Zwangaktivierung 2.0 in Windows Vista
Die neuen Aktivierungsoptionen für Retail-, OEM- und Volumenlizenzen von Vista

BetriebssystemNetzwerk-ManagementNetzwerkeWorkspace

Aus den Erfahrungen mit raubkopierten Corporate-Keys für Windows XP hat Microsoft gelernt. Die Aktivierung von Vista wird vor allem für Business-Kunden flexibler, aber nicht leichter. Jetzt sind Sie als Kunde für die Schlüsselsicherheit selbst verantwortlich. Und Administratoren müssen erst einmal durch den Aktivierungsdschungel aus MAK Proxy, MAK Independent und KMS finden. PCpro bringt Licht ins Aktivierungs-Dunkel.

Von Windows XP zu Vista: Nach der Gnadenfrist wird es dunkel…

Zwangaktivierung 2.0 in Windows Vista

Raubkopien und ohne Lizenz installierte Software hätten bereits 2005 weltweit einen Anteil von rund 35 Prozent ausgemacht, berichtete Mitte 2006 die Business Software Alliance. Besonders beliebt waren gestohlene oder per Generator ermittelte Seriennummern, die den Zwangsaktivierungsprozess von Windows XP umgingen. Die so genannten Corporate-Keys schalteten Millionen Raubkopien von XP frei. Abhilfe schaffen sollte ein Programm namens Windows Genuine Advantage (WGA). Dabei prüft ein ActiveX-Control auf dem PC, ob es sich um eine legal erworbene XP-Lizenz handelt. Geht die Prüfung schief, etwa weil ein tausendfach illegal genutzter Lizenzschlüssel erkannt wird, bleibt der Anwender beim Download von nützlichen Updates und Downloads außen vor. Kritische Sicherheits-Updates lassen sich jedoch auch mit einer illegalen XP-Kopie herunterladen, um die unlizenzierte Installation nicht auch noch zur Gefahr für legale Nutzer im Web zu machen. So gab es wenige Gründe für illegale Windows-Nutzer, auf eine kostenpflichtige Lizenz upzugraden.
Das soll mit dem XP-Nachfolger Vista spürbar anders werden: Die Kontrollen sind härter und greifen gleich auf mehreren Ebenen des Betriebssystems an. Wird eine Manipulation am Aktivierungsprozess erkannt, eine verdächtige Seriennummer entdeckt oder schlägt eine der wiederholt erforderlichen Neuaktivierungen fehl, bekommt der Anwender eine 30-tägige Gnadenfrist (Grace Period), in der Vista auf den Missstand durch Pop-up-Fenster hinweist. Nach Ablauf der Frist wird Vista ohne gültige Aktivierung unbrauchbar. Dann gibt es nur noch den Reduced Functionality Modus (RFM), in dem das Startmenü und viele wichtige Funktionen deaktiviert werden und der Bildschirmhintergrund schwarz bleibt. Der Anwender hat dann nur noch eine Stunde Zeit zum Surfen, vor allem, um Online einen legalen Schlüssel zu bestellen. Reicht die Stunde nicht, muss er sich aus- und wieder einloggen, um abermals eine Stunde surfen zu dürfen.


