bekommen, ver-
wendet dnstwist "Fuzzy Hashes". Dieses
Konzept und die dazu eingesetzte ssdeep-
Bibliothek ermöglichen es, zwei Eingaben
– bei denen es sich in diesem Fall um
HTML-Code handelt – zu vergleichen
und eine grundlegende Übereinstim-
mung festzustellen.
Wird dnstwist mit dem Argument "--
ssdeep" (beziehungsweise "-s") aufgerufen,
lädt das Skript für jeden generierten Do-
mänennamen vom antwortenden HTTP-
Server Inhalt herunter. Dabei folgt es auch
eventuellen Redirects. Dann wird der Fuz-
zy Hash dieses Inhalts mit dem der Ori-
ginal-Webseite verglichen. Das Skript gibt
dann den Grad der Übereinstimmung in
Form einer Prozentzahl mit aus. Natürlich
Link-Codes eingeben auf www.it-administrator.de
Phishing-Domains aufspüren
Ein erster Aufruf ohne Parameter bringt zwar viele Permutationen des Domänen-Namens hervor, zeigt
aber auch sofort, dass die meisten dieser ähnlichen Namen zu diesem Zeitpunkt nicht registriert sind.
ist es grundsätzlich sehr schwer bis un-
möglich, bei einer dynamisch erstellten
Webseite eine Übereinstimmung von 100
Prozent zu erreichen. Aber Administra-
toren bekommen so einen guten Anhalts-
punkt, welche der angezeigten Webseiten
mit einem hohen Prozentsatz der Über-
einstimmung sie sich einmal genauer an-
schauen sollten.
Vielfach versuchen Angreifer auch E-
Mails abzufangen, die mit einem Tipp-
fehler in der Adresse gesendet wurden.
In einem solchen Szenario könnte diese
Seite dann alle E-Mails, die an diese fal-
sche Domäne geschickt würden, entspre-
chend einsammeln. Dnstwist besitzt eine
Möglichkeit, einen simplen Test auf jeden
Mailserver auszuführen, der durch den
DNS MX-Record angegeben wird, um
festzustellen, welcher davon für diese
Zwecke eingesetzt werden kann. Entspre-
chende Server werden dann bei der Aus-
gabe mit der Kennzeichnung "Spying-
MX" versehen. Dazu ist ein Aufruf der
folgenden Form notwendig:
$ dnstwist.py --mxcheck example.com
Der Entwickler weist allerdings darauf
hin, dass einige Mail-Server aus Sicher-
heitsgründen so konfiguriert werden, dass
sie falsch adressierte E-Mails zwar anneh-
men, diese aber dann sofort verwerfen.
Alle Ergebnisse eines Aufrufs des Skripts
können über die Optionen "--csv" oder
"--json" auch direkt in entsprechende
Textdateien ausgegeben werden.
Schwerpunkt
Fazit
Insgesamt ist dnstwist ein sehr nützliches
Werkzeug, das alle IT-Administratoren, die
für eine Webdomäne verantwortlich sind
oder auch den Namen ihres Unternehmens
vor Phishing-Angriffen schützen wollen,
in ihrer virtuellen Werkzeugkiste haben
sollten. Wer allerdings nicht mit Linux ar-
beitet (ein nur kurzer Versuch, dnstwist
unter Python auf Windows zu starten,
misslang uns) oder im eigenen Unterneh-
men auch keinen Mitarbeiter besitzt, der
die Geheimnisse der Kommandozeile be-
herrscht, wird Einsatz und Bedienung viel-
leicht etwas gewöhnungsbedürftig finden
oder vielleicht grundsätzlich Mühe und
Aufwand scheuen, die in diesem Fall mit
Einrichtung und Betrieb eines Linux-Sys-
tems verbunden wären. Für diese Fälle bie-
tet sich als Alternative "dnstwister report"
[2] an. Optionen wie "--ssdeep" oder das
Feststellen des geografischen Ortes stehen
allerdings nicht zur Verfügung. Aber die
Webseite erlaubt es beispielsweise, das Er-
gebnis so zu filtern, dass nur registrierte
Domänen angezeigt werden. Auch der Ex-
port der Ergebnisse in eine JSON- oder
CSV-Datei ist mit Hilfe der Webseite mög-
lich, sodass sie eine interessante Alternative
für Nutzer darstellt, die das Skript nicht
selbst aufsetzen wollen. (dr)
Link-Codes
[1] DNS-Twist
I5Z21
[2] dnstwister report
I5Z22
Mai 2018 97

Python-Modul Boto3
für die Amazon-Cloud
Wär' doch
gelacht
von Oliver Frommel
Das Boto-Modul hilft dabei, Ressourcen in der Amazon-Cloud mit Python zu managen. Dieser Artikel
gibt eine Einführung in die Programmierung mit dem offiziell von Amazon unterstützten Modul.
m in der Amazon-Cloud mal eben
U eine VM zu starten, genügt die
webbasierte AWS Console. Wer aber seine
Clouddienste automatisieren möchte,
kommt kaum an einem etwas ausgefeil-
teren Tool oder einer skriptgesteuerten
Lösung vorbei. Um Letzteres soll es in
diesem Artikel gehen. Das Tool respektive
Framework der Wahl ist Boto [1] (be-
nannt nach dem Amazonas-Flussdelfin),
eine Sammlung von Python-Modulen,
die ursprünglich von Mitchell Garnett ge-
schrieben wurde, der später bei Amazon
angestellt war.
In der Zwischenzeit wurde Boto einmal
gründlich von Grund auf umgeschrieben
und wird nun als Boto3 auch von Ama-
zon unterstützt und gepflegt. Das bringt
den Vorteil, dass Amazon sich darum
kümmert, dass alle der nicht gerade we-
nigen angebotenen AWS-Dienste von
dem Framework unterstützt werden. Der-
zeit sind dies weit mehr als 100 Services,
98 Mai 2018
wie die ausführliche Dokumentation un-
ter [2] belegt.
Installiert ist das Framework mit den
üblichen Python-Paketmechanismen
schnell. Es genügt ein Aufruf des Paket-
managers "pip", eventuell zur Vergabe
der passenden Rechte noch mit "sudo"
gekoppelt:
$ sudo -H pip install boto3
Wer auf seinem System neben Python 2
auch Version 3 betreibt, kann den ent-
sprechenden Paketmanager mit pip3 ...
aufrufen. Am allerbesten ist es natürlich,
für sein Projekt mit "virtualenv" ein eige-
nes Verzeichnis anzulegen, in das die be-
nötigten Module lokal installiert werden.
Nach der Installation von Boto3 steht der
komplette Funktionsumfang in eigenen
Python-Skripten zur Verfügung. Ein ein-
facher Test lässt sich beispielsweise mit
Quelle: uwebergwitz – 123RF
dem S3-Storage-Dienst anstellen, der nur
über einen globalen Namespace verfügt,
weshalb man sich nicht um Regionen und
Availability Zones kümmern muss:
import boto3
s3res = boto3.resource('s3')
for bucket in s3res.buckets.all():
print(bucket.name)
Dieses Beispiel geht von Python 3 und
der darin enthaltenen Print-Funktion aus.
Wer Python 2 einsetzt, kann die Print-
Funktion über die Anweisung "from __fu-
ture__ import print_function" als erste
Zeile des Skripts importieren, dann funk-
tioniert es mit beiden Python-Versionen.
Während der Namespace von S3 global
ist, sind einzelne Buckets dennoch in be-
stimmten Regionen angesiedelt – irgend-
wo müssen die Daten ja schließlich liegen.
Wo das ist, finden Sie mit dem folgenden
Aufruf heraus:
www.it-administrator.de

