Systemdateien sind ein beliebtes Angriffsziel für Malware jeglicher Art. Sie werden manipuliert, Schadcode eingeschleust oder sogar gelöscht. Unter Windows XP hieß ein Dienst zum Schutz der Systemdateien Windows File Protection (WFP), ab Windows Vista wurde dieser Dienst durch den Windows Resource Protection (WRP) Dienst ersetzt. Die Aufgabe ist natürlich gleich geblieben. Nutzen wir den Dienst heute mal aktiv.
Das Windows Tool sfc.exe (System File Checker) überprüft kritische Systemdateien auf gefährliche Veränderungen.
Usage: html“>C:\Users\schurigh>sfc /?
Microsoft(R) Windows (R)-Ressourcenüberprüfungsprogramm, Version 6.0 Copyright (C) 2006 Microsoft Corporation. Alle Rechte vorbehalten.
Überprüft alle geschützten Systemdateien und ersetzt falsche Versionen mit Microsoft-Originalversionen.
/SCANNOW Überprüft die Integrität aller geschützter Systemdateien und repariert ggf. Dateien mit Problemen. /VERIFYONLY Überprüft die Integrität aller geschützter Systemdateien. Es erfolgt keine Reparatur. /SCANFILE Überprüft die Integrität der angegebenen Datei, und repariert ggf. die Datei, wenn Probleme gefunden werden. Es muss ein vollständiger Pfad angegeben werden. Pfad /VERIFYFILE Überprüft die Integrität der angegebenen Datei. Es erfolgt keine Reparatur. /OFFBOOTDIR Gibt den Speichort des Offlinestartverzeichnisses für Offlinereparaturen an. /OFFWINDIR Gibt den Speichort des Offline-Windows-Verzeichnisses für Offlinereparaturen an.
Dabei werden alle wichtigen Dateien aus dem Windows Ordner mit ihren originalen Installationsversionen verglichen. Die Wahl der wichtigen Dateien erfolgt per Dateiendung. Mehr dazu auf Wikipedia. Bis Windows Vista wurde dafür noch der Ordner C:\Windows\System32\Dllcache genutzt, der existiert ab Vista nicht mehr. Stattdessen liegen die Sicherungsdateien nun in den Unterordnern bei C:\Windows\winsxs. Über 7.000 Ordner und 30.000 Dateien liegen in diesem Repository und werden abgefragt, wenn sfc.exe die Systemdateien prüft.
Folgende Meldung wird ausgegeben, wenn bei der Überprüfung eine Anomalie festgestellt (yes!, das wollt ich schon immer mal schreiben :D) wird:
Werfen wir einen Blick in diese Logdatei. Sie liegt unter C:\Windows\Logs\CBS\CBS.log Oder lieber doch nicht, denn bei jedem sfc Scan werden über 2.000 Zeilen in die Logdatei geschrieben. Ich konnte dort keine brauchbaren Ansätze finden, die zur Fehlerbehebung dienlich sein können. Also zuerst den Scan mit Reperatur durchlaufen lassen, vorher habe ich ja nur mit /verifyonly gearbeitet.
sfc /scannow
Bei mir kam jetzt die Rückmeldung „[…] beschädigte Dateien wurden gefunden und repariert […]“. Wird jetzt immernoch ein Fehler ausgegeben, dass bei sfc /scannow eine Integritätsverletzung aufgetreten ist, sucht in der CBS.log nach „[SR] Cannot repair member file„, ob sich dort ein Anhaltspunkt finden lässt.
Nun läuft euer System wieder ein Stück weit stabiler. Das Ganze lässt sich natürlich verscripten, mit Tasks planen und regelmäßig durchführen.
Antivirenprogramme… ein Thema wie die Religionen. Es gibt einfach zu viele, keines ist perfekt und jeder hat seinen Favouriten und ist davon überzeugt. Kompliziert.
Ein Kandidat in diesem Duell ist Kaspersky. Ein Produkt für Privatanwender ist Anti-Virus 2011. Ich bekam eine Lizenz gesponsort und habe mich für einen ausführlichen Test bereiterklärt. Zusätzlich dazu habe ich von Kaspersky ein Paket bekommen. Anti-Virus 2011 für 3(!) PCs für 1 Jahr im Wert von 50€. Das Paket gibts natürlich bald zu gewinnen.
