Weingeist

Kann Dir nachfühlen, habe auch diversen solchen Kram. Ein Roboter eines sehr nahmhaften Herstellers ist z.Bsp. noch auf W95 obwohl das damals schon völlig veraltet war. Aber der braucht wenigstens kein ERP-Zugriff. Solange es bei Filezugriff bleibt, kriegt man das meist irgendwie hin. z.Bsp. auch per FTP oder NFS via separaten Netzwerkadapter und dann alles andere per FW abklemmen. Beim Transferserver könnte man das ganze evtl. auch mit einer Linux-Kiste lösen. Linux kann ja alles mögliche direkt mounten als ob es lokal angeschlossen wäre, also vermutlich auch ein Netzwerkshare auf einem Widows-Server. Das wird dann gleich wieder per SMB1 in das abgeschottete Netz mit einem eigenen Netzwerkadapter wieder zu Verfügung stellt. Leider kenne ich mich mit Linux zu wenig aus, aber hätte auch ein paar Szenarien wo das hilfreich wäre. Die sonstigen "Transfer-Übungen" mit Files manuell rein- und rauskopieren sind eine Katastrophe.

Da gebe ich Dir absolut recht... Trotzdem finde ich leben und leben lassen. Heute muss alles durchgenormt sein, die sogenannten Toleranten sind die intolerantesten gegen alles was nicht ist wie sie. Klima und Vegan ist die neue Welt-Religion seit Gott nicht mehr so modern ist. ;) Viel wichtiger wäre es aber eigentlich wenn man mal da ansetzt wo es Gobal-Klimatechnisch tatsächlich etwas bringt. Kerosin besteuern wie bei Kraftfahrzeugen, Frachtschiffe auf saubere Antriebe umstellen, Kreuzfahrtscheiffe etc. Die Hexenjagt gegen die Autos ist ein Tropfen auf den heissen Stein. Alleine die 40 grössten Container-Schiffe stossen mehr Schadstoffe aus, als sämtliche Autos die auf dieser Welt rumkurven. Also inkl. aller uralt-Kisten in Afrika und sonstwo die wir exportieren. Und es gibt tausende solcher Schiffe! Muss man sich mal vorstellen! Aber da schmerzt es eben richtig. Ferien und Flüge wären plötzlich teuer, Waren auch nicht mehr so billig etc. Für das lokale Wohlbefinden der Bevölkerung hat es aber schon einen Einfluss. Zumindest in Städten. Auf dem Land sehe ich die Autos egal mit welchem Antrieb völlig unkritisch. Aber keine Frage, ich bin auch für die Elektromobilität und jede neue Technologie braucht nunmal ihre Entwicklungszeit. Dass nicht von Anfang an alles super duper ist, ist klar, aber die Zukunft ist mit Sicherheit elektrisch. Die Argument wegen der Batterien, seltenen Erden und das ganze Bla bla kann ich nicht mehr hören. Der Verbrenner hat über 100 Jahre "Entwicklung" hinter sich, die E-Fraktion legt erst jetzt so richtig los. Und es sind die Amis die hier wieder mal vorlegen und nicht unsere schöne grosse Automobilindustrie.

Ist sie auch. Auch ziemlich schnell. Ist ein Clone es eines Rennwagens der 70er Jahre. Der Besitzer macht regelmässig an Rennen und History-Cups mit. Ist immer der totale Zuschauerliebling. ;) CW-Wert ist bei den Birds für damalige Zeiten extrem gut. Das Chassis wurde tatsächlich auch auf gute Strömungswerte getrimmt. So sieht er Original aus.

Ich habe keine der Ereignisse mitgeschnitten... Hat das schon jemand?

Wobei Soundgeneratoren nicht überall wirklich Generatoren sind. Bei den besseren Modellen wird das reale Geräusch der Elektromotoren aufgenommen und teilweise gefiltert und anschliessend verstärkt. Ich würde ja immer noch einen Mustang Mach-E 1400 nehmen =) Oder nen Tesla Model S Plaid, wird ja demnächst auch produziert, bestellen kann man schonmal. Ich persönlich wäre ja auch für nen Hybriden à la LMP2 Klasse zu haben... Och es gibt so viele tolle Autos und je länger je mehr auch tolle Elektro-Autos. Aber soviel Emtionen wie bei sowas kommt halt nicht hoch. Ich hab leider "nur" die Strassenversion fürs Week-End. Wobei dieser sogar Strassenzulassung hat oder zumindest hatte. Wies aktuell aussieht weiss ich nicht. =)

Mich wundert die Time-Line etwas. Exploit-Code ist doch bereits aufgetaucht oder? Klar wegen Drittanbieter Software ist es doof, aber sind die Voraussetzungen damit der Hack überhaupt durchgeführt werden kann relativ hoch oder nimmt man es einfach in Kauf?

