Melden Sie sich auf auf einem DC an und erstellen Sie Erstellen Sie über die Gruppenrichtlinienverwaltung eine neue Regel (z.B. WIN10-NO-BLOATWARE) und gehen Sie mit der rechten Maustaste auf Bearbeiten (unter Gruppenrichtlinenverwaltung > Gesamtstruktur AD-NAME > Domänen > AD-NAME > Gruppenrichtlinienelemente) unter Benutzerkonfiguration > Einstellungen > Windows-Einstellungen > Registrierung > Neues Registrierungselement mit den folgenden Werten:
Sollten Sie jedoch kein Active Directory haben und die Einstellung auf einen Einzelplatzrechner haben, können Sie auch die Einstellung am Rechner selber vornehmen – leider jedoch muss diese pro Rechner vorgenommen werden, da die Einstellung leider nur pro Benutzer und nicht für den Rechner (also alle Benutzer) vorgesehen hat.
Gehen Sie dazu wie folgt vor:
Start > Ausführen > Regedit
Bei Rückfrage der UAC bestätigen
Gehen Sie in den Pfad HKEY_LOCAL_USER\Software\Microsoft\Windows\Current Version\ContentDeliveryManager
Machen Sie einen Doppelklick auf den Eintrag SilentInstalledAppsEnabled und stellen Sie den Wert von 1 auf 0
Deinstallieren Sie alle Anwendungen und starten ihren Rechner neu
Windows wird nun keine Anwendungen mehr selber installieren, auch nicht nach einem Update auf das nächste Build.
Alternativ können Sie die folgende Datei herunterladen, entpacken und ausführen: Win10-ohne-Bloatware.zip
In der Standardkonfiguration bietet Docusnap einen Webserver, der komfortabel alle Informationen bietet (lesend), welche Docusnap inventarisiert hat.
Jedoch ist auch in der Standardkonfiguration die Benutzerverwaltung deaktiviert.
Eine der ersten Tätigkeiten sollte sein, die Benutzerverwaltung zu aktivieren und die Benutzer einzurichten unter Docusnap > Administration > Docusnap Benutzer.
Anschließend kann man die Einstellung wie folgt für Docusnap vornehmen unter Docusnap > Optionen > Docusnap Server > Im Assistenten Tab 4. Server API (natürlich mit euren eigenen Daten):
Eine andere Alternative (auf die ich hier jedoch nicht eingehe),wäre es – die Windowsfirewall entsprechend anzupassen, das nur erlaubte Server/Rechner auf den Port zugreifen können.
Hier erläutere ich euch, wie ich vorgehe um ein System manuell zu inventarisieren:
Server:
Auf dem Server im Installationsordner gibt es einen Unterordner mit dem Namen Tools, dort bitte die Datei DocusnapScript.exe kopieren und bereitstellen.
Weiterhin habe ich einen Ordner erstellt mit dem Namen Reports und diesen als DocusnapReports freigegeben (Vollzugriff!). Dort kann man die Reports reinkopieren.
Im Docusnap kann man unter Intenvar > Script Import einen Import Job erstellen und diesen auch periodisch (z.B. jeden Tag um 18 Uhr) automatisch in Docusnap importieren lassen.
Client:
Auf dem Client habe ich die oben genannte EXE Datei in den Ordner C:\INSTALL kopiert und eine Verknüpfung dazu erstellt mit (docusnapscript.exe -O C:\INSTALL). Beim Aufruf wird im Hinergrund eine XML Datei erstellt, welche in den Reports Ordner kopiert werden kann. Diese Anwendung benötigt nur Userrechte – kann somit sogar vom Anwender selber durchgeführt werden und die XML eingeschickt werden (bitte vorher Zippen – wenn ich mich recht entsinne sperrt Outlook XML Dateien).
Diese Lösung ist nur für Problemfälle mit einem lokalen bzw. on-Premise Exchange Server – NICHT für Office 365 Exchange Systeme.
Um als erstes ein Problem mit den Anmeldedaten auszuschließen, melden Sie sich an OWA (Outlook Web Access) an und prüfen Sie ob diese richtig sind.
