Beim Austausch von einem Kunden-PC sollte bei dieser Gelegenheit auch gleich von MS Office 2007 (inkl. Outlook) auf OpenOffice und Thunderbird gewechselt werden.

Mozilla stellt für Thunderbird eine gute Anleitung zur Verfügung, wie man die Daten von Outlook 2007 übernehmen kann:

mozilla support – Von Outlook 2007 zu Thunderbird wechseln

Da für das Importieren Outlook noch benötigt wird, wurde zunächst die aktuelle Thunderbird-Version 38.6.0 auf dem alten Computer installiert. Beim Versuch die Daten zu importieren war allerdings Outlook ausgegraut, nur Outlook Express stand zur Verfügung.

Eine kurze Recherche führte zu dem Ergebnis, das offenbar mit der aktuellen Version von Thunderbird das Importieren von Outlook 2007 „beschädigt“ wurde:

mozilla Hilfeforum – How can I import from Outlook 2007 when option is greyed out?

Abhilfe schafft das Installieren einer älteren Thunderbird-Version (31.8.0):

https://ftp.mozilla.org/pub/thunderbird/releases/31.8.0/win32/de/

Nach dem Setup den Import-Vorgang gemäss Anleitung ausführen. Anschließend kann man auf die aktuelle Version aktualisieren und in diesem Fall wurde dann das Profil auf den neuen Computer kopiert.

Bei einem Kunden musste Windows 7 von einer Recovery-Partition des PC-Lieferanten aus wiederhergestellt werden. Problematisch dabei war, das zum einen der Boot-Manager als auch die Startumgebung für das Recovery fehlerhaft waren, ein direktes Booten in die Wiederherstellungsumgebung somit unmöglich ist.

Darüber hinaus konnte auch kein reguläres Windows-Installationsmedium verwendet werden, da es sich bei genannter Installation um einen Refurbished-PC handelt. Eine Aktivierung gelingt mit einer ungebrandeten „normalen“ Windows-DVD und dem Refurbished-Product Key nicht.

Glücklicherweise fand sich auf der Recovery-Partition im Unterordner „restore“ eine Datei namens „restore.wim“. Normalerweise werden WIM-Abbilder mit dem Tool ImageX aus dem WAIK bzw. ADK auf Festplatten bzw. Partitionen angewendet (z.B. „imagex /apply restore.wim 1 c:“).

Aber auch dieses Tool stand nicht zur Verfügung. Sozusagen als Plan B oder Alternative kam die aktuelle 7-Zip-Version (15.14) zum Einsatz. Seit Version 7.38 kann 7-Zip mit WIM-Abbildern umgehen.

Der PC wurde mittels Windows 7-DVD gestartet und nach den Spracheinstellungen mittels „Strg+F10“ eine Eingabeaufforderung geöffnet, die aktuelle installierte 7-Zip-Version wurde von einem PC aus kurzerhand auf einen USB-Stick kopiert und von dort aus ausgeführt. Dies gelang sogar mit der grafischen Oberfläche („7zFM.exe“), es fehlen zwar ein paar Elemente oder deren Beschriftung, aber für das einfache entpacken genügt es.

Nach dem Ausführen der Systemstartreparatur bootete das System wieder wie gewohnt und Windows konnte fertig eingerichtet werden.

Hinweis am Rande

Eine weitere Option um auf die Schnelle und ohne großen Aufwand an ImageX zu gelangen könnte folgende Methode sein (ungetestet):

Download just imagex.exe

Erstellt man Präsentationen mit Microsoft’s PowerPoint, kann man z.B. für einzelne Folien oder im Hintergrund Audio-Dateien wiedergeben. Soweit so gut. Schwierigkeiten kann es allerdings geben, wenn die Präsentation als Video gespeichert wird, denn dann geht unter Umständen der Ton verloren.

Wie gut oder weniger gut das Vorhaben gelingt, ist unter anderem davon abhängig, welche PowerPoint-Version verwendet wird. Im Test gelang es nicht, Videos mit Ton zu speichern, bei dem dieser bei „Übergänge – Sound“ (PowerPoint 2016) eingebunden war. Fügte man eine Audio-Datei ein, klappte es zwar grundsätzlich, aber ggf. ist der Startzeitpunkt zu spät, so dass das Erscheinen der Folie nicht mit dem gewünschten Sound übereinstimmt.

Kurzum: Etwas kniffelig die Sache. Als workaround, bei dem man zudem mehr Möglichkeiten hat besteht darin, die Präsentation als Video (*.wmv, *.mp4, je nach Version) zu speichern und in einem Videoschnittprogramm erst den Ton, also Klänge, Hintergrundmusik etc., hinzuzufügen.

Das war dann letztlich auch der einzig erfolgreiche Weg der gegangen werden konnte für eine Geburtstagspräsentation. Die Macherin hatte zuvor tagelang vergeblich versucht, nur mit PowerPoint das Ziel zu erreichen, um dann letztlich weniger als 24 Stunden vor dem Ereignis bei mir anzufragen.

Eine mit PowerPoint 2010 und einer früheren, unbekannten Version erstellte Präsentation wurde zunächst als *.wmv gespeichert und anschießend in VSDC Free Video Editor geladen, dann wurde jeweils zum passenden Zeitpunkt die gewünschten Tonspuren eingefügt.

Achtung: Der Installer des Video Editors ist ordentlich mit Adware „verseucht“, also nicht einfach bei allem „Ja & Amen“ klicken!

Als weiterer Vorteil erwies sich, das man das Ergebnis in unterschiedlichen Formaten exportieren kann. So konnte auf einen Computer mit PowerPoint oder dem entsprechenden Viewer verzichtet und nur ein USB-Stick für einen Beamer eingesetzt werden.

Weitere Optionen

Abgesehen von der angesprochenen Ton-Thematik gibt es weitere Tools, die das speichern oder Umwandeln von PowerPoint zu einem Video ermöglichen. Anbei ein paar Beispiele:

Xilisoft PowerPoint to Video Converter (Free) – Leider erkannte beim Test das Programm das installierte PowerPoint 2016 nicht, von daher konnte nicht weiter probiert werden.

E.M. Free PowerPoint Video Converter V3.20 (Freeware) – Ungetestet, laut Homepage wird in der Freeware-Version ein Watermark eingeblendet.

Man kann (natürlich) auch ein Screencapture einer laufenden Präsentation erstellen.

Fragt iTunes beim Versuch der Wiedergabe eines gekauften Musiktitels nach den Zugangsdaten und erscheint bei Umwandeln dieses Titels in MP3 die Fehlermeldung „Ein unbekannter Fehler ist aufgetreten (-42017).“ so liegt ein Problem mit dem Download vor.

Herrlich, es ist Samstag-Abend und man durchstöbert seine iTunes-Wunschliste, die mittlerweile 318 Einzeltitel (Alben und EPs nicht mitgezählt) umfasst um sich zu Entscheiden, was man denn nun kauft. Dann aber die Überraschung nach dem Kauf, das sich ein Lied nicht wiedergeben oder in eine MP3-Datei umwandeln lässt.

Bei einem Blick in die Sammlung fällt in der Spalte „Art“ auf, das bei dem problembehafteten Stück nicht „Gekaufte AAC-Audiodatei“ sondern lediglich „AAC-Audiodatei“ angegeben ist. Wiedergabeversuche führen erst über den Anmeldedialog und dann zu der Meldung, das der Computer bereits autorisiert sei.

Beim Versuch den betroffenen Titel in eine MP3 umzuwandeln, sieht es nur anders aus, funktioniert allerdings genausowenig:

Offenbar ist beim Download etwas schiefgelaufen. Abhilfe schafft das Löschen und erneute herunterladen. Dazu beim betroffenen Titel „Download entfernen“ anklicken. Direkt im Anschluss erscheint in der iCloud-Spalte ein Wolkensymbol über das man den Titel erneut herunterladen kann. Im Idealfall sollte nun alles in Ordnung sein. Falls nicht, muss man den Support kontaktieren.

Quellen

Apple – Frühere Einkäufe laden

Der Tutonaut – Tipp: Bereits gekaufte iTunes-Songs erneut herunterladen

Grundsätzlich kann man die Foundation-Edition des Windows Servers virtualisieren. Unter VirtualBox gab es keine größeren Schwierigkeiten (siehe hier), auch unter KVM-basierten Lösungen und soweit mir bekannt ist sollte VMware ebenfalls kein Problem sein. Unter Hyper-V sieht die Sache allerdings etwas anders aus.

Eigentlich sind in allen neueren Versionen von Windows die Integrationsdienste bereits integriert. Die Ausnahme stellen nach aktuellem Kenntnisstand die Home-Editionen und der Foundation-Server dar.

Darf man das?

Gute Frage, die Lage ist etwas schwierig, da Microsoft im Blog etwas formuliert, das man so auslegen kann, als sei es ok:

Windows Foundation Server und Virtualisierung

Auf der anderen Seite allerdings unter Introduction to Windows Server 2012 Foundation folgendes erwähnt ist:

"Virtual image use rights: None; cannot host virtual machines or be used as a guest operating system in a virtual machine."

Ungeachtet dessen ist es technisch möglich.

Warum eigentlich?

Bei einem Kunden ging es darum, das einiges zu testen ist bevor an der Produktikumgebung etwas verändert werden sollte. Da der Kunde neben dem Foundation-Server noch Hyper-V im Einsatz hat, war es naheliegend die Produktivumgebung dort nachzubilden bzw. ein Backup davon als virtuellen Computer wiederherzustellen.

