Windows Zandbak

Posted on by

Iets testen? Kijken of een bestand geen malware is? Daar heeft geen aparte machine voor nodig; ook geen grote virtuele machine zoals die hier voor Windows 11 beschikbaar wordt gesteld. De oplossing heet Windows Sandbox (Windows Zandbak). Deze feature maakt het mogelijk om een tweede virtuele machine op uw Windows omgeving neer te zetten, zonder dat dit een heel grote omgeving wordt die vele gigabytes aan diskruimte vragen.

Wat u nodig heeft?

  • Een 64-bit systeem
  • Virtualisatie mogelijkheden in de BIOS
  • 4GB RAM geheugen
  • 1GB vrije diskruimte
  • Twee CPU cores

Belangrijk: Windows Sandbox is niet beschikbaar voor Windows Home Edities

Hoe het werkt?

  • Open het Start Menu
  • Start OptionalFeatures
  • Vink Windows Sandbox aan
  • Herstart uw computer
  • In de zoekbalk is nu Windows Sandbox in te geven en u start vanaf daar de app
  • Het duurt heel even voordat de machine klaar is
  • Zodra de machine klaar is, kunt u met testen op deze machine starten

.Een handige video in het Engels over dit onderewerp

Meer informatie…
Meer informatie in het Engels op de website van Microsoft. Bovendien heeft Thomas Maurer naast een video ook een duidelijke blogpost (in het Engels) aan dit onderwerp gewijd.

Met deze feature maakt Microsoft het gebruik van Windows nóg veiliger. Wanneer u niet zeker bent of iets wél of geen malware is, kunt u dat nu dus veilig in de Windows Sandbox testen. Wanneer u uw Windows Sandbox met het kruisje sluit, gaan alle wijzigingen verloren.

Succes!

Windows niet geactiveerd? Laat het scherm verdwijnen

Posted on by

Wanneer Windows niet is geactiveerd, wordt op het Windows scherm het bericht “Activate Windows; Go to Settings to Activate Windows” getoond. Dit is op de volgende manier eenvoudig uit te schakelen:

  • Start de command prompt als Administrator
  • Geef het commando bcedit -set TESTSIGNING OFF in.

Computer opnieuw opstarten en klaar is Kees!

Ransomware; ook uw SQL Server is (juist) niet veilig!

Posted on by

Ook uw SQL Server is niet veilig voor Ransomware. Sterker nog: uw data op de SQL Server is een heel mooi doel voor Ransomware. Wist u dat Windows een ingebouwde beveiliging heeft voor Ransomware? Dit heet “Controlled folder access”.

Waar vind ik het en hoe stel ik het in?
Deze optie kan direct vanuit de zoekbalk in het Start Menu worden gevonden. In de zoekbalk geeft u “Ransomware Protection” in. Vervolgens heeft u daar de mogelijkheid de optie ‘Aan’ te zetten. BELANGRIJK: deze optie staat niet voor niets standaard uit! Microsoft heeft hier heel goed over nagedacht omdat deze optie alleen ‘approved apps’ wijzigingen kunnen en mogen maken op de bestanden in de betrokken folder(s).

Het staat aan… en nu?
Nu worden alle folders met gebruikersbestanden van de ingelogde gebruiker (Documents, dus bijvoorbeeld) beschermd tegen ongeautoriseerde wijzigingen. Het is mogelijk om eigen folders toe te voegen.

Wijzigingen worden nu tegen gehouden… wat nu?
Als de applicatie die de wijziging maakt betrouwbaar is, kan deze applicatie aan ‘Add an allowed app’ worden toegevoegd, eventueel via ‘Block history’.

Super! Nu ben ik dus helemaal beschermd?
NEE!

Geijkte tips

  • Blijf scherp wanneer u online of met uw e-mailberichten bezig bent.
  • Houd uw software altijd up-to-date (inclusief Windows Update
  • Maak regelmatig backups van uw software en uw bestanden

Blijf altijd op uw hoede.

Dan nog dit…
– Werkt het voor Windows 10? Ja!
– Werkt het voor Windows 11? Ja!
– Werkt het ook voor Windows Server (2019)? Ja!

Uw SQL Server nog nét iets sneller?

Posted on by

Het kan; misschien.

Tijdens een standaard installatie van Windows Server wordt onder andere de standaardenergiemodus door Microsoft ingesteld. Deze modus is te vinden door in het start menu voor instellingen te kiezen vervolgens voor systeem en daarna voor ‘Aan/Uit & Accu’. In dat scherm wordt de energiemodus gevonden. Standaard wordt dit tijdens de installatie van Windows die als ‘Gebalanceerd’ ingesteld. Voor maximale performance is het beter om deze instelling op ‘Beste prestaties’ te zetten.

