50
Windows 22H2 - Authentifizierung - eine kollegiale Bitte
Moin Zusammen,
Wie in meinem letzten Beitrag schon gefragt kann ich einen Haken nicht mehr setzen bei der Authentifizierung.
Könnte der eine oder andere mir den Gefallen tun und das mal bei sich kontrollieren? Dazu bitte dann schreiben welche Windowsversion (ausführen winver) im Einsatz ist und ob man den Haken setzen kann oder nicht.
Folgenden Dienst starten(ausführen services.msc): Automatische Konfiguration (verkabelt) starten, dann auf den LAN Adapter gehen (es muss kein Kabel dran sein). Dann auf den Reiter Authentifizierung. Dann neben "Wählen Sie eine Methode für die ..." auf Einstellungen, dann unten auf Konfigurieren.
Ich wäre euch sehr dankbar.
Schönes Wochenende
Grüße
Referenzbeitrag: Radius EAP-MSCHAPv2-Eigenschaften ausgegraut
Wie in meinem letzten Beitrag schon gefragt kann ich einen Haken nicht mehr setzen bei der Authentifizierung.
Könnte der eine oder andere mir den Gefallen tun und das mal bei sich kontrollieren? Dazu bitte dann schreiben welche Windowsversion (ausführen winver) im Einsatz ist und ob man den Haken setzen kann oder nicht.
Folgenden Dienst starten(ausführen services.msc): Automatische Konfiguration (verkabelt) starten, dann auf den LAN Adapter gehen (es muss kein Kabel dran sein). Dann auf den Reiter Authentifizierung. Dann neben "Wählen Sie eine Methode für die ..." auf Einstellungen, dann unten auf Konfigurieren.
Ich wäre euch sehr dankbar.
Schönes Wochenende
Grüße
Referenzbeitrag: Radius EAP-MSCHAPv2-Eigenschaften ausgegraut
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4444598249
Url: https://administrator.de/contentid/4444598249
Ausgedruckt am: 03.12.2024 um 17:12 Uhr
50 Kommentare
Neuester Kommentar
Moin,
getestetes Gerät ist in keiner Domäne:
Windows 10, Version 21H2 (Build 19044.2130)
Haken ist setzbar. Inwieweit das effektiv ist / Auswirkungen hat, kann ich nicht testen.
Hoffe, es hilft ein bisschen.
getestetes Gerät ist in keiner Domäne:
Windows 10, Version 21H2 (Build 19044.2130)
Haken ist setzbar. Inwieweit das effektiv ist / Auswirkungen hat, kann ich nicht testen.
Hoffe, es hilft ein bisschen.
1
Danke dir. Ich vermute es liegt wirklich an 22H2. So lange ich da keine andere Möglichkeit finde die Authentifizierung zu machen wird’s problematisch.
Servus @Xaero1982,
DC ist SERVER 2022
Grüße Uwe
Ohne GPO
Mit GPO kann ich es setzen oder nicht setzen, wird auf dem Client korrekt wiedergegeben.
GPO
DC ist SERVER 2022
Grüße Uwe
Du könntest mal testweise die local security policy database löschen damit sie neu erstellt wird.
HI Uwe,
danke für die Mühe. Ist das ein komplett neu installierter Client oder ist der aktualisiert worden auf 22H2?
Grüße
Matze
danke für die Mühe. Ist das ein komplett neu installierter Client oder ist der aktualisiert worden auf 22H2?
Grüße
Matze
Wie?
Wo finde ich die?Zitat von @Xaero1982:
danke für die Mühe. Ist das ein komplett neu installierter Client oder ist der aktualisiert worden auf 22H2?
Upgrade von Windows 11 21H2danke für die Mühe. Ist das ein komplett neu installierter Client oder ist der aktualisiert worden auf 22H2?
1C:\Windows\security\databaseDort alle Dateien löschen, reboot. Die Datenbank wird clean neu erstellt wenn man einmal secpol.msc auf dem Client öffnet und wieder schließt.
Zitat von @colinardo:
Dort alle Dateien löschen, reboot. Die Datenbank wird clean neu erstellt wenn man einmal secpol.msc auf dem Client öffnet und wieder schließt.
