VMware OSOT – Windows 10 Updates wieder aktivieren

Wir haben in der Firma die meisten Arbeitsplatzrechner unter Windows 10 mittels Vmware Horizon virtualisiert. Die jeweiligen Master-Vorlagen bereite ich final mit dem VMware OS Optimization Tool für das Klonen vor.

Dabei lassen ich unter anderem die Windows Updates deaktivieren, diese erledigt das VMware OS Optimization Tool allerdings so gründlich, dass ich sie leider selbst auf dem Master mit den mir bis dato bekannten Mitteln nicht wieder aktiviert bekomme. Dies ist natürlich eher blöd, da der Master von Zeit zu Zeit aktualisiert wird und dabei auch die neusten Windows Updates drauf sollen.

„VMware OSOT – Windows 10 Updates wieder aktivieren“ weiterlesen

Eigene CA betreiben – Schritt 4 (Zertifikate für die Server erzeugen und installieren)

Nachdem wir in Teil 2 bzw. Teil 3 unser Root-Zertifikat auf den Clients installiert haben, kommen wir nun zum eigentlichen Zweck des Ganzen. Wir erzeugen für unseren Webserver ein Zertifikat und binden es ein, so dass die aufrufenden Clients eine verschlüsselte und sichere Verbindung bekommen.

„Eigene CA betreiben – Schritt 4 (Zertifikate für die Server erzeugen und installieren)“ weiterlesen

Eigene CA betreiben – Schritt 3 (Root-Zertifikat per GPO auf den Clients installieren)

Im Teil 2 habe ich beschrieben wie man das erstellte Root-Zertifikat manuell auf den Clients installiert. Während das bei ein paar Clients sicherlich noch gut machbar ist, ist dieser Weg bei einigen hundert oder tausenden Clients natürlich viel zu zeitaufwändig. Wir haben in unserer Firma eine Active Directory-Infrastruktur und nutzen eine entsprechende GPO (Gruppenrichtlinie) um unser Root-Zertifikat auf den Client-Rechnern zu installieren.

„Eigene CA betreiben – Schritt 3 (Root-Zertifikat per GPO auf den Clients installieren)“ weiterlesen

Eigene CA betreiben – Schritt 2 (Root-Zertifikat auf den Clients installieren)

Im ersten Teil habe ich mir ein Root-Zertifikat erstellt, welches ich dazu nutzen möchte selbst erstellte Zertifikate für interne Webserver zu beglaubigen. Damit dieses funktioniert, muss ich aber zunächst einmal den Clients beibringen, dass sie unserem Root-Zertifikat – und damit auch allen damit beglaubigten Zertifikaten – vertrauen.

Je nach verwendetem Betriebssystem ist der Vorgang mehr oder weniger kompliziert.

„Eigene CA betreiben – Schritt 2 (Root-Zertifikat auf den Clients installieren)“ weiterlesen

Eigene CA betreiben – Schritt 1 (eigene CA erstellen)

Wir betreiben hier verschiedene Webserver, die nur internen Zwecken dienen, aber die Daten dennoch verschlüsselt ausliefern. Nun ist es ziemlich nervig bei jedem Aufruf diese „Diese Seite ist nicht sicher“-Warnung wegklicken zu müssen. Außerdem besteht die Gefahr, dass die User sich daran gewöhnen, dass diese Warnmeldung kommt und die auch dann missachten, wenn echt mal Gefahr droht.

Wir müssen also gültige Zertifikate für diese Server ausstellen, damit die SSL/TLS verschlüsselte Übertragung per https ohne Fehlermeldung funktioniert. Während das bei extern erreichbaren Webservern ja recht einfach ist, dürfte es schwierig werden eine CA (certificate authority) zu finden, die einem ein Zertifikat für die Domain firma.local ausstellt.

Wir müssen also unsere lokale CA gründen, den Rechnern in der Windows-Domain beibringen dieser CA zu vertrauen und dann von unserer internen CA Zertifikate für diverse Server erstellen lassen und installieren.

Klingt nach viel Arbeit – ist es leider auch – aber nicht so kompliziert wie es eigentlich klingt, fangen wir einfach mal an.

