Kategorie: Windows

Windows 10 Creators Update erscheint am 11. April 2017

Windows 10 Logo

Microsoft hat den Erscheinungstermin des Windows 10 Creators Update mitgeteilt. Der weltweite Rollout via Windows Update beginnt am 11. April 2017. Damit erscheint Windows 10 Version 1703 rund acht Monate nach dem Anniversary Update (Version 1607), welches am 2. August 2016 erschienen ist.

Auch beim dritten großen Update für Windows 10 erfolgt der Rollout in Wellen. Damit möchte Microsoft den Benutzern die bestmöglichste Upgrade-Erfahrung bieten. Im ersten Schritt sollen zunächst “neuere Rechner” mit dem Update versorgt werden, da dort am wenigsten Probleme vermutet werden. Anhand des Feedbacks sollen anschließend weitere Geräte das Creators Update erhalten. Insgesamt soll der Rolloutprozess mehrere Monate andauern, bis alle Rechner mit dem Upgrade versorgt sind.

Wer nicht so lange warten möchte, bis sein PC automatisch das Update bekommt, kann von Hand nachhelfen. Das Creators Update kann bereits vor dem offiziellen Release über den Update Assistenten bezogen werden. Ihr könnt die Installation ab kommendem Mittwoch (5. April) manuell anstoßen.

Kategorien: Windows Windows 10

Infos zum Microsoft-Patchday März 2017

Microsoft Logo

Nachdem der Februar-Patchday aus noch immer ungeklärten Gründen komplett ausgefallen ist, erscheinen an diesem März-Patchday mehr Updates als üblich. Insgesamt veröffentlicht Microsoft 18 Security-Bulletins, von denen neun als “kritisch” und neun als “hoch” eingestuft werden.

Es ist immer noch unklar, warum der letzte Patchday ausgefallen ist. Es kursieren zwar einige Gerüchte, aber keines konnte bisher bestätigt werden. Microsoft erklärte lediglich, dass in letzter Minute ein Problem gefunden wurde und nicht rechtzeitig gelöst werden konnte. Der Microsoft-Patchday existiert mittlerweile seit über 13 Jahren und ein vergleichbarer Fall ist bisher nie aufgetreten.

Nachfolgend ein kurzer Überblick über die erscheinenden Bulletins und die betroffenen Produkte. Weitere Details stellt Microsoft wie immer im Security TechCenter zur Verfügung.

Bulletin ID Bulletin Title Maximum Severity Rating and Vulnerability Impact Restart Requirement Affected Software
MS17-006 Kumulatives Sicherheitsupdate für Internet Explorer (4013073) Critical
Remote Code Execution
Requires restart Internet Explorer 10, Internet Explorer 11 und Microsoft Edge auf betroffenen Windows-Clients und-Servern.
MS17-007 Kumulatives Sicherheitsupdate für Microsoft Edge (4013071) Critical
Remote Code Execution
Requires restart Microsoft Edge
MS17-008 Sicherheitsupdate für Windows Hyper-V (4013082) Critical
Remote Code Execution
Requires restart Windows Vista, Windows 7, Windows 8.1, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows 10 und Windows Server 2016.
MS17-009 Sicherheitsupdate für Microsoft Windows-PDF-Bibliothek (4010319) Critical
Remote Code Execution
Requires restart
MS17-010 Sicherheitsupdate für Microsoft Windows SMB-Server (4013389) Critical
Remote Code Execution
Requires restart Windows Vista, Windows 7, Windows 8.1, Windows RT 8.1, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows 10 und Windows Server 2016.
MS17-011 Sicherheitsupdate für Microsoft Uniscribe (4013076) Critical
Remote Code Execution
Requires restart Windows Vista, Windows 7, Windows 8.1, Windows RT 8.1, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows 10 und Windows Server 2016.
MS17-012 Sicherheitsupdate für Microsoft Windows (4013078) Critical
Remote Code Execution
Requires restart Windows 8.1, Windows RT 8.1, Windows Server 2012 R2, Windows 10 und Windows Server 2016.
MS17-013 Sicherheitsupdate für Microsoft-Grafikkomponente (4013075) Critical
Remote Code Execution
Requires restart Windows Vista, Windows 7, Windows 8.1, Windows RT 8.1, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows 10 und Windows Server 2016, Lync 2010, Lync 2013, Skype for Business 2016, Office 2007, Office 2010, Word Viewer und Silverlight 5.
MS17-014 Sicherheitsupdate für Microsoft Office (4013241) High
Remote Code Execution
May require restart Microsoft SharePoint Foundation 2013
MS17-015 Sicherheitsupdate für Microsoft Exchange Server (4013242) High
Remote Code Execution
Requires restart Exchange Server 2013 – Kumulatives Update 14, Exchange Server 2013 SP1 und Exchange Server 2016 – Kumulatives Update 3.
MS17-016 Sicherheitsupdate für Windows IIS (4013074) High
Remote Code Execution
Requires restart Windows Vista, Windows 7, Windows 8.1, Windows RT 8.1, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows 10 und Windows Server 2016.
MS17-017 Sicherheitsupdate für Windows Kernel (4013081) High
Elevation of Privilege
Requires restart
MS17-018 Sicherheitsupdate für Windows-Kernelmodustreiber (4013083) High
Elevation of Privilege
Requires restart
MS17-019 Sicherheitsupdate für Active Directory-Verbunddienste (4010320) High
Information Disclosure
Requires restart
MS17-020 Sicherheitsupdate für Windows DVD Maker (3208223) High
Information Disclosure
Requires restart
MS17-021 Sicherheitsupdate für Windows DirectShow (4010318) High
Information Disclosure
Requires restart
MS17-022 Sicherheitsupdate für Microsoft XML Core Services (4010321) High
Information Disclosure
Requires restart
MS17-023 Sicherheitsupdate für Adobe Flash Player (4014329) Critical
Remote Code Execution
Requires restart

Zertifikate – Ein Überblick der verschiedenen Formate

Digitale Zertifikate sind in der elektronischen Kommunikation weit verbreitet. Sie werden bei den TLS-Versionen (Transport Layer Security, Vorgängerbezeichnung SSL (Secure Sockets Layer)) diverser Übertragungsprotokolle verwendet und gewährleisten damit eine sichere Datenübertragung im Internet. Beispielsweise kommen X.509-Zertifikate zum Signieren und bzw. oder zum Verschlüsseln von Dokumenten sowie E-Mails zum Einsatz und werden auch beim Aufruf von Webseiten mit dem HTTPS-Protokoll verwendet.