Software-Schutz: Microsoft macht ernst

Zwangaktivierung 2.0 in Windows Vista

Um stärker gegen Software-Piraterie vorzugehen, hat Microsoft die Genuine Software Initiative (GSI) gegründet. Durch Information wie unter www.howtotell.com und www.microsoft.com/piracy, Entwicklung neuer Schutztechniken sowie die juristische Durchsetzung von Urheberrechten soll den Piraten das Leben schwer gemacht werden.
Parallel zu Vista geht auch die neue Software Protection Platform (SPP) an den Start. Deren Ziel soll laut Microsoft sein, Kunden vor gefälschter Software zu schützen sowie Volumenlizenz-Kunden beim Verwalten ihrer Software-Ausstattung zu helfen. Die Plattform kombiniert dazu Aktivierungs- und Prüftechniken, die Software vor Fälschung, Piraterie und Manipulation schützen sollen. Im Laufe der Zeit sollen alle Microsoft-Produkte damit ausgestattet werden. Windows Vista und Windows Server “Longhorn” machen jetzt den Anfang.
Gefährlich wird es damit aber nicht nur für alle, die Raubkopien einsetzen, sondern prinzipiell für jeden Vista-Nutzer. Denn wer seinen Key nicht geheim hält und versehentlich ausspioniert wird, könnte bei tausendfachem Missbrauch seines Schlüssels Probleme bekommen. Wenn die SPP erkennt, dass der Schlüssel zu oft verwendet wurde, kann Microsoft den Key blockieren. Die nächste Online-Prüfung versetzt Vista dann in den Non-Genuine-Status, der einige Funktionen deaktiviert, und dem Anwender bleiben 30 Tage, um das Problem zu lösen. Dazu müsste er aber erst einmal wissen, was passiert ist. Opfer von Trojanern sind sich dessen meist gerade nicht bewusst. Rechtfertigen werden sie sich dennoch müssen gegenüber Microsoft, wenn ihre Installation von Vista den sprichwörtlichen Geist aufgibt. Denkbar ist auch ein Szenario, in dem eine Software auf den PC eingespielt wird, die ohne Wissen des Anwenders versucht, die Aktivierungsdateien zu manipulieren. Auch dann wird die SPP den PC als nicht authentisch klassifizieren. Somit stehen nunmehr legale Anwender im Kreuzfeuer zwischen Hackern auf der einen und Microsoft-Kontrolleuren auf der anderen Seite.


WGA: Funktionen reserviert für legale Nutzer

Zwangaktivierung 2.0 in Windows Vista

Windows Genuine Advantage: Was mit der Validierung von Windows XP begonnen hat, wird mit Vista fortgeführt. Windows-XP-Nutzer mussten ohne WGA-Prüfung auf Downloads wie Internet Explorer 7, Defender und weitere Extras verzichten. In Vista kommt zum Online-Prüf-Tool noch die im System verankerte Software Protection Platform hinzu, um sicherzustellen, dass nur rechtmäßig lizenzierte Kopien eingesetzt werden. Schlägt eine der beiden Prüfungen (lokal oder online) fehl, wird Vista um einige Funktionen reduziert. Folgende Features stehen nur Anwendern zur Verfügung, deren PCs die wiederholten WGA-Prüfungen regelmäßig bestehen:
Windows Aero: Die neue Oberfläche mit Transparenz-, Reflexions- und 3D-Effekten.
Windows Defender: Der Malware- und Spyware-Scanner entfernt kritische Bedrohungen allerdings auch von nicht-genuinen Installationen. Bei sonstigen Bedrohungen stellt Defender seine Funktion jedoch ein.
Windows Ready Boost: Zusammen mit SuperFetch, das oft verwendete Dateien schneller zugänglich macht, soll Ready Boost den PC beschleunigen, indem Flash-Speicher als zusätzlicher Arbeitsspeicher genutzt werden.
Download-Center: Windows-Updates, die neue Features integrieren oder Funktionen verbessern, gibt es nur für geprüfte Vista-PCs. Kritische Sicherheitsupdates lädt das Vista-AutoUpdate jedoch auch weiterhin herunter.
Bei Nichtbestehen der Prüfungen informiert Vista immer wieder mit Hinweisfenstern, dass die aufgerufene Funktion erst nach erfolgter Validierung wieder verfügbar ist. Zudem blendet Vista unten rechts auf dem Desktop einen Hinweis ein, dass es sich um eine nicht authentische Windows-Version handelt.


