7th door – Vista Group PolicyToday it’s about Vistas group policy. While waiting for my own key, I surfed the net a little bit, and found a usefull paper dealing with the group policys. You may be aware of part two.
Für den Großteil der Heimanwender ist der Remotezugriff auf den heimischen PC eine heikle Angelegenheit, denn zum einen ändert sich die IP mit jeder Interneteinwahl, zum anderen steht der Rechner in der Regel hinter einem Router, ist also nur mit Hilfe von NAT erreichbar.
Mit dem “Windows Internet Computer Name” will Microsoft hier Abhilfe schaffen. Jeder Rechner erhält einen eigenen, eindeutigen Namen, welcher via PNRP verteilt wird. Doch können die Anwender damit umgehen? Das Positive: Ein Angreifer braucht keinen Trojaner mehr, der die gerade aktuelle IP “nach hause funkt”, schon praktisch, immer zu wissen wie und wo das Opfer gerade erreichbar ist.
Doch wer wird denn gleich den Teufel durch das Fenster schauen sehen an die Wand malen? Schlecht ist die Idee, bzw. die Technologie dahinter, erstmal nicht. Sieht man davon ab, das die Technik natürlich proprietär und ordentlich mit Patenten geschützt ist. PNRP soll DNS ablösen, wandelt also auch Rechnernamen in IP Adressen um. Jedoch, und das ist das neue, geschieht das “peer to peer”. Jeder Host kennt die Namen seiner Nachbarn, propagiert seinen eigenen in die Welt, und so kennt bald jeder “über ein paar Ecken” jeden. Zudem wird zwischen “einfachen” und “sicheren” Namen unterschieden. Erstere sind leicht zu merken, aber nicht zwingend eindeutig, die letzteren sind signierte Hashes, dürften also nur schwer zu spoofen sein.
Solch ein System hat natürlich den Vorteil, das es für einzelne schwer zu überwachen ist. Wird heute eine Domain aus dem DNS genommen (oder für sie eine ganz andere IP eingetragen) ist sie quasi von der Welt abgeschnitten…in einigen totalitär regierten Ländern soll so etwas schon vorgekommen sein 
Kritiker befürchten eine Überschwemmung des Netzes mit Vista Rechnern, die gegenseitig lautstark nach Ihresgleichen brüllen. Es wird sich zeigen, ob solche Befürchtungen zur Realität werden, zumal der endgültige Durchbruch von IPv6 noch etwas auf sich warten lässt.
Für weitere Informationen gibt es im msdn ein interessantes Blog.
