Der Eine oder Andere  von euch kann vielleicht schon erahnen, um welches Tool es hier geht. Ja natürlich … ich stelle euch heute mal “PSExec” vor. PSExec ist Bestandteil der PSTools, welche jedem von uns als die Sysinternals-Befehlszeilenprogramme bekannt sein dürften. Mit ihnen kann ein Kommandozeilen-Befehl an ein entferntes System abgesetzt und ausgeführt werden. Der Vorteil von PSExec ist, dass auf dem entfernten System kein Agent installiert oder sonstige clientseitige Vorbereitung getroffen werden muss. Wir können es auch sehr gut mit einen stark vereinfachten Telnet vergleichen.

Anwendungsbeispiele:

• Remote Ausführung des Befehls “wuauclt /reportnow” oder “wuauclt /detectnow” beim Patchmanagement
• Ausführung von Batchfiles und VB-Scripten z.B. zur Anpassung der Registry
• Ausführung von NTBackup von Remote mit einer Batch auf mehreren Systemen
• Einmalige Rollouts von Anwendungen (Internet Explorer, Inventarisierungs oder Antivirus-Agenten)
• etc.

Syntax:

psexec [\\Computer[,Computer2[,...] | @Datei][-u Benutzer [-p Kennwort]][-n s][-l][-s|-e][-x][-i [Sitzung]][-c [-f|-v]][-w Verzeichnis][-d][-<Priorität>][-a n,n,... ] cmd [Argumente]

Beispiel:

psexec \\computer ipconfig

Dieser Befehl dient der Ausführung von ipconfig, wobei die Ausgabe auf dem lokalen System erfolgt.

Argumente für PSExec:

Computer: Angabe des gewünschten Systems

@Datei: Verweist auf Textdatei mit den gewünschten Systemen

-a: Benennung der Prozessoren zur Ausführung der Anwendung

-c: Kopiert das angegebene Programm zur Ausführung auf das Remotesystem

-d: Beendigung von Anwendung nicht abwarten

-e: Lädt nicht das Profil des angegebenen Kontos

-f: Überschreibt das angegebene Programm auf Remotesystem

-i: Programme werden so ausgeführt, dass sie mit dem Desktop auf dem Remotesystem interagieren

-l: Führt das Programm als Benutzer mit eingeschränkten Rechten aus

-n: Gibt  Timeout in Sekunden an

-u: Gibt optionalen Benutzernamen für die Anmeldung beim Remotecomputer an

-p: Gibt das Kennwort für den optionalen Benutzernamen an

-s: Führt den Remoteprozess im Systemkonto aus

-v: Kopiert die angegebene Datei, wenn sie eine höhere Versionsnummer besitzt

-w: Gibt das Arbeitsverzeichnis für den Prozess an

-x: Zeigt Benutzeroberfläche

-Priorität: Führt den Prozess in angegebener Priorität aus

Programm: Name des Programms

Argumente: Zu übergebende Argumente

Links:

http://download.sysinternals.com/Files/PsTools.zip

Sascha Giebelhausen

Wie Ihr vielleicht wisst, gehören die Worte “Intel” und “PROSet” nicht zu den Worten, die mich ruhig schlafen lassen.  Jedoch muss ich heute der Firma Intel mal zu der (aus meiner Sicht) zuverlässigsten Intel PROSet-Version ab Version 10.0 gratulieren.

Nach immerhin 18 Monaten hat es Intel nun tatsächlich geschafft, ein zuverlässiges Intel PROSet (Version 14.8.43.0) zu veröffentlichen.

Zur Historie: Vor etwa 1,5 Jahren hat Intel eine neue Version (10.0) von PROSet mit  WMI-Integration veröffentlicht (damit das Teaming auch schön über den Klickibunti Windows-Gerätemanager gesteuert werden kann). Da eben diese Integration von PROSet einen Fehler im WMI verursachte, wurde im Zusammenspiel mit Viren- oder Netzwerkscannern die Netzwerkverbindungen getrennt oder die Reiter für Teaming und VLAN im Gerätemanager einfach ausgeblendet. Ergebnis: Eine nachträgliche Konfiguration des Teamings war nicht mehr möglich. Und dabei blieb es nicht: Es kam zu regelmäßigen Verbindungsabbrüchen.