X.509 ist ein Standard der ITU-T für eine Public-Key-Infrastruktur (PKI) zum Erstellen digitaler Zertifikate. X.509-Zertifikate werden umgangssprachlich häufig auch als SSL-Zertifikate bezeichnet. Nachfolgend ein kurzer Überblick über die vielen unterschiedlichen Datei- bzw. Container-Formate für X.509-Zertifikate.

PEM

Das PEM-Format ist sehr beliebt und wird auch häufig von Zertifizierungsstellen verwendet. Der Name PEM (Privacy Enhanced Mail) stammt von einer gescheiterten Methode für sichere E-Mails, welche in den RFCs 1421 bis 1424 definiert ist. Das Container-Format hat jedoch überlebt und wir immer noch gerne verwendet. Es ist Base64 kodiert und kann neben dem reinen Zertifikat auch Intermediate-Zertifikate, Root-CAs und private Schlüssel beinhalten. Apache-Server (/etc/ssl/certs) und Open-Source-Software setzen oft auf das PEM-Format.

Die Dateierweiterung .pem kommt meist zum Einsatz, wenn sowohl Zertifikate und der Privatschlüssel in einer Datei gespeichert werden. Darüber hinaus hat das PEM-Format auch noch folgende Dateiendungen: .cert, .cer, .crt oder .key.

CERT, CER oder CRT

.cert, .cer und .crt sind Dateien im PEM-Format (oder selten im DER-Format), welche lediglich eine andere Dateiendung besitzen. Diese Endungen kommen oft zum Einsatz, wenn zur Installation einzelne Dateien für jedes Zertifikat verlangt werden.

KEY

Die .key-Datei liegt ebenfalls im PEM-Format vor und beinhaltet nur den privaten Schlüssel eines Zertifikats. Sie kann von Hand aus einer .pem-Datei erzeugt werden. Dieses Dateiformat wird häufig in Verbindung mit Apache verwendet, wobei es meist unter “/etc/ssl/private” zu finden ist. Die richtigen Dateirechte spielen in diesen Fall eine wichtige Rolle, da die Datei ansonsten oft nicht richtig geladen werden kann.

DER

DER steht für Distinguished Encoding Rules. Bei einer .der-Datei handelt es sich um die binäre Form der Base64-kodierten .pem-Datei. Neben .der können entsprechende Zertifikate auch mit der Endung .cer existieren, vor allem unter Windows. Neben Windows kommen Zertifikate im DER-Format auch unter Java zum Einsatz. Dieses Format unterstützt die Speicherung eines einzelnen Zertifikats. Private Schlüssel oder der Zertifizierungspfad können mit diesem Format nicht gespeichert werden.

PFX oder P12

Der PKCS#12-Standard ist in RFC 7292 beschrieben. Das binäre Format kann neben dem Zertifikat auch alle Zertifikate des Zertifizierungspfads und zudem den privaten Schlüssel enthalten. Alles in einer Datei. Darüber hinaus ist es möglich die  Datei passwortgeschützt zu speichern. Als Dateiendungen kommen .pfx oder .p12 zum Einsatz. Dieses Format wird oft zum Import und Export von Zertifikaten und privaten Schlüsseln unter Windows verwendet.

P7B oder P7C

Beide Dateiformate sind Bestandteil des PKCS#7-Standards, welcher seinerseits die Basis für S/MIME bildet und in RFC 5652 definiert ist. P7B und P7C werden in der Regel mit Base64 kodiert und können neben einem Zertifikat auch alle Zertifikate des Zertifizierungspfads enthalten. Im Gegensatz zu PEM existiert eine Definition, wie die Zertifikate des Zertifizierungspfads eingebunden werden müssen. Private Schlüssel sind nicht möglich. .p7b- und .p7c-Dateien sind unter Windows und in Apache Tomcat üblich.

CSR

Ein Certificate Signing Request (CSR, deutsch Zertifikatsignierungsanforderung) ist ein standardisiertes Format (PKCS#10, definiert in RFC 2986) zum Anfordern eines digitalen Zertifikats. Der CSR enthält den öffentlichen Schlüssel und weiteren Angaben über den Antragsteller des Zertifikats. Die Zertifizierungsanfrage kann anschließend von einer Zertifizierungsstelle (CA) signiert werden und man erhält ein digitales Zertifikat zurück.

CRL

Mit Hilfe einer Certificate Revocation List (deutsch Zertifikatsperrliste) können Zertifikate vor dem Ende des eigentlichen Ablaufdatums gesperrt werden. In der Regel ist dies der Fall, wenn der private Schlüssel nicht mehr sicher oder der Zertifikatsinhalt falsch ist.

Formate konvertieren

Mit Hilfe von OpenSSL lassen sich viele Formate schnell und einfach in ein anderes Format konvertieren.

