Tipps & Tricks

Windows ungestört

Ich nutze einen Windows-10-Rechner, um Bühnentechnik zu steuern, sowie um Audio und Video abzuspielen. Da kommen Windows-Systemmeldungen oder gar plötzliche Neustarts denkbar ungelegen. Wie kann ich Windows für den ungestörten Betrieb konfigurieren?

Systemmeldungen von Windows selbst lassen sich unterdrücken, indem Sie in den Einstellungen auf die Seite „System/Benachrichtigungsassistent“ wechseln und „Nur Alarme“ durchlassen. Vielleicht eignet sich ja auch eine der automatischen Regeln, um zu erkennen, wenn Sie auf der Bühne sind – dann müssten Sie nicht mehr selbst daran denken, die Benachrichtigungen auszuschalten.

Wenn Sie für die Bühnenarbeit kein Netz brauchen, könnte es auch eine gute Idee sein, das LAN-Kabel abzuziehen und die WLAN-Schnittstelle zu deaktivieren. Dann können jedenfalls keine Mails oder Chat-Nachrichten eintreffen und externe Programme nicht mehr mit eventuellen Updates dazwischenfunken. (hos@ct.de)

PayPal ohne Einzugsverfahren

Ich bin in meinem PayPal-Konto darauf gestoßen, dass ein Händler ein Einzugsverfahren („automatische Zahlung“) aktiviert hat. Ich kann mich nicht erinnern, so etwas gestattet zu haben. Wie kann ich so etwas erkennen, lässt es sich deaktivieren und bin ich gegen Missbrauch geschützt?

PayPal erlaubt Händlern, die es zuvor besonders geprüft hat, bei ihren Kunden ein Einzugsverfahren für wiederholte Abbuchungen zu aktivieren. Das ähnelt einem Lastschriftmandat und ist vor allem für Abos praktisch. Es vereinfacht aber auch ohne Abo den Bezahlvorgang, weil Sie nicht mehr jede Bestellung im PayPal-Konto autorisieren müssen. Ein Händler kann und darf laut PayPal aber nur Geld abbuchen, wenn tatsächlich ein Kauf stattgefunden hat. Dennoch möchten das nicht jede Kundin und jeder Kunde erlauben.

Leider ist ein Opt-in oder Opt-out nicht standardmäßig von PayPal vorgesehen, sondern hängt vom Händler ab. Hat der Händler keine Auswahl vorgesehen, erscheint beim Checkout lediglich ein kleiner Hinweis darauf, dass mit dem Abschluss das Einzugsverfahren aktiviert wird. Ansonsten lässt sich der Kauf nicht abschließen. Um das Verfahren wieder zu deaktivieren, müssen Sie sich über den Browser oder die App in Ihr PayPal-Konto einloggen. Dort klicken Sie auf das Zahnradsymbol.

In der App gehen Sie anschließend auf „Zahlungen im Einzugsverfahren“, navigieren zum Händler und entziehen dort die Erlaubnis („PayPal als Zahlungsmethode entfernen“). Im Browser gehen Sie auf den Reiter „Zahlungen“, dann auf „Verwalten Sie Ihre Zahlungen im Einzugsverfahren“. Klicken Sie den fraglichen Händler an, können Sie die automatischen Zahlungen kündigen. (mon@ct.de)

Mainboard-BIOS-Updates einspielen oder nicht?

Vor 20 Jahren galt noch die Prämisse „BIOS-Updates nur dann aufspielen, wenn tatsächlich Probleme vorliegen, die die neuere Version behebt“. Denn BIOS-Updates bergen ja ein gewisses Restrisiko, entweder neue Probleme einzuschleppen oder gar das System lahmzulegen. Heutzutage scheinen mir anlasslose Firmware-Updates so selbstverständlich zu sein wie Updates von Betriebssystem und Anwendungen. Täuscht mein Eindruck?

Updates für das UEFI-BIOS von Mainboards erscheinen weiterhin seltener als etwa Windows-Updates. Allerdings geht es bei relativ vielen BIOS-Updates um das Stopfen von Sicherheitslücken. Intel beispielsweise veröffentlicht in jedem Quartal ein Bündel von Updates, wozu häufig auch BIOS-Updates gegen Sicherheitslücken zählen. Diese Patches fließen dann – oft leider erst mit wochen- bis monatelanger Verzögerung – in BIOS-Updates des Herstellers Ihres Mainboards ein.