Enthalten ist: ein Echtzeitschutz, der im laufenden Betrieb Dateien scannt; ein Web- und Mailschutz, der Links und Downloads auf Webseiten und Emails überprüft. IM- und Anti-Phishing ist ebenfalls mit von der Partie und schützt vor zu vielen russischen ICQ Bots. Notfall-CD, Schwachstellenscan des Systems, Löschen von Spuren, Browseroptimierung (bzgl. Sicherheit), alles mit dabei.
Ich habe das Programm seit einer Woche auf meinem Heimrechner installiert und es jetzt eine Zeit lang beobachtet. Einige Screenshots sollen den visuellen Eindruck vermitteln, dazu jeweils meine Meinung in schriftlicher Form, erst Lob, dann Kritik. Los gehts:
Die Installation geht schnell, nach einer Minute war alles erledigt. Ein Neustart stellt sicher, dass sich das Programm in alle Systemecken und Netzwerkkanten einhaken kann. Nun befindet sich auf meinem Desktop gleich das sogenannte Desktop-Gadget, mit dem ich jederzeit auf 2 wichtige Funktionen (Buttons frei konfigurierbar) und den aktuellen Status zugreifen kann. Die GUI ist ja bekannt, gibt auch den gröbsten Überblick.
Als erstes natürlich updaten. Das Update lässt sich mit einem Klick in der Update-Kategorie starten, wird aber auch täglich durch einen Task gestartet. Beliebig anpassbar natürlich. Läuft ein Update wird das in der GUI angezeigt. Ein Klick auf „Update wird ausgeführt“ zeigt ein kleines Popup mit Updategröße, Übertragungsrate, Quelle, Downloaddetails usw. Hier ein Klick auf „Detaillierter Bericht“ zeigt noch ein weiteres Fenster mit noch mehr Details, alles live. Das kann zum Beispiel bei langsamen Computern oder Internetverbindungen helfen zu erkennen, wo das Update gerade hängt oder ob es noch läuft. Läuft das Update automatisch durch den Task wird standardmäßig nichts angezeigt und man bekommt es gar nicht mit, also Otto-Normal-Verbraucher wird nicht durch Werbung oder Infofenster bombardiert.
Die Tools-Sektion bietet das Erstellen einer Notfall-CD, Löschen von Internetspuren, Browserkonfiguration in Punkto Sicherheit, Systemwiederherstellung und einen Systemschwachstellenscan. Letzterer ist nicht uninteressant. Es dauert 3-6 Minuten, bis das System gescannt ist. Angezeigt werden problematische Einstellungen des Systems, die gerne von Malware benutzt werden, wie z.B. Autostart/wiedergabe von Wechselmedien. Ob man die dort angegebenen Punkte korrigiert ist jedem selbst überlassen. Es soll vor allem darauf hinweisen. Der Karteireiter „Programme mit Schwachstellen“ zeigt Programme, bei denen bekannte Schwachstellen bekannt sind. Bei meinem Beispiel wurde mein veralteter Thunderbird erkannt und darauf hingewiesen, dass ich mit einer neueren Version eine als „hoch gefährlich“ eingestufte Sicherheitslücke schließen kann. Zu allen Schwachstellen gibt es Online Informationen, die beim Informieren und Beheben der Probleme helfen können.
Bei der manuellen Virenprüfung bekommt man viele verschiedene Möglichkeiten, was wie wann wo gescannt werden soll. Das sollte bei einem Anti-Viren Programm aber auch der Fall sein. Es gibt zusätzlich den Scan, der nur „wichtige Bereiche“ scannt. Das dauert nur 20-120 Sekunden (je nachdem ob SSD oder HDD :P) und reicht für den täglichen Sicherheitsbedarf. Dieser Scan wird sogar täglich automatisch gestartet.
