Sarek 11 Geschrieben 27. November 2012 Melden Teilen Geschrieben 27. November 2012 Hallo zusammen, wenn ich über den Registry-Key HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon eine andere Shell einstelle (z.B. Firefox), dann wird der Windows-Explorer ja nicht geladen. Gehe ich recht in der Annahme, daß damit auch die nervigen Meldungen aller Art ("Achtung, neue Updates verfügbar", "Auf dem Desktop befinden sich nicht verwendete Dateien" und wie sie alle heißen) nicht erscheinen, weil die vom Explorer erzeugt werden? Und wie sieht es mit den Sicherheitslücken von Windows aus. Betreffen die größtenteils den Explorer als Standard-Shell, so daß sie bei Verwendung einer anderen Shell quasi ausgeschaltet sind? Oder ist das System genau angreifbar wie mit Explorer? Danke im Voraus, Sarek Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 27. November 2012 Melden Teilen Geschrieben 27. November 2012 wenn ich über den Registry-Key HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon eine andere Shell einstelle (z.B. Firefox), dann wird der Windows-Explorer ja nicht geladen. OK. Gehe ich recht in der Annahme, daß damit auch die nervigen Meldungen aller Art ("Achtung, neue Updates verfügbar", "Auf dem Desktop befinden sich nicht verwendete Dateien" und wie sie alle heißen) nicht erscheinen, weil die vom Explorer erzeugt werden? Hmm, die Windows Updates werden aber trotzdem installiert. Die Sache mit den nicht mehr verwendeten Dateien kannst Du in der Registry abschalten. Bei W7 ist das allerdings eine geplante Aufgabe. Und wie sieht es mit den Sicherheitslücken von Windows aus. Betreffen die größtenteils den Explorer als Standard-Shell, so daß sie bei Verwendung einer anderen Shell quasi ausgeschaltet sind? Oder ist das System genau angreifbar wie mit Explorer? Dazu mußt Du die jeweiligen KB-Artikel lesen, bzw. die monatlichen Ankündigungen. Dort steht auch meistens mitdabei, welche Dateien gepatcht werden. Alternativ das Update downloaden und extrahieren. Aber ich glaube nicht, dass es dabei um die Explorer.exe geht, sondern vielmehr um DLL die ausgetauscht werden. EXEn werden seltener ausgetauscht. Zitieren Link zu diesem Kommentar
Sarek 11 Geschrieben 27. November 2012 Autor Melden Teilen Geschrieben 27. November 2012 (bearbeitet) Hmm, die Windows Updates werden aber trotzdem installiert. Wenn man aber die automatischen Updates ausgeschaltet hat, kommt kein Hinweis mehr, daß neue Updates zur Verfügung stehen, das habe ich ausprobiert. Ich vermute, daß liegt daran, daß die Taskleiste und somit auch die darin enthaltene Systray, in der die Hinweise immer kommen, Teil des Explorers (der dann ja nicht läuft) sind. Kann das jemand hier bestätigen? Im Prinzip hätte ich natürlich nichts dagegen, wenn die Updates trotzdem installiert werden, aber leider gibt es immer mal wieder ein Update, das eine Benutzerinteraktion fordert (z.B. das Tool zum Entfernen schädlicher Software). Da der Rechner aber als Display (also quasi zur Anzeige von Werbung in einem Schaufenster) verwendet wird, wäre es ziemlich unschön, wenn da plötzlich ein Fenster von einem Update auftaucht. Aber ich glaube nicht, dass es dabei um die Explorer.exe geht, sondern vielmehr um DLL die ausgetauscht werden. EXEn werden seltener ausgetauscht. Hm, also mache ich mein System angreifbar, wenn ich die Updates deaktiviere :-( Der PC verfügt zwar über eine Schutzkarte à la "Dr. Kaiser", aber zur Laufzeit könnte er natürlich infiziert werden und dann bis zum nächsten Neustart unschöne Dinge in unserem lokalen Netzwerk tun. Das ist nicht wirklich optimal. Wie könnte man sicherstellen, daß das System zwar regelmäßig gepatcht wird, daß aber definitiv keine Dialogfenster, Hinweis-Bubbles oder ähnliches erscheinen? bearbeitet 27. November 