Hoe kunt u de netstat opdracht gebruiken in Windows 10

U kunt de opdracht netstat gebruiken om veel netwerkproblemen te controleren en op te lossen, in dit Windows 10 artikel bieden we u de kennis om aan de slag te gaan met deze tool in Windows 10.

In Windows 10 bestaat netstat (netwerkstatistieken) al een hele tijd, het is een opdrachtregel hulpprogramma dat u in de opdrachtprompt kunt gebruiken om statistieken voor alle netwerkverbindingen weer te geven. Het stelt u in staat om open en verbonden poorten te begrijpen om netwerkproblemen voor systemen of applicaties te bewaken en op te lossen.

Wanneer u deze tool gebruikt, kunt u actieve netwerken (inkomende en uitgaande) verbindingen en luisterpoorten weergeven. U kunt netwerkadapter statistieken bekijken, evenals statistieken voor protocollen zoals IPv4 en IPv6. U kunt zelfs de huidige routeringstabel weergeven en nog veel meer.

In dit Windows 10 artikel nemen we u mee door de stappen om de opdracht netstat te gebruiken om verbindingen te onderzoeken om open en verbonden netwerkpoorten te ontdekken.

  • Netstat gebruiken in Windows 10
  • Netstat parameters gebruiken in Windows 10
  • Netstat details zoeken in Windows 10

Netstat gebruiken in Windows 10

Gebruik deze stappen om aan de slag te gaan met netstat:

  1. Klik met de rechtse muisknop op Start .
  2. Klik op  opdrachtprompt en selecteer de optie Als administrator uitvoeren .
  3. Typ de volgende opdracht om alle actieve TCP verbindingen weer te geven en druk op Enter :
netstat
  • (Optioneel) Typ de volgende opdracht om actieve verbindingen weer te geven met een numeriek IP-adres en poortnummer in plaats van te proberen de namen te achterhalen, en druk op Enter :
netstat -n
  • (Optioneel) Typ de volgende opdracht om de informatie met een bepaald interval te vernieuwen en druk op Enter :
netstat -n INTERVAL (seconde)

Zorg ervoor dat u in de opdracht INTERVAL vervangt door een nummer in seconden dat u de informatie opnieuw wilt weergeven.

In dit voorbeeld wordt de betreffende opdracht elke vijf seconden vernieuwd:

netstat -n 5

Opmerking: wanneer u de intervalparamenter gebruikt, kunt u de opdracht beëindigen met de sneltoets Ctrl + C in de console.

Nadat u de opdracht heeft uitgevoerd, wordt een lijst met alle actieve verbindingen in vier kolommen geretourneerd, waaronder:

  • Proto: toont het verbindingsprotocol (TCP of UDP).
  • Lokaal adres: toont het IP-adres van de computer gevolgd door een puntkomma met een poortnummer van de verbinding. De dubbele puntkomma tussen haakjes geeft het lokale IPv6-adres aan, en “0.0.0.0” of 127.0.0.1 verwijst ook naar het lokale adres.
  • Buitenlands adres: geeft het IP-adres (of FQDN) van het externe apparaat weer met het poortnummer na de poortnaam met puntkomma (bijvoorbeeld https, http, microsoft-ds, wsd).
  • State: geeft aan waar de verbinding actief is (tot stand gebracht), de lokale poort is gesloten (time_wait) en het programma heeft de poort niet gesloten (close_wait). Andere statussen zijn onder meer gesloten, fin_wait_1, fin_wait_2, last_ack, listen, syn_received, syn_send en timed_wait.

Netstat parameters gebruiken in Windows 10

De Netsat tool bevat ook verschillende parameters die u in de opdrachtprompt kunt gebruiken om verschillende informatie over de netwerkverbindingen weer te geven.

Toon actieve en inactieve verbindingen

De netstat -a opdracht geeft alle actieve en inactieve verbindingen weer, en de TCP- en UDP-poorten waar het apparaat momenteel naar luistert.

netstat -a

Toon uitvoerbare informatie

De netstat -b opdracht geeft een overzicht van alle uitvoerbare bestanden (toepassingen) die aan elke verbinding zijn gekoppeld. Soms openen applicaties meerdere verbindingen.

netstat -b

Toon netwerkadapterstatistieken

De netstat -e opdracht genereert een statistiek van de netwerkinterface, die informatie toont zoals het aantal bytes, unicast en niet-unicast verzonden en ontvangen pakketten. U kunt ook weggegooide pakketten en fouten en onbekende protocollen zien, waarmee u netwerkproblemen kunt oplossen.

netstat -e

Toon FQDNS voor buitenlandse adressen

De netstat -f opdracht toont de volledig gekwalificeerde domeinnaam (FQDN) voor buitenlandse adressen. Bijvoorbeeld “server-54-230-157-50.otp50.r.cloudfront.net:http” in plaats van “server-54-230-157-50: http” of “54.230.157.50”.

Toon numerieke vorm

De netstat -n opdracht geeft de adressen en poorten in numerieke vorm weer. Bijvoorbeeld 54.230.157.50:443.

Toon proces-ID

De netstat -o opdracht toont alle actieve TCP-verbindingen zoals netstat, maar met het verschil dat een vijfde kolom wordt toegevoegd om de proces-ID (PID) voor elke verbinding weer te geven. De processen die in deze weergave beschikbaar zijn, zijn hetzelfde op het tabblad “Details” van Taakbeheer, dat ook de toepassing onthult die de verbinding gebruikt.

