mroth

Am 16.2.2023 um 14:16 schrieb testperson:

Ist das jetzt ein Bug bzw. temporär oder ein neues "Feature" in der Professional SKU?

 

Ich teste gleich einmal einen älteren Build mit dem Oktober-Patchday bzw. einen auf 22H2 geupgradeten Build.

Danke für die Antworten.

Das war auch mein letzter Stand, nur ist mir das bisher viel zu unsicher. Es ist mir auch nicht vollkommen klar, ob man dieses Feature lizenztechnisch überhaupt nutzen darf, ohne Intune/MDM-Lizenzen, selbst wenn es nicht nur um eine temporäre Erscheinung halten sollte. Ganz davon abgesehen, dass man praktisch so mit jedem Update sein Whitelisting spontan verlieren könnte.

Hallo,

wir nutzen zur Zeit die Software Restriction Policy von Microsoft, die es seit XP-Zeiten gibt, jedoch denken wir zur Zeit über Alternativen bzgl. Software Whitelisting nach.

Vorgestellt wurde uns bereits das Application-Whitelisting von Seculution. Hat mit dieser Software hier bereits jemand Erfahrungen sammeln können?

AppLocker kommt leider nicht infrage, da wir "nur" Windows 10 Pro im Einsatz haben.

Kann hier jemand eine Alternative empfehlen?

Wikipedia liste z.B. noch als Anbieter Bit9, Velox, McAfee, Lumension, ThreatLocker, Airlock Digital und SMAC.

Eine integrierte Lösung in userer Antivierensoftware haben wir nicht, da wir hier auf den Microsoft Defender setzen.

Ich würde mich freuen, wenn jemand seine Erfahrung in diesem Bereich teilen könnte.

Hallo,

wir haben das Problem, dass wir Makro-Enabled Excel-Dateien von einem Kunden nicht mittels Defender-Management bei der Attack Surface Reduction ausgeschlossen bekommen.

Diese liegen auf einem UNC-Pfad:

\\unternehmen.local\dfs_name\QS\Kunde\2022\22304-01\Doc_PP_968774301_mit_Makro_300270257.xls

ASR-Regel:

Block Win32 API calls from Office macros                            Yes         (ist aktiviert)

Wenn wir nun Pfadausnahmen einpflegen z.B:

\\unternehmen.local\data\QS\Kunde\

\\unternehmen.local\data\QS\Kunde\*\

\\unternehmen.local\data\QS\Kunde\*\*\

Hat dies jedoch keine Auswirkung, da die Dateien in einem lokalen Cache ausgeführt werden.

Die Ausführung aus dem lokalen Pfad wird dann wegen der ASR-Regel unterbunden.

z.B.

C:\Users\Benutzer.DOMAIN\AppData\Local\Microsoft\Windows\INetCache\Content.MSO\D22495CB.xls

Da die Regel praktisch unwirksam würde, wenn der komplette lokale Cache-Pfad ausgenommen wird, stellt dies keine Option dar.

Wir können leider auch keine Mustererkennung in den Dateinamen vornehmen, da die Cache-Dateinamen generiert werden.

Hat jemand eine praktikable Idee, wie wir diverse Office-Dokumente mit Makros nutzen können, ohne die Win32-API-ASR-Regel zu deaktivieren?

Kann man evtl. in MS-Office den Cache für Netzwerkpfade deaktivieren, sodass wieder mit (UNC)-Pfadausnahmen gearbeitet werden kann?

Hallo,

wir haben Probleme mit dem Windows Defender.

Ein Fullscan mittels Defender nutzt trotz begrenzender Einstellung zwischen 90-100% der CPU-Zeit.

Es hat den Anschein, dass dieser Wert ignoriert wird oder lediglich als eine Art Richtlinie zu verstehen ist.

Hat hier jemand Erfahrungen mit dem Windows Defender und kann mir sinnvolle Einstellungen nennen, damit ein Scan möglichst wenig stört?

Ich könnte mir vorstellen, den Prozess evtl. auf einen CPU-Kern zu beschränken, jedoch scheint dies nur über Umwege möglich zu sein.

Grüße,

mroth

Hallo,

Ich habe die Anfrage bekommen alle Mitarbeiter eines Büros komplett mit Funkmäusen zu versehen.

Es würde ca. 10-15 Arbeitsplätze betreffen.

Abgesehen von den Sicherheitsaspekten, hat hier jemand bereits Erfahrungen sammeln können, wie zuverlässig die Geräte in ,,Großraumbüros" arbeiten?