Der Webschutz scannt Links auf der gerade besuchten Internetseite. Die Links werden mit einer Kaspersky Datenbank abgeglichen, in der „malicious websites“, also schädliche Webseiten, auf welche Art auch immer, gelistet sind. Das passiert also im Hintergrund und der Benutzer merkt es nicht. Ich habe auch keine Änderungen beim Seitenaufbau, bei Ladezeiten oder dem Surfverhalten allgemein bemerken können. IM (Instant Messaging) und Mail-Antivirus sollte klar sein. Dateisendungen, Anhänge, temporäre Dateien werden. Anti-Phishing wird wahrscheinlich wie der Webschutz über Linkkontrolle laufen, zusätzlich wird bestimmt auch auf Fakezertifikate oder verschleierte Domainnamen/Weiterleitungen getestet. Allerdings kam ich nicht in den Genuss einer Phishingattacke in meiner Testzeit von Anti-Virus 2011. Schade 🙂
Das war bisher ja alles schön und gut, kommen wir zur Kritik. Ich bin normalerweise jemand, der nach der Installation eines Programms zuerst die Einstellungen alle durchgeht und das Programm nach den persönlichen Bedürfnissen anpasst. Bei Kaspersky ist das leichter gesagt als getan. Es stehen schier hunderte Optionen zur Verfügung und diese sind stark verschachtelt. Es gibt in den Einstellungen jeweils 4 Oberkategorien und jede hat bis zu 11 Unterpunkte. In diesen 11 Unterpunkten stehen dann verschiedenste Einstellungen zur Verfügung, fast jede davon hat nochmal jeweils einen „Erweitert“/“Anpassen“ Button. Nach einem Klick darauf öffnen sich dann weitere Einstellungen, teilweise mit noch einem „Erweiter“ Button. Das Konfigurieren des ganzen Anti-Virus 2011 kann sich also gut eine Stunde hinziehen. Hier wünsche ich mir eine stark vereinfachte Einstellungsumgebung, die sich auf Wunsch(!) des Anwenders spezieller einstellen lässt. Z.B. 1(!) Einstellung für alle heuristischen Analysen in allen Anti-Virus 2011 Komponenten. Statt dessen muss man, wenn man die Heuristik flächendeckend ausstellen möchte, sich durch alle Komponenten und Untermenüs der Einstellung durchklicken und überall die Heuristikeinstellung für diesen Part konfigurieren. Genauso mit weiteren Einstellungen, die sich auf alle oder fast alle Komponenten des Systems anwenden lassen, erstmal zusammenfassen und optional dem Anwenden die Möglichkeit geben, das für jede Komponente einzeln einstellen zu können.
Die Heuristik ist nämlich ziemlich nervig, das ist der 2. Punkt. In der Standardeinstellung von Anti-Virus 2011 meckert das System bei vielen recht bekannten Programmen wie Thunderbird, Dropbox, Irfan View oder KMPlayer. Bei jeder Ausführung erscheint ein kleines Pupup unten rechts, dass mich darauf hinweist, dass ein eventuell schädliches Programm ausgeführt wurde. Es wurde zwar automatisch erlaubt aber es stört trotzdem. Man könnte Ausnahmen erstellen, Heuristikeinstellungen anpassen oder einen anderen Weg finden aber grundsätzlich sollten solche bekannten Programme keine Bedrohungen für ein solch modernes Antivirensystem darstellen.
Eine Sache die mir noch sehr komisch vorkommt ist folgende: Unter Einstellungen->Erweiterte Einstellungen->Gefahren und Ausnahmen->[Ausnahmen] Einstellungen->Vertrauenswürdige Programme (jaaa, ungünstige Einstellungsstruktur) steht die Datei svchost.exe, als Ausnahme. Warum muss eine so wichtige Systemdatei in den Ausnahmen eines Antivirenprogramms stehen, und das bei einer Standardinstallation. Was passiert wohl, wenn ich diese Ausnahme lösche? Wird dann mein ganzes System geblockt? Hier stimmt wohl etwas im Hintergrund nicht, dass die Entwickler diese Notlösung einsetzen müssen.
