Smartscreen für Client Login abschalten

Smartscreen für Client Login abschalten

Postby blackerking » 24.08.2015, 13:11

Hallo,

beim Installieren aller Updates auf einen Windows 7 Clienten, hat der Rechner beim Neustart gefragt ob ich den Start der CMD(oder war es eine BAT?!?)-Datei zulassen möchte.
Wenn ich automatische Neustarts aktiviere und nicht am Rechner sitzen kann, werden deswegen keine weiteren Updates installiert.
Bitte verseht den Benutzer der dafür erstellt wird, bitte mit den Rechten ohne Smartscreen arbeiten zu dürfen.

Vielen Dank im Vorraus.


blackerking
blackerking
 

Re: Smartscreen für Client Login abschalten

Postby aker » 24.08.2015, 22:20

Kurzer Test:
Gehen Sie in den Ordner .\client\cmd und sehen sich die Eigenschaften der Datei "CleanupRecall.cmd" an. Steht dort etwas von "Diese Datei kann Schaden [...] anrichten." mit einem Zulassen-Button ganz unten?

Viele Grüße
Wer Rechtschreibfehler findet, darf sie behalten oder an den Meistbietenden versteigern. / Everybody finding a misspelling is allowed to keep or sell it.
aker

WSUS Offline Update „Community Edition“
https://gitlab.com/wsusoffline/wsusoffline/-/releases
aker
 
Posts: 3999
Joined: 02.03.2011, 15:32

Re: Smartscreen für Client Login abschalten

Postby blackerking » 25.08.2015, 13:22

Ja, diese Datei muss erst mit einen Haken bei "Zulassen" erlaubt werden.
blackerking
 

Re: Smartscreen für Client Login abschalten

Postby aker » 25.08.2015, 13:55

Dann bitte eine Eingabeaufforderung öffnen und folgende Befehle eingeben:
Code: Select all
cd /d "<Ihr wsusou Verzeichnis">
.\bin\streams.exe -d -s .

Bitte einmal gegenprüfen, ob diese Meldung nun entfernt ist. Wenn ja ist das Problem gelöst.
Sonst vor dem Download von wsusou, den Zulassen-Butten in den Eigenschaften des ZIP-Archives anklicken, bevor Sie es entpacken.

@WSUSUpdateAdmin
Könnte die DownloadUpdates.cmd nicht bei existierendem ZoneIdentifier diesen automatisch löschen?

Viele Grüße
Wer Rechtschreibfehler findet, darf sie behalten oder an den Meistbietenden versteigern. / Everybody finding a misspelling is allowed to keep or sell it.
aker

WSUS Offline Update „Community Edition“
https://gitlab.com/wsusoffline/wsusoffline/-/releases
aker
 
Posts: 3999
Joined: 02.03.2011, 15:32

Re: Smartscreen für Client Login abschalten

Postby WSUSUpdateAdmin » 03.09.2015, 13:31

Moin!

aker wrote:Könnte die DownloadUpdates.cmd nicht bei existierendem ZoneIdentifier diesen automatisch löschen?


Letztlich stört der "zone identifier" im Verzeichnis %SystemRoot%\Temp\WOURecall, von wo die Batches ja beim "recall" aufgerufen werden (vgl. PrepareRecall.cmd Zeile 59).
Dabei werden sie vom WOU-Installationsmedium dorthin kopiert, also zu einem Zeitpunkt, zu dem der Download-Teil mit "streams.exe" möglicherweise gar nicht mehr verfügbar ist.

Um beurteilen zu können, ob eine Umstellung/Änderung hier sinnvoll oder notwendig ist, wüsste ich zunächst einmal gern, wo bzw. wie die WOU-Batches sich denn in diesem Szenario den "zone identifier" eingefangen haben, denn ausgeliefert wird das Release-Archiv bzw. dessen Inhalt ohne die "zone identifier".

Also: Ist das ein Einzelfall-Problem (wild übers Netz kopiert, einzelne Datei manuell von http://trac.wsusoffline.net/browser/trunk nachgeladen o.ä.) oder ein generelles (, das bisher noch niemandem aufgefallen ist)?

Gruß
Torsten
WSUSUpdateAdmin
Administrator
 
Posts: 2245
Joined: 07.07.2009, 14:38

Re: Smartscreen für Client Login abschalten

Postby boco » 03.09.2015, 15:29

Soweit ich weiß, werden die ZoneIDs 'vererbt' wenn die ZIP (mit ZoneID) entpackt wird (möglicherweise nur für das Windows-eigene 'ZIP-Ordner' Feature). Das erklärt allerdings nicht die Ereignisse auf dem Zielsystem, da die Installationsdatenträger ja keine Alternate Streams unterstützen.