AMC Pacer, Yeah die Heckschleuder schlechthin... =) Och, dann aber bitt die 1400er Version. Da würde ich auch schwach werden. =) Der "käufliche" ist irgendwie weder Fisch noch Vogel. Zu SUV-Mässig.

Brrr, schäme dich ;) Kommt gleich vor der Magnatrolle im Kofferraum. :-P @zahni: Finde die Beschleunigung von E-Autos auch extraklasse, aber die Emotionen fehlen irgendwie noch völlig. Der Taycan bringt da zwar schon etwas Feeling rein mit dem Soundverstärker. Aber sonst? Für den Alltag Super, für die Freizeit nein. Eine uralte Ami-Schwarte - sie muss nicht mal speziell laut sein - bringt da schon etwas mehr. Auch wenn die teilweise nur schneller aussehen aber nicht wirklich sind. =)

Yep, Scheint extrem krass zu sein der Bug. Braucht angeblich 3 Sekunden für der Hack...

Yep... Heute stört mich an der Gleichung das Gewicht. Aber nicht wegen dem Sprit, sondern wegen der Performance. =)

Och das geht schon. Der Aufwand ist aber enorm. Viel DSP brauchts eigentlich auch nicht, meist reicht es "schon" mit Laufzeit, Phase und passenden Frequenz-Übergängen wenn der Umbau des Autos richtig gut ist. Damit steht und fällt es eigentlich. Dazu ein klein wenig EQ. Aber bis dann ein gutes Setting erreicht ist, vergeht schon sehr viel Zeit. Dazu kommt, das in vielen höherwertigen Autos die DSP's mittlerweile so gut sind, dass man es mit traditionellen Setups wirklich massiv "übertreiben" muss um tatsächlich klanglich besser zu sein. Dazu der Platzbedarf. Wenn man das Auto dann auch noch alle 3-6 Jahre wechselt, lohnt der Aufwand irgendwie nicht mehr. Im Auto vermisse ich es schon den Regler hochdrehen zu können ohne das irgendwas verzerrt wenn ein geiles Stück kommt. Es klingt einfach immer sc***e oder ist einfach zu leise, egal welche Karre. Egal welche Preisklasse. Egal ob Dynaudio, B&O, Bose etc. Das zeugt taugt höchstens für die gesunde Hörlautstärke. =) Ach, da kommen doch glatt wieder unbeschreibliche Erinnerungen/Emotionen hoch wie das unvermeidbare Zucken in den Augen wenn es ein Schlagzeuger richtig krachen lässt, der Tritt in die Magengrube welcher ein ordentlichen Bandpass verursachen kann, das stinken der TMT's wen mans übertrieben hat, der Knall wenn potente Monoblöcke die LS einfach durchziehen und die Sicke nicht mehr reicht um die Membran zurückzuhalten und alles zerlegt wird. Irgendwann baue ich mir mal wieder so ein Spassauto. Total unvernünftig aber auch total spassig.

Da gehört aber schon immer die Maus dazu, normalerweise zumindest. Bzw. früher gabs das entsprechende Keyboard gar nicht. ;) OK: Man bekommt sie auch ohne Maus :-P Asche auf mein Haupt.

Haha, wer das wirklich ergonomische Zeugs auf Anhieb mag, hab ich noch nicht kennengelernt. Zu unterschiedlich sind die Bewegungs-Abläufe. Zumindest nicht unter jenen die unter der Kategorie Hardcore-User liefen. Aber wenn man mal richtige Probleme hatte, dann fängt man ziemlich zügig an sie zu mögen =) MX-Keys: Für eine normale Maus sehr ergonomisch bzw. eine deutliche Verbesserung. Wie alle MX-Mäuse. Wer aber bereits richtige Probleme hat, wird damit nicht glücklich werden. Zumindest nicht, wenn er längere Zeit am Computer verbringt. Da gibt es aktuell keine wirkliche Alternative zu einer vertikalen Maus und der Anpassung der Bewegungsabläufe. Je früher man sich damit abfindet, desto besser ;)