So, grundlegend müssten das die interessantesten Punkte gewesen sein. Ich hoffe, jeder konnte sich eine Übersicht verschaffen. Wer nun Interesse hat schaut auf der Produktseite nach und macht bei meinem Gewinnspiel in naher Zukunft (gegen Ende dieses Monats) mit. 3 PC Lizenzen für 1 Jahr in einer hübschen Box gibt es zu gewinnen.
Ergänzung: Auf Anfrage habe ich noch 3 Performancetests mit und ohne Kaspersky gemacht. Sind jetzt keine empirischen Messwerte, nur falls es jemanden interessiert.
ZIP: 230MB ZIP Datei entpackt mit Kaspersky: 11,0 Sekunden und ohne Kaspersky: 3,65 Sekunden
Kopieren: 1 Datei, 4,34GB mit Kaspersky: 1:02min und ohne Kaspersky: 1:02min 😀 19 Dateien, 1,37GB mit Kaspersky: 18,56s und ohne Kaspersky: 15,45s
Messungen mit Stoppuhr, frag mich nicht warum beim Kopieren einer Datei kein Unterschied ist ^^
Die Systemstabilität kann durch gefährliche, schlecht programmierte oder falsch installierte Treiber stark beeinträchtigt werden. Es ist also durchaus praktisch wenn man die Stabilität von Treibern regelmäßig überprüft.
Die Windows Tools sigverif.exe und driverquery.exe erledigen im Grunde beide diese Aufgabe, haben beide auch ihre Vorzüge.
sigverif.exe ist ein grafischer Assistent, der nach dem Start wichtige Systemdateien (Treiber hauptsächlich) scannt und testet. Die Treiber werden sogar auf eventuelle Gefährung getestet und ggf. angezeigt. Eine Meldung am Ende bestätigt ein problemfreies System. Zudem wurde eine Logdatei geschrieben, die man über „Erweitert -> Protokoll Anzeigen“ anzeigen kann. Die Protokolldatei soll auch unter C:\Windows\sigverif.txt liegen, ich kann sie aber weder dort noch irgendwo anders finden. Wer weiß wo diese Logdatei in Rohform liegt?! Macht mich ganz verrückt, dass ich die nicht finde.
Das Konsolentool driverquery.exe bietet eine ähnliche Funktionalität. Um die Treiber auf digitale Signaturen zu prüfen und anzuzeigen, reicht der Befehlt:
driverquery.exe /si
Jetzt werden alle vorhandenen Treiber gescannt und aufgelistet, zusätzlich wird der Name der .inf Datei, ob sie signiert wurden und der Hersteller angegeben, wenn verfügbar. Die Ausgabe lässt sich auch Remote auf anderen Computern ausführen:
Man könnte also z.B. mit einem Script jeden Rechner des Netzwerks prüfen, die Ausgaben mit >> %computername% in eine Logdatei speichern und somit die Treiberstabilität eines Netzwerks (sehr grob) im Auge behalten.
Sitze ja gerade im Seminar und fasse mich kurz, nur das Gelernt schnell niederschreiben.
In Windows 7 sind alle verfügbaren Treiber, die auch mit Windows schon mitgebracht werden, in einem großen Repository zusammengefercht. Das sogenannte Treiberrepository nimmt neue Treiber auf und beinhaltet bestehende Treiber.
Pfad:
C:\Windows\System32\DriverStore\FileRepository
Hier liegen alle vorhandenen Treiber in je einem Unterordner. In der Windows 7 Rohinstallation dürften zwischen 500 und 550 Treiber zur Verfügung stehen. Dadurch werden z.B. USB Geräte erkannt, obwohl man noch nie einen USB Treiber installiert hatte.
Wenn man über den Hardwaremanager neue Treiber für ein Gerät installiert dann werden die nötigen Dateien für die Geräteverwaltung dort abgelegt. Wie macht das der Treiberinstallations-Assistent? Man gibt den Pfad zu der Treiber .inf Datei an und im Hintergrund startet der Assistent das Tool pnputil.exe mit dem Pfad zu der Treiberdatei.
pnputil.exe Usage:
C:\Users\Hannes>pnputil /?
