Das Lernen hat heute richtig Spaß gemacht. Die im Buch abgebildeten Aufgabenstellungen habe ich heute mal spasseshalber durchgearbeitet. Weiterhin war heute der Pool an Themen sehr DNS und DHCP-Lastig. Es gab mal wieder ein zwei Haken, die ich neu kennengelernt habe. Am Nachmittag kamen dann Themen auf wie VPN, DFÜ-Verbindungen, Routing & RAS sowie deren Verschlüsselungenmöglichkeiten (PKI, IPSec, etc…).
Im Gegensatz zum Montag und Dienstag, war der heutige Tag sehr angenehm. Das Lernen im Kurs hat Spaß gemacht und die Themen waren auch gleich der Microsoft 70-291 Unterlagen. Ich habe mich sehr gefreut. Der Themenpool umfasst heute noch einmal ein paar kleine Grundlagen. Warum? Damit wir diese immer im Hinterkopf haben und nicht vergessen. Troubleshooting ist ein wichtiges Thema in einem großen Netzwerk und neben den Themen wie DHCP, DNS, NetBIOS und TCP/UDP kamen auch noch andere Themeninhalte dran, die im Buch enthalten sind. Für mich waren heute auch vereinzelt ein paar interessante Tipps und Infos dabei und freue mich schon diese später umsetzen zu können. Heute Abend nochmal im Buch ein wenig nachlesen und das Gelernte verinnerlichen. Mal sehen was die beiden nächsten Tage so bringen werden.
Sicherheitsexperten warnen und befinden sich derzeit in Krisenstimmung, wenn es darum geht was der Conficker am 01. April 2009 anstellen könnte. Genaues wissen die Fachleute aus dem IT-Sicherheitsbereich nicht. Vermutet wird, dass der Conficker alias Downadup oder Kidokiller neuen Code aus dem Internet läd, diverse Domains dabei anspricht. Zudem haben sich an der UNI Bonn ein paar Deutsche Forscher (Felix Leder und Tillmann Werner) zusammengetan deren Ziel ist den Wurm zu bekämpfen. Dabei entwickelten Sie ein Programm, welches die Conficker Varianten .A, .B und .C einfacher und schneller erkennt und gezielt bekämpft. Per Memory Disinfector kann man den Arbeitsspeicher prüfen, ob einer der Wurmvarianten gerade gestartet ist. Aussehen tut es in der Kommandozeile so:
Conficker Memory Disinfector
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------
Examining [0] [System Process]: Error [87] OpenProcess: Falscher Parameter.
no match
Examining [4] System: no match
Examining [1516] smss.exe: no match
Examining [1712] csrss.exe: no match
Examining [1736] winlogon.exe: no match
Examining [1780] services.exe: no match
Examining [1792] lsass.exe: no match
Examining [1960] ati2evxx.exe: no match
Examining [1976] svchost.exe: no match
Examining [396] svchost.exe: no match
Examining [564] svchost.exe: no match
Examining [660] svchost.exe: no match
Examining [1036] spoolsv.exe: no match
Examining [1080] scardsvr.exe: no match
Examining [1412] schedul2.exe: no match
Examining [1424] AppleMobileDeviceService.exe: no match
Examining [1444] AVMIKE.EXE: no match
Examining [1468] avp.exe: Error [5] OpenProcess: Zugriff verweigert
no match
Examining [1480] mDNSResponder.exe: no match
Examining [1548] CERTSRV.EXE: no match
Examining [1592] cjpcsc.exe: no match
Examining [1756] cvpnd.exe: no match
Examining [508] LSSrvc.exe: no match
Examining [1112] mdm.exe: no match
Examining [1168] PGPserv.exe: no match
Examining [1336] svchost.exe: no match
Examining [2368] alg.exe: no match
Examining [2748] BatteryLife.exe: no match
Examining [3220] SynTPLpr.exe: no match
Examining [3228] SynTPEnh.exe: no match
Examining [3236] HControl.exe: no match
Examining [3244] TrueImageMonitor.exe: no match
Examining [3256] TimounterMonitor.exe: no match
Examining [3272] schedhlp.exe: no match
Examining [3300] avp.exe: Error [5] OpenProcess: Zugriff verweigert
no match
Examining [476] iTunesHelper.exe: no match
Examining [3344] ctfmon.exe: no match
Examining [3356] PGPtray.exe: no match
Examining [1836] iPodService.exe: no match
Examining [340] ATKOSD.exe: no match
Examining [3512] cmd.exe: no match
Zum anderen prüft dieses Programm die Registrierung nach einer Verseuchung und findet dabei auch deren Dateien auf dem lokalen System. Und dann gibt es noch ein weiteres Programm namens Nonficker Vaxination Tool, welches als Dienst zum Scan des Systems eingerichtet werden kann.