Übrigens geht s um folgende Versionen:

• Windows Server 2012 Foundation
• Windows Server 2012 R2 Standard als Hyper-V Host

Sonderfall „Hyper-V“

Der Restore des Backups war dabei gewohnt einfach. Ein Drive Snapshot-Abbild wurde in eine zuvor angelegte VHDX eingespielt. Der anschl. Bootvorgang verlief erfolgreich.

Hinweis: Der verwendete virtuelle Computer entspricht der „Generation 1“.

Allerdings viel schnell auf, das die virtuelle Hardware nicht vollständig lief. Das fing bei der Maus an und betraf unter anderem die virtuelle Netzwerkkarte. Letztere liese sich zwar auch über das Hinzufügen einer „Älteren Netzwerkkarte“ zum virtuellen Computer lösen, allerdings handelt es sich dabei dann nur um eine Fast Ethernet-Variante.

Den Versuch die Integrationsdienste zu installieren quittiert das Setup mit der Meldung, das diese schon laufen. Faktisch ist das allerdings nur ein Teil, soll heißen: Wenige Treiber, keine Dienste. Für die Dienste wurde bislang keine Lösung gefunden. Wichtig sind zunächst die Treiber.

Wichtig: Der Server läuft ohne die Treiber relativ langsam, so das etwas Geduld aufgebracht werden muss!

Vorbereitung ist alles

Damit man die Treiber über den Geräte-Manager installieren kann, müssen diese zunächst entpackt werden. Dazu auf dem Hyper-V Host die Datei „C:\Windows\System32\vmguest.iso“ einhängen oder entpacken und anschließend die Datei „support\amd64\Windows6.2-HyperVIntegrationServices-x64.cab“ entpacken. Das geht mit Bordmitteln oder z.B. mit 7-Zip.

Variante 1:

In jeden Unterordner der eine *.inf-Datei enhält die Datei „update.cat“ kopieren, die *.inf-Datei editieren und folgende Zeile einfügen:

CatalogFile=update.cat

Danke an Luxx für den Tipp (Siehe Kommentare).

Variante 2:

Das SDK für Windows 8.1 herunterladen:

Windows Software Development Kit (SDK) für Windows 8.1

Die Installationsdatei ausführen, angeben das man lediglich Herunterladen möchte und nur das „Windows App Certification Kit“ benötigt.

Folgendes Skript unter dem Namen „Treiber-signieren.cmd“ abspeichern:

@echo off

title Treiber signieren ...

rem Konfiguration

 set SDKPath=C:\Program Files (x86)\Windows Kits\8.1\bin\x64
 cd "%SDKPath%"

rem Zertifikat erzeugen

 makecert -r -ss MeineZertifikate -n "CN=Microsoft Windows - Hyper-V" -sr LocalMachine

rem Zertifikate kopieren

 cls
 echo Das neuerstellte Zertifikate muss sowohl zu
 echo "Vertrauenswuerdige Stammzertifizierungstelle" als auch zu
 echo "Vertrauenswuerdige Herausgeber" kopiert werden.
 echo.
 echo Erst wenn dies erfolgt ist, eine beliebige Taste druecken!
 echo.
 pause
 echo.

rem Treiber signieren

 rem Microsoft Hyper-V-Eingabe
  signtool sign -a -s MeineZertifikate -n "Microsoft Windows - Hyper-V" "C:\Windows\System32\DRIVERS\VMBusHID.sys"

 rem Microsoft Hyper-V-Video
  signtool sign -a -s MeineZertifikate -n "Microsoft Windows - Hyper-V" "C:\Windows\System32\DRIVERS\HyperVideo.sys"

 rem Microsoft Hyper-V-Netzwerkadapter
  signtool sign -a -s MeineZertifikate -n "Microsoft Windows - Hyper-V" "C:\Windows\System32\DRIVERS\netvsc63.sys"
  signtool sign -a -s MeineZertifikate -n "Microsoft Windows - Hyper-V" "C:\Windows\System32\NetVscCoinstall.dll"
  signtool sign -a -s MeineZertifikate -n "Microsoft Windows - Hyper-V" "C:\Windows\System32\netvscres.dll"

 rem Microsoft Hyper-V S3 Cap
  signtool sign -a -s MeineZertifikate -n "Microsoft Windows - Hyper-V" "C:\Windows\System32\DRIVERS\vms3cap.sys"

 rem Microsoft Hyper-V-Generieungszähler
  signtool sign -a -s MeineZertifikate -n "Microsoft Windows - Hyper-V" "C:\Windows\System32\DRIVERS\vmgencounter.sys"

 rem Microsoft Hyper-V - Virtuelle Tastatur
  signtool sign -a -s MeineZertifikate -n "Microsoft Windows - Hyper-V" "C:\Windows\System32\DRIVERS\hyperkbd.sys"

rem BCD konfigurieren

 bcdedit /set TESTSIGNING ON

echo.
pause

Die entpackten Treiber, ggf. das StandaloneSDK und ggf. das Skript in die VHDX des virtuellen Computers kopieren.

Tipp: Die Dateien z.B. nach „C:\Temp“ o.ä. kopieren. Den Pfad möglichst kurz halten, das erspart später Tipperei.

Die Sache mit der Treiber-Signatur

Seltsam erscheint, das angeblich die Treiber nicht signiert sind oder Signaturinformationen fehlen. Das scheint aber nicht ganz zuzutreffen. In den Details der Treiber ist erkennbar, das manche Dateien signiert sind, manche wiederum (angeblich) nicht. Prüft man mit dem SignTool oder Sigverif bekommt man evtl. Ergebnisse wie das z.B. die Prüfung an einem (Root-)Zertifikat endet, dem nicht vertraut wird oder (bei Sigverif) alle Hyper-V Treiber nicht signiert wären.

Abhilfe schafft das Booten ohne erzwungene Treibersignatur und ggf. das anschl. Signieren der Treiber (Nur bei Variante 2!). Führt man dies nicht durch, so lassen sich die Treiber nicht installieren und die Treiber starten später nicht (Code 52).

Treiber der Integrationsdienste installieren

Die Treiber müssen für die betroffene Geräte über den Geräte-Manager installiert werden, das ist zwar ohne Maus etwas frickelig, aber machbar. Der imho kürzeste Weg lautet:

• Den virtuellen Computer starten, „F8“ drücken und „Erzwingen der Treibersignatur deaktivieren“ auswählen.
• Nachdem der virtuelle Computer gebootet ist und man sich angemeldet hat „Win+R“ drücken,
• „devmgmt.msc“ eingeben,
• mit der „Tab“-Taste zum Geräte-Baum springen,
• über die Pfeiltasten zu den mit einem Ausrufezeichen markierten Gerät(en) wechseln,
• „Enter“ drücken,
• mit der „Tab“-Taste zu „Treiber aktualisieren“ wechseln und „Enter“ drücken,
• „Auf dem Computer nach Treibersoftware suchen“ auswählen und „Enter“ drücken,
• „Diese Treibersoftware trotzdem installieren“ auswählen und „Enter“ drücken.
• Dieser Vorgang muss zunächst für alle Treiber mit einem Ausrufezeichen und anschließend für alle Treiber mit einem Fragezeichen wiederholt werden.

Die Maus als auch Netzwerk (und weiteres) sollten nun funktionieren.

SDK installieren, Zertifikat erstellen und Treiber signieren (Nur bei Variante 2!)

Damit nicht bei jedem Bootvorgang „F8“ (usw.) gedrückt werden muss, wird ein eigenes Zertifikat erstellt, diesem dem System hinzugefügt und es werden die Treiber mit diesem Zertifikat signiert. Abschließend muss der BCD angepasst werden.

Als Grundlage für dieses Vorgehen dienen folgende Seiten:

Microsoft TechNet – Schritte zum Signieren eines Gerätetreiberpakets

UNAWAVE – Zertifikat erstellen und die gepatchte Kernel-Datei signieren

Um etwas Arbeit zu ersparen wurde ein Skript erstellt, dass das Zertifikat erstellt, die Treiber signiert und den BCD konfiguriert. Einzig das Kopieren des Zertifikats muss man von Hand vornehmen.

Zunächst muss das SDK installiert werden. Im Anschluss das Skript „Treiber-signieren.cmd“ mit erhöhten Rechten ausführen. Sobald folgende Meldung erscheint

• eine MMC öffnen,
• das „Zertifikate“-Snap-In für das lokale Computerkonto hinzufügen,
• zu „MeineZertifikate – Zertifikate“ wechseln,
• dort das Zertifikat „Microsoft Windows – Hyper-V“ kopieren und sowohl bei „Vertrauenswürdige Stammzertifizierungstellen“ als auch „Vertrauenswürdige Herausgeber“ einfügen.
• Nun für das Skript eine beliebige Taste drücken.

Sobald das Skript durchgelaufen ist, den Server normal (d.h. ohne „F8…“) starten. Anschließend kann wie bei jeder Migration die IP-Konfiguration wiederhergestellt und alle notwendigen Anpassung (Alte Treiber deinstallieren, …) durchgeführt werden.

Neuinstallation

Versucht man den Foundation-Server komplett von DVD oder ISO in einen virtuellen Computer zu installieren, so bleibt man ggf. bei der Eingabe des Produktschlüssels hängen. Die konkrekte Fehlermeldung dazu lautet:

"Der Product Key konnte nicht überprüft werden. Überprüfen sie bitte das Installationsmedium."

Ein möglicher Grund kann zuwenig Arbeitsspeicher sein, dieser sollte bei min. 2 GB liegen. Ob eine Netzwerkverbindung vorhanden ist spielt keine Rolle.