Bild 1: Mit dem mitmproxy und passenden Zertifikaten lassen
sich auch verschlüsselte Anfragen an AWS untersuchen.
location =
boto3.client('s3').get_bucket_lo-
cation(Bucket=bucket.name)['Loca-
tionConstraint']
Dateien laden Sie mit dem folgenden
Code in S3 hoch. Der "key" entspricht da-
bei praktisch dem Dateinamen des Ob-
jekts im Bucket.
bucket_name = "my-aws-bucket"
key = "upload-file"
s3res = boto3.resource('s3')
bucket = s3res.Bucket(bucket_name)
bucket.upload_file("upload.txt",
key)
Eine praktische Ergänzung zu Boto beim
Umgang mit S3 ist das "smart_open"-Mo-
dul [3], mit dem sich S3-URLs (wie auch
HDFS) transparent öffnen und wie lokale
Files verwenden lassen.
Zusätzlich ist zu beachten, dass die Liste
von Objekten bei Boto und S3 auf 1000
begrenzt ist. Benötigen Sie mehr, müssen
Sie sogenannte Paginators verwenden, die
es erlauben, mit weiteren Requests die
verbleibenden Objekte zu laden.
Authentifizierung
Um sich gegenüber AWS als berechtigter
User auszuweisen, verwendet Boto3 die-
selben Credentials wie die AWS-Com-
www.it-administrator.de
mandline-Tools. Haben Sie also mit aws
configure den Access Key und den Secret
Key eingetragen, können Sie Boto einfach
verwenden – vorausgesetzt der entspre-
chende User besitzt die nötigen IAM-Rol-
len für das, was sie machen wollen. Al-
ternativ können Sie die beiden Keys auch
in ihren Skripts als Parameter eintragen:
session = boto3.Session(
aws_access_key_id=ACCESS_KEY,
aws_secret_access_key=SECRET_KEY
) les, sehen Sie eine Meldung wie "I already
Davon wird aber im Allgemeinen abge-
raten, da auf solchem Weg die Schlüssel
zu leicht den Weg an die Öffentlichkeit
finden, etwa wenn Skripts bei Github
hochgeladen werden. Weitere Möglich-
keiten zur Authentifizierung, über die die
Boto-Dokumentation informiert, sind
Umgebungsvariablen oder ein Shared-
Credentials-File.
Logging und Debugging
Um zu sehen, was Boto macht, können
Sie das eingebaute Logging-Modul ver-
wenden, das je nach Logging-Level (etwa
INFO, TRACE oder DEBUG) unter-
schiedlich viele Informationen ausgibt.
import logging
boto3.set_stream_logger('', log-
ging.DEBUG)
Boto3 Schwerpunkt
Eine interessante Alternative oder Ergän-
zung dazu ist es, die von Boto an AWS
geschickten HTTP-Requests zu untersu-
chen. Dies erlaubt außerdem einen tiefe-
ren Einblick darin, was hinter den Kulis-
sen passiert. Hierbei ist lediglich noch
das Problem zu lösen, dass alle Requests
zur Amazon-Cloud per TLS verschlüsselt
sind. Hierzu bieten Proxys wie mitmproxy
[4] eine Lösung, die darin besteht, dem
Client ein eigenes Zertifikat zu präsen-
tieren und gegenüber dem Server selbst
als Client aufzutreten.
Man in the Middle hilft
beim Debugging
Ist mitmproxy gestartet, bietet er einen
Betriebsmodus, in dem er selbst als Web-
server auftritt, um Informationen sowie
die Zertifikate auszuliefern. Dazu müssen
Sie ihn beispielsweise im Webbrowser als
Proxy einstellen und dann die Adresse
"http://mitm.it" aufrufen. Nun könnten
Sie die Zertifikate im Browser installie-
ren, was in unserem Fall aber nichts
nützt, weil wir den Proxy ja mit Boto ver-
wenden möchten.
Trotzdem können Sie hier die Zertifikate
"herunterladen". Dann legen Sie sie im
passenden Verzeichnis ab, unter Ubuntu
etwa in "/usr/local/share/ca-certificates/",
und führen anschließend sudo update-ca-
certificates --verbose aus. Funktioniert al-
trust 149, your new list has 150". Um si-
cherzugehen, dass das Zertifikat in der
Keychain gelandet ist, verwenden Sie bei-
spielsweise den folgenden Aufruf:
$ awk -v cmd='openssl x509 -noout
-subject'
'/BEGIN/{close(cmd)};{print |
cmd}' < /etc/ssl/certs/ca-certifi-
cates.crt
Haben Sie dem System die Zertifikate des
mitmproxy untergeschoben, können Sie
den Proxy von Boto3-Skripts aus verwen-
den, indem Sie ihn bei der Konfiguration
eines Clients als Parameter übergeben,
etwa so:
ec2 = boto3.resource('ec2',
config=Config(proxies={'https':
'localhost:8080'}))
Mai 2018 99
Sch w e rp unk t Boto3
Außerdem müssen Sie dem Python-
Skript noch mitteilen, dass es die Zerti-
fikatsliste verwenden soll, die das mitm-
proxy-Zertifikat enthält. Dies geschieht
über eine Umgebungsvariable, die Sie in
einem Python-Skript so setzen:
os.environ['REQUESTS_CA_BUNDLE'] =
os.path.join('/etc/ssl/certs/',
'ca-certificates.crt')
Nun können Sie sich im mitmproxy-Fens-
ter die Requests und die Antworten von
Amazon ansehen (Bild 1).
An dieser Stelle noch ein Wort zu den in
Boto3 verwendeten Client- und Resour-
ceklassen: Vermutlich aus historischen
Gründen sind manche Funktionen als
Methoden der Clientklasse, andere aber
als Methoden der jeweiligen Resource-
Klasse implementiert (etwa oben die S3-
Resource). Die Clientfunktionen sind eher
low-level, während die Resourcen kom-
fortablere Funktionen zum Umgang mit
AWS bieten. Als Beispiel sei EC2 genannt,
bei dem die Resource verschiedene Me-
thoden zum Erzeugen von Instanzen,
Netzwerken, Volumes und so weiter bie-
tet. Zum Beenden einer Instanz müssen
Sie aber den EC2-Client und
dessen Methode "terminate_in-
stances" verwenden.
Im Zweifelsfall müssen Sie in
der Dokumentation nachsehen
und die entsprechende Klasse
instanziieren, die die gewünsch-
te Funktion bietet. Die Kon-
struktoren beider Klassen erlau-
ben es, eine AWS-Region als
Parameter anzugeben, um eine
andere als die konfigurierte
Default-Region zu verwenden:
ec2client =
boto3.client('ec2', regi-
on_name='us-east-1')
Verarbeitung von JSON
Die von AWS zurückgelieferten
Werte sind verschachtelte Py-
thon-Dictionaries, die nicht im-
mer sehr gut zu überblicken
sind. Eine Alternative dazu, sie Bild 1: Mit Hilfe von JQ lässt sich die JSON-Ausgabe von Boto3 besser
in Python näher aufzuschlüs- formatieren und farblich unterlegen.
100 Mai 2018
seln, ist, sie in eine JSON-Datenstruktur
zu wandeln und dann mit dem Tool "jq"
weiterzuverarbeiten. Ein JSON-Modul,
das Sie mit import json importieren, liefert
Python bereits mit. Mit einem einzigen
Aufruf wandeln Sie ein Dictionary in
JSON um:
j = json.dumps(groups)
Mit der "dumps"-Methode liefert das Mo-
dul einen String zurück. Alternativ ver-
wenden Sie "dump", dem Sie einen File-
deskriptor übergeben, zum Beispiel die
Standardausgabe Stdout:
json.dump(groups, sys.stdout)
JQ verschönert und
durchsucht JSON
In jedem Fall können Sie die JSON-Aus-
gabe mit JQ weiterverarbeiten, etwa um
an einen in der tief verschachtelten Struk-
tur versteckten Wert zu gelangen oder
sich die Ausgabe formatiert und farblich
markiert auszugeben (Bild 2). Der Code
in Listing 1 liest die vorhandenen Security
Groups einer Region aus. Auch hier be-
kommt der Boto-Client die Region als
Keyword-Argument übergeben.
Alle Listings zum Download auf www.it-administrator.de
Listing 1: Security Groups
from __future__ import print_function
import boto3
import json
import sys
ec2client = boto3.client('ec2',
region_name='us-east-1')
groups = ec2client.describe_security_groups()
print(json.dumps(groups))
Mit dem folgenden Aufruf von JQ iterie-
ren Sie über die als Liste gespeicherten
"SecurityGroups" und geben dabei zu je-
der den GroupName aus:
$ python3 sg.py | jq '.Security-
Groups[].GroupName'
Um das Layout der Ausgabe selber zu be-
stimmen, verwenden Sie die sogenannte
String Interpolation, die JQ bietet. Dabei
wird jede Variable mit einem Backslash
und zwei Klammern umschlossen. Der
Rest des Strings wird so dargestellt wie
angegeben:
$ python3 sg.py | jq '.Security-
Groups[] | "\(.GroupName):
\(.GroupId)"'
"default: sg-0cba197b"
"default_elb_3966756d-9722-
3604-a7aa-aeb3277e84a3: sg-
3f65ff48"
"launch-wizard-1: sg-
7f4af20b"
Bei der Verarbeitung per JQ be-
finden Sie sich natürlich dann
auf Shell-Ebene, was in Ord-
nung ist, wenn Sie am Ende ei-
nes Skripts Daten ausgeben, die
Sie sich anschauen oder mit ei-
nem anderen Skript weiterver-
arbeiten wollen. Weniger sinn-
voll ist der Einsatz von JQ,
wenn Sie innerhalb des Skripts
die Daten verarbeiten möchten.
Dafür verwenden Sie besser
ein Python-Modul, das sich auf
die Suche in verschachtelten
Listen und Dictionaries spe-
zialisiert hat, wie etwa "nested
lookup" oder "dpath", oder eins
der Module, die eine Abfrage-

