Archiv der Kategorie: Allgemein

Snipping Tool Plus – Installations-Script

Um das Snipping Tool Plus auf allen Computern im Unternehmen zu verteilen, habe ich ein Installations-Script gebastet. Das Script tut folgendes:

  • Von einem Netzwerkpfad die Snipping Tool Plus.exe in das lokale Programmverzeichnis kopieren
  • Eine Verknüpfung auf dem Desktop für alle Benutzer erstellen
  • Einen Autostart-Eintrag für alle Benutzer erstellen

Je nach Version (32 oder 64 bit) werden andere Ordner verwendet. Die Installation wird nur durchgeführt, wenn Komponenten fehlen.

@echo off & setlocal 
title Snipping Tool Plus Installation

set "quellpfad=\\iso\share$\Snipping Tool Plus.exe"
set "zielpfad=C:\Users\Public\Desktop"
set "progexe=Snipping Tool Plus.exe"
set "progtitel=Snipping Tool Plus"

@echo #############################################################################
@echo ###################### Snipping Tool Plus Installation #####################
@echo #############################################################################

echo %PROCESSOR_ARCHITECTURE% | findstr /i ".86." > nul
IF %ERRORLEVEL% EQU 0 goto ver_32
echo %PROCESSOR_ARCHITECTURE%  | findstr /i ".64." > nul
IF %ERRORLEVEL% EQU 0 goto ver_64
goto warn_and_exit

:ver_32
echo 32 bit Betriebssystem erkannt...

set "progdir=C:\Program Files\Snipping Tool Plus 3.4.1"

echo Snipping Tool Plus installieren...
if not exist "%progdir%" md "%progdir%"
copy %quellpfad% "C:\Program Files\Snipping Tool Plus 3.4.1\Snipping Tool Plus.exe"

echo Verknuepfung auf dem Desktop anlegen...
echo Set objShell=WScript.CreateObject("Wscript.Shell")>%temp%\VerknuepfungErstellen.vbs
echo Set objShortcut=objShell.CreateShortcut("%zielpfad%\%progtitel%.lnk")>>%temp%\VerknuepfungErstellen.vbs
echo objShortcut.TargetPath="%progdir%\%progexe%">>%temp%\VerknuepfungErstellen.vbs
echo objShortcut.Description="%beschreibung%">>%temp%\VerknuepfungErstellen.vbs
echo objShortcut.WorkingDirectory="%progdir%">>%temp%\VerknuepfungErstellen.vbs
echo objShortcut.Save>>%temp%\VerknuepfungErstellen.vbs

cscript //nologo %temp%\VerknuepfungErstellen.vbs
del %temp%\VerknuepfungErstellen.vbs

echo Autostart fuer Alle Benutzer anlegen...
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /f /v "Snipping Tool Plus" /t REG_MULTI_SZ /d "C:\Program Files\\Snippig Tool Plus\\Snipping Tool Plus.exe /h"

goto end

:ver_64
echo 64 bit Betriebssystem erkannt...

set "progdir=C:\Program Files (x86)\Snipping Tool Plus 3.4.1"

echo Snipping Tool Plus installieren...
if not exist "%progdir%" md "%progdir%"
copy %quellpfad% "C:\Program Files (x86)\Snipping Tool Plus 3.4.1\Snipping Tool Plus.exe"

echo Verknuepfung auf dem Desktop anlegen...
echo Set objShell=WScript.CreateObject("Wscript.Shell")>%temp%\VerknuepfungErstellen.vbs
echo Set objShortcut=objShell.CreateShortcut("%zielpfad%\%progtitel%.lnk")>>%temp%\VerknuepfungErstellen.vbs
echo objShortcut.TargetPath="%progdir%\%progexe%">>%temp%\VerknuepfungErstellen.vbs
echo objShortcut.Description="%beschreibung%">>%temp%\VerknuepfungErstellen.vbs
echo objShortcut.WorkingDirectory="%progdir%">>%temp%\VerknuepfungErstellen.vbs
echo objShortcut.Save>>%temp%\VerknuepfungErstellen.vbs

cscript //nologo %temp%\VerknuepfungErstellen.vbs

del %temp%\VerknuepfungErstellen.vbs

echo Autostart fuer Alle Benutzer anlegen...
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /f /v "Snipping Tool Plus" /t REG_MULTI_SZ /d "C:\Program Files (x86)\\Snippig Tool Plus\\Snipping Tool Plus.exe /h"

goto end

:warn_and_exit
echo Es wurde ein Fehler festgestellt!