Abhilfe schafft der „Generic Installation Key“: PN24B-X6THG-274MF-YHM9G-H8MVG

Quelle: Windows Answer File Generator – Generic Installation Keys

Ob’s im Anschluss mit der Aktivierung unter Verwendung des vorhandenen Product Keys klappt wurde noch nicht getestet.

Als nächste Hürde steht man dann vor dem Problem, das nach dem Neustart beim Festlegen des Administrator-Kennworts weder Tastatur noch Maus funktionieren. Selbst über das „Zwischenablage“-Menü kann man nichts machen. Mögliche Abhilfe lauten:

• Ein paar Minuten warten, im Hintergrund wird die Hardware eingerichtet. Die Tastatur funktioniert dann i.d.R..
• „Shift + F10“ drücken, es öffnet sich eine Eingabeaufforderung, diese mit „exit“ wieder schließen. Nun sollte die Tastatureingabe in den Kennwort-Feldern möglich sein.
• Den virtuellen Computer neustarten.

Wie zuvor weiter oben erwähnt müssen die Integrationsdienste bzw. deren Treiber installiert und ggf. signiert werden.

Beim Versuch mit den unterschiedlichen Generation (1 oder 2) stellte sich heraus, das offenbar „Generation 2“ nicht unterstützt wird:

Ob es funktioniert, die Treiber bzw. Integrationsdienste offline in den virtuellen Computer einzufügen wurde noch nicht getestet. Das grundsätzliche Vorgehen ist hier beschrieben:

How to install integration services when the virtual machine is not running

Was nicht funktioniert

Bevor man auf den zuvor genannten Lösungsweg gekommen ist, wurden folgende Möglichkeiten erfolglos getestet:

ReadyDriver Plus – Mit Hilfe dieses Tools wird automatisch beim Start von Windows bei den erweiterten Startoptionen der Punkt ausgewählt, das die Treiber-Signaturprüfung deaktiviert werden soll. Leider funktioniert das nur unter Windows 7 oder neuer. Beim Windows Server wäre ein weiterer emulierten Tastendruck nötig, um den richtigen Eintrag zu aktivieren.

Driver Signature Enforcement Overrider – Beim Test zeigte dieses Tool zumindest auf dem Windows Server keinerlei Wirkung.

Das Ändern des BCD mit den Befehlen

BCDEDIT /Set LoadOptions DDISABLE_INTEGRITY_CHECKS
BCDEDIT /Set TESTSIGNING ON

und einem Neustart änderte leider nichts.

Das in der *.cab-Datei enthaltene Zertifikat zu den vertrauenswürdigen Stammzertifizierungstellen und Herausgebern hinzuzufügen reicht ebenfalls nicht aus.

Das Kopieren von Treiberdateien aus einer Windows Server 2012 R2 Standard-Installation bringt nichts, da es binär die gleichen Dateien sind.

Weitere Quellen & Informationen

MSDN – SignTool.exe (Sign Tool)

MSDN – Using SignTool to Verify a File Signature

Früher oder später muss auch mal ein Verwaltungsserver für die AntiViren-Lösung umgezogen werden. Das kann z.B. beim Wechsel des zugrundeliegenden Betriebssystems oder beim Austausch der Hardware der Fall sein. Beim Einsatz von G Data Business Solutions ist das recht einfach der Fall.

Als Fallbeispiel dient der Wechsel bei einem Kunden von einem Windows Server 2012 Foundation zu einem Windows Server 2012 R2 Standard. Verwendet wird G Data AntiVirus Business in der Version 13.2.

Quellcomputer

Datenbank sichern

• Das Konfigurationswerkzeug „gdmmsconfig.exe“ aus dem Ordner „C:\Program Files x86\G DATA\G DATA AntiVirus ManagementServer“ ausführen.
• Auf „Datenbank Backup erstellen“ klicken.
• Ein Ziel-Verzeichnis angeben und auf „Backup erstellen“ klicken.
  Hinweis: Netzlaufwerke funktionierten im Test nicht als Ziel.

G Data ManagementServer deinstallieren

Über „Systemsteuerung – Programme und Features“ den „G Data ManagementServer“ deinstallieren. Auf Wunsch können die Datenbanken als auch die Dateien in der Quarantäne bei der Deinstallation gelöscht werden.

Die Quarantäne (und weitere Dateien) befinden sich unter

C:\ProgramData\G Data

Die Datenbank befindet sich unter

C:\Program Files (x86)\Microsoft SQL Server\MSSQL10.GDATASQLSRV2K8\MSSQL

Zielcomputer

G Data ManagementServer installieren

• Die aktuelle Version von G Data Downloads herunterladen und entpacken.
• Die Datei „Setup.exe“ ausführen, auf „G Data ManagementServer“ klicken und den Anweisungen folgen.

Datenbank wiederherstellen

• Das Konfigurationswerkzeug „gdmmsconfig.exe“ aus dem Ordner „C:\Program Files x86\G DATA\G DATA AntiVirus ManagementServer“ ausführen.
• Auf die Schaltfläche „Datenbank wiederherstellen“ klicken.
• Die Backupdatei auswählen und auf „Backup wiederherstellen“ klicken.

Clients aktualisieren

• Den „G Data Administrator“ starten und anmelden.
• Zur „Clients“-Ansicht wechseln.
• Alle Clients auswählen, mit der rechten Maustaste anklicken und „G Data Security Client installieren…“ auswählen.
• Die administrativen Anmeldedaten eingeben und die Sprache auswählen.

Es erscheint die Installationsübersicht, die über den aktuellen Status informiert. Bei den Clients sollte (nach kurzer Zeit) die Meldung „G Data Security Client ist bereits installiert. Der Servername wurde aktualisiert.“ erscheinen.

Alternativ: Änderung per Hand, Skript oder GPO:

32-bit: „HKEY_LOCAL_MACHINE\SOFTWARE\G DATA\AVKClient“

64-Bit: „HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\G DATA\AVKClient“

Den Eintrag „Server“ auf die IP-Adresse oder den Computernamen des aktuellen ManagementServers aktualisieren.

Quellen

G Data – Wie kann ich die ManagementServer Datenbank sichern bzw. wieder herstellen?

G Data TechPaper #0158 – Upgrade auf Generation 13 der G Data Unternehmenslösungen (PDF)

G Data Business Support

Das Ändern der Anzeigesprache ist eigentlich den höheren Editionen von Windows 7 vorbehalten. Für Windows 7 Home Premium gibt es dennoch Möglichkeiten.

Die offiziellen Wege lauten:

• Upgrade auf Windows 7 Ultimate und Sprachpaket installieren
• Neuinstallieren und zu Beginn die Sprache auswählen

Letztgenanntes hilft nur, sofern entweder ein mehrsprachiges Installationsmedium vorliegt oder das Recovery des Computerherstellers eine Sprachauswahl zulässt.

Die inoffizielle Lösung besteht darin mit diversen Tools die Installation von Sprachpaketen von Microsoft zu ermöglichen oder, sofern installiert, die Sprache zu ändern. Eines dieser Tools ist Vistalizator.

Als Beispiel dient ein Windows 7 Home Premium 64-bit, das in Englisch installiert wurde und auf Deutsch geändert werden soll.

Wichtig: Unbedingt eine Datensicherung vom System anlegen. Für den Fall das etwas Schief läuft oder Windows im Anchluss meldet, es sei „non-genuine“!

• Vistalizator herunterladen. Falls gewünscht die Sprachpakete für das Tool herunterladen und im gleichen Ordner entpacken.
• Das zum Betriebssystem passende Sprachpaket herunterladen. Im Beispiel ist das „Windows 7 SP1 MUI Language Pack“ „German“.
• Die „Vistalizator.exe“ ausführen und auf „Sprache hinzufügen“ („Add languages“) klicken.
• Das zuvor heruntergeladene Sprachpaket auswählen. Es kann eine Weile dauern, bis dieses installiert ist:

Obwohl das zugrundeliegende Betriebssystem laut Windows Updates auf dem aktuellen Stand war, kam es zu folgenden Meldungen:

Dazu nachfolgend mehr. Direkt nach dieser Meldung erschien:

Wie beschrieben auf den Link klicken, den Fix herunterladen und installieren. Anschließend die „Vistalizator.exe“ neu starten. Es genügt die zuvor installierte Sprache auszuwählen und auf „Sprache ändern“ („Change Language“) zu klicken.

Abschließend erschien folgende Meldung:

Das System neu starten. Dieses sollte nun (weitgehend) auf die neue Sprache umgestellt sein. Windows Updates spricht ggf. noch die vorherige Sprache. Meist reicht es aus, den aktuellen Windows Update Agent in der passenden Sprache zu installieren. Zum Zeitpunkt der Erstellung dieses Beitrag ist das

Windows Update Client for Windows 7 and Windows Server 2008 R2: September 2015

Nicht verwirren lassen, beim Anfordern des Downloads erscheint eine Sprachauswahl.

Anschließend Windows Updates ausführen, da es unter Umständen Aktualisierungen gibt, die Sprachabhängig sind (z.B. Sprachpakete für den Internet Explorer). Ferner sollte geprüft werden, ob die Windows Aktivierung noch gültig ist.

Eine Neukundin mit begrenztem Budget suchte nach einer Datensicherungslösung für ihr Windows 7-Notebook und dem Windows 8.1-Netbook ihrer Tochter. Mit den Windows-Bordmitteln hatte Sie bereits schlechte Erfahrungen gemacht, so das eine Alternative her musste.

Die Auswahl an für die private Nutzung kostenlose Datensicherungsanwendungen ist recht umfangreich. Je nach Anspruch kann man die Liste allerdings schnell verkürzen. So waren folgende Punkte zusätzlich relevant:

• Deutschsprachige Benutzeroberfläche
• Leicht zu bedienen
• Volle und differentielle Abbild-Sicherung
• Rettungsmedium
• Zeitplaner
• Speicherplatz-Management (Was nützt einem eine Datensicherung, wenn das Ziel voll ist?!)
• Keine (Zwangs-)Registrierung

Ich nahm mir dieses Szenario zum Anlass, ein paar Lösungen anzusehen. Anbei die Ergebnisse:

AOMEI Backupper Standard 3.2 FREE

Gewöhnungsbedürftige Übersetzung, aber sonst eine fast runde Sache. Dieser Kandidat hätte es beinahe geschafft, allerdings viel beim Test auf, das es keine Möglichkeit gibt, alte Backups zu überschreiben oder anders ausgedrückt schreibt man damit das Ziel voll. Entfernt man manuell oder z.B. mit Tools wie DelAge32 die alten Sicherungen, dann gerät der Job durcheinander und sichert dann plötzlich nicht mehr nur die ausgewählte Festplatte sondern auch das Ziel. Was wiederum zu keinem guten Ende führt. Schade.

Digital Dynamic Advanced Backup Manager 2016 Free

Keine differentelle Sicherung in der Free Edition, von daher bereits beim Studium des Datenblatts ausgeschieden.

EaseUS Todo Backup Free 9.1

Download nur gegen Angabe einer E-Mail-Adresse möglich. Es kann allerdings eine erfundene (z.b. „abc@def.local“) oder eine wegwerf E-Mail-Adresse angeben werden. Schon während der Installation wird nach einem Ziel-Ordner gefragt. Beim ersten Start erscheint ein Lizenzdialog, den man mit „Weiter“ bestätigen kann.

Die Benutzeroberfläche ist sehr aufgeräumt. Insgesamt werden nur die nötigsten Optionen angeboten. Kurzum: Eine runde wie auch schicke Sache.

Macrium Reflect Free 6.1

Macrium Reflect Free hat in der Vergangheit bereits gute Dienste beim Klonen geleistet (siehe hier). Diesmal war der Backup-Teil dran. Die Oberfläche ist leider nicht so übersichtlich wie bei AOMEI, EaseUS oder Paragon, man muss sich kurz in das Programm einarbeiten. Neben der zeitlichen Planung von Datensicherungen kann man Pläne konfigurieren, mit denen z.B. die Anzahl und das Alter von aufzubewahrenden Sicherungen geregelt werden kann. Mit wenigen Klicks ist ein Icon auf dem Desktop platziert, mit dem sich die Sicherung manuell anstarten lässt und das sogar mit Abfrage wie (Voll, Differentiell, …) gesichert werden soll. Den Registrierungsdialog beim ersten Start des Programms kann man durch einen Klick auf „Nicht erinnern“ deaktivieren.

Man darf sich nicht von der Homepage täuschen lassen, die Sprache der Anwendung kann während der Installation geändert werden. Die Übersetzung ist um Längen besser als bei AOMEI, an manchen Stellen kommt dennoch was Englisches durch.

Als einziger Kandidat im Testfeld wurden alle Anforderungen auf Anhieb erfüllt.

Paragon Backup & Recovery 14 Free Edition

Download wohl nur bei CHIP möglich, dort sollte die „Manuelle Installation“ ausgewählt werden, da der CHIP-Installer gerne weitere „Dreingaben“ mit installieren möchte. Aufgeräumte Oberfläche, aber leider kein Zeitplaner in der Free Edition onboard, daher K.O.

Veeam Endpoint Backup FREE

Nur auf English verfügbar und nur gegen Registrierung zu haben. Von daher gleich zwei K.O.-Kriterien erfüllt (Nichts gegen das Programm oder den Hersteller, im Rahmen der Anforderung aber unpassend.).

Fazit

Im Test konnten nur die Lösungen von EaseUS und Macrium überzeugen bzw. entsprachen den Anforderungen. Ganz genau genommen sogar nur Macrium, da weder für den Download noch den Betrieb irgendeine Angabe (E-Mail-Adresse) oder Registrierung notwendig sind.

Insgesamt ist interessant, wie teilweise nah oder auch fern die Kandidaten auseinander liegen. Klar, für „Kost-nix“ kann und darf man nicht alles erwarten, die Unterschiede sind dennoch teilweise recht groß.

Die Allnet ALL3073WLAN ist eine via Netzwerk steuerbare Steckdose. Diese kann selbstständig z.B. mit einem Zeitplan oder aufgrund von Sensoren oder Überwachung schalten oder von Extern angesprochen werden.

Letzteres geht am einfachsten mittels Browser, Verknüpfung oder über ein Skript z.B. in Verbindung mit wget oder AutoIt.

Scheinbar hat sich zwischenzeitlich die Syntax geändert, schließlich gab es schon einige Updates. Beim vorliegenden Exemplar (Hardware: 0.02, Software: 3.30.1066) wurden direkt nach der Inbetriebnahme 11 Stück automatisch installiert.

Im Handbuch ab Seite 24 sind Beispiele als auch ein Screenshot aufgeführt, die so bei uns nicht (mehr) funktionierten. Stattdessen erhielten wir folgende Hilfeseite im Browser:

XML Help

http://192.168.0.100/xml?mode=*&type=**&id=***&action=****

Parameter
=========

   without: This help screen

     *mode: possible values actor, sensor, info
    **type: list/switch
     ***id: actor/sensor ID (optional)
****action: 0/1 (optional)

Aufrufe sind eigentlich ganz einfach. Ein Beispiel:

Steckdose einschalten:

http://192.168.0.100/xml/?mode=actor&type=switch&id=1&action=1

Um wieder abzuschalten, einfach die letzte 1 durch eine 0 ersetzen.

Damit über das Netzwerk überhaupt geschaltet werden kann, muss die „Fernsteuerung“ aktiviert sein:

• Zu „Konfiguration – Geräteeinstellungen – Fernsteuerung“ wechseln.
• Dort „FERNSTEUERUNG AKTIVIEREN (SCHALTEN)“ aktivieren.

Wurde die Benutzeranmeldung für die Fernsteuerung aktiviert, so muss die URL um die Benutzerdaten erweitert werden:

http://username:password@192.168.0.100/xml/?mode=actor&type=switch&id=1&action=1

Kurz notiert: Bei den All-IP-Anschlüssen der Telekom wie z.B. DeutschlandLAN IP Voice/Data L Premium, bei denen man als Option eine feste IP-Adresse buchen kann, müssen die Zugangsdaten im Router nicht geändert werden.

Im Kundencenter erhält man zwar einen Hinweis, das die richtigen Daten eingetragen sein sollten, da man sonst keine Verbindung mehr erhält. Laut Hotline muss allerdings nichts geändert werden.

Bei den Business DSL-Anschlüssen gilt allerdings nach wie vor, das es neue Zugangsdaten gibt.

Troubleshooting

Bei einem Kunden wollte die Digitalisierungsbox Premium nach der Umstellung auf feste IP keine Verbindung mehr aufbauen (Authentifizierung gescheitert). Erst das zweimalige Löschen und Neuanlegen der Schnittstelle als auch das Klicken auf „Test“ beim Eintragen der Zugangsdaten löste das Problem. Der Test dauerte allerdings mehrere Minuten, bevor Erfolg vermeldet wurde.

Ein Kunde hat beim Umzug der Firma am neuen Standort von der Telekom sowohl einen höherwertigeren Anschluss als auch eine Digitalisierungsbox Premium und elmeg IP120-Telefone erhalten.

Da ein Windows Server 2012 R2 zum Einsatz kommt und von dort aus die IP-Adressen via DHCP verteilt werden, wurde der DHCP-Server in der Telekom-Box deaktiviert. Leider finden dann die IP-Telefone ihren Weg zur PBX nicht mehr. Abhilfe schafft das Anlegen einer Option im Windows DHCP-Server:

bintec-elmeg – Konfiguration der DHCP-Option im Windows 2008-Server

Sobald die Option 114 mit dem Wert „http://<IP-Adresse der Digitalisierungsbox>/eg_prov/“ angelegt ist und verteilt wird, klappt’s auch wieder mit den Telefonen. Ggf. müssen die Telefone neu gestartet werden.

Gefunden wurde die Lösung über das Telekom-Forum:

Digitalisierungsbox Premium findet elmeg IP120 Telefon nicht

TeamViewer wird sehr gerne zur Fernwartung eingesetzt, so auch bei uns und unseren Kunden. Auf den Servern ist dann i.d.R. die Host-Edition installiert. Bereits zwei-drei Male bin ich darüber gestolpert, das es zu häufigen Verbindungsabbrüchen kommt.

Die Ursachen können vielfältig sein, wie z.B. instabile Internetverbindung (kann für beide Seiten gelten), TeamViewer ansich läuft nicht rund (kann ebenfalls beide Seiten treffen), Problem im TeamViewer-RZ, „zickige“ Firewalls oder Router, usw.

Im konkreten Szenario, die genannten zwei-drei Male, gab es eine einfache gemeinsame Lösung. Was genau die Ursache ist, konnte allerdings nicht geklärt werden.

Bei einem Kunden lief noch Version 10 des TeamViewer-Host auf einem Windows Server 2012 R2. Dies war soweit auch kein Problem am alten Standort des Kunden. Dieser zog nun einen Ort weiter, von ADSL wurde auf VDSL gewechselt, ein alter TP-Link Consumer-Router wurde (von der Telekom) durch eine Digitalisierungsbox Premium ersetzt.

