Nico's HelpDesk für alles und jeden
Hilfe, Infos rund um Themen die mich selbst interessen und selber gelegentlich nachschlagen möchte.
Windows 10, Windows Server 2016, Windows Server 2019
Win+R öffnet das „Ausführen“-Fenster und in diesem können gezielte Befehle eingesetzt werden.
Öffnet die cmd.exe und gebt dort die Befehle ein.
Durch das eigene Editieren der Registry könnt Ihr Euer Windows komplett zerschießen! Macht nur etwas wovon Ihr was versteht oder Testet auf einer virtuellen Maschine und setzt Euch vorher einen Prüfpunkt.
Durch das Erstellen einer *.reg-Datei z.B. mit dem Editor kann man die Registry von Windows verwalten.
Erstellt Euch hierzu z.B. mit dem Editor eine „TestReg.txt“ und schreibt in dieser folgenden Code rein:
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\SOFTWARE\_meine Test Software] "Testeintrag"="de-DE,de;q=0.5" "TestdWord"=dword:00000000
Wenn Ihr diese Datei speichert und als „TestReg.reg“ umbenennt, dann könnt Ihr diese Datei mit einem Doppelklick ausführen lassen.
Windows erstellt nun in der Registry (regedit.exe) einen Schlüssel (Ordner) unterhalb von „HKEY_CURRENT_USER\SOFTWARE“. In diesem Schlüssel (Ordner) befinden sich nun zwei Einträge.
Wenn Ihr nun via Reg-Datei einen bestimmten Wert für einen Eintrag setzen wollt, dann muss man nur diesen z.B. bei „Testeintrag“ abändern.
Oder Ihr ändert den DWord-Wert von 0 auf 1
Ändert Eure Reg-Datei wie folgt und schaut Euch das Ergebnis in der Registry an:
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\SOFTWARE\_meine Test Software] "Testeintrag"="mein geänderter Wert" "TestdWord"=dword:00000001
Wollt Ihr von einem Schlüssel einen bestimmten Wert löschen, dann muss als Wert für diesen Eintrag ein „-“ eingesetzt werden. Hierbei ist es egal ab der Eintrag eine Zeichenkette oder DWord oder so ist.
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\SOFTWARE\_meine Test Software] "Testeintrag"="mein geänderter Wert" "TestdWord"=-
Soll ein kompletter Schlüssel mit all seinen Einträgen gelscht werden, dann muss vor dem zu löschenden Schlüssel ein „-“ vorangestellt werden.
Probiert es aus und ändert wieder Eure Reg-Datei wie folgt:
Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\SOFTWARE\_meine Test Software]
Durch das eigene Editieren der Registry könnt Ihr Euer Windows komplett zerschießen! Macht nur etwas wovon Ihr was versteht oder Testet auf einer virtuellen Maschine und setzt Euch vorher einen Prüfpunkt.
Fehler beim Versuch, die ausgewählten virtuellen Computer zu starten. Der Status von „xxx“ konnte nicht geändert werden.
Fehler beim Vorgang. Fehlercode: „32788“.
Ich denke ich hatte mal den virtuellen Computer von einer anderen Maschine Importiert und auf der neuen Maschine gab es den damals angelegten virtuellen Switch nicht.
Die App/Dienst „Windows Server Sicherung“ konnte nicht mehr gestartet werden und es wurde ein schwerer Aufnahmefehler in „wbadmin.msc“ angezeigt.
Im Ereignisprotokoll standen mehrere Einträge mit Fehler in Quelle VSS und den Ereignis-ID’s 13, 12292 und 8228
Volumenschattenkopie-Dienst-Informationen: Der COM-Server mit CLSID {463948d2-035d-4d1d-9bfc-473fece07dab} und dem Namen "HWPRV" kann nicht gestartet werden. [0x8000401a, Der Serverprozess konnte nicht gestartet werden, da die konfigurierte Identität falsch ist. Überprüfen Sie Benutzernamen und Kennwort.
Mein Problem tratt nach einem Upgrade von Windows Server 2016 auf Windows Server 2019 auf.
Bekannte DISM-Befehle haben nichts ungewöhliches gemeldet und auch nichts bewirkt/ repariert.
