Archiv der Kategorie: Allgemein

Programme als angmeldeter User starten: RUNASINVOKER

Um ein Programm – das normalerweise die UAC-Anmeldung benötigt (UAC = User Account Control) – eben ohne die UAC-Eingaben starten zu können, kann vor Start in der cmd bzw. in einem Batch-Skript die Umgebungsvariable __COMPAT_LAYER gesetzt werden. Also:

set __compat_layer=RUNASINVOKER

Somit stehen zwar die systemnahmen Funktionen nicht zur Verfügung und die Software startet mit Benutzerrechten aber zumindest sind ggf. minimale Funktionalitäten vorhanden.

Fehler: „Es konnte keine Verbindung mit einem Active Directory-Domänencontroller …“

Heute bekam ich diesen Fehler „Es konnte keine Verbindung mit einem Active Directory-Domänencontroller xy hergestellt werden.“ Weiter gab Windows 10 pro an, ich solle den DNS zu prüfen. Der 2019er Server wurde mit VirtualBox installiert. Danach die AD- sowie die DNS-Dienste nachkonfiguriert. Zum Schluß hin habe ich noch den Server als DC organisiert.

Im zweiten Schritt wollte ich einen ebenso virtuellen Windows 10 pro-PC in die Domäne einfügen. Aber SOFORT kam die Meldung, dass keine Verbindung mit dem AD-DC aufgenommen werdne kann.

Der nslookup auf dem Server auf die eigene Adresse: unknown. Hm. OK. Da passte möglicherweise etwas mit den Adaptern oder mit dem DNS-Server nicht. Ich deaktivierte bei Client und Server die IPv6-Adapter… funktionierte noch immer nicht. Ein Ping fand das Ziel.

Danach deaktivierte ich im Gerätemanager den WAN Miniport (IPv6). Das war für dieses Problem die Lösung. Ohne Neustart beider Maschinen konnte ich sofort den Client in die Domäne aufnehmen.

Falls dies das Problem nicht löst, wäre es noch möglich, dass die Netzwerkeinstellungen im Client nicht zutreffend sind (IP-Adressen prüfen!). Zudem sollten auch die Netzwerkeinstellungen in den VirtualBox-Settings übereinstimmen, v.a. in den Netzwerkeinstellungen (Internes Netzwerk? NAT?) sowie dem Netzwerknamen falls die Maschinen in einem internen Netzwerkverbund arbeiten sollen.

Error 0xc004f050 at upgrade windows 11 home to pro

Maybe you will get an error like this during upgrade windows 11 home to pro in the activation settings: … blabla the product key is not valid, check the key and try again blabla… error: 0xc004f050.

In german: Der eingegebene Product Key funktioniert nicht. Überprüfen Sie den Product Key, und versuchen Sie es noch einmal, oder geben Sie einen anderen Product Key ein. (0xc004f050)

so this link worked for me: Windows 11 Pro Upgrade Failed Error Code:0xc004f050 – Microsoft Community

In the second option, the author said: plug off the network or deactivate the wireless, then type in the upgrade/activation field a generic (a temp. always working) key: VK7JG-NPHTM-C97JM-9MPGT-3V66T.

Then do a restart with unplugged cable or wireless. Then type in the new windows 11 pro key, plug in the cable and try to activate the stuff.

Worked for me.

The message in german:

BITLOCKER: Key nachträglich auslesen

Wurde mit Windows ein Laufwerk mit der Software Bitlocker verschlüsselt (kommt mit Windows pro-Versionen daher), dann kann nachträglich der Key ausgelesen werden.

Dazu sind zwei Voraussetzungen notwendig: 1.) eine Anmeldung am System muss möglich sein und 2.) der angemeldete Benutzer muss administrative Rechte besitzen (also Mitglied der Gruppe Administratoren sein) bzw. das Kennwort für das Admin-Konto muss bekannt sein. Zudem wäre es gut, wenn der Rechner offline ist und gegen Schädlinge geprüft wurde. Diese könnten – auf dem lokalen System installiert – die Ausgabe des geheimen Schlüssels mitlesen.

Es kann über CMD.EXE eine Konsole erstellt werden. Wichtig: Als Administrator ausführen. Danach reicht folgender Befehl:

manage-bde -protectors -get C:

Und damit wird der Key als Kennwort am Bildschirm angezeigt. Dieser darf nicht auf dem lokalen Computer als Datei abgelegt werden. Die sicherste Methode ist: Pen & Paper und das 42-stellige Kennwort abschreiben und gut aufbewahren.