PEM zu DER

openssl x509 -outform der -in certificate.pem -out certificate.der

PEM zu P7B

openssl crl2pkcs7 -nocrl -certfile certificate.cer -out certificate.p7b -certfile CACert.cer

PEM zu PFX

openssl pkcs12 -export -in certificate.crt -inkey privateKey.key -out certificate.pfx -certfile CACert.crt

PFX zu PEM

openssl pkcs12 -in certificate.pfx -out certificate.pem -nodes

oder alternativ

openssl pkcs12 -in certificate.pfx -nokeys -out certificate.cer
openssl pkcs12 -in certificate.pfx -nocerts -nodes -out certificate.key

DER zu PEM

openssl x509 -inform der -in certificate.cer -out certificate.pem

P7B zu PEM

openssl pkcs7 -print_certs -in certificate.p7b -out certificate.pem

P7B zu PFX

openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CACert.cer

CSR erstellen

openssl req -new -nodes -keyout host.domain.tld.key -out host.domain.tld.csr

Self-Signed

openssl req -x509 -days 1826 -new -nodes -keyout host.domain.tld.key -out host.domain.tld.crt -newkey rsa:4096 -sha256

Kategorien: Internet Windows

Firefox 52 – Die Neuerungen

Firefox Logo 23+

Am Dienstag wurde Firefox 52 veröffentlicht. Die neue Version legt den Fokus vor allem auf die Themen Sicherheit und Datenschutz.

Nachfolgend wie immer ein kurzer Überblick zu den wichtigsten Neuerungen.

  • Unterstützung für NPAPI-Plugins außer Adobe Flash entfernt, davon betroffen sind z.B. Silverlight, Java, Adobe Acrobat und Google Hangouts
  • Warnung bei der Eingabe von Login-Daten auf unsicheren Webseiten (HTTP) wurde verschärft (bei Firefox 51 wurde lediglich ein rotes Schloss in der Adressleiste angezeigt, Firefox 52 warnt nun direkt im entsprechenden Formular)
  • Warnung vor unverschlüsselter Passwortübertragung (HTTP-Seiten die ein Passworteingabeformular nutzen werden nun als unsicher markiert)
  • Strict Secure Cookies (HTTP-Seiten können keine Cookies mit dem Attribut “secure” setzen)
  • Warnung vor SHA-1-Zertifikaten
  • Schutz vor Font-Fingerprinting soll das Auslesen der installierten Schriftarten auf dem PC verhindern
  • Entfernung der Battery Status API
  • WebAssembly (wasm) ist nun standardmäßig aktiviert, es handelt sich um eine schnellere Alternative zu JavaScript, wobei diese nur bei komplexen Anwendungen z.B. Spielen zum Einsatz kommen soll
  • Automatische Captive Portal Erkennung zur einfacheren Verbindung ins Internet bei WLAN-Hotspots
  • Download-Dialog leicht überarbeitet (Benachrichtigung bei fehlerhaften Download, größere Buttons, Schnellzugriff auf die fünf letzten Downloads, bisher drei)
  • Unterstützung für die Multiprozess-Architektur Electrolysis (e10s) auf Touchscreens
  • Behebung diverser Sicherheitslücken

Download Firefox 52
Download Firefox 52 (64 Bit)
Portable Firefox @ Horst Scheuer

Passwörter aus der FRITZ!Box auslesen reloaded

AVM FRITZ!Box 7490

Vor ca. zweieinhalb Jahren habe ich bereits in einem Artikel aufgezeigt, wie ihr alle Passwörter aus der FRITZ!Box auslesen könnt. Dieser Artikel ist allerdings in der Zwischenzeit veraltet und die darin erwähnte Methode meist nicht mehr anwendbar. Davon abgesehen war die Methode via “allcfgconv” sowieso nicht ganz einwandfrei, weshalb ich das Thema nun erneut aufgreife.

Kurz nach meinem ersten Artikel machte eine weitere Methode die Runde. Das Shell-Skript “decode_passwords” von PeterPawn bot eine relativ einfache Methode zum Auslesen von FRITZ!Box-Passwörtern. Es bedient sich einer älteren “webdavcfginfo”, detaillierte Informationen findet ihr in diesem Post im IPFF. Ohne Telnet- bzw. SSH-Zugang ist diese Variante allerdings nicht verwendbar. Hier müsste man den Umweg über Freetz oder modfs gehen, was aber nicht jedermanns Sache sein dürfte.

Zurück zum Thema. Eine weitere Möglichkeit an alle Passwörter zu kommen bieten die Fritz!Box Tools von Michael Engelke. Das Tolle daran ist, dass das Tool auch mit der aktuellen FRITZ!OS-Version 6.80 ohne weitere Modifikationen funktioniert. Telnet, SSH o. ä. werden nicht benötigt :)

Tutorial

  1. Zunächst müsst ihr die Fritz!Box Tools für Windows downloaden und in einen Ordner euer Wahl entpacken.
  2. Anschließend muss PHP heruntergeladen und installiert werden. Alternativ zur Installation bietet sich die portable Variante an, die auch ich verwende. Dabei ist es egal ob ihr PHP 5.6, PHP 7.0 oder bereits PHP 7.1 wählt. Wichtig ist nur, dass die jeweils passenden “Visual C++ Redistributable for Visual Studio” benötigt werden. In meinem Beispiel wähle ich PHP 7.1.1 x64 in der Thread-Safe-Variante. Nach dem Download öffnet ihr die ZIP-Datei und kopiert die beiden Dateien “php.exe” sowie “php7ts.dll” in den vorher erstellten Ordner, wo auch die Fritz!Box Tools liegen.
  3. Jetzt eine Eingabeaufforderung öffnen und zum entsprechenden Ordner navigieren. Hier können die Fritz!Box Tools via “fb_tools.bat” aufgerufen werden. Am besten testet ihr ob die Tools funktionieren. Mit dem Befehl “fb_tools -h” sollten alle Funktonen des Tools angezeigt werden.
  4. Wenn das funktioniert seid ihr im Prinzip schon fertig und könnt nun mit folgendem Befehl alle gespeicherten Passwörter aus eurer FRITZ!Box auslesen. Das Passwort für die FRITZ!Box muss bekannt sein, sonst funktioniert das Ganze nicht.
    fb_tools PASSWORT@fritz.box konfig export-decrypt DATEINAME