Waarom dan de standaard ‘Gebalanceerd’? Dit is vooral ingesteld voor mobiele Windows apparaten die op een accu kunnen werken, zoals notebooks. Dat is dan meteen ook een punt van aandacht: bij een mobiel Windows apparaat zal bij gebruik van de energiemodus ‘Beste prestaties’ veel meer energie worden gebruikt en dus de accu eerder leeg zijn.

Windows in het Engels? Dan vindt u de instelling in Windows door in de zoekbalk van het Start Menu Power Options in te geven. Dat brengt u meteen in het juiste scherm. Daar zet u de instelling op High performance.

Hiermee krijgt u waarschijnlijk een nét iets snellere SQL Server; gewoon klip en klaar in het Nederlands.

SQL Server 2016 CTP3: DROP IF EXISTS (DIE)

Posted on by

Database beheerders en gebruikers die al langer van SQL Server en T-SQL gebruik maken, kennen vast deze veelgebruikte query nog:

IF OBJECT_ID('dbo.Product, 'U') IS NOT NULL
DROP TABLE dbo.Product;

Misschien dat u deze code zelfs nu nog gebruikt. Misschien dat u het (ooit) gemist heeft: Microsoft heeft bij de introductie van SQL Server 2016, CTP3 de functie DROP uitgebreid met IF EXISTS. De nieuwe functie ziet er dan als volgt uit:

DROP TABLE IF EXITS dbo.Product;

Veel makkelijker toch? Deze nieuwe uitbreiding op de functie DROP werkt op heel veel plaatsen, namelijk:

  • DROP AGGREGATE IF EXISTS
  • DROP ASEMBLY IF EXISTS
  • DROP VIEW IF EXISTS
  • DROP DATABASE IF EXISTS
  • DROP DEFAULT IF EXISTS
  • DROP FUNCTION IF EXISTS
  • DROP INDEX IF EXISTS
  • DROP PROCEDURE IF EXISTS
  • DROP ROLE IF EXISTS
  • DROP RULE IF EXISTS
  • DROP SCHEMA IF EXISTS
  • DROP SECURITY POLICY IF EXISTS
  • DROP SEQUENCE IF EXISTS
  • DROP SYNONYM IF EXISTS
  • DROP TABLE IF EXISTS
  • DROP TRIGGER IF EXISTS
  • DROP TYPE IF EXISTS
  • DROP USER IF EXISTS
  • DROP VIEW IF EXISTS

Aanvullend hierop kan “DIE” (DROP IF EXISTS) ook worden toegepast op velden en constraints binnen ALTER TABLE, dus:

  • ALTER TABLE DROP COLUMN IF EXISTS[/li]
  • ALTER TABLE DROP CONSTRAINT IF EXISTS

Zelf vind ik de functie DROP IF EXISTS een stuk handiger dan de scripts die voor SQL Server 2016, CTP3 nodig waren om alleen iets te controleren en vervolgens te verwijderen.

Geen admin toegang meer tot Azure AD? Bel Microsoft!

Posted on by

Voor opleidingsdoeleinden heb ik een Microsoft 365 Business Standard abonnement. Op dit abonnement is Azure Active Directory door mij ingericht. Op 14 maart 2023 ontving ik een e-mail bericht van Microsoft, speciaal voor beheerders (admins / administrators). Het bericht waarschuwde mij dat Microsoft de standaarden voor de beveiliging van admin accounts op Azure AD (uiteindelijk) automatisch zou aanscherpen. Het bericht bevatte een link die ervoor zou zorgen dat de aangescherpte beveiliging direct in zou gaan. We leren altijd om natuurlijk nooit zomaar op links te klikken; ook al was het een legitieme link van Microsoft. De e-mail verweest (verwijst) naar documentatie, die beter eerst gelezen kan worden.

Wat was er vervolgens aan de hand?

  • Ik ben (dus) admin / administrator op mijn Azure Active Directory
  • Ik had (blijkbaar) multifactor authentication op mijn account (admin) aanstaan.
  • De default manier van verifiëren was de Microsoft Authenticator App
  • Dit heb ik ooit op mijn oude mobiele telefoon ingesteld, maar nooit echt werkend gekregen
  • Door de aanscherping van aanmelden voor Admins bij Azure AD, was verifiëren met de Authenticator App nu ‘opeens’ wél actief; op mijn oude (!) toestel
Het gevolg was dat ik dus niet meer in mijn account kwam, omdat ik óf op ‘Approve’ moest drukken om te verifiëren of een ‘verification number’ uit de app moest halen (die niet naar mijn nieuwe toestel werd verzonden). Verifiëren met het mobiele nummer (dat wél op mijn account was ingericht) werkte niet meer. Omdat ik mijn account niet meer in kon, kon ik online ook geen ticket bij Microsoft voor ondersteuning indienen. Een telefoonnummer voor ondersteuning bij Microsoft vond ik moeilijk te vinden.