Gründsätzlich klappte zwar die Verbindung per TeamViewer zum Server, im Schnitt wurde allerdings die Verbindung alle 20 – 60 Sekunden getrennt. Ein Neustart von TeamViewer auf beiden Seiten änderte daran nichts. Da die Internetverbindung auf beiden Seiten stabil zu sein schien, musste eine andere Lösung gefunden werden. Diese bestand schlichtweg darin, den installierten TeamViewer-Host auf Version 11 zu aktualisieren. Auf unserer Seite ist bereits TeamViewer in aktueller Version im Einsatz. Seitdem ist die Verbindung wieder stabil und man kann darüber arbeiten.

Die Adware „MPC Cleaner“ ist nicht gerade einfach von einem Windows-Computer zu entfernen. Unter Windows 10 scheint die Sache sogar noch schwieriger zu sein und (imho) am härtesten trifft es diejenigen, die sich soetwas auf einem Windows-Tablet einfangen.

Eine Familie brachte ihr HP Tablet zu uns, da sich seit dem Versuch OpenOffice zu installieren diverse Seiten im Internet einfach so öffnen und statt dem (vorinstallierten) Word eine Erotikseite aufging. Nach kurzer Begutachtung war klar, das es eine Adware sein musste. Das vermeintliche OpenOffice-Setup stammte zudem nicht vom eigentlichen Macher, damit war der Infektionsweg ebenfalls abgeklärt.

Ein Teil des Problems konnte mit bekannten Mitteln und etwas Handarbeit behoben werden, schwierig wurde es allerdings bei folgenden zwei Resten:

C:\Program Files (x86)\MPC Cleaner
C:\Windows\System32\Drivers\MpcKpt.sys

Daneben gab es noch einen Dienst namens „MPC Core Protect Service“ und den Treiber „MpcKpt“. Den Inhalt des Ordners unter „Program Files“ und seiner Unterordner konnte nach Übernahme des Besitzes und Einrichten des Vollzugriffs entfernt werden, somit war der Dienst bereits lahmgelegt.

Aber weder der Ordner ansich, der Diensteintrag noch der Treiber liesen sich entfernen. Ein Ändern der Starteigenschaft des Treiber via Regedit war ebenso nicht möglich. Es half auch nichts das Tablet im abgesicherten Modus zu starten oder mit Systemrechten via „psexec -i -s cmd“ zu arbeiten. Kurzum: Richtig hartnäckig. Tools wie FRST und AdwCleaner scheiterten ebenfalls.

Normalerweise hat man in solchen Fällen gute Chancen, wenn man den Computer von DVD oder einem Stick startet und dann via WinPE oder Linux dem Schädling auf die Pelle rückt. Das war wiederum ebenfalls nicht möglich, da das installierte Windows 10 mit einem Online-Konto verbunden ist, was wiederum zur Folge hat, das der Speicher mit BitLocker verschlüsselt ist.

Zumindest für WinPE wäre das kein Problem, solange man den Wiederherstellungsschlüssel zur Hand hat. Aber genau an dieser Stelle ging der Ärger weiter, da dieser nicht im Online-Konto gefunden werden konnte und der Kunde noch nicht mal wusste, das sein Tablet verschlüsselt ist.

Damit nun dennoch die Möglichkeit besteht, auf den Speicher zuzugreifen, wurde das Tablet entschlüsselt:

• Eingabeaufforderung mit erhöhten Rechten öffnen.
• „manage-bde C: -off“ eingeben.

Dadurch wird BitLocker deaktiviert. Der aktuelle Status der Entschlüsselung kann mit „manage-bde – status“ abgefragt werden.

Wichtig: Unbedingt eine Datensicherung vorher anlegen, für den Fall das etwas schief läuft. Die Datensicherung ist i.d.R. nicht verschlüsselt (siehe hier und hier).

Nach der Entschlüsselung konnte dann mit Hilfe einer Windows 10-DVD und einem USB-CD/DVD-Laufwerk gestartet und weiter bereinigt werden. Von da an war es kein Problem den Ordner als auch Treiber zu löschen.

Ein Neukunde kam zu uns nachdem beim Update auf die aktuelle Version von Lexware vereinsverwaltung etwas schief gelaufen war und der Lexware Support meinte, es handele sich um ein Windows-Problem.

Der Kunde verwendet seit Jahren die Lösung von Lexware und bislang auch immer ohne Probleme. Beim diesjährigen Update klappte allerdings etwas nicht. Nach durchlaufender Installation startete weder die vorige noch die neue Version. Es erschienen eine Vielzahl an Fehlermeldungen, darüber hinaus blieb ein Prozess im Hintergrund hängen, der den PC zu 100% auslastete.

Der Lexware-Support hatte sich schon darum bemüht, verabschiedete sich allerdings vom Kunden mit folgenden zwei Aussagen:

„Sie müssen den SQL Server 2012 installieren, eine Anleitung schicken wir Ihnen per Mail. Das Problem das sie haben liegt an Windows, sie müssen sich mit Microsoft in Verbindung setzen.“

Daraufhin wendete sich der Kunde an uns. Zunächst prüften wir den PC, dabei viel nichts dramatisches auf. Allerdings gab es bereits zwei laufende SQL-Instanzen, scheinbar einmal von der vorigen Version der vereinsverwaltung als auch eine, die vtml. vom Lexware-Support zum Test angelegt wurde.

Zunächst wurden beide SQL-Instanzen beendet, die vereinsverwaltung deinstalliert, der SQL Server gemäss Anleitung installiert, anschließend die vereinsverwaltung wieder installiert. Soweit lief alles durch, allerdings fehlten nun die Bestandsdaten. Diese konnten recht einfach übernommen werden:

Hinweis: Am besten zuvor von allen Dateien eine Datensicherung anlegen, für den Fall das etwas nicht klappt!

• „vereinsverwaltung“ schließen.
• In der Diensteverwaltung „SQL Server (VEREIN)“ beenden.
• Aus dem Ordner „C:\Program Files (x86)\MS SQL Server\MSSQL.1\data“ die Dateien „linear*.ldf“ und „linear*.log“ kopieren und unter „C:\Program Files (x86)\MS SQL Server\MSSQL.VEREIN\data“ einfügen.
• Den Dienst starten.
• „vereinsverwaltung“ starten.

Das Programm erkennt die alte Datenbank und aktualisiert diese. Anschließend kann wie gewohnt gearbeitet werden.

Bemerkung

Der in diesem Beitrag beschriebene Weg ist ein Gedächtnisprotokoll. Pfade als auch Datenbanknamen können variieren, das kommt auch auf die vorhandene Installation an.

Eine Firma die wir seit ein paar Monaten betreuen wurde leider von der Ransomware „Locky“ getroffen. Anbei ein Erfahrungsbericht zu diesem Vorfall.

Wie kam es zur Infektion?

Locky wird meist über Downloader oder Dropper verbereitet. Das bedeutet man erhält z.B. eine E-Mail mit einem Anhang. Dieser Anhang lädt, sobald dieser ausgeführt wird, den eigentlichen Schädling herunter und führt ihn aus.

So war es auch in diesem Fall. Es handelte sich beim Anhang aber nicht um eine Office-Datei. Diese waren in jüngerer Vergangenheit meist der bevorzugte Weg via Macro den Schädling einzuschleusen.

Der instalierte Virenschutz meldete zwar noch einen Schädling in der http-Kommunikation, offenbar wurden aber mehrere Varianten heruntergeladen.

Bei späterer Analyse zeigte sich, das eine Datei am Download gehindert wurde, zwei weitere Exe-Dateien allerdings durchkamen und gestartet wurden. Der Anwender merkte, außer einer Meldung, das der Anhang nicht geöffnet werden könne zunächst nichts von der Infektion. Die E-Mail stammte vermeintlich von einem Architekten, was thematisch aktuell gut zur Kundensituation passt, da dieser einen Neubau plant.

Wie viel der Schädling auf?

Es dauerte eine Weile, bis erste Auswirkungen spürbar wurden. Erst als von der Branchenanwendung aus kein Zugriff mehr auf Word-Dateien möglich war, merkte man, das etwas nicht stimmt.

Ein Blick auf den Server zeigte in den Freigaben dann *.locky-Dateien als auch eine Text-Datei mit weiteren Anweisungen (Stichwort: Erpresserschreiben). Dieses besagte, man solle ins Tor-Netz gehen um weitere Forderungen zu erhalten.

Unser Vorgehen

Als klar war, um was es sich handelt wurden alle PCs heruntergefahren und vom Netzwerk getrennt. Auf dem Server wurde zunächst erfasst, an welchen Stellen überall *.locky-Dateien zu finden sind. Dabei viel auf, das selbst in Freigaben, auf die normalerweise kein Anwender schreibenden Zugriff hat Daten verschlüsselt wurden.

Bei der Analyse der Berechtigungen der Anwender kam raus, das div. Benutzerkonten sowohl Domänen-Admin-Rechte hatten als auch lokale Administratoren waren. Dies stammte noch vom vorangegangenen Dienstleister, die Hintergründe dazu sind unklar.

Zuerst wurden die Berechtigungen im AD korrigiert und die lokalen Admin-Rechte entzogen. Bei den Freigaben wurden zunächst die Schreibrechte deaktiviert. Serverseitig wurden alle verschlüsselten Daten gesichert, für den Fall, das zu einem späteren Zeitpunkt diese wieder entschlüsselt werden können. Anschließend wurden die Daten aus der aktuellen Datensicherung wiederhergestellt.