Listing 2: Instanzen und
Autoscaling Groups
from __future__ import print_function
import boto3
asclient = boto3.client('autoscaling', regi-
on_name='us-east-1')
ec2client = boto3.client('ec2',
region_name='us-east-1')
for i in asclient.describe_auto_scaling_in-
stances()['AutoScalingInstances']:
print(i['InstanceId'], i['AutoScaling-
GroupName'])
instanceid = i['InstanceId']
asgroupname = i['AutoScalingGroupName']
response =
asclient.update_auto_scaling_group(Auto-
ScalingGroupName=asgroupname, MinSize=0)
if response is not None:
print(response)
response = asclient.detach_instances(In-
stanceIds=[instanceid], AutoScalingGroup-
Name=asgroupname, ShouldDecrementDesired-
Capacity=True)
if response is not None:
print(response)
ec2client.terminate_instances(Instan-
ceIds=[instanceid])
for g in
asclient.describe_auto_scaling_groups()['A
utoScalingGroups']:
asgroupname = g['AutoScalingGroupName']
asclient.delete_auto_scaling_group(Auto-
ScalingGroupName=asgroupname)
print(g['AutoScalingGroupName'])
sprache für JSON analog zu XPath für
XML implementieren, etwa "jsonpath-
ng". Ansonsten iterieren Sie wie üblich
über die Liste und können dabei die
Werte ausgeben:
for g in groups['SecurityGroups']:
print(g['GroupName'], g['Grou-
pId'])
Filter reduzieren Resultate
Darüber hinaus unterstützen viele Boto-
Methoden auch Filter, die es ermöglichen,
Einschränkungen der gefragten Daten be-
reits auf dem Server anzuwenden und so-
mit die übertragenen Datenmengen zu
reduzieren, zum Beispiel hier bei der Su-
che nach laufenden AWS-Instanzen:
result = ec2.instances.filter(Fil-
ters=[{'Name': 'instance-state-na-
me', 'Values': ['running']}])
Link-Codes eingeben auf www.it-administrator.de
Wenn Sie nun etwa eine Security Group
mit der Methode "delete_security_group"
löschen möchten, kann es sein, dass Sie
mit einer Fehlermeldung wie der folgen-
den konfrontiert werden:
>> ec2client.delete_security_group
(GroupID='sg-29b81b5e')
...
botocore.exceptions.ClientError: An
error occurred (DependencyViolati-
on) when calling the DeleteSecuri-
tyGroup operation: resource sg-
29b81b5e has a dependent object
Der Grund dafür ist, dass das zu löschen-
de Objekt noch in einem anderen Objekt
als Referenz vorkommt. Bevor dieser Ver-
weis nicht gelöscht ist, dürfen Sie das Ob-
jekt nicht löschen. Im Fall von Security
Groups können Sie zur Lösung des Pro-
blems alle Security Groups durchgehen
und in den "UserIdGroupPairs" nachse-
hen, ob das fragliche Objekt vorhanden
ist. Wenn ja, löschen Sie die Referenz, da-
nach dürfen Sie auch das Objekt löschen,
auf das verwiesen wird.
Autoscaling Groups
Ein ähnliches Beispiel sind die Autosca-
ling Groups (AG), die dafür sorgen, dass
bestimmte EC2-Instanzen laufen. Häufig
werden nämlich EC2-Instanzen nicht
von Hand gestartet, sondern es gibt Au-
toscaling Groups, über die Anwender
deklarativ bestimmen, dass bestimmte
Ressourcen vorhanden sein müssen,
während die Umsetzung dann automa-
tisch geschieht.
Dies hat zur Folge, dass es sinnlos ist,
solcherart gestartete Instanzen manuell
zu löschen, denn Sie werden von AWS
immer wieder neu gestartet, um die An-
forderungen der AG zu erfüllen. In die-
sem Fall sind zum Beenden einer In-
stanz die entsprechenden Autoscaling
Groups zu aktualisieren. Die entspre-
chende Methode "detach_instances"
zum Herauslösen einer Instanz aus der
AG besitzt einen weiteren Parameter na-
mens "ShouldDecrementDesiredCapa-
city", der dafür sorgt, dass anstelle der
Instanz nicht eine neue gestartet wird.
Darüber hinaus ist es, je nach Konfigu-
ration, noch nötig, die "MinSize" der
Boto3 Schwerpunkt
Autoscaling Group entsprechend anzu-
passen. Ein entsprechendes Skript ist in
Listing 2 zu sehen.
Besser warten
Da viele Ressourcentypen in Amazon
nicht unmittelbar nach dem Erzeugen be-
reitstehen, beispielsweise Instanzen, bietet
Boto3 noch einen Mechanismus, um auf
diesen Zeitpunkt zu warten, die soge-
nannten Waiter. Wenn Sie beispielsweise
eine EC2-Instanz starten, können Sie ei-
nen Waiter verwenden, der den Ablauf
stoppt, bis die Instanz den Zustand "run-
ning" erreicht hat:
instance.wait_until_running()
Ein weiteres Beispiel ist der LoadBalan-
cer-Service, dessen verfügbare Waiter Sie
mit dem Attribut "waiter_names" in Er-
fahrung bringen:
elbclient = boto3.client('elbv2',
region_name='us-east-1')
print elbclient.waiter_names
['load_balancer_available',
'load_balancer_exists', 'load_ba-
lancers_deleted', 'target_deregis-
tered', 'target_in_service']
Damit können Sie im eigenen Code war-
ten, bis der "loadbalancer_available" ist.
Fazit
Boto3 ist ein umfangreiches Python-Mo-
dul, mit dem sich sämtliche Aspekte der
AWS-Cloud per Skript steuern lassen. Die
Komplexität hat aber ihren Preis und
nicht immer ist eine Standard-Aufgabe
so einfach zu erledigen, wie es sein könn-
te. Hier könnte Amazon sicher noch ein-
fachere APIs bereitstellen, die es ermög-
lichen komplexere Dinge mit weniger
Zeilen Code zu erledigen.
Link-Codes
[1] Boto3 auf Github
I5Z71
[2] Boto3-Dokumentation
I5Z72
[3] smart_open
I5Z73
[4] mitmproxy
I5Z74
Mai 2018 101
Buchbesprechung
Windows Scripting lernen
Die PowerShell ist
momentan in aller
Munde, bietet sie
Admins vielseitige
Möglichkeiten der
Rechnerverwaltung
sowie Automatisie-
rung. Angesichts
des Hypes, der auch
seitens Microsoft
vorangetrieben wird, sind Alternativen
in Sachen Windows-Scripting aus dem
Fokus geraten. Doch lassen sich auch mit
dem Windows Script Host (WSH) und
Visual Basic Script nützliche kleine Helfer
erstellen. In seinem Buch "Windows
Scripting lernen" beleuchtet Dr. Holger
Schwichtenberg deren vielfältigen Mög-
lichkeiten. Das rund 520-seitige Werk
liegt inzwischen in der sechsten Auflage
vor, um auch die Neuerungen in
Windows 10 und Windows Server 2016
zu berücksichtigen. Dazu sei jedoch ge-
sagt, dass diese die PowerShell 5.0 betref-
Den Tätern auf der Spur
Die wenigsten Fir-
men sprechen ger-
ne über Cyberan-
griffe, denen sie
zum Opfer gefallen
sind. Das ist scha-
de, denn nur so
können IT-Verant-
wortliche anderer
Unternehmen von
Fehlern ihrer Kollegen lernen und An-
greifern das Leben schwerer machen.
Natürlich gibt es inzwischen Initiativen,
die den Austausch technischer Securi-
ty-Informationen ermöglichen sollen.
Und auch IT-Sicherheitsanbieter haben
einen übergreifenden Blick über die Be-
drohungslandschaft. Für Admins, die
sich eher nebenher in diesem Themen-
feld weiterbilden möchten, hat Alexan-
der Dörsam sein Buch "Den Tätern auf
der Spur" geschrieben. Darin beleuchtet
er verschiedene reale Cyberattacken auf
Firmen und beschreibt deren Umgang
damit. Dabei stellt er weniger auf rein
technische, sondern vor allen Dingen
102 Mai 2018
fen, der der Autor ebenfalls Platz in sei-
nem Buch einräumt.
Natürlich unterstützt der Windows
Script Host auch andere Sprachen wie et-
wa JScript, doch bietet sich VBScript für
Admins als Arbeitspferd an, da sie einfa-
cher zu erlernen und an das ebenfalls ge-
bräuchliche Visual Basic angelehnt ist. So
fokussiert auch Dr. Schwichtenberg die
Sprache. Scripting- und Programmierun-
erfahrene müssen sich jedoch keine Sor-
gen machen, denn der Autor holt auch
Leser ab, die bei Adam und Eva anfangen.
Und praktisch dabei: Alle aufgeführten
Beispiele lassen sich auf einem Testrechner
nachspielen. Nach einer Einführung in
Sachen WSH widmet sich der Autor den
Grundlagen von VBScript und erläutert
den Aufbau der Sprache samt Konstanten,
Variablen, Operatoren, Bedingungen oder
auch Schleifen. Anschließend folgt der
Einsatz der Sprache in der Administration,
etwa in der Benutzerverwaltung, der
Computerverwaltung oder den System-
organisatorische Maßnahmen ab –
Handlungsanweisungen für IT-Verant-
wortliche.
Dörsam gibt zunächst einige grund-
legende Hinweise zu Sicherheitsvorfäl-
len, bevor es an einzelne Beispiele geht.
Dazu gehören etwa das Risikomanage-
ment und das Erkennen von sicherheits-
relevanten Ereignissen. Immer wieder
streut der Autor praktische Tipps ein,
etwa zur gerichtsverwertbaren Siche-
rung von Daten oder zu Kernfragen für
die Bewertung von Sicherheitsvorfällen.
Die exemplarischen Ereignisse, die Dör-
sam in seinem rund 180-seitigen Werk
vorstellt, sind aus der Praxis gegriffen.
Darunter natürlich die Klassiker CEO-
Fraud und der Befall mit Ransomware.
Auch der Zugriff durch Unbefugte auf
Firmendaten spielt eine Rolle, ebenso
wie Administratoren als Angreifer. Den
Abschluss bildet ein Kapitel zur Vorbe-
reitung auf den Ernstfall. Darin gibt
Dörsam Tipps zur organisatorischen Si-
cherheit oder auch dem Erkennen von
Sicherheitsvorfällen.
diensten. Wie erwähnt, findet sich auch
die PowerShell 5.0 in dem Buch wieder,
wenn auch nur auf rund 80 Seiten.
Fazit
Während einige Admins auf Scripting
schwören, ist das Programmieren von Ab-
läufen für andere noch immer ein Buch
mit sieben Siegeln. Dr. Holger Schwich-
tenberg führt die Leser in seinem Buch
behutsam an die Thematik heran und
geht mit ihnen Schritt für Schritt die
verschiedenen Einsatzszenarien des Win-
dows-Scripting durch. Beispielcode und
Screenshots veranschaulichen perma-
nent die aufgezeigte Theorie und ma-
chen Lust auf praktische Fingerübungen
am eigenen Rechner.
Daniel Richey
Autor Dr. Holger Schwichtenberg
Verlag Carl Hanser
Preis 34,99 Euro
ISBN 978-3446448001
Fazit
Sind wir ehrlich: Alle Firmen sind von
Sicherheitsvorfällen betroffen, manche
kommen mit einem blauen Auge davon,
andere gehen unter. Je größer die Bereit-
schaft der IT-Verantwortlichen ist, aus
Fehlern anderer zu lernen, desto größer
ist die Chance, mit Cyberangriffen fertig
zu werden.
In diese Kerbe schlägt Alexan-
der Dörsam mit seinem Buch. Er zeigt
anhand anonymisierter Fälle aus der Pra-
xis, wie Sicherheitsvorfälle abgelaufen
sind. Abschließend gibt er den Lesern
hilfreiche Tipps dazu, wie sie die IT-Se-
curity in ihrem Unternehmen organisie-
ren sollten. Insgesamt stehen nicht tech-
nische Schutzmaßnahmen, sondern
menschliche wie organisatorische As-
pekte im Vordergrund.
Daniel Richey
Autor Alexander Dörsam
Verlag Springer
Preis 14,99 Euro
ISBN 978-3658164652
www.it-administrator.de
 Fa c h a r t i k e l o n l i n e

Besser informiert:
Mehr Fachartikel auf
www.it-administrator.de
Unser Internetauftritt versorgt Sie jede
Woche mit neuen interessanten Fachartikeln.
Als Heftleser können Sie über die Eingabe des Link-Codes
schon jetzt exklusiv auf alle Onlinebeiträge zugreifen.

Automatisierung
mit der PowerShell
Administratoren wenden einen großen Teil
ihrer Arbeit für stets wiederkehrende Anwen-
dungsfälle auf. Durch die Automatisierung
von Aufgaben und eine Delegation von Tätig-
keiten lässt sich viel Zeit sparen. Der Online-
Workshop schildert Herausforderungen und
Erfahrungen beim Umgang mit der Power-
Shell und erklärt anhand eines Beispiels, wie
Administratoren vom Cmdlet über das Skript
zu einer Vorgangsautomation gelangen. Da-
bei gehen wir auch auf eine mögliche Sicher-
heitsarchitektur für die PowerShell in auto-
matisierten IT-Prozessen ein.
Link-Code: I5W51
Troubleshooting in
virtualisierten Umgebungen
Fehlerbehebung gehört zu den elementarsten
Techniken, die IT-Profis beherrschen sollten.
Dennoch wird sie oft übersehen. Grund dafür
ist meistens Zeitmangel, denn Troubleshoo-
ting – besonders in einer virtualisierten Infra-
struktur – ist angesichts der Vielzahl der
betroffenen Elemente und der zahlreichen
Abstraktionsebenen besonders zeitaufwän-
dig. Der Fachartikel auf unserer Webseite
geht auf die größten Herausforderungen bei
der Fehlerbehebung in virtualisierten Umge-
bungen ein und gibt Tipps, wie sich IT-Exper-
ten besser vorbereiten können.
Link-Code: I5W52
Mit SIEM die
Multi Cloud überwachen
Sicherheit ist ein Dauerthema und bei der
Multi Cloud keine einfache Angelegenheit.
Ein System für Security Information and Event
Management (SIEM) hilft dabei, ungewöhnli-
chen Datenverkehr und damit potenzielle
Sicherheitsvorfälle aufzudecken. Es analysiert
alle Datenströme im Netzwerk und triggert
einen Alarm, wenn Anomalien auftreten.
Der Onlinebeitrag zeigt, wie definierte Use
Cases und eine angepasste Informationsbasis
an Log-Quellen für einen zielführenden
SIEM-Einsatz innerhalb von Multi-Cloud-
Umgebungen sorgen.
Link-Code: I5W53