Wir setzen schon vereinzelt Funkmäuse ein und ich konnte eine z.B. bei Logitechs Unifying eine Reichweite von 8-10 Metern bestätigen.

Ich würde mich freuen, wenn jemand seine Erfahrungen mit diesem Thema teilen könnte.

Wir möchten auf einfache Art Laufwerke entziehen können und "Aktualisieren" fügt zwar nach meiner Kenntnis neue Laufwerke hinzu, löscht aber bestehende nicht.

vor 18 Stunden schrieb MurdocX:

„Beim Neustarten des Computers und bei der Anmeldung immer auf das Netzwerk warten“

Vielen Dank für die Rückmeldungen.

Diese Richtlinie ist bereits gesetzt, was ich mit dem etwas unglücklichen vorletzten Satz ausdrücken wollte.

"Wartezeit für Richtlinienverarbeitung beim Systemstart angeben" steht ebenfalls auf 60s.

vor 19 Stunden schrieb mroth:

Die "wait for link at startup" und "group policy wait time" GPOs bringen leider keine Verbesserung.

vor 18 Stunden schrieb Sunny61:

https://www.gruppenrichtlinien.de/de/artikel/ssd-zu-schnell-synchroner-startvorgang-nicht-moeglich/

Den Artikel kenne ich, jedoch konnte ich mich zur "alternativen Lösung", der Abhängigkeit zum IP-Hilfsdienst noch nicht durchringen.

Hallo,

Wir haben einige wenige Windows 10 Clients bei denen die Gruppenrichtlinien-Aktualisierung im Hintergrund abgeschaltet ist und dies jedoch ignoriert wird.

Ein auslesen der angewendeten GPOs, sowie der Registry selber, bestätigt eine erfolgreiche Anwendung der Gruppenrichtlinie.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy 1
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\GroupPolicyRefreshTime 660
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\GroupPolicyRefreshTimeOffset 30

Dies ist relativ lästig, da unsere Netzlaufwerk-GPOs auf "Ersetzen" und nicht auf "Aktualisieren" eingestellt sind.

Unseren Anwendern fallen somit beim Verarbeiten von Dateien kurz die Pfade weg oder es schließt sich das Explorerfenster.

Ich würde mich freuen, falls jemand eine Idee hat wie man dieser Problematik begegnen kann.

Hallo,

Ich habe das Problem, dass z.B. Gruppenrichtlinien nicht richtig übernommen werden, da unsere Windows Rechner zu früh anfangen unseren AD-Server zu kontaktieren.

Wahrscheinlich ist das aktivierte Spanning Tree Protocol unserer HP-Switches dafür verantwortlich.

Ich gehe davon aus, dass die Netzwerkkarten-Treiber bereits in den ,,active Link"-Status wechseln, obwohl der Tree noch nicht komplett aufgebaut ist.

Wenn ich bei Intel-Netzwerkkarten die Option ,,Warten auf Verbindung"/,,Wait for Link" aktiviere verschwindet das Problem.

Allerdings fehlt mir diese Option bei Qualcomm und Realktek Netzwerkkarten. Bei Qualcomm Geräten konnte ich den Fehler bereits bestätigen, ob Realtek NICs betroffen sind kann ich noch nicht

mit Bestimmtheit sagen.

Eine Option wäre es evtl. die Switch-Ports fest als Edge-Ports (,,admin-edge-port") zu konfigurieren, allerdings würde dies einen hohen administrativen Aufwand bedeuten.

Messungen zufolge bringt dies bei unseren Switches bis zu. 3s Gewinn beim Aufbau der Verbindung.

Die "wait for link at startup" und "group policy wait time" GPOs bringen leider keine Verbesserung.

Gibt es evtl. eine generelle Möglichkeit den Link-Status erst "aktiv" werden zu lassen, wenn tatsächlich eine Verbindung aufgebaut wurde?

Ja, das ist ausgeschaltet.

Einer ist mittels DVI (Nvidia Quaddro)<->DVI (Monitor) angeschlossen und der andere DP (Nvidia Quaddro)<->DVI (Monitor).

Die Anschlusskabel habe ich an der Monitoren bereits einmal quer getauscht, jedoch ist noch immer der selbe Monitor betroffen.

Hallo,

Ich habe das Problem, dass bei einem Rechner manchmal der Samsung-Monitor nicht automatisch erkannt wird, wenn man den Computer entsperrt.

Normalerweise sollte nach dem Entsperren vom Lockscreen, auf beiden Bildschirmen der Desktop dargestellt werden.