Mehr zu Bitlocker-Device-Encryption (BDE) erfahren Sie beim Hersteller: https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/manage-bde-protectors

Fujitsu-Laptop: kein zugang BOOT-Menü oder BIOS mögLICH

Heute passiert. An einem Fujitsu Lifebook E751 – zugegeben: etwas älter – musste ich ins Boot-Menü oder BIOS einsteigen. Keine Change. Weder F12 noch F2 funkionierten. Seltsam: auch der Hinweis, während des Bootvorgangs über die Option F12 oder F2 ins Boot-Menü bzw. BIOS zu gelangen, fehlte schlicht.

Der Rechner bootete stets das installierte Windows.

Ein zufälliger Fund im Netz schaffte Abhilfe. Die Festplatte wollte ausgebaut werden. Danach wurden zwei, drei Starts ohne Platte notwendig und plötzlich erschien das Label am unteren Bildschirmrand wieder.

Dann: Platte wieder eingebaut und alles funktionierte wieder „normal“.

GIMP: Bereiche selektiv aufhellen

Möchte man in Bildern einzelne Bereiche selektiv aufhellen, die während des Fotografierens zu dunkel geworden sind, so kann man das mit einem Ebenenduplikat und einer Ebenenmaske erledigen.

So könnte man vorgehen: Bild zunächst in GIMP öffnen. In den Ebenen erstellt man im Anschluß eine Ebenenkopie (Rechte Maustaste auf die Ebene, dann „Ebene duplizieren“) .

In der neu erstellten Ebene kann z.B mit Menüpunkt Farben, Werte der Quellwert mit dem Schieberegler generell aufgehellt oder abgedunkelt werden, auch andere Manipulationen sind möglich: Kontrastwerte usw. Aber Achtung: das darunterliegende Bild bleibt „dunkel“, nur die aktuelle Ebene wird aufgehellt bzw. manipuliert.

Danach fügt man zu der neu erstellten Ebene eine Ebenenmaske hinzu mit Rechte Maustaste auf die neue Ebene, „Ebenenmaske hinzufügen…“

Man kann sich das so vorstelen, dass nun in der Ebenemaske durch Wegnehmen der Bildelemente der aktuellen Ebene, die untere, dunklere Ebene (langsam nach und nach je nach Werkzeugparameter) zum Vorschein kommt.

Also los: Pinsel verwenden, Pinsel zum Testen sehr groß anlegen, wenig Druckkraft, und wenig Härte. Dann im Bild um die aufgehellte Stelle herum das Werkzeug anwenden: dieser Teil wird abgedunkelt, der vorher dunkle und jetzt hellere Bereich inaktiv angepasst.

Fertig.

In der Ebenenmaske wird das Bild der Ebene mit Werkzeugen entfernt und das darunterliegende Bild – das ursprünglich dunkler war – kommt zum Vorschein.

Umzug Elster-Signaturkarte zu Sicherheitsstick

Nachdem die Zertifikate auf der Signaturkarte von D-Trust nach mehrmaligen Verlängerungen und einer Restlaufzeit von 3 Monaten bald nicht mehr gültig sein werden, wurde der Einsatz eines Sicherheitssticks geplant, der ähnlich wie ein USB-Stick über den USB-Port betrieben werden kann und zu Elster kompatibel ist.

Alternativ gibt es die Möglichkeit der Verwendung einer Signaturdatei: diese empfehle ich nicht, da die Datei vermutlich permanent auf dem PC liegt, was sicherheitstechnisch nicht vertretbar ist.

Wichtig: Vor Ablauf des Karten-Zertifikates muss der Umzug zum Sicherheitsstick stattfinden.

Den Sicherheitsstick bekommt man von Reiner SCT über den Webshop zum Preis von 54 Euro inkl. Versand (Stand 01/22). Dieser nennt sich Starsign Crypto USB Token S. In der beiliegenden Anleitung wird darauf hingewiesen, dass die neuste Version des Elster Authenticators auf dem Arbeitsgerät installiert sein muss. Zudem muss über einen Link eine Datei heruntergeladen werden, die einen Registry-Eintrag für einen neuen Crpytoprovider „Giesecke & Devrient SmartCafe 7.0“ veranlasst. Grob in HKLM\Software\Microsoft\Cryptographie\Calais\SmartCards…

Für die Umstellung von Karte auf Stick sollte man sich ca. 1 Stunde Zeit nehmen. Erforderlich sind der Stick, die bisherige Karte (die noch gültig sein muss). Die Schritte sind wie folgt zu gehen, bitte verzeihen Sie nicht 100% korrekte Benennungen oder Labels.