Yep das dürfte auf das gleiche Probleme hinauslaufen. Der NPS ist eines der ersten Dienste die maskiert wurden und somit funktioniert das nicht (mehr). Unrestricted funktioniert aber - meine ich - nicht in jedem Fall. Soweit meine Recherche korrekt ist, bedeutet das nur, dass eine eigene svchost.exe Instanz verwendet wird und keine Shared. Aber nicht zwingend, dass die SID nicht maskiert wird. Aber die Infos dazu sind eher spärlich gesäht. Manche Dienste schiesst man so auch ab, weil es von MS nicht vorgesehen ist, sie voneinander zu entkoppeln. Welche weiss ich nicht mehr genau, zu lange her als ich das zu Firewall-Debug-Zwecken mal vollständig entdrösselt habe, aber MS ist gerade eh selbst drann alles zu entflechten und macht es teilweise auch wenn mehr als 3.5GB RAM da ist. Daher würde ich jene Dienste die mit viel RAM immer noch gekoppelt sind, gekoppelt lassen. Dürfte seine Gründe haben. Allerdings funktioniert es einwandfrei mit dem Hardlink-Trick wenn man Sie auf eine gemeinsame EXE zeigen lässt.

Ich hatte in der Zwischenzeit auch ein paar solche Fälle ab "Werk", also bei frischen Systemen wo ich nicht manipuliert habe. Insbesondere neuere Builds und nicht 100%ig aktuellen Systemen. Es lag jeweils am Grafikkarten-Treiber/Firmware. Kisten neu aufgesetzt und Treiber durch Windows aktualisieren lassen und weg wars.

Spiele zwar schon ewig keine Games mehr, aber das ist schon ziemlich der Knaller, auch wenn die Bewegunsabläufe der Frau noch nicht 100%ig natürlich wirken. Die Detailtreue von Schatten, Wasser etc. ist schon sehr beeindruckend.

Was ganz genau wie verbogen wird, weiss ich auch nicht genau. Exakte technische Angaben habe ich dazu nicht gefunden. Fakt ist, die Bordeigenen API's können die SID's nicht mehr dem Service-Namen zuordnen bzw. eigentlich anders rum, sie finden mit dem Service-Namen die aktuelle Service-SID welche gerade für den Service verwendet wird nicht mehr. Sie ändert sich quasi mit jedem Start des Services oder beim Neustart von Windows. (Müsste man analysieren was zutrifft). Normal ist die SID immer identisch und ändert sich nicht. Dieses Verhalten hat sich geändert. Deshalb funktionieren Firewall-Regeln auf Service-Ebene eben nicht mehr zuverlässig. Weder Block noch Allow. Ich vermute das ist um Malware ein paar Steine in den Weg zu werfen. Ob die Static-Regeln davon ausgenommen sind, weiss ich allerdings noch nicht. Ich tippe allerdings auf nein, weil die Versions-Nr der Regeln nochmals deutlich tiefer ist. Irgendwann dürfte die Firewall-Engine vermutlich auch ein Update bekommen damit es wieder klappt. Oder es ist Ihnen egal das es nicht klappt weil Standard-Block-Out eh so gut wie nie umgesetzt wird und alle die sich dafür interessieren, sich andersweitig zu helfen wissen. ;)

Das funktioniert tatsächlich im User-Kontext? Also der LPT1 Port wird auf einem TS pro User verwaltet wenn er mit net use verbogen wird? Hätte ich ich so nicht erwartet...