Jetzt hat Intel diese Fehler mit der Intel PROSet-Version 14.8.43.0 behoben.

Ich gratuliere hiermit zur erfolgreichen Beseitigung eines Fehlers nach immerhin 1,5 Jahren.

Links:

Network Connectivity Issues on Intel Teamed NICs when Symantec AntiVirus or Endpoint Protection Client is installed [Symantec]

Network Adapter Drivers for Windows XP and Windows Server 2003 [Intel]

Sascha Giebelhausen

“Patchmanagement? Warum? Wir hatten noch nie Probleme!”

Seit nun mehr einem Jahr infiziert Conficker nicht ausreichend abgesicherte Microsoft-Betriebssysteme. Auch wenn es in den Medien immer ruhiger wird um den Wurm, ist es doch teilweise sehr erschreckend, wie unsensibel einige Unternehmen und Konzerne mit diesem Thema umgehen.

So erreichen uns in regelmäßigen Abständen Anrufe von deutschen Unternehmen, die auch nach dem vor mehr als einem Jahr erschienenen Security Patch “MS08-67″ und aufgrund nicht ausreichender Präventivmaßnahmen infiziert wurden.

Rückblick:
Vor zwei Monaten sitze ich mit meinem geschätzten Kollegen bei einem Bestandskunden, wir reden darüber, worüber wir irgendwie viel zu oft reden: Patchmanagement, Sicherheitsmanagement, Anti-Virus, Backup, Anti-Spam usw. Der Kunde sagt glücklich wie stolz zugleich: “Patchmanagement? Warum? Wir hatten noch nie Probleme!” Kein rankommen für uns, Argumente sind hier fehl am Platz – wir trinken unseren Café zuende und verabschieden uns.

Zwei Monate später:
Handyklingeln. Gleicher Kunde am anderen Ende. Über die Freisprechanlage meines Wagens begrüße ich Ihn mit überschwänglicher Freundlichkeit (es war ein Montag). Ich vernehme ein Wimmern gefolgt von folgender Aussage: “Herr… wir haben einen Befall! Conficker…!” Drei Stunden später waren wir vor Ort. Der Kunde hat nicht übertrieben. Homogene Windows 98/2000/XP/2003 Umgebung . Eines aber haben sie alle gemeinsam: Kein Anti-Virus, kein Patchmanagement (geschweige denn MS08-67) oder Servicepacks.

Fazit:
Conficker existiert weiterhin und ist angriffslustig wie am ersten Tag – das Risiko für nicht ausreichend geschützte Infrastrukturen steigt faktisch von Tag zu Tag an! Es ist lediglich eine Frage der Zeit, bis ungepatchte, nicht durch einen aktuellen Virenscanner geschützte Systeme infiziert werden. Sei es über das Internet oder über Wechseldatenträger.

Eine wahre Begebenheit, satirisch und bewusst überspitzt dargestellt, von Thomas Gronenwald und Florian Thiessenhusen

Intel…die fünf Buchstaben des Teufels. I-N-T-E-L. Ich verzweifele seit geraumer Zeit an Deinstallationen von alten PROSet Installation. Richtig…P-R-O-S-E-T: Die sechs Buchstaben des Satans – spaß beiseite…

Bei mir stand diese Herausforderung heute (mal) wieder auf der Tagesordnung. Ich musste Intel PROSet 11.2.50.0 deinstallieren und durch die Version 14.8.43.0 ersetzen. Eine Aufgabe, wie sie einfacher nicht sein könnte (deswegen habe ich damit um 11:30 Uhr angefangen – dann bin ich pünktlich um 12 Uhr in der Kantine). Leider konnte PROSet nach der Deinstallation nicht mehr neu installiert werden. Dies galt für die neue, als auch für die alte Version. Ich erhielt immer nur den Fehler, dass für die Anwendung kein Update vorgesehen ist und diese vorher deinstalliert werden muss.