Da der Kunde einen Arbeitsplatz hat, der nur für Notfälle oder „Springer“ dient und dieser zum Zeitpunkt der Infektion ausgeschaltet war, konnte dieser sofort verwendet werden. Da man wusste, das die Quelle ein PC bzw. Anwender sein musste, der zuvor noch Domänen-Admin-Rechte hatte, schränkte das die möglichen verseuchten PCs weiter ein. Dennoch wurde jeder PC erst von einer WinPE-DVD gestartet und mittels

dir *.locky /s

die Laufwerke überprüft. Nach kurzer Zeit standen somit wieder alle Arbeitsplätze außer einem wieder zur Verfügung. Dieser Eine zeigte verschlüsselte Daten und war damit als Quelle identifiziert. Wir haben uns nicht alleine auf das Protokoll von G Data verlassen, denn schließlich hätte es auch mehrere Computer geben können, daher dieser Schritt, alle PCs zu untersuchen.

Von dem betroffenen PC wurde eine Datensicherung erstellt und anschließend die aktuelleste Datensicherung wiederhergestellt. Anschließend wurden dort ebenfalls dem Anwender, wie bei allen anderen PCs zuvor auch, die lokalen Admin-Rechte entzogen. So stand dieser PC nach gut zwei Stunden ebenfalls wieder zur Verfügung.

Glück im Unglück

Von Glück im Unglück kann man wirkllich sprechen, da trotz der Rechte-Thematik kein größerer Schaden entstanden ist. Die Datensicherungen (*.sna, Drive Snapshot) waren zwar für den Schädling dank Domänen-Admin-Rechte durchaus erreichbar, wurden aber nicht „angefasst“. Locky hat, zumindest in der vorliegenden Variante, nicht alle Daten verschlüsselt, hautpsächlich Office-Dateien (*.doc, *.xls, *.pdf), Skripte (*.cmd), XML, ZIP und Bilder hat es getroffen. Interessanterweise wurden nicht alle Bilder in allen Unterordner verschlüsselt. Videos (*.avi) und Outlook-Datendateien (*.pst) wurden nicht verschlüsselt. Vermutlich wird nach Typ und ggf. Dateigröße differenziert.

Glück hatte der Kunde auch deswegen, da erst vor wenigen Wochen eine Arbeitsplatzdatensicherung eingeführt wurde. Bei dieser werden die PCs nachts per WoL gestartet und mittels Drive Snapshot auf den Server gesichert.

Darüber hinaus wurden die Schattenkopien nicht gelöscht, von daher konnten diverse Dateien über die vorigen Versionen wiederhergestellt werden.

Der eigentliche Schaden

Der eigentliche Schaden entstand nun durch den Verlust der Daten von einem Arbeitstag, da die Datensicherung nur nachts läuft. Ferner viel Ausfallzeit der Mitarbeiter an, die zumindest vorübergehend nicht an ihren PCs arbeiten konnten und unser Aufwand.

Konsequenzen aus diesem Vorfall

Der Kunde bessert nun nach und rüstet auf:

Die Berechtigungen wurden sofort korrigiert, ferner wurden SRP (Software Restriction Policies, Softwareeinschränkungen) konfiguriert. Das schränkt zwar die potentielle Angriffsfläche ein, allerdings sind dann nach wie vor alle Daten gefährdet, auf die der Anwender schreibenden Zugriff hat bzw. haben muss. Ferner schützt SRP nicht gegen Lücken die ausgenutzt werden. Ferner weisst die Technik Einschränkungen auf, soll heißen: Es kommt darauf an, wie ein Programm gestartet, entsprechend kann SRP greifen (oder auch nicht).

Ein alter Speedport-Router mit dahinter geschalteter IPFire-Firewall wird durch eine Securepoint UTM RC100 ersetzt. Die E-Mail-Zustellung wird zunächst von PopCon auf den MailConnector der UTM verlagert, soll aber sobald wie es mit der Telekom (Feste IP-Adresse, Reverse Mapping) und 1&1 (DNS-Einstellungen) geklärt ist, auf eine direkte SMTP-Zustellung geändert werden. Dann hat man mehr Möglichkeiten in Sachen Filterung, nicht nur was Malware betrifft, sondern auch in Sachen Spam.

Der G Data AntiVirus Business wird durch Panda Adaptive Defense 360 ersetzt. Die dortige Option, alle unbekannten Anwendungen bzw. ausführbare Dateien bis zur Analyse und ggf. Freigabe zu blockieren verspricht im Kampf gegen unbekannte Schädlinge einen besseren Schutz.

Da es bislang nur eine lokale Datensicherung gab, soll diese nun durch eine Offsite-Sicherung ergänzt werden. Dadurch wird eine zusätzliche Sicherheit gewährleistet, nicht nur wegen solcher Verschlüsselungs-Trojaner, sondern auch wegen Elementar-Schäden wie z.B. Feuer, Wasser und Blitzschlag. Man folgt quasi dem 3-2-1-Prinzip:

Von wichtigen Daten drei Kopien an zwei verschiedenen Orten, einer davon außer Haus.

Der vorhandene unmanaged Switch soll durch einen Verwalteten ersetzt werden, so das man auch aus der Ferne die Möglichkeit hat, PCs vom Netzwerk zu trennen.

Weitere mögliche Optionen

Neben den genannten Massnahmen gibt es eine Reihe weitere Optionen, wie z.B. Anwendungen wie den Browser oder das E-Mail-Programm in eine Sandbox zu packen, leider gab es bei dieser Technik in der Vergangenheit ebenfalls Lücken.

Generell könnte man einen Internetzugriff vom LAN aus unterbinden und mit ferngesteuerten Browser arbeiten, z.B.:

m-privacy Tightgate-Pro

Allerdings hilft das wenig bei Anhängen von E-Mails.

Persönliche Worte

Nichts gegen G Data oder IPFire, beide Produkte sind meiner Meinung nach gut, allerdings aufgrund der Bedrohungslage und der nun gemachten Erfahrungen gilt es, das Risiko zu minimieren. Dabei schlägt die Stunde von Lösungen, die mehr Möglichkeiten bieten.

Möchte man seinen bestehenden Virenschutz nicht austauschen, kann man auf Panda Adaptive Defense (ohne 360) setzen, das Parallel installiert und verwendet werden kann. Allerdings funktioniert dann nur das Blockieren, entfernen müsste man dann von Hand.

Trotz allem muss man immer im Hinterkopf behalten, das es keine 100%-ige Sicherheit gibt. Panda verfolgt mit Adaptive Defense (imho) den richtigen Ansatz um gegen neue unbekannte Bedrohungen vorzugehen.

Weiterführende Informationen

BSI – Ransomware: Bedrohungslage, Prävention & Reaktion

Panda Security – ‚Cryptolocker‘ kann jeden treffen – Was Sie über die Malware wissen sollten und wie Unternehmen sich schützen können

Panda Security – Security Guide zum Schutz vor Cyber-Erpressung

Securepoint UTM-Firewall HOWTO: Filterung von Office Dokumenten

Zur Abwechslung mal eine Geschichte aus eigenem Hause: Wir betreiben zwei Standorte, beide werden von der Telekom mit Internet und Telefonie versorgt. Da die Firmenzentrale verlegt wurde, sollten die wichtigsten Rufnummern zum neuen Standort portiert werden. Klingt erstmal nach einer trivialen Angelegenheit, scheint es aber nicht zu sein. An dieser Stelle sei erwähnt, das beide Standorte innerhalb des gleichen Ortes liegen und es noch um ISDN geht.

Übergangsweise wurden die betroffenen Rufnummern bzw. die darüber geführten Telefonate via VPN geleitet. Das funktionierte soweit relativ gut, allerdings greift QoS für VoIP dann nicht (wirklich). Ferner stand am alten Standort nur ADSL 16.000 mit entsprechenden Upload zur Verfügung. Bei mehreren Gesprächen zzgl. Terminalserververbindungen und ggf. noch Dateiübertragungen kam es (erwartungsgemäss) zu Aussetzern.

Der erste Versuch die Rufnummern zu Portieren wurde bereits vor über einem Jahr unternommen. Der damalige Telekom-Hotliner knirschte allerdings mit den Zähnen und meinte, das würde nicht gehen, da es sich bei einer der betreffenden Rufnummern um die Hauptnummer des Anschlusses handeln würde.

Nachdem das Gesprächsaufkommen gestiegen war und damit auch die Probleme, wurde gegen Ende 2015 ein erneuter Versuch unternommen. Diesmal hatten wir mit einer Hotlinerin zu tun, die klarstellte, dass das Vorhaben realisierbar ist, aber auf jeden Fall drei neue Rufnummern auf den alten Standort gebucht werden müssen, von der eine dann die neue Hauptrufnummer wird. An diesem Anschluss sind zwar drei weitere Rufnummern aus einer früheren Anschlussübernahme vorhanden, diese können allerdings (aus welchen Gründen auch immer) nicht als Hauptrufnummer verwendet werden.

Nachdem die Voraussetzungen geklärt waren, wurde der Auftrag erteilt. Auf unseren Wunsch hin sollte die Umstellung im Betriebsurlaub Weihnachten/Neujahr stattfinden. Kurze Zeit später trudelten die Aufträgsbestätigungen für die jeweiligen Standorte ein. Eine Woche vor dem Termin wurde dieser telefonisch von der Telekom abgesagt, da man nicht näher definierte Probleme hätte. Es solle ein neuer Termin vereinbart werden.