Das Einspielen eines bestimmten Security-Patches ist je nach Nutzungsweise des Systems und verwendetem Betriebssystem nicht unbedingt notwendig. Denn beispielsweise Microcode-Updates gegen CPU-Sicherheitslücken spielen auch viele Linux-Distributionen ein und mit gewisser Verzögerung kommen sie auch via Windows Update, zumindest lassen sie sich im Windows Update Catalog manuell suchen, herunterladen und installieren. Viele der CPU-Sicherheitslücken vom Spectre-Typ sind zudem für Client-PCs nicht sehr bedrohlich (anders als etwa für Cloudserver), weil bei Client-PCs meistens andere Schwachstellen leichter nutzbar sind. Doch wie Sie schon an der relativ langen Beschreibung erkennen: Um zu entscheiden, ob ein BIOS-Update mit Sicherheits-Patches sinnvoll ist oder nicht, müssen Sie in jedem Einzelfall die Bedrohungslage analysieren (beispielsweise anhand der Informationen unter der zugehörigen CVE-Nummer oder des „Security Advisory“), was Zeit und einen gewissen Sachverstand erfordert. Außerdem dokumentieren viele Mainboard-Hersteller ihre jeweiligen BIOS-Updates unzureichend, weshalb man außer einer hingeschmissenen Formulierung wie „Security Improvements“ nichts weiter erfährt. Im Zweifel ist es daher einfacher und sicherer, ein BIOS-Update einzuspielen. (ciw@ct.de)

Microsoft Teams auf macOS: Bildschirmfreigabe fehlt

Kann man auf einem Mac die Bildschirmfreigabe in Microsoft Teams aktivieren? Ich verwende einen aktuellen Mac mit M1-Prozessor und macOS 11.4, finde in Microsofts Software aber keine Option dafür.

Grundsätzlich gibt es auf Macs die Bildschirmfreigabe ebenso wie auf Windows und anderen Betriebssystemen. Die Option ist jedoch wegen neuerdings verschärfter Sicherheitsvorkehrungen ab Werk abgeschaltet. Das gilt beispielsweise auch für den Messenger Skype.

Um die Funktion einer Anwendung zu gestatten, öffnen Sie auf dem Mac die Systemeinstellungen und dort den Bereich „Sicherheit & Datenschutz“. Falls die Systemeinstellungen geschützt sind, klicken Sie links unten auf das Schloss und geben Sie das Passwort des Mac-Administrators ein. Klicken Sie auf den Reiter „Datenschutz“ und dann auf „Bildschirmaufnahme“.

Nun sollten die Systemeinstellungen alle installierten Anwendungen zeigen, die den Bildschirm freigeben können. Setzen Sie neben Microsoft Teams das Häkchen. Klicken Sie dann links in der Spalte auf „Bedienungshilfen“ und setzen Sie dort für Microsoft Teams ebenfalls ein Häkchen.

Schließen Sie die Systemeinstellungen und starten Sie Microsoft Teams neu. Sobald die nächste Konferenz läuft, können Sie die Freigabe rechts oben im Menü von Teams aktivieren. (dz@ct.de)

Intel Core i-11000: Ohne Grafikkarte nur noch UEFI

Bei den aktuellen Desktop-Prozessoren der 11. Core-i-Generation arbeitet die Firmware der integrierten GPU ausschließlich im UEFI-Modus.

Rechner mit den im März vorgestellten Desktop-Prozessoren Core-i-11000 „Rocket Lake“ können nicht mehr ohne Weiteres im klassischen BIOS-Modus booten. Deshalb lassen sich darauf beispielsweise keine antiquierten Betriebssysteme installieren oder ältere, bootfähige Hardware-Diagnose-Tools starten. Diesen Schritt hatte Intel 2017 angekündigt: Bereits ab 2020 sollte es nur noch neue Prozessorplattformen geben, die als sogenannte UEFI-Class-3-Systeme ausschließlich den UEFI-Modus verwenden – ohne Kompatibilität zum klassischen BIOS.

Für die integrierte UHD-700-Grafikeinheit der Core-i-Prozessoren der 11. Generation stellt Intel kein Video-BIOS (VBIOS) mehr zur Verfügung. Stattdessen kommt als Nachfolger im UEFI der modernere Graphics-Output-Protocol-Treiber (GOP) zum Einsatz, der schnelleres Booten ermöglicht und weniger stark in der Größe limitiert ist. Allerdings arbeitet der GOP-Treiber im Unterschied zum VBIOS, das noch als 16-Bit-Code ausgeführt wird, nicht mehr mit dem Compatibility Support Module (CSM) zusammen, das bei UEFI-Systemen die BIOS-Kompatibilität herstellt.

In der Praxis lässt sich bei aktuellen LGA1200-Mainboards mit Serie-500-Chipsatz von Asus und Asrock der Boot-Modus im Firmware-Setup ohne Grafikkarte nicht von UEFI auf CSM umstellen. Bei MSI-Boards klappt das zwar, beim nachfolgenden Neustart folgt aber eine Fehlermeldung, dass kein VBIOS gefunden und der Boot-Modus wieder auf UEFI zurückgesetzt wurde. Um Rechner mit Rocket-Lake-Prozessor dennoch per CSM zu starten, benötigt man deshalb zusätzlich eine Grafikkarte, deren Firmware ein VBIOS enthält.