De oplosssing
Voordat Microsoft wordt gebeld, kunnen eerst nog de volgende stappen worden geprobeerd:

  • Ben je NIET de enige global administrator, vraag een collega global administrator om hulp.
  • Ben je nog ergens op een machine met je account ingelogd? Zo ja, ga daar naar het admin paneel en los het probleem op

  • Microsoft bellen, dus. Dat ging niet helemaal zonder ‘slag of stoot’. Er zijn een aantal voorwaarden van toepassing voordat je kunt bellen, en die zijn:

    • Technische ondersteuning is uitsluitend in het Engels en mijn ervaring is dat het Engels uitstekend is (dus geen Indiase call centra; met alle respect voor wat ze proberen)
    • Je moet global administrator van het domein zijn
    • Je hebt het inlogaccount van het administrator account nodig
    • Je hebt het mobiele nummer nodig wat aan het inlogaccount is gekoppeld
    • Je hebt het alternatieve e-mail adres nodig wat je aan je account hebt gekoppeld nodig (heb je dat niet? Doe dat dan! Er is een reden voor!)

    De procedure
    De procedure die Microsoft volgt, is de volgende:
    • Voldoe aan de voorwaarden die hierboven zijn vermeld; ze zijn strikt; en terecht!
    • Zoek het lokale telefoonnummer van Microsoft op (directe link naar het telefoonnummer)
    • Bel dat nummer en kies voor technische support voor Microsoft 365
    • Je krijgt dan een support agent die de call aanmaakt en wat gegevens van je noteert
    • Zijn alle vragen goed beantwoord, dan wordt je met iemand van het Data Protection Team doorverbonden
    • Zij hebben dan ook weer wat vragen voor je; na het beantwoorden van die vragen, zal je worden teruggebeld. Ik werd de volgende dag teruggebeld
    • Iemand van het Data Protection Team belt je terug en stelt nog wat vragen; hij/zij zal dan het gesprek beëindigen omdat ze een account reset moeten uitvoeren. Ze bellen dan binnen zo’n half uur terug (duurde bij mij een paar minuten langer)
    • Je wordt teruggebeld en door het proces heen geleid; in deze fase is het belangrijk goed te luisteren en zo min mogelijk weerstand te bieden (dus geen “ja maar”!). Ze weten écht precies waar ze mee bezig zijn
    • Uiteindelijk is je account weer vrij én hebben ze je geholpen met eventuele instellingen
    Ik ben uitstekend door Microsoft geholpen en heb heel goede ervaringen met hun werkwijze. Een tip die ik nog kreeg van de Microsoft Support Engineer, is om in de instellingen altijd de standaard verificatie methode op ‘phone’ (telefoon, dus) in te stellen, zodat je altijd met een SMS toegang tot de systemen houdt.

    Handige links (in het Engels)
    Work or school account help (informatie over AD accounts)
    Common problems with two-step verification for a work or school account
    What to do if you lose your phone with an authenticator app (Kaspersky website)

Nooit meer Windows 11(?)

Posted on by

Vandaag vroeg mijn computer (weer) of ik niet naar Windows 11 wilde overstappen. Dit was een goed moment om definitief een eind aan die vraag te maken. Het antwoord is namelijk: “Nu niet en nooit niet!”. Maar… hoe doe je dat dan?

Eerst: hoe doe je het NIET?!
Via de registry editor! Ik weet niet wat mensen bezielt om dingen via de registry editor te wijzigen, terwijl dat dit helemaal niet nodig is. Gebruik de user interfaces! Dat is veel veiliger.

Hoe dan wel!?
De wijziging wordt via de Group Policy Editor gemaakt en wel op de volgende manier

  • Start vanuit het start menu Edit Group Policy
  • Kies Local Computer Policy > Administrative Templates > Windows Components > Windows Update > Windows Update for Business
  • Dubbelklik op Select the target Feature Update version

  • Zet de keuze op Enabled
  • Vul bij Which Windows rpdocut version would you like to receive feature updates for? het volgende in: Windows 10
  • Vul bij Target Version for Feature Updates het volgende in: 21H2

  • Klik op [OK] en herstart de computer om de instelling definitief te maken

Meer en uitgebreide informatie over dit onderwerp via deze Microsoft link

Windows 10 en 11: terugzetten system image

Posted on by

Afgelopen weken werd ik geconfronteerd met een instabiel Windows 11 systeem. De situatie werd dusdanig onhandelbaar dat ik besloot een system image terug te zetten. Dat bleek meer voeten in de aarde te hebben dan verwacht. Via deze bijdage de manier waarop de system image door mij is terug gezet.