C:\Windows\security\databaseDort alle Dateien löschen, reboot. Die Datenbank wird clean neu erstellt wenn man einmal secpol.msc auf dem Client öffnet und wieder schließt.
Danke dir. Hat leider keinen Erfolg gebracht.
Kommt das Feature Credential/Device Guard aktiviert zum Einsatz? Oder hast du für den Logon zusätzliche third party Logon Agents im Einsatz z.B. für MFA?
Zitat von @colinardo:
Kommt das Feature Credential Guard aktiviert zum Einsatz? Oder hast du für den Logon zusätzliche third party Logon Agents im Einsatz z.B. für MFA?
Kommt das Feature Credential Guard aktiviert zum Einsatz? Oder hast du für den Logon zusätzliche third party Logon Agents im Einsatz z.B. für MFA?
Ist das der Punkt Kernisolierung - Speicher-Integrität?
Ist nicht aktiv. :/
Zitat von @colinardo:
Kommt das Feature Credential/Device Guard aktiviert zum Einsatz? Oder hast du für den Logon zusätzliche third party Logon Agents im Einsatz z.B. für MFA?
Kommt das Feature Credential/Device Guard aktiviert zum Einsatz? Oder hast du für den Logon zusätzliche third party Logon Agents im Einsatz z.B. für MFA?
Sonst ist da nichts drauf. F-Secure ist installiert. Chrome, FF, Office, Citrix Workspace, Free File Sync, Wise Disk Cleaner, Adobe Reader, Securepoint VPN Client
Grüße
Das würde ich nochmal doppelt und dreifach prüfen, das hat nämlich genau die geschilderten Auswirkungen (hier nochmal verifiziert). Deaktiviere dazu auch mal alle evt. installierten Virtualization Features in den Windows Optional Features.
Zitat von @colinardo:
Das würde ich nochmal doppelt und dreifach prüfen, das hat nämlich genau die geschilderten Auswirkungen (hier nochmal verifiziert). Deaktiviere dazu auch mal alle evt. installierten Virtualization Features in den Windows Optional Features.
Das würde ich nochmal doppelt und dreifach prüfen, das hat nämlich genau die geschilderten Auswirkungen (hier nochmal verifiziert). Deaktiviere dazu auch mal alle evt. installierten Virtualization Features in den Windows Optional Features.
Done. Definitiv alles aus. :/
Sind das nur vereinzelte Rechner oder alle mit W11?. Wenn nur vereinzelt klatsch das Image neu drauf und gut is. Weitere Diagnose ist von hier aus schwierig. Zieh vorher ein Image und an einem verregnetem Wochenende hat man dann was zum debuggen/spielen
1
Oder das ganze zum Anlass nehmen und gleich auf Zertifikate und EAP-TLS upgraden 
.
.
Aktuell hatte ich 2 Rechner mit W11 22H2. Die anderen konnte ich noch nicht gegenprüfen. Aber 2/2 betrifft es jetzt schon mal.
Mit neu machen muss ich warten, weil ich die Geräte nicht vor Ort habe. Bin remote drauf.
Ich habe nun unter den Einstellungen einen Punkt gefunden für die Authentifizierungseinstellungen. Dort kann ich es zwar hinterlegen irgendwie, aber es wird nicht gespeichert. Immer wenn ich es öffne sind die Einstellungen weg.
Mit neu machen muss ich warten, weil ich die Geräte nicht vor Ort habe. Bin remote drauf.
Ich habe nun unter den Einstellungen einen Punkt gefunden für die Authentifizierungseinstellungen. Dort kann ich es zwar hinterlegen irgendwie, aber es wird nicht gespeichert. Immer wenn ich es öffne sind die Einstellungen weg.
Als Workaround könntest du testen das 802.1x Profil via netsh in eine XML zu exportieren via
(Interface und Ausgabe-Pfad anpassen)
Dann in der exportierten XML-Datei den gewünschten Schalter auf true oder false anzupassen
und das ganze wieder mit
(Interface und Dateipfad zur XML anpassen)
zu importieren.