    Alternativ dazu können auch Export-Dateien von anderen FRITZ!Boxen entschlüsselt und die Passwörter im Klartext angezeigt werden. Hierzu benötigt ihr allerdings das Passwort der Export-Datei. Der Einfachheit halber sollte die Export-Datei ebenfalls im gleichen Ordner wie die Fritz!Box Tools liegen.

    fb_tools PASSWORT@fritz.box konfig file-decrypt DATEINAME.export EXPORT-PASSWORT
  5. Falls ihr beim Auslesen der Passwörter den Fehler “Keine Konfig-Datei” bekommt, ist höchstwahrscheinlich die Option “Ausführung bestimmter Einstellungen und Funktionen zusätzlich bestätigen” Schuld. Feb hat in einem Kommentar erklärt, wie ihr die Option deaktivieren könnt. Anschließend sollte das Auslesen funktionieren.

Fritz!Box Tools

Damit lassen sich alle Passwörter aus der FRITZ!Box auslesen, unter anderem SIP-Daten, WLAN-Passwörter, Internet- oder MyFRITZ!-Zugangsdaten. Die meisten User möchten damit an vergessene DSL-Zugangsdaten kommen oder die VoIP-Daten des Providers erfahren. Nicht alle Provider geben diese Daten freiwillig heraus. Stattdessen werden sie oftmals automatisch per TR-069 in den Router eingetragen.

Firefox 51 – Die Neuerungen

Firefox Logo 23+

Gestern wurde Firefox 51 pünktlich zum geplanten Releasetermin veröffentlicht. Die erste Version im Jahr 2017 ist genau zehn Wochen nach Firefox 50 erschienen und bringt viele kleine, aber sinnvolle Änderungen mit.

Nachfolgend wie immer ein kurzer Überblick zu den wichtigsten Neuerungen. Wer es ausführlicher haben möchte sollte bei Sören Hentzschel vorbei schauen.

  • Warnung vor unverschlüsselter Passwortübertragung (HTTP-Seiten die ein Passworteingabeformular nutzen werden nun als unsicher markiert)
  • Warnung bei Zertifikaten mit unsicherer SHA-1-Signatur
  • Zertifikate von den Zertifizierungsstellen (CA) Wosign und Startcom, die nach dem 21. Oktober 2016 ausgestellt wurden, werden nicht mehr akzeptiert
  • vor kaputten Zertifikaten mit SHA-1-Signatur sowie jenen von Wosign und Startcom
  • Abspielen von FLAC-Dateien ohne Plugins möglich
  • WebRTC unterstützt nun den VP9-Codec
  • Unterstützung für WebGL 2 (ermöglicht eine bessere Videowiedergabe ohne GPU)
  • unter Linux wird zum Rendern von 2D-Inhalten die Grafik-Bibliothek Skia eingesetzt
  • die mit Firefox 17 eingeführte Social-API wurde fast komplett entfernt (bis auf den Teilen-Button)
  • Zoom-Stufe ist in der Adressleiste sichtbar, wenn sie nicht 100 % beträgt. Ein Klick darauf setzt die Größe auf 100 % zurück.
  • Unterstützung von IndexedDB 2.0
  • Im Info-Dialog wird angezeigt, ob es sich um eine 32-Bit- oder eine 64-Bit-Version von Firefox handelt
  • Behebung diverser Sicherheitslücken

Download Firefox 51
Download Firefox 51 (64 Bit)
Portable Firefox @ Horst Scheuer

Windows 8.1: Update dauert ewig oder findet nichts

Windows 8 Logo

Vor wenigen Tagen habe ich meinen Artikel “Windows 7: Update dauert ewig oder findet nichts” veröffentlicht, in dem ich das Problem der langsamen Update-Suche unter Windows 7 erkläre und eine Lösung aufzeige. Offensichtlich tritt das Problem auch unter Windows 8.1 auf, allerdings nicht so häufig. Könnte aber auch damit zusammenhängen, dass Windows 8.1 einen deutlich geringeren Marktanteil aufweist und man deshalb einfach weniger darüber liest und hört.

Das Problem ist identisch wie unter Windows 7. Die Suche nach Windows Updates dauert ewig und die Meldung “Es wird nach Updates gesucht…” erscheint und möchte nicht mehr verschwinden. Dazu ist oftmals eine hohe CPU-Last auf einem Kern feststellbar. Wer an ein paar Infos an der Ursache interessiert ist, kann in meinem Artikel zu Windows 7 nachlesen.

Windows 8.1 Update Suche

Nachdem mich ein Leser für Hilfe bei Windows 8.1 gefragt hat, hier die Schritte zur Problembehebung.

Lösung

Auch für Windows 8.1 bietet Microsoft ein Update an, welches das Problem durch eine neue Version für Windows Update beheben soll.

  1. Als Voraussetzung für die Installation dieses Updates muss zuerst ein Update des Servicing Stacks (KB3021910) installiert werden.
  2. Vor der Installation muss der “Windows Update” Dienst beendet werden. Dies macht ihr am besten direkt über “Dienste” oder alternativ über die Eingabeaufforderung und den Befehl “net stop wuauserv”.
  3. Jetzt könnt ihr das “April 2015 servicing stack update” KB3021910 herunterladen. Alternativ wäre auch das “July 2016 servicing stack update” KB3173424 möglich.
  4. Update installieren und PC anschließend neu starten.
  5. Jetzt folgt das oben erwähnte „Update für Windows Update“, welches Teil des „July 2016 update rollup“ KB3172614 ist. Der Download ist direkt im Windows-Update-Katalog möglich.
  6. Zur Installation muss der “Windows Update” Dienst ein weiteres Mal beendet werden.
  7. Update installieren und PC anschließend neu starten.
  8. Jetzt könnt ihr manuell nach Updates suchen und nach einigen Minuten solltet ihr alle verfügbaren Updates für euer System sehen.

