Verteilen von Updates im Netzwerk: Flash, Acrobat, Java Runtime Environment aktuell halten

Hat man einige PC in einem Netzwerk zu betreuen, sollte man als „braver“ Admin möglichst dafür sorgen, dass diverse Sicherheitsupdates zeitnah eingespielt werden.

Am Beispiel eines Windowsnetzwerkes greift man für MS-Updates in der Regel auf den kostenlos erhältlichen WSUS (Windows Server Update Services) zurück. WSUS wird auf einen bestehenden Windows Server installiert. Danach erfolgt die Verteilung von Updates über entsprechend eingestellte Gruppenrichtlinien (z.B.: Alle Geräte in der Organisationseinheit „Verkauf“ bekommen die Updates zu einem bestimmten Zeitpunkt voll automatisch angeboten.)

Wie verhält es sich aber mit „Nicht-MS-Updates“. Vor allem der Adobe Acrobat Reader,  der Adobe Flashplayer und auch das Java Runtime Environment reissen nur all zu oft Sicherheitslücken auf.

Auch wenn ein PC noch so gut mit MS Updates versorgt wird, hilft es nichts, wenn dafür der Flashplayer, der Adobe Acrobat Reader, oder das Java Runtime Environment hoffnungslos veraltet ist.

Auf einem einzelnen PC ist auch das nicht das Problem, denn auch hier bekommt man entsprechende Updatemeldungen.

  • Was aber, wenn es sich um 100 PC handelt?
  • Die Anwender keine Berechtigung haben, etwas zu installieren bzw. herunter zu laden?

Problem 1: Wie komme ich an die Full Installer?

Problem 2: Welche Parameter benötige ich für eine „stille Installation“?

  • Flashplayer (für Internet Explorer):  install_flash_player_active_x.exe -install
  • Flashplayer (für Firefox/Mozilla): install_flash_player_plugin.exe -install
  • Adobe Acrobat Reader: AdbeRdr1014_de_DE.exe /msi EULA_ACCEPT=YES /qn
  • Java Runtime Environment: jre-7u7-windows-i586.exe /s /L C:\setup.log

Problem 3: Wie soll ich die Installationen Remote also „über das Netzwerk“ starten?

Hier gibt es viele verschiedene Möglichkeiten:

  1. Über Gruppenrichtlinien –> Die Datei wird in den Ordner Netlogon (des Server) gelegt und dann per Gruppenrichtlinie aufgerufen (hier kann es sinnvoll sein, ein eigenes Script/Batchdatei zu schreiben-> Systemkonfiguration\Startskript
  2. Man bedient sich des Befehls PSEXEC (ehem. Sysinternal-Tools) um die Befehlszeile Remote (mit einem Adminuser) ausführen zu können. Das ist natürlich bei -sagen wir- 100 PC mühsam
  3. Man greift zb auf „Purgos“ zurück. Dieses Tool ist zumindest in der Version 3 (noch) kostenlos (Genauere Infos hier: http://4sysops.com/archives/free-purgos-open-source-desktop-management-software-for-windows/)

Kurze Zusammenfassung zur Verwendung von Purgos

Zuerst installiert man die Serverkomponente auf dem PC, der der „Purgosserver“ sein soll. Hat man das erledigt, kann man die Client PC des Netzwerkes hinzufügen. Dies geschieht entweder per Angabe des IP Bereiches, oder der Namen der PC.  Abgesehen davon ist es auch möglich, direkt auf das Active Directory zuzugreifen, um die PC von dort zu „holen“.

Sind die Computer in Purgos „eingecheckt“, bringt man noch den Purgos Agent aus. (Man markiert unter „Managed Computer“ alle PC), klickt 1x rechts und wählt Agent/Software Config -> Install/Upgrade.

  • Nun erstellt man auf dem „Purgos Server“ einen Ordner und gibt diesen frei (Rechte -> Jeder -> lesen).
  • In diesen Ordner kopiert man die zuvor geladenen Files (Reader, Java, Flashplayer)
  • Danach „schreibt“ man sich -ebenso in dem Ordner- eine Batchdatei für jede Installation. Ich handhabe es so, dass ich die Installationsfiles zuerst auf den Client  kopiere, auf dem die Software installiert werden soll und dann erst die eigentliche Installation starte. Nach erfolgter Installation wird die Setupdatei dann vom Client gelöscht.

