c't 2/2020
S. 170
Tipps & Tricks
Aufmacherbild

Sie fragen – wir antworten!

Angemeldet trotz Neustart?

#£Meine Frau und ich teilen uns einen Windows-10-PC. Jeder hat ein eigenes Benutzerkonto. Wenn ich den Rechner einschalte, nachdem ihn meine Frau benutzt hat, und ihn später wieder herunterfahren will, warnt mich Windows, dass der PC noch von weiteren Personen verwendet werde und beim Herunterfahren Daten verloren gehen könnten. Tatsächlich zeigt der Task-Manager in dieser Situation, dass meine Frau noch angemeldet ist. Sie hat den PC aber ordnungsgemäß heruntergefahren. Umgekehrt passiert dasselbe, wenn meine Frau den Rechner nach mir benutzt. Ich dachte immer, wenn man Windows herunterfährt, wird man auch automatisch abgemeldet.

¢Im Prinzip stimmt das auch. Allerdings versucht Windows 10 seit einigen Versionen, Ihnen die Neustarts nach Updates leichter zu machen. Dazu meldet es den letzten Benutzer nach dem Hochfahren erneut an, sperrt aber bis zur Eingabe des Kennworts den Desktop. Auf Rechnern, die nur von einer Person benutzt werden, ist das recht komfortabel, in Ihrem Fall aber eher kontraproduktiv.

Sie können dieses Feature abschalten. Öffnen Sie dazu die Einstellungen und navigieren zur Seite „Konten/Anmeldeoptionen“. Der gesuchte Schalter heißt „Meine Anmeldeinformationen verwenden, um die Geräteeinrichtung nach einem Update oder Neustart automatisch abzuschließen und meine Apps erneut zu öffnen“. Deaktivieren Sie ihn, müssen Sie sich nach einem Neustart komplett neu anmelden, dafür klappt der Benutzerwechsel ohne die Nebenwirkungen. Damit das in beide Richtungen funktioniert, müssen Sie die Einstellung in allen beteiligten Benutzerkonten vornehmen. (hos@ct.de)

Duplicati frisst lokalen Speicherplatz

#£Ich habe festgestellt, dass Duplicati während eines umfangreichen Backup-Vorgangs auf einen Cloud-Speicher extrem viel freien Platz auf der lokalen Platte belegt. Ich habe Angst, dass irgendwann ein Backup fehlschlägt, weil die Platte vollläuft. Was ist da los?

¢Vermutlich haben Sie im letzten Schritt des Backup-Assistenten die Einstellung „Remote-Volume-Größe“ missverstanden und auf mehrere GByte hochgedreht. Die Bezeichnung steht jedoch nicht etwa für die maximale Kapazität des Backup-Ziels. Sie bestimmt vielmehr die Größe der temporären Dateien, in die das Backup portioniert wird. Beim Backup erzeugt Duplicati eine solche Teildatei, schreibt sie mit zu sichernden Daten voll, verschlüsselt sie gegebenenfalls, lädt sie hoch und löscht sie wieder vor dem Erzeugen der nächsten Datei.

Für das Sichern auf Cloud- oder anderen Netzwerk-Speichern ist die voreingestellte Größe von 50 MByte sinnvoll. Damit erledigt Duplicati das Hochladen selbst bei instabilen oder langsamen Internetverbindungen zuverlässig. Zudem erlaubt sie ein schnelles Wiederherstellen bestimmter Einzeldateien aus einem Backup-Satz, denn dabei werden nur die benötigten Teildateien heruntergeladen. Das geht natürlich umso schneller, je kleiner die sind. Die Remote-Volume-Größe zu erhöhen kann sich allenfalls für Backups auf lokale (externe) Datenträger oder im LAN lohnen: Damit können Sie das Sichern ein wenig beschleunigen, weil es den Overhead reduziert. (swi@ct.de)

FIDO2-Schlüssel an jedem Gerät nötig?

#£Sehr gerne würde ich meine Online-Konten (Google, Facebook, Microsoft, Dropbox …) mit einem FIDO2-Stick zusätzlich schützen. Was ich aber in Ihrer bisherigen Berichterstattung dazu noch nicht verstanden habe: Muss ich dann tatsächlich bei jeder einzelnen Anmeldung auf jedem meiner Geräte (Büro-PC, Notebook, Android-Smartphone, iPad) den FIDO2-Schlüssel nutzen?