Möglich wären:
- Es wurde ein NTFS-formatiertes USB-Medium benutzt, oder
- hohe Sicherheitseinstellung auf dem Zielsystem schreiben neue ZoneIDs (meistens bei Servern).

Sollte jemand ein konkretes Szenario kennen, bitte vortreten.
Microsoft update catalog: http://catalog.update.microsoft.com/v7/site/
Windows Install media download: https://support.microsoft.com/en-us/help/15088/windows-create-installation-media
boco
 
Posts: 2391
Joined: 24.11.2009, 17:00
Location: Germany

Re: Smartscreen für Client Login abschalten

Postby aker » 03.09.2015, 22:17

Die Identifier werden aus ZIPs vererbt, sofern der Windows Explorer zum Entpacken verwendet wird (bei Drittanbiereprogrammen weiß ich es nicht, 7-Zip vererbt ihn nicht). Ob dies mit der Internetsicherheitsrichtlinie zusammenhängt, weiß ich jetzt zumindest nicht auswendig. Dieses Verhalten konnte ich schon unter Windows XP, 8.1 x64 und diversen Windows 7 Versionen (x86 und x64) mit Default-Einstellungen beobachten.

Viele Grüße
Wer Rechtschreibfehler findet, darf sie behalten oder an den Meistbietenden versteigern. / Everybody finding a misspelling is allowed to keep or sell it.
aker

WSUS Offline Update „Community Edition“
https://gitlab.com/wsusoffline/wsusoffline/-/releases
aker
 
Posts: 3999
Joined: 02.03.2011, 15:32

Re: Smartscreen für Client Login abschalten

Postby WSUSUpdateAdmin » 04.09.2015, 13:59

Moin!

:arrow: http://trac.wsusoffline.net/browser/trunk (r687): '- DownloadUpdates.cmd script will now delete NTFS alternate data streams from new or updated script files (Thanks to "blackerking", "boco" and "aker")'

Danke, Gruß & ein schönes Wochenende,
Torsten
WSUSUpdateAdmin
Administrator
 
Posts: 2245
Joined: 07.07.2009, 14:38

Re: Smartscreen für Client Login abschalten

Postby aker » 10.09.2015, 22:02

Beim Durchsehen der Änderungen aus r687 fiel mir gerade auf, dass der Code zur Entfernung der Streams (":ZoneIdentifier") nach Erst-Entpacken gar nicht aufgerufen/ausgeführt wird, weil die streams.exe nicht existiert.
Ausschnitt aus der DoUpdate.cmd:
Code: Select all
if exist UpdateOU.new ( *** nur nach Download bzw. Update ***
  [...]
  if exist ..\bin\streams.exe ( *** da bei Erst-Entpacken die streams.exe nicht vorhanden ist: nur noch nach Update ***
    ..\bin\streams.exe /accepteula ..\*.* >nul 2>&1
    [...]
  ) else (
    echo Warning: Sysinternals' NTFS alternate data stream handling tool ..\bin\streams.exe not found.
    echo %DATE% %TIME% - Warning: Sysinternals' NTFS alternate data stream handling tool ..\bin\streams.exe not found>>%DOWNLOAD_LOGFILE%
  )
)


M.E. ist aber die Erst-"Installation" eine der Hauptursachen für den Zone-Identifier. Bei einem Selbst-Update mittels unzip.exe tritt dies in Standard-Konfiguration con Windows tritt dies nämlich nicht auf. Somit sollte der Fall "Erst-Installation" auch mit abgedeckt werden (Stream-Cleanup nach hinten verschieben bzw. streams.exe vorher downloaden).

Viele Grüße
Wer Rechtschreibfehler findet, darf sie behalten oder an den Meistbietenden versteigern. / Everybody finding a misspelling is allowed to keep or sell it.
aker

WSUS Offline Update „Community Edition“
https://gitlab.com/wsusoffline/wsusoffline/-/releases
aker
 
Posts: 3999
Joined: 02.03.2011, 15:32

Re: Smartscreen für Client Login abschalten

Postby WSUSUpdateAdmin » 11.09.2015, 13:08

Moin!

Richtig, :arrow: http://download.wsusoffline.net/wsusoffline1002.zip.

Danke, Gruß & ein schönes Wochenende,
Torsten
WSUSUpdateAdmin
Administrator
 
Posts: 2245
Joined: 07.07.2009, 14:38


Return to Anregungen / Suggestions

Who is online

Users browsing this forum: No registered users and 37 guests