# Komponentenspeicher untersuchen mit DISM dism.exe /online /Cleanup-Image /AnalyzeComponentStore # Komponentenspeicher bereinigen dism.exe /online /Cleanup-Image /StartComponentCleanup # Analyse und Reparatur dism /Online /Cleanup-Image /ScanHealth dism /Online /Cleanup-Image /CheckHealth dism /Online /Cleanup-Image /RestoreHealth dism /Online /Cleanup-Image /RestoreHealth /Source:WIM:X:\Sources\Install.wim:1 /LimitAccess
Eine Lösung lag nicht auf der Hand und ich habe lange gerätselt.
Nahe liegend war die Lösung nicht wirklich, aber es klappt mit dem zurücksetzen des Sicherheitskatalogs.
Öffnet CMD als Admin und gebt den nachfolgenden Befehl ein und bestätigt die Frage mit „Ja“. Es wird der aktuelle Sicherungskatalog gelöscht und ein neuer Sicherungssatz angelegt. Danach öffnet sich bei mir die App „Windows Server Sicherung“ (wbadmin.msc) wieder und ich konnte ein manuelles Backup erstellen.
Nachdem mein Zertifikat bei Comodo nicht mehr neu beantragt werden kann, habe ich mir neue Anbieter kostenloser Zertifikate gesucht.
Hierbei bin ich zum einen auf Volksverschlüsselung gestoßen und eben auf Actalis. Bei Volksverschlüsselung hat man das Problem, dass die auszustellende CA nicht jedem bekannt ist und so die Mail-Zertifikate als ungültig bzw. nicht vertrauenswürdig angezeigt wird. Dieses Problem sollte man mit Actalis nicht haben. Jedoch glaube ich, dass man mit Volksverschlüsselung länger am Markt rechnen kann. Andere Anbieter werden oft aufgekauft oder bieten plötzlich keine kostenlosen Zertifikate an. Die Authentifizierung bei Volksverschlüsselung ist recht mühsam, wenn man seinen Perso nicht mit der Online-Funktion ausgestattet hat und kein passenden Reader bereit steht.
Bei Actalis bekommt man Stand Feb. 2020 ein kostenloses Zertifikat. Aber auch nach einem knappen Jahr später bietet Actalis kostenlose E-Mail-Zertifikate an und mann kann recht bequem das vorhandene Zertifikat verlängern.
Einfach Zertifikat anfordern, Bestätigungscode (welcher per Mail versendet wird) eingeben und Passwort für das Zertifikat ausdrucken! Das Zertifikat bekommt Ihr im Anschluss per Mail als *pfx zugesandt.
Am sinnvollsten ist es aber vor der Verwendung des Zertifikats die Stammdaten in diesem zu aktualisieren. Dies macht Ihr über das Portal von Actalis.
Nun muss das Zertifikat nur in den Zertifikatsmanager importiert werden und die meisten Mail-Clients erkennen dann das Mail-Zertifikat.
Das Zertifikat wird von der Sub-CA “Actalis Client Authentication CA G1” ausgestellt, diese CA wurde wiederum von der Actalis Authentication Root CA” signiert, welche sich im Speicher für vertrauenswürdige Stammzertifizierungsstellen von Windows befinden sollte.
Aber nun der Reihe nach …
ca. 30 Tage vor Ablauf der Zertifikatsgültigkeit habe ich eine E-Mail von „sslwebserver@actalis.it“ bekommen und wurde über das Auslaufen informiert. In der E-Mail war ein Link enthalten, der mich zur Webseite zum Verlängern meines Zertifikates führte.
https://extrassl.actalis.it/portal/uapub/freemail?lang=en
Sollte beim Schritt 3 das Passwort nicht angezeigt werden, weil plötzlich der „Ich bin kein Roboter“ muniert wird obwohl dieser richtig war, dann kann es daran liegen, dass man sich zwischen den einzelnen Schritten zu viel Zeit gelassen hat. In meinem Fall wurde ein Zertifikat ausgestellt, aber keine Mail mit diesem Zugesandt und ich bekam im Browser auch das Passwort für das Zertifikat nicht zusehen.
Über das Portal-Login kann man zuviel erstellte Zertifikate löschen lassen und sich ein neues (nach dieser Anleitung) erstellen.
Wenn Ihr bereits vorhergehende Zertifikate besessen habt, so solltet Ihr diese Zertifikate im Gerätespeicher behalten. Denn nur mit dem alten Zertifikat können alte damit verschlüsselte Mails gelesen werden.
Habt Ihr ein neues Zertifikat auch bei Verlängerung, so kann man mit dem neuen Zertifikat nicht die alten Mails lesen. Das neue Zertifikat gilt nur für die Mails die mit diesem Zertifikat verschlüsselt werden.