Die Lösung ist erstaunlicherweise einfach, aber fragt mich bitte nicht wie ich darauf gekommen bin (meine sich andeutende Unterzuckerung hat mein Kurzzeitgedächtnis scheinbar genullt).

Workaround:

1. Entpacken des Installationspakets des neues Intel PROSet
2. Entfernung aller virtueller Gruppen und VLAN’s via Gerätemanager
3. Deinstallation der Anwendung PROSet (über Systemsteuerung\Software)
4. Deinstallation der Netzwerkkarten im Gerätemanager
5. Installation der neuen Treiber über den Gerätemanager und die Treiber im Installationspaket
6. Navigation in den Unterordner  [Installationspaket]\APPS\PROSETDX\Win32
7. Ausführung der Silent-Installation von PROSet über den Befehl “DxSetup.exe -qn”
8. Zuweisung/Erstellung der Gruppen und VLAN’s
9. Einrichtung der Netzwerkeinstellungen

Ich habe im übrigen noch eine viel bessere Geschichte auf Lager, welche die Kompetenz und/oder Inkompetenz der Intel-Entwickler auf das deutlichste unter Beweis stellt. Dazu morgen mehr….

Sascha Giebelhausen

Gestern rief mich ein Kunde an. Soweit nichts Ungewöhnliches. Aus mir bisher noch schleierhaften Gründen hat er den Entschluss gefasst, einen Windows Client ohne das bereits installierte „Symantec AntiVirus“ (kurz: SAV) zu nutzen. Leider wird er bei der Deinstallation nach einem Kennwort gefragt (das kommt nur bei zentral verwalteten Clients vor). SAV wird übrigens durch Symantec Systems Center verwaltet. In dieser Situation habt ihr nun folgenden drei Möglichkeiten um SAV zu deinstallieren.

1.  Die Blöße geben und den „Systemerrichter“ (Azubi, Ex-Kollege, Praktikant oder Dienstleister) fragen

Diese Option stellt jedoch ein hohes Risiko für die eigene Reputation im Unternehmen dar. Daher scheidet sie aus. Außerdem muss man sich dann möglicherweise unangenehme Fragen stellen lassen.

2.  Deaktivierung des Kennworts

1. Ausführung des Befehls “regedit”
2. Navigation zu folgenden Pfad “HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\AdministratorOnly\Security”
3. Änderung des Schlüssels useVPuninstallpassword von 1 (Passwortabfrage aktiv) auf 0 (Passwortabfrage inaktiv)

3.  Änderung des Schlüssels useVPuninstallpassword von 1 (Passwortabfrage aktiv) auf 0 (Passwortabfrage inaktiv)

1. Ausführung des Befehls “regedit”
2. Navigation zu folgenden Pfad “HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\AdministratorOnly\Security”
3. Änderung des Schlüssels VPuninstallpassword auf “1084A085DC6BD2D755D4D6A7726″
4. Jetzt könnt ihr Symantec AntiVirus 10 mit dem Passwort “symantec” deinstallieren

Sascha Giebelhausen

Symantec Enpdoint Protection, kurz SEP, ist die AntiVirus Lösung aus dem Hause Symantec.

Wie auch immer: Manchmal kommt es vor, das ein SEP Client seinen Verwaltungsserver “verliert”. Dies kann durch Verlust durch Netzwerkverbindung o. ä. schonmal vorkommen. Dummerweise kommt es aber auch vor, dass sich ein Client danach nicht mehr “erholt”, heißt, er dümpelt danach so ganz unverwaltet vor sich hin. Bei SAV (Symantec AntiVirus Coporate Edition) hieß die Lösung: “Ersetze die GRC.dat”. Bei SEP (dem offiziellen Nachfolger von SAV) heißt die Lösung: “Ersetze die sylink.xml”. Die Sylink.xml ist eine vom Verwaltungsserver zur Verfügung gestellte Konfigurationsdatei. Diese befindet sich auf dem Verwaltungsserver (SEPM-Symantec Endpoint Protection Manager). Diese Datei findet Ihr wie folgt:

1. gehe zu C:\[Program-Dir]\Symantec\Symantec Endpoint Protection Manager\data\outbox\agent\
2. jeder alphanumerische Ordner stellt eine im SEPM definierte Clientgruppe dar
3. jeder Ordner enthält eine LSProfile.xml
4. Um rauszufinden, welcher alphanumerische Wert zu welcher Gruppe gehört, die LSProfile.xml öffnen und nach dem Tag suchen. [Clientgruppe] repräsentiert die jeweilige Gruppe die dargestellt wird.
5. Kopiere die richtige sylnk.xml aus dem richtigen Ordner.