Toon verbindingen per protocol

Het netstat -p kan worden gebruikt om verbindingen per-protocol te tonen dat u moet opgeven met tcp, udp, tcpv6of udpv6 naast de opdracht. U kunt bijvoorbeeld de netstat -p tcp gebruiken om een ​​lijst met TCP-verbindingen weer te geven.

Toon luisterende en niet-luisterende poorten

De netstat -q opdrachten kunnen een lijst produceren van alle verbindingen met de luisterende en gebonden niet-luisterende poorten.

Toon statistieken per protocol

Het netstat -s toont netwerkstatistieken voor alle beschikbare protocollen, inclusief TCP-, UDP-, ICMP- en IP-protocollen (versie 4 en 6).

Toon routingtabel

De netstat -r opdracht geeft de huidige netwerkroutingtabel weer met alle routes naar bestemmingen en statistieken die bekend zijn bij het apparaat, voor IP-versie 4 en versie 6 (indien van toepassing). Als de geretourneerde informatie er bekend uitziet, komt dat omdat u de gegevens ook kunt uitvoeren met de route print opdracht.

Toon offload statusverbindingen

De netstat -t opdracht genereert een lijst met de huidige offload-status van de verbinding. De offload-status verwijst naar de TCP Chimney Offload , een functie die de netwerkbelasting van de processor naar de netwerkadapter overbrengt tijdens gegevensoverdracht. De “InHost” -waarde geeft aan dat offloading niet is ingeschakeld, en de “Offload” betekent dat de functie de workload naar de netwerkadapter overdraagt. (Deze functie is alleen aanwezig op ondersteunde netwerkadapters.)

Toon Network Direct-verbindingen

Het netstat -xis een andere ondersteunde opdracht op Windows 10 en produceert een lijst met Network Direct-verbindingen, gedeelde eindpunten en luisteraars.

NetworkDirect is een specificatie voor Remote Direct Memory Access (RDMA), een proces dat snelle gegevensoverdracht mogelijk maakt met behulp van de netwerkadapter, waardoor de processor vrij komt om andere taken uit te voeren. Gewoonlijk gebruikt u deze opdracht nooit, tenzij u de serverversie van Windows gebruikt of een krachtige toepassing met een netwerkadapter die deze functie ondersteunt.

Toon verbindingssjabloon

De netstat -y opdracht geeft TCP-verbindingssjablonen weer voor alle verbindingen. Hieronder aangegevn als “Template”.

Combineer parameters

Wanneer u de netstat opdracht gebruikt, kunt u de parameters ook combineren om in veel gevallen verschillende informatie samen weer te geven.

Bijvoorbeeld, het -e kan parameter ook worden gebruikt met de -s parameter statistieken voor elke beschikbare protocol en de -o parameters kunnen worden gecombineerd met -a, -n en -p indien nodig.

Deel van de reactie netstat -e -s

Met de netstat -p opdracht, samen met de s parameter, kunt u statistieken weer van nog meer protocollen, met inbegrip van icmpipicmpv6, en ipv6.

Als u meer dan één parameter gebruikt, kunt u deze ook combineren met één. Bijvoorbeeld, in plaats van het schrijven van de opdracht netstat -e -s, kunt u schrijven het zo graag: netstat -es.

Als u alle beschikbare parameters en aanvullende hulp wilt zien, kunt u altijd het netstat /?commando gebruiken.

Netstat-details zoeken in Windows 10

Naast het weergeven van alle beschikbare statistische informatie, kunt u met deze stappen ook alleen de bepaalde details uitvoeren die u nodig heeft:

  1. Klik met de rechtse muisknop op Start.
  2. Klik op  opdrachtprompt en selecteer de optie Als administrator uitvoeren.
  3. Typ de volgende opdracht om alle verbindingen weer te geven waarvan de status is ingesteld op LISTENING en druk op Enter :
netstat -q | findstr STRING

Zorg ervoor dat u in de opdracht STRING vervangt door de informatie die u wilt weergeven. De optie findstr is ook hoofdlettergevoelig, wat betekent dat u de string die u wilt zoeken met de exacte hoofdletters en kleine letters moet invoeren.

In dit voorbeeld worden alle verbindingen weergegeven waarvan de status is ingesteld op “LUISTEREN” gebruik in de opdracht de Engelse vertaling hiervan LISTENING.

netstat -q | findstr LISTENING

Dit andere voorbeeld toont alle verbindingen van een buitenlandse server FQDN, in dit geval Amazon:

netstat -f | findstr amazon

Zoals u kunt zien, hoeft u slechts een deel van de string in te typen om een ​​resultaat te retourneren.

De opdracht findstr maakt geen deel uit van de netstat tool. Het is een eenvoudige opdracht om naar een tekstreeks in een bestand te zoeken, maar u kunt deze met veel van de netstat opdrachten gebruiken om de informatie die u bekijkt beter te begrijpen.

De netstat opdracht is beschikbaar in Windows 10, maar u kunt deze ook vinden in Windows Server, Windows 8.x, Windows 7 en oudere versies. De tool is ook niet exclusief voor Windows, omdat deze ook beschikbaar is op verschillende platforms, waaronder Linux en macOS. Ook al kunnen de parameters en syntaxis verschillen, ze lijken allemaal op elkaar.