A) Wechsel beantragen: Man loggt sich in Elster ein, dann (Stand 01/22) Menüpunkt „Mein Benutzerkonto“ und „Zertifikatswechsel“. Im Anschluss im Menü: „Wechsel von Signaturkarte zu Sicherheitsstick“. Danach wird eine Übersicht angezeigt, die den Unterschied von Alt (Karte) zu Neu (Stick) zeigt. Eine Abfrage des Steuerkontos, was überwiegend für Steuerberater praktisch sein sollte, ist nicht mehr möglich. Mit Button „Weiter“ gelangt man zu allgemeinen Informationen: Der Wechsel ist nur möglich, wenn keine aktuellen Aufträge vorliegen und wenn ein mit Elster kompatibler Sicherheitsstick aktiviert wird. Im Anschluss gibt es eine Überraschung: Ein Hinweis lautet, das die Aktivierungs-ID per Email kommt und der Aktivierungscode als Nachricht in den eigenen Elster-Posteingang eingehen sollte. Keine 2 Minuten später hatten wir die Daten! Im Nachhinein war hier nochmals die Karte erforderlich: es muss der Kartenleser mit Signaturkarte und konfiguriertem Authenticator zusammenarbeiten. Sonst ist die Beantragung des neuen Zertifikates nicht möglich und: es könnte jeder kommen ;-).

B) Wechsel vollziehen: Zunächst Ausloggen und den Sicherheitsstick mit dem Computer verbinden, dann im Authenticator von Karte zu Token wechseln und Speichern. Danach Elster besuchen und im öffentlichen Bereich: „Mein Benutzerkonto“ wählen.

Jetzt (01/22) gab es eine unrichtige Anweisung: im Browserfenster auf der Elster-Seite gab es die Anweisung, die Signaturkarte einzustecken und diese dann im Anschluss erkennen zu lassen: das war nicht korrekt. An dieser Stelle wurde eigentlich der Stickt verlangt (haben wir oben bereits im Authenticator aktiviert).

Dann galt die Wahl „Wechsel von Signaturkarte zu Sicherheitsstick“ im Menü (man ist noch nicht angemeldet, das erfolgt später während des Wechsels). Es kommt der Hinweis, dass die Aktivierungsdaten erforderlich sind. Die Prüfung der Systemvoraussetzungen direkt danach: Prüfung war erfolgreich (vermutlich fand die Prüfung von Elster Authenticator statt). Dann muss gewählt werden: „Aktivierung und erstmaliges Login mit neuem Zertifikat“. Nach wenigen Sekunden erscheint im Authenticator die Eingabemöglichkeit von Aktivierungscode- und ID (beides aus den Emails von Elster bzw. aus dem Elster-Postfach entnehmen) sowie ein Kennwort (nur 6 Zeichen: Alphanumerisch, Sonderzeichen: für Tooltip mit der Maus über dem Textfenster bleiben).

Jetzt gab es einen weiteren Stolperstein: im Hintergrund öffnete sich ein Fenster mit der PUK des USB-Sticks! Dieses kann man leicht übersehen. Übersieht man das Fenster, erfolgt im Authenticator ein Timeout. Verwirrend! Der PUK muss unbedingt sicher (nicht auf dem PC) verwahrt werden. Danach Klick auf Button „Beantragen“ und der Wechsel startet und dauert ca. 20 Sekunden.

C) Test: in Elster bitte abmelden. Den Stick mit PC verbunden lassen. Dann Browser schließen, wieder öffnen und Elster.de aufsuchen. Danach „Login“ wählen und aus der Symbolleiste den Sicherheitsstick wählen. Das Kennwort wird verlangt, anmelden, fertig. Login: erfolgreich!

Nach Jahren Aktionen mit der Karte – faktisch ging es nie ohne Probleme – war der Umzug von Karte auf Stick erfolgreich und es herrscht Zuversicht, dass die nächste Steuererklärung online ohne Schwierigkeiten erfolgen kann.

CUSTOM BINARY BLOCKED BY FRP LOCK

Some days ago, i got these message during a recovery session at a Samsung Galaxy Tab A6 (SM-T580):

CUSTOM BINARY (RECOVERY) BLOCKED BY FRP LOCK. The message appeared at Download Mode. FRP means Factory Reset Protection. Please read more backgrounds about this protection utility at samsungs homepage. The background of this blog is how to secure the private data.

