Unsere Schulrechner plaudern ausgiebig mit "Akamai"
Hallo in die Runde!
wir haben über einen Wireshark-Portmitschnitt festgestellt, dass unsere neuen Windows10-Rechner ausgiebig mit einem Server namens a122.dscg3.akamai.net plaudern und damit fast die gesamte Internet-Bandbreite blockieren. Und zwar reicht es schon, wenn die Rechner eingeschaltet sind, es muss kein Benutzer angemeldet sein, geschweige denn daran arbeiten.
Laut Wireshark läuft der Verkehr über Port 80:
Hat jemand eine Ahnung, was es mit diesem Traffic auf sich haben könnte? Einen Akamai NetSession Client haben wir (jedenfalls bewusst) nicht installiert.
Schöne Grüße von der Elbe!
Winfried
wir haben über einen Wireshark-Portmitschnitt festgestellt, dass unsere neuen Windows10-Rechner ausgiebig mit einem Server namens a122.dscg3.akamai.net plaudern und damit fast die gesamte Internet-Bandbreite blockieren. Und zwar reicht es schon, wenn die Rechner eingeschaltet sind, es muss kein Benutzer angemeldet sein, geschweige denn daran arbeiten.
Laut Wireshark läuft der Verkehr über Port 80:
Hat jemand eine Ahnung, was es mit diesem Traffic auf sich haben könnte? Einen Akamai NetSession Client haben wir (jedenfalls bewusst) nicht installiert.
Schöne Grüße von der Elbe!
Winfried
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 397060
Url: https://administrator.de/contentid/397060
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
41 Kommentare
Neuester Kommentar
Unter Windows 10 die Updates in den Griff zu bekommen ist so eine Sache. Aber die Updates zu deaktivieren, wenn die Systeme Zugang zum Internet haben, ist schon fast sträflich. Das einzige, was gegen Malwarebefall und Sicherheitsprobleme wirklich hilft, sind zeitnah installierte Updates.
Im Gegensatz zu früher nutzt Windows 10 nicht mehr zwei Dienste für die Updateversorgung sondern drei. Einmal der altbekannte Dienst Windows Update, dazu wie früher auch der intelligente Hintergrundübertragungsdienst, wobei dieser eigentlich nichts tut, wenn Windows Update nicht läuft und dann ist noch die Übertragungsoptimierung hinzugekommen, die auch Updates lädt, wenn Windows Update deaktiviert ist.
Aber wie gesagt, Windows Updates niemals nie und überhaupt nicht abschalten. Insbesondere wenn es sich um Rechner mit wechselnden Benutzern handelt. Bei Inselsystemen ohne die winzigste Möglichkeit, irgendwie mit dem Internet zu kommunizieren, ok, aber sobald über irgendwelche Wege die Möglichkeit besteht, Updates an.
Eine Dr. Kaiser-Karte mag im ersten Moment verhindern, dass eine Infektion persistent wird, aber sie verhindert keine Infektion. Am Ende ist es egal, ob diese persistent oder wiederkehrend ist, Schaden entsteht dadurch in jedem Fall. Und immer bedenken, dass eine Infektion auch von Rechner zu Rechner springen kann und es wird nicht jeder Rechner in deinem Netzwerk über eine solche Karte verfügen.
Im Gegensatz zu früher nutzt Windows 10 nicht mehr zwei Dienste für die Updateversorgung sondern drei. Einmal der altbekannte Dienst Windows Update, dazu wie früher auch der intelligente Hintergrundübertragungsdienst, wobei dieser eigentlich nichts tut, wenn Windows Update nicht läuft und dann ist noch die Übertragungsoptimierung hinzugekommen, die auch Updates lädt, wenn Windows Update deaktiviert ist.
Aber wie gesagt, Windows Updates niemals nie und überhaupt nicht abschalten. Insbesondere wenn es sich um Rechner mit wechselnden Benutzern handelt. Bei Inselsystemen ohne die winzigste Möglichkeit, irgendwie mit dem Internet zu kommunizieren, ok, aber sobald über irgendwelche Wege die Möglichkeit besteht, Updates an.
Eine Dr. Kaiser-Karte mag im ersten Moment verhindern, dass eine Infektion persistent wird, aber sie verhindert keine Infektion. Am Ende ist es egal, ob diese persistent oder wiederkehrend ist, Schaden entsteht dadurch in jedem Fall. Und immer bedenken, dass eine Infektion auch von Rechner zu Rechner springen kann und es wird nicht jeder Rechner in deinem Netzwerk über eine solche Karte verfügen.
Zitat von @Winfried-HH:
Hast Du rausgefunden, was auf den Kisten mit Akamai geplaudert hat? Das würde mir ersparen, es mit TCPView selbst herauszufinden
Der Gedanke kam mir auch als allererstes, und ich habe ihn immer noch im Hinterkopf, für den Fall, dass ich den Traffic nicht ursächlich abschalten kann. Aber reicht es da, die IP 2.21.79.34 (a122.dscg3.akamai.net) zu sperren, oder sucht Windows sich dann andere Akamai-Server. Was genau hast Du gesperrt?
Zitat von @itisnapanto:
Bei uns waren es auch die Windows 10 Kisten in die immer tüchtig zu Akamei wollten.
Bei uns waren es auch die Windows 10 Kisten in die immer tüchtig zu Akamei wollten.
Hast Du rausgefunden, was auf den Kisten mit Akamai geplaudert hat? Das würde mir ersparen, es mit TCPView selbst herauszufinden
Über unsere Firewalls , habe ich das dann mal unterbunden. Seitdem ist Ruhe.
Der Gedanke kam mir auch als allererstes, und ich habe ihn immer noch im Hinterkopf, für den Fall, dass ich den Traffic nicht ursächlich abschalten kann. Aber reicht es da, die IP 2.21.79.34 (a122.dscg3.akamai.net) zu sperren, oder sucht Windows sich dann andere Akamai-Server. Was genau hast Du gesperrt?
Ich habs über die Application Control in unserer Sophos gemacht.
Einzelne IP's blockieren bringt nix , da wie andere schon schrieben, die eine ganze Menge davon haben :D.
Gruss
https://social.technet.microsoft.com/Forums/en-US/0da75b5c-f2bc-4c99-874 ...
und
https://answers.microsoft.com/en-us/windows/forum/all/what-is-this-akama ...
und
https://www.akamai.com/us/en/about/news/press/2015-press/microsoft-integ ...
MS nutzt Akamai ausgiebig für Updates, Store respektive alles was an Infrastruktur nötig ist damit MS nach Hause telefonieren kann !
und
https://answers.microsoft.com/en-us/windows/forum/all/what-is-this-akama ...
und
https://www.akamai.com/us/en/about/news/press/2015-press/microsoft-integ ...
MS nutzt Akamai ausgiebig für Updates, Store respektive alles was an Infrastruktur nötig ist damit MS nach Hause telefonieren kann !
a122 gehört auf jeden Fall Microsoft.
Siehe hier:
https://www.dns.ninja/?dns=2.tlu.dl.delivery.mp.microsoft.com
Siehe hier:
https://www.dns.ninja/?dns=2.tlu.dl.delivery.mp.microsoft.com
Du könntest auch einen WSUS hinstellen. Dann werden die Updates nur ein Mal vom WSUS gezogen und im Netzwerk ohne Internet Belastung verteilt.
Verstehe. Ich überlege gerade, wie würde ein Client reagieren, wenn der per Gruppenrichtlinie den WSUS eingestellt bekommen hat und im WSUS einfach kein neues Update Paket genehmigt wird.
Eigentlich dürfte er dann Ruhe geben, nicht mehr selbstständig von wo anders ziehen, sonst würde sich ja Microsoft selbst ein Ei legen.
Eigentlich dürfte er dann Ruhe geben, nicht mehr selbstständig von wo anders ziehen, sonst würde sich ja Microsoft selbst ein Ei legen.
Ich sehe das so, dass Microsoft keine Blocker wünscht und mit jedem Update alles tut um sich seine Updates zu erzwingen. Sie würden jedoch niemals ihren eigenen WSUS sinnlos machen.