Microsoft geeft update KB4577063 build 19041.546 uit voor Windows 10 mei 2020

Belangrijke veranderingen

  • Voegt een melding toe aan Internet Explorer 11 die gebruikers informeert over het einde van de ondersteuning voor Adobe Flash in december 2020. Zie KB4581051 voor meer informatie .
  • Werkt een probleem bij waardoor games die ruimtelijke audio gebruiken, niet meer werken. 
  • Vermindert vervormingen en aberraties in Windows Mixed Reality head-mounted displays (HMD). 
  • Zorgt ervoor dat nieuwe Windows Mixed Reality HMD’s voldoen aan de minimale specificatievereisten en standaard een vernieuwingsfrequentie van 90 Hz hebben. 
  • Voegt ondersteuning toe voor bepaalde nieuwe Windows Mixed Reality-bewegingscontrollers. 

Microsoft heeft vandaag een nieuwe optionele update uitgebracht voor de Windows 10 mei 2020. De build 19041.546 KB4577063 lost een probleem op met ruimtelijke audio in games, evenals vervormingsproblemen voor gebruikers van Windows Mixed Reality-headsets. U kunt hieronder lezen wat Microsoft heeft benadrukt over deze optionele patch kijk hier voor de volledige release-opmerkingen.

  • Voegt een melding toe aan Internet Explorer 11 die gebruikers informeert over het einde van de ondersteuning voor Adobe Flash in december 2020. Zie ook KB4581051 voor meer informatie.
  • Lost een probleem op met Microsoft Edge IE-modus dat optreedt wanneer u Verbeterde vastloopdetectie configureren voor Internet Explorer-modus in Microsoft Edge inschakelt . 
  • Lost een probleem op dat in sommige gevallen verhindert dat de taalbalk wordt weergegeven wanneer de gebruiker inlogt bij een nieuwe sessie. Dit gebeurt ook al is de taalbalk correct geconfigureerd. 
  • Lost een probleem op waarbij het eerste Oost-Aziatische taalteken dat in een Microsoft Foundation Class Library (MFC) DataGrid is getypt, niet wordt herkend. 
  • Lost een probleem op waardoor u geen verbinding kunt maken met een eerder gesloten sessie omdat die sessie zich in een onherstelbare staat bevindt. 
  • Lost een probleem op waardoor games die ruimtelijke audio gebruiken, niet meer werken. 
  • Hiermee wordt een probleem opgelost dat verhindert dat verouderde gebruikersprofielen worden verwijderd wanneer u een groepsbeleidsobject (GPO) voor het opschonen van profielen configureert. 
  • Lost een probleem op waarbij het selecteren van Ik ben mijn pincode vergeten in Instellingen> Accounts> Aanmeldingsopties mislukt in een Windows Hello for Business On-Premise-implementatie. 
  • Werkt de tijdzonegegevens van 2021 voor Fiji bij. 
  • Lost een probleem op dat van invloed is op de mogelijkheid van Microsoft System Center Operations Manager (SCOM) om de werklast van een klant te bewaken. 
  • Lost een probleem op dat willekeurige regeleinden veroorzaakt wanneer u de foutuitvoer van de PowerShell-console omleidt. 
  • Lost een probleem op met het maken van HTML-rapporten met tracerpt . 
  • Hiermee kan het DeviceHealthMonitoring Cloud Service Plan (CSP) worden uitgevoerd op Windows 10 Business- en Windows 10 Pro-edities.
  • Lost een probleem op dat verhindert dat de inhoud onder HKLM \ Software \ Cryptography wordt overgedragen tijdens Windows-functie-updates. 
  • Lost een probleem op dat een toegangsfout veroorzaakt in lsass.exe wanneer een proces wordt gestart met de opdracht runas in bepaalde omstandigheden. 
  • Lost een probleem op waarbij Windows Defender Application Control regels voor de familienaam van pakketten afdwingt die alleen audit zouden moeten zijn. 
  • Hiermee wordt een probleem opgelost waarbij een fout wordt weergegeven waarin wordt gemeld dat een wijziging van de pincode van een smartcard niet is gelukt, hoewel de pincode is gewijzigd. 
  • Lost een probleem op dat mogelijk dubbele Foreign Security Principal-directoryobjecten maakt voor geverifieerde en interactieve gebruikers in de domeinpartitie. Als gevolg hiervan is aan de oorspronkelijke directoryobjecten “CNF” toegevoegd aan hun namen en worden ze verminkt. Dit probleem treedt op wanneer u een nieuwe domeincontroller promoot met de vlag CriticalReplicationOnly . 
  • Werkt de configuratie van Windows Hello Gezichtsherkenning bij zodat deze goed werkt met camera’s met een golflengte van 940 nm. 
  • Vermindert vervormingen en aberraties in Windows Mixed Reality head-mounted displays (HMD). 
  • Zorgt ervoor dat nieuwe Windows Mixed Reality HMD’s voldoen aan de minimale specificatievereisten en standaard een vernieuwingsfrequentie van 90 Hz hebben. 
  • Lost een probleem op dat een stopfout veroorzaakt op een Hyper-V-host wanneer een virtuele machine (VM) een specifieke SCSI-opdracht (Small Computer System Interface) geeft. 
  • Lost een probleem op dat ertoe kan leiden dat pogingen om een ​​socket aan een gedeelde socket te binden mislukken. 
  • Lost een probleem op dat ertoe kan leiden dat toepassingen niet worden geopend of andere fouten veroorzaken wanneer toepassingen Windows API’s gebruiken om te controleren op internetverbinding en het netwerkpictogram ten onrechte ‘Geen internettoegang’ weergeeft in het systeemvak. Dit probleem doet zich voor als u een groepsbeleid of lokale netwerkconfiguratie gebruikt om actief zoeken uit te schakelen voor de Network Connectivity Status Indicator (NCSI). Dit gebeurt ook als actieve sondes geen proxy gebruiken en passieve sondes geen internetverbinding kunnen detecteren. 
