Was ist denn da aktuell mit WP los?

Kein großer Beitrag, ist nur schon länger offen und es gab die kleine Hoffnung, dass das mit 6.2 jetzt mal gelöst wäre. War wohl nix. So meckern WP-Tools schon länger wegen einer „SSSF vulnerability“ herum.

PatchStack hat das schon auf der Liste.

Erklärung dort: „Simon Scannell & Thomas Chauchefoin discovered and reported this Server Side Request Forgery (SSRF) vulnerability in WordPress. This could allow a malicious actor to cause a website to execute website requests to an arbitrary domain of the attacker. This could allow a malicious actor to find sensitive information of other services running on the system. This vulnerability has not been known to be fixed yet.“

Tja, hat laut Foren mit der Pingback Funktionalität von WordPress zu tun, also ist das bei mir deaktiviert. Würde die Meldung auch gerne weghaben, aber man kann ja nicht alles haben.

Mal schauen wann das „gelöst“ wird.

PlugIns haben auch Fehler, aber die sind nicht schlimm, da deaktiviert/ersetzt.

Namenskonventionen

Namenskonventionen sind schwer. Jedes Mal rate ich mir einen Ast, wie ich Dinge im Windows-Netzwerk am besten benennen soll. Vor allem wegen den Zeichen die einem vorgegeben werden. Im 21. Jahrhundert in einem Netzwerk auf 2016/2019 Ebene sollte es da eigentlich keine großen Beschränkungen mehr geben. So kann ein gMSA nur 15 Zeichen (plus Dollar-Zeichen) haben. Das macht eine sinnvolle Trennung zwischen mehreren Standorten/Sprachen und/oder Servern ein wenig schwierig.

Weiterlesen →

Paketmanagement unter Windows

Guten Morgen,

wollte dazu auch mal ein, zwei Sätze schreiben. Unter dem GitHub Repository winget-cli gibt es den Paketmanager WinGet, der im AppInstaller im Windows 10 Insider vorhanden ist, sich aber auch über ein *.appxbundle installieren lässt. Dazu einfach mal bei Release schauen, da kann man die herunterladen und installieren. Die letzte Meldung war bei mir was komisch und abgehakt, aber Installation ging durch.

Weiterlesen →

GitHub und weiteres

Arbeite gerade an ein paar privaten und beruflichen Sachen auf GitHub. Habe die GitHub Pages für eine Domain eingerichtet, scheint mir bei einem vorhandenen Blog aber etwas zu viel. Ich verweise darin am Besten auf meine private Domain.

Btw: Gerade meiner Chefin geholfen ihre Kaspersky Lizenz über MyKaspersky zu aktivieren / einzurichten.

Arbeitsprofil daheim nutzen mit Kniff

Vielleicht hattet ihr das auch: Ihr geht nach den Guide der c’t vor und trotzdem geht etwas nicht. Zum Beispiel taucht der „Anderer User“ anmelden Dialog nicht auf. Bei mir ging zudem die Ausführung von Outlook nicht, weil sich der AADBroker dazwischen geschaltet hat, den der Benutzer nicht quittieren konnte. Dazu unten mehr.

Zuerst muss ich natürlich einen Benutzer anlegen, mit dem ich die Programme und Daten für die Arbeit nutzen möchte.

Hier noch einmal die Schritte in „Kurzfassung“. Es wird ein Benutzer angelegt, ein virtuelles Laufwerk erstellt, das Laufwerk verschlüsselt und das Benutzerprofil verschlüsselt.

Weiterlesen →

c’t / 16 / 2020

Ich notiere mir hier einfach mal ein paar Stichpunkte aus der c’t 16/2020:

OX COI Messenger (Mail + Messaging – Aktuell in Beta)
W10 Application Guard Feature (Edge Safe Brwoser)
W10 Konto, OneDrive, BitLocker, Insider
- Konto neu aufbauen, aktualisieren, einrichten, trennen
W10 SSH/Server/SCP => PowerShell
- DefaultShell = PowerShell
Windows Terminal SSH Profile
WSL + GUI => Herbst 2020
Tool: Windows File Recovery (im Store) => Profil Backup GitHub Liste
iCore 10000 Chipsätze
xnView MP / Bilderverwaltung
Nextcloud/ownCloud Remote API
(Programmieren mit Go!)
(Informationen zu Qi)
Farben in Linux Shell (bashrc-Generator)

Vielleicht sollte ich meine Terminal Profile mal überarbeiten und auf GitHub sichern. Auch die Scripts aus profile_scripts sichern. Vielleicht sollte ich da auch mal ein Backup der GitHub Repos in Betracht ziehen (nicht alle, nach Liste!?).

Da fällt mir ein: Wann wollte Alfahosting auf Debian 10 aufrüsten? Vielleicht sollte ich da noch einmal nachhaken. Dann Backup und neu einspielen + Lokales Backup über PowerShell SSH API.

c’t PDF Download / Backup / c’t Stick.

