Windows XP

Beim Zugriff von älteren Betriebssystemen auf Freigaben von Windows 7 oder Windows Server 2008 treten u.U. massive Performanceprobleme auf. Diese haben ihre Ursache im der von Windows 7 /Windows Server 2008 verwendeten SMB-Version. SMB-2 kann per Registry abgeschaltet erden:

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters

Schlüssel “Smb2” als DWORD erzeugen, der Wert “0″ des Schlüssels schaltet SMB-2 ab, der Wert 1 ein.

Es kommt selten vor, bei uns ist es aber bei einigen Kunden an unterschiedlichen Standorten tatsächlich der Fall: reine Insellösungen ohne Internetanschluss. Hier ist ein Update des Betriebssystems nicht unbedingt erforderlich, wenn das System stabil läuft und keine Fremdsoftware ungebetenen Gäste mitbringen kann. Leider zeigt das aktivierte Sicherheitscenter an, daß das System “gefährdet” wäre, was aber aufgrund unserer internetdichten Insel nicht der Fall ist….Das verwirrt machne Anwender. Diese Meldung läßt ich abschalten:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Security Center\UpdateDisableNotify=0

Stellt den betreffenden Rechner dahingehend ruhig.

Ein beliebter Trick von Schadsoftware wie dem BKA-Trojaner ist das Abschalten der Mitteilungen der durch das Sicherheitcenter überwachten Software. So kommt es nach Entfernen der Schadsoftware zu der seltsamen Zusammenstellung daß Security Essentials läuft, das Sicherheitscenter aber seine Funktion nicht anerkennt.

Abhilfe schafft das Anschalten der Mitteilungsflaggen des Sicherheitscenters in der Registry:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Security Center\AntivirusDisableNotify=1

Da der BKA-Trojaner in seiner aktuellen Version auch den Aufruf des Taskmanagers unterbindet, muß nach erfolgreichem Entfernen der eigentlichen Schadsoftware dieser auch wieder zugänglich sein. Dies geschieht mit Hilfe des Registrierungsschlüssels:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System \DisableTaskMgr=0

Ist der Wert “1″ so wird die Schaltfläche für den Taskmanaer ausgegraut und beim manuellen Startversuch erscheint die Meldung “Der Task-Manager wurde durch den Administrator deaktiviert”.

Nachdem wider einmal ein Rechner mit dem BKA-Trojaner befallen war konnte nach Entfernen der Schadsoftware die Registrierung nicht mehr editiert werden. Bei Aufruf von regedit wurde nur die Mitteilung “Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert” angezeigt. Die Lösung: Aus einer Dos-Bos heraus folgenden Befehl eingeben:

REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableRegistryTools /f

Dies löscht den verantwortlichen Schlüssel. Regedit sollte ab sofort wieder funktionieren.

Um den Autostart von Applikationen mit Bordmitteln zu verzägern konnte man in früheren Windows-Versionen den Befehl “choice” benutzen, dieser existiert seit XP aber nicht mehr. Deshalb ein kleiner Trick, mit dem die Verzögerung auf allen Rechner funktioniert: man pingt einfach n-mal an die lokale IP (127.0.0.1) mit einer definierten Pause zwischen den Pings:

ping -n <Anzahl Sekunden> 127.0.0.1 > NUL

Um den net-SNMP-Dienst installieren zu können, werden grundsätzlich 3 Programmteile benötigt: der eigentliche net-snmpd (aktuell die Version 5.6.1.1), die Definition regulärer Ausdrücke (gnu-regex) und Perl (aktuell 5.14.2.1402). Mit diesen Programmteilen ist es möglich, den Netzwerktraffic mitzuschneiden. Sollten die Systeminformationen mit geloggt werden, ist die Installation des originären SNMP-Dienstes der Windows Station erforderlich.

Weiterlesen

start->ausführen->cmd (Kommandozeile öffnen)

set devmgr_show_nonpresent_devices=1

start c:\windows\system32\devmgmt.msc

Aus dem Menü “Ansicht” “ausgeblendete Geräte anzeigen” auswählen. Alle Treiber die grau hinterlegt sind, sind zwar installiert aber nicht aktiv. Alles was nicht gebraucht wird, kann weg.

Das automatische Anmelden läßt sich relativ einfach durch Eingabe von “control userpasswords2″ im Dialog “Ausführen” bewerkstelligen. Im folgenden Dialog das Häkchen für “Benutzer müssen Benutzernamen und Kennwort eingeben” enfernen, den Anmeldebenutzer auswählen, nach Aufforderung das Passwort eingeben und—–fertig. Das funktioniert nicht mit dem Novell-Client!