:end
echo Snipping Tool Plus wurde erfolgreich installiert
PAUSE
EXIT

Warum man kein Projekt mit Vodafone umsetzen sollte…

Im Sommer 2013 haben wir (ein mittelständisches Unternehmen) angefangen, unsere Infrastruktur umzustellen und benötigten hierfür die Unterstützung von Vodafone. Folgende Anpassungen sollte Vodafone für uns an der bestehenden Netzwerkinfrastruktur vornehmen:

  • PTR-Record für E-Mail Server anlegen
  • DHCP-Relay konfigurieren
  • Routing anpassen
  • Leitungskapazität erhöhen

Leitungskapazität

Bei uns kommt eine 200 mbit Glasfaserleitung im Haus an, wir benutzen aber aktuell nur 10 mbit. Vodafone hat vor Monaten den Auftrag erhalten, die Leitungskapazität auf 20 mbit zu erhöhen. Da es sich hierbei lediglich um eine Konfigurationsänderung handelt, da die Leitungskapatität ja bereits ausreichend ist, sollte das relativ schnell gehen. Uns wurden 2 – 4 Wochen zugesagt. Auch nach Monaten ist diese Anpassung nicht gemacht worden. Grade heute wurde mir gesagt, dass der eingescannte Auftrag wohl für die Buchhaltung nicht lesbar war und außerdem war wohl unser Rabatt falsch eigetragen, somit kann dies nicht erledigt werden. Das bedeutet, dass nach mehreren Monaten noch nie ein Auftrag für die Erhöhung bei Vodafon erstellt worden ist und hätte ich nicht schon tausend mal nachgefragt und um Eskalation gebeten, hätte es vermutlich nie einen gegebeten.

DHCP-Releay

Da die Filialen in der neuen Infrastruktur ihre IPs über den DHCP-Server am Hauptstandort erhalten sollten, sollte Vodafon ein DHCP-Relay auf ihren Routern konfigurieren. Das betrifft 3 Router, mit jeweils einem VLAN, was 3 Konsolen Befehle bedeutet. Auch nach mehreren Monaten wurde das nicht erledigt. Auch hier gibt es glaube ich nicht mal einen Auftrag.

PTR-Record

Damit unser neuer Exchange Server 2013 auch ordentlich E-Mails versenden kann, haben wir Vodafon eine Auftrag erteilt, einen PTR-Record für unsere öffentliche IP-Adresse von Vodafone anzulegen. Das Ganze hat mehrere Monate und unzählige Eskalationen gekostet, bis dieser endlich angelegt wurde. Versprochen wurde uns die Erledigung innerhalb einer Woche. Nach mehrmaligen Rückfragen stellte sich sogar nach Monaten raus, dass es hierfür nie einen offiziellen Auftrag gab (wurde vergessen?), sondern dann nach Monaten auf dem kurzen Dienstweg erledigt wurde.

Routing anpassen

Im Zuge der Migration haben wir auch unseren Core-Router und Proxy Server ausgetauscht und ein paar neue Netze erstellt. Da Vodafone unsere Standorte per Company Net verbindet, muss Vodafone die Anpassungen in ihren Routern vornehmen. Solange das nicht geschehen war, konnten wir unsere Filialen nicht umstellen. Auch hier hat Vodafone mehrere Monate gebraucht, bis diese Anpassungen durchgeführt wurden, obwohl nur 4 statische Routen in 3 Cisco Routern hinzugefügt werden mussten. Aufwand insgesamt unter 5 Minuten per Konsole. Diese Anpassung wurde auch erst nach der X Eskalation erledigt.