  • Hiermee wordt een probleem opgelost dat verhindert dat Microsoft Intune synchroniseert op een apparaat dat gebruikmaakt van de VPNv2-configuratieserviceprovider (Virtual Private Network) versie 2 (CSP). 
  • Stopt uploads en downloads van peers wanneer een VPN-verbinding wordt gedetecteerd. 
  • Lost een probleem op dat verhindert dat beheertools van Microsoft Internet Information Services (IIS), zoals IIS Manager, een ASP.NET-toepassing beheren die dezelfde cookie-instellingen heeft geconfigureerd in web.config . 
  • Lost een probleem op met ntdsutil.exe waardoor u Active Directory-databasebestanden niet kunt verplaatsen. De fout is: “Verplaats bestand is mislukt met bron <original_full_db_path> en bestemming <new_full_db_path> met fout 5 (toegang is geweigerd.)” 
  • Lost een probleem op dat ten onrechte meldt dat Lightweight Directory Access Protocol (LDAP) -sessies onveilig zijn in gebeurtenis-ID 2889. Dit gebeurt wanneer de LDAP-sessie is geverifieerd en verzegeld met een Simple Authentication and Security Layer (SASL) -methode. 
  • Lost een probleem op dat ertoe kan leiden dat Windows 10-apparaten die Credential Guard inschakelen, verificatieverzoeken mislukken wanneer ze het machinecertificaat gebruiken. 
  • Herstelt het geconstrueerde kenmerk in Active Directory en Active Directory Lightweight Directory Services (AD LDS) voor msDS-parentdistname . 
  • Lost een probleem op dat ertoe leidt dat query’s tegen grote sleutels op Ntds.dit mislukken met de fout ‘MAPI_E_NOT_ENOUGH_RESOURCES’. Dit probleem kan ertoe leiden dat gebruikers een beperkte beschikbaarheid van vergaderruimten zien, omdat de Exchange Messaging Application Programming Interface (MAPI) geen extra geheugen kan toewijzen voor de vergaderverzoeken. 
  • Hiermee wordt een probleem opgelost dat met tussenpozen OSCP-auditgebeurtenissen (5125) (Online Certificate Status Protocol) genereert om aan te geven dat een verzoek is ingediend bij de OCSP-responderservice. Er is echter geen verwijzing naar het serienummer of de domeinnaam (DN) van de uitgever van het verzoek. 
  • Lost een probleem op waarbij vreemde tekens worden weergegeven vóór de dag-, maand- en jaarvelden in de uitvoer van console-opdrachten. 
  • Lost een probleem op waardoor lsass.exe niet meer werkt, waardoor het systeem opnieuw wordt opgestart. Dit probleem treedt op wanneer ongeldige herstartgegevens worden verzonden met een niet-kritieke zoekfunctie voor wisselende pagina’s. 
  • Lost een probleem op waarbij de gebeurtenissen 4732 en 4733 voor wijzigingen in het lidmaatschap van een domein-lokale groep in bepaalde scenario’s niet worden geregistreerd. Dit gebeurt wanneer u het besturingselement “Toegeeflijk wijzigen” gebruikt; De PowerShell-modules van Active Directory (AD) gebruiken bijvoorbeeld dit besturingselement. 
  • Lost een probleem op met het Microsoft Cluster Shared Volumes File Systems (CSVFS) -stuurprogramma dat Win32 API-toegang tot SQL Server Filestream-gegevens verhindert. Dit gebeurt wanneer de gegevens worden opgeslagen op een gedeeld clustervolume in een SQL Server-failoverclusterinstantie, die zich op een Azure-VM bevindt. 
  • Lost een probleem op dat een impasse veroorzaakt wanneer offlinebestanden zijn ingeschakeld. Als gevolg hiervan bevat CscEnpDereferenceEntryInternal ouder- en kindersloten. 
  • Lost een probleem op dat ervoor zorgt dat ontdubbelingstaken mislukken met stopfout 0x50 wanneer u HsmpRecallFreeCachedExtents () aanroept . 
  • Lost een probleem op waardoor toepassingen niet meer werken wanneer ze de API’s voor delen van extern bureaublad van Microsoft gebruiken. De uitzonderingscode voor het onderbrekingspunt is 0x80000003. 
  • Verwijdert de HTTP-aanroep naar www.microsoft.com die de Remote Desktop Client ( mstsc.exe ) maakt bij het afmelden bij gebruik van een Remote Desktop Gateway. 
  • Lost een probleem op met het evalueren van de compatibiliteitsstatus van het Windows-ecosysteem om de applicatie- en apparaatcompatibiliteit voor alle updates voor Windows te waarborgen. 
  • Voegt ondersteuning toe voor bepaalde nieuwe Windows Mixed Reality-bewegingscontrollers. 
  • Hiermee wordt een probleem opgelost dat ertoe leidde dat apps die Dynamic Data Exchange (DDE) gebruiken, niet meer reageren wanneer u probeert de app te sluiten. 
  • Voegt een Azure Active Directory (AAD) apparaattoken toe dat naar Windows Update (WU) wordt gestuurd als onderdeel van elke WU-scan. WU kan dit token gebruiken om te zoeken naar lidmaatschap van groepen met een AAD-apparaat-ID.
  • Lost een probleem op met het instellen van het groepsbeleid “Beperk delegatie van inloggegevens aan externe servers” met de modus “Beperking van inloggegevens” op de Remote Desktop Protocol (RDP) -client. Als gevolg hiervan probeert de Terminal Server-service eerst de modus “Remote Credential Guard vereist” te gebruiken en alleen “Require Restricted Admin” te gebruiken als de server “Require Remote Credential Guard” niet ondersteunt.
  • Lost een probleem op in het Windows-subsysteem voor Linux (WSL) dat een foutmelding “Element niet gevonden” genereerde wanneer u WSL probeert te starten.
  • Lost een probleem op met bepaalde WWAN LTE-modems die mogelijk geen internetverbinding weergeven in het systeemvak na het ontwaken uit de slaapstand of sluimerstand. Bovendien kunnen deze modems mogelijk geen verbinding maken met internet.

