Logo faq-o-matic.net
Logo faq-o-matic.net

cim voraus! (Bald auch mit Programm)

von veröffentlicht am21. Juli 2021, 06:10 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Community, Events   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

imageEs tut sich was bei der cim – der community in motion, einer der schönsten IT-Konferenzen überhaupt. Seit gestern gibt es weitere Informationen zum Neustart am 17. September 2021. Und ab dem 1. August wird es dann nicht nur das diesjährige Programm geben, sondern dann ist auch die Anmeldung möglich.

[cim lingen – community in motion]
https://cim-lingen.de/

Offene Fahrkarten

von veröffentlicht am13. Juli 2021, 06:29 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Freie Wildbahn   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Das IT-Ticketsystem Connectwise will mich anscheinend auf die Reise schicken.

image

image

ADM und ADMX für CVE-2021-34527 (PrintNightmare)

von veröffentlicht am7. Juli 2021, 16:05 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Gruppenrichtlinien, Sicherheit   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Microsoft hat gestern Abend ein Out-of-Band Update für CVE-2021-34527 (PrintNightmare) veröffentlicht. Das Update wird bereits per Microsoft Update und WSUS angeboten, allerdings noch nicht für alle betroffenen Windows-Versionen. Nach der Installation des Updates steht eine neue Policy zur Verfügung, welche sinnvollerweise dann auch „grundsätzlich“ aktiviert werden sollte. Infos dazu hier:

https://support.microsoft.com/de-de/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7

Da Microsoft es offenbar in der Hektik vergessen hat, stellen wir hier ein ADM-Template bereit. Nach Aktivierung dieser Policy können nur noch Adminstratoren signierte und unsignierte Druckertreiber installieren. Print Operators (Druck-Operatoren) und Nutzer können nur noch signierte Treiber auf Druckservern installieren. Das Verfahren zur Einschränkung des Spoolers auf lokale Verbindungen sollte genauso beibehalten werden, wie das Deaktivieren des Dienstes auf allen Geräten, die ihn nicht benötigen.

; ADM Template Creation/Modifying Date: 07.07.2021 09:42:56
; ADM Template Author: NorbertFe
; ADM Template created by gpaddit
; faq-o-matic.net
 
Class Machine 
    CATEGORY "Drucker" 
 
        POLICY "CVE-2021-34527 'PrintNightmare'" 
            #IF VERSION  >=  4
                SUPPORTED !!CVE-2021-34527 
            #ENDIF
 
            EXPLAIN !!Descr_CVE-2021-34527 
            KEYNAME "Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" 
 
            PART "Restrict Driver Installation to Administrators" Checkbox 
                VALUENAME "RestrictDriverInstallationToAdministrators" 
                VALUEON NUMERIC 1 
 
                VALUEOFF NUMERIC 0 
 
            END PART 
 
       END POLICY ;CVE-2021-34527 'PrintNightmare' 
 
    END CATEGORY ;Drucker 
 
[STRINGS]
 
CVE-2021-34527="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527"
Descr_CVE-2021-34527="https://support.microsoft.com/de-de/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7\n\nSecurity updates released on and after July 6, 2021 contain protections for a remote code execution exploit in the Windows Print Spooler service known as 'PrintNightmare', documented in CVE-2021-34527. After installing these and later Windows updates, non-administrators are only allowed to install signed print drivers to a print server. By default, administrators can install both signed and unsigned printer drivers to a print server. Signed drivers are trusted by the installed root certificates in the system's Trusted Root Certification Authorities.\n\nWe recommend that you urgently install the July 2021 Out-of-band updates on all supported Windows client and server operating systems, starting with devices that currently host the print spooler service. In addition, optionally configure the RestrictDriverInstallationToAdministrators registry value to prevent non-administrators from installing printer drivers on a print server.\n\nNote:  After installing the July 2021 Out-of-band update, all users are either administrators or non-administrators, delegates will no longer be honored.\n\nPrior to installing the July 6, 2021, and newer Windows Updates containing protections for CVE-2021-34527, the printer operators' security group could install both signed and unsigned printer drivers on a printer server. After installing such updates, delegated admin groups like printer operators can only install signed printer drivers. Administrator credentials will be required to install unsigned printer drivers on a printer server going forward.\n\n\nWhy clients are allowed to install printer drivers from CVE-2021-34527 patched printer servers\nIn a scenario where a client is connecting to a Print server to download print drivers (Shared network Printer scenario), the changes we made as part of our fix do not come into play on the client.\n\nFor an unsigned driver, the user will see a warning and a request to elevate if the user is not admin.\n\nFor a signed driver, the driver will install successfully irrespective of admin or not.\n\nThis means a signed driver will be successfully installed on the client machine without honoring RestrictDriverInstallationToAdministrators registry key.\n\nExplanation\n\nThis behavior is by design. The attack vector and protections in CVE-2021-34527 reside in the code path that installs a printer driver to a Server. The workflow used to install a printer driver from a trusted print server on a client computer uses a different path. In summary, protections in CVE-2021-34527 including the RestrictDriverInstallationToAdministrators registry key do not impact this scenario."