Eventuell hilft das zumindest die Einstellung auf der Kiste zu setzen.
netsh lan export profile interface="Ethernet0" folder=C:\pfad\output Dann in der exportierten XML-Datei den gewünschten Schalter auf true oder false anzupassen
und das ganze wieder mit
netsh lan add profile filename="C:\pfad\output\Ethernet0.xml" interface="Ethernet0" zu importieren.
Eventuell hilft das zumindest die Einstellung auf der Kiste zu setzen.
2
Muss etwas Geräte spezifisches sein an dem Gerät. 22H2 Laptop mit Intel Karte funktioniert auch hier fehlerlos mit 802.1x:
Hi Uwe,
werde ich gerne mal testen. Danke.
@aqui, du musst noch rechts auf Einstellungen gehen und dann auf Konfigurieren. Siehe Screens von Uwe. Oder kannst du den Haken dort setzen.
Hab mein LG Gram auch heute auf 22H2 gebracht und kann den Haken auch setzen. Ist allerdings nur eine Homeversion.
Grüße
werde ich gerne mal testen. Danke.
@aqui, du musst noch rechts auf Einstellungen gehen und dann auf Konfigurieren. Siehe Screens von Uwe. Oder kannst du den Haken dort setzen.
Hab mein LG Gram auch heute auf 22H2 gebracht und kann den Haken auch setzen. Ist allerdings nur eine Homeversion.
Grüße
Hi @colinardo,
danke dir. Habs versucht, aber leider keine Chance.
Die Geräte die es betrifft sind beides Lenovos.
Ist auch nach einem erneuten Export wieder auf false gesetzt.
Viele Grüße
Matze
danke dir. Habs versucht, aber leider keine Chance.
Die Geräte die es betrifft sind beides Lenovos.
Ist auch nach einem erneuten Export wieder auf false gesetzt.
Viele Grüße
Matze
Zitat von @colinardo:
Oder das ganze zum Anlass nehmen und gleich auf Zertifikate und EAP-TLS upgraden.
Oder das ganze zum Anlass nehmen und gleich auf Zertifikate und EAP-TLS upgraden
.Hast du dazu eine Anleitung? Braucht dann jeder User ein Zertifikat oder wie läuft das?
Danke dir
Grüße
du musst noch rechts auf Einstellungen gehen und dann auf Konfigurieren.
Hab ich gemacht und konnte da alles auswählen was einstellbar ist. Da war nix ausgegraut.1Zitat von @Xaero1982:
Hast du dazu eine Anleitung? Braucht dann jeder User ein Zertifikat oder wie läuft das?
Danke dir
Ist eigentlich recht einfach. Du updatest deine NPS Policy auf PEAP>Zertfikat, wählst dort das Server-Zertifikat aus, wählst in den Bedingungen die Computer-Gruppe aus (Bei Computer Auth) die sich einwählen dürfen. Dann deployst du mit deiner CA ein Computer-Template das sich die die Clients dann automatisch von der CA ziehen und auch erneuern). Die 802.1x Settings aktualisierst du natürlich entsprechend auf PEAP-TLS und setzt die 802.1x Policy auf Computer-Authentifizerung.Zitat von @colinardo:
Oder das ganze zum Anlass nehmen und gleich auf Zertifikate und EAP-TLS upgraden.
Oder das ganze zum Anlass nehmen und gleich auf Zertifikate und EAP-TLS upgraden
.Hast du dazu eine Anleitung? Braucht dann jeder User ein Zertifikat oder wie läuft das?
Danke dir
Das ganze kannst du natürlich auch auf Benutzerebene mit User- statt Computer-Zertifikaten machen. Ist fast gleich zur Cert-Auth via WLAN, bis auf ein paar Kleinigkeiten.
2Zitat von @colinardo:
Das ganze kannst du natürlich auch mit User-Zertifikaten machen. Ist fast gleich zur Cert-Auth via WLAN, bis auf ein paar Kleinigkeiten.
Zitat von @Xaero1982:
Hast du dazu eine Anleitung? Braucht dann jeder User ein Zertifikat oder wie läuft das?