Zwangsaktivierung in VIsta: Runde 2

Zwangaktivierung 2.0 in Windows Vista

Mit der neuen Software Protection Platform (SPP) führt Microsoft auch eine neue Generation der Produktaktivierung für Vista ein. Geplant ist diese auch für Windows Server Longhorn und weitere Microsoft-Produkte. Technische Details dazu stehen bis Redaktionsschluss jedoch noch nicht fest.
Vista unterscheidet drei Aktivierungsvarianten: OEM (Original Manufacturer Equipment), Volume (Volumenlizenzen für Business-Kunden) und Retail (Einzellizenzen für Endkunden/Konsumenten).
OEM-Kunden haben es zunächst am einfachsten: Sie müssen ihre Version von Vista (Home Basic, Home Premium, Ultimate oder Business) nicht telefonisch oder über einen Aktivierungs-Provider freischalten. Auf dem gekauften PC ist Vista bereits aktiviert vorinstalliert und an BIOS und Hardware gebunden. Auch die mitgelieferten Rettungs-DVDs sind bereits aktiviert, funktionieren aber nur auf dem entsprechenden PC. Ändert der Benutzer jedoch grundlegende Hardware-Komponenten wie Mainboard, BIOS oder mehrere kleinere Hardware-Module, muss auch die OEM-Version erneut aktiviert werden, ebenso wie die Retail-Versionen von Vista entweder per Telefon oder Online-Server.
Die meisten Änderungen gibt es bei der Aktivierung von Volumenlizenzen. Nachdem die Technik der Corporate-Keys für Windows XP so leicht zu
missbrauchen war, soll Volume Activation 2.0 für Vista und Longhorn-Server dies weitgehend ausschließen. Unternehmenskunden bieten sich drei Varianten, wie sie Vista-Volumenlizenzen aktivieren können: Ein Mehrfachaktivierungsschlüssel, der so genannte Multiple Activation Key (MAK), schaltet viele Installationen frei. Das funktioniert mittels Proxy-basierter Aktivierung für mehrere Installationen sowie individuell je Einzel-PC. Darüber hinaus können Administratoren aber auch einen Schlüsselmanagement-Dienst installieren, den Key Management Service (KMS), der die Aktivierungskontrolle für das ganze Netzwerk übernimmt. Die jeweiligen Aktivierungsarten lassen sich auch kombiniert einsetzen, je nachdem wie das Netzwerk konfiguriert ist.


Mehrfachaktivierung per MAK-Schlüssel

Zwangaktivierung 2.0 in Windows Vista

Volumenlizenzkunden von Microsoft können für ihre Vista-Installationen einen MAK (Multiple Activation Key) anfordern. Dieser besitzt ein je nach Vertrag festgelegtes Limit für die Anzahl von PCs, die sich per MAK aktivieren lassen. Das können einmal 15 sein, ein andermal 1500. Jeder MAK funktioniert wie ein Standard-Schlüssel (Retail), der eine zusätzliche Aktivierung erfordert, aber Mehrfachaktivierungen auch pro PC erlaubt. Jedesmal wenn sich ein PC mit dem Aktivierungsserver von Microsoft verbindet, um eine Vista-Installation frei zu schalten, reduziert sich der Aktivierungszähler automatisch um 1, bis das vorher festgelegte (und bezahlte) Limit erreicht ist. Die Aktivierungen können online und telefonisch erfolgen. MAK-Aktivierungen lassen sich automatisieren, überwachen (etwa per Microsoft Operations Manager) und müssen nicht regelmäßig erneuert werden, wie etwa bei der KMS-Aktivierung. Mit der MAK Proxy-Aktivierungsfunktion lassen sich gleich mehrere Vista-PCs zentral gesteuert aktivieren, indem sich nur eine Maschine, der Proxy, mit einem Microsoft-Server verbindet. Bei der unabhängigen MAK-Aktivierung muss sich jeder einzelne Vista-PC am Aktivierungsserver anmelden oder manuell telefonisch frei geschaltet werden. Wenn die Anzahl aktivierter PCs den Zähler auf null stellt, lassen sich weitere PCs nur noch aktivieren, wenn der Kunde weitere Lizenzen kauft. Machen zu viele Änderungen an der Hardware eines per MAK aktivierten PCs eine Neuaktivierung erforderlich und bleibt diese aus, versetzt die Software Protection Platform Vista in den Reduced Functionality Modus (RFM). Deren Beschränkungen lassen sich durch eine erfolgreiche Aktivierung aufheben oder indem man die ursprüngliche Hardware-Konfiguration wiederherstellt.


