Registry deletekey

g.burck · Beitrag von **g.burck** » 31 Mai 2022, 16:24

Moin,

ich möchte für den aktuellen Exploit für den MSDT (Microsoft Diagnostics Tool) ein kleines Paket schreiben, um den Key zu exportieren und zu löschen.

Code: Alles auswählen

[Actions]
Winbatch_exportReg
Registry_deleteKey

[Winbatch_exportReg]
reg export HKEY_CLASSES_ROOT\ms-msdt c:\tmp\ms-mdt.reg

[Registry_deleteKey]
DeleteKey [HKEY_CLASSES_ROOT\ms-msdt]

Während das exportieren funktioniert, 'hängt' sich OPSI bei dem Delete Befehl manchmal auf. OPSI bleibt bei lade Oberfläche stehen.
Leider nicht reproduzierbar, manchmal läuft es durch?

Das gleich passiert mir bei einem reg delete HKEY_CLASSES_ROOT\ms-msdt /f im Winbatch Bereich.

g.burck · Beitrag von **g.burck** » 31 Mai 2022, 16:36

Fehler wahrscheinlich gefunden, wenn die Datei schon da ist fragt der Export noch nach dem überschreiben.

also noch ein /y dran

SisterOfMercy · Beitrag von **SisterOfMercy** » 02 Jun 2022, 02:48

Also, don't forget that HKEY_CLASSES_ROOT is a combination of the classes of HKCU and HKLM.
You might want to use HKLM to make sure the thing you want to export is not overwritten by a choice the user has made.

Disclaimer: I think it works that way. I am totally not sure, and I do not have enough drugs to work through the microsoft documentation.

isol · Beitrag von **isol** » 02 Jun 2022, 13:25

Hallo, we are also new to OPSI, for the same reason -we want to deploy regedit files disabling the ms-msdt handler.
But up to now I did not manage to package a .reg script, could someone give me a basic explanation where to put such a script and how to deploy it? Do I need the PackageBuilder for this? I read the manual but the examples I found always cover the installation of software, at the moment we just torun this script once everywhere.
I would be glad for a short hint about the steps.
Best regards and thanks, Jakob

Jan.Schmidt · Beitrag von **Jan.Schmidt** » 02 Jun 2022, 15:40

Jungs, Mädelzzz

es gibt eine GPO um das Problem zu lösen und das nutzen der GPO ist auch der bessere (offiziell unterstützte Weg) das regkey gedöhnse ist BS.
https://admx.help/?Category=Windows_10_ ... uage=de-de

isol · Beitrag von **isol** » 02 Jun 2022, 16:01

Das ist ja schön, aber ohne Domäne nützt mir das gerade nichts.... übrigens ist der regkey der von Microsoft empfohlene Weg:
https://msrc-blog.microsoft.com/2022/05 ... erability/

SisterOfMercy · Beitrag von **SisterOfMercy** » 15 Jun 2022, 14:58

isol hat geschrieben: ↑02 Jun 2022, 16:01 Das ist ja schön, aber ohne Domäne nützt mir das gerade nichts.... übrigens ist der regkey der von Microsoft empfohlene Weg:
https://msrc-blog.microsoft.com/2022/05 ... erability/

You can also use these registry keys without a domain.

Jan.Schmidt · Beitrag von **Jan.Schmidt** » 15 Jun 2022, 17:01

Hi,

nur zur Info:

Follina / CVE-2022-30190 ist (angeblich) mit dem gestrigen patchday Geschichte.

forum.opsi.org

Registry deletekey

Registry deletekey

Re: Registry deletekey

Re: Registry deletekey

Re: Registry deletekey

Re: Registry deletekey

Re: Registry deletekey

Re: Registry deletekey

Re: Registry deletekey