Nachdem wir vier Wochen lang nichts von der Telekom gehört hatten, fragten wir nach. Man entschudligte sich, könne aber nicht sagen, wann es weiter geht. Von der Fachabteilung gibt es noch nichts neues.

So zog sich das bis Mitte Februar 2016 hin, bis das sich die Hotlinerin erneut meldete (das tat sie im übrigen auch Zwischendurch um zu vermelden, das es nichts neues gibt), kurz erklärte, das wohl am System etwas geändert wurde und man wochenlang nichts einbuchen konnte oder bereits gebuchte Aufträge storniert wurden. Nun soll es klappen und es wurde ein neuer Termin in den Osterferien vereinbart. Ein paar Tage später war dann auch zu diesem Termin die Bestätigung im Briefkasten.

Für die Umstellung wurden zwei Tage angesetzt, am ersten Tag wurden die zu portierenden Rufnummern am alten Standort entfernt. Am zweiten Tag wurden diese dann dem neuen Standort hinzugefügt. Dazwischen haben wir unsere Telefonanlagen entsprechend konfiguriert.

Diesmal klappte die Portierung. Weniger gut trotz Betriebsurlaub war allerdings, das bereits einen Tag früher als angekündigt, wenn auch erst ab Nachmittags am alten Standort die Rufnummern nicht mehr funktionierten und sich dies über den ersten angekündigten Tag fortsetzte. Leider kam beim Anrufen die Ansage „Diese Rufnummer ist uns nicht bekannt…“, für eine Firma nicht gerade „prickelnd“. Am zweiten angekündigten Tag standen die Rufnummern dann am neuen Standort zur Verfügung.

Persönliche Bemerkung

Irgendwie scheint aktuell bzw. die vergangenen Monate einiges bei der Telekom im Gange zu sein. Bei fast allen Störungen oder sonstigen Problemen die wir alleine im ersten Quartal 2016 mit dem rosa Riesen erlebt haben, waren irgendwelche internen Umbauten verantwortlich. Ungut ist, das oftmals die Hotliner offenbar nicht darüber informiert sind und damit ebenso wie der Kunde sozusagen im Dunkeln tappen.

Passend hierzu erhielt ich bei einem Kunden von einer Hotlinerin die Aussage: „Aktuell ist das alles hier bei der Telekom nicht gerade sehr kundenfreundlich.“

Streikt die reguläre Internetanbindung, so muss man ggf. schnell auf eine Alternative umschwenken. In Szenarien in denen soetwas von Anfang an eingeplant ist, ist man in der Regel gut vorbereitet. Anders ist es wenn es einen überraschend trifft und man schnell reagieren muss.

Vorgeschichte

Ein Kunde mit einem Business-Anschluss der Telekom geriet unfreiwillig in die Situation das kein Telefon und Internet mehr funktionierte, nachdem der Telefonanlagen-Lieferant eigenmächtig zum einen die Rufnummern auf seine Cloud-Anlage portierte und zum anderen bei der Telekom die Telefonie des Kunden kündigte.

Da es beim rosa Riesen außer bei den Standleitungen keine einzelnen Internetanschlüsse gibt (immer nur in Verbindung mit Telefonie, Sonderfälle ausgenommen), fasste dieser die Telefonie-Kündigung als Anschlusskündigung auf. Folglich viel auch des bestehende VDSL weg. Kurzum wurde der gesamte Standort aus dem Bestand des Kunden gelöscht und nichts ging mehr.

Das Ganze viel uns dann dank des Monitorings auf, als Mitten in der Nacht der betreffende Standort offline ging. Noch bevor der Kunde überhaupt etwas von seinen „Glück“ wusste, hatten wir bereits die Telekom kontaktiert. Die gesamte Geschichte hat einen gewissen Umfang und wird ein Nachspiel für den Telefonanlagen-Anbieter haben, da es weder einen Vertrag noch eine Einwilligung des Kunden gibt. Eigentlich sollte nur eine bestehende Telefonanlage von einem anderen Standort umzugsbedingt übernommen werden. Aber nun zurück zum eigenlichen Thema.

Da sich die Telekom nicht dazu in der Lage sah, kurzfristig (d.h. sofort) den Anschluss wieder zu beleben, wurde kurzerhand eine vorhandene bis dato ungenutzte FRITZ!Box 7490 als auch ein Smartphone mit 2 GB Tarif als LTE-Fallback an einen pfSense-Router angebunden.

Das Ganze war ein schneller workaround mit vor Ort vorhandenen Mitteln. Sauberer kann man dies entweder mit einem kompatiblen Stick direkt an der pfSense oder via LTE-Router lösen.

WLAN-Tethering aktivieren und FRITZ!Box als WLAN-Client konfigurieren

Zuerst wurde im Smartphone das WLAN-Tethering aktiviert und die FRITZ!Box als WLAN-Client konfiguriert (Einfach dem Ersteinrichtungs-Assistenten folgen, alternativ via „Internet – Zugangsdaten“). Via Notebook und Netzwerkkabel an der FRITZ!Box wurde dann geprüft, ob soweit die Internetverbindung steht.

Wichtig: Muss das Smartphone längere Zeit so betrieben werden, dieses unbedingt ans Netzteil/Ladegerät anschließen!

Fallback in pfSense konfigurieren

Natürlich hätte man auch die WAN-Schnittstelle umkonfigurieren können, da allerdings nicht klar war, wann der VDSL-Anschluss wieder funktioniert, wurde auf die Fallback-Lösung zurückgegriffen. Der Vorteil liegt darin, das man nun auf zukünftige Ausfälle besser vorbereitet ist und man die WAN-Schnittstelle nicht wieder zurückstellen muss.

Voraussetzung für Fallbackup bzw. bei pfSense „Multi-WAN“ genannt ist, das die zugrundeliegende Hardware mehrere Netzwerkschnittstellen hat. Bei dem vorhandenen Gerät stehen insgesamt Vier zur Verfügung. Nummer Eins ist dabei WAN und mit dem VDSL-Modem verbunden, Nummer Zwei wird für’s LAN verwendet. Drei und Vier wurden bislang nicht verwendet und waren bis dato nicht konfiguriert.

Schnittstelle einrichten

Im Web-Interface auf „Interfaces – OPT1“ klicken und die Schnittstelle aktivieren und bei „IPv4 Configuration Type“ „DHCP“ einstellen. Die Haken bei „Block private networks“ und ggf. bei „Block bogon networks“ entfernen. Die FRITZ!Box verwendet per Standard als WLAN-Client das IP-Netz 192.168.188.x/24.

Falls das Interface noch nicht zugewiesen wurde, dieses zuerst über „Interfaces – Assign“ nachholen.

Unter „Status – Interfaces“ kann geprüft werden ob das Interface „läuft“ und eine IP-Adresse erhalten hat.

Gateway einrichten

Sofern noch nicht vorhanden, muss das OPT1-Interface als Gateway angelegt werden. Dazu unter „System – Routing – Gateways“ zunächst prüfen, ob dort bereits ein Eintrag besteht, andernfalls einen hinzufügen.

Wichtig: Die „Monitor IP“ bei allen Gateways konfigurierien, siehe „Vorsicht Falle / Troubleshooting“!

Unter „Status – Gateways“ kann der Zustand überprüft werden.

Gateway Group anlegen

Zunächst müssen die Gateways die verwendet werden sollen als Gruppe zusammengefasst werden. An dieser Stelle wird zudem festgelegt, wie die einzelnen Interfaces gewichtet werden und mit welchem Trigger gearbeitet wird.

Unter „System – Routing – Groups“ eine neue Gruppe anlegen, einen Namen vergeben, die Gateways auswählen und bei „Tier“ die Gewichtigung vorgeben. Bei „Trigger Level“ „Member Down“ einstellen und auf die Schaltfläche „Save“ klicken.

Firewall-Regeln anpassen

Von Haus aus greifen die Firewall-Regeln für das LAN beim Standard-Gateway, das i.d.R. die erste WAN-Schnittstelle ist. Damit man nun wieder ins Internet kommt, müssen die Regeln für’s LAN angepasst werden. Dazu zu ändernde Regel bearbeiten und unter „Advanced features“ bei „Gateway“ auf „Advanced“ klicken. Nun die zuvor erstellte „gateway group“ auswählen.

DNS konfigurieren

Wird der „DNS Forwarder“ oder „DNS Resolver“ von pfSense verwendet, so sollte unter „System – General Setup“ bei „DNS servers“ ein DNS-Server pro Gateway konfiguriert werden, andernfalls funktioniert die Namensauflösung nicht.

Vorsicht-Falle / Troubleshooting

Als Falle kann sich erweisen das pfSense per Standard das Gateway des Anbieters anpingt, um zu ermitteln ob die Verbindung steht. An mehreren Telekom-Anschlüssen mussten wir allerdings feststellen, das anscheinend diese Anfragen (icmp echo request) geblockt werden. Folglich wird unter „Status – Gateways“ für das betreffende Interface „Offline“ angezeigt selbst wenn die Verbindung besteht.

Kurios ist allerdings, das man von einem anderen (Telekom-)Anschluss aus das Gateway erreichen, d.h. Anpingen, kann. Ob das nun ein Fehler in pfSense oder von der Telekom beabsichtigt ist konnte noch nicht geklärt werden. Allerdings weisst folgender Thread eher auf einen Bug hin, der mit Version 2.3 behoben werden soll:

pfSense Forum – One dpinger gateway status offline

Abhilfe schafft unter „System – Routing – Gateways – <Interface>“ in den Eigenschaften bei „Monitor IP“ eine andere öffentliche IP-Adresse einzutragen. In diesem Beispiel eine von Google.