Aktivierung per Systemdienst: KMS

Zwangaktivierung 2.0 in Windows Vista

Um Vista-Installationen per Systemdienst aktivieren zu können, ist ein spezielle KMS-Key notwendig (KMS = Key Management Service). KMS funktioniert nur, wenn mindestens 25 PCs ständig im Netzwerk verwaltet werden. Zwar lassen sich auch virtuelle Vista-Installationen aktivieren, diese zählen aber nicht für das 25-PC-Limit. Die einzelnen PCs aktivieren sich automatisch, indem sie sich nicht an einem Microsoft-Server anmelden, sondern an einem Vista-Client oder Longhorn-Server im Unternehmen, auf dem der KMS-Dienst läuft. Microsoft plant auch eine KMS-Version für Windows 2003 Server und verspricht diese für Frühling 2007.
Nachdem KMS einmal vom Admin eingerichtet wurde, verwaltet sich das System selbständig. Ein einzelner KMS-Dienst kann hunderttausende von Clients aktivieren und deren Aktivierung überwachen. Neben dem KMS-Server-PC empfiehlt sich ein redundantes System, um Clients auch im Notfall schnell aktivieren zu können. Das ist deshalb so wichtig, weil die Clients sich mindestens alle 180 Tage an der KMS-Maschine anmelden müssen, um aktiv zu bleiben. Noch nicht aktivierte Clients versuchen dies standardmäßig alle zwei Stunden. Der Wert ist jedoch konfigurierbar. Nach der ersten Aktivierung versucht der PC, diese alle sieben Tage zu erneuern. Nach der Erneuerung beginnt dann die 180-Tages-Frist.
Um den KMS-Server aufzuspüren, nutzen die Vista-Clients zwei Methoden: Erstens per Auto-Discovery mittels Domain Name Service. Zweitens per Direktverbindung zum Server, die der Anwender durch Eintragen des Computernamens und des verwendeten Ports manuell herstellt.
Falls es einem Client nicht gelingt, nach 180 Tagen seine Aktivierung zu erneuern, beginnt eine Gnadenfrist von 30 Tagen. Verstreicht auch diese ohne erneute Aktivierung, schaltet Vista den PC in den Modus reduzierter Funktionalität (RFM). Dessen Beschränkungen wie deaktiviertes Startmenü und Einstundenfrist für Online-Verbindungen lassen sich nur durch eine Verbindung zum lokalen KMS-Server oder durch manuelle Eingabe eines gültigen MAK (Multiple Activation Key) und folgende Online- oder Telefonaktivierung aufheben.


Letzte Warnung: Reduced Functionality Mode (RFM)

Zwangaktivierung 2.0 in Windows Vista

Vista versetzt sich selbst in den Modus reduzierter Funktionalität (RFM), in dem Features wie Aero, Defender und Startmenü deaktiviert sind, wenn folgende Bedingungen erfüllt sind:
– selbst nach einer Gnadenfrist von 30 Tagen wurde Vista (Retail- oder MAK-Lizenz) nicht aktiviert
– drei Tage nach größeren Hardware-Änderungen erfolgte keine erneute Aktivierung (Retail- oder MAK-Lizenz), das gilt auch beim Mainboard-Austausch auf einem OEM-PC
– die KMS-Aktivierung ist binnen 30 Tagesfrist nicht erfolgreich
– die KMS-Neuaktivierung ist binnen 210 Tagesfrist (180 Tage für Neuaktivierung plus 30 Tage Gnadenfrist) nicht erfolgreich
– nach dem Austausch der Festplatte erfolgt binnen 30 Tagen keine Neuaktivierung per KMS
– die Software Protection Platform erkennt eine Manipulation der Aktivierungs- oder Lizenzdateien
– Microsoft hat den Aktivierungsschlüssel blockiert, da dieser als gestohlen, zu weit verbreitet oder nicht authentisch markiert wurde. In einem Whitepaper schließt Microosft auch mögliche Herstellungsfehler in den Schlüsseln explizit ein.
Startet der Anwender Vista im RFM-Modus, bieten sich ihm vier Optionen: 1. Vista online zu aktivieren, 2. Vista im RFM-Modus zu starten, 3. Produktschlüssel erneut eingeben sowie 4. andere Aktivierungsmethoden anzeigen lassen.
Während der 30 Tage dauernden Gnadenfrist meldet sich Vista immer öfter mit Hinweismeldungen, dass eine Aktivierung erforderlich ist. Grundsätzlich ist der RFM-Modus zu vermeiden und aufzuheben, indem man einen neuen Produktschlüssel (Retail oder MAK) eingibt, sich an einem internen KMS-Server anmeldet, Vista bei einem Microsoft-Server oder telefonisch aktiviert.