0x%1!X! – Sprachpakete in Windows 10

Sprachpakete… Man kann nicht mit ihnen, aber ohne sie geht halt auch nicht. Vor allem, wenn man Mitarbeiter im Unternehmen hat, die kein englisch oder deutsch verstehen. Ich halte das noch immer für eine dreiste Lüge, aber was soll ich machen. Dann halt mit Sprachpaketen.

Also erst einmal das aktuelle Sprachpaket laden. Wo gab es das noch einmal? Ach was solls, wir haben doch den uupdump. Datei „microsoft-windows-client-languagepack-package_<lang>-<processor>-<lang>.esd“ laden und im SCCM einbinden. Zum Schluss noch in der aktuellen Windows 10 Task Sequenz die Sprachpakete einbinden und fertig.

Das funktioniert auch soweit, nur dass nach dem ersten Boot und dem Wechsel von der Sprache die man installieren wollte – bzw. installiert hat – in die Sprache, die auf der ISO installiert war ein „Fehler“ auftritt. Dieser ist als solches beim ersten Hinschauen nicht erkennbar, da die Meldung in den „Nein, nicht abmelden“-Dialog gestopft wird.

Kurz gesagt ist ein Fehler aufgetreten und ein paar Sprach-Funktionen konnten nicht korrekt geladen werden („you can try again later… Error code: 0x%1!X!“). Unter der Sprachauswahl steht ein ähnlicher lokalisierter Text: „Sorry, we’re having some trouble on our end. Retry?“

In diesem konkreten Fall, reicht es aus, das Windows Update anzuschmeisen und damit das letzte CU neu installieren zu lassen. Anschließend haben die installierten Sprachpakete eine andere Version, nämlich die des aktuellen Builds (beispielsweise 18363.476).

Als kleinen Nachtrag (ich bin faul): LXP sind keine vollständigen Language Packs (siehe MS TechNet, „[…] however, for full languages (aka SKU languages), we have not yet retired the legacy language packs (lp.cab) […]“). Daher sind LXPs nichts für unsere Umgebung. Sollte Microsoft hier mal etwas ändern um es den Admins „leichter“ zu machen, werde ich mich dessen annehmen… Vielleicht…

SCCM Hidden Operating System Deployment

Sodele,

wieder etwas aktuelles:

Ich habe intern die neue Windows Server 2019 Insider Preview Build eingepflegt. Diese soll allerdings nicht für alle Workstations erreichbar sein, auch wenn die Collection ausgewählt wurde, sondern nur durch ein „Hintertürchen“, wenn man dies so nennen möchte.

Als Anmerkung: Ich mag keine VBS Lösungen. Das übermächtige PowerShell ist mir da doch lieber. Ich werde mir da demnächst mal etwas kleines zusammen basteln. Wenn es klappt, setze ich dies hier hinein.

Als erstes müssen wir das hinterlegte Boot-Image anpassen.

Achtung: Damit nichts wichtiges gefährdet wird, sollte die boot.wim gesichert werden!

Schritt 1: Boot.WIM einbinden

DISM /mount-wim /wimfile:"\\SCCM-Server\SMS_LKR\OSD\boot\x64\boot.wim" /index:1 /mountdir:C:\WinPEMount\X64\

1	DISM /mount-wim /wimfile:"\\SCCM-Server\SMS_LKR\OSD\boot\x64\boot.wim" /index:1 /mountdir:C:\WinPEMount\X64\

Den entsprechenden Pfad einfach anlegen. WinPEMount gibt es schließlich nicht. Die Angabe des Index ist erforderlich, auch wenn nur ein Index existiert.

Schritt 2: Daten in den temporären Pfad kopieren

copy '\\SCCM-Server\SMSStore\SWDepot\OSD\Tools\hidden_boot_images\devel.vbs' C:\WinPEMount\X64\Windows\System32\ -verbose

1	copy '\\SCCM-Server\SMSStore\SWDepot\OSD\Tools\hidden_boot_images\devel.vbs' C:\WinPEMount\X64\Windows\System32\ -verbose

Kopiert wird hier die devel.vbs [LINK FOLGT]. In diesem Script wird eine temporäre Datei angelegt, die nach der Eingabe des Kennwortes überprüft wird. Ich schaue hier aber auch noch, ob ich nicht ein PowerShell Tool schreibe.

Schritt 3: Änderungen an der Boot.WIM bestätigen

DISM /unmount-wim /mountdir:c:\WinPEMount\x64 /commit

1	DISM /unmount-wim /mountdir:c:\WinPEMount\x64 /commit

Schritt 4: Boot Image im SCCM bearbeiten

Als Prestart Command folgendes eingeben:

cscript.exe //nologo check_hidden.vbs

1	cscript.exe //nologo check_hidden.vbs

Den Pfad zur check_hidden.vbs auswählen und den „command support“ aktiveren. Alles soweit bestätigen und abschließen.