Zoals gewoonlijk moet deze optionele update handmatig worden gedownload via Windows Update, maar kan ook via Microsoft Update Catalog worden gedownload. Degenen onder jullie die ervoor kiezen om het over te slaan, krijgen nog steeds al deze kwaliteitsreparaties in de Patch Dinsdag van deze maand.

Microsoft brengt Windows 10 Insider Preview Build 19042.541 (20H2) uit

Vandaag heeft Microsoft Windows 10 20H2 Build 19042.541 (KB4577063) uit voor de Beta en Release Preview-kanalen voor die Insiders die op 20H2 zitten ( Windows 10 oktober 2020 Update ).

In deze Windows 10 Insider veranderd het volgende:

  • Ze hebben het probleem opgelost waarbij WSL niet start met de fout ‘Element niet gevonden’.
  • Een melding toegevoegd aan Internet Explorer 11 die gebruikers informeert over het einde van de ondersteuning voor Adobe Flash in december 2020. Zie KB4581051 voor meer informatie .
  • Het vermogen van het systeem verbeterd om te detecteren wanneer Microsoft Edge IE-modus niet meer reageert.
  • Een probleem opgelost dat in sommige gevallen verhinderde dat de taalbalk werd weergegeven wanneer de gebruiker zich aanmeldt bij een nieuwe sessie. Dit gebeurt ook al is de taalbalk correct geconfigureerd.
  • Een probleem opgelost waarbij het eerste teken in de Oost-Aziatische taal dat is getypt in een Microsoft Foundation Class Library (MFC) DataGrid, niet wordt herkend.
  • Een probleem opgelost waardoor u niet opnieuw verbinding kunt maken met een eerder gesloten sessie omdat die sessie zich in een onherstelbare staat bevindt.
  • Een probleem opgelost waardoor games die ruimtelijke audio gebruiken niet meer werken.
  • Een probleem opgelost dat het verwijderen van verouderde gebruikersprofielen verhindert wanneer u een groepsbeleidsobject (GPO) voor het opschonen van profielen configureert.
  • Een probleem opgelost waarbij het selecteren van Ik ben mijn pincode vergeten in Instellingen> Accounts> Aanmeldingsopties mislukt bij een implementatie van Windows Hello voor Bedrijven op locatie.
  • De tijdzone-informatie voor 2021 is bijgewerkt voor Fiji.
  • Een probleem opgelost dat van invloed was op het vermogen van de System Center Operations Manager (SCOM) van Microsoft om de werklast van een klant te bewaken.
  • Een probleem opgelost dat willekeurige regeleinden veroorzaakte wanneer u de foutuitvoer van de PowerShell-console omleidt.
  • Een probleem opgelost met het maken van HTML-rapporten met tracerpt.
  • Het DeviceHealthMonitoring Cloud Service Plan (CSP) wordt toegestaan ​​om te draaien op Windows 10 Business en Windows 10 Pro edities.
  • Een probleem opgelost waardoor de inhoud onder HKLM \ Software \ Cryptography niet kon worden overgedragen tijdens Windows-functie-updates.
  • Een probleem opgelost dat een toegangsfout veroorzaakte in lsass.exe wanneer een proces werd gestart met de opdracht runas in bepaalde omstandigheden.
  • Een probleem opgelost waarbij Windows Defender Application Control regels voor de familienaam van pakketten afdwingt die alleen audit zouden moeten zijn.
  • Een probleem opgelost waarbij een foutmelding werd weergegeven waarin werd gemeld dat een wijziging van de pincode van een smartcard niet is gelukt, hoewel de pincode is gewijzigd.
  • Een probleem opgelost dat mogelijk dubbele Foreign Security Principal-objecten voor geverifieerde en interactieve gebruikers in de domeinpartitie creëerde. Als gevolg hiervan zijn de configuratiebestanden (.cnf) voor de originele objecten beschadigd. Dit probleem treedt op wanneer u een nieuwe domeincontroller promoot met de vlag CriticalReplicationOnly.
  • De configuratie van Windows Hello Gezichtsherkenning bijgewerkt om goed te werken met camera’s met een golflengte van 940 nm.
  • Vervormingen en aberraties in Windows Mixed Reality head-mounted displays (HMD) verminderd.
  • Ervoor gezorgd dat nieuwe Windows Mixed Reality HMD voldoen aan de minimale specificatievereisten en standaard een vernieuwingsfrequentie van 90 Hz hebben.
  • Een probleem opgelost dat een stopfout veroorzaakte op een Hyper-V-host wanneer een virtuele machine (VM) een specifieke SCSI-opdracht (Small Computer System Interface) afgeeft.
  • Een probleem opgelost waardoor pogingen om een ​​socket aan een gedeelde socket te binden, mislukten.
  • Een probleem opgelost dat ertoe kon leiden dat applicaties niet konden worden geopend of andere fouten zouden veroorzaken wanneer applicaties Windows API’s gebruiken om te controleren op internetverbinding en het netwerkpictogram ten onrechte ‘Geen internettoegang’ weergeeft in het systeemvak. Dit probleem doet zich voor als u een groepsbeleid of lokale netwerkconfiguratie gebruikt om actief zoeken uit te schakelen voor de Network Connectivity Status Indicator (NCSI). Dit gebeurt ook als actieve sondes geen proxy gebruiken en passieve sondes geen internetverbinding kunnen detecteren.