Falls immer noch keine Updates gefunden werden könnt ihr noch folgende Dinge ausprobieren:

  • Komponentenspeichers reparieren
    Eine administrativen Eingabeaufforderung starten und folgende Befehle nacheinander eingeben:

    sfc /scannow
    Dism /Online /Cleanup-Image /ScanHealth
    Dism /Online /Cleanup-Image /CheckHealth
    Dism /Online /Cleanup-Image /RestoreHealth

    Anschließend den PC neustarten.

  • Windows Update Einstellungen zurücksetzen
    Windows Update in der Systemsteuerung öffnen und links auf “Einstellungen ändern” klicken. Im Dropdown-Menü wählt ihr dann “Nie nach Updates suchen (nicht empfohlen)” aus und klickt auf OK. Anschließend öffnet ihr die Einstellungen erneut und stellt zurück auf “Updates automatisch installieren (empfohlen)” und klickt auf OK.

Spätestens jetzt sollten die Updates wieder schneller gefunden werden.

Windows 7: Update dauert ewig oder findet nichts

Windows 7 Logo

Seit geraumer Zeit beschweren sich Benutzer von Windows 7 und teilweise auch Windows 8.1, dass die Windows Update-Suche nicht mehr richtig funktioniert. Die Suche dauert extrem lange oder findet überhaupt keine Updates. In diesem Artikel möchte ich euch das Problem und die Ursache genauer erklären und selbstverständlich auch eine Lösung aufzeigen.

Problembeschreibung

Bei der Suche nach Windows Updates werden keine Updates gefunden oder sie dauert unheimliche lange. Windows zeigt lediglich den Hinweis an: “Es wird nach Updates gesucht…”. Teilweise vergehen viele Stunden, bis irgendetwas gefunden wird. Während der Suche sind gleichzeitig eine hohe CPU-Last (100 % auf einem Kern) und ein angestiegener RAM-Verbrauch durch “svchost.exe” feststellbar.

Windows 7 Update Suche

Das Problem existiert seit Juli 2015 und tritt vor allem unter Windows 7 SP1 auf, wobei aber auch Nutzer von Windows 8.1 betroffen sind. Im Internet finden sich zahlreiche Foren-Threads mit entsprechenden Fragestellungen. Viele Nutzer sind verzweifelt und wissen nicht mehr weiter. Insbesondere nach einer Neuinstallation von Windows 7 tritt der Fehler häufiger auf.

Ursache

Oftmals liest man, dass eine langsame Internetverbindung oder die Microsoft-Server Ursache des Problems sein sollen. Dies ist definitiv nicht der Fall! Das Kernproblem der langsamen Windows Update-Suche ist vielmehr auf den komponentenbasierten Ansatz (CBS, Component-Based Servicing) mit .MSU-Paketen zurückzuführen. Kurz gesagt ist die Suche und Installation von Updates so komplex geworden, dass die Prüfung von bereits installierten Updates, von benötigten neuen Updates und von Abhängigkeiten einfach ewig dauert. Dadurch wird auch die oben beschriebene hohe CPU-Last erzeugt.

Eine ausführlichere Erklärung findet ihr bei Super User oder in der Microsoft Community (Beitrag von xp.client).

Lösung

Winfuture hat mittlerweile einen eigenen Fix veröffentlicht, welcher die benötigten Updates zur Behebung des Fehlers automatisch in der richtigen Reihenfolge installiert. Da diese Variante deutlich unkomplizierter und schneller ist, solltet ihr auf jeden Fall einen Blick darauf werfen: WinFuture UpdateFix für Windows 7

Microsoft hat das Problem erkannt und hat ein Update für Windows Update veröffentlicht, welches das Problem in fast allen Fällen behebt. Folgendermaßen müsst ihr vorgehen.

  1. Als Voraussetzung für die Installation des oben genannten Updates muss zuerst ein anderes Update (KB3020369) installiert werden.
  2. Vor der Installation muss der “Windows Update” Dienst beendet werden. Dies macht ihr am besten direkt über “Dienste” oder alternativ über die Eingabeaufforderung und den Befehl “net stop wuauserv”.
  3. Jetzt könnt ihr das “April 2015 servicing stack update” KB3020369 herunterladen. Hier die Links für Windows 7 x64 und Windows 7 x86.
  4. Update installieren und PC anschließend neu starten.
  5. Jetzt folgt das oben erwähnte “Update für Windows Update”, welches Teil des “July 2016 update rollup” KB3172605 ist. Hier ist der Link für Windows 7 x64 und hier für Windows 7 x86.
  6. Der “Windows Update” Dienst muss hierfür ein weiteres Mal beendet werden.
  7. Update installieren und PC anschließend neu starten.
  8. Jetzt könnt ihr manuell nach Updates suchen und nach spätestens einigen Minuten solltet ihr alle verfügbaren Updates für euer System sehen.

Ich hoffe euch hilft mein Artikel.

Bei Problemen unter Windows 8.1 hilft euch mein Artikel “Windows 8.1: Update dauert ewig oder findet nichts“.

Windows 10 Fehler: Netzwerkprotokoll fehlt

Windows 10 Logo

Mit dem Feature-Update auf Windows 10 Version 1511 hatten einige User das Problem, dass die Netzwerkverbindung und damit auch das Internet nicht mehr richtig funktionierte. Da das Problem offensichtlich vereinzelt immer noch existiert, nachfolgend ein kleiner Troubleshooting-Guide.

Problembeschreibung

Vor wenigen Tagen konnte ich dasselbe Problem auf einer Test-VM mit Windows 10 feststellen. Von heute auf morgen bekam ich beim Versuch eines Netzwerkzugriffs folgenden Fehler:

Fehlercode 0x80070035
Der Netzwerkpfad wurde nicht gefunden.