Als zusätzlichen Service haben wir hier außerdem eine ADMX-Datei als modernere Version zum Download:

Download: PrintNightmare-ADMX  PrintNightmare-ADMX (2,3 KiB, 91-mal heruntergeladen, letzte Änderung am 7. Juli 2021)

Update: Im MCSEboard.de hat der User “testperson” ein PowerShell-Skript gepostet, das auch noch das Gruppenrichtlinienobjekt erzeugt – oder die AMDL-Dateien einem bestehenden GPO hinzufügt.

[Printspooler – Neue Sicherheitslücke – Seite 2 – Windows Forum — Security – MCSEboard.de]
https://www.mcseboard.de/topic/220286-printspooler-neue-sicherheitsl%C3%BCcke/?do=findComment&comment=1421899

cim Lingen 2021 – es geht weiter!

von veröffentlicht am29. Juni 2021, 04:21 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Community, Events   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

imageVor fast zwei Jahren, im September 2019, ging eine Ära zu Ende. Nach fünfzehn Jahren schloss die wohl beliebteste deutsche IT-Community-Konferenz (vorläufig) ihre Pforten: die cim in Lingen.

Nach der “Closing Keynote” kam die “Closing Note” – das alte Konzept war prima, aber es funktionierte nicht mehr richtig. Die Organisatoren der IT.Emsland ließen aber einen Türspalt in die Zukunft offen und zeigten sich interessiert, zu gegebener Zeit mit neuem Konzept wieder zu starten.

Nun ist es soweit: Am 17. September 2021 soll – wird – die cim Lingen zurückkehren!

Mehr dazu gibt es in den nächsten Tagen auf der Webseite der cim:

https://cim-lingen.de/

Windows 10: VPN automatisch (neu) verbinden

von veröffentlicht am24. Juni 2021, 06:29 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Batch, Client-Software, Netzwerk   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Die Arbeit zuhause (auch schick benannt als “New Work” oder mit einem eher antiken Ausdruck “Home Office”) setzt oft einen VPN-Zugang voraus. Alles kein Hexenwerk mehr. Nervig aber: Moderne Rechner wechseln oft in einen Energiesparmodus, und die meisten VPN-Verbindungen werden dabei getrennt. Da das bei mir auch so war, hab ich mir eine Abhilfe gebastelt.

Mein Rechner verbindet sich über die Windows-eigene Funktion mit dem VPN. Das bildet dein einen Teil der Lösung, denn diese Funktion kann man über das Programm “rasdial.exe” über die Kommandozeile bzw. in einem Skript steuern. Der andere Teil der Lösung: Ich möchte, dass die VPN-Verbindung automatisch neu hergestellt wird, falls sie nach dem Aufwachen aus dem Sparmodus nicht mehr da ist.

Das Skript

Den Großteil der Logik habe ich in ein Skript gepackt – und zwar in ein herkömmliches Batch-Skript. Das lässt sich in der Windows-Aufgabenplanung leichter aufrufen als ein PowerShell-Skript. Und abgesehen davon, ist das Skript so simpel, dass die PowerShell auch kaum Vorteile gehabt hätte.

@ECHO OFF
SET VPN=Mein VPN
SET DC=%logonserver:~2%
SET Logfile=%0\..\Connect-VPN-Log.txt

ECHO %Date%, %time%: Start>>%Logfile%

RASDIAL | FIND /i "%VPN%" && GOTO :eof
PING -n 1 %DC% | FIND /i "bytes=" && GOTO :eof

ECHO Verbinde VPN ...>>%Logfile%
RASDIAL "%VPN%" && ECHO Verbunden>>%Logfile%

Die beiden ECHO-Zeilen dienen nur einem simplen Logging, mit dem ich geprüft habe, ob der ganze Aufbau tut, was er soll (tut er). Den eigentlichen Witz stellen vier Zeilen her:

  • Zeile 3 fragt den Namen des Logonservers ab. Den brauchen wir gleich.
  • Zeile 6 prüft, ob das VPN schon verbunden ist. Falls ja, gibt es nichts zu tun.
  • Zeile 7 versucht, eine Antwort vom Logonserver zu bekommen. Wenn dieser erreichbar ist, muss eine Verbindung ins Firmennetz bestehen – auch dann brauchen wir nichts weiter zu tun, der Logik nach muss sich der Rechner dann im Firmen-LAN befinden.
  • Zeile 9 kommt nur ins Spiel, wenn beide Prüfungen negativ waren. Sie stellt die Verbindung zum VPN her.