  • Een probleem opgelost dat verhindert dat Microsoft Intune synchroniseert op een apparaat dat gebruikmaakt van de VPNv2-configuratieserviceprovider (Virtual Private Network) versie 2 (CSP).
  • Uploads en downloads van peers worden opgeschort wanneer een VPN-verbinding wordt gedetecteerd.
  • Een probleem opgelost dat verhinderde dat beheertools van Microsoft Internet Information Services (IIS), zoals IIS Manager, een ASP.NET-toepassing beheerde die Same-site-cookie-instellingen heeft geconfigureerd in web.config.
  • Er is een probleem opgelost met ntdsutil.exe waardoor u geen Active Directory-databasebestanden kunt verplaatsen. De fout is: “Verplaats bestand mislukt met broncode en bestemming met fout 5 (toegang geweigerd.) “
  • Er is een probleem opgelost dat ten onrechte meldt dat Lightweight Directory Access Protocol (LDAP) -sessies onveilig zijn in gebeurtenis-ID 2889. Dit gebeurt wanneer de LDAP-sessie is geverifieerd en verzegeld met een Simple Authentication and Security Layer (SASL) -methode.
  • Er is een probleem opgelost dat ertoe kon leiden dat Windows 10-apparaten die Credential Guard inschakelen, verificatieverzoeken mislukken wanneer ze het machinecertificaat gebruiken.
  • Het geconstrueerde kenmerk in Active Directory en Active Directory Lightweight Directory Services (AD LDS) hersteld voor msDS-parentdistname.
  • Een probleem opgelost dat ertoe leidde dat query’s tegen grote sleutels op Ntds.dit mislukten met de fout ‘MAPI_E_NOT_ENOUGH_RESOURCES’. Dit probleem kan ertoe leiden dat gebruikers een beperkte beschikbaarheid van vergaderruimte zien, omdat de Exchange Messaging Application Programming Interface (MAPI) geen extra geheugen kan toewijzen voor de vergaderverzoeken.
  • Een probleem opgelost waarbij met tussenpozen Online Certificate Status Protocol (OSCP) Responder-auditgebeurtenissen (5125) werden gegenereerd om aan te geven dat een verzoek was ingediend bij de OCSP-responderservice. Er is echter geen verwijzing naar het serienummer of de domeinnaam (DN) van de uitgever van het verzoek.
  • Een probleem opgelost waarbij vreemde tekens voor de dag-, maand- en jaarvelden werden weergegeven in de uitvoer van console-opdrachten.
  • Een probleem opgelost waardoor lsass.exe niet meer werkte, waardoor het systeem opnieuw werd opgestart. Dit probleem treedt op wanneer ongeldige herstartgegevens worden verzonden met een niet-kritieke zoekfunctie voor wisselende pagina’s.
  • Een probleem opgelost waarbij gebeurtenissen 4732 en 4733 voor wijzigingen in het lidmaatschap van een domein-lokale groep in bepaalde scenario’s niet konden worden geregistreerd. Dit gebeurt wanneer u het besturingselement “Toegeeflijk wijzigen” gebruikt; De PowerShell-modules van Active Directory (AD) gebruiken bijvoorbeeld dit besturingselement.
  • Een probleem opgelost met het Microsoft Cluster Shared Volumes File Systems (CSVFS) -stuurprogramma dat Win32 API-toegang tot SQL Server Filestream-gegevens verhinderde. Dit gebeurt wanneer de gegevens worden opgeslagen op een gedeeld clustervolume in een SQL Server-failoverclusterinstantie, die zich op een virtuele Azure-machine bevindt.
  • Een probleem opgelost dat een impasse veroorzaakte wanneer offlinebestanden zijn ingeschakeld. Als gevolg hiervan bevat CscEnpDereferenceEntryInternal ouder- en kindersloten.
  • Een probleem opgelost waardoor ontdubbelingstaken mislukten met stopfout 0x50 wanneer u HsmpRecallFreeCachedExtents () aanroept.
  • Een probleem opgelost waardoor applicaties niet meer werkten wanneer ze de API’s voor het delen van Remote Desktop van Microsoft gebruikten. De uitzonderingscode voor het onderbrekingspunt is 0x80000003.
  • De HTTP-aanroep naar www.microsoft.com verwijderd die de Remote Desktop Client (mstsc.exe) maakt bij het uitloggen bij gebruik van een Remote Desktop Gateway.
  • Een probleem opgelost met het evalueren van de compatibiliteitsstatus van het Windows-ecosysteem om de applicatie- en apparaatcompatibiliteit voor alle updates voor Windows te garanderen.
  • Ondersteuning is toegevoegd voor bepaalde nieuwe Windows Mixed Reality-bewegingscontrollers.
  • Een probleem opgelost waardoor apps die Dynamic Data Exchange (DDE) gebruiken, niet meer reageren wanneer u probeert de app te sluiten.
  • Een Azure Active Directory (AAD) apparaattoken toegevoegd dat als onderdeel van elke WU-scan naar Windows Update (WU) wordt verzonden. WU kan dit token gebruiken om te zoeken naar lidmaatschap van groepen met een AAD-apparaat-ID.
  • Een probleem opgelost met het instellen van het groepsbeleid “Beperk delegatie van inloggegevens aan externe servers” met de modus “Inloggegevens beperken” op de Remote Desktop Protocol (RDP) -client. Als gevolg hiervan probeert de Terminal Server-service eerst de modus “Remote Credential Guard vereist” te gebruiken en zal alleen “Require Restricted Admin” worden gebruikt als de server “Require Remote Credential Guard” niet ondersteunt.