Eine funktionierte „Monitor IP“ ist relevant, da sonst das System nicht mitbekommt, wann eine Schnittstelle wirklich on- bzw. offline ist und folglich keinen Schwenk auf das andere Gateway vornimmt!

Ausgehend von diesem Szenario muss zudem für das OPT1-Interface eine öffentliche IP-Adresse bei „Monitor IP“ angegeben werden, da sonst nur die FRITZ!Box angepingt wird. Da diese immer erreichbar ist, unabhängig davon ob nun die WLAN-Verbindung zum Smartphone besteht oder ob die LTE-Verbindung verfügbar ist, würde das System nicht mitbekommen, ob nun ein Internetzugang über diesen Weg möglich ist oder nicht. In diesem Fall haben wir wieder eine Google-Adresse („8.8.4.4“) verwendet. Die „Monitor IP“-Adressen müssen sich unterscheiden, da sonst keine eindeutige Zuordnung zum Interface vorgenommen werden kann. Das Web-Interface weisst einen bei doppelten Adressen entsprechend darauf hin.

Quelle

pfSense – Multi-WAN

Dank des Monitoring durch Server-Eye viel bei einem Kunden auf, das alle G Data-Clients in Sachen Virensignatur nicht mehr aktuell waren. Beim Versuch sich mit dem G Data Administrator am ManagementServer anzumelden, erhielt man immer die gleiche Meldung:

"Es kann keine Verbindung zum ManagementServer hergestellt werden."

Das es ab und an nicht klappt kennen wir von einigen Installationen, meist reicht es dann aus, den Dienst „G Data ManagementServer“ neu zu starten. Diesmal reichte das allerdings nicht. Selbst ein kompletter Neustart des Servers änderte nichts, so das der Business Support des Herstellers kontaktiert wurde. Dieser schlug folgendes Vorgehen vor:

Schließen Sie den G Data Administrator und starten das Tool "gdmmsconfig.exe"
aus dem Verzeichnis "C:\Program Files (x86)\G DATA\G DATA AntiVirus ManagementServer"
und testen einmal die Einstellungen und im Anschluß aktualisieren Sie noch die Datenbank.

Wir taten wie uns geheißen wurde, allerdings klappte die Anmeldung dann immernoch nicht. Erst nachdem die Dienste „G Data ManagementServer“ und „SQL Server (GDATASQLSRV2K8)“ beendet und in umgekehrter Reihernfolge erneut gestartet wurden war die Anmeldung erfolgreich. Kurze Zeit später aktualisierte sich der ManagementServer und in Folge die Clients.

Letztlich half also nur die Kombination. Vielen Dank an den G Data Business Support für die schnelle Hilfe.

In den Kommentaren zu Windows 8.1: Wiederherstellungslaufwerk inkl. Drive Snapshot erstellen kam von Andrei das Thema auf, in wie weit die hiergenannte Lösung mit Windows 10 funktioniert. 

Eigentlich hat sich nichts geändert …

… und das trifft auch so zu. Die Skripte der Windows 8.1-Variante laufen 1:1 unter Windows 10. Einzig ein paar „Kleinigkeiten“ sind aufgefallen, die in die nachfolgende aktualisierte Anleitung eingeflossen sind:

Eines vorab: Im Beitrag wird von der Standard-Partitionierung seitens Microsoft ausgegangen. Je nach Computerhersteller oder Vorlieben des Anwenders kann sich diese unterscheiden.

Vorbereitung

• Nur notwendig, wenn man nicht die Dism-Variante verwendet: Installiertes 7-Zip (min. 9.38 beta oder neuer, Hintergrund siehe Mit 7-Zip WIM-Abbilder bearbeiten).
• Das Archiv ds-rescue_w81_winre_10 herunterladen und den Inhalt in einen Ordner, z.B. „C:\Temp“, entpacken.
• Eine Eingabeaufforderung mit erhöhten Rechten starten.
• Mit folgenden Befehlen die Wiederherstellungspartition ermitteln und einen Laufwerksbuchstaben zuweisen:

diskpart
select disk 0 (vorausgesetzt Windows ist auf der ersten Festplatte installiert, andernfalls mittels "list disk" die Festplatte ermitteln)
list volumes
select volume 2 (die Nummer angeben, die der 500 MB großen Wiederherstellungs- bzw. "System-reserviert"-Partition entspricht)
assign (es wird der nächste freie Laufwerksbuchstabe zugewiesen)
exit

Da sowohl das Verzeichnis als auch die Datei „Winre.wim“ mit dem Attribut „Versteckt“ versehen sind, wird im Explorer per Standard nichts angezeigt. Im Skript muss normalerweise nur der Laufwerksbuchstabe zu dieser Datei angepasst werden (siehe nächster Punkt).

• Das Skript „create_winre_7-Zip.cmd“ oder „create_winre_dism.cmd“ editieren und im Abschnitt „Konfiguration“ ggf. folgende Zeilen anpassen:

rem Konfiguration

 rem WorkingDir
 
  set WorkingDir=C:\Temp
  cd %WorkingDir%

 rem Pfad zur "Winre.wim"

  set Winre-Path=F:\Recovery\WindowsRE

 rem Pfad zu 7-Zip und verwendete Exe-Datei

  set SevenZip=%ProgramFiles%\7-Zip\7z.exe

Wenn man im Besitz einer Drive Snapshot-Lizenz ist, so kann man die Lizenzdatei in den Ordner „Rescue\Drive Snapshot“ einfügen (Windows: Drive Snapshot aktivieren ohne Einfügen der Lizenzdaten).

Angepasstes Wiederherstellungslaufwerk erstellen

Das Skript „create_winre_7-Zip.cmd“ oder „create_winre_dism.cmd“ mit erhöhten Rechten (Rechtsklick – „Als Administrator ausführen“) starten. Es öffnet sich ein Fenster der Eingabeaufforderung in dem das Skript abläuft, relativ kurze Zeit nach dem Start öffnet sich der Assistent zur Erstellung des Wiederherstellungslaufwerks:

Wichtig: Den Haken bei „Sichert die Systemdateien auf dem Wiederherstellungslaufwerk.“ entfernen.

ACHTUNG: Das USB-Laufwerk wird vom Assistenten formatiert! Es sollten sich folglich keine (wichtigen) Daten darauf befinden.

Wurde der Stick erfolgreich erstellt, so kann man von diesem Booten und gelangt in folgendes Menü. Die Original-Rettungsumgebung (RE) von Microsoft erreicht man über den Menüpunkt 13. Um wieders ins „Rescue Menu“ zu wechseln kann man entweder aus dem RE heraus eine (weitere) Eingabeaufforderung öffnen oder „Alt+Tab“ drücken und die bereits geöffnete Eingabeaufforderung (diese beinhaltet das „Rescue Menu“) auswählen.

Bemerkung

Ungetestet ist MergeIDE, ferner kann ich außer einem kurzen Test nicht genau sagen, in wie weit Drive Snapshot mit Windows 10 kompatibel ist.

Seit Windows 8.x habe ich den Eindruck, das sich Windows meist ohne MergeIDE auf andere Hardware umziehen lässt. Das kann aber evtl. auch nur Zufall oder Glück sein.

Im Gegensatz zu früheren Versionen hatte ich diesmal keinen Erfolg, den Assistenten „auszutricken“, es wird zwingend ein USB-Stick benötigt. Unter VirtualBox und VMware kann man USB-Geräte durchreichen. Mit erstgenannten hatte ich allerdings auf einem Lenovo ThinkPad T410 keinen Erfolg, erst auf unserem älteren Fujitsu Notebook in der Werkstatt war das kein Problem.

Seit Windows 8.1 verwendet der Assistent zum Erstellen eines Wiederherstellungslaufwerks USB-Sticks. Hat man einen solchen Stick bereits präpariert, so lässt sich dieser leicht anpassen. Anbei ein Skript mit dem man den USB-Stick zum Rettungsmedium mit Drive Snapshot ändert.

Vorbereitung

• Das Archiv ds-rescue_w10_modify_winre_11.zip herunterladen und den Inhalt in einen Ordner, z.B. „C:\Temp“, entpacken.
• Die Datei „modify_winre_dism.cmd“ editieren und in Zeile 14 bei „set Winre-Path=F:\sources“ den Laufwerksbuchstaben des USB-Sticks angeben.
• Wenn man im Besitz einer Drive Snapshot-Lizenz ist, so kann man die Lizenzdatei in den Ordner „Rescue\Drive Snapshot“ einfügen (Windows: Drive Snapshot aktivieren ohne Einfügen der Lizenzdaten).
• Eine Eingabeaufforderung mit erhöhten Rechten öffnen und das Skript „modify_winre_dism.cmd“ ausführen.

Kurze Zeit später ist der Stick um ein neues Menü, MergeIDE und Drive Snapshot erweitert. Auf das Original-Menü von Microsoft kann ebenfalls zugegriffen werden.

Bemerkung

Eine Kopie der originalen „boot.wim“ wird im Arbeitsverzeichnis des Skripts als „boot.wim.org“ gespeichert. Man kann also jederzeit den ursprünglichen Zustand des Sticks wiederherstellen.

Ich konnte das Skript bzw. die Bestandteile noch nicht eingehend testen, unter VirtualBox gab’s soweit keine Probleme. Der überwiegende Teil des Archivs stammt aus den bisherigen Skripten mit denen von vornherein ein angepasster USB-Stick erstellt wird.

Update 07.04.2016 – 11:57 Uhr

Skript aktualisiert, so das die Attribute der „boot.wim“ beachtet werden.