Das Tool, womit man nun den Client bearbeitet, nennt sich “sylinkdrop.exe”. Dieses befindet sich auf der zweiten Installations-CD von SEP(M):

CD2\TOOLS\NOSUPPORT\SYLINKDROP

Dieses Tool auf entsprechendem Sorgenkind ausführen, sylink.xml auswählen, bestätigen, fertig. In circa 100% der Fällen ist danach alles wieder in Ordnung. Eine Neuinstallation entfällt dadurch.

Florian Thiessenhusen

Nur am Rande: Ich möchte die Gelegenheit nutzen, um kurz mit einem Vorurteil aufzuräumen: Norton hat nichts mit SEP zu tun, es gibt keinerlei technische Gemeinsamkeiten! Was habe ich nicht schon alles gehört: “Symantec kriegt man nicht vom System runter!”, “Symantec macht mein System langsamer!”, “Kann man Norton360 auch auf einem Windows NT Server installieren?”, “Seit Symantec drauf ist habe ich viel mehr Viren als vorher” und so weiter, und sofort. Mir liegt es fern, hier Werbung für irgendwas zu machen (gerade in Anbetracht dieser Tatsache), aber beobachtet mal Foren, wenn es um Symantec im generellen geht… alles reduziert sich auf die o. g. Kern”aussagen”.

Wie einige von euch vielleicht schon aus den Medien erfahren haben, gibt es seit dem Jahreswechsel mit verschiedenen Anwendungen (EC-Kartenzahlungen) Probleme. Diese wurden Hauptsächlich durch Programmierfehler verursacht und werden so schnell wie möglich durch die Hersteller behoben.

Auch Symantec Endpoint Protection ist von einem solchen Programmierfehler betroffen. Zur Zeit wird auf allen Systemen mit Symantec Endpoint Protection 11.x eine veraltete Virendefinitionen angezeigt. Dies wurde mit dem Jahreswechsel durch Symantec veranlasst, da alle Signaturen ab dem 01.01.2010 als “out of date” gemeldet wurden. Bis ein Update zur Verfügung steht, wird Symantec alle Signaturen mit dem Datum 31.12.2009 versenden.

Ihr könnt lediglich anhand der Revisionsnummer erkennen ob die Signaturen aktualisiert werden. Beim Erscheinen eines Updates werden wir euch Natürlich unmittelbar informieren.

In folgendem KB-Artikel wird das Problem und die Lösung nochmal direkt von Symantec geschildert.

Links:
http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2010010308571348

Sascha Giebelhausen

Nach der Installation von Symantec Endpoint Protection 11 auf einen Microsoft Terminal Server werden offene Sitzungen von Anwendern nicht beendet. Dieser Fehler kann durch den Dienst smcgui.exe verursacht werden. Die Lösung für dieses Problem ist die Deaktivierung der grafischen Benutzeroberfläche (GUI) von Symantec Endpoint Protection.

Hinweis: Bei der Eröffnung der Sitzung auf Terminals Servern, wird das Icon von SEP mehrfach in der Taskleiste angezeigt.

Deaktivierung der GUI über die Registry (regedit.exe):

1. Registrierungsschlüssel auf “0″ setzen
   HKLM\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\LaunchSmcGui = 0
2. Server neu starten

Eine ausführlichere Erläuterung mit allen notwendigen Einstellungen für die Verteilung von Symantec Endpoint Protection auf Citrix und Windows Terminal Servern, kann in folgenden Artikeln der Knowledgebase von Symantec nachgeschlagen werden.

Links:
Best Practices for Symantec Endpoint Protection on Citrix and Terminal Servers
Terminal Server resources are consumed by multiple instances of SEP processes

Sascha Giebelhausen