Nun müsst Ihr das Zip-Archiv entpacken und *.pfx-Datei per Doppelklick und Passworteingabe (aus Schritt 3 – Zertifikat erstellen) öffnen bzw. Importieren.
Beim Importieren würde ich persönlich darauf verzichten, dass man die „Hohe Sicherheit …“ aktiviert. Diese Einstellung ist beim Arbeiten ehr hinderlich, auch wenn es sicherer wäre.
Aber dafür würde ich den Punkt „Schlüssel als exportierbar …“ deaktiviert lassen. So ist kein anderer in der Lage sich das Zertifikat ungefragt mit eigenem Passwort abzuspeichern.
Mittels dem Befehl „certmgr.msc“ kann man auch schauen ob das Zertifikat nun da ist.
Voraussetzung hierfür ist natürlich ein eingerichtet E-Mail-Postfach des Users der nun über ein Zertifikat verfügt.
Da ich gerne selber bestimmen möchte wo Outlook die Postfach-Datei ablegt, gehe ich den Einrichtungsschritt immer über „Systemsteuerung\Benutzerkonten\Mail“. Hier hat man unter „weitere Einstellungen“ noch ein paar Einstellmöglichkeiten die beim direkten öffnen eines frischen Outlooks nicht änderbar sind.
Einfach ein neues Profil anlegen und darin dann das neue Mailkonto. Mit etwas Glück findet Outlook alle Einstellungen zum Provider wie pop3-Server etc. alleine. Andernfalls muss man die in Erfahrung bringen und entsprechend eintragen. Diese Einstellungen sind von Provider zu Provider unterschiedlich.
Erste Testnachricht an Dritten ist angekommen. Natürlich noch ohne Signatur und nicht verschlüsselt.
Unter Datei\Optionen öffnet sich Fenster wo man diverse Einstellungen vornehmen kann. Dort unter „Tust Center\Einstellungen für das Trust Center ..“ im darauf folgenden Fenster unter E-Mail-Sicherheit das importierte Zertifikat auswählen.
Wer nun ständig signierte Mails versenden möchte aktiviert das Kontrollkästchen „Ausgehende Nachrichten digitale Signatur hinzufügen“.
Wer auch „Inhalt und Anlagen für ausgehende Nachrichten verschlüsseln“ aktiviert, da versendet wenn möglich nun seine Mails immer verschlüsselt. Kann aber die Mail wegen fehlenden öffentlichen Schlüssel des Empfängers nicht verschlüsselt werden, dann erscheint bei jedem Versenden eine Message-Box. Das ist eventuell störend, so dass man hier darauf verzichtet. In diesem Fall muss man die Verschlüsselung vor dem Versand einzeln aktivieren.
Erste Testmail mit enthaltener Signatur. Die Signatur bestätigt die Echtheit meiner Mail bzw. meiner Person. Keine andere Person kann mit dieser Signatur Mails versenden. Es sei denn, man lässt sich sein privates Zertifikat und den Privaten Schlüssel klauen!
Theoretisch kann man sich selbst eine Mail mit seinem Zertifikat senden und das Zertifikat dann so auf dem iPhone/ iPad öffnen bzw. installieren. Aber …
In diesem Fall sendet man eine unverschlüsselte Mail die wiederum abgriffen werden kann. Wer nun noch an das Zertifikatspasswort kommt, kann Mails mit diesem Zertifikat versenden, lesen und manipulieren.
Aus diesem Grund gehe ich einen anderen Weg und benutze hierzu meine eigene Cloud die auf einem meiner Server läuft. Da man jetzt ein solches Zertifikat nicht aus jeder Cloud heraus öffnen kann, gehe ich den Umweg über eine mobileconfig-Datei die speziell für Apple-Geräte gedacht ist.
Wer iCloud nutzt kann gerne auch sein Zertifikat dort hochladen und dann mit Safari vom iPhone/ iPad öffnen und installieren. Bitte vergesst nicht das spätere Löschen der Dateien/ Zertifikate aus der Cloud!!
Ladet Euch die Vorlage herunter öffnet diese mit einem Editor. Da man den Editor Notepad++ später noch brauch empfehle ich dieses herunterzuladen und zu installieren.
Editiert die *.mobileconfig und ändert folgende Strings:
[Name] = Euer NameSpeichert diese Änderung und ladet Euch die Datei in Eure Cloud/ Webserver und öffnet dann diese Datei mit Safari auf dem iPad/ iPhone.