Microsoft-PnP-Dienstprogramm
Syntax:
------
pnputil.exe [-f | -i] [ -? | -a | -d | -e ]
Beispiele:
pnputil.exe -a a:\usbcam\USBCAM.INF -> Durch USBCAM.INF angegebenes Paket hinzufügen
pnputil.exe -a c:\drivers\*.inf -> Alle Pakete aus "c:\drivers\" hinzufügen
pnputil.exe -i -a a:\usbcam\USBCAM.INF -> Treiberpaket hinzufügen und installieren
pnputil.exe -e -> Alle Drittanbieterpakete auflisten
pnputil.exe -d oem0.inf -> Paket "oem0.inf" löschen
pnputil.exe -f -d oem0.inf -> Löschen von Paket "oem0.inf" erzwingen
pnputil.exe -? -> Dieser Syntaxbildschirm
Es können also neue Treiber installiert werden mit:
pnputil.exe -a \\server\pfad\driver\Kamera.inf
Bei komplexeren Geräten, die ganze Treiberstrukturen benötigen:
pnputil.exe -a \\server\pfad\canon\ir3035dn\*.inf
So werden mehrere .inf Treiber eines Ordners installiert.
Der Assistent der Geräteverwaltung gibt also den durch „Durchsuchen“ ausgewählten Pfad des Benutzers einfach an dieses Tool weiter. Ihn zu verwenden ist aber wahrscheinlich sicherer, da der Assistent weitere Gegebenheiten prüft, wie z.B. 32bit/64bit Treiber, kompatibel, signiert oder nicht etc.
Das Ausführen von CPAU Jobs vom Netzlaufwerk funktioniert aufgrund von simplen Windows Sicherheitsprinzipien nicht. Schließlich hat ein lokales Administratorkonto kein Zugriff auf Netzlaufwerke, die ja einen Domänenaccount benötigen. Also brauche ich ein Workaround, wenn ich automatisierte Softwareinstallationen auf einem UNC Share im Unternehmen bereitstellen will.
Ziel soll es sein, jedem eingeschränkten Nutzer Admin-Softwareinstallationen dank CPAU vom Netzlaufwerk aus bereitzustellen:
So wird es dann aussehen. Der Nutzer bewegt sich auf dem Netzlaufwerk, starte eine Batch und die Installation mit Adminrechten wird gestartet.
Kurz zum Verständnis: Der Aufbau eines cpau Systems (mit Jobs) ist grundsätzlich recht einfach: 1 Batch Script ist für den Benutzer („Userscript“). Bei Doppelklick führt es die gespeicherte Job Datei aus. Die Job Datei führt wiederum ein Login auf das Administratorkonto durch und startet eine Datei oder ein Script („Ziel-Datei/Installer“) mit den entsprechenden Rechten. Für den Benutzer müssen weder Job Datei noch die Ziel-Datei sichtbar sein.
Das Verzeichnis mit den Benutzerscripten und das Verzeichnis mit den Job- und Ziel-Dateien.
Wären Netzlaufwerke erlaubt müsste das Benutzerscript nur 1 Zeile haben: bash“>“\\Server\Pfad\zu\cpau.exe“ -dec -file „\\Server\Pfad\zu\jobfile.job“ -nowarn -lwp
Das geht natürlich nicht. In der Job sind die Administratorcredentials gespeichert, beim Start von cpau wird das working dir auf einen lokalen Pfad gelegt und der Administrator kommt auch nicht mehr an den Server. Es bleibt nur eine Lösung: alles, was benötigt wird, lokal zu kopieren und damit lokal zu arbeiten.
