Supportanfrage

Beispiel: Ausführen einer ‘custom action’

von | 12.Januar 2006

Archiv

Darstellung des archivierten Beitrags

Dieser Beitrag wurde aus der Vorgängerversion der ProSoft Knowledge Base übernommen. Er wird im Archiv zur Verfügung gestellt und dient zur Recherche älterer Programmversionen bzw. früherer Fragestellungen.

Microsoft hat am 05. Januar 2006 einen Sicherheitspatch veröffentlicht, welcher eine Sicherheitsanfälligkeit im Grafikwiedergabemodul beheben soll.

Dieses Problem ist beschrieben im
Microsoft Security Advisory: Sicherheitsanfälligkeit in graphics-rendering Modul konnte Ausführung von Remote-Code ermöglichen

Der Patch MS06-001 ist beschrieben im
Microsoft Security Bulletin MS06-001 – Sicherheitsanfälligkeit in Grafikwiedergabemodul kann Remotecodeausführung ermöglichen (912919)

Der Sicherheitspatch MS06-001 kann wie gewohnt mit Shavlik NetChk™ Patch oder Shavlik NetChk™ Protect gescannt und verteilt bzw. installiert werden.

In einigen Fällen kann es jedoch vorkommen, dass der Sicherheitspatch nicht alle Probleme lösen kann bzw. von Softwarelieferanten gefordert wird, den Sicherheitspatch nicht zu installieren und stattdessen den Viewer zu deaktivieren. In diesen Fällen muss die Registrierung der Windows Bild- und Faxanzeige (Shimgvw.dll) aufgehoben werden.
Dies geschieht durch die Ausführung des Befehls regsvr32 -s -u %windir%system32shimgvw.dll.
Da jedoch für die Ausführung dieses Befehls Administratorrechte erforderlich sind, ist eine Ausführung per Skript- oder Batchdatei nicht so ohne weiteres möglich.

Shavlik NetChk™ Patch oder Shavlik NetChk™ Protect bietet Ihnen hierfür während der Verteilung von Patches die Ausführung sogenannter custom actions auf den jeweiligen Zielmaschinen an.

Custom actions können vor oder nach der Verteilung eines Patches bzw. nach einem Systemneustart ausgeführt werden.

Custom actions können nützlich sein, falls Sie vor oder nach der Verteilung eines Patches einen Befehl auf dem Zielrechner ausführen wollen wie z.B. den Zielrechner aus einem Cluster herausnehmen oder eine Antiviren Software vor der Verteilung eines Patches zu deaktivieren. Nach der Verteilung des Patches bzw. nach dem Reboot des Zielrechners können Sie den Zielrechner durch eine custom action wieder in den Cluster aufnehmen oder die Antiviren Software aktivieren lassen.

Custom actions sind Batchdateien oder eine einfache Befehlszeile, welche auf dem Zielrechner im Kontext des hinterlegten Benutzeraccounts durchgeführt werden. Hiermit können Sie dann auch erweiterte Aufgaben durchführen wie z.B. das DeRegistrieren einer DLL Datei oder DeAktivieren von Active Scripting auf einem Rechner.
Bitte beachten Sie die Hinweise in der Onlinehilfe unter Deployment Template: Custom Actions Tab für weitere Informationen.


Lösung:

Um eine custom action ausführen zu können müssen Sie eine Patch Verteilung ( Deployment ) durchführen.

In einigen Fällen kann es jedoch vorkommen, dass die Verteilung eines Patches nicht gewünscht ist, da der Zielrechner entweder schon vollständig gepatcht ist oder Sie keinen Patch verteilen wollen, “nur um” eine custom action auszuführen.
Für diesen Fall besteht die Möglichkeit einen speziellen Custom Action Patch zu verwenden.

Gehen Sie bitte wie folgt vor:

  • erstellen Sie ein neues Scan Template und speichern Sie dieses unter dem Namen Scan Custom Action ab
    • wählen Sie im Konfigurationsdialog Patch Scanning Template die Registerkarte Filtering
    • wählen Sie in der Sektion Patch Details die Option Patch Type Filter auf Scan selected
    • wählen Sie alle Patch Type Filter ab mit Ausnahme von Custom Actions
    • speichern Sie das Scan Template nochmals ab
  • erstellen Sie ein neues Deployment Template und speichern Sie dieses unter dem Namen Deploy Custom Action ab
    • wählen Sie im Konfigurationsdialog Deployment Template die Registerkarte Custom Actions
    • erstellen Sie eine neue Aktion mit New
    • wählen Sie in Step 1 die Option Only when deploying the patch file selected below
    • wählen Sie in Step 2 die Optionen all für beide Pulldown Menüs
    • wählen Sie in Step 2 unter Select the Patch File: den Eintrag QSK2745: nullpatch.exe ( ganz unten )
    • wählen Sie in Step 3 die Option Before any patches
    • geben Sie in Step 4 den auszuführenden Befehl %windir%system32REGSVR32.EXE -s -u %windir%system32shimgvw.dll ein
    • bestätigen Sie mit OK
    • speichern Sie das Deployment Template nochmals ab

Durch die Filterung im Scan Template Scan Custom Action auf den Patchtyp Custom Actions wird ausschliesslich nach dem Vorhandensein des Patches MSST-001 (QSK2745) gescannt.

Die Signatur dieses Patches überprüft das Vorhandensein eines Registrykeys, welcher per default auf keinem Zielrechner vorhanden ist und somit immer den Patch MSST-001 (QSK2745) als missing meldet.

Somit erreichen Sie absichtlich ein Scanergebnis mit einem missing Patch.

Auf Basis dieses Scanergebniss können Sie dann den vermeindlich fehlenden Patch mit Hilfe des zuvor erstellten Deployment Template Deploy Custom Action verteilen und im Zuge dieser Patch Verteilung die gewünschte und zuvor konfigurierte custom action auf dem Zielrechner durchführen lassen.
Der vermeindlich fehlende Patch MSST-001 (QSK2745) wird dabei von der Webseite des Herstellers Shavlik geladen, auf den Zielrechner kopiert und dort gestartet ( analog wie es mit einem richtigen Patch auch geschehen würde )
Das es sich jedoch bei dem Patch nullpatch.exe um einen Dummy ( ! ) handelt, passiert auf dem Zielrechner gar nichts, wenn er ausgeführt wird.

Da das zuvor erstellte Scan Template Scan Custom Action nach einem nicht vorhandenen Registrykey scannt, zeigt ein erneuter Scan des Zielrechners wieder den Patch MSST-001 (QSK2745) als missing an.

Durch Anpassen des Deployment Template Deploy Custom Action können Sie nun verschiedenste Befehle auf einem Zielrechner durchführen lassen, ohne letztendlich tatsächlich einen Patch installieren zu müssen.

Seitenaufrufe

Bitte bewerten Sie diesen Beitrag!
[Gesamt: 0 | Durchschnitt: 0]