Installation von vCenter Server 6

Die zentrale Verwaltung von vSphere-Infrastrukturen leistet das vCenter. Als unverzichtbares Ele-
ment liegt es jedoch in zwei Varianten vor: als Windows-basierter Server und als Linux-Appliance.
VMware hat die Leistungsfähigkeit der Appliance-Variante deutlich aufgestockt. Dadurch ist diese
zumindest für die avisierte Kundschaft in kleinen und mittleren Unternehmen eine echte Alternati-
ve, zumal dann keine externe
Datenbank notwendig ist.
Doch erreicht die Umgebung
eine gewisse Größe, zeigen
sich hier Limitierungen. Wir
gehen in unserem exklusiven
Online-Workshop Schritt für
Schritt durch beide Installati-
onsvarianten. Dabei beschäf-
tigen wir uns auch mit dem
Anlegen eines Clusters und
der Möglichkeit einer Migra-
tion von vCenter Server zur
Appliance.
Link-Code: I5W55
IT-Sicherheit
an der Rennstrecke
Die Sicherheit der Fahrer steht bei der Formel 1
an erster Stelle. Doch wie sieht es mit der IT-
Sicherheit aus? Gerade bei internationalen
Events wie der Formel 1 gilt es, sich auf die
jeweiligen Rahmenbedingungen einzustellen.
Ein umfassender Schutz der IT-Systeme ist
unerlässlich. Der Veranstalter setzt hierzu auf
einen Managed Security Service Provider. Wie
die Auslagerung der IT-Überwachung in der
Praxis funktioniert und wie dabei Hard- und
Software zusammenspielen, zeigt der Anwen-
derbericht auf unserer Webseite.
Link-Code: I5W54

Link-Codes eingeben auf www.it-administrator.de Mai 2018 103

Alle Theme
auf einen n
Blick
Terminkalender

Termin Thema Ort Status Link-Code*

07.05.2018 GPO für Windows 10 München nur noch Warteliste TIW03

08.05.2018 IT Security mit Active Directory München nur noch wenige Plätze TIWG1

17.05.2018 IT-Notfallplanung für KMUs Darmstadt TIWI1

06.-08.06.2018 Intensiv-Seminar PowerShell für Admins Hamburg nur noch wenige Plätze TIWI2

14.06.2018 GPO für Windows 10 Darmstadt TIW03

21.06.2018 IT-Notfallplanung für KMUs Dortmund TIWI1

27.-29.06.2018 Intensiv-Seminar PowerShell für Admins München/Garching TIWI2

03.-05.07.2018 Intensiv-Seminar Aufbau einer PKI unter Windows Hamburg TIWI3

18.09.2018 Drucker in Window-Netzwerken Hamburg TIW06

19.-21.09.2018 Intensiv-Seminar Aufbau einer PKI unter Windows München/Garching TIWI3

23.10.18 Drucker in Windows Netzwerken Frankfurt/Dietzenbach TIW06

*Link-Code eingeben auf www.it-administrator.de

Anmeldung online unter:

www.it-administrator.de/trainings

Der IT-Administrator bietet seinen Abonnenten regelmäßig Haben Sie Fragen zu unseren
kostenfreie Workshops sowie einzelne Trainingstage und Trainings, Intensiv-Seminaren
mehrtägige Intensiv-Seminare zu attraktiven Konditionen. oder Workshops?

Die halb- oder ganztägigen Workshops finden bundesweit

statt und sind für alle Abonnenten des IT-Administrator kosten-
Sabine Scherzer
los. Die tiefer gehenden, sogenannten IT-Administrator Trainings, Eventmanager
finden ganztägig statt, sind auf 25 Teilnehmer begrenzt und
kostenpflichtig – mit einem Vorteilspreis von Euro 238 Tel. + 49 - 89 - 444 540 825
Fax + 49 - 89 - 444 540 899
(inklusive MwSt.) für Abonnenten.
sabine.scherzer@heinemann-verlag.de

Die seit dem Jahr 2015 neu stattfindenden IT-Administrator

Intensiv-Seminare laufen über mehrere Tage und sind auf
sechs bis zehn Teilnehmer begrenzt. Auch hier erhalten
Abonnenten attraktive Vorzugspreise! Heinemann Verlag GmbH · Leopoldstraße 87 · D-80802 München
 Aus dem Forschungslabor

Vergittert
von John Pardey

Wären Quantencomputer morgen früh um 9 Uhr kommerziell verfügbar,

Quelle: EVGENII SIDOROV – 123RF

wäre jede Internetkommunikation spätestens um 10 Uhr unsicher. Denn
deren besondere Rechenkraft ist in der Lage, es mit jeder heute gängi-
gen Verschlüsselung aufzunehmen. Und obwohl es noch etwas dauern
wird, bis sich im Regal neben den neuesten Tablets ein solch exotischer
Rechner findet, fragt sich die IT-Industrie schon heute, wie Verschlüsselung
auch zukünftig Sicherheit bieten kann.