Heute Morgen ging es eher mir an den Kragen. Ich durfte mir eine Client im Netzwerk ansehen der angeblich mit einem Conficker-Wurm infiziert war! Kurzerhand mal die Windows Systemwiederherstellung deaktiviert, die Registrierung (Autoruns) nach Conficker durchsucht und diverse Tools wie:
Net-Worm.Win32.Kido removing tool, Kaspersky Lab 2009
version 3.0 Jan 29 2009 11:34:58
scanning threads ...
scanning modules in svchost.exe...
scanning modules in services.exe...
scanning modules in explorer.exe...
scanning C:\WINDOWS\System32 ...
completed
Infected files: 0
Infected threads: 0
Splices functions: 0
Cured files: 0
Fixed registry keys: 0
Drücken Sie eine beliebige Taste . . .
- AhnLab
- ESET
- Kaspersky
- F-Secure Malware Removal Tool
- McAfee
- Microsoft Malicious Software Removal Tool
- Sophos
- Sunbelt Software
- Symantec FixDownadup.exe Notes
- TrendMicro
durchlaufen lassen. Großartig wurde nichts gefunden. Alle Clients, die ich betreue haben von Haus aus alle Microsoft Windows Updates und deren Sicherheitsupdates. Daran kann es also nicht liegen! Was nun? Ok, auf einem System, welches ich zum Test nutze, läuft der Virenscanner Kaspersky. Auch dieser hat alle Updates! Zwischenzeitlich habe ich dann mal folgendes Ergebnis mit dem Programm “conficker_mem_killer” erhalten:
Pattern for Conficker.A found
Injecting shellcode
MATCH at offset 0787DD00 of block 077B0000
Pattern for Conficker.B found
Injecting shellcode
MATCH at offset 0787DF20 of block 077B0000
Pattern for Conficker.C found
Injecting shellcode
match
Woran kann dies liegen? Wie kam denn der Fehler zustande? Im Hintergrund wurde der Dienst des Windows Defender deaktiviert. Huch? Die Date MsMpEng.exe wurde auf Grund eines unerwartenden Fehlers beendet. Anscheinend hat das Programm “conficker_mem_killer” die Signaturen von Conficker.A, Conficker.B und Conficker.C im Windows Defender gefunden. Mag komisch klingen ist aber wirklich so. Den Windows Defender habe ich kurzerhand deinstalliert. Ist bei Dir auch schon mal dieser Fehler aufgetreten?
Systemadministratoren, die mit Microsofts Windows-Produkten arbeiten haben es nicht einfach, wenn es darum geht einen ordentlichen Editor in Windows XP, Windows Server 2000 oder Windows Server 2003 nutzen zu können. In Microsoft Windows Server 2003 und Windows XP kann man meiner Meinung nach die MS-Dos Eingabeaufforderung gut nutzen. Es langt, wenn es nur darum geht Befehle kurz zu starten oder mal fix eine Datei zu editieren. Sicherlich kann man auch mehr machen. Administratoren, die unter Linux oder Unix arbeiten sind anderes gewohnt. Gar keine Frage!
Ich möchte Dir heute eigentlich mal was anderes zeigen. Als Beispiel nutzen wir heute die Microsoft Eingabeaufforderung. Der Aufruf erfolg mit dem Befehl: “cmd” (Englisch: command).
Dieser Befehl kann auch über: Start -> Ausführen oder Start -> Programme -> Zubehör -> Eingabeaufforderung (unter Windows XP) aufgerufen werden. Hat man dann ein paar Befehle wie “dir“, “edit“, “move“, “nbtstat“, “arp” oder andere Befehle schon eingegeben kann man diese über die Tastenkombination “F7” als History (Verlauf) öffnen. Zusehen im unteren Screenshot.
Die Liste des Verlaufs geht noch weiter. Je nach dem wie viele Befehle man vorher eingegeben hat. Zusätzlich gibt es aber noch weitere Kommandos, die man ausführen kann:
F5 – ein Befehl im Verlauf nach vorne
F8 – ein Befehl im Verlauf nach hinten
Hingegen kann man mit “F2” Zeichen kopieren und mit “F4” die Zeichen bis zu einem bestimmten Wert löschen lassen. Das Kommando “F9” startet eine Kommando aus dem Verlauf. Voraussetzung ist die Positionsnummer. Wenn man diese kennt kann man ein Kommando aus dem Verlauf direkt starten.
