Wireshark : Netzwerkanalyse - Capture Remote Host (Windows)

Man möchte von einem Windows System aus den Netzwerkverkehr auf einem Router der unter Linux läuft analysieren.
Hier hab ich ja beschrieben wie das unter Linux geht, nun hier auch die Version für Windows ;-)
Erstmal muss Wireshark installiert werden, wichtig ist das hier SSHDump mit installiert wird, das ermöglich den Weg den ich hier beschreibe. Das kann während der Installation im Bereich Tools aktiviert werden.

SSHDump Wireshark
Dann starten wir Wireshark und wählen SSH remote capture nachdem wir die Einstellungen vorgenommen haben wird mitgeschnitten.

Wireshark SSH remote capture
Wireshark SSH remote capture configuration
Natürlich muss auch hier tcpdump auf dem Remote System vorhanden sein.

Windows 10 / Server 2016: Client bezieht seine Updates direkt von WU und nicht mehr vom WSUS (Dual Scan)

Problem:
Alle Windows 10 Clients und Windows 2016 Server haben sich plötzlich Ihre Updates nicht vom WSUS sondern direkt von Microsoft geholt. Da ich die Kontrolle über meine Updates haben wollte, habe ich mich mit dem Problem beschäftigt und fand auch die Ursache "Dual Scan". Hierbei handelt es sich um einen Update-Mechanismus von Microsoft, der mit Windows 10 1607 bzw. dem Cumulative Update KB4034658 vom August 2017 eingeführt wurde. Wie kann ich jetzt meine Updates wieder selbst kontrollieren?

Lösung:
Dualscan wird immer dann aktiviert, wenn man per GPO einen WSUS-Server den Clients zuweist und gleichzeitig Qualitäts- oder Feature-Updates zurückstellt.
Um das "Problem" zu kontrollieren benötigen Sie die GPOs von Windows 10 1607 und das obengenannte Update KB4034658 für Windows 10 und Server 2016. Wenn Sie die Updates und GPOs (zentrale GPOs bei einer AD) eingespielt haben
Danach finden Sie in den GPOs unter
"Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Update" den Punkt ""Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird" Diesen aktivieren Sie und danach wird der Client wieder seine Updates vom WSUS beziehen.
Sollte eine GPO nicht möglich sein, dann können Sie das Ganze auch über die Registry steuern:
Registry Path: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
Value Name: DisableDualScan
Value Type: REG_DWORD
Values: 1 (Enabled) oder 0 (Disabled)

Quelle: Tchnet: Windows 10 Updates and Store GPO behavior with DualScan disabled and SCCM SUP/WSUS managed



Windows 10: Standarddrucker ändert sich ständig ungewollt

Problem:
Windows 10 ändert den Standarddrucker selbstständig auf einen anderen Drucker!

Ursache:
Windows 10 verwaltet die Druckersteuerung intern und verändert den Standarddrucker nach den Druckgewohnheiten des Benutzers. Wenn man einige Zeit auf einen anderen Drucker druckt, dann wird dieser zum Standarddrucker gesetzt.

Lösung:
ICH WILL DAS NICHT! Genau, dann können sie dies entweder über Registry oder manuell anpassen:

Manuell:
Windows-Einstellungen (nicht Systemsteuerung!) -> Geräte -> Drucker & Scanner -> "Standarddrucker von Windows verwalten lassen" -> AUS

Registry:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
DWORD -> LegacyDefaultPrinterMode -> Value:1

WICHTIG:
Wenn Sie die UAC einsetzen, dann reicht das noch nicht, sondern Sie müssen noch zusätzlich diese Werte setzen (Windows-eigene Benutzer-SIDs):
HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
DWORD -> LegacyDefaultPrinterMode -> Value:1

HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
DWORD -> LegacyDefaultPrinterMode -> Value:1

Quelle: spiceworks: Default Printer Keeps Switching to Adobe PDF on Windows 10

Windows 10 : Installation Stop - 0xc000021a - HP Elitebook 8560w

Problem : Man möchte bei einem älteren Notebook (HP Elitebook 8560w) eine sauber Neuinstallation des Systems mit Windows 10 durchführen. Die Installation läuft sauber durch jedoch tritt nach dem Neustart der Stillstandcode 0xc000021a auf.

Lösung : Das Bootmedium das ich hier hatte war eine ältere Version 1607 auch hatte mein Notebook schon länger kein Bios Update gesehen. Solltet ihr ein anderes Notbook Modell haben schaut mal nach neuen BIOS / UEFI Versionen.

Nach dieser Vorgehensweise hab ich dann Windows 10 auf die Kiste bekommen.

1.) HDD komplett genullt (um bootloader zu entfernen)
2.) Update des Bios auf F.61
3.) Über dem Media Creation Tool von Microsoft das aktuellste Image besorgt (*.iso)
4.) Installation über DVD, nicht über USB das hat bei mir nicht geklappt
5.) Glücklich sein und Treiber suchen :-)

symbolische links setzen unter Windows & Linux

Jeder Admin wird sich jetzt denken "was soll das denn nun ?" aber trotzdem schreibe ich hier mal etwas zu diesem Thema.
Es dient auch mir als kleiner Spicker :-)

In beiden Beispielen wird die letzte Version eines Ordners im root Ordner mit latest verlinkt.

Unter Linux ist es möglich sogenannte Links zu setzen. Die verhalten sich wie normale Ordner bzw Dateien liegen aber eigentlich an einem anderen Ort im Dateisystem. Somit kann man einfach z.B. das Storage einer Owncloud auf einen NFS Share legen oder, was auch gerne gemacht wird, immer auf die letzte Version einer Datei linken. Der Aufruf dazu ist
ln -s Zielverzeichnis Linkname
löschen kann man den link mit dem Befehl
rm Linkname

ln linux

Das selbe verhalten kann man auch unter Windows mit mklink nachvollziehen. Das rettet einem manchmal den Tag wenn z.B. der Benutzer die Länge von 256 Zeichen überschritten hat. Dann steigt man tiefer ein und kann die Datei umbenennen oder eben ein Backup durchführen. Früher habe ich dafür immer subst verwendet, das werden jetzt die Windows Admins kennen ;-)
Link setzen mit Windows (cmd als Admin)
mklink /D Linkname Zielverzeichnis
Achtung die Parameter sind im Vergleich zu Linux verdreht, passiert mir jedesmal deswegen die Warnung.
Mit dem folgenden Befehl kann man einen Link auf einen Ordner / eine Datei löschen
rmdir Linkname

mklink windows

Kleiner Tipp :
Was man unter Windows damit auch machen kann ist Spiele von Steam, Uplay oder Origin auf eine andere HDD zu schieben.


Informationen zu der Befehlszeile :
technet.microsoft.com - mklink erklärt
wiki.ubuntuusers.de - ln erklärt
technet.microsoft.com - subst erklärt

“Sicher ist, dass nichts sicher ist. Selbst das nicht.”
Joachim Ringelnatz