ie wichtigsten Verschlüsselungs-
D standards im Internet verwenden
asymmetrische Kryptografie auf der Basis
von RSA. So lässt sich beispielsweise ein
Verschlüsselungsschema mit öffentlichen
Schlüsseln realisieren, mit dem eine ver-
schlüsselte E-Mail-Nachricht gesendet
werden kann, ohne dass zuvor ein sym-
metrischer Schlüssel ausgetauscht werden
muss – der öffentliche Schlüssel des Emp-
fängers reicht aus. Ein weiteres Einsatz-
gebiet sind digitale Signaturen für Daten.
Seit der Arbeit von Peter Shor aus dem
Jahr 1994 ist allerdings bekannt, dass RSA
gegenüber Angriffen von Quantencom-
putern anfällig ist. Shors Algorithmus,
ausgeführt auf einem Quantencomputer,
ermöglicht das Faktorisieren des öffent-
lichen Schlüssels des RSA-Systems. Somit
fällt die Sicherheit aller auf RSA (und ver-
gleichbaren Methoden) basierenden
Schlüsselaustausch- und Signaturverfah-
ren auf einen Wert nahe Null.
Das Problem im Problem
Als Reaktion auf dieses über 20 Jahre alte
Problem haben sich im Laufe der Zeit zahl-
reiche neue Verschlüsselungsalgorithmen
als mögliche Antwort positioniert. Doch
neben der Herausforderung einer weltwei-
ten Umstellung des genutzten Verschlüs-
selungsverfahrens zeigten sich die meisten
der Ansätze als schlicht nicht sicher. Zudem
verschlangen die meisten von ihnen zu viele
IT-Ressourcen und waren in der prakti-
schen Anwendung daher zu langsam.
Ein grundlegendes Problem auf diesem Feld
bleibt zudem bis auf weiteres die Tatsache,
dass sich die Sicherheit eines Verschlüsse-
lungsalgorithmus nicht mathematisch be-
weisen lässt. Hält eine Verschlüsselung also
klassischen Angriffsverfahren stand, ist da-
durch keine Aussage über ihren Wert ge-
genüber einem Quantencomputer bekannt
– es sei denn, der Forscher hat selbst Zugriff
auf einen derartigen Rechner.
Gitter sollen uns abschirmen
Forscher arbeiten weltweit an einer ganzen
Reihe neuer Verschlüsselungsverfahren
für die anstehende Ära des Quantencom-
puters. Wir wollen uns in diesem Artikel
eines davon näher ansehen, die "gitterba-
sierte Kryptografie" (Lattice-based Cryp-
tography). Diese hat beispielsweise IBM
als eines der führenden Forschungsunter-
nehmen in Sachen Quantencomputer als
sein Mittel der Wahl auserkoren, wenn es
um zukünftige Sicherheit geht. Und Goo-
gle experimentierte damit schon 2016 im
Chrome-Browser.
Gitterbasierte Kryptografie fußt auf folgen-
dem mathematischen Problem: Stellen wir
uns ein Gitter vor, das an einer Stelle einen
Nullpunkt besitzt. Überall dort, wo sich
zwei Linien kreuzen, liegen weitere Punkte,
die wir Kreuzungspunkte nennen. Frage:
Welcher Kreuzungspunkt liegt am nächsten
beim Nullpunkt? Für ein zweidimensiona-
les Gitter ist dieses Problem leicht zu lösen;
auch in einem dreidimensionalen Gitter
könnten wir die Antwort relativ schnell
finden. Aber je mehr Dimensionen hinzu-
kommen, desto schwieriger wird die Auf-
gabe. Und ab etwa 500 Dimensionen lässt
sich das Problem nicht mehr effizient lösen.
Eine Verschlüsselung auf Basis solch eines
Gitters halten Forscher weltweit derzeit für
stark genug gegen einen Quantencomputer.
Genau genommen nehmen sie es nur "stark
an", denn beweisen lässt sich dies, wie er-
wähnt, nicht ohne einen ausreichend star-
ken Quantencomputer.
Weitere Nutzen der Gitter
Zwar lässt sich aktuell noch nicht sagen,
ob die gitterbasierte Kryptografie oder
ein anderer Ansatz unser zukünftiges Ver-
fahren ist, wenn wir Daten sicher trans-
portieren wollen. Doch das Gitter kommt
mit zwei weiteren attraktiven Features
daher: Zum einen deuten Forschungser-
gebnisse darauf hin, dass gitterbasierte
Kryptografie sogar weniger Ressourcen
benötigt als die heute gängigen Verfahren.
Somit wäre diese Verschlüsselung sogar
ohne die Bedrohungen durch Quanten-
computer wirtschaftlich interessant. Da-
rüber hinaus bildet die Gitterbasierte
Kryptografie die Grundlage der "Fully
Homomorphic Encryption" (homomor-
phe Verschlüsselung). Diese soll zukünftig
erlauben, dass Daten, selbst wenn sie ak-
tuell verarbeitet werden – etwa in einer
ERP-Anwendung –, nicht mehr ent-
schlüsselt werden müssen.
Ob sich die gitterbasierte Kryptografie
letztendlich durchsetzt, bleibt offen. Ne-
ben der Sicherheit wird insbesondere der
Ressourcenbedarf auf dem Prüfstand ste-
hen, denn das Verfahren muss sich bei-
spielsweise auch auf elektronischen Aus-
weisen, in Smartcards und IoT-Geräten
unterbringen lassen.