Je nach iOS Version könnt Ihr gleich das Profil installieren oder bekommt einen Hinweis, dass ein Profil geladen wurde und über „Einstellungen“ installiert werden kann.
Öffnet Euer Zertifikat (*.pfx) mit Notepad++ und markiert mit STRG+A den gesamten Text. Danach geht Ihr im Menü auf „Erweiterungen -> MIME Tools -> Base64 Encode“ und kopiert Euch den nun angezeigten langen String (STRG+C). Diesen String setzt Ihr in die Vorlage anstelle [PrivateKey].
certutil -encode Mein-Zertifikat.pfx neueZertDatei.enc
$content = gc neueZertDatei.enc
$newcontent=$content[(1..($content.length – 2))]
add-content key.mobileconfig -value $newcontent -encoding UTF8
Im ersten Schritt werden Daten aus dem Zertifikat in eine neue Datei (neueZertDatei.enc) geschrieben. Im zweiten weist man den Inhalt aus der Datei einer Variable zu und filtert im dritten Schritt noch mal den Inhalt und gibt dieses Wert einer weiteren neuen Variable. Im letzten Schritt wird der Inhalt der letzten Variable in eine neue Datei namens „key.mobileconfig“ gespeichert.
Diesen String setzt man dann in die Vorlage anstelle [PrivateKey].
Zu finden sind die neuen Dateien alle unter „C:\User\[Benutzername]“.
Wichtig: Zum erneuten durchführen der PowerShell-Befehle oben, müssen vorhandene Dateien unter „C:\User\[Benutzername]“ vorher gelöscht werden. Die Befehle überschreiben keine vorhandenen Dateien!
Einstellungen -> Passwörter & Accounts -> Euer Mail-Account -> Account -> Erweitert -> Signieren -> neues Zertifikat von Actalis auswählen
Über „Erweitert“ zurück gehen und „Standardmäßig verschlüsseln“ auswählen und auch hier das neue Zertifikat auswählen.
Über „<“ und „< Account“ sowie „Fertig“ alles speichern.
Ab jetzt werden die Mails auch von den mobilen Apple Geräten verschlüsselt versendet, sofern man ein öffentliches Zertifikat des Empfängers besitzt.
Aber man kann nun auch an sich gerichtete verschlüsselte Nachrichten auf den mobilen Geräten lesen.
Anmerkung
Nutzt Ihr Apple und sendet Mails aus anderen Apps wie „Foto-App“, dann werden diese Mails NICHT verschlüsselt oder signiert. Nur Mails die direkt durch manuelles Öffnen der „Mail-App“ versendet werden, werden signiert und bei Bedarf verschlüsselt.
Hin und wieder erstellt die BSI sinn bringende Dokumentationen für ein sicheres Arbeiten mit den digitalen Medien.
In diesem Fall schlägt die BSI Konfigurationen für eine domainweite Anwendung von GPO und dem sicheren Arbeiten mit Microsoft Office vor.
Je nach Bedarf kann man diese Einstellungen so 1:1 übernehmen, sollte sich aber im klaren sein, dass unter Umständen bestimmte Funktionen nicht mehr wie erwartet funktionieren können. Unter den einzelnen Empfehlungen gebe ich hier meine Erfahrungen preis und sage warum ich einige Einstellungen so nicht übernehmen würde.
Wer wirklich überhaupt nicht mit Makros arbeitet kann hier den Punkt aktivieren. Diese Einstellung greift dann auf alle Office-Anwendungen und man ist hier gegenüber bestimmter Attacken sicher.
Wer aber Makros benötigt, sollte diesen Punkt nicht konfigurieren und bei jeder Anwendung im Einzelnen die Option „VBA zulassen“ bewerten. Wer VBA benötigt, sollte sichere Arbeitsverzeichnisse festlegen aus denen das Ausführen von Makros erlaubt ist.
Diese Einstellungen findet man unter:
Benutzerrichtlinie\Sicherheitseinstellungen\Trust Center\Vertrauenswürdiger Speicherort #1 bis #20
Wer mit Office 365 und Exchange Online arbeitet, der muss sich z.B. zum Abholen von Mails anmelden können. Somit ist das Einstellen auf „keine zulässig“ nicht richtig. Ich empfehle hier auf „nur Org-Id“ einzustellen. So kann man sich bei Office-Anwendungen nicht mit einem privaten Microsoft Account anmelden.