Zu Windows 7 Zeiten reichte es den Update Dienst zu deaktivieren. Zu Anfangszeiten von Windows 10 wurde das bereit unterbunden. Der Dienst aktivierte sich einfach wieder. Später wurden Updates gezogen, obwohl der Dienst aus war. Dann gab es eine Sammlung von Registry Einträgen, DNS umbiegereien, IP Blockierungen usw, das die Updates ebenfalls blockierten. Das hat nun Microsoft wieder ausgehebelt. Es wird also immer schwerer die Updates zu unterbinden und erfordert mit jedem Update auch neue Recherchen.
Wenn im WSUS jedoch keine neuen Updates genehmigt werden, meldet der Client: Sie sind auf dem aktuellsten Stand.
Zu Windows 7 Zeiten reichte es den Update Dienst zu deaktivieren. Zu Anfangszeiten von Windows 10 wurde das bereit unterbunden. Der Dienst aktivierte sich einfach wieder. Später wurden Updates gezogen, obwohl der Dienst aus war. Dann gab es eine Sammlung von Registry Einträgen, DNS umbiegereien, IP Blockierungen usw, das die Updates ebenfalls blockierten. Das hat nun Microsoft wieder ausgehebelt. Es wird also immer schwerer die Updates zu unterbinden und erfordert mit jedem Update auch neue Recherchen.
Wenn im WSUS jedoch keine neuen Updates genehmigt werden, meldet der Client: Sie sind auf dem aktuellsten Stand.
Zitat von @89371:
Zu Windows 7 Zeiten reichte es den Update Dienst zu deaktivieren. Zu Anfangszeiten von Windows 10 wurde das bereit unterbunden. Der Dienst aktivierte sich einfach wieder. Später wurden Updates gezogen, obwohl der Dienst aus war. Dann gab es eine Sammlung von Registry Einträgen, DNS umbiegereien, IP Blockierungen usw, das die Updates ebenfalls blockierten. Das hat nun Microsoft wieder ausgehebelt. Es wird also immer schwerer die Updates zu unterbinden und erfordert mit jedem Update auch neue Recherchen.
Aktuell reicht es den Windows-Update Dienst auf deaktiviert zu stellen und den Remediation Task (\Microsoft\Windows\WaaSMedic\PerformRemediation) im Taskplaner (welcher nur änderbar ist wenn man diesen mit Systemrechten ändert -> psexec ) welcher den Windows-Update Dienst regelmäßig wieder aktiviert hat zu löschen oder zu deaktiveren. Dann ist Ruhe in der Update-Kiste .Zu Windows 7 Zeiten reichte es den Update Dienst zu deaktivieren. Zu Anfangszeiten von Windows 10 wurde das bereit unterbunden. Der Dienst aktivierte sich einfach wieder. Später wurden Updates gezogen, obwohl der Dienst aus war. Dann gab es eine Sammlung von Registry Einträgen, DNS umbiegereien, IP Blockierungen usw, das die Updates ebenfalls blockierten. Das hat nun Microsoft wieder ausgehebelt. Es wird also immer schwerer die Updates zu unterbinden und erfordert mit jedem Update auch neue Recherchen.
Windows 10 Auto-Updating abschalten
Gruß A.
Das ist Cortana und die Windows-Store Apps ...
Japp, s. GPOs.
Tja selbst schuld wer sich das ins Haus holt .
Ja ich hab recherchiert was die Software macht...
Bei deinem derzeitigen Szenario kritische Sicherheitsupdates und Applikationsupdates unterbinden
Warum nutzt man das freiwillig?
Maximal für Kiosk PCs würde ich sowas einsetzen
Hast du roaming profiles? Die dürfen sich die Clients dann nach jedem Neustart zur gänze ziehen, geht ein wenig auf die performance ;)
Bei deinem derzeitigen Szenario kritische Sicherheitsupdates und Applikationsupdates unterbinden
Warum nutzt man das freiwillig?
Maximal für Kiosk PCs würde ich sowas einsetzen
Hast du roaming profiles? Die dürfen sich die Clients dann nach jedem Neustart zur gänze ziehen, geht ein wenig auf die performance ;)
Gerade in einer Schule sollte man das Startmenü herzeigen und auch die in Windows 10 vorhandene Suche...
Sonst wird noch die location der Symbole mit dem Zweck gelernt (oben links das zum Briefe schreiben, neben dem zum rechnen)
davon abgesehen, dass man das Startmenü und auch Desktop Verknüpfungen mit GPO regeln kann.