Die Batchdatei sieht zb so aus:

copy \\purgosserver\deploy\jre-7u7-windows-i586.exe c:\
c:
cd\
jre-7u7-windows-i586.exe /s /L C:\setup.log
del jre-7u7-windows-i586.exe

bzw.

copy \\purgosserver\deploy\install_flash_player_active_x.exe c:\
c:
cd\
install_flash_player_active_x.exe -install
del install_flash_player_active_x.exe

Schließlich wählt man in Purogs -> Action -> Execute Command und gibt folgendes ein (wobei der User, der hier angegeben wird (Alternate User) möglichst Administrator / Domänenadminrechte haben sollte!) Unter Command wird der Netzwerkpfad zur entsprechenden Batchdatei in Form von \\purgosserver\deploy\… angegeben.

Hat man das erledigt, kann man die vorgenommenen Einstellungen per Save As abspeichern.

Unter Managed Computer klickt man den Computer, auf dem das Script ausgeführt werden soll, mit der rechten Maustaste an und wählt „Execute Command …“ aus dem Kontextmenü aus. Abschließend wählt man den zuvor gespeicherten Befehl aus.

Das Manko bei dieser doch recht einfach gehaltenen Variante ist, dass Purgos offenbar keine Fehlerbehandlung durchführt. Selbst wenn im Script zb die Datei nicht gefunden werden kann, attestiert Purgos ein „Successfully executed…“. Hier dürfte sich Purgos rein auf die Batchdatei beziehen, nicht jedoch auf die Befehle in der Batchdatei.

Die „schönere Variante“ dürfte wohl die Erstellung eines entsprechenden MSI-Software-Paketes sein. Selbst das lässt sich mit Purgos erledigen.

Fazit

Die Installation von Updates lässt sich mit diversen Hilfstools sehr stark vereinfachen. Das Problem ist jedoch, dass selbst bei aktuellstem Patchstand, immer noch Sicherheitslücken vorhanden sein können. (siehe Oracle Java Runtime Environment: Hier wurde erst Ende August mit Version: 7.07 eine kritische Lücke gepatcht. Kurz nach dem Patch ist aber schon die nächste kritische Lücke gefunden worden. Patch gibt es allerdings noch immer keinen…)

Älteren Notebooks mit „SSDs“ auf die Sprünge helfen

Ich habe zwar schon einige mal über die Vorzüge von SSD – Laufwerken berichtet, möchte aber dennoch in diesem kurzen Artikel erneut darauf eingehen.

Ausgangslage ist folgende Aussage:  „Mein Windows XP Notebook (HP nx9420) mit 2GB Ram und einer 100GB Seagate Festplatte (SATA) ist so langsam, ich brauche ein neues, oder?“

Nein,es muss nicht gleich ein neues Notebook sein.

Folgender Upgradeplan gibt dem vermeintlich schon zu alten Notebook die „Sporen“:

  • Eine recht schnelle und günstige SSD  mit 128GB –> Kosten rund EUR 95,-
  • ein aktuelleres OS (Windows 7 Professional, da Firmennotebook) –> kommt in der DSP Version auf rund EUR 130,-. Windows passt die Systemparameter im Zuge der Neuinstallation an die SSD an. Aber Achtung! Es wird bei Weitem nicht alles optimal angepasst! (d.h. Handarbeit)
  • muss es kein Windows sein, spart man sich – sofern man auf „Linux“ zurückgreift- den Kauf des OS. Auch unter Linux muss man manuelle Anpassungen an der Konfiguration durchführen, damit die SSD optimal „bedient“ wird.

Das Ergebnis ist ein flüssig laufendes Notebook. Anwendungen öffnen kurz nach dem „Doppelklick“, es gibt kaum Verzögerungen. So macht das Arbeiten wieder Spaß.

Was allerdings klar sein sollte ist, dass das erwähnte Upgrade natürlich nichts bringt, wenn das Notebook zu langsam für 3D lastige Spiele ist. Hier ist dann nämlich die Kombination aus Grafikkarte und Prozessor zu langsam.

 

XBOX 360 die Konsole die alles kann… nur Datum und Uhrzeit merken eben nicht…

Zwar offenbar ein alter Hut, dennoch kann ich es gerade immer noch nicht ganz glauben, dass die XBOX 360 Uhrzeit und Datum nachweislich nicht speichert, wenn man Sie etwas länger vom Strom nimmt. Auch in diversen Foren wird dieses Problem kritisiert. Man muss die Box am Strom lassen, wenn man will, dass Datum und Uhrzeit erhalten bleiben.