Windows Fehler 0x80070035

Also habe ich die Diagnose geöffnet, welche auch direkt ein Problem gefunden hat:

Auf diesem Computer fehlt mindestens ein Netzwerkprotokoll.

Windows 10 Fehler Netzwerkprotokoll fehlt

Automatische Reparatur hilft nur manchmal

Anschließend habe ich wie empfohlen die Reparatur ausgeführt. Damit ließ sich der Fehler beheben und das Netzwerk funktionierte wieder ohne Probleme. Am nächsten Tag tauchte der Fehler erneut auf und die Reparatur konnte dieses Mal keine Abhilfe schaffen. Eine kurze Internetrecherche zeigte schnell auf, dass viele User mit diesem Problem zu kämpfen hatten. Glücklicherweise existieren weitere Lösungsansätze.

Bug in Windows 10 Version 1511

Das Problem wurde durch einen Bug in Windows 10 Version 1511 verursacht, welcher laut Microsoft mit dem 2. kumulativen November-Update KB3120677 behoben worden sein sollte. Das scheint aber nicht für alle User zu gelten. In diesem Forenthread bei Microsoft wurde ein Workaround gepostet, der teilweise zu funktionieren scheint.

Netzwerk zurücksetzen

Dazu muss der Geräte-Manager geöffnet, dort im Menü auf “Ansicht” geklickt und die Option “Ausgeblendete Geräte anzeigen” aktiviert werden. Anschließend müsst ihr alle Netzwerkadapter löschen (Rechtsklick auf das Gerät und Option Deinstallieren auswählen) und dann das System neustarten.

Geräte-Manager Netzwerkadapter

Zusätzlich könnt ihr dann noch den TCP-IP-Stack des Netzwerkadapters zurücksetzen. Hierfür muss die Eingabeaufforderung mit Adminrechten gestartet werden. Dann den Befehl “netsh winsock reset” eingeben, mit der Eingabetaste bestätigen und den PC erneut durchstarten.

Sonstige Lösungsmöglichkeiten

Sollte das Netzwerk immer noch nicht funktionieren, solltet ihr weitere Dinge überprüfen.

Zuerst einmal sollten die Netzwerk- bzw. WLAN-Treiber auf die neueste Version aktualisiert werden. Ohne Internet ist das natürlich schwer, weshalb ihr die Treiber am besten mit einem anderen Gerät von der Herstellerseite herunterlädt und dann auf den problembehafteten PC überträgt.

Anschließend sollten die Firewall-Einstellungen von den diversen All-In-One-Security-Lösungen geprüft werden, sofern solche zum Einsatz kommen. Wer ganz sicher gehen möchte sollte diese komplett deinstallieren und anschließend auch das Lösch-Tool des Herstellers ausführen. Ebenso sollten Virenscanner entfernt werden, da diese oft eigene Filtertreiber mitbringen, welche das Problem verursachen könnten.

Wer die eingebaute Windows-10-Firewall einsetzt, sollte die Einstellungen zurücksetzen. Dazu einfach die Windows-Firewall öffnen und auf der linken Seite auf den Link “Standard wiederherstellen” klicken (siehe Screenshot). Die Änderungen werden nach einem Neustart wirksam.

Windows 10 Firewall

Ich hoffe, dass euch der ein oder andere Tipp helfen und euer Problem damit behoben werden konnte.

Videos konvertieren: HandBrake in Version 1.0.1 veröffentlicht

HandBrake Icon

Nach mehr als 13 Jahren Entwicklung wurde der beliebte Open Source Video-Transcoder am Heiligabend in Version 1.0.0 veröffentlicht. Gestern wurde dann bereits Version 1.0.1 nachgeschoben. Neben vielen Neuerungen existiert nun auch eine ausführliche Dokumentation.

Die neue Online-Dokumentation ist weniger technisch gehalten und soll einfach verständlich sein. Unter anderem beschreibt sie Schritt für Schritt den Prozess zum Transkodierung von Videodateien und ist deshalb auch für Einsteiger geeignet. Aktuell steht sie jedoch nur in englischer Sprache zur Verfügung.

Zu den weiteren Neuerungen gehören überarbeitete Presets, welche eine bessere Kompatibilität gewährleisten und mehr Geräte abdecken sollen. Des Weiteren sind auch einige komplett neue Presets für neue Geräte oder das Web hinzugekommen. Presets sind Voreinstellungen, welche das Konvertieren in verschiedene Formate bzw. für verschiedene Abspielmedien (iPhone, Apple TV, Xbox, usw.) deutlich vereinfachen. Zudem wird der neue VP9-Codec und Ultra-HD Color Passthrough mit BT.2020-Farbraum unterstützt. Ebenso ist ein Quicksync-H.265/HEVC-Encoder mit an Bord, welcher jedoch erst ab einer Intel Skylake CPU verwendet werden kann. Die Audio-Passthru-Funktion unterstützt nun E-AC-3, FLAC und TrueHD. Außerdem gab es diverse kleine Änderungen unter der Haube und kleine Anpassungen an der Programmoberfläche für Mac und Windows. Das komplette Changelog zur neuen HandBrake-Version findet ihr bei Github.

Die Open Source-Software ist für Windows, macOS und sogar Linux zu haben.

Download HandBrake

HandBrake

Active Directory-Based Activation (ADBA) vs. Key Management Services (KMS)

Microsoft Logo

Active Directory-Based Activation (ADBA) ist die neueste Möglichkeit aus dem Hause Microsoft zur Volumenaktivierung von Produktlizenzen. ADBA wurde zusammen  mit Windows 8 bzw. Windows Server 2012 eingeführt und stellt neben KMS (Key Management Service) und MAK (Multiple Activation Key) eine dritte Aktivierungsmöglichkeit dar. Nachdem ich KMS und MAK bereits in meinem Artikel “Microsoft Produktaktivierung – MAK vs. KMS” vorgestellt habe, folgt nun ein genauerer Blick auf das Active Directory-Based Activation.

