MurdocX

Getreu dem Motto: Reboot tut gut 😉 @fesch Hat es funktioniert?

Die Deaktivierung benötigt keinen Neustart und greift sofort.

Guten Morgen, fangen wir mal mit den grundlegendsten Informationen an: Model, Hersteller, Betriebssystem und was du schon probiert hast. PS: Manchmal ist eine SSD auch kaputt. Das wollen manche nicht wahrhaben.

Hallo Dirk, es gibt Anwendungen die nach einer gewissen Zeit Inaktivität die Verbindung trennen und die Anwendung beenden. Des Weiteren könnte auch durch den Energiesparmodus die Anwendung ihre aktive Verbindung trennen und deshalb die Anwendung schließen. Das lässt sich ganz einfach selbst testen. Fündig über einen Energiesparmodus, Herauf- und Herunterfahren und unsauberen Neustart wirst du bei den Quellen Kernel-Boot Kernel-Power Kernel-General

Microsoft hat erstmals "Best Practices" für Windows Update herausgegeben. Das sind Richtlinien an denen du dich orientieren kannst. Hierbei sollen auch selten ans Netz angesteckte Notebook zuverlässig Updates installieren. Ich hab die Richtlinien gerade noch im Test. Download Microsoft Security Compliance Toolkit 1.0 from Official Microsoft Download Center

Sofern ein aktives Care-Pack existiert, empfiehlt es sich das regelmäßig zu tun. Man hat ja auch dafür bezahlt. Provokant gesagt, könnte sonst auch ein NoName-Hersteller eingesetzt werden.

Hi, mit einem passenden WMI-Filtern und den richtigen Sicherheitseinstellungen lässt sich sowas bauen. Dadurch steigt der Supportaufwand und die Mitarbeiter können nicht arbeiten. Deshalb führt das nicht zwangsläufig zum gewollten Ziel. Besser: Geräte identifizieren und den Vorgang Remote anstoßen.

Bei SPP musst du nochmal korrigieren ;) Da wird nicht das Aktuelle angezeigt. Danke fürs Teilen.

Hallo Dustin, gerne wird vergessen welche Zeit für die Informationsgewinnung und Problemlösungsversuche bisher aufgewendet wurde und was noch kommen wird. Deshalb ist eine Neuinstallation, gerade bei klassischen Diensten wie das AD, weniger Zeitaufwendig als das Troubleshooting. Was kommt bei SFC raus?

Das ist ein guter Punkt, um dort anzusetzen und die Unterschiede herauszufinden.

Es gibt wieder eine Fortsetzung Diesmal wird einfach eine andere Funktion "CopyFile-Registrierungsanweisung" verwendet, um die DLL zu kopieren. Aktuell widerspricht sich MS bzgl. der Ausnutzbarkeit ob nur Lokal oder auch Remote. Quellen: CVE-2021-36958 – Leitfaden für Sicherheitsupdates – Microsoft - Windows Print Spooler Remote Code Execution Vulnerability PrintNightmare: Schon wieder eine Drucker-Lücke in Windows ohne Patch | heise online

Hallo Sandra1982, das hängt stark von seinem Verhandlungsgeschick, der Branche und seiner Tätigkeit ab. Da wird Dir niemand detailliert vergleichbare Zahlen präsentieren können. Als Orientierungshilfe kann er sich bei Gehalt | heise online umschauen und sich einordnen. Den für sich passenden Artikel wird er aussuchen müssen.

> Planen der GPU-Beschleunigung in Windows Server | Microsoft Docs Weiteres: KB4570006: Aktualisieren zum Deaktivieren und Entfernen der Komponente RemoteFX vGPU in Windows (microsoft.com)

Das sehe ich auch so. Man bezeichnet das auch als "Pseudonymisierung". Siehe: Anonymisierung und Pseudonymisierung – Wikipedia

Eine kleine Erweiterung zu @cj_berlin 1. SMBv1 beim Server 2019 aktivieren 2. Nach dem Umzug der Daten vom 2003er SMBv1 wieder deaktivieren

Das Skript kann mithilfe von anderen Tools pdf-Dateien auf Funktionalität prüfen. Zumindest ob sie sich offenen lassen. Der Inhalt kann natürlich nicht bewertet werden. Trifft das auf deine Problemstellung?

Der Klassiker ist der Stockwerksdrucker der seinen Scan ablegen muss…

Wundern würde es mich nicht. Hmm ... Mach einfach eine Freigabe, wenn du das Feature nutzen möchtest und gib den angelegten User nur dort schreiben Berechtigung.

Wie es aussieht sind Server nicht betroffen, insofern sie keine Implacement-Upgrades durchlaufen haben. Ich konnte das Problem schon am eigenen Gerät nachstellen. Wenn ich mich recht entsinne, dann werden Computer-Anmeldeskripte mit SYSTEM-Berechtigung ausgeführt. Das wäre z.B. eine Möglichkeit den Geräten vor Ort asap. Herr zu werden. CERT Coordination Center https://www.kb.cert.org/vuls/id/506989 Impakt Workaround icacls %windir%\system32\config\*.* /inheritance:e oder icacls %windir%\system32\config\sam /remove "Benutzer" icacls %windir%\system32\config\security /remove "Benutzer" icacls %windir%\system32\config\system /remove "Benutzer" und vssadmin delete shadows /for=c: /Quiet

Ich bin bei Dir. Wichtig finde ich auch, dass er versteht, was er dadurch riskiert. Man kann es vll. auch missionieren nennen

In dem du dich nicht mit einem Domänen-Admin an einem Client anmeldest, um die Aufgabe auf dem Client zu erstellen. Ich möchte dich damit nicht piesacken, sondern nur unterstützen und den Hinweis geben, dass du das nächste Ransomware Opfer wirst, sobald ein User mal eine Mail anklickt, die er nicht hätte anklicken dürfen.

Sie entstehen, sobald du dich mit Zugangsdaten an deinem Clients authentifizierst. Dann werden diese im Client in der Registry gespeichert und können ausgelesen werden. Hier geht es nicht um das Skript, sondern mit welchem User du die Verbindung zum Client aufbaust. Mehr gibt es hier auch nicht zu sagen. Zu vielen anderen Dingen wurde schon Stellung bezogen. Das muss ich dann auch nicht wiederholen.

Das schlimmste sind "Cached-Credentials eines Domänen-Admins auf einem Client" . Einige große Firmen merken das auch gerade...

Sehr interessanter Ansatz. Ich glaub ich muss mir da mal Zeit nehmen zum PowerShell‘n. Was liefert denn MS Hausseitig dafür?

Alles Andere wäre verwunderlich. Wichtig sind hier die Einstellungen auf dem Client im BIOS bezogen auf das Boot-Menü. Für weiteren Sinnhaftigkeiten Support, muss m.M.n. das Konzept angepasst werden.