Wenn ja, dann kann es sein, das Outlook versucht ihre Daten mit Office 365 Server abzugleichen – obwohl Sie einen eigenen Exchange Server haben. Da dann ihre Zugangsdaten nicht akzeptiert werden vom Office 365 Server kommt immer wieder die Anmeldemaske bzw. kann die Outlook-konfiguration nicht abgeschlossen werden.
Dies sehen Sie daran, das wenn Sie ihre Emailatokonfiguration prüfen (Outlook öffnen, STRG Taste gedrückt halten und mit der rechten Maustaste auf das Outlook Icon, dann sehen Sie dort den Eintrag) und dann Verbindungsversuche kommen nach outlook.office365.com .
Um dies Outlook abzugewöhnen, können Sie einen folgenden Registryeintrag erstellen (entweder von Hand oder über GPO) unter:
Sollte das immer noch nicht klappen, so kann man noch eine weitere Lösung zu rate ziehen:
Erstellen sie in ihrem DNS eine Zone für outlook.office365.com mit einem Hosteintrag auf die IP ihres Exchange Servers (z.B. CAS Server). Warten Sie ab, bis die Einstellung im DNS repliziert ist, leeren sie den Cache des DNS Servers bzw. des Clients (ipconfig /flushdns).
Clients die mobil arbeiten könnte man die Hostsdatei anpassen.
Alte Officedokumentenformate (doc, dot, xls, xlt, ppt) sowie auch neue Officeformate mit der Endung *m (docxm, dotxm, xlsm, xltm) können Macros enthalten, welche Schadensroutinen beinhalten.
Diese Dokumente werden per Email versendet und infizieren Computer und versuchen z.B. Dateien zu verschlüsseln und Lösegeld zu erpressen.
Eine Gefahr ist, das Virenscanner oft nicht vor den Dateien warnen, da das Dokument beim Versand noch kein Virus enthält, sondern erst das Macro diesen lädt. Oft warnt auch dann nicht der Virenscanner, da dieser die Festplatte überwacht – die Anwendung wird jedoch nicht gespeichert, sondern direkt aus dem Speicher ausgeführt.
Das größte Probleme dabei ist, das diese mails mittlerweile täuschend echt aussehen, auf echten Dokumenten beruhen, perfektes Deutsch verwendet wird oder gar vorgeben vom Kollegen zu stammen.
Der sicherste Schutz ist, die oben genannten Dateien direkt auf dem Mailgateway zu blockieren.
Weiterhin kann man auch den Windows Scripting Host deaktivieren. Erstellen sie dazu eine GPO mit der folgenden Einstellung:
Computerkonfiguration > Richtlinien > Windows Einstellungen > Registrierung Zeichenfolge (DWORD) Enabled = 0 für den Zweig HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
Eine weitere Sicherheitsmassnahme ist es Powershell zu deaktivieren. Erstellen Sie dazu eine GPO mit den folgenden Einstellungen:
Computerkonfiguration > Richtlinien > Windows Einstellungen > Sicherheitseinstellungen > Anwendungssteuerungsrichtlinien > AppLocker > Ausführbare Regeln > Neue Deny Regel für jeder auf den Pfad %SYSTEM32%\Windows\PowerShell*
Diese beiden GPO Ordnen Sie der OU zu, wo Workstations und Laptops enthalten sind – nicht den Servern
Achtung: Seit dem 23.1.2019 habe ich auch einen Artikel der erklärt, wie man einen Raspberry Pi verwenden kann. Diese Lösung wäre zu bevorzugen!
Dieser Tip funktioniert zwar grundsätzlich, ist aber weit entfernt davon als stabil zu gelten – womöglich kann er dazu dienen eine kurze Zeit als Notlösung zu fungieren.
Stellen Sie auf dem Rechner im BIOS/UEFI ein, das der Rechner immer an bleibt und nach einem Stromausfall wieder hochfährt.
Stellen Sie im Windows in den Energieoptionen ein, das der Rechner nicht ausschaltet (Festplatte und Monitor können jedoch ausgehen). Es muss niemand am Rechner angemeldet sein, nachdem alles eingerichtet wurde! Es reicht wenn er hochfährt.