So schwierig formuliert? Ziel ist die Erstellung von Firewallregeln mit der Filterung nach Services. Das funktioniert nicht (mehr) zuverlässig weil die Filterengine den Service nicht mehr zuverlässig findet weil manche Services ihre SID nach dem Start maskieren und so nicht mehr durch die Filter-Engine gefunden werden. Weder für Block noch Allow Regeln. Es gibt wohl keine Möglichkeit Regeln auf der aktuell verwendeten SID zu erstellen. Als Beispiel nenne ich mal Industriemaschinen: Diese sollten nur in ganz klar definierten Zeiträumen Updates beziehen bzw. ausschliesslich auf Kommando. Herunterladen wäre OK, installation aber eben nur wenn die Produktionszelle still steht. Das geht seit W10 nicht mehr, schon gar nicht mit den Pro-Versionen die in der Regel eingesetzt werden. Insbesondere weil man den Updatedienst nicht mehr so konfigurieren kann, das Updates ausschliesslich heruntergeladen aber nicht automatisch installiert werden sollen. Da der Krempel immer öfter an ERP's angebunden ist, Werkzeugdaten, PP etc. empfängt, muss aber eine Verbindung ins Unternehmensnetz bestehen. Auch Fernwartungen sind auf Befehl erwünscht und Schwupps, sind die Updates gezogen, in der Nacht installiert und die Produktion steht still. Nun könnte man Updates komplett abdrehen, was ziemlich aufwändig, nicht wirklich nachhaltig und auch nicht sinnvoll ist. MS aktiviert die Dienste sowieso selbständig wieder wenn sie nicht laufen. Als zweite Variante kann man eben die Kommunikation des Update-Clients sowie Übermittlungsdienst und Bits beschränken. Das funktioniert aber nicht mehr, weil die Dienste nicht mit ihrer eigentlichen SID laufen. Eine granulare Freigabe ist also nicht möglich. Man muss quasi svchost.exe komplett freigeben oder aber die notwendigen Ports, welche wiederum mehrere Dienste - evtl. auch unerwünschte - bedienen könnte. Mit der Separierung der svchost.exe kann man dieses Szenario wieder umsetzen indem einfach auf die exe statt den Dienst selber gefiltert wird. Oder man möchte die Übermittlung von Telemetriedaten auf sensitiven Systemen komplett verhindern. Da der Kram auch via svchost.exe läuft, hätte man früher auf Dienstebene eine explizite Block-Regel erstellen oder eben jene die mein Freigeben wollte, bewusst freigeben können. Ein Block auf diagtrack juckt die Firewall aber nicht wirklich, weil diagtrack eben seine SID maskiert, genauso wie dns oder wuaauserv. Erstellt man nun eine neue svchost.exe welche alle Dienste verwenden welche eine Kommunikation haben dürfen, hat man das Problem umschifft indem nur auf diese eine Freigabe erteilt wird.

Du kannst ja die Defender-definitionen automatisch freigeben. Es gab letzte Woche genau zu diesem Thema ein Thread. Möglicherweise gibt es da schon eine Lösung für das automatische Löschen alter Files. Das Problem wenn Du Internet freigibst ist, dass sporadisch alle Updates via Internet bezogen werden. Manchmal sogar solche die gar nicht freigeben sind.

Das ist normal eigentlich erwünscht, dass sich die Clients nicht via Internet verbinden. Sonst machen die das ständig immer wieder mal. Habe auch schon gesehen, dass dann nicht freigebene Updates gezogen wurden. Der Defender bzw. dessen Definitionen haben einen eigenen Update-Prozess welcher +- unabhängig vom restlichen Windows ist. Man kann die Updates aber auch via WSUS verteilen.

Das Problem hat meinen Jagdtrieb geweckt, also habe ich gestern Abend mal ein paar Stunden geopfert. =) Bei der Internetsuche bin ich auf einen Tipp gestossen, die svchost.exe als Kopie bereitzuerstellen. Hätte ich auch selber drauf kommen können. Fand ich aber nicht so prickelnd. Insbesondere weil sie dann nicht mehr durch das System geschützt ist. Aber es gibt ja noch Hardlinks. Diese müssten auch Update-Sicher sein. Gesagt getan und eine "eigene" svchhost.exe für die Dienste erstellt, welche durch die Firewall kommunzieren dürfen. Die Datei ist wie viele Systemdateien durch TI geschützt, man benötigt also ein TI Token um einen Hardlink zu erstellen ohne den Besitz zu übernehmen. Ich mag es bis auf wenige Ausnahmen, Berechtigungen auf Systemstandard zu belassen. Für die normale svchost.exe habe ich dann eine explizite Blockregel erstellt - theoretisch würde auch einfach das Standard Block-Out der FW reichen - für die svchost-"Kopie" eine Freigabe. Es funktioniert wie gewünscht. Entweder verbiegt man nun alle Dienste auf eine gänzlich eigene "Kopie" und gibt die jeweiligen Ports frei oder erstellt einfach eine "Kopie" für alle die durch kommen sollen. Ersteres hätte den Vorteil, das man quasi wieder die vollständige Filterungsmöglichkeit in der FW hätte einfach das nicht mehr nach Dienst sondern eben nach dessen exe gefiltert wird. Hätte noch den angenehmen Vorteil, das sbei allen Protokollierungen sofort klar ist, welcher Dienst von einem Fehler betroffen ist. Das ist nicht ganz immer der Fall weil lediglich die Prozess-ID + exe geloggt wird. Wenn ein Dienst aber nur bei Gebrauch gestartet wird und unter Umständen jedes mal eine andere ID hat, ist es manchmal schwierig den Verursacher zu lokalisieren. Der Overhead ist minimal und W10 separiert viele Dienste bei genügend RAM sowieso schon mit eigenen Prozessen. Jene die W10 gruppiert, würde ich wohl immer noch gruppieren. Hatte in der Vergangenheit schonmal Probleme als ich für eine Problemsuche alle Dienste mit separaten svchost.exe Instanzen laufen liess. --> Prüfen z.Bsp. mit tasklist /svc /fi "IMAGENAME eq svchost.exe" Ein paar System-Regeln der Firewall sollte man evtl. noch anpassen, diese verweisen auch auf die svchost.exe. Auch die Standard-Regel-Sätze sind dann eben nicht mehr Standard. --> HKLM\System\CurrentControlSet\services\sharedaccess\Parameters\firewallpolicy\restrictedservices\static Das vorgehen funktioniert übrigens auch für Home oder Pro-Versionen wo man z.Bsp. Mühe hat die ganzen Telemetrie-Dienste abzuschalten. So kann man z.Bsp. Industrie-Kisten die immer noch oft mit Pro ausgliefert werden statt mit LTSC wieder etwas besser kapseln/erlaubten Traffic steuern bzw. auf ein Minimum beschränken.

