06. Mai 2010 · Kommentieren · Kategorien: Windows 7

Für eine Vortrag wollte ich ganz gern die Vorschläge der “häufigen Verwendung” leeren. Nicht jeder Vortragsteilnehmer muss wissen, welche Webseiten ich besuche oder welche Musik ich höre. Leider gibt es keine Funktion wie “Taskleiste leeren”, aber trotzdem kann man die Daten entfernen.

Wenn man die “Eigenschaften von Taskleiste und Startmenü” öffnet kann man unter dem zweiten Reiter “Startmenü” den Haken für “Zuletzt geöffnete Elemente im Startmenü und in der Taskleiste speichern und anzeigen” entfernen. Dieses muss mit “Übernehmen” bestätigt werden.

Nach dem man den Haken dann wieder gesetzt hat, steht die Funktion wieder zur Verfügung, allerdings ohne die ungewollten Elemente.

05. Mai 2010 · Kommentieren · Kategorien: Windows 7

Ich musste heute Gruppenrichtlinie für Windows 7 von einem deutschen auf ein englisches System übernehmen. Dabei musste ich auch eine Richtlinie für das „Wartungscenter“ implementieren.

Dabei viel mir auf, dass unter dem Punkt „User Configuration\Administrative Templates\Start Menu and Taskbar“ sehr viele „Prevent“- und „Remove“-Einträge zu finden sind.

Nun fehlte mir die englische Übersetzung für das „Wartungscenter“. Die üblichen Übersetzungstools brachten mich leider nicht wirklich weiter.

Die Bezeichnung heißt

Action Center

Mit diesem Skript werden die Werte aus der Bitlocker- & TPM-WMI-Ermittlung in die Registry abgelegt:

'Abfrage TPM-Chip
Set wmi1 = GetObject("winmgmts:{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!root\cimv2\Security\MicrosoftTPM")
set TPM = wmi1.ExecQuery("SELECT * FROM Win32_Tpm")
Set TPM_Import = TPM.ItemIndex(0)
Set WshShell = WScript.CreateObject("WScript.Shell")
WshShell.RegWrite "HKLM\Software\Bitlocker\TPM-Spezifikation", TPM_Import.SpecVersion
 
Dim TPM_INIT
TPM_INIT = TPM_Import.IsEnabled_InitialValue
If TPM_INIT = "Wahr" Then WshShell.RegWrite "HKLM\Software\Bitlocker\TPM-Initialisierung", "1"
If TPM_INIT = "Falsch" Then WshShell.RegWrite "HKLM\Software\Bitlocker\TPM-Initialisierung", "0"
 
Dim TPM_OWN
TPM_OWN = TPM_Import.IsOwned_InitialValue
If TPM_OWN = "Wahr" Then WshShell.RegWrite "HKLM\Software\Bitlocker\TPM-Besitzer", "1"
If TPM_OWN = "Falsch" Then WshShell.RegWrite "HKLM\Software\Bitlocker\TPM-Besitzer", "0"
 
'Abfrage Verschlüsselungsmedium
Set wmi2 = GetObject("winmgmts:{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!root\cimv2\Security\MicrosoftVolumeEncryption")
set VOL = wmi2.ExecQuery("SELECT * FROM Win32_EncryptableVolume Where DriveLetter = "C:"")
Set VOL_Import = VOL.ItemIndex(0)
Set WshShell = WScript.CreateObject("WScript.Shell")
WshShell.RegWrite "HKLM\Software\Bitlocker\Bitlocker-Partition", VOL_Import.DriveLetter
WshShell.RegWrite "HKLM\Software\Bitlocker\Bitlocker-Aktivierung", VOL_Import.ProtectionStatus

Das das Ausführen nur mit administrativen Rechten möglich ist, sollte aus den beiden vorgehenden Artikel bekannt sein.
Desweiteren habe ich die Werte der Laufwerksverschlüsselung auf die Festplatte C eingeschränkt. Wenn jemand mit mehr Partitionen arbeitet, müssen weitere Werte abgefragt und gespeichert werden.

Nach einer Neuinstallation habe ich durch die Nutzung einer Smartcard  für einen VPN-Zugriff unter dem XP-Mode bei meinem Live-System Windows 7 ein „Unbekanntes Gerät“ im „Geräte-Manager“.