Die Voraussetzung, damit das so funktioniert: Das VPN ist mit Anmeldung bereits eingerichtet. In meinem Beispiel heßt es “Mein VPN”. Den Namen erhält man, indem man in ein CMD-Fenster “rasdial” eingibt, während das VPN aktiv ist. Weitere Voraussetzung: Der Rechner ist Mitglied der Firmen-Domäne und war mindestens einmal dort angemeldet. (Ist Letzteres nicht der Fall, lässt man Zeile 7 mit dem Ping einfach weg.)

Der Taskplaner

Man könnte dieses Skript einfach alle paar Minuten laufen lassen. Es geht aber noch “eins pfiffiger”: Da die VPN-Verbindung (in meinem Fall) abbricht, wenn der Computer in den Energiesparmodus geht, brauchen wir das Skript nur auszuführen, wenn er wieder aufwacht. Hier hilft die Windows-Ereignisanzeige.

Bei mir gibt das Ereignis 507 aus der Quelle “Kernel-Power” ausreichend genau an, wenn der Computer aufgewacht ist. Ich suche mir also in der Ereignisanzeige ein solches Event und hänge eine Aufgabe dran:

image

Die Aufgabe ist sehr simpel. Sie soll ein “Programm starten”, und zwar mein Batch:

image

Das ist auch schon alles.

Warum hat faq-o-matic.net eigentlich kein Cookie-Banner?

von veröffentlicht am21. Juni 2021, 06:55 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: faq-o-matic.net   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Darum:

image

Windows Server 2022 ist bald fertig und steht als Eval bereit

von veröffentlicht am16. Juni 2021, 10:06 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Windows, Windows Server 2022   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Die Nachricht ist schon ein paar Tage alt, aber … Windows Server 2022 ist so gut wie fertig. Das Produkt steht in mehreren Fassungen als kostenlose Eval-Version zum Ausprobieren bereit. Dem Vernehmen nach ist schon alles drin, was in der finalen Fassung enthalten sein soll. Gleichwohl ist dieser Build noch nicht für die Produktion freigegeben, dafür braucht es erst den GA-Status (General Availability). Bis dies soweit ist, kann es noch eine Weile dauern, aber nicht lang; Microsoft spricht von der zweiten Jahreshälfte. Bisher hieß das bei den Betriebssystemen meist Oktober oder spät im September.

[Windows Server 2022 is now in preview on the Evaluation Center – Microsoft Windows Server Blog]
https://cloudblogs.microsoft.com/windowsserver/2021/06/01/windows-server-2022-is-now-in-preview-on-the-evaluation-center/

Gefahren

von veröffentlicht am14. Juni 2021, 06:13 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Freie Wildbahn   Translate with Google Translate Translate EN   Die angezeigte Seite drucken
Zuletzt aktualisiert: 16. Juni 2021

Achtung, da sind Gefahren drunter.

0x3 ist eigentlich seit Jahrzehnten „Path not found“, 0x19 ein Seek Error („Sektor nicht gefunden“). K.A. was sie genommen haben, als sie diesen Dialog gebaut haben…

Bereit zu Flicken?!

von veröffentlicht am7. Juni 2021, 06:46 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Freie Wildbahn   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Dieses hat dafür gesorgt, dass ich meinen Monitor vom Kaffee befreien musste …

image

Downloads! Downloads! Downloads!

von veröffentlicht am1. Juni 2021, 06:22 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Freie Wildbahn   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Folgendes stammt aus einer Hilfeseite für die Installation von Cisco Webex. Hinter den „Downloads“ verbirgt sich ein Link zur NVIDIA-Website. Irgend jemand hat da wohl vergessen, das zu aktualisieren.

Original: https://help.webex.com/de-de/nw5p67g/Webex-Installation-and-Automatic-Upgrade#Cisco_Reference.dita_de900cc1-f16e-40c3-86d6-f65e4ad28c8c

(Danke an Damian vom MCSEboard.de)

© 2005-2020 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!