………………

Schon einige Wochen vorher, hatten wir über mehrere Wochen Abbrüche beim Telefonieren, so dass wir extrem eingeschränkt erreichbar waren. Nach vielen Wochen hin und her und der Schuldzuweisungen zwischen Telekom und Vodafone, wurde der Fehler dann in einem Bauteil in einer Vermittlungseinheit gefunden. Immer wieder wurde uns gemeldet, das Problem sei gelöst, was es aber nie war und immer wieder wurde das Ticket einfach geschlossen. Außerdem wurden mehrere abgesprochene Termine zwischen mir und Vodafone nicht eingehalten, so dass ich umsonst mehrere Stunden warten musste. Obwohl wir SLA-Verträge mit 24 h Stunden Reaktionzeit haben und dafür viel Geld bezahlen, ist nichts passiert und wir wurden immer wieder vertröstet und inkompetent behandelt.

Wir hatten die Verantwortlichen von Vodafone mehrmals persönlich bei uns im Haus und es wurde immer Besserung gelobt. Auch nach merheren Monaten ist hiervon nichts zu merken. Leider sitzen wir im Vertrag fest und kommen erst im mehreren Jahren raus, dann werden wir aber die Partnerschaft mit Vodafone kündigen. Nach diesen Erfahrungen kann ich nur jedem von einer Partnerschaft mit Vodafone abraten, da das Projekt sonst wohl „nie“ fertiggestellt werden wird. Mich hat dies schon soviel Zeit und Nerven gekostet und mein Projekt wurde dadurch extrem verzögert und ist bis heute nicht erledigt.

Vor diesen hier geschilderten Problemen gab es auch schon eine ähnliche Vorgeschichte, die ich aber an dieser Stelle aus Zeitgründen nicht erwähnen kann.

Outlook 2013 – Gruppenrichtlinie für standard Schriftart/größe/farbe

Um ein einheitliches Auftreten beim E-Mail Versand gewährleisten zu können, empfiehlt es sich, die Schriftart, Schriftfarbe, Schrifgröße usw. zentral zu konfigurieren.

Outlook Schrifteigenschaften festlegen

Da hierfür keine Konfiguration per Gruppenrichtlinie vorgesehen ist, muss ein bisschen getrickst werden. Dazu müssen einfach im eigenen Outlook die gewünschten Schrifteigenschaften definiert werden.

Wenn in diesem Dialog alles nötige eingestellt wurde, muss die eben getroffene Konfiguration aus der Registry extrahiert werden.

Schrifteigenenschaften aus Registry extrahieren

Die eben getroffenen Einstellungen befinden sich unter folgendem Registry-Pfad:

HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Common\Mailsettings

Folgende Registry-Keys sind relevant:

  • Für neue Nachrichten: ComposeFontComplex, ComposeFontSimple
  • Für Antworten/Weiterleiten: ReplyFontComplex, ReplyFontSimple
  • Für nur Textnachrichten: TextFontComplex, TextFontSimple

Die gewünschten Registry-Keys müssen nun exportiert und als *.reg gespeichert werden.

Gruppenrichtline erstellen

Erster Schritt

Als erstes muss folgende Eigenschaft per Gruppenrichtlinie ausgerollt werden: Benutzerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Microsoft Outlook 2013 -> E-Mail -> Outlook-Optionen -> E-Mail Format -> Briefpapier und Schriftarten -> Briefpapierschriftarten = Immer Schriftarten des Benutzers verwenden

Damit wird sichergestellt, dass der jeweilige Benutzer über die die Schriftart entscheidet und das evtl. vorhande Desgin nur eine sekundäre Rolle spielt.