Wie der Name schon vermuten lässt, kann ADBA nur Systeme aktivieren, die mit der Domäne verbunden sind. Die Aktivierung erfolgt vollautomatisch beim Domain-Join und ist wie bei der KMS-Aktivierung für 180 Tage gültig. Eine Reaktivierung erfolgt automatisch, sofern das System mit einem Domain Controller (DC) kommunizieren kann. Ein Aktivierungs-Threshold von mindestens 25 Computern wie bei KMS existiert bei ADBA nicht. Damit ist die neue Methode auch für kleinere Umgebungen mit einer geringen Anzahl an Systemen vorteilhaft.

ADBA funktioniert erst ab Windows 8 bzw. Windows Server 2012 bzw. Office 2013. Selbstverständlich werden auch neuere Betriebssysteme wie Windows 8.1, Windows 10, Windows Server 2012 R2 und Windows Server 2016 unterstützt. Auch Office 2016 funktioniert problemlos. Bei älteren Versionen wie Windows 7, Windows 2008 R2 oder Office 2010 muss die Aktivierung weiterhin via KMS oder MAK erfolgen.

Aus diesem Grund werden die meisten Unternehmen auf einen Parallelaufbau mit ADBA für die neuen und KMS für die alten Systeme setzen. Sobald keine alten Systeme mehr verwendet werden, kann der KMS-Host abgeschaltet werden.

Nachfolgend die wichtigsten Vorteile von ADBA gegenüber KMS:

  • Aktivierung erfolgt nahezu ohne Zeitverzögerung direkt beim Domänen-Join
  • Aktivierung erfolgt Forest-weit (bei KMS sind hierzu in jeder Domäne zusätzliche DNS-Einträge notwendig)
  • keine Mindestanzahl von 25 Computern wie bei KMS
  • ein Server weniger zum Administrieren und Updaten, sobald KMS-Host abgeschaltet werden kann

Einrichtung von Active Directory-Based Activation

Einzige Voraussetzung ist, dass Active Directory bereits auf das Schema-Level von Windows Server 2012 (Version 56) aktualisiert wurde. Anschließend kann die Aktivierung über Active Directory eingerichtet werden, was nur wenige Minuten dauern sollte. Bei Microsoft gibt es zwei ausführliche Anleitungen mit weiteren Informationen:

Kategorien: Tutorials Windows

Active Directory Schema Version herausfinden

Microsoft Logo

Das Active Directory Schema definiert die Datenbank des Verzeichnisdienstes. In der AD-Datenbank werden Datensätze als “Objekte” bezeichnet und deren Eigenschaften (Datenfelder) als “Attribute”. Das Schema legt also fest, welche Objektklassen und Attribute im AD existieren.

Mit jedem neuen Betriebssystem führt Microsoft neue Features ein, welche gleichzeitig oft auch neue Klassen und Attribute im Active Directory voraussetzen. Bei der Aufnahme eines Domänencontrollers (DC) mit einer neuen Betriebssystemversionen muss daher das AD-Schema aktualisiert werden. Aus diesem Grund ist die Active Directory Schema Version standardmäßig auch immer so aktuell, wie der neueste DC.

Windows Server Version Active Directory Schema Version
Windows 2000 13
Windows Server 2003 30
Windows Server 2003 R2 31
Windows Server 2008 44
Windows Server 2008 R2 47
Windows Server 2012 56
Windows Server 2012 R2 69
Windows Server 2016 87

Unabhängig davon existieren einige Möglichkeiten, um die aktuelle Active Directory Schema Version herauszufinden.

DSQuery

Via DSQuery kann die Schema Version über die Eingabeaufforderung angezeigt werden:

dsquery * CN=Schema,CN=Configuration,DC=EXAMPLE,DC=DOMAIN -Scope Base -attr objectVersion

PowerShell

Get-ADObject (Get-ADRootDSE).schemaNamingContext -properties objectVersion

Registry

Die AD Schema Version kann zudem auf jedem DC in der Registry eingesehen werden:

HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\<Schema Version>

Repadmin

Mit dem Tool “repadmin” kann der Status des Attributes über alle DCs hinweg abgefragt werden. Damit kann beispielsweise die Replikation bei einer Schemaerweiterung überprüft werden.

repadmin /showattr * cn=schema,cn=configuration,dc=EXAMPLE,dc=DOMAIN /atts:ObjectVersion

ADSI Edit

  • “ADSI Edit” starten
  • Auf der linken Seite Rechtklick auf “ADSI Edit” ausführen und “Connect to” auswählen
  • Unter “Connection Point” “Well known naming context” auswählen und aus dem Drop-Down-Menü “Schema” wählen
  • Unter “Computer” ggf. noch den Namen der Domäne angeben und auf den Button “OK” klicken
  • Auf der linken Seite auf den neuen Punkt “Schema…” klicken und erweitern.
  • Rechtsklick auf den Schema Container “CN=Schema,CN=Configuration,DC=…” und “Properties” auswählen
  • Die Schema Version des Active Directory wird unter dem Attribut “objectVersion” aufgeführt

Kategorien: Tutorials Windows

Remote Display Analyzer zeigt Infos über RDP-Verbindungen

Microsoft Logo

Heute bin ich auf das Tool Remote Display Analyzer gestoßen, welches ich euch nicht vorenthalten möchte. Das Tool fungiert quasi als Real-Time-Monitoring zu bestehenden RDP-Verbindungen und zeigt nützliche Infos an.