Hier das Userscript: winbatch“ line=“1″> @echo off echo Verzeichnis erstellen und reinigen if not exist c:\temp md c:\temp >> nul del c:\temp /f /s /q >> nul echo Job Files und Ziel-Dateien lokal kopieren copy \\Server\Pfad\zu\den\Installer\und\Jobfiles c:\temp /y >> nul echo Lokale Jobfile ausführen c:\temp\cpau.exe -dec -file „c:\temp\notepad.job“ -nowarn -lwp echo Verzeichnis löschen, 1 Ziel-Datei ist in Benutzung und bleibt übrig del %wdir% /f /s /q >> nul
Das mag jetzt etwas unübersichtlich aussehen, ist aber ein einfaches Prinzip. Es wird ein lokaler Ordner erstellt, falls noch nicht vorhanden. Der Inhalt des Ordners wird gelöscht, falls der Ordner existieren sollte und sich noch Dateien darin befinden. Dann wird der Ordner vom Netzlaufwerk, in dem Installer und Jobfiles liegen in diesen lokalen Ordner kopiert. Die nun lokal liegende Jobfile kann jetzt ausgeführt werden. Danach wird der Ordnerinhalt gelöscht. Fertig. Der Benutzer startet dieses Userscript vom Netzlaufwerk aus und bekommt von der ganzen lokalen Geschichte nichts mit, einige Sekunden später startet einfach die administrative Installation, die das Userscript schließlich ja hervorbringen sollte.
Nun müsst ihr das Jobfile speziell für diesen Fall generieren. Erstellt euch den temporären Ordner, falls noch nicht vorhanden. Pfad und Name genauso wie in dem Userscript benutzt. Kopiert dort den gewünschten Installer oder Ziel-Datei hinein und erstellt die Job File mit folgender Codezeile: cpau.exe -u Administrator -p PaSsWoRt -ex „c:\temp\installer.exe“ -crc „c:\temp\installer.exe“ -enc -file „\\beliebiger\lokaler\oder\serverpfad\installer.job“
Wichtig ist, dass ihr die Jobfile mit den lokalen Pfaden der Ziel-Datei erstellt. Der Installer muss in dem selben lokalen Verzeichnis liegen, wie die Dateien durch das Userscript kopiert werden.
Ich nutze das System, wie man auf den Screenshots oben sieht, bereits produktiv im Unternehmen und es kommt sehr gut bei den Mitarbeitern an. Sollte es über einfache Aufgaben hinausreichen, bietet es sich an, das Script zu verbessern. Hier ist meine Version des Userscripts: winbatch“ line=“1″> @echo off echo Variablen erstellen… set log=\\server\laufwerk\Computer\Software\GPOs_Install\PC-Data\Updatelogs\Programmupdates.txt set wdir=c:\updatetemp set updatedir=\\server\laufwerk\Computer\Software\GPOs_Install\Updates\ set /a loop=0 echo Verzeichnis erstellen, reinigen und kopieren… echo %computername% – %username% – %date% %time% startet Notepad++ Installer >> %log% if not exist %wdir% md %wdir% >> nul del %wdir% /f /s /q >> nul :kopieren set /a loop=%loop%+1 if %loop%==4 goto :Fehler copy „\\server\laufwerk\Computer\Software\cpau.exe“ %wdir% >> nul if errorlevel 1 goto :kopieren copy %updatedir% %wdir% /y >> nul if errorlevel 1 goto :kopieren echo Installation starten… %wdir%\cpau.exe -dec -file „%wdir%\notepad.job“ -nowarn -lwp echo Verzeichnis löschen… del %wdir% /f /s /q >> nul echo %computername% – %username% – %date% %time% beendet Notepad++ Installer >> %log% echo ################ >> %log% goto :eof
:Fehler echo. echo ### Fehler beim Kopieren ### echo Bitte informieren Sie die EDV Abteilung. pause goto :eof
Alle Pfade werden in Variablen gespeichert und erleichtern die Übersicht im Script. Ein Logfile wird beim Start und beim Beenden einer Softwareinstallation (hier im Beispiel Notepad++) beschrieben und ermöglicht mir das (noch relativ grundlegende ^^) Troubleshooting, falls es zu Problemen kommen sollte. Der Kopiervorgang des Installer- und Jobordners wird mit errorlevel überwacht und in einer Schleife wiederholt, sollte er fehlschlagen. Schlägt er zu oft fehl, wird eine Fehlermeldung ausgegeben. Läuft alles gut (das war bis jetzt immer der Fall), so wird die Job gestartet und der lokal liegende Installer mit dem lokalen Administrator ausgeführt.