Für mich als „Stomsparer zwecks Umweltschutz“ ist das jedoch keine Option. Denn selbst im Stand-by Mode saugen Geräte oft massig an Strom (im Verhältnis zum Nutzen).

Fakt ist also: Xbox 360 etwas Länger (1-2 Tage) vom Strom = Datum und Uhrzeitverlust. Gerade bei spielen, die sich des Datums bedienen um zb. den Trainingsfortschritt in einem Kalender zu speichern sehr ärgerlich. Selbst dann, wenn man Speicherstände anlegt, wird das zum Problem. Denn der Speicherstand wird auch mit dem Datum erstellt, das eben gerade eingestellt ist.

Lösungen

Die erste Lösung ist freilich das Datum einzustellen und dann die Box eben nicht vom Strom zu nehmen. (Für mich keine Option).

Abgesehen davon „holt“ sich die Box das Datum über NTP, falls die Box mit dem Internet verbunden wird. Dies wiederum würde bedeuten, dass der WLAN-Router bzw. die Internethardware immer aktiv sein muss, wenn die Xbox aktiviert wird. Für mich ebenfalls keine Option, denn ich will eigentlich auch nicht immer das Internet aktivieren, wenn ich XBOX spiele.

Bleibt für mich also nur die Steinzeitlösung: Das Datum immer manuell einstellen, bevor ich spiele!

Ich kann nicht verstehen, warum Microsoft hier nicht einfach eine „Knopfzelle“ (ähnlich wie bei der Bios Batterie des PC) verbaut hat, um Datum und Uhrzeit zu speichern.

Geradezu lächerlich…

Was mir grade eingefallen ist: Man könnte sich ja ne USV kaufen, die die XBOX dann versorgt 😛

Mein neuer Star – der Kindle 4

Vor gar nicht all zu langer Zeit, bekam ich vom Weihnachtsmann ein Huawei Mediapad, das ich Anfangs vor allem für Firmwareexperimente „in der Mangel“ hatte. Ich weiß nicht mehr, wie viele verschiedene Versionen ich installiert habe, nur um nach ein paar Tagen wieder eine andre Variante aufzuspielen.

Das Interesse am Android Tablet ließ aber nach ein paar Wochen massiv nach. Ich musste mir eingestehen, dass ich es kaum sinnvoll einsetzte. Es ist mir zu klein, kommt mir extrem hakelig in der Bedienung vor und ich habe auch nicht die Nerven, um Zielübungen auf dem Touchscreen durchzuführen. (Es kommt nämlich oft vor, dass das Pad den „Touch“ nicht erkennt bzw. man zielgenau daneben „toucht“.)

Es mutierte aufgrund dessen zum „Gamingpad“ meiner besseren Hälfte.

Was erwarte ich mir eigentlich, was sind meine Anforderungen?

Ich begann, mir Gedanken darüber zu machen, was ich von so einem  Tablet eigentlich erwarte:

  1. Lange Akkulaufzeit
  2. gutes Display
  3. unproblematische Bedienung

…auch über den Anwendungsbereich stellte ich so einige Überlegungen an:

  • Surfen im Netz (finde ich auf einem Pad nicht komfortabel), da reicht mir mein Smartphone, das ist nämlich von der Komfortabilität her einem Tablet gleich zu setzen. Angenehm ist dennoch etwas Anderes.
  • Emails checken (mache ich, wenn es denn unbedingt sein muss, auch am Smartphone)
  • Lesen von Artikeln, PDF Files, Anleitungen etc –> Hier kommt dann das spiegelnde Display als absolutes „no go“ ins Spiel. Will man also im Sonnenschein etwas Lesen, kann man das mit einem Tablet vergessen. Ich finde übrigens auch, dass es durch Maximierung der Displayhelligkeit auch nicht wirklich „besser“ bzw. angenehmer wird.

Da war doch was mit „Kindle“

Viele werden jetzt sagen: „Hey, du kannst doch nicht den Kindle mit einem Tablet vergleichen!“ Richtig, kann man auch nicht und habe ich im Grunde genommen auch nicht vor. Ich beziehe mich hier eigentlich eher auf meine Anforderungen an ein Tablet, denn genau genommen surfe ich damit nicht durch die Gegend, sondern lese Artikel, PDFs, Bücher etc. Gerade bei den Büchern (ich habe zig 800 Seiten „Wälzer“) finde ich die elektronische Speicherung genial.