Zweiter Schritt

Jetzt können die eben importierten Registry-Keys in die gleiche Gruppenrichtlinie importiert werden. Man kann es sich kompliziert machen und die Registry-Datei zu ADM-Datei konvertieren oder einfach die integrierte Funktion benutzen. Zu finden in der Editor Ansicht unter „Benutzerkonfiguration -> Einstellungen -> Windows-Einstellungen -> Registrieung“

Outlook Standard Schriftart 3

Firewall – Palo Alto P-500

Die Palo Altp PA-500 kann noch viel mehr als eine „normale“ Firewall so kann:

  • Firewall
  • Web-Proxy mit Anti-Virus & Malware Scanner und URL-Kategorisierung
  • Secure Gateway
  • VPN
  • Application ID
  • Switch/Router

Die Firewall-Regeln werden dabei beispielsweise nicht nach Ports und Trust to Untrust konfiguriert, sondern es werden Anwendungen festgelegt, die zugelassen oder verboten werden. Da mittlerweile so gut wie alles über HTTPS getunnelt wird und somit das erkennen der Anwendung nicht möglich ist, geht der Hersteller hier einen anderen Weg. So ist es z.B. möglich, die Anwendung Facebook-Basic zuzulassen, aber Facebook-Games zu verbieten. Es stehen fast 2000 Anwendunge zur Konfiguration zur Verfügung.

Im Monitoring sieht man also nicht das HTTPS-Traffic auftaucht, sondern es werden Anwendungen wie Facebook, Teamviewer, Youtube, Skype, Active Direcotry und fast 2000 weitere Anwendungen sichtbar, die ständig geupdatet werden.

Ethernet-Ports

Die Ethernet-Ports der Palo Alto können in verschiedenen Betriebsmodi geschaltet werden:

  • Virtual Wire: Virtuelle Verbindung zwischen zwei Ports
  • Layer 2: Virtueller Switch
  • Layer 3: Router/Nat

Layer 2

Im Layer 2 kann der Port als virtueller Switch verwendet werden. Somit ist es beispielsweise möglich ein DMZ-Netzwerk einzurichten.

Layer 3

Der Layer 3 Modus setzt vorraus, dass die jeweiligen Ethernet-Ports in diesem Modus eine IP-Adresse zugeordnet bekommen. Diese IP-Adresse kann dann beispielsweise als Default-Gateway eingesetzt werden. Außerdem können zwei Ethernet-Ports im Layer 3 Modus in einem virtuellen Router kombiniert werden. Das eignet sich z.B. für das Routing zwischen Internet und internen Netzwerken, bei dem auch NAT möglich ist. Somit könnte man eine Art Proxy-Server aufsetzen und mit Policies verfeinern.

Virtueller Router

Wenn Ethernet-Ports im Layer 3 Modus konfiguriert wurden, können diese mit einem virtuellen Router verbunden werden. Damit dies in der Praxis funktioniert, müssen statische Routen konfiguriert werden.

Beispiel – Internet/Intern

Die statische Route muss mit folgender Netzwerk-Konfiguration erstellt werden:

Netzwerk:
0.0.0.0/0
Next Hop: Default-Gateway vom Provider

Internet Explorer EMET – Sicherheitslücke mit EMET schließen und per Gruppenrichtlinie konfigurieren

Auf heise.de wird vor einer Sicherheitslücke im Internet Explorer gewarnt. (Link) Microsoft empfiehlt bis dahin eine Lösung per Enhanced Mitigation Experience Toolkit v3.0 (EMET). Das Tool kann per MSI ausgerollt und per Gruppenrichtlinie konfiguriert werden. Damit können die in Windows 7 integrierten Schutz-Mechanismen für Prozesse konfiguriert werden. internet explorer emet

In der Registry aktivieren

Mit diesem Registry Eintrag kann man den Schutz für den Internet Explorer aktivieren. Das könnte man auch per GP ausrollen.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\EMET\Defaults]
"*\\Internet Explorer\\iexplore.exe"=""

Autorun des EMET Notify Utility deaktivieren

Beim Ausrollen wird das EMET Notify Utility in den Autostart installiert. Wenn man folgenden Pfad löscht, kann man das deaktivieren.

HKEY_LOCAL_MACHINE\Software\WOW6432node\Microsoft\Windows\CurrentVersion\Run\EMET Notifier

Download EMET (Enhanced Mitigation Experience Toolkit v3.0)
Group Policy Files