Was der Benutzer sieht, zeige ich in dem Video ganz oben. Das passiert im Hintergrund:
Der Nachteil wird schnell klar: je mehr Softwareinstallationen ich bereitstelle und je größer die Produkte sind desto länger dauert der Kopiervorgang für jeden Benutzer bei jeder Installation, da immer der ganze Ordner kopiert wird. Das könnte man ganz leicht umgehen, in dem man in jedem Script nur die Dateien kopieren lässt, die auch wirklich benötigt werden, z.B. %programm%.job und %programm%.exe. Sollte ich das demnächst noch so programmieren werdet ihr es erfahren.
Wenn man unter Windows XP Drucker, Druckertreiber und Anschlüsse zentral verwalten wollte hat man die „Servereigenschaften“ des lokalen Druckservers genutzt. Diese waren im Fenster „Drucker und Faxgeräte“ per Rechtsklick auf „Servereigenschaften“ zu erreichen. Diese Druckserververwaltung war besser geeignet als die normale Übersicht des Druckerfensters.
In Windows 7 heißt die Funktion jetzt „Druckverwaltung“ und kann über die Startmenüsuche gefunden werden. Von hier erfolgt die Verwaltung über den lokalen Druckserver.
Eine ähnliche Ansicht kann man öffnen, indem man bei den Druckern einen Drucker anklickt und dann in der Funktionsleiste „Druckerservereigenschaften“ anklickt.
Es kann vorkommen, dass eine Softwareinstallation via GPO nicht so rund läuft und die Software fehlerhaft installiert wird. Die Gruppenrichtlinie sieht die (fehlerhaft) installierte Software und hakt diesen Punkt also ab, die Softwareinstallation bleibt fehlerhaft. Wenn nun auch die manuelle Deinstalltion der Software nichts daran ändert und die Gruppenrichtlinie immernoch nicht die Software neu zuweisen will, muss ein Trick her. Grundsätzlich kann natürlich mein Guide zum Troubleshooten von GPO-/Softwareinstallationsfehlern helfen.
Ich möchte jetzt aber noch einen Trick ergänzen, den ich gestern entdeckt habe.
Grundsätzlich hilft bei diesem Problem (Installation fehlerhaft, Deinstallation wird nicht erkannt) wie erwähnt das Löschen des Registry Keys
und die komplette Gruppenrichtlinie wird erneut angewandt.
Wenn in der Softwareinstallation nun aber 5-10 Programme stehen und dann alle neu installiert werden ist das eine wirklich zeitraubende Lösung. Möglicherweise verlorene Programmfeatures, Updates, Pakete, Einstellungen durch die Neuinstallation sind auch oft ärgerlich. Also wäre es besser nur die Installation zurückzusetzen, die tatsächlich fehlerhaft ist.
Geht in den Group Policy Key (siehe oben), dort in „AppMgmt“ und ihr werdet einige GUID Schlüssel sehen. Jeder Schlüssel representiert eine Softwareinstallation. Klickt eine GUID an und schaut euch den Wert „Deployment Name“ an, dort steht der Softwarename, den ihr in der GPO vergeben habt. Löscht den Schlüssel der fehlerhaften Software und startet den Computer neu.
Die GPO wird jetzt diese Software neu installieren. Gibt es immernoch Probleme dann deinstalliert die Software erneut, löscht alle Spuren (Regcleaner wie CCleaner), löscht den eventuell verbliebenen Installerverweis mit Microsoft Installation CleanUp Utility, löscht nochmal den Registry Key und rebootet nochmal den PC. Spätestens jetzt sollte die Software so korrekt installiert werden. Wenn nicht liegt der Fehler eher woanders 😉
Bis Windows Vista wurde dafür noch der Ordner C:\Windows\System32\Dllcache genutzt, der existiert ab Vista nicht mehr. Stattdessen liegen die Sicherungsdateien nun in den Unterordnern bei C:\Windows\winsxs.
In Windows 7 heißt die Funktion jetzt „Druckverwaltung“ und kann über die Startmenüsuche gefunden werden. Von hier erfolgt die Verwaltung über den lokalen Druckserver.