„Eigene CA betreiben – Schritt 1 (eigene CA erstellen)“ weiterlesen

USB-Stick – Partition lässt sich nicht löschen

Wir haben in der Firma einige Rechner, die aus Sicherheitsgründen weder mit dem Internet noch mit dem lokalen Netzwerk verbunden sind. Aber auch diese Rechner brauchen ab und an mal ein Software- oder BIOS-Update und das schaufeln wir dann per USB-Stick rüber.

Je nachdem mit welchem Datei-System wir den USB-Stick vorher formatiert hatten (wir haben hier nicht nur Windows-Rechner), kann es passieren, dass Windows den USB-Stick anschließend nicht mehr in der vollen Größe erkennt. So wird aus einem 32GB-Stick dann schnell mal ein Stick, auf den nur 2MB passen, im Explorer sieht das dann so aus.

Eigenschaften vom USB-Stick
Eigenschaften des USB-Sticks, er sollte eigentlich 32GB groß sein.

Ok, dann gehe ich eben über Verwaltung – Computerverwaltung – Datenträgerverwaltung und ziehe es darüber wieder gerade. Gute Idee, aber auch da sieht es nicht viel besser aus.

Datenträgerverwaltung unter Windows 7. Immerhin sieht man die Partitionen
Datenträgerverwaltung unter Windows 7

Immerhin sehe ich zwar die korrekte Größe und die Partitionen, aber bearbeiten lässt sich leider nichts. Alle relevanten Optionen sind ausgegraut, also auch nicht wirklich hilfreich.

Was nun? USB-Stick wegwerfen? Zusatzsoftware verwenden? Zum Glück alles nicht nötig, die Lösung ist recht einfach und funktioniert sogar mit Windows-Bordmitteln.

„USB-Stick – Partition lässt sich nicht löschen“ weiterlesen

Windows administrative Freigabe sperren

Windows hat als Standard eine administrative Freigabe auf das Laufwerk C eingeschaltet. Die Freigabe ist zwar versteckt, aber unter \\RECHNERNAME\C$ ist der Zugriff für alle lokalen Administratoren möglich. Der Sinn dieser administrativen Freigabe erschließt sich mir absolut nicht. Wenn ICH möchte, dass etwas freigegeben wird, dann gebe ICH das frei und zwar mit den Berechtigungen, die ICH für sinnvoll erachte.
Die Freigabe dient bei unbedarfter (oder zu bequemen) Admin-Berechtigungen höchstens Malware als Sprungbrett für die Verbreitung im Netz und muss weg.

„Windows administrative Freigabe sperren“ weiterlesen

Windows Update in der Endlosschleife

Wir klonen unsere virtuellen Windows 7-Desktops von einem Master. Damit stellen wir sicher, dass alle Desktops die gleichen Release-Stände und Softwareausstattungen haben. Manchmal kommt es bei der Aktualisierung des Masters vor, dass die Windows-Updates in einer Endlosschleife hängen. Dies äußert sich dadurch, dass der Rechner einen Neustart möchte, um die Updates installieren zu können. Nach dem Neustart möchte er wieder einen Neustart und auch nach diesem Neustart möchte er wieder einen Neustart usw….
Leider ist auch die Suche nach neuen Updates nicht möglich, da man doch bitte zuerst einen Neustart des Systems durchführen soll, grmpff…

Wer keine Lust hat dies Spiel zu Ende zu spielen – sofern es denn jemals ein Ende haben sollte – kann sich mit einem herzhaften Griff in die Registry behelfen.

Hierzu einfach diesen kompletten Schlüssel inkl. aller Einträge löschen:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ WindowsUpdate\ Auto Update\ Reboot Required

Nach dem nächsten Neustart kann dann wie gewohnt nach Updates gesucht werden.

Windows Dienste mit Wildcards löschen

Bei uns in der Firma haben wir die letzten Tage damit verbracht eine doch recht hartnäckige Malware zu entfernen. Diese legte auf jedem Rechner eine Vielzahl von Windows-Diensten an, deren Namen komplett aus Ziffern bestanden. Einen einzigen Dienst hat man mittels

sc delete DIENSTNAME

ja flott gelöscht, aber bei bis zu 100 Diensten ist das zu nervig und zeitaufwändig. Es musste also eine Lösung her, bei der mehrere Dienste mittels Wildcards gelöscht werden können. Der sc-Befehl gibt das leider nicht her, also muss die Windows eigene Powershell ran.

„Windows Dienste mit Wildcards löschen“ weiterlesen