  • Allereerst had ik een opstartbare USB stick nodig om Windows te kunnen starten. Dat kan met een Microsoft tool, die op deze pagina kan worden gevonden
  • Vervolgens moest de system image ook op een USB stick worden gezet; dezelfde of een andere
  • De machine wordt dan met de opstartbare USB stick gestart
  • Na het opstarten wordt de command prompt gestart via ‘Troubleshoot’ en ‘Advanced options’ (zie deze link)
  • Installeren van een image op een USB pen lukt alleen via een netwerkshare. Met het commando net share =Folderpad kan een share worden aangemaakt (zie deze link)
  • Wanneer de share is aangemaakt kan deze share met ‘system image recovery’ binnen ‘Troubleshoot’ > ‘Advanced options’ worden gebruikt

Wellicht is deze informatie ook voor u handig. Succes met het terugplaatsen van een system image.

MS Outlook 365 Berichten op netwerkshares doorzoeken

Posted on by

Wanneer u gebruik maakt van shared mailboxes of mailbox bestanden op netwerkshares, dan doorzoekt MS Outlook 365 deze bestanden niet standaard en geeft geen zoekresultaten terug. Na een zoektocht op internet is hiervoor eindelijk de oplossing door mij gevonden: die is er officieel niet; gek, genoeg.

MS Outlook 365 ondersteunt geen pst bestanden op netwerkshares; alleen op lokale shares (zie antwoord van Robert Sarnaaij, MVP-Outlook in deze bijdrage). Op zich vreemd, omdat wanneer de lokale harde schijf het begeeft, de bestanden dus verloren gaan, wanneer er geen adequate backups worden gemaakt. Bij een netwerkshare zijn backups meestal beter georganiseerd.

Er is wél een workaround: in de eigenschappen (properties) van het outlookbestand op de folder locatie (dus via uw Windows Verkenner) dient onder geavanceerd het vinkje “Allow this file to have contents indexed ni addition to file properties” (helaas is de Nederlandse zin niet door mij gevonden) aangezet te worden. Vervolgens dient het indexen van MS Outlook even uit en weer aangezet te worden.

In deze bijdrage wordt dat uitgebreid in het Engels met schermafbeeldingen uitgelegd.

Belangrijk nieuws: Nieuwe backup formaat in SQL Server 2019, CU16; dit kan logshipping kapot maken!

Posted on by

Op 18 april is SQL Server CU16 door Microsoft vrijgegeven. Hier zit een zeer belangrijke wijziging in. Backups worden in een nieuw formaat opgeslagen; in het bijzonder de zogenaamde Transparent Data Encryption (TDE)-gecomprimeerde backups. TDE-gecomprimeerde backups die met deze cumulative update zijn gemaakt, kunnen niet worden teruggezet op SQL Server 2019 servers met een eerdere cumulative update. Andersom blijft het overigens wél werken (dus een gecomprimeerde backup op een eerdere CU van SQL Server 2019 kan wél op deze CU worden terug gezet).

Wanneer is dit belangrijk?
Deze informatie is belangrijk wanneer:

  • … u uw database met TDE heeft versleuteld, en …
  • … wanneer u LOG backups neemt met de optie WITH COMPRESSION óf wanneer de server standaard (default) op backups met WITH COMPRESSION nemen staat, en…
  • … u maakt van logshipping gebruik naar andere SQL Server 2019 servers, en …
  • … u voorziet eerst de primary database (de bron database) van SQL Server 2019 CU16, voordat u de secondary database (kopie-database) van CU16 voorziet

Wat betekent dit concreet voor u!
Wanneer uw bedrijf eerst de secondary server (waar de kopie-database dus staat) van de nieuwe cumulative update voorziet, dan zal SQL Server 2019 tijdens het voorzien van de update op de primary server (de server waar de brondatabase staat) een fail-over naar de secondary database doen. In deze strategie zit er vaak een aantal uur tussen de eerste update op de secondary server en de volgende update op de primary server zitten. De primary server wordt in dit geval de secondary, maar backups die op de secondary zijn gemaakt (en nu dus de primary zijn), zullen niet meer kunnen worden ingelezen, vanwege deze nieuwe feature.

Ik ga ervan uit dat u als database administrator voldoende op de hoogte bent van update-procedures binnen uw bedrijf. Mijn dringende advies is te kijken of deze situatie op u van toepassing is en op gepaste wijze uw SQL Server 2019 servers bij te werken.

Belangrijk: deze situatie geldt dus alleen voor configuraties die voldoen aan de vier punten onder het kopje: “Wanneer is dit belangrijk?

Links en verwijzingen
Alle informatie over de cumulative update (KB5011644)
Gedeelte dat over de TDE-gecomprimeerde backup gaat

Met dank aan Brent Ozar