2012 von Sarek Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 27. November 2012 Melden Teilen Geschrieben 27. November 2012 Im Prinzip hätte ich natürlich nichts dagegen, wenn die Updates trotzdem installiert werden, aber leider gibt es immer mal wieder ein Update, das eine Benutzerinteraktion fordert (z.B. das Tool zum Entfernen schädlicher Software). Da der Rechner aber als Display (also quasi zur Anzeige von Werbung in einem Schaufenster) verwendet wird, wäre es ziemlich unschön, wenn da plötzlich ein Fenster von einem Update auftaucht. Habt ihr einen WSUS oder woher bezieht der Rechner seine Updates? Du kannst bei dem angemeldeten betroffenen User die Benachrichtigungen auch abstellen, dann musst Du natürlich auch gleichzeitig sicherstellen, dass die Updates automatisch installiert werden. Die Benachrichtigung stellst Du mit diesem Eintrag ein: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate > DisableWindowsUpdateAccess [REG_DWORD] = 1. Bei 0 kannst Du manuell nach Updates suchen lassen. Der Benutzer bzw. die GUI bekommt nun nichts mehr mit von der Installation der Updates. BTW: Als GPO für den WSUS kann das so aussehen: http://www.wsus.de/images/WSUSGPO.png Zitieren Link zu diesem Kommentar
Sarek 11 Geschrieben 27. November 2012 Autor Melden Teilen Geschrieben 27. November 2012 Habt ihr einen WSUS oder woher bezieht der Rechner seine Updates? Nein, das wäre bei fünf Clients im Netzwerk etwas oversized. Der Rechner würde seine Updates direkt aus dem Internet ziehen. Die Benachrichtigung stellst Du mit diesem Eintrag ein: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate > DisableWindowsUpdateAccess [REG_DWORD] = 1. Bei 0 kannst Du manuell nach Updates suchen lassen. Der Benutzer bzw. die GUI bekommt nun nichts mehr mit von der Installation der Updates. Das habe ich jetzt nicht verstanden. Ich habe gerade per Google nach dem betreffenden Schlüssel gesucht und finde als Antwort: Mit dieser Einstellung werden alle Funktionen von Windows-Update entfernt. Dazu zählen: - Blockierung der Windows-Update-Seite (windowsupdate.microsoft.com) - ... Wenn die Seite blockiert wird, dann können doch keine Updates mehr heruntergeladen werden ... oder verstehe ich da etwas falsch? Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 27. November 2012 Melden Teilen Geschrieben 27. November 2012 Nein, das wäre bei fünf Clients im Netzwerk etwas oversized. Der Rechner würde seine Updates direkt aus dem Internet ziehen. Nein, das ist ab 3 Clients sogar Pflicht! Die Benutzer können nicht entscheiden welche Updates installiert werden sollen oder nicht. Deshalb bekommen sie die vom WSUS einfach aufgebrummt. ;) Das habe ich jetzt nicht verstanden. Ich habe gerade per Google nach dem betreffenden Schlüssel gesucht und finde als Antwort: Mit dieser Einstellung werden alle Funktionen von Windows-Update entfernt. Dazu zählen: - Blockierung der Windows-Update-Seite (windowsupdate.microsoft.com) - ... Wenn die Seite blockiert wird, dann können doch keine Updates mehr heruntergeladen werden ... oder verstehe ich da etwas falsch? Das verstehst Du falsch, der Benutzer kann nicht mehr Windows Update aufrufen, bei Systemen <VISTA wird der Link zu WU im Startmenü und im IE entfernt, der Rest funktioniert natürlich noch einwandfrei. Ich hätte dir das ansonsten nicht empfohlen. Zitieren Link zu diesem Kommentar