¢Das kommt ganz darauf an, wie der jeweilige Dienst FIDO2 implementiert hat. In aller Regel kann man weitere Authentifizierungsmethoden einrichten. Bei Microsoft etwa kann man sich ohne Nutzername und Passwort einloggen, alternativ klappt es aber auch klassisch mit Zugangsdaten, auf Wunsch gesichert durch einen zweiten Faktor. Bei den anderen Diensten arbeitet FIDO2 bisher nur als zweiter Faktor, meist kann man auch andere hinterlegte 2FA-Methoden einsetzen, wenn der Stick nicht greifbar ist.

Prinzipiell könnte der Dienst aber auch einen bestimmten FIDO2-Authenticator verlangen und ansonsten die Authentifizierung verweigern. Google etwa bietet speziell geschützte Accounts für Journalisten und andere Geheimnisträger, die man ausschließlich mit einem von zwei hinterlegten Hardware-Authentifikatoren nutzen kann (in diesem Fall als zweiten Faktor).

Oft kann man einstellen, dass der FIDO2-Stick nur beim ersten Login mit einem bisher unbekannten System abgefragt wird. Das sorgt für Komfort, schützt aber gleichzeitig noch ausreichend vor Account-Zugriffen durch Hacker. (rei@ct.de)

Nextcloud-Client synchronisiert nicht

#£Ich benutze einen Nextcloud-Server vor allem als Dateiablage und habe dafür auf meinem Rechner den Nextcloud-Client installiert. Immer häufiger werden einzelne Dateien nicht synchronisiert. Sie haben dann das gelbe Warnungs-Icon und unter „Aktivitäten“ zeigt der Client eine Fehlermeldung mit „423 – LOCKED“ an. Woran kann das liegen und wie kann ich es beheben?

¢Der Nextcloud-Server blockiert Dateien während des Schreibens durch einen Eintrag in seiner Datenbank, damit parallele Schreibzugriffe nicht zum Datenverlust führen. Wenn diese Lock-Datenbank nicht regelmäßig aufgeräumt wird, verursachen übriggebliebene Einträge das beschriebene Problem. Dummerweise führt Nextcloud in der Grundeinstellung seine regelmäßigen Wartungsaufgaben nur aus, wenn das Web-Interface benutzt wird; Zugriffe über den Client genügen dafür nicht.

Zur Lösung loggen Sie sich als Administrator in das Web-Interface ein und ändern in den Einstellungen unter „Verwaltung/Grundeinstellungen“ die Methode für Hintergrund-Aufgaben. Wenn Sie den Nextcloud-Server auf einem eigenen Rechner betreiben, wählen Sie die dritte Methode in der Liste namens „Cron“ und richten einen Cron-Job für die Wartung ein. Wie das genau geht, hängt von Ihrem System ab und ist im Nextcloud-Handbuch beschrieben. Das i-Icon am Ende der Überschrift-Zeile im Dialog führt direkt auf die richtige Seite.

Wenn Sie auf dem Rechner keine Cron-Jobs einrichten können, zum Beispiel weil Ihr Nextcloud bei einem Hoster läuft, greifen Sie auf die Methode „Webcron“ zurück. Dann müssen Sie nur noch dafür sorgen, dass alle fünf bis zehn Minuten das Skript cron.php auf dem Nextcloud-Server aufgerufen wird. Wenn der zum Beispiel unter https://cloud.example.com/ läuft, lautet die URL https://cloud.example.com/cron.php. Dazu können Sie einen der zahlreichen kostenlosen Webcron-Dienste benutzen, die sich leicht googlen lassen. Oder Sie richten auf einem Ihrer Rechner eine regelmäßig ausgeführte Aufgabe ein, die das erledigt.

Dasselbe Problem tritt auch bei Owncloud auf und lässt sich dort genauso lösen. (Johannes Endres/ps@ct.de)

Wenn File-Locks der Synchronisation mit Nextcloud oder Owncloud im Wege stehen, liegt es meist an der Methode für die Ausführung von Hintergrund-Aufgaben.

Interne Mails mit Emotet

#£Als Maßnahme gegen Emotet planen wir, externe Mails mit Word-Anhängen grundsätzlich als Spam zu behandeln. Interne Mails wären nicht betroffen. Allerdings liest man häufig davon, dass Emotet Adressbücher ausliest und dann gefakte Mails verschickt. Wäre es daher sinnvoll, auch das interne Versenden von Word-Anhängen zu verhindern?