Im SCCM PXE Menü F8 drücken und im Command Prompt „devel“ eingeben (das Script). Nach Eingabe des Kennwortes folgt eine Prompt zur Eingabe der Deployment ID. Nach dem Bestätigen wird das Deployment gestartet.

Falls man lieber ein eigenes Script entwickeln möchte, lässt sich nach der Eingabe des Kennwortes auch mit F8 direkt in der Konsole arbeiten. Hier aber immer mit Bedacht vorgehen 😉

Die Scripts:

Dim env
Set env= CreateObject("Wscript.Shell")
env.RUN"cmd /C " & CHR(34) &"netsh int ip show config Local > X:\hidden.txt " & CHR(34), 0, True

'MsgBox "DEVEL mode Enabled !"
wscript.quit

Dim env

Set env= CreateObject("Wscript.Shell")

env.RUN"cmd /C " & CHR(34) &"netsh int ip show config Local > X:\hidden.txt " & CHR(34), 0, True

'MsgBox "DEVEL mode Enabled !"

wscript.quit

' lukas.kurth.rocks (c) 2018/03/22
Option Explicit
DIM fso
Set fso = CreateObject("Scripting.FileSystemObject")

'Check if Development Mode has been selected
If (fso.FileExists("x:\hidden.txt")) Then
  	'WScript.Echo("Development activated, hidden.txt exists!")
	' Devel mode was selected so display the Prestart prompt
	Dim env
	set env = CreateObject("Microsoft.SMS.TSEnvironment")
	env("SMSTSPreferredAdvertID") = InputBox ("Please enter the Task Sequence Deployment ID eg: P0120038 and click [OK] or click [Cancel] to continue.")
	'MsgBox "The following Task Sequence Advertisement ID will be selected: " & env("SMSTSPreferredAdvertID")
Else
  	'WScript.Echo("The hidden.txt File does not exist so will not change SMSTSPreferredAdvertID!")
End If
WScript.Quit()

Option Explicit

DIM fso

Set fso = CreateObject("Scripting.FileSystemObject")

'Check if Development Mode has been selected

If (fso.FileExists("x:\hidden.txt")) Then

'WScript.Echo("Development activated, hidden.txt exists!")

' Devel mode was selected so display the Prestart prompt

Dim env

set env = CreateObject("Microsoft.SMS.TSEnvironment")

env("SMSTSPreferredAdvertID") = InputBox ("Please enter the Task Sequence Deployment ID eg: P0120038 and click [OK] or click [Cancel] to continue.")

'MsgBox "The following Task Sequence Advertisement ID will be selected: " & env("SMSTSPreferredAdvertID")

Else

'WScript.Echo("The hidden.txt File does not exist so will not change SMSTSPreferredAdvertID!")

End If

WScript.Quit()

SCCM Task Sequence Manipulation

Lange ist es her, dass ich mal etwas geschrieben habe. Etwas schwer, wenn man sich in einen neuen Job einarbeitet; Da hat man kaum Lust noch etwas online zu stellen.

Hier kann ich nun endlich mal mit einer vernünftigen (wenn auch nicht an allen Punkten durchdachten) Software-Verteilung arbeiten. Auch PowerShell kann ich weiter verteifen, womit auch auch direkt zu meinem letzten Problem komme: Die Anzeige von mehr Schritten, als SCCM mit weißmachen wollte. Im Netz kursieren dazu unter anderem Guides zum manipulieren von MDT Scripts (ZTIUtility.vbs) unter ConfigMgr2007. (2 (VBScript, der Name der Seite passt irgendwie dazu :D), 3 (SMS und C)). Da ich aber mit PowerShell Script bestimmte Einstellungen vornehmen möchte, suche ich nach etwas anderem.

Damit ich darauf später wieder zugreifen kann (und vielleicht auch dem einen oder andern damit helfe) hier die Fortschritts-Manipulation:

# Task Sequence Fortschritt
$TSProgressUI = New-Object -COMObject Microsoft.SMS.TSProgressUI
#$TSProgressUI.CloseProgressDialog() #IST NICHT NOTWENDIG ;-)

# Task Sequence Variablen
$TSEnv = New-Object -COMObject Microsoft.SMS.TSEnvironment

# Fortschritt der PowerShell im SCCM Log Pfad speichern
Start-Transcript -Path "$($TSEnv.Value("_SMSTSLogPath"))\$($env:COMPUTERNAME)_$(Get-Date -Format "yymmdd-HHmmss").txt" -Append -Force