Sarek 11 Geschrieben 27. November 2012 Autor Melden Teilen Geschrieben 27. November 2012 (bearbeitet) Nein, das ist ab 3 Clients sogar Pflicht! Die Benutzer können nicht entscheiden welche Updates installiert werden sollen oder nicht. Das kann ich nachvollziehen. Darum bei der Gelegenheit gleich mal eine andere Frage: Wenn ich bei "Automatische Updates" die Option "Automatisch" (z.B. täglich 3 Uhr) auswähle, wieso kommt es trotzdem immer wieder vor, daß Updates eben nicht automatisch und ohne Rückfrage installiert werden, sondern daß ich lediglich benachrichtigt werde, und die Installation dann doch bestätigen muß? Unter "automatisch" verstehe ich etwas anderes. Deshalb bekommen sie die vom WSUS einfach aufgebrummt. Naja, ich habe halt in meiner Umgebung nur mit Mini-Netzwerken zu tun, wo es aus Kostengründen nur einen Server gibt. Wenn der dann auch noch als WSUS fungieren müßte, würde die Performance der anderen Dienste (AD, DNS, Fileserver) vermutlich in den Keller gehen. Das verstehst Du falsch, der Benutzer kann nicht mehr Windows Update aufrufen, bei Systemen <VISTA wird der Link zu WU im Startmenü und im IE entfernt, der Rest funktioniert natürlich noch einwandfrei. OK, so erklärt kann ich es nachvollziehen, das klingt schon anders als "Deaktivierung aller Windows-Update-Funktionen" ... Wäre denn folgende Konfiguration sinnvoll: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate] "DisableWindowsUpdateAccess"=dword:00000001 "DoNotAllowSP"=dword:00000001 "ElevateNonAdmins"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate\AU] "AutoInstallMinorUpdates"=dword:00000001 "NoAutoUpdate"=dword:00000000 "AUOptions"=dword:00000004 "ScheduledInstallDay"=dword:00000000 "ScheduledInstallTime"=dword:00000007 "NoAutoRebootWithLoggedOnUsers"=dword:00000000 "RebootWarningTimeoutEnabled"=dword:00000001 "RebootWarningTimeout"=dword:00000001 "RescheduleWaitTimeEnabled"=dword:00000000 "RebootRelaunchTimeout"=dword:00000001 "RebootRelaunchTimeoutEnabled"=dword:00000001 bearbeitet 27. November 2012 von Sarek Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 27. November 2012 Melden Teilen Geschrieben 27. November 2012 Das kann ich nachvollziehen. Darum bei der Gelegenheit gleich mal eine andere Frage: Wenn ich bei "Automatische Updates" die Option "Automatisch" (z.B. täglich 3 Uhr) auswähle, wieso kommt es trotzdem immer wieder vor, daß Updates eben nicht automatisch und ohne Rückfrage installiert werden, sondern daß ich lediglich benachrichtigt werde, und die Installation dann doch bestätigen muß? Unter "automatisch" verstehe ich etwas anderes. In WSUS.DE - AU-Client Registry Key findest Du die Einstellungen für einen WSUS. Bis auf den ersten Teil, kannst Du das IMHO vollständig übernehmen. Hast Du eine Pro Version zur Verfügung? Wenn ja, kannst Du auch via GPEDIT.MSC lokale Richtlinien konfigurieren. Aber das macht ja keinen Sinn, da der Client ja immer wieder zurückgesetzt wird. Da würde ich lieber einen WSUS aufsetzen und den Clients eine GPO mitgeben. Naja, ich habe halt in meiner Umgebung nur mit Mini-Netzwerken zu tun, wo es aus Kostengründen nur einen Server gibt. Wenn der dann auch noch als WSUS fungieren müßte, würde die Performance der anderen Dienste (AD, DNS, Fileserver) vermutlich in den Keller gehen. Nein, das passiert nicht. Du mußt dich mit dem Produkt beschäftigen, ansonsten kann es dir passieren, dass dir viel gedownloadet wird. Aber das lässt sich auch vermeiden. Dazu solltest Du hier im Forum ausreichend Material von mir und anderen finden. OK, so erklärt kann ich es nachvollziehen, das klingt schon anders als "Deaktivierung aller Windows-Update-Funktionen" ... Es werden ja alle Windows Update Funktionen deaktiviert, aber nur für den Benutzer. Wenn Du dir die Hilfetexte zu den jeweiligen Einstellungen durchliest, wirst Du das auch recht schnell feststellen. Wäre denn folgende Konfiguration sinnvoll: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate] "DisableWindowsUpdateAccess"=dword:00000001 "DoNotAllowSP"=dword:00000001 "ElevateNonAdmins"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate\AU] "AutoInstallMinorUpdates"=dword:00000001 "NoAutoUpdate"=dword:00000000 "AUOptions"=dword:00000004 "ScheduledInstallDay"=dword:00000000 "ScheduledInstallTime"=dword:00000007 "NoAutoRebootWithLoggedOnUsers"=dword:00000000 "RebootWarningTimeoutEnabled"=dword:00000001 "RebootWarningTimeout"=dword:00000001 "RescheduleWaitTimeEnabled"=dword:00000000 "RebootRelaunchTimeout"=dword:00000001 "RebootRelaunchTimeoutEnabled"=dword:00000001 Den zweiten Teil mußt Du auf HKLM erstellen. Ansonsten einfach mal testen. Zitieren Link zu diesem Kommentar