¢Es stimmt, dass Emotet die Adressbücher und Mailverläufe infizierter Systeme ausliest. Die damit konstruierten gefälschten Mails nutzt der Schädling aber eher nicht zur internen Verbreitung im Netzwerk eines bereits betroffenen Unternehmens. Es gibt diverse Strategien für Malware, um sich innerhalb eines Netzwerkes auszubreiten; Word-Anhänge intern zu blockieren, wird kaum helfen.

Die gesammelten Adressen und E-Mails dienen stattdessen dazu, neue Opfer zu infizieren – etwa das Netzwerk eines Kunden oder Zulieferers. Ein Beispiel sähe also so aus: Firma A hat Emotet im System, der sich dort verbreitet. Auf den Systemen von Firma A finden sich Mails an Mitarbeiter der Firma B. Diese Mails nutzt der Schädling, um eine neue Nachricht an Firma B zu erstellen, die auf diese bestehenden Mails Bezug nimmt. Die Nachricht landet zusammen mit Emotet im Anhang auf dem Rechner eines Mitarbeiters von Firma B. Öffnet der diese Mail (schließlich bekommt er regelmäßig Mails der Firma A und erkennt den E-Mail-Thread, um den es geht), dann kann Emotet auch das System der Firma B infizieren. (syt@ct.de)

UWP-App per Kommandozeile starten

#£Für Windows 10 ist jüngst das neue Terminal als Preview veröffentlicht worden. Ich habe es installiert und nutze es nun regelmäßig. Mich würde interessieren, wo das Terminal unter Windows abgelegt ist, damit ich es aus einer anderen Anwendung heraus starten kann. In meinem Lieblings-Dateimanager gibt es einen Button, mit dem ich eine Eingabeaufforderung öffnen kann. Die dabei verwendete Befehlszeile kann man ändern und ich möchte dort das Terminal eintragen.

¢Beim Windows-Terminal handelt es sich um eine UWP-App. Um die per Kommandozeile zu starten, ist es daher mit einem einfachen Aufruf einer EXE-Datei nicht getan. Vielmehr muss man sich die Zeile aus mehreren Teilen zusammenbauen. Das Grundmuster sieht immer gleich aus:

explorer shell:AppsFolder\Family!AppId

In dieser Vorlage müssen Sie die Bestandteile Family und AppId durch die Zeichenketten ersetzen, die die gewünschte App kennzeichnen.

Die Family besorgen Sie sich, indem Sie ein PowerShell-Fenster öffnen und dort den Befehl

Get-AppxPackage |

? Name -match 'Terminal'

eingeben. Den Suchbegriff ('Terminal') können Sie dabei je nach App durch einen signifikanten Teil des – meist englischen – App-Namens ersetzen. Wenn Sie beim Raten kein Glück haben, öffnen Sie ein Explorer-Fenster, geben in dessen Eingabezeile shell:AppsFolder ein, rechtsklicken die gewünschte App in der Liste und wählen „Verknüpfung erstellen“. Nach einer Rückfrage erstellt Windows eine Verknüpfung zu der App auf dem Desktop, in deren Eigenschaften Sie den benötigten App-Namen im Feld „Ziel“ finden. Die Verknüpfung können Sie danach wieder löschen.

In der Ausgabe von Get-AppxPackage steht der Family-Teil für Ihre Befehlszeile in der Zeile, die mit PackageFamilyName beginnt. Außerdem brauchen Sie noch die InstallLocation: Kopieren Sie die in die Adresszeile eines Explorer-Fensters und öffnen Sie in dem angegebenen Ordner die Datei AppxManifest.xml mit einem Texteditor. Suchen Sie nach einer Zeile, die mit

<Application Id=

beginnt – zwischen den folgenden Anführungszeichen steht das, was Sie für den AppId-Teil Ihrer Befehlszeile brauchen. Für die aktuelle Version der Windows-Terminal-App ist auf meinem Rechner insgesamt

explorer shell:appsFolder\Microsoft.:

.WindowsTerminal_8wekyb3d8bbwe!App

herausgekommen. Bei einer Beta-Software wie dem Terminal kann sich die Zeile aber noch ändern. (hos@ct.de)