Der zweite Monitor lässt sich allerdings nur durch ein aus- und einschalten wieder dazu bewegen seinen Dienst aufzunehmen.

Versucht habe ich bereits die Source Detection am Monitor auf manuell zu stellen.

Die Monitore habe ich bereits quer getauscht an den Grafikkartenanschlüssen. Ich habe festgestellt, dass dies weder die Position des Monitors geändert hat, noch den Fehler behoben hat.

Ist dies überhaupt ein Windows 10 Problem?

Als Grafikkarte wird eine Nvidia Quaddro 2000 verwendet, ein Treiberupdate würde ich gerne unterlassen, da zur Zeit die CAD-Software keine Probleme macht.

Folgende Richtlinien sind gesetzt:

Hallo,

gibt es eine Möglichkeit normale Benutzer Skype Classic (z.B. 7.40.0.103) selbstständig aktualisieren zu lassen?

Die C:\users\nutzername\appdata\local\temp\SkypeSetup.exe, welche automatisch im Hintergrund heruntergeladen wird, fragt via UAC nach administrativen Rechten.

Vielleicht hat sich hier ja bereits jemand mit dem aktualisieren von Skype auf mehreren Rechnern (in der Domäne) beschäftigt.

Ich habe bereits ausprobiert den "Skype Updater"-Dienst als Administrator zu starten (ohne Erfolg), darüber hinaus führt auch Skype selbst beim Start die Updateprüfung durch und startet die SkypeSetup.exe-Executable mit

den Rechten unter denen auch Skype gestartet wurde.

Desweiteren nutzen wir auch eine Software-Restriction, hier sehe ich jedoch die Möglichkeit das Setup mittels Zertifikat freizugeben.

Das Skype Programmverzeichnis ist über eine Pfadregel freigegeben.

Grüße,

mroth

Naja, Linux hat out of the box keinen.

Natürlich gibt es auch dort entsprechende Services, welche man installieren kann.

Ich wollte das auch wirklich nur benennen, da ich die DNS-Server somit auch einmal außerhalb von Windows getestet habe.

Die Windows Server - DNS-Dienste können also schnell antworten.

Ich weiß momentan ehrlich gesagt nicht woran es liegen könnte. ^^

Ich kenne mich auch nicht gut genug aus um zu wissen, ob dies jetzt ein Client-Problem ist, ein Kombinationsproblem oder ein Server-Konfigurationsproblem.

Danke für die Antwort, die Clients haben beide die richtigen DNS-Server eingetragen.

Vielleicht helfen ja auch die Einstellungen des DNS-Servers.

Wir haben zwei AD/DNS-Server:

192.168.100.1 und 192.168.100.19

DNS-Manager:

(identisch mit übergeordnetem Ordner) Autoritätssprung (SOA) ads01.server.local hostmaster.server.local

(identisch mit übergeordnetem Ordner) Nameserver (NS) ads01.server.local

(identisch mit übergeordnetem Ordner) Nameserver (NS) ads02.server.local

(identisch mit übergeordnetem Ordner) Host (A) 192.168.100.1

(identisch mit übergeordnetem Ordner) Host (A) 192.168.100.19

Wenn ich sie beide DNS-Server abwechselnd manuell einzeln beim Netzwerkadapter eintrage, bekomme ich bei beiden das selbe Fehlerbild.

Der Ping auf das dns suffix mit Round Robin ist langsam.

Ein Ping auf einen einzelnen Host wird hingegen sofort durchgeführt.

So richtig kann ich das Verhalten auch nicht nachvollziehen, da Windows ja zusätzlich auch einen DNS Cache besitzt.

Dies passiert auch nur unter Windows, unter Linux ohne DNS-Cache wird sofort aufgelöst.

Hallo,

Ich grabe nochmal dieses alte Thema aus, da ich ehrlich gesagt noch immer Probleme damit habe.

In der Zwischenzeit habe ich versucht den Fehler weiter zu analysieren.

Ein Ping auf den domain suffix dauert einige Sekunden bis er unter Windows ausgeführt wird.

Unter Linux antwortet der DNS-Server sofort abwechselnd mit zwei IPs (Round Robin).

Trage Ich eine IP zu server.local in die hosts-Datei des Windows-Clients ein, können die GPOs erfolgreich übernommen werden.

Danach werden Netzlaufwerke zuverlässig eingebunden und auch der Ping wird sofort ausgeführt.