Da nimmste‘ locker mal 20 Bücher mit in den Urlaub. Ob diese Bücher dann tatsächlich gelesen werden, ist wieder eine andere Geschichte.

Schließlich habe ich mir den Kindle 4 geleistet und mir auch schon ein paar recht günstige Bücher zugelegt.

Kindle 4 und die Formate

Anfangs bin ich davon ausgegangen, dass man auch PDF Dateien auf dem Kindle -ohne Einschränkungen, mit Zoomfunktionalität etc. – verwenden kann. Dem ist aber nicht so! Obwohl der Kindle 4 PDF Dateien darstellen kann, ist die Anpassung der Schriftgröße doch sehr eingeschränkt. Man kann den Schriftgrad der PDF Datei zwar anpassen, aber nur in recht großen (zu großen) %-Schritten. Die erste Vergrößerungsstufe ist 150%. Dadurch wird der Text aber immens groß. Kurz gesagt: Unbrauchbar.

Die meiner Meinung nach einzige Möglichkeit eine recht gute Größenanpassung der PDF Schrift am Kindle zu bekommen, ist es, von Hoch- auf Querformat umzustellen.

Das PDF Format ist also KEIN FORMAT für e-Reader.

Gute Kindle Formate sind MOBI und AZW3. Wobei diese Formate in Zukunft von dem sog. KF8-Format abgelöst werden sollen.

Kann man auch selbst Bücher auf den Kindle kopieren?

Ja, kann man ohne Weiteres. Wenn man den Kindle am PC anschließt, wird er als Massenspeicher erkannt. Die Bücher befinden sich im Ordner documents.

Die Frage die sich mir stellte war allerdings, ob man die Bücher, die man in digitaler Form besitzt, auch entsprechend umwandeln kann. (Ich  denke hier vor allem an die Bücher von Galileo-Press, die als Openbook im HTML Format kostenlos zum Download angeboten werden).

Google schließlich erzählte mir, dass die Umwandlung mit dem kostenlosen Tool „Calibre“, welches es  für alle gängigen Plattformen gibt, möglich ist.

Sensationellerweise gibt es explizit für die Galileo Openbooks ein eigenes Javatool, das die Galileobook herunter ladet und automatisch entsprechende Formatierungen vornimmt (u.a. wird das HTML angepasst), damit das Book nach der Konvertierung mittels Calibre perfekt auf dem Kindle dargestellt wird. Ein Artikel zu diesem Tool inkl. entsprechender Verlinkung findet man auf FENE-BLOG. (DANKE dafür!)

Wichtig ist, dass ihr das Java Runtime Environment installiert habt und dass der Pfad zu Java in der Umgebungsvariable „Path“ definiert ist. (Somit ist java nämlich von jedem Verzeichnis aus aufrufbar).

Die Syntax (der Programmaufruf) ist sehr simpel:

  • java -jar galileo_openbook_cleaner-1.0.jar
  • gefolgt von der gewünschten „Book ID“, oder all für alle Bücher.

Sieht dann also z.B.: so aus:

  • java -jar galileo_openbook_cleaner-1.0.jar all
  • oder z.B.
  • java -jar galileo_openbook_cleaner-1.0.jar linux_unix_prog

Die Books werden in das Verzeichnis kopiert, von dem aus man das Tool aufruft. Befindet man sich also im Ordner C:\Benutzer\Downloads wird auch das Buch in dieses Verzeichnis geladen.

Will man das Buch dann per Calibre auf das Mobi Format (oder auch AZW Format) konvertieren, sollte man den Buchordner samt Inhalt in eine ZIP Datei packen, diese ZIP dann als Buch in Calibre hinzufügen und schließlich konvertieren und auf den Kindle laden.

Test im Sonnenlicht

Die Sonne scheint, es hat 27 Grad und ich sitze mit Sonnenbrille am Balkon. Hm, da könnte ich doch mein E-Book über die Kindle-E-Bookerstellung lesen, oder? Natürlich! Dank des entsprechend konzeptionierten Display des Kindle, ist grelles Sonnelicht überhaupt kein Problem und dem Lesespaß steht nichts im Wege.