Sarek 11 Geschrieben 27. November 2012 Autor Melden Teilen Geschrieben 27. November 2012 Nein, das passiert nicht. Du mußt dich mit dem Produkt beschäftigen, ansonsten kann es dir passieren, dass dir viel gedownloadet wird. Aber das lässt sich auch vermeiden. Dazu solltest Du hier im Forum ausreichend Material von mir und anderen finden. Wobei sich mir nach wie vor der Sinn des Einsatzes von WSUS in einem so kleinen Netz nicht erschließt. Du sagtest, das sei wichtig, damit nicht jeder Nutzer selbst entscheidet, welche Updates er installiert. Aber hat sich das nicht erledigt, wenn man den Zugriff der Benutzer auf Windows Update deaktiviert und die Automatischen Updates so einstellt, daß Sicherheitsupdates automatisch installiert werden? Es werden ja alle Windows Update Funktionen deaktiviert, aber nur für den Benutzer. Wenn Du dir die Hilfetexte zu den jeweiligen Einstellungen durchliest, wirst Du das auch recht schnell feststellen. Na wie gesagt, die Texte, die ich dazu gelesen habe, hörten sich anders an. Hier heißt es zum Beispiel "Die automatische Aktualisierung von Windows wird deaktiviert", und das wäre ja nicht das Ziel. Vermutlich wurde da etwas schlecht übersetzt. Den zweiten Teil mußt Du auf HKLM erstellen. Ups, die Nacht war wohl doch zu kurz :( Ansonsten einfach mal testen. Klar teste ich es, aber den Erfolg kann ich ja erst sehen, wenn die nächsten Updates bereitgestellt werden. Darum dachte ich mir, daß Du als Experte das vielleicht auch allein aufgrund der Einstellungen beurteilen kannst :) Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 27. November 2012 Melden Teilen Geschrieben 27. November 2012 Wobei sich mir nach wie vor der Sinn des Einsatzes von WSUS in einem so kleinen Netz nicht erschließt. Du sagtest, das sei wichtig, damit nicht jeder Nutzer selbst entscheidet, welche Updates er installiert. Aber hat sich das nicht erledigt, wenn man den Zugriff der Benutzer auf Windows Update deaktiviert und die Automatischen Updates so einstellt, daß Sicherheitsupdates automatisch installiert werden? Du lädst nicht alle Updates einzeln von WU herunter, sondern der WSUS holt die Updates einmal von WU, die Clients holen sich die Updates beim WSUS. Weiters kann man den WSUS in Kombination mit dem LUP noch verwenden um 3rd Party Software den Clients zur Verfügung zu stellen. Na wie gesagt, die Texte, die ich dazu gelesen habe, hörten sich anders an. Hier heißt es zum Beispiel "Die automatische Aktualisierung von Windows wird deaktiviert", und das wäre ja nicht das Ziel. Vermutlich wurde da etwas schlecht übersetzt. Das sind Kommentare die nicht von MS sind. Ich meinte die Hilfetext, die via GPEDIT.MSC zu erreichen sind. Klar teste ich es, aber den Erfolg kann ich ja erst sehen, wenn die nächsten Updates bereitgestellt werden. Darum dachte ich mir, daß Du als Experte das vielleicht auch allein aufgrund der Einstellungen beurteilen kannst :) Sieht eigentlich ganz gut aus, wissen kann man das erst bei den nächsten Updates. ;) Zitieren Link zu diesem Kommentar