Melden Sie sich an Windows mit Adminrechten an und geben Sie dem Rechner eine Feste IP, sowie alle benötigten weiteren Parameter wie DNS und Gateway.
Installieren Sie den aktuellsten Open VPN oder Sophos VPN Client und richten Sie die SSL Verbindung ein (am besten mit rechter Maustaste und „Als Administrator ausführen“) und testen Sie die Verbindung.
Sollte diese funktionieren, gehen Sie bitte in das Config Verzeichnis des VPN Clients (z.B. C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config) und erstellen sie eine Datei mit dem Namen password.txt, tragen sie in der ersten Zeile den Benutzernamen und in der zweiten Zeile das Kennwort ein.
Öffnen Sie die entsprechende Config-Datei und tragen Sie nach auth-user-pass ein Leerzeichen und dann password.txt ein:
auth-user-pass password.txt
Prüfen Sie nun ob Sie die Verbindung ohne Zugangsdaten aufbauen können.
Klicken Sie nun auf Start und tippen Sie services.msc und machen ein Doppelklick auf OpenVPN Service und stellen Sie die Startart auf Automatisch.
Wenn Sie den Rechner neustarten und sich anmelden, sollten sie nach ein paar Sekunden Adressen aus dem entfernten VPN anpingen können (ohne das der VPN Client eine Verbindung anzeigt). Es sollte jedoch die Netzwerkschnittstelle des VPN Clients im Netzwerk- und Freigabecenter aktiv sein (kein rotes X).
Sollte nun soweit alles funktionieren, gehen Sie bitte mit der rechten Maustaste auf die Verbindung in die Eigenschaften auf dem Tab Freigabe (sollte der nicht vorhanden sein, deinstallieren Sie bitte den alten VPN Client und installieren eine aktuelle Version mit Adminrechten).
Windows wird nun eine Meldung ausgeben, das von der Netzwerkschnittstelle die IP Adresse verändert wird auf 192.168.137.1 – stellen Sie die Netzwerkeinstellungen wieder zurück auf die richtigen Werte. Nach ein paar Sekunden sollten wieder entferne Ressourcen anzupingen sein.
Damit nun die anderen Rechner auch das entsprechende Netz finden, müssen Sie eine Route erstellen auf das entfernte Netz, damit sie das nicht an jedem Rechner machen müssen, machen Sie das am besten auf den vorhandenen Router, der die Internetverbindung herstellt – z.B. bei einer Fritzbox unter Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4 Routen:
Bekannte Probleme:
Nach einem Neustart funktioniert die Verbindung zwar an dem Rechner wo das VPN Installiert ist, jedoch nicht mehr bei den anderen Geräten im Netzwerk:
Hier muss einmal wieder der Hacken bei „Internetverbindung freigeben“ bei der VPN Netzwerkschnittstelle entfernt werden – da dabei Windows auch die IP bei der LAN Verbindung zurücksetzt auf 192.168.137.1, muss hier wieder alles die zuvor konfigurierte Adresse zurückgesetzt werden. Nach ein paar Sekunden ist die Verbindung durch den VPN Dienst wieder neugestartet und sollte wieder funktionieren.
Alle Geräte im Netzwerk können auf das Remotenetzwerk zugreifen, jedoch das Remotenetzwerk nicht auf die lokalen Geräte:
Dies wird auch leider nicht funktionieren, da alle Geräte hinter der Adresse des einzelnen VPN Rechners per NAT (Network Adress Translation) versteckt sind und nicht erreichbar sind. Hier würde eine Lösung benötigt, die das gesamte Netz anbindet (z.B. ein Hardwarerouter auf Raspi-Basis). Evtl. kommt hierzu noch ein entsprechender Beitrag.
Sollte bei einem Client, die deinstallation fehlschlagen, da das Kennwort nicht bekannt ist, kann man sich eines Hilfsmittels bedienen um dennoch erfolgreich deinstallieren zu können.
Starten Sie Regedit mit Adminrechten und navigieren sie nach:
Bei einem Benutzer, der sein Homelaufwerk auf einem Netzlaufwerk hatte und die Dokumentenpfade angepasst hatte auf diese Ordner per GPO hatte das Problem, das er keine Software installieren konnte – die Installation brach immer mit dem Fehler Error 1325 Documents is not a valid short file name ab.