Webbrowser

Der Kindle 4 bringt auch einen Webbrowser mit. Hier sei aber gesagt, dass man die Anforderungen nicht zu hoch schrauben darf. Schließlich ist das Display nicht fähig, Farben darzustellen. Der Browser ist noch in der Testphase. Will man schnell mal etwas nachschauen, lässt sich das mit dem Browser aber ohne Probleme erledigen. Webseiten, die für mobile Geräte angepasst sind, werden auf dem Kindle sehr schön dargestellt. Hochtrabende multimediale Seiten eher nicht.

Fazit

Für meine Anforderungen ein durchaus tolles Gerät, das hält, was es verspricht.

 

 

Story: Trügerische Sicherheit durch Virenkiller

Ein versierter PC User (nein, das ist nicht mir passiert!), verwendet für Internetbanking und diverse Onlinegeschäftsaktivitäten ausschließlich eine Linuxdistribution, da dieses OS weniger anfällig für diverse  Trojaner und andre Malware ist. Obwohl ansonsten sehr linuxlastig unterwegs, wird ab und an auch gespielt. Die „Spielerei“ findet dann in MS Windows statt.

Um sicherzustellen, dass sich auch unter MS Windows nichts „Böses“ in das System einnistet, wird eine namhafte Anti-Virus-Suite verwendet. (Es handelt sich hierbei NICHT um einen kostenlosten Scanner).

Weiter im Text: …nach der Gaming-Session will man sich schnell mal im Internet über aktuelle Reiseangebote gen Süden informieren… noch bevor man so richtig realsiert, dass man sich wohl besser FRÜHER -und zwar in der Vorsaison zwecks günstigerer Konditionen- um den Urlaub gekümmert hätte, „macht der PC so komische Sachen“:

  • Der PC ist gesperrt
  • zeigt eine Polizeiwarnung an (wobei das sehr stark variiert, da es zig Varianten des Trojaners gibt. In Österreich bekommt man oft das Originallogo der Polizei angezeigt, in Deutschland das der deutschen Polizei, manchmal aber auch FBI etc.)
  • man müsse 2 x EUR 50,00 überweisen (Stichwort Ukash)
  • es wurde unerlaubter Inhalt angeschaut
  • Taskmanager, abgesicherter Modus etc funktionieren NICHT mehr

Nun komme ich ins Spiel ;).

Mein erster Gedanke war: „Nimmste Desinfect von Heise, bootest von selbiger Live CD und scannst die Kiste“. Also hochgefahren, Virendefinitionen auf den letzten Stand aktualisiert und gescannt. Nach einiger Zeit schließlich die Ernüchterung. Keine infizierten Elemente gefunden!

Naja, dann weichen wir eben auf Bitdefender Live CD aus… Resultat: Nichts gefunden.

Dann mache ich etwas, was eigentlich gar keine gute Idee ist: Ich schließe die Platte per USB Adapter an meinen PC an und lasse die gesamte Platte von Norton Antivirus 2012 durchsuchen. Auch Norton attestiert der Platte, dass sie clean ist. Ebenso ergeht es mir mit Malwarebytes Antimalware.

Offenbar handelt es sich hierbei um eine bislang noch nicht bekannte Version eines Trojaners oder dgl.

Aber ein paar „Rettungsanker“ habe ich ja noch:

  • GMER (findet aber keine Auffälligkeiten)
  • Nai Getsusp (meldet schließlich einige Suspect-Files)

Um sicher zu gehen nehme ich Kontakt mit dem McAfee (NAI) Support auf und  übermittle die Suspect-Files.

Einen Tag später schickt mir Mcafee (NAI) eine Extra.dat. Dies is eine zusätzliche Virendefinitionsdatei, die in dem Fall den Trojaner : PWS – ZBOT finden und entfernen soll.

Auf einem PC, auf dem McAfee Virusscan läuft, spiele ich die Extra.dat ein und lasse wiederum einen Scan der Festplatte laufen.

Schließlich und endlich findet Virusscan den „Zbot“ und entfernt ihn.

Und die Moral von der Geschicht

…100% Sicherheit gibt es nicht!

Was man anhand dieses Beispiels eindrucksvoll vor Augen geführt bekommt ist, dass man sich – obwohl eigentlich ein recht guter Schutz besteht –  immer noch etwas „einfangen“ kann.

Mir stellt sich  allerdings die Frage, ob diese drive-by Attacke möglich gewesen wäre, wenn der User NICHT mit Adminrechten gearbeitet hätte.