Outlook mit Exchange (online oder onprem) mit cache Modus is wohl nicht im Einsatz? der einstieg dauert dann ja gefühlt ewig ;)
unterm Strich sehe ich mehr Nachteile als Vorteile in der Software.
btw. wie alt sind die ältesten Schüler? ein 15-16 Jähriger nachwuchs admin findet garantiert die ein oder andere Lücke...
Sonst wird noch die location der Symbole mit dem Zweck gelernt (oben links das zum Briefe schreiben, neben dem zum rechnen)
davon abgesehen, dass man das Startmenü und auch Desktop Verknüpfungen mit GPO regeln kann.
Outlook mit Exchange (online oder onprem) mit cache Modus is wohl nicht im Einsatz? der einstieg dauert dann ja gefühlt ewig ;)
unterm Strich sehe ich mehr Nachteile als Vorteile in der Software.
btw. wie alt sind die ältesten Schüler? ein 15-16 Jähriger nachwuchs admin findet garantiert die ein oder andere Lücke...
Moin,
@Hans01
ich glaube du hast eine falsche Vorstellung von solch einer Software.
Durch die Software gibt es keine Einschränkungen beim Desktop. -> Startmenü und Suche sind ganz normal vorhanden.
Wäre mir neu, dass Schüler ein E-Mail Postfach von der Schule bekommen (warum auch?).
Wenn dann bei den Lehrern und dessen Rechner sind anders konfiguriert und haben solch eine Software nicht.
An diese dürfen Schüler nicht rumhantieren.
Sicherheitslücken gibt es immer. Das kann man schlecht verhindern. Und hier profitiert eine Schule von solch einer Software.
Völlig egal was ein Schüler mit dieser Kiste macht, spätestens nach einem Neustart wird die Kiste auf den Initialen Zustand zurückgesetzt. Solange die Kisten nicht direkt am Netz stehen (Proxy, Firewall) besteht auch kein Risiko. Zumal die Kisten in ein separates VLAN verfrachtet werden. Dokumente von Lehreren an Schülern werden nur in Netzwerkfreigaben mit RO Rechen oder Schülerportale z.B. Moodle an die Schüler freigegeben. Selbst wenn ein Schüler eine Schadsoftware z.B. ein Verschlüsselungstrojaner auf dem Rechner installiert, dann wäre das kein Drama, da dieser Rechner normalerweise keine Daten beinhalten und nach einem Neustart automatisch zurückgesetzt werden.
Als ich noch Schüler aufm Gymnasium war hab ich auch allerlei Blödsinn mit der Kiste gemacht, sodass die Schule ihren IT-Dienstleister rufen müsste um das Ding neuzuinstallieren. Damit war ich nicht alleine sondern das hat so ziemlich jeder Computer Freak in der Altersklasse an der Schule gemacht. Insbesondere als ich die Fachinformatiker Ausbildung begonnen habe. Für praktische Übungen brauchen nunmal die Schüler auch Admin Rechte.
Somit ist sowas einfach unsinnig und kostenspiellig. Von daher ist solch ein Konzept für Schulen optimal.
Viele Grüße,
Exception
@Hans01
ich glaube du hast eine falsche Vorstellung von solch einer Software.
Gerade in einer Schule sollte man das Startmenü herzeigen und auch die in Windows 10 vorhandene Suche...
Sonst wird noch die location der Symbole mit dem Zweck gelernt (oben links das zum Briefe schreiben, neben dem zum rechnen)
Sonst wird noch die location der Symbole mit dem Zweck gelernt (oben links das zum Briefe schreiben, neben dem zum rechnen)
Durch die Software gibt es keine Einschränkungen beim Desktop. -> Startmenü und Suche sind ganz normal vorhanden.
Outlook mit Exchange (online oder onprem) mit cache Modus is wohl nicht im Einsatz? der einstieg dauert dann ja gefühlt ewig ;)
Wäre mir neu, dass Schüler ein E-Mail Postfach von der Schule bekommen (warum auch?).
Wenn dann bei den Lehrern und dessen Rechner sind anders konfiguriert und haben solch eine Software nicht.