Welche Methode ist die richtige für Sie?

Zwangaktivierung 2.0 in Windows Vista

Volume Activation 2.0 macht es Admins nicht leicht, die richtige Aktivierungsstrategie zu finden. Denn die Lösung, mit nur einem Corporate-Key alle Unternehmens-PCs automatisch zu aktivieren, funktioniert nicht mehr. Erschwert wird die Entscheidung, welcher Mechanismus für die Aktivierung am besten geeignet ist, durch individuelle Anforderungen an PCs in unterschiedlichen Subnetzen und deren notwendiger Verbindungsaufbau entweder zu einem Microsoft- oder einem internen KMS-Server. Administratoren gehen am besten schrittweise vor:
1. Richtig vorbereiten: Am Anfang steht die Analyse des eigenen Netzwerks und das Informieren über die Eigenheiten der Volume Activation 2.0. Je nachdem wie Teile des Netzwerks konfiguriert sind und welche Beschränkungen hinsichtlich des Datenaustauschs zwischen PCs bestehen, bieten sich andere Aktivierungsmethoden an. Details zum Desktop-DEployment im Netzwerk finden Sie etwa unter folgenden URLs:
http://www.microsoft.com/technet/technetmag/issues/2006/11/Deployment/Default.aspx?loc=dehttp://www.microsoft.com/technet/windowsvista/plan/volact.mspx
http://www.microsoft.com/technet/windowsvista/plan/faq.mspx
2. Mapping: Übertragen Sie die Anforderungen Ihrer Netzwerk-PCs auf die passende Aktivierungsmethode. So ist die Aktivierung per KMS (Key Management Service) für Netzwerke mit weniger als 25 physikalischen PCs oder für Netzwerke, in denen einzelne PCs sich mehr als 210 Tage nicht am KMS-Server anmelden ausgeschlossen. Dann empfiehlt sich die Aktivierung per MAK (Multiple Activation Key), entweder per Proxy- oder individueller Aktivierung. Die Retail-Aktivierung für jeden einzelnen PC ist schon für Netzwerke mit mehr als fünf PCs zu umständlich.
3. Los geht’s: Für PCs, die nicht ständig ans Netzwerk angeschlossen sind, empfiehlt sich die Verwendung von MAKs. Die MAK-Proxy-Aktivierung lässt sich am einfachsten mit dem Volume Activation Management Tool (VAMT) durchführen, das alle Aktivierungen für Vista übernimmt. (Derzeit befindet sich VAMT allerdings noch in Entwicklung. Mit der Verfügbarkeit ist im Frühjahr 2007 zu rechnen.) PCs, die nicht per Proxy erreichbar sind, können individuell per MAK aktiviert werden.
Für größere Netzwerke kann nun der Key Management Service auf einem KMS-Server installiert und über diesen alle angeschlossenen Vista-PCs (ohne MAK) aktiviert werden. Der KMS-Server kann auch weitere Dienste fahren und verwaltet VA 2.0 für bis Hunderttausende von Clients.
4. Denken Sie auch an die Überwachung und das Reporting der Aktivierungsvorgänge im Netzwerk. Dabei hilft ebenfalls das VAM-Tool. Legen Sie zudem ein Repository von Scripts an, die das Management der Aktivierung im Not- oder Migrationsfall beschleunigen. So lassen sich zum Beispiel der Wechsel von KMS- auf MAK-Aktivierung, Warnmeldungen und Neuaktivierungen konfigurieren.

Hinweis:
Wie Administratoren Volume Activation 2.0 in der Praxis umsetzen und an ihre Bedürfnisse anpassen, wird demnächst Gegenstand eines weiteren Webreports von PC Professionell sein.