Danke dir
Ist eigentlich recht einfach. Du updatest deine NPS Policy auf PEAP>Zertfikat, wählst dort das Server-Zertifikat aus, wählst in den Bedingungen die Computer-Gruppe aus (Bei Computer Auth) die sich einwählen dürfen. Dann deployst du mit deiner CA ein Computer-Template das sich die die Clients dann automatisch von der CA ziehen und auch erneuern). Die 802.1x Settings aktualisierst du natürlich entsprechend auf PEAP-TLS und setzt die 802.1x Policy auf Computer-Authentifizerung.Zitat von @colinardo:
Oder das ganze zum Anlass nehmen und gleich auf Zertifikate und EAP-TLS upgraden.
Oder das ganze zum Anlass nehmen und gleich auf Zertifikate und EAP-TLS upgraden
.Hast du dazu eine Anleitung? Braucht dann jeder User ein Zertifikat oder wie läuft das?
Danke dir
Das ganze kannst du natürlich auch mit User-Zertifikaten machen. Ist fast gleich zur Cert-Auth via WLAN, bis auf ein paar Kleinigkeiten.
Danke dir. Schaue ich mir dann Montag an, aber vermutlich werde ich eine der Büchsen einfach nochmal komplett neu aufsetzen um alles auszuschließen. Ich berichte dann wenn ich was neues weiß.
Ich danke dir und auch Dank an aqui natürlich.
Habt noch ein schönes Restwochenende
Grüße
Nabend,
also ich habe eben ein neues Lenovo mit W10 22H2 (Haken ließ sich setzen) auf Windows 11 22H2 aktualisiert. Da lässt sich der Haken nicht mehr setzen. Das Gerät versucht sich nun mit seiner MacAdresse zu authentifizieren.
Was mich noch wundert ist ein neues Anmeldefenster:
Benutzername
Kennwort
Verbindung wird hergestellt mit: Netzwerk
Domäne\Netzwerkbenutzername
Netzwerkkennwort
Sagt mir nichts. Wenn ich einen Netzwerkbenutzernamen eingebe passiert nichts und ohne passiert ebenfalls nichts
Lenovo Vantage habe ich mal runtergeschmissen. Ohne Erfolg.
Edit: Mir wurde übrigens weiterhin mitgeteilt, dass an den Notebooks nicht mehr der Haken gesetzt werden kann, wenn man sich im WLAN anmelden will, dass die Windowsanmeldedaten genommen werden sollen. Kann man nur eintragen.
Grüße
also ich habe eben ein neues Lenovo mit W10 22H2 (Haken ließ sich setzen) auf Windows 11 22H2 aktualisiert. Da lässt sich der Haken nicht mehr setzen. Das Gerät versucht sich nun mit seiner MacAdresse zu authentifizieren.
Was mich noch wundert ist ein neues Anmeldefenster:
Benutzername
Kennwort
Verbindung wird hergestellt mit: Netzwerk
Domäne\Netzwerkbenutzername
Netzwerkkennwort
Sagt mir nichts. Wenn ich einen Netzwerkbenutzernamen eingebe passiert nichts und ohne passiert ebenfalls nichts
Lenovo Vantage habe ich mal runtergeschmissen. Ohne Erfolg.
Edit: Mir wurde übrigens weiterhin mitgeteilt, dass an den Notebooks nicht mehr der Haken gesetzt werden kann, wenn man sich im WLAN anmelden will, dass die Windowsanmeldedaten genommen werden sollen. Kann man nur eintragen.
Grüße
Mit anderen Worten Win 10, 22H2 OK, Win 11 22H2 defekt bei 802.1x Client?!
Zitat von @Xaero1982:
also ich habe eben ein neues Lenovo mit W10 22H2 (Haken ließ sich setzen) auf Windows 11 22H2 aktualisiert.
War da das vom Hersteller ausgelieferte OS-Image drauf oder ein Clean-Install durch euch Admins?also ich habe eben ein neues Lenovo mit W10 22H2 (Haken ließ sich setzen) auf Windows 11 22H2 aktualisiert.
Ich würde die Kisten dringend mit einem Clean-Install betanken! Ich hatte auch schon diverse andere Probleme mit dem Lenovo-Images, ich weiß nicht was die Jungs bei Lenovo damit alles anstellen, aber es ist nichts gesundes.
Das Gerät versucht sich nun mit seiner MacAdresse zu authentifizieren.
Ist Computer- oder Benutzer-Authentifizierung in den 802.1x Settings hinterlegt?
Korrekt
Zitat von @colinardo:
Das war das Lenovo Image was ich benutzt hatte. Muss sonst mal vor Ort jemanden bitten Windows über nen Stick zu installieren, weil ich das Gerät nicht bei mir habe.Zitat von @Xaero1982:
also ich habe eben ein neues Lenovo mit W10 22H2 (Haken ließ sich setzen) auf Windows 11 22H2 aktualisiert.
War da das vom Hersteller ausgelieferte OS-Image drauf oder ein Clean-Install durch euch Admins?also ich habe eben ein neues Lenovo mit W10 22H2 (Haken ließ sich setzen) auf Windows 11 22H2 aktualisiert.
Ich würde die Kisten dringend mit einem Clean-Install betanken! Ich hatte auch schon diverse andere Probleme mit dem Lenovo-Images, ich weiß nicht was die Jungs damit anstellen, aber es ist nichts gesundes.
In Ordnung. Werde ich veranlassen. DankeDas Gerät versucht sich nun mit seiner MacAdresse zu authentifizieren.
Ist Computer- oder Benutzer-Authentifizierung in den 802.1x Settings hinterlegt?Benutzerauthentifizierung ist aktiv.
Habe sowohl ein W10 als auch ein W11 Client auf W10 22H2 hoch gezogen, bei beiden keine Probleme (Windows 10 Enterprise).
Echt eigenartig das ganze.
Ich danke euch und halte euch auf dem Laufenden.
Hello,
notebook wurde heute komplett neu installiert mit Windows 11 und siehe da: Haken ist setzbar.
Danke euch.
Grüße
notebook wurde heute komplett neu installiert mit Windows 11 und siehe da: Haken ist setzbar.
Danke euch.
Grüße
1
Also mal wieder von Lenovo verseucht 🤮. Danke auch für die Rückmeldung 👍.
Grüße Uwe
Grüße Uwe
2
Richtig. Das Problem ist nur, dass das vermutlich sehr viele Geräte betreffen wird. D.h. ich muss irgendwie eine Lösung finden ohne jedes Gerät neu zu installieren.
Ist leider auch nicht mal eben so mit einem Image gemacht, weil jedes irgendwie auf seine spezielle Art und Weise eingerichtet werden muss.
Ist leider auch nicht mal eben so mit einem Image gemacht, weil jedes irgendwie auf seine spezielle Art und Weise eingerichtet werden muss.
OK let's deep dive into MS hell ... dann mach doch mal folgendes:
Du startest Process Monitor im "Enable Bootlogging" (Options) Modus, damit schon beim reboot aufgezeichnet wird. Alternativ zum Bootlogging den dot3svc Dienst mal stoppen und wieder starten während procmon läuft.
Das Log filterst du anschließend auf WriteFile Operationen und den Pfad C:\ProgramData\Microsoft\dot3svc\Profiles\Interfaces. In dem Verzeichnis sollte sich ein GUID benannter Ordner finden der das Netzwerkinterface identifiziert. Darin sollte dann eine ebenfalls GUID benannte XML-Datei liegen indem das LAN-Profil der NIC inkl. EAP Settings von Windows abgelegt wird. Wenn du nun auf den Prozess-Namen in Procmon schaust wer hier die XML verändert kommst du evt. dem Verursacher auf die Schliche. Alternativ könntest du auch mal testweise versuchen mittels NTFS-ACLs das Löschen/Verändern der XML-Datei zu verhindern.
Der Registry-Schlüssel für den dot3svc ist
den kannst du auch mal zusätzlich in Procmon überwachen/filtern vergleichen mit einem funktionsfähigen System.
Damit solltest du dem ganzen evt. schon etwas näher kommen.
Grüße Uwe
Du startest Process Monitor im "Enable Bootlogging" (Options) Modus, damit schon beim reboot aufgezeichnet wird. Alternativ zum Bootlogging den dot3svc Dienst mal stoppen und wieder starten während procmon läuft.
Das Log filterst du anschließend auf WriteFile Operationen und den Pfad C:\ProgramData\Microsoft\dot3svc\Profiles\Interfaces. In dem Verzeichnis sollte sich ein GUID benannter Ordner finden der das Netzwerkinterface identifiziert. Darin sollte dann eine ebenfalls GUID benannte XML-Datei liegen indem das LAN-Profil der NIC inkl. EAP Settings von Windows abgelegt wird. Wenn du nun auf den Prozess-Namen in Procmon schaust wer hier die XML verändert kommst du evt. dem Verursacher auf die Schliche. Alternativ könntest du auch mal testweise versuchen mittels NTFS-ACLs das Löschen/Verändern der XML-Datei zu verhindern.
Der Registry-Schlüssel für den dot3svc ist
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dot3svcden kannst du auch mal zusätzlich in Procmon überwachen/filtern vergleichen mit einem funktionsfähigen System.
Damit solltest du dem ganzen evt. schon etwas näher kommen.
Grüße Uwe
2
Ergänzend evt. auch testweise die Tamper-Protection /Manipulationsschutz im Windows Defender deaktivieren, wenn dieser nicht schon vollständig ausgeschaltet wurde.
2
Danke dir Uwe,
werde ich die Tage versuchen - ggf. morgen, wenn ich wieder ein neues Lenovo mit Lenovoimage zur Verfügung gestellt bekomme. Dann berichte ich.
Grüße
werde ich die Tage versuchen - ggf. morgen, wenn ich wieder ein neues Lenovo mit Lenovoimage zur Verfügung gestellt bekomme. Dann berichte ich.
Grüße
Habs hier auch gerade nochmal mit 11/22H2 verifiziert mit einem originalem MS Image (Media Creation Tool). Rennt dort fehlerlos und nichts ist ausgegraut. Muss also in der Tat das verseuchte Lenovo Image sein.
1
Ja, scheint wirklich irgendwas mit dem Lenovoimage zu sein. Ich muss nun nur leider irgendwie eine Lösung dafür finden, weil es nicht machbar ist die ganzen Geräte die da mit dem Image raus sind neu zu installieren.
Ich probiere mal morgen weiter rum mit einem neuen Lenovo und berichte.
Ich probiere mal morgen weiter rum mit einem neuen Lenovo und berichte.
Also ich habe nun zwei Notebooks. Ein neu installiertes und eins mit Lenovoimage.
Keins davon greift auf diesen Pfad zu.
Selbiges gilt für den Registrykey.
Habe dort auch mal die XML bearbeitet und den Schalter auf true gesetzt. Keine Änderung.
Manipulationsschutz hab ich abgestellt, aber da passiert auch nichts weiter.
Treiber sind auch auf beiden Geräten identisch
Keins davon greift auf diesen Pfad zu.
C:\ProgramData\Microsoft\dot3svc\Profiles\InterfacesHabe dort auch mal die XML bearbeitet und den Schalter auf true gesetzt. Keine Änderung.
Manipulationsschutz hab ich abgestellt, aber da passiert auch nichts weiter.
Treiber sind auch auf beiden Geräten identisch
Das wäre dann aber sehr seltsam ... Das macht hier im Test jede meiner W11 Kisten beim Start des Dienstes, wo sonst sollte der Dienst sonst seine Konfiguration für das Interface her holen?! WMI habe ich geprüft, da liegt sie nicht.
Ein Update der Properties in der XML und ein Neustart des Dienstes spiegeln hier einwandfrei deren Einstellungen wieder.
Ein Update der Properties in der XML und ein Neustart des Dienstes spiegeln hier einwandfrei deren Einstellungen wieder.
1
Ich kann es dir beim besten Willen nicht sagen. Kann die gerne mal löschen und schauen was passiert.
Ansonsten hab ich alles durchgesehen.
Ich versuche gerade herauszubekommen welcher Wert in der Registry geändert wird, wenn denn einer geändert wird, wenn man den Haken aktiviert bzw. deaktiviert. Ideen?
Ansonsten hab ich alles durchgesehen.
Ich versuche gerade herauszubekommen welcher Wert in der Registry geändert wird, wenn denn einer geändert wird, wenn man den Haken aktiviert bzw. deaktiviert. Ideen?
Zitat von @Xaero1982:
Ich versuche gerade herauszubekommen welcher Wert in der Registry geändert wird, wenn denn einer geändert wird, wenn man den Haken aktiviert bzw. deaktiviert. Ideen?