There is a possibility to hold the private data on the device if you download the original stock image from a samsung server and transfer it with odin to the device. Please pay attention to choose at the CSC-Option the CSC-HOME-Image. The different between CSC and CSC_HOME is that using CSC_HOME means saving private data from reset-function, it will not be overwritten. You will not loose private data if you use the CSC_HOME-Image.

Another important thing: leaving the CSC-Field blank means resetting the private space; If you mean leaving the CSC-Field blank will ignoring the private space will reset the whole data. Its very important please read the manual bevor wiping data.

Bitlocker: „Die Anzahl der zulässigen Versuche ist beschränkt“

Vor einiger Zeit bin ich auf diesen Fehler bei der Eingabe der Pre-Boot-Authentifizierung eines Laptops gestoßen: „Die Anzahl der zulässigen Versuche ist beschränkt“. Nur der Wiederherstellungsschlüssel für die Bitlocker-Laufwerksverschlüsselung half weiter.

Nach weiteren Recherchen im Netz bin ich auf diese Seite gestoßen: https://technet.microsoft.com/de-de/library/dd851452(v=ws.11).aspx

Bei „Understanding TPM Protection Mechanism“ schreibt Microsoft, dass „… Some TPM chips may not store failed attempts over time. Other TPM chips may store every failed attempt indefinitely…“

Es hängt also von den TPM-Modulen ab, die sich die fehlerhaften Anmeldeversuche merken, oder eben nicht. Hier: Fujitsu Lifebook E-Klasse aus ca. 2016, TPM-Hersteller IFX, Herstellerversion 5.51.2098.2, Spezifikation 2.0.

Nicht glaubhaft verifizierte Aussagen im Netz sagten, dass 32 fehlerhafte Anmeldeversuche über die gesamte Lebensdauer obige Meldung erscheinen lassen. Dabei habe ich die Platte entschlüsselt, verschlüsselt, mittlerweile das aktuelle Halbjahresupdate installiert (21H2)… es half nichts: nach einen oder zwei fehlerfreien Anmeldungen der bereits neu verschlüsselten SSD-Platte: obige Meldung.

Microsoft schreibt weiter in diesem Artikel: bitte TPM zurücksetzen.

Achtung: Sichern Sie alle Daten auf dem betroffenen Laufwerk vorab; ich übernehme keine Haftung für entstandene Schäden.

Also los, Start von tmp.msc, dann rechts bei „Aktionen“ TMP löschen; es wird ein Neustart durchgeführt. TPM meldete sich mit einem Wizzard in der Pre-Boot-Phase: „PHYSICAL PRESENCE SCREEN. TPM configuration change was requested to State: Clear. WARNING!!! Clearing erases information stored on the TPM. You will lose all created keys and access to data encrypted by these keys.“ Wizzard bietet YES oder NO an. Ich mache dann YES. Es wird ein nochmaligr Neustart durchgeführt und erstmalig Windows ohne weiteres Zutun angemeldet. Ich unternehme einen nochmaligen Neustart; die Eingabemaske erscheint wieder wie gewphnt.

TPM speichert für die Verschlüsselung mit Bitlocker keine relevanten Daten für die Entschlüsselung. TPM verwirbelt vielmehr mit Algorithmen die zu verschlüsselnden Daten weiter.

Mehrere bewusste Falscheingaben in der Pre-Boot-Phase und diverse Neustarts konnten den Fehler nicht mehr reproduzieren. Bisher hat der Reset des Zählers funktioniert.

Mit diskpart partitionen löschen, TEIL 2

Wir haben bereits vor einiger Zeit den DISKPART besprochen. Damit können Partitionen manuell über die Kommandozeile gelöscht werden.

Datenträger, die ursprünglich als Bootlaufwerk dienten – wie z.B. USB-Sticks mit Live-Betriebssystemen – schreibgeschützte Partitionen beinhalten.

Dafür bekommen wir dann von DISKPART die Meldung nach der Ausführung des Befehls: list disk – dann – select disk y (wobei y die Nummer des Datenträgers) – dann – list partition – dann – select partition x (wobei x aus der Liste entnommen wird) – dann – delete partition :

Eine geschützte Partition kann nicht ohne festgelegten Fore Protected-Parameter gelöscht werden.

Lösung: help delete partition und wir sehen, dass der OVERRIDE ein Löschen unabhängig von deren Typ umsetzen kann, also: delete partition override

Somit kann die Partition gelöscht werden. Have a nice day!