Sarek 11 Geschrieben 28. November 2012 Autor Melden Teilen Geschrieben 28. November 2012 Das sind Kommentare die nicht von MS sind. Ich meinte die Hilfetext, die via GPEDIT.MSC zu erreichen sind. Da steht allerdings auch: "... Die automatische Aktualisierung von Windows wird ebenfalls deaktiviert ...". Ich bin also gespannt, was beim Testen rauskommt ... Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 28. November 2012 Melden Teilen Geschrieben 28. November 2012 Da steht allerdings auch: "... Die automatische Aktualisierung von Windows wird ebenfalls deaktiviert ...". Stimmt, Du hast Recht, so steht das dort. AFAIR war das bei früheren Versionen noch nicht so beschrieben, mich würde es aber auch nicht wundern wenn hier wieder ein Übersetzungsfehler vorliegen würde. Das hier stimmt jedesfalls so nicht: Die automatische Aktualisierung von Windows wird ebenfalls deaktiviert; Sie erhalten über Windows Update keine wichtigen Updates Es werden die Diensten WUAUSERV und BIST nicht abgeschaltet, die beiden sind ja verantwortlich für das abholen der Updates. Zitieren Link zu diesem Kommentar
Sarek 11 Geschrieben 28. November 2012 Autor Melden Teilen Geschrieben 28. November 2012 Sieht eigentlich ganz gut aus, wissen kann man das erst bei den nächsten Updates. ;) So, ich habe es jetzt mal in einer Virtuellen Maschine getestet, die auf einem veralteten Patch-Status ist. Die Updates werden zwar korrekt heruntergeladen, aber dann leider nicht installiert. Eigentlich dachte ich, daß durch die Optionen "NoAutoRebootWithLoggedOnUsers"=dword:00000000 "RebootWarningTimeoutEnabled"=dword:00000001 "RebootWarningTimeout"=dword:00000001 eine Minute nach dem Herunterladen der Updates automatisch ein Neustart durchgeführt wird, bei dem die Updates dann installiert werden. Aber das ist nicht der Fall, stattdessen will Windows die Updates beim Herunterfahren installieren. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 28. November 2012 Melden Teilen Geschrieben 28. November 2012 Die Updates werden zwar korrekt heruntergeladen, aber dann leider nicht installiert. Eigentlich dachte ich, daß durch die Optionen "NoAutoRebootWithLoggedOnUsers"=dword:00000000 "RebootWarningTimeoutEnabled"=dword:00000001 "RebootWarningTimeout"=dword:00000001 eine Minute nach dem Herunterladen der Updates automatisch ein Neustart durchgeführt wird, bei dem die Updates dann installiert werden. Aber das ist nicht der Fall, stattdessen will Windows die Updates beim Herunterfahren installieren. Es wird kein automatischer Neustart durchgeführt! Sieh dir bitte diese Beispiel GPO an, wenn Du das genauso umsetzt, werden die Updates zum vorgegebenen Zeitpunkt installiert. http://www.wsus.de/images/WSUSGPO.png Wenn die Updates gedownloadet wurden, findet sich im Eventlog auch ein Hinweis auf die Installationszeit. Du hast doch in den Registry Einstellungen auch eine angegeben. EDIT: Und genau wegen der Einstellungen beim aktuellen Benutzer wird kein automatischer Neustart durchgeführt. Zitieren Link zu diesem Kommentar
Sarek 11 Geschrieben 29. November 2012 Autor Melden Teilen Geschrieben 29. November 2012 Wenn die Updates gedownloadet wurden, findet sich im Eventlog auch ein Hinweis auf die Installationszeit. Du hast doch in den Registry Einstellungen auch eine angegeben. Nun hat es Klick gemacht. Ich bin die ganze Zeit dem Irrtum aufgesessen, daß die Updates genau zu dem Zeitpunkt, der in der Konfiguration angegeben ist (also standardmäßig 3 Uhr nachts) heruntergeladen und installiert werden. Nun habe ich kapiert, daß das Herunterladen der Updates unabhängig von dieser Einstellung ist, sondern nur die Installation dann erfolgt. Danke! Und genau wegen der Einstellungen beim aktuellen Benutzer wird kein automatischer Neustart durchgeführt. Nein, der automatische Neustart klappte dann nach der Installation problemlos, die Einstellung NoAutoRebootWithLoggedOnUsers scheint die Einstellung DisableWindowsUpdateAccess zu übersteuern. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.