#(Organisation,TaskSequenceName,Title/FortschrittDialog,AktuelleAction,AktuellerSchritt,MaxSchritte,AktionsInfo,AktionsSchritt,AktionenGesamt)
$TSProgressUI.ShowActionProgress($TSEnv.Value("_SMSTSOrgName"),$TSEnv.Value("_SMSTSPackageName"),$TSEnv.Value("_SMSTSCustomProgressDialogMessage"),$TSEnv.Value("_SMSTSCurrentActionName"),$TSEnv.Value("_SMSTSNextInstructionPointer"),$TSEnv.Value("_SMSTSInstructionTableSize"),"DISM Component Cleanup",1,4)

{
    # YADA YADA YADA
}

# ActionProgress wieder entfernen ("nur" den normalen TS Progress)
$TSProgressUI.ShowTSProgress($tsenv.Value("_SMSTSOrgName"),$tsenv.Value("_SMSTSPackageName"),$tsenv.Value("_SMSTSCustomProgressDialogMessage"),$tsenv.Value("_SMSTSCurrentActionName"),$tsenv.Value("_SMSTSNextInstructionPointer"),$tsenv.Value("_SMSTSInstructionTableSize"))
Stop-Transcript

# Task Sequence Fortschritt

$TSProgressUI = New-Object -COMObject Microsoft.SMS.TSProgressUI

#$TSProgressUI.CloseProgressDialog() #IST NICHT NOTWENDIG ;-)

# Task Sequence Variablen

$TSEnv = New-Object -COMObject Microsoft.SMS.TSEnvironment

# Fortschritt der PowerShell im SCCM Log Pfad speichern

Start-Transcript -Path "$($TSEnv.Value("_SMSTSLogPath"))\$($env:COMPUTERNAME)_$(Get-Date -Format "yymmdd-HHmmss").txt" -Append -Force

#(Organisation,TaskSequenceName,Title/FortschrittDialog,AktuelleAction,AktuellerSchritt,MaxSchritte,AktionsInfo,AktionsSchritt,AktionenGesamt)

$TSProgressUI.ShowActionProgress($TSEnv.Value("_SMSTSOrgName"),$TSEnv.Value("_SMSTSPackageName"),$TSEnv.Value("_SMSTSCustomProgressDialogMessage"),$TSEnv.Value("_SMSTSCurrentActionName"),$TSEnv.Value("_SMSTSNextInstructionPointer"),$TSEnv.Value("_SMSTSInstructionTableSize"),"DISM Component Cleanup",1,4)

{

# YADA YADA YADA

}

# ActionProgress wieder entfernen ("nur" den normalen TS Progress)

$TSProgressUI.ShowTSProgress($tsenv.Value("_SMSTSOrgName"),$tsenv.Value("_SMSTSPackageName"),$tsenv.Value("_SMSTSCustomProgressDialogMessage"),$tsenv.Value("_SMSTSCurrentActionName"),$tsenv.Value("_SMSTSNextInstructionPointer"),$tsenv.Value("_SMSTSInstructionTableSize"))

Stop-Transcript

Was die einzelnen Einträge zu bedeuten haben, kann detailierter im MSDN / „Developer Network“ von Microsoft nachgelesen werden. Task Sequence Variablen gibt es ebenfalls bei Microsoft nachzulesen.

WDS PXE Pre-Set (Custom Images)

Sodele,

nun zu einer Sache die ich seit meiner Ausbildung leider nie in Aktion erlebt habe und wohl auch eine längere Zeit erst einmal nicht mehr sehen werde: Die Verteilung von Images und das Ausführen von Live-CDs über WDS / PXE.

Damit dies nicht nur mit Windows Abbildern funktioniert, müssen am WDS ein paar Einstellungen vorgenommen werden.

Dazu kann man sich diesen Beitrag hier durchlesen.

Wichtig vor allem das entsprechende Standard Boot-Image auszuwählen. Dies geht im Windows Server eigenen WDS Manager mittlerweile nicht mehr und muss über die PowerShell geändert werden.

Falls man sich umentscheiden sollte lässt sich hiermit der Standard wiederherstellen:

wdsutil /set-server /bootprogram:boot\x86\pxeboot.com /architecture:x86
wdsutil /set-server /N12bootprogram:boot\x86\pxeboot.n12 /architecture:x86
wdsutil /set-server /bootprogram:boot\x64\pxeboot.com /architecture:x64
wdsutil /set-server /N12bootprogram:boot\x64\pxeboot.n12 /architecture:x64

Ich habe entsprechend noch die Abbilder angepasst (viele sind für das Menü nur als dummies hinterlegt) und mir ein eigenes Hintergrundbild angelegt. Dies passt zu den hinterlegten Farben ganz gut.

Dazu noch einmal der Link zum im Beitrag verlinkten Download. Hier einfach den im Paket enthaltenen Liesmich-Dateien folgen.

Soviel dazu.

Luke