Wi-Fi-6-Kärtchen gängig machen

¢In c’t 19/2019 beschrieben wir (ct.de/-4503392), wie man bei Notebooks eine Wi-Fi-5-WLAN-Karte (IEEE 802.11ac) durch eine Intel AX200 für Wi-Fi 6 (802.11ax) ersetzt. In Laptops mit separater Schaltfunktion für WLAN und Bluetooth – beispielsweise einem Toshiba Portege Z30-A – arbeitet das neue Kärtchen zwar, aktiviert aber seinen Funkteil nicht. Dann hilft es, die rückseitigen Pins 54 und 56 der M.2-Karte mit Klebestreifen zu isolieren (siehe Foto). Dadurch bleiben die Funkschnittstellen dauerhaft eingeschaltet; der Funk-Ausschalter verliert seine Wirkung. Auf Flügen muss man das Gerät daher komplett herunterfahren. Herzlichen Dank für den Tipp an unseren Leser Martin Badertscher! (ea@ct.de)

Wenn eine nachträglich ins Notebook implantierte AX200-WLAN-Karte nicht funken will, hilft es, die Pins 54 und 56 auf der Rückseite mit einem Stückchen Klebestreifen zu isolieren.

ThinkPad schaltet sich aus

#£Mein nagelneues Lenovo-Notebook ThinkPad X1 schaltet sich manchmal mit dem Warnhinweis „Akku leer“ aus, obwohl der Akku fast komplett geladen ist oder das Notebook gar am Strom hängt. Sämtliche BIOS-, Windows- und Treiber-Updates haben nicht geholfen.

¢Laut Lenovo-Forum sind einige 2019er-Modelle des X1 Yoga und X1 Carbon von dem Problem betroffen. Demnach scheint es sich um einen Montagefehler des Akkus zu handeln. Als Abhilfe wird empfohlen, einfach den Verbindungsstecker des Akkus abzuziehen und wieder aufzusetzen.

Fahren Sie den Rechner herunter und gehen ins BIOS-Setup, indem Sie beim Neustart Return drücken, dann auf Aufforderung F1. Im Untermenü „Config/Power“ wählen Sie „Disable Built-in Battery“, worauf sich das Notebook ausschaltet und den Akku deaktiviert. Achtung: Beim Einschalten des Geräts aktiviert sich der Akku automatisch wieder; wenn Sie das Notebook also vor dem folgenden Aufschrauben noch mal einschalten, müssen Sie den Akku im BIOS-Setup erneut deaktivieren.

Ziehen Sie nun das Netzkabel ab, lösen Sie die fünf Schrauben am Gehäuseboden und nehmen den Boden beginnend am Scharnier ab. Den Akkuanschluss finden Sie etwa in der Mitte unter einer kleinen schwarzen Folie. Hebeln Sie den Stecker vorsichtig hoch, wobei Sie an der von den Kabeln abgewandten Seite ansetzen. Kontrollieren Sie Stecker und Buchse – wobei wir bei unserem Testgerät keinerlei Beeinträchtigungen gesehen haben. Stecken Sie dann das Akkukabel wieder ein und schließen das Gehäuse. Unser Testgerät funktionierte danach einwandfrei, der vorher fast tägliche Fehler ist auch nach zwei Wochen nicht mehr aufgetreten.

Einige Lenovo X1 fahren aufgrund eines angeblich leeren Akkus herunter – selbst wenn sie am Strom hängen. Als Abhilfe soll man den Akkustecker abnehmen und wieder aufstecken. Den muss man dazu von der den Kabeln abgewandten Seite lösen.

Als Vorsichtsmaßnahme, falls Sie Ihr Systemlaufwerk mit Bitlocker verschlüsselt haben: Wenn Sie zusätzlich den Stecker der kleinen Pufferbatterie abziehen oder auch im BIOS-Setup die Default Settings laden, könnte der TPM-Chip seine Schlüssel verlieren. Windows bootet dann erst nach manueller Eingabe des Bitlocker-Wiederherstellungsschlüssels. Kontrollieren Sie daher vor dem Herunterfahren, ob Sie ihn gesichert haben. Tippen Sie dazu auf die Windows-Taste, dann „bitlocker“ und öffnen Sie die Bitlocker-Verwaltung. Hier können Sie den Schlüssel ausdrucken, auf USB-Sticks oder in Ihrem Microsoft-Konto speichern. (jow@ct.de)