Bislang war es den PC- und Board-Herstellern überlassen, ob sie die Firmware ihrer Systeme mit einem CSM für die BIOS-Kompatibilität versehen. Bereits in den letzten Jahren nahm die Zahl an Notebooks und Komplett-PCs deutlich zu, die ausschließlich per UEFI booten. (chh@ct.de)

Android-Zahlungsmethode

Mein Android-Smartphone fordert mich seit einiger Zeit beim Ausschalten auf, eine Zahlungsmethode bei Google Pay zu hinterlegen. Dabei nutze ich den Dienst gar nicht und habe die Pay-App nicht installiert. Wie werde ich die Aufforderung los?

Seit einigen Updates hat Google zumindest bei den eigenen Geräten der Pixel-Serie einen Teil der Bezahl-App G Pay ins Betriebssystem integriert. Die Aufforderung erscheint daher auch dann, wenn Sie Google Pay nicht nutzen und nicht installiert haben.

Um sie loszuwerden, tippen Sie darauf; es öffnet sich G Pay. Tippen Sie aufs Dreistrich-Menü oben links, dann auf Einstellungen, dann auf den Punkt „Zugriff per Ein-/Aus-Taste“. Dann öffnet sich das Fenster „Karten und Tickets“, wo Sie die Anzeige abschalten können. Alternativ gehen Sie in die Geräteeinstellungen, dort ins Menü System auf den Punkt „Gesten und Bewegungen“. Weiter unten finden Sie das „Ein-/Aus-Menü“ und darin „Karten und Tickets“; es öffnet sich dann das gleiche Menü wie oben. (jow@ct.de)

DNSSEC beim Pi-hole

In der Weboberfläche vom Pi-hole gibt es unter Settings/DNS die Option „Use DNSSEC“. Wieso benötige ich dann noch die in Ihrem Artikel „Doppelt verschlüsselt“ (c’t 4/2021, S. 134) beschriebenen Tools Stubby und DNSCrypt-Proxy auf dem Pi-hole, wenn der Pi-hole selber bereits DNSSEC unterstützt?

DNSSEC einerseits und DoH, DoT und DNSCrypt andererseits sind verschiedene Methoden, die die DNS-Information auf unterschiedlichen Teilstücken absichern. DNSSEC schützt die DNS-Information gegen Manipulation auf der Übertragungsstrecke und prüft, ob der Sender der DNS-Information vertrauenswürdig ist (genauer, der für eine Domain zuständige DNS-Server).

Aber DNSSEC verschlüsselt nicht, sondern signiert nur DNS-Antworten. Der Resolver, der die DNS-Information vom autoritativen DNS-Server einholt, sendet sie im Klartext zum anfragenden DNS-Client wie Ihrem Pi-hole weiter. Unter der DNS-Antwort, also etwa der IP-Adresse eines Webservers, steht die Signatur, anhand der der empfangende Client prüft, ob die Nachricht unverfälscht ist und ob der autoritative DNS-Server vertrauenswürdig ist.

Um nun das Mitlesen durch Dritte zu unterbinden, wurden Verschlüsselungsmethoden wie DoT, DoH oder DNSCrypt entwickelt. Diese verschlüsseln das gesamte DNS-Paket auf dem Teilstück vom DNS-Client zum Resolver. Pi-hole setzt auf Dnsmasq auf, das den DNS-Verkehr konzeptbedingt bisher nicht verschlüsseln kann. Um das zu kompensieren, kann man Pi-hole, wie im Artikel gezeigt, einen verschlüsselnden Resolver wie Stubby oder DNSCrypt-Proxy vorsetzen. (dz@ct.de)

Spiele-PC stürzt mit Bluescreen ab

Mein PC stürzt in letzter Zeit immer wieder mit einem Bluescreen und der Fehlermeldung „WHEA_UNCORRECTABLE_ERROR“ ab, während ich gerade am Spielen bin. Windows habe ich bereits neu installiert, die Temperaturen geprüft und auch nur einzelne RAM-Riegel gesteckt. Was kann ich noch tun, um den Fehler zu finden?

Aufgrund Ihrer umfangreichen Vortests sind zwei Ursachen wahrscheinlich: Vielleicht gibt es ein Problem beim Grafiktreiber. Sie könnten testweise einmal eine ältere Version von vor ein oder zwei Jahren ausprobieren. Ansonsten kommt die von Ihnen beschriebene Meldung oft auch bei defekten Prozessoren. Wir hatten bereits mehrere Leser mit defekten Ryzen-CPUs, die sehr ähnliche Probleme hatten. Da half dann nur eine Reklamation. (chh@ct.de)