[MAK key] Vermoeden buiten het bedrijf gebruikt? - Windows clients

vrijdag 17 februari 2017 12:57

Acties:

0 Henk 'm!

Topicstarter

Goedemiddag!

Ik heb een vraagje..
is het mogelijk om op een of andere manier te zien waar of welke clients exact geactiveerd zijn met de Windows MAK activatie code?

Het valt me op dat het aantal activaties in onze portal hoger ligt dan zou moeten.
Ik zie nergens een optie om verder te down drillen namelijk.

Is er een manier om te zien of deze buiten het bedrijf om zijn gebruikt?

Dank!
$_/-\o_$

vrijdag 17 februari 2017 21:50

Acties:

0 Henk 'm!

nelizmastr

Goed wies kapot

Een MAK key authenticeert aan Microsoft over het internet, niet lokaal, dus als je het wil weten zal je MS moeten bellen erover, mits zij die gegevens mogen verstrekken. Dat is enigszins twijfelachtig, dus reken er maar niet op

Als je zeker wil zijn moet je de key laten terugtrekken en een nieuwe uitrollen. Dan gaan er vanzelf wat mensen schreeuwen

I reject your reality and substitute my own

zaterdag 18 februari 2017 17:36

Acties:

0 Henk 'm!

C6DL

Topicstarter

nelizmastr schreef op vrijdag 17 februari 2017 @ 21:50:
Een MAK key authenticeert aan Microsoft over het internet, niet lokaal, dus als je het wil weten zal je MS moeten bellen erover, mits zij die gegevens mogen verstrekken. Dat is enigszins twijfelachtig, dus reken er maar niet op

Als je zeker wil zijn moet je de key laten terugtrekken en een nieuwe uitrollen. Dan gaan er vanzelf wat mensen schreeuwen

Dank je..!
Wel enigszins vreemd dat je niet kunt zien welke clients geactiveerd zijn.

zaterdag 18 februari 2017 17:45

Acties:

0 Henk 'm!

nelizmastr

Goed wies kapot

C6DL schreef op zaterdag 18 februari 2017 @ 17:36:
[...]

Dank je..!
Wel enigszins vreemd dat je niet kunt zien welke clients geactiveerd zijn.

Met een interne KMS zou dat mogelijk wel kunnen. Maar pin me er niet op vast.

I reