Schlagwort-Archive: Windows 10

Windows-Betriebssysteme sind vor allem auf Personal Computern und Servern verbreitet.

Microsoft ersetzt NetBIOS durch mDNS

Multicast DNS (mDNS) wird ab Windows 10 1703 unterstützt, Microsoft beginnt jedoch erst jetzt mit den Vorbereitungen um NetBIOS und Link-Local Multicast Name Resolution (LLMNR) vollständig durch mDNS zu ersetzen. In den Windows 11 Pre­views ist die NetBIOS-Namensauflösung per Voreinstellung vorerst als Fallback konfiguriert.

Ursprünglich wurde mDNS von Apple entwickelte und ist ein Protokoll zur Namensauflösung, das ohne zentralen DNS-Server auskommt. Es sendet per Multicast eine Anfrage an alle Geräte im Netzwerk, dieses dass auf den gewünschten Hostname zutrifft, antwortet ebenfalls mit einem Multicast an das gesamte Netzwerk.

Mehrere mDNS-Resolver

mDNS-Resolver hören auf UDP-Port 5353 dazu in der Praxis mehrere Resolver gleichzeitig aktiv sind. Neben dem Betriebssystem gehören etwa Microsoft Teams Clients dazu, oder auch Chromium-basierte Web-Browser.

Aktive mDNS-Resolver können in der PowerShell ausgegeben werden:

Get-NetUDPEndpoint -LocalPort 5353 | Select-Object LocalAddress,LocalPort,OwningProcess, @{ Name="Prozess"; Expression={((Get-Process -Id $_.OwningProcess).Name )} }

Eine zentrale Instanz in Form eines DNS-Servers gibt es bei mDNS nicht, es kann zudem nicht ausgeschlossen werden, dass mehrere Geräte in einem Netzwerk denselben Hostname verwenden.

Eine Gefahr besteht in dessen, wo sich Schadprogramme über UDP-Port 5353 einnisten und Clients über DNS-Spoofing an Hosts weiterleiten, die von Cyberkrimineller Herkunft zeugen.

mDNS deaktivieren

Aufgrund dieser Umstände könnten Administratoren es in Erwägung ziehen, mDNS zu deaktivieren. Microsoft empfiehlt jedoch vor der generellen Deaktivierung abzusehen, weil sonst die Kommunikation mit verschiedenen Geräten im Netzwerk wie etwa Druckern oder kabellose Geräte beeinträchtigt sein könnten.

Wenn Unternehmen eine solche Maßnahme dennoch bevorzugen, dann empfiehlt Microsoft, mit der Windows-Firewall nur eingehende Anfragen zu blockieren. Die Windows-Firewall enthält dafür die vordefinierte Regel „mDNS (UDP-In)“.

Die Windows-Firewall öffnen mit den Tasten Windows+R und firewall.cpl Ausführen, dann zu Erweiterte Einstellungen gehen.

Windows Firewall Erweiterte Einstellungen mDNS UDP Eingehend
Windows Firewall – Erweiterte Einstellungen

Man sollte mDNS nur für das Domänen Profil und das Öffentliche Profil deaktivieren, für private Netzwerke aber ermöglichen. Damit sichergestellt wird, dass Anwender im HomeOffice Geräte nutzen können, die auf mDNS ausgelegt sind.

mDNS ersetzt NetBIOS und LLMNR

Ein Grund mehr um mDNS nicht vorzeitig zu deaktivieren ist, dass Microsoft zunehmend auf dieses Protokoll setzt. In aktuellen Previews von Windows 11 läuft NetBIOS standardmäßig so, dass dieses veraltete Protokoll nur zum Zug kommt, nachdem Anfragen an mDNS und LLMNR gescheitert sind.

Das Standard Verhalten von LLMNR wurde noch nicht geändert. Microsoft will aber künftig mDNS zur Voreinstellung machen, für die Namensauflösung mit Multicast-Protokoll.

Dort wo Anwendungen weiterhin NetBIOS benötigen, kann eine neue Gruppenrichtlinie entsprechend konfiguriert werden. Sie bietet neben mDNS die Optionen, die Namensauflösung über NetBIOS vollständig zuzulassen, ganz zu untersagen oder nur in öffentliches Netzwerk zu blockieren.

Gruppenrichtlinie NetBIOS Einstellungen

Update zu Windows 11 verhindern

Aktualisierung auf Windows 11 blockieren und bei Windows 10 bleiben

Hat man versehentlich das Update zu Windows 11 vollzogen, wo möglich durch ungeschicktes vorgehen, oder man wollte einfach ein Blick auf Windows 11 wagen, um sich danach zu entscheiden, wird man nach dem zurücksetzen zu Windows 10 feststellen, das mit dem nächsten Start sich Windows 11 wieder zurückmeldet.

Es kann nun versucht werden, mit Updatepause den Weg zu Windows 11 vorübergehend auszusetzen und zu unterbrechen, oder den Upgrade auf Windows 11 mit den Gruppenrichtlinien oder über die Registry dauerhaft zu stoppen, bis die Update Fortsetzung wieder geändert wird.

Microsoft bietet seit Windows 10 1803 die Möglichkeit per Gruppenrichtlinien den Funktionsupdate zur nächsten Version zu verhindern. Nur Updates innerhalb des Funktionsupdate werden bis zur nächsten Version installiert, die Aktualisierung auf Windows 11 wird ausgesetzt.

Bei Windows 10 21H1 bleiben

Die Gruppenrichtlinien für Windows 10 Pro und Enterprise.
Mit Windows-Logo+R gpedit.msc ausführen.
Richtlinien für Lokaler Computer -> Computerkofiguration -> Administrative Vorlagen -> Windows-Komponenten -> Windows Update ->
Windows Update für Unternehmen
Doppel-Klick auf Zielversion des Funktionsupdates auswählen
Klick auf Aktiviert und im Feld 21H1 eintragen.

Zu guter Letzt sind es immer Registry Einträge. Mit öffnen einer Eingabeaufforderung als Administrator werden folgende zwei Schlüssel in die Registry eingefügt.

REG ADD "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v "TargetReleaseVersion" /t REG_DWORD /d "1" /f
REG ADD "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v "TargetReleaseVersionInfo" /t REG_SZ /d "21H1" /f

Hierdurch wird der Funktionsupdate bis 21H2 unterbrochen.

Bei Windows 10 21H2 bleiben

Für den Funktionsupdate 21H2 gibt es zwei Versionen, einmal für Windows 10 und einmal für Windows 11.

Richtlinien für Lokaler Computer -> Computerkofiguration -> Administrative Vorlagen -> Windows-Komponenten -> Windows Update ->
Windows Update für Unternehmen
Doppel-Klick auf Zielversion des Funktionsupdates auswählen
als Produktversion Windows 10 und darunter 21H2 eintragen.

Gruppenrichtlinie Zielversion des Funktionsupdates auswählen
Eingabeaufforderung als Administrator ausfuehren

Die Windows-Taste drücken und cmd eingeben.

Registry Schlüssel in Eingabeaufforderung als Administrator einfügen:

REG ADD "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v "TargetReleaseVersion" /t REG_DWORD /d "1" /f
REG ADD "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v "TargetReleaseVersionInfo" /t REG_SZ /d "21H2" /f
REG ADD "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v "ProductVersion" /t REG_SZ /d "Windows 10" /f