Bron: Microsoft.com

Microsoft houdt de criminelen weg en koopt de Corp-domeinnaam

Vandaag heeft beveiligingsexpert Brian Krebs op deze blog gepost dat Microsoft blijkbaar het domein corp.com heeft gekocht. Het domein werd geveild tegen een startprijs van $ 1,7 miljoen toen het werd vermeld door zijn inwoner uit Wisconsin, Mike O’Connor, die het domein al 26 jaar in bezit heeft. Het doel van Microsoft bij de aankoop van het domein was om het domein uit handen te houden van snode acteurs en op basis van de verklaring van de vorige eigenaar lijkt het erop dat Microsoft een goede reden had om deze actie te ondernemen. Mike O’Conner gaf aan dat “honderdduizenden Windows pc’s gevoelige gegevens proberen te delen met corp.com”

Het domein kan potentiële beveiligingsproblemen hebben veroorzaakt voor de Windows-clients van het bedrijf, waarbij beheerders de generieke domeinnaam gebruikten bij het instellen van Active Directory, ook wel bekend als naamruimtebotsing. Jarenlang hebben experts gesuggereerd dat iedereen die toegang zou krijgen tot corp.com mogelijk ook toegang zou krijgen tot gevoelige gegevens van honderdduizenden Windows-systemen over de hele wereld.

Hoewel we Microsoft allemaal prijzen voor zijn inspanningen op het gebied van beveiliging, inclusief hun aankoop van TLS 1.2, betekent dit niet dat het probleem is opgelost. De aankoop van Microsoft helpt bedrijven te beschermen die Active Directory-infrastructuren hebben gebouwd bovenop ‘corp’ of ‘corp.com’, maar elk bedrijf dat hun interne Active Directory-netwerk heeft verbonden met een domein dat ze niet beheren, stelt zich nog steeds open voor een vergelijkbaar potentieel beveiligingsnachtmerrie.

De stille ontwikkeling van phishing technieken in 2019 door Microsoft

De slimste phishing trucs van dit jaar zijn het kapen van zoekresultaten van Google en misbruik maken van 404-foutpagina’s.

Eerder deze maand bracht Microsoft een rapport uit over de malware- en cyberbeveiligings trends van dit jaar. Een van de weinige trends die in het rapport werden benadrukt, was dat phishing een van de weinige aanvalsvectoren was die de afgelopen twee jaar een toename van activiteit zag.

Microsoft zei dat phishing-pogingen groeiden van minder dan 0,2% in januari 2018 tot ongeveer 0,6% in oktober 2019, waarbij 0,6% het percentage phishing-e-mails vertegenwoordigde dat werd gedetecteerd in het totale aantal e-mails dat Microsoft analyseerde.

Bron: Microsoft

Terwijl phishing aanvallen toe namen, daalde het aantal ransomware, cryptomining en andere malware infecties, zei het bedrijf destijds .

In een blogpost die woensdag 11 december is gepubliceerd, heeft de technologiegigant uit Redmond drie van de slimmere phishing-aanvallen besproken die het dit jaar heeft gezien.

Zoekresultaten Kapen

De eerste is een gelaagde malware-operatie waardoor een criminele bende de zoekresultaten van Google heeft vergiftigd. De regeling ging als volgt:

  • Oplichters hebben webverkeer gekaapt van legitieme sites naar websites die zij beheerden;
  • De domeinen werden het beste Google zoekresultaat voor zeer specifieke voorwaarden;
  • Phishers stuurden e-mails naar slachtoffers die het Google-zoekresultaat voor die specifieke term koppelden;
  • Als het slachtoffer op de Google link klikte met het beste resultaat, zouden ze op een door een aanvaller gecontroleerde website terechtkomen;
  • Deze website zou de gebruiker vervolgens omleiden naar een phishing pagina;
fig1-phishing-vergiftigd-search-results.png
Afbeelding: Microsoft

Met behulp van deze techniek konden phishers phishing-e-mails verzenden die alleen legitieme URL’s bevatten (bijvoorbeeld een link naar zoekresultaten) en een vertrouwd domein, bijvoorbeeld:

hxxps: // www [.] google [.] ru / # btnI & q =% 3Ca% 3EhOJoXatrCPy% 3C / a% 3E

hxxps: // www [.] google [.] ru / # btnI & q =% 3Ca% 3EyEg5xg1736iIgQVF% 3C / a% 3E

De campagne werd nog geheimzinniger gemaakt door het gebruik van locatiespecifieke zoekresultaten. Bij toegang door gebruikers in Europa leidde de phishing URL naar de redirector-website c77684gq [.] Beget [.] Tech , en uiteindelijk naar de phishing-pagina. Buiten Europa leverde dezelfde URL geen zoekresultaten op.