An diese dürfen Schüler nicht rumhantieren.
btw. wie alt sind die ältesten Schüler? ein 15-16 Jähriger nachwuchs admin findet garantiert die ein oder andere Lücke...
Sicherheitslücken gibt es immer. Das kann man schlecht verhindern. Und hier profitiert eine Schule von solch einer Software.
Völlig egal was ein Schüler mit dieser Kiste macht, spätestens nach einem Neustart wird die Kiste auf den Initialen Zustand zurückgesetzt. Solange die Kisten nicht direkt am Netz stehen (Proxy, Firewall) besteht auch kein Risiko. Zumal die Kisten in ein separates VLAN verfrachtet werden. Dokumente von Lehreren an Schülern werden nur in Netzwerkfreigaben mit RO Rechen oder Schülerportale z.B. Moodle an die Schüler freigegeben. Selbst wenn ein Schüler eine Schadsoftware z.B. ein Verschlüsselungstrojaner auf dem Rechner installiert, dann wäre das kein Drama, da dieser Rechner normalerweise keine Daten beinhalten und nach einem Neustart automatisch zurückgesetzt werden.
Als ich noch Schüler aufm Gymnasium war hab ich auch allerlei Blödsinn mit der Kiste gemacht, sodass die Schule ihren IT-Dienstleister rufen müsste um das Ding neuzuinstallieren. Damit war ich nicht alleine sondern das hat so ziemlich jeder Computer Freak in der Altersklasse an der Schule gemacht. Insbesondere als ich die Fachinformatiker Ausbildung begonnen habe. Für praktische Übungen brauchen nunmal die Schüler auch Admin Rechte.
Somit ist sowas einfach unsinnig und kostenspiellig. Von daher ist solch ein Konzept für Schulen optimal.
Viele Grüße,
Exception
Moin Exception,
klar funktioniert das Startmenü und die Suche, man muss es halt aber auch nutzen und den Leuten beibringen...
Endet sonst in Akademikern die frisch von der Uni kommen und den 1st level support anrufen weil die Desktop Verknüpfungen nicht so vorhanden sind wie auf der Uni (selbst erlebt)
Warum ein Schüler ein Exchangeonline Postfach bekommen sollte? Um mal ein Mail zu versenden, einen Terminkalender kennen zu lernen und den Unterschied zwischen To Cc und Bcc zu kennen... auch das is für manche Leute noch unbekannt... Ich hab einige DSGVO E-Mails bekommen mit 200 anderen Leuten in der To: Zeile
Ich hoffe es ist wenigstens Office 2019 im Einsatz und nicht noch ein 2010er...
Hätte dein Gym einmal in einen WDS investiert wäre das billiger gewesen als jeden Rechner händisch neu zu installieren, wer macht das heutzutage noch?
klar funktioniert das Startmenü und die Suche, man muss es halt aber auch nutzen und den Leuten beibringen...
Endet sonst in Akademikern die frisch von der Uni kommen und den 1st level support anrufen weil die Desktop Verknüpfungen nicht so vorhanden sind wie auf der Uni (selbst erlebt)
Warum ein Schüler ein Exchangeonline Postfach bekommen sollte? Um mal ein Mail zu versenden, einen Terminkalender kennen zu lernen und den Unterschied zwischen To Cc und Bcc zu kennen... auch das is für manche Leute noch unbekannt... Ich hab einige DSGVO E-Mails bekommen mit 200 anderen Leuten in der To: Zeile
Ich hoffe es ist wenigstens Office 2019 im Einsatz und nicht noch ein 2010er...
Hätte dein Gym einmal in einen WDS investiert wäre das billiger gewesen als jeden Rechner händisch neu zu installieren, wer macht das heutzutage noch?
Hätte dein Gym einmal in einen WDS investiert wäre das billiger gewesen als jeden Rechner händisch neu zu installieren, wer macht das heutzutage noch?
Ist schon ewig her (Mehr als 10 Jahre inzwischen) wo ich auf der Schule war.
Ich denke mal, dass die ihre IT zwischenzeitlich modernisiert haben. (hoffentlich).
Vergleiche es lieber mit dem Microsoft Windows Gast Konto.
DeepFreeze macht es ähnlich.
DeepFreeze macht es ähnlich.