Ist diese Rule auf „keine zulässig“ oder nur eines der Beiden, dann bekommt der der nicht darf folgendes Fenster angezeigt, wo normalerweise das Anmeldeformular zu Microsoft zu sehen ist:
Der entsprechende Regkey ist hier zu finden:
Computer\HKEY_CURRENT_USER\Software\Policies\Microsoft\office\16.0\common\signinßsigninoptions Computer\HKEY_CURRENT_USER\Software\Microsoft\office\16.0\common\signinßsigninoptions
signinoptions als REG_DWORD mit Werten 0-2 (0=beide, 1=nur Microsoft-Konto, 2=nur Org-Id)
Wer firmeneigene Menü-Icons in Office verwendet, der sollte hier die Regel für die entsprechende Anwendung nicht aktivieren, da sonst die eigenen Menü-Icons verschwinden. Zudem ist das eigene Einstellen der Schnellstartleiste und Menüleiste nicht mehr möglich. Wer aber ohnehin ohne Makros arbeitet, sollte hier der Empfehlung von BSI folgen, da man so auch nicht den vorher ausgeblendeten Menüpunkt „Entwicklermodus“ aktivieren kann.
Ich habe es trotz eigener Menü-Icons so eingerichtet, dass via GPO z.B. Excel nicht aktiviert wurde, habe aber beim Import benutzerdefinierter RegKeys den Wert auf nicht erlauben gesetzt. So blieben mir die firmeneigenen Menü-Icons erhalten, konnte aber dennoch die Schnellstartleiste/ Menüleiste zur eigenen Editierung sperren.
[HKEY_CURRENT_USER\Software\Microsoft\office\16.0\common\toolbars\excel] "nousercustomization"=dword:00000001
Auch hier ist das Deaktivieren problematisch, wenn man mit Office 365 arbeitet und z.B. OneNote Notizbücher mit der Cloud synchronisieren muss.
In den Anwendungen unter „Datei\Konto“ steht bei verbundenen Diensten „OFFLINE Office ist zurzeit offline“
In diesem Zustand kann sich z.B. kein OneNote Notizbuch mit der Cloud synchronisieren.
Daher setze ich diesen Schalter auf „aktiviert“. Der RegKey außerhalb der GPO ist dieser hier:
[HKEY_CURRENT_USER\Software\Microsoft\office\16.0\common\privacy] "disconnectedstate"=dword:00000001
Da ich diese Angaben nicht kenne, konnte ich diese Rule nicht wie von BSI empfohlen aktivieren und habe diese auf „nicht konfiguriert“ stehen lassen.
BSI-CS 138 -> Word
BSI-CS 136 -> Excel
BSI-CS 045 -> PowerPoint
BSI-CS 140 -> Access
BSI-CS 141 -> Visio
BSI-CS 139 -> Outlook
Hier biete ich entsprechende RegKeys zum Download an, ich denke für den privaten Sektor eine guten Ausgangsposition um Office sicherer einzustellen. Diese sind nur Empfehlungen und stellen keinen 100%-Schutz dar!
Wer diese RegKeys nutzen will, sollte sich im Aufgabenplaner/ Taskmanager eine Batch-Datei anlegen und diese bei jeder Useranmeldung starten lassen. So wird sichergestellt, dass versehentliches Umstellen in den Office-Anwendungen wieder rückgängig gemacht werden. Dies betrift natürlich nur Einstellungen, welche durch diese RegKeys erfasst wurden.
Allerdings kann man auch manuell durch Doppelklick auf die RegKeys oder der Batch-Datei diese Einstellungen importieren.
Erstellt eine Datei und bennent diese z.B. „Office-Secure.bat“. Achtet darauf, dass der Explorer (Optionen\Ansicht) unter dem Punkt „Erweiterungen bei bekannten Dateitypen ausblenden“ nicht aktiv ist.
In die Batch-Datei schreibt Ihr nun folgendes:
@echo off echo Reg_Import Office-Security reg import %Userprofile%\Downloads\regkeys\global_HKLM_2020_02_06.reg reg import %Userprofile%\Downloads\regkeys\global_HKLU_2020_02_06.reg if %ERRORLEVEL% NEQ 0 ( echo Fehler bei RegImport Office-Security )
Speichert die RegKeys ins Downloadverzeichnis in einen noch anzulegenden Ordner namens „regkeys“.
RegKey Office 2013/2016/2019/365 allgemein