www.it-administrator.de Mai 2018 105

Vo r s c h a u
Die Ausgabe 6/18 erscheint am 4. Juni 2018
Storage-Management & -Virtualisierung
￭ Im Test: Datamate Fellow KMU-Server
￭ Strategien bei der SAN-Datenmigration
￭ Tiering in hybridem Storage
￭ Speicheroptionen für
Windows-Server und -Clients
Die Redaktion behält sich Themenänderungen aus aktuellem Anlass vor.
Impressum
Redaktion
John Pardey (jp), Chefredakteur
verantwortlich für den redaktionellen Inhalt
john.pardey@it-administrator.de
Daniel Richey (dr), Stellv. Chefredakteur/CvD
daniel.richey@it-administrator.de
Oliver Frommel (of), Leitender Redakteur
oliver.frommel@it-administrator.de
Lars Nitsch (ln), Redakteur/Textchef
lars.nitsch@it-administrator.de
Markus Heinemann, Schlussredakteur
markus.heinemann@email.de
Autoren dieser Ausgabe
Thomas Bär, Bruce Byfield,
Ruud de Wildt, Tam Hanna, Jürgen Heyer,
Martin Kuppinger, Martin Loschwitz,
Dr. Holger Reibold, Thorsten Scherf,
Frank-Michael Schlede, Tim Schürmann,
Dr. Holger Schwichtenberg,
Torben Volkmann, Thomas Wiefel,
Matthias Wübbeling, Dennis Zimmer
Anzeigen
Anne Kathrin Heinemann, Anzeigenleitung
verantwortlich für den Anzeigenteil
kathrin@it-administrator.de
Tel.: 089/4445408-20
Es gilt die Anzeigen-
preisliste Nr. 15 vom
01.11.2017
Aikux
Baramundi
Centron
Experteach
Hewlett Packard
106 Mai 2018
Das lesen Sie in den
nächsten Ausgaben des
In der Juli-Ausgabe mit dem Schwerpunkt Asset- &
Lifecycle Management werfen wir einen Blick auf
die Software-Inventarisierung mit der PowerShell und
schauen uns an, was der AWS Systems Manager zu
bieten hat. Auch beleuchten wir in der Ausgabe, wie
sich die Betriebs- und Systemdokumentation am bes-
ten erledigen lässt und welche Rolle RFID sowie IoT
im Asset-Management spielen. In einem großen Ver-
gleichstest treten Spiceworks, OCS Inventory, GLPI,
Snipe-IT in Sachen Inventarisierung und Asset-Ma-
nagement gegeneinander an. Im August-Heft folgt der
Schwerpunkt E-Mail und Messaging.
Produktion / Anzeigendisposition All-Inclusive Jahresabo ISSN So erreichen Sie den Leserservice
Lightrays: A. Skrzypnik, L. Mueller (incl. E-Paper Monatsausgaben, 2 Sonder- 1614-2888 Leserservice IT-Administrator
dispo@it-administrator.de heften und Jahres-CD): € 188,00
Tel.: 089/4445408-88 All-Inclusive Studentenabo: € 120,50 Urheberrecht Stephan Orgel
Fax: 089/4445408-99 Auslandspreise: Alle in IT-Administrator erschienenen Bei- 65341 Eltville
Titelbild: Jahresabo: € 150,- träge sind urheberrechtlich geschützt. Alle Tel.: 06123/9238-251
Andreas Skrzypnik Studentenabo: € 75,- Rechte, einschließlich Übersetzung, Zweit- Fax: 06123/9238-252
Jahresabo mit Jahres-CD: € 163,50 verwertung, Lizenzierung vorbehalten. Re-
Druck E-Mail: leserservice@it-administrator.de
Studentenabo mit Jahres-CD: € 88,50 produktionen und Verbreitung, gleich wel-
Brühlsche Universitätsdruckerei All-Inclusive Jahresabo: € 203,00 cher Art, ob auf digitalen oder analogen
GmbH & Co. Kg All-Inclusive Studentenabo: € 128,00 Bankverbindung für Abonnenten
Am Urnenfeld 12 Medien, nur mit schriftlicher Genehmigung
E-Paper-Einzelheftpreis: € 8,99 des Verlags. Aus der Veröffentlichung kann Kontoinhaber: Vertriebsunion Meynen
35396 Gießen
E-Paper-Jahresabo: € 99,- nicht geschlossen werden, dass die be- Postbank Dortmund
Vertrieb E-Paper-Studentenabo: € 49,50 schriebenen Lösungen oder verwendeten
Anne Kathrin Heinemann Jahresabo-Kombi mit E-Paper: € 168,- IBAN: DE96440100460174966462
Bezeichnungen frei von gewerblichen
Vertriebsleitung BIC: PBNKDEFFXXX
(Studentenabos nur gegen Vorlage einer Schutzrechten sind.
kathrin@it-administrator.de
Tel.: 089/4445408-20 gültigen Immatrikulationsbescheinigung)
Haftung So erreichen Sie die Redaktion
Abo- und Leserservice Alle Preise verstehen sich inklusive der Für den Fall, dass in IT-Administrator unzu-
gesetzlichen Mehrwertsteuer sowie Redaktion IT-Administrator
Vertriebsunion Meynen GmbH & Co. KG treffende Informationen oder in veröffent-
inklusive Versandkosten. lichten Programmen, Zeichnungen, Plänen Heinemann Verlag GmbH
Stephan Orgel
Große Hub 10 oder Diagrammen Fehler enthalten sein Leopoldstr. 87
Verlag / Herausgeber
65344 Eltville sollten, kommt eine Haftung nur bei gro- 80802 München
Heinemann Verlag GmbH
leserservice@it-administrator.de ber Fahrlässigkeit des Verlags oder seiner Tel.: 089/4445408-10
Tel.: 06123/9238-251 Leopoldstraße 87
Mitarbeiter in Betracht. Für unverlangt ein- Fax: 089/4445408-99
80802 München
Fax: 06123/9238-252 gesandte Manuskripte, Produkte oder
Tel.: 089/4445408-0 E-Mail: redaktion@it-administrator.de
Vertriebsbetreuung sonstige Waren übernimmt der Verlag
DPV GmbH Fax: 089/4445408-99 keine Haftung.
www.dpv.de (zugleich Anschrift aller Verantwortlichen) So erreichen Sie die Anzeigenabteilung
lange.guido@dpv.de Manuskripteinsendungen
Die Redaktion nimmt gerne Manuskripte Anzeigenverkauf IT-Administrator
Web: www.heinemann-verlag.de
Erscheinungsweise an. Diese müssen frei von Rechten Dritter Anne Kathrin Heinemann
E-Mail: info@heinemann-verlag.de
monatlich sein. Mit der Einsendung gibt der Verfasser Heinemann Verlag GmbH
Eingetragen im Handelsregister des
Bezugspreise die Zustimmung zur Verwertung durch die Leopoldstr. 87
Amtsgerichts München unter
Einzelheftpreis: € 12,60 Heinemann Verlag GmbH. Sollten die Ma-
HRB 151585. 80802 München
Inlandspreise: nuskripte Dritten ebenfalls zur Verwertung
Jahresabo: € 135,- Geschäftsführung / Anteilsverhältnisse angeboten worden sein, so ist dies anzuge-
Studentenabo: € 67,50 Geschäftsführende Gesellschafter zu ben. Die Redaktion behält sich vor, die Ma- Tel.: 089/4445408-20
Jahresabo mit Jahres-CD: € 148,50 gleichen Teilen sind Anne Kathrin nuskripte nach eigenem Ermessen zu bear- Fax: 089/4445408-99
Studentenabo mit Jahres-CD: € 81,00 und Matthias Heinemann. beiten. Honorare nach Vereinbarung. E-Mail: kathrin@it-administrator.de
S. 25 Paessler S. 35 Inserentenverzeichnis
S. 05 Rheinwerk Verlag S. 19
S. 21 Symplasson S. 05 Die Ausgabe enthält eine
S. 29 Thomas Krenn S. 02 Vollbeilage der Firma MATESO und
S. 108 Tuxedo S. 107 eine Teilbeilage der Firma hackattack.
www.it-administrator.de
EINE PC ENTSCHEIDUNG IST IMMER AUCH
EINE SICHERHEITSENTSCHEIDUNG

STEIGEN SIE UM AUF HP ELITE PCS MIT

INTEL® CORE™ VPRO™ PROZESSOREN

INTEL, DAS INTEL-LOGO, INTEL INSIDE, INTEL CORE, UND CORE INSIDE SIND MARKEN DER INTEL CORPORATION ODER IHRER
TOCHTERGESELLSCHAFTEN IN DEN USA UND/ODER ANDEREN LÄNDERN.

H P E M P F I E H LT W I N D O W S 1 0 P R O .