Hallo,
viele Domänenadministratoren sind auf der Suche nach einer Möglichkeit einen direkten Zugriff auf die Registrierungsdatenbank eines Clients in ihrer Domäne zu erlangen, um dort die Berechtigung eines Ordners aller Unterordner zu ändern. Natürlich gibt es hierfür mehrere Möglichkeiten:
- Änderungen des Schlüssels direkt am Client oder
- Änderung des Schlüssels unter Verwendung eines Scripts oder
- Automatisierte Übergabe eines Scriptes per Gruppenrichtlinie.
Das sind die drei häufigsten Varianten. Nun aber zu Technik! Leider hat Microsoft mit dem herkömmlichen Registrierungeditor (regedit) nicht die Möglichkeit geschaffen die Rechte in den Unterordnern automatisch (bei vorhanden Ordnern des übergeordneten Ordners) zu übernehmen.
Zur Variante 1.) sei gesagt, dass die Änderung des Schlüssel per Aufruf von regedit zwar jeder Domänenbenutzer darf, jedoch einige Unterordner können mangels Berechtigung nicht aufgerufen werden.
Zu 2.): die Änderung des Registrierungsschlüssels kann mit Hilfe eines Programmes namens: SubInACL oder SetACL getätigt werden.
Aufruf des Scripts mittels SubInACL:
\\server\$freigabe\subinacl.exe /keyreg “HKLM\Software\Intel” /grant=Benutzer=F
Hier ist aber zu beachten, dass HKLM ausgeschrieben wird!
Nähere Informationen zur Verwendung von SubInACL gibt es in der subinacl.htm aus dem Verzeichnis:
c:\Programme\Windows Ressource Kit\Tools\
Aufrufen des Scripts per SetACL:
\\server\$freigabe\setacl.exe -on “HKLM\Software\Intel” -ot reg -rec yes -actn ace
-ace “n:Jeder;p:Full”
Kurze Erklärung hierfür: die Variabel “-on” (ObjectName) zeigt auf den Registrierungszweig von Intel. “-ot” bedeutet hier “ObjectType; “reg” steht für Registrierungsschlüssel; “-rec yes” steht für Rekursives übernehmen der Berechtigungen (erlaubt = yes); “-actn” = Aktion/Action und “ace” = Übernahme der Berechtigung nach Spezifikation mittels Variable “-ace “n:Dom\User;p=Rights“.
Die Dokumentation von SetACL liegt im Programmverzeichnis des zu entpackenden Zip-Archives!
Zu Punkt 3.) einfach das jeweilige dann angefertigte Script in eine Freigabe verpacken und per MSI verteilen bzw. das Scripts unter den Startscript für den Benutzer hinzufügen. Das wars eigentlich.
Die Sysinternal-Webseite wurde erstellt, um Programme für Windows und deren technischen Informationen bereitzustellen. Sysinternals wurde im Jahre 2006 von Microsoft übernommen. Egal ob Anwender, IT-Experte oder Entwickler – bei Sysinternals findet man alle Programme, die zur Behebung von Problemen, zur Diagnose von Windows-Systemen und -anwendungen oder gar die Verwaltung der Systeme erheblich vereinfachen soll.
Seit kurzem ist es auch möglich direkt aus dem Windows Explorer bzw. aus dem Internet Explorer die Tools des Sysinternal-Servers aufzurufen.
Entweder mit folgendem Aufruf über den Internet Explorer:
http://live.sysinterals.com/<toolname> oder
\\live.sysinternals.com\tools\<toolname>
Die komplette Liste der Toolsnamen (Programmliste) ist über folgenden Link bei Sysinternals zu finden. Desweiteren besteht auch hier die Möglichkeit sich die Programme in der Sysinternals Suite kostenlos herunterladen zu können. Die Programmgröße beträgt derzeit ca. 8 Megabyte.
Webseite: http://microsoft.com
Sysinternals Live: http://live.sysinternals.com
Download: Sysinternals Suite
Guten Morgen,
jeder, der ständig auf Reisen ist und sein Notebook dabei hat kennt das Problem, der ständigen Neueinrichtung des Netzwerkes. Erst vor kurzem ein Netzwerk eingerichtet schon reist man irgendwo hin und muss es schon wieder ändern. Macht nicht wirklich Spaß alles per Hand ändern zu müssen. Dafür gibt es aber eine Ablösung namens NetSetMan. Die Software ist Kostenlos und kann für private Zwecke komplett umsonst genutzt werden. Es ist ein sehr gutes Tool und eine Alternative, um Netzwerkkonfigurationen schnell und einfach zu ändern. Empfehlenswert.
Gruß,
Adrian Sauer