U zou denken dat het wijzigen van de zoekresultaten van Google gigantisch veel moeite kost, maar dit was eigenlijk vrij eenvoudig, omdat aanvallers zich niet op trefwoorden met veel verkeer richtten, maar zich in plaats daarvan concentreerden op wartaal zoals ‘hOJoXatrCPy’.

Bovendien zei Microsoft:

“de campagne werd nog geheimzinniger gemaakt door het gebruik van locatiespecifieke zoekresultaten.”

“Bij toegang door gebruikers in Europa leidde de phishing-URL naar de redirector-website c77684gq [.] Beget [.] Tech, en uiteindelijk naar de phishing-pagina. Buiten Europa leverde dezelfde URL geen zoekresultaten op,”

aldus Microsoft.

Misbruik Van 404-Foutpagina’s

Een andere slimme truc die dit jaar door phishers werd gebruikt, werd voor het eerst opgemerkt in een phishing campagne die Microsoft in augustus ontdekte en die in deze Twitter-thread vastlegde .

Bron: Microsoft

Deze campagne is sluw van slimheid.

Hoewel de meeste phishing-e-mails een link bevatten naar de phishing URL waarnaar ze gebruikers willen lokken, bevatten aanvallers voor deze campagne ook links die naar niet-bestaande pagina’s wezen.

Wanneer de beveiligingssystemen van Microsoft de link scannen, kregen ze een 404 foutmelding terug omdat de link niet bestaat en zou Microsoft de link als veilig beschouwen.

Als een echte gebruiker de URL echter zou openen, zou de phishing site de gebruiker detecteren en deze omleiden naar een werkelijke phishing pagina in plaats van de standaard 404 foutpagina van de server.

fig7-phishing-microsoft-rendering-site.png
Bron: Microsoft

Microsoft zei dat wanneer deze truc werd gekoppeld aan technieken zoals algoritmen voor het genereren van subdomeinen en het regelmatig wijzigen van het hoofddomein, aanvallers ‘vrijwel onbeperkte phishing-URL’s‘ konden genereren.

Redirector code
Bron: Microsoft

Omdat de verkeerd ingedeelde 404-pagina wordt weergegeven op een niet-bestaande URL in een door een aanvaller beheerd domein, kunnen de phishers willekeurige URL’s gebruiken voor hun campagnes. We zagen bijvoorbeeld dat deze twee URL’s werden gebruikt in phishing campagnes; de aanvallers voegden een enkel karakter toe aan het tweede om een ​​nieuwe URL te genereren maar dezelfde phishing-pagina te tonen:

  • hxxps: [.] [.] // skype-online8024 web app / 8cc1083b0ffdf1e5b9594c045c825b02d41d8cd98f00b204e9800998ecf8427e # ZG1jY2FubkBtb3Jicm9zLmNvbQ
  • hxxps: [.] [.] // skype-online8024 web app / 8cc1083b0ffdf1e5b9594c045c825b02d41d8cd98f00b204e9800998ecf8427e # ZG1jY2FubkBtb3Jicm9zLmNvbQs

We hebben ook vastgesteld dat de aanvallers gerandomiseerde domeinen hebben, waardoor het aantal phishing-URL’s exponentieel is toegenomen:

  • outlookloffice365usertcph4l3q [.] web [.] app
  • outlookloffice365userdqz75j6h [.] web [.] app
  • outlookloffice365usery6ykxo07 [.] web [.] app

Al deze niet-bestaande URL’s retourneerden de 404-foutpagina, dat wil zeggen de phishing-pagina:

 Wanneer toegang tot phishing-URL wordt verkregen, reageert de server met het HTTP 404-foutbericht, een phishing-pagina
Bron: Microsoft

Man in the Middle (MitM) Gebaseerde Phishing

Een derde phishing-truc die Microsoft dit jaar als een slimme phishing aanval wilde benadrukken, was een die gebruik maakte van een man-in-the-middle-server (MitM). Microsoft legt uit:

“Eén specifieke phishing-campagne in 2019 bracht imitatie naar een hoger niveau. In plaats van dat aanvallers elementen van de vervalste legitieme website kopieerden, legde een man-in-the-middle-component bedrijfsspecifieke informatie zoals logo’s, banners, tekst en achtergrondafbeeldingen vast De rendering-site van Microsoft. […] Het resultaat was exact dezelfde ervaring als de legitieme aanmeldingspagina, wat het vermoeden aanzienlijk kon verminderen. “

Deze op MitM gebaseerde techniek is echter niet perfect, omdat de URL van de phishing-site nog steeds zichtbaar is in de adresbalk, net als op elke andere phishing-site.

Dit betekent dat zelfs als gebruikers kunnen worden misleid door de perfect ogende inlogpagina, ze rampen kunnen voorkomen door de URL van de pagina nauwkeurig te inspecteren.

Bron: Microsoft

Pin It on Pinterest