Hallo Leute, Kann mir jemand sagen ob es eine Möglichkeit gibt, Firewallregeln aufgrund eines manipulierten Tokens eines Services zu erstellen? Die Service-SID entspricht da nicht mehr dem Standard. Mit dieser Info würde ich gerne eine Firewall-Regel aktualisieren, damit sie wieder zieht. Eventuell gibt es da etwas - evtl. auch direkt auf der Filter-Engine Ebene statt WFP-Ebene und ich habs übersehen. Eine Regel welche den Service-Namen benutzt und alle "Kinder" freischaltet wäre natürlich top. Hintergrund: Windows verfolgt seit 8.1 teilweise die Strategie, das Token nach dem Starten des Services zu manipulieren. Bei Windows 10 ist diese Anzahl nochmals gestiegen und wird lästig weil zum Beispiel auch der Updatedienst manipuliert wird. Teilweise sind sie sogar User-Basiert und da funktioniert es eh hinten und vorne nicht mehr. Das heisst eine Filterung auf Service-Ebene ist nicht mehr sinnvoll möglich. Das heisst wiederum, man muss z.Bsp. die svchost.exe für ausgehenden Verkehr komplett freischalten, was nicht in meinem Sinne ist. Erklärung eines Threads im Technet: --> wuauserv ist in W10 auch manipuliert. Grüsse und Danke

Der Druckerstack ist schon seit einiger Zeit eine Riesen-Baustelle. Dein genanntes Problem hängt normalerweise mit Treiber zusammen die nicht 100%ig sind. Ist es so ein Billig-Teil oder ein professionelles Gerät? Mit den professionellen Canon-Treiber hatte ich schon länger keinen Ärger mehr, ausser das bei jedem Treiber-Update die Standardeinstellungen über den Haufen geworfen werden bzw. das ausgewählte Profil welches die Standardeinstellungen enthält, abgewählt wird. Office ist wiederum sehr speziell weil es bis auf Access eine eigene Drucker-Auflistung sowie Setting-Stack nutzt und nicht jener des Systems. Keine Ahnung welchem Superhirn das entsprungen ist, aber es macht halt immer wieder Probleme wenn die Treiber nicht gut sind. Dein Problem ist eines davon. Normalerweise schlägt man sich damit aber vor allem bei der Automatisierung rum weil die Standard-Settings nicht geladen werden. Als erstes würde ich alle Drucker rausschmeissen, die Treiber runterwerfen/die Treiber aktualisieren, prüfen ob die Ports für die bidirektionale Kommunikation wirklich freigeben sind sofern Out-Verkehr standardmässig geblockt wird und anschliessend alle Drucker neu verbinden. Wenn es nicht hilft, hier im Forum mal den Thread suchen wo man die Registry-Einstellungen der Druckerauflistung zu finden sind und diese auch alle rauskicken. (War im Zusammenhang mit Terminal-Server notwendig soweit ich mich erinnere)

Nun, wenn man seinen Kunden einen Gefallen machen möchte - insbesondere punkto Lizenzierung - informiert man sich erst über die genauen Folge-Kosten. Virtualisiert und Physisch. Alle grösseren Anbieter dürften für die meisten Aufgaben heute gewappnet sein.