Ich habe die Rechte vom Rootordner geprüft und der User hatte keine Leserechte des Rootordners. Nachdem ich den User (bzw. Gruppe Domänen-Benutzer) Leserechte gab auf dem Ordner (Achtung: Bitte Vererbung beachten!) und der User sich neu anmeldete, war das Problem behoben und der Installer lief ohne Probleme durch.
Laut Recherche lag die Vermutung nahe, das der Installer versucht zu lesen, wieviel Platz auf dem Laufwerk ist – was jedoch fehl schlug, da er keine Leserechte auf den Rootordner hatte.
Bei den kleinen Sophos SG mit eingebauten WLAN weicht die Einrichtung des WLAN ab von den der großen Boxen, da diese das WLAN als internes Interface realisiert haben.
Hier eine kleine Anleitung wie man das Password of the Day auf einer kleinen SG-xxxW einrichtet:
Melden Sie sich am Webadmin an
Gehen Sie zu Wireless Networks > New wireless Network …
Erstellen Sie ein Wireless Network mit den folgenden Daten: Network name: Wireless-Gast, Network SSID: Wireless-Gast, Encryption: No encryption, Client Traffic: Separate Zone, Adanved > Client Isolation: Enabled
Gehen Sie nun zu Interfaces & Routing > Interfaces > Add Interface
Erstellen Sie ein neues Interface mit den folgenden Daten: Name: Wireless-Gast, Type: Ethernet, Hardware: wlan1 (Die Nummer ist zu sehen in Wireless Networks > Wireless Networks > In dem Wireless Network in der Klammer angezeigt), IPv4 Address: 192.168.5.254, IPv4 Netmask: 24
Gehen Sie nun nach Network Services > DHCP
Erstellen Sie nun einen neuen DHCP Server mit den folgenden Daten: Interface: Wireless-Gast, Range Start 192.168.5.100, Range end: 192.168.5.200, DNS Server: 192.168.5.254, Default Gateway: 192.168.5.254, Domain: wireless.gast, Lease Time 86400
Gehen Sie nun nach Networks Services > DNS > General und fügen dort unter allowed Networks Wirelss-Gast (Network) hinzu.
Anschließend gehen Sie unter Network Protection > NAT > Masquerading und erstellen eine neue Masquerading Regel mit den folgenden Werten: Wireless-Gast (Network), Interface: External (WAN) und wenn nötig bitte auch Use Address einrichten.
Dann noch unter Network Protection > Firewall die ausgehende Regel für Internet IPv4 und Internet IPv6 anpassen, so das Wireless-Gast ebenfalls mit in die Regel kommt.
Zu guter letzt noch unter Wireless Protection > Hotspots > Hotspots einen neuen Hotspot erstellen mit folgenden Daten: Name: Wireless-Gast, Interfaces: Wireless-Gast, Administrative Users: admin (und die User, die das Password of the Day sehen sollen im Userportal), Hotspot Type: Password of the Day, Password creation Time: 4:00, Send Password by Email to: Adresse oder Verteilerliste, die das Passwort erhalten sollen
Das war die Einrichtung. Wenn man noch möchte, das das Wireless-Gast nicht unverschlüsselt ist kann man entweder ein eigenes Kennwort vergeben (unter Wireless Networks > Wireless Networks > Wireless-Gast bearbeiten > Encrytion Mode aktivieren und ein Kennwort vergeben) oder aber das Kennwort mit dem Password of the Day syncronisieren (dann zusätzlich noch zu dem Punkt vorher in Wireless Protection > Hotspots > Hotspots > Hotspot bearbeiten > Option Syncronize Password with PSK or Wireless Network) – dann muss das Kennwort jedoch doppelt eingegeben werden (als WLAN Kennwort und nochmal beim Aufruf einer Seite auf der Loginseite).
Sie können jederzeit, das Password of the Day einsehen oder zurücksetzen im Userportal im Register Hostspots.
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.
Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.EinverstandenWeiterlesen