Desweiteren habe ich getestet die zeroconf (LLMNR) Namensauflösung auszuschalten und den dns-cache zu deaktivieren (net stop dnscache).

C:\Users\Hans Mustermann>ping server.local

<an dieser Stelle vergehen einige Sekunden bis der Befehl ausgeführt wird>

Ping wird ausgeführt für server.local [192.168.100.1] mit 32 Bytes Daten:
Antwort von 192.168.100.1: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.100.1: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.100.1: Bytes=32 Zeit<1ms TTL=128

Über eine zündende Idee, wie man hier weiterkommen könnte würde ich mich freuen.

Hallo,

Ich habe Sicherheitsbedenken beim Einsatz von Bluetooth-Headsets.

In wiefern, lassen sich diese auf reine Audio-Verbindungen beschränken, bzw. sind meine Bedenken überhaupt gerechtfertigt?

Gibt es evtl. eine Alternative mit proprietärem Sender und Empfänger, welche am PC über Klinke oder USB angeschlossen werden? WLAN ist nicht verfügbar.

Ich suche ein Headset mit Noise-Cancelling (Mic und Kopfhörer), welches über die Ohren geht.

Vielleicht hat ja hier bereits jemand damit Erfahrungen gesammelt.

Über Antworten oder Vorschläge würde Ich mich freuen.

Grüße,

mroth

Das selbe Problem hatten wir auch mit Build 1709, ohne den aktuellsten Treiber von Intel bzw. Realtek funktioniert WOL bei uns auch nicht mehr.

Hallo,

powercfg /hibernation off

war bereits gesetzt, Platz ist ausreichend vorhanden, da es sich um eine Neuinstallation handelt.

 

Ist das deine Meinung oder hast du es so wie ich es schrieb umgesetzt und nachgeprüft?

Ich habe das Eventlog durchgesehen, sowie den Neustart nach BSOD abgeschaltet.

Bios, Chipsatz- und Netzwerkkartentreiber sind aktuell.

Wenn ich im Bios WOL deaktiviere, ist das Problem behoben.

Es scheint also einen Fehler im Zusammenhang zwischen WOL, diesem Notebook und dem Windows Build 1709 zu geben.

Zur Not kann ich eben erstmal kein WOL mit diesem Gerät nutzen.

Vielen Dank für guten Tipps

Hallo,

Das Bios ist noch nicht auf dem neusten Stand, das werde ich gleich aktualisieren.

Einen BSOD bekomme ich nicht beim Herunterfahren.

Bezüglich des Eventlogs, kann ich keine Fehler sehen.

"powercfg -devicequery wake_armed" gibt mir den Intel 82579LM Adapter aus. Allerdings benötige ich auch WOL.

Zu Testzwecken, werde ich dies einmal deaktivieren.

Das Bios Update (mitte 2017) hat leider auch keine Verbesserung erbracht.

Hallo,

Wir haben ein Fujitsu Ultrabook U772, welches sich beim Herunterfahren neu startet.

Nach einem Neustart funktioniert das Herunterfahren einmalig.

Kann sich jemand einen Reim daraus machen?

Der Windows Schnellstart ist deaktiviert. (powercfg /h off)

WOL ist aktiviert.

Im BIOS kann ich keine Option finden, welche das Gerät z.B. bei Stromunterbrechung automatisch neustarten würde.

Windows 1709 Pro

Gruß,

mroth

Leider steht nichts belastbares im Eventlog und wir haben auch keine Shell-Erweiterungen installiert.

Wir führen die Updates der Richtlinien nur beim Systemstart durch oder eben manuell mittels gpupdate, jedoch nicht automatisch im laufendem Betrieb.

In der Testreihe wurden somit 80x die Richtlinien übernommen 40x beim Systemstart und 40x zusätzlich mittels gpupdate.

Der Fehler bleibt danach vielleicht für 2-3 weitere Updates der Richtlinien bestehen und verschwindet dann von selbst wieder.

Sofort danach kommt noch 2x folgender Eintrag, ist allerdings nicht jedes mal der Fall

Der Schnellstart ist bereits bei allen Rechnern deaktiviert.

Hallo,

wir haben an einigen Windows 10 - Build 1709 Rechnern das Problem, dass der Windows-Explorer mehrmals täglich abstürzt.

Ob nun direkt eines unserer eingesetzten Softwareprodukte daran beteiligt ist kann ich nicht beurteilen.

Vielleicht handelt es sich ja um ein aktuelles generisches Windows-Problem und jemand von euch hat eine Idee parat, die ich ausprobieren könnte.

Grüße,

mroth