Bisher war der Remote Display Analyzer nur für das Citrix HDX-Protokoll erhältlich. Vor einigen Wochen wurde eine spezielle Version für das RDP-Protokoll bzw. RemoteFX veröffentlicht. Das Tool besteht aus einer EXE-Datei und kann ohne Installation sowie portabel verwendet werden. Es muss auf dem Zielrechner gestartet werden, während eine RDP-Verbindung aufgebaut ist. Einzige sonstige Voraussetzung ist ein installiertes .NET Framework 4.0.

Der Remote Display Analyzer zeigt unter anderem den verwendeten Anzeigemodus (RemoteFX oder RDP), die für die Verbindung genutzten Protokolle (TCP oder UDP oder beide) und die zur Verfügung stehende Bandbreite zwischen Client und Host. Darüber hinaus werden die aktuell verwendete Bandbreite und die Latenzzeit angezeigt (siehe Screenshot). Die weiteren Features sind nur in der “Sponsored Version” verfügbar, welche mit einer einmaligen Zahlung an den Entwickler erworben werden kann. Hier stehen erweiterte Statistiken zum Paketfluss, zum Paketverlust, zu den gesendeten Frames und zum verursachten Traffic zur Verfügung.

Download Remote Display Analyzer

Remote Display Analyzer

Kategorien: Software & Apps Windows

Microsoft Edge kann zukünftig EPUBs öffnen

Microsoft Edge Logo

Das nächste Feature-Upgrade für Windows 10 (Version 1703) hört auf den Namen “Creators Update” und wird höchstwahrscheinlich Ende März oder Anfang April 2017 erscheinen.

Eine interessante Neuerung ist, dass Microsofts Edge Browser zukünftig eBooks im populären EPUB-Format nativ anzeigen kann. Bei den Windows 10 Insider Builds hielt das neue Feature erstmals mit Build 14971 Einzug. Neben der reinen Anzeige kann auch die Schriftgröße, die Schriftart und das Design des “Readers” angepasst werden. Darüber hinaus kann Edge das Inhaltsverzeichnis anzeigen und zeigt unten den Lesefortschritt der EPUB an. Des Weiteren lassen sich Lesezeichen setzen und es existiert eine Suchfunktion.

Wer nur ab und zu ein EPUB-Datei betrachten möchte sollte mit den Features des Edge Browsers auskommen und kann fortan auf eine extra App oder Anwendung verzichten.

Microsoft Edge EPUB

Kategorien: Windows Windows 10

Infos zum Microsoft-Patchday Dezember 2016

Gestern fand der letzte Microsoft Patchday für dieses Jahr (Dezember-Patchday) statt. Insgesamt veröffentlichen die Redmonder zwölf Security-Bulletins, von denen sechs als “kritisch” und sechs als “hoch” eingestuft werden. Wie fast jeden Monat werden auch dieses Mal wieder kritische Sicherheitslücken bei den beiden Browsern Internet Explorer 11 und im neuen Edge-Browser behoben.

Nachfolgend ein kurzer Überblick über die erscheinenden Bulletins und die betroffenen Produkte. Weitere Details stellt Microsoft wie immer im Security TechCenter zur Verfügung.

Bulletin ID Bulletin Title Maximum Severity Rating and Vulnerability Impact Restart Requirement Affected Software
MS16-144 Kumulatives Sicherheitsupdate für Internet Explorer (3204059) Critical
Remote Code Execution
Requires restart Internet Explorer unter allen unterstützten Versionen von Microsoft Windows.
MS16-145 Kumulatives Sicherheitsupdate für Microsoft Edge (3204062) Critical
Remote Code Execution
Requires restart Microsoft Edge unter allen unterstützten Versionen von Windows 10 und Windows Server 2016.
MS16-146 Sicherheitsupdate für Microsoft-Grafikkomponente (3204066) Critical
Remote Code Execution
Requires restart Alle unterstützten Versionen von Microsoft Windows.
MS16-147 Sicherheitsupdate für Microsoft Uniscribe (3204063) Critical
Remote Code Execution
Requires restart Alle unterstützten Versionen von Microsoft Windows.
MS16-148 Sicherheitsupdate für Microsoft Office (3204068) Critical
Remote Code Execution
May require restart Microsoft Office 2007, Office 2010, Office 2013, Office 2013 RT, Office 2016, Office Compatibility Pack, Excel Viewer, Word Viewer, Office für Mac 2011, Office 2016 für Mac, Auto Updater für Mac, SharePoint Server 2007, SharePoint Server 2010 und Office Web Apps 2010.
MS16-149 Sicherheitsupdate für Microsoft Windows (3205655) Important
Elevation of Privilege
Requires restart Alle unterstützten Versionen von Microsoft Windows.
MS16-150 Sicherheitsupdate für den sicheren Kernelmodus (3205642) Important
Elevation of Privilege
Requires restart Alle unterstützten Versionen von Microsoft Windows 10 und Windows Server 2016.
MS16-151 Sicherheitsupdate für Windows-Kernelmodustreiber (3205651) Important
Elevation of Privilege
Requires restart Alle unterstützten Versionen von Microsoft Windows.
MS16-152 Sicherheitsupdate für Windows Kernel (3199709) Important
Information Disclosure
Requires restart Alle unterstützten Versionen von Microsoft Windows 10 und Windows Server 2016.
MS16-153 Sicherheitsupdate für den Treiber für das gemeinsame Protokolldateisystem (3207328) Important
Information Disclosure
Requires restart Alle unterstützten Versionen von Microsoft Windows.
MS16-154 Sicherheitsupdate für Adobe Flash Player (3209498) Critical
Remote Code Execution
Requires restart Microsoft Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10 und Windows Server 2016.
MS16-155 Sicherheitsupdate für .NET Framework (3205640) Important
Information Disclosure
Requires restart Microsoft .NET Framework 4.6.2 unter unterstützten Versionen von Microsoft Windows 7, Windows Server 2008 R2, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 und Windows 10.

Kategorien: Windows