Keiner, weil diese Einstellung und die meisten anderen alle in der XML definiert sind, die steht nicht in der Registry, dort stehen nur ergänzende Config-Parameter!Ich versuche gerade herauszubekommen welcher Wert in der Registry geändert wird, wenn denn einer geändert wird, wenn man den Haken aktiviert bzw. deaktiviert. Ideen?
2
Okay, dann kann ich mich ja doof suchen
Hab sie mal gelöscht und sie wird neu erstellt beim Start des Dienstes.
Bringt mich also nicht wirklich weiter das Ganze.
Hab sie mal gelöscht und sie wird neu erstellt beim Start des Dienstes.
Bringt mich also nicht wirklich weiter das Ganze.
Interessant ist doch aber was passiert wenn du eine modifizierte XML per netsh und import Befehl dort platzieren lässt (mal nicht manuell dort platzieren). Während genau das passiert solltest du aufzeichnen. Und dann als erstes schauen ob die XML genau so importiert wurde wie du sie verändert hast oder ober der Schalter wieder zurückgesetzt ist.
Und dann eben im ProcMon schauen welcher Prozess sie verändert falls es ein Drittanbieter-Prozess sein sollte.
Und dann evt. mal mit NTFS-Schreibschutz arbeiten um das Erzwingen zu provozieren.
Und dann eben im ProcMon schauen welcher Prozess sie verändert falls es ein Drittanbieter-Prozess sein sollte.
Und dann evt. mal mit NTFS-Schreibschutz arbeiten um das Erzwingen zu provozieren.
2
Hab ich gemacht und (leider) wird sie genau so importiert wie ich sie geändert habe. Schalter auf True gesetzt und bleibt auf True.
In der Gui ist es ausgegraut und der Haken nicht gesetzt.
In der Gui ist es ausgegraut und der Haken nicht gesetzt.
Ich werde jetzt Lenovo und ggf. Microsoft ins Boot holen.
Eine andere Möglichkeit sehe ich hier jetzt nicht und wir reden hier von einer größeren zweistelligen Zahl an Notebooks die betroffen sein können. Aktuell sind noch nicht alle auf W11 22H2.
Neuinstallation aller Geräte ist einfach nicht machbar und nun kostet es auch mich und dich schon zu viel Zeit.
Ich halte euch auf dem Laufenden.
Danke dir!
Eine andere Möglichkeit sehe ich hier jetzt nicht und wir reden hier von einer größeren zweistelligen Zahl an Notebooks die betroffen sein können. Aktuell sind noch nicht alle auf W11 22H2.
Neuinstallation aller Geräte ist einfach nicht machbar und nun kostet es auch mich und dich schon zu viel Zeit.
Ich halte euch auf dem Laufenden.
Danke dir!
Zitat von @colinardo:
Das würde ich nochmal doppelt und dreifach prüfen, das hat nämlich genau die geschilderten Auswirkungen (hier nochmal verifiziert). Deaktiviere dazu auch mal alle evt. installierten Virtualization Features in den Windows Optional Features.
Das würde ich nochmal doppelt und dreifach prüfen, das hat nämlich genau die geschilderten Auswirkungen (hier nochmal verifiziert). Deaktiviere dazu auch mal alle evt. installierten Virtualization Features in den Windows Optional Features.
So, ich habe nochmal bissel gegooglet auf Englisch und bin auf ein par alte Beiträge gestoßen mit dem Credential Guard.
Entgegen der Aussage aus dem Artikel von MS:
Starting in Windows 11 Enterprise, version 22H2 and Windows 11 Education, version 22H2, compatible systems have Windows Defender Credential Guard turned on by default. Ist es bei neu installierten Systemen nicht aktiviert.
Kontrolliert man den Key:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0IsolatedCredentialsRootSecret Hier muss man es aktivieren und die Einstellungen setzen wie im Beitrag.
Das habe ich mal gemacht und getest und siehe da: Haken gesetzt und nicht mehr ausgegraut.
Sorry, Uwe, hätte ich wohl mal besser lesen sollen die Notes auf der Seite.
Kein Problem, Hauptsache man hat wieder was aus der Sache gelernt 👍🙂
2Das definitiv.
1