Dieses habe ich durch die Deaktivierung des „Smartcard-Plug & Play Dienst“ beseitigen können. Um dieses zu realisieren gibt es mehrere Wege:

a) Deaktivierung durch Gruppenrichlinie:

Unter Computerkonfiguation\Administrative Vorlagen\Windows-Komponenten\Smartcard muss der Smartcard-Plug & Play Dienst auf „Deaktiviert“ gesetzt werden

b) Deaktivierung durch die Registry für 32- und 64-Bit-System

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScPnP] "EnableScPnP"=dword:00000000

Für ein 64-Bit-System muss ein weiterer Registry-Key hinzugefügt werden:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\ScPnP] "EnableScPnP"=dword:00000000

Somit wird die Smartcard nicht immer wieder neu erkannt, aber ich kann Sie im XP Mode weiterhin nutzen, um meinen VPN-Zugriff zu erhalten.

Um die Werte weiterverarbeiten zu können, habe ich mir ein VBS-Skript erstellt, dass ich euch gerne auch zu Verfügung stellen möchte.

' TPM auslesen
Set wmi1 = GetObject("winmgmts:{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!root\cimv2\Security\MicrosoftTPM")
set TPM = wmi1.ExecQuery("SELECT * FROM Win32_Tpm")
Set TPM_Import = TPM.ItemIndex(0)
Msgbox "TPM-Spezifikation: " & TPM_Import.SpecVersion
Msgbox "TPM-Chip initialisiert: " & TPM_Import.IsEnabled_InitialValue
Msgbox "TPM-Owner-Kennwort gesetzt: " & TPM_Import.IsOwned_InitialValue

' Bitlocker auslesen
Set wmi2 = GetObject("winmgmts:{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!root\cimv2\Security\MicrosoftVolumeEncryption")
set VOL = wmi2.ExecQuery("SELECT * FROM Win32_EncryptableVolume")
Set VOL_Import = VOL.ItemIndex(0)
Msgbox "Partition: " & VOL_Import.DriveLetter
Msgbox "Verschlüsselung aktiviert: " & VOL_Import.ProtectionStatus

Diese muss wie bereits im vorherigen Artikel beschrieben mit administrativen Rechten ausgeführt werden.

Aus dienstlichen Gründen beschäftige ich mich derzeit sehr viel mit dem Thema Bitlocker und plane dort einen Rollout. Nun müssen gewisse Grundwerte bekannt sein, um ein solches Rollout starten zu können.

Als Voraussetzungen soll bei dem Rollout der TPM-Chip genutzt werden. Entsprechend benötigt dieser die Spezifikation von mindestens 1.2. Dieses lässt sich aus einem WMI-Wert ermitteln:

Abfragepfad: Root\CIMV2\Security\MicrosoftTpm
Abfrage: select * from Win32_Tpm
Eigenschaft: SpecVersion

Desweiteren können weitere Werte ermittelt werden:

  • Wurde der TPM-Chip bereits initialisiert?
    Eigenschaft: IsEnabled_InitialValue
  • Wurde bereits ein TPM-Benutzerpasswort gesetzt?
    Eigenschaft: IsOwned_InitialValue

Wenn die Werte nicht verfügbar sind ist entweder kein TPM-Chip vorhanden oder dieser wurde deaktiviert.

Desweiteren lässt sich auch Abfragen, ob eine Festplatte verschlüsselt ist. Dazu muss allerdings in einen anderen Kontext gewechselt werden:

Abfragepfad: Root\CIMV2\Security\MicrosoftVolumeEncryption
Abfrage: select * from Win32_EncryptableVolume

  • Wie heißt der Laufwerksbuchstabe der Partition:
    Eigenschaft: DriveLetter
  • Ist die Partition verschlüsselt ?!
    Eigenschaft: ProtectionStatus

Diese Werte können allerdings nur als Administrator ermittelt werden, da man mit Standard-Benutzerrechten leider nicht diese Werte erreichen kann und ein „Zugriff verweigert“ erhält.

Ich nutze als Supporter gerne die Tools, die mir ein Hersteller zur Verfügung stellt.
Um Bildschirm-Ausschnitte als Snapshot zu speichern, nutze ich unter Windows 7 gerne das Snipping-Tool.

In der Anfangsphase hatte ich allerdings beim „Aufnehmen“ von Kontextmenüs häufiger das Problem, dass mir diese beim Klicken auf den Button „Neu“ zu gingen. Dieses lässt sich allerdings durch eine Tastenkombination umgehen:

STRG + DRUCK

Entsprechend wird direkt beim geöffneten Tool, welches ich im Autostart abgelegt habe, direkt der Ausschneide-Bildschirm angeboten und auch das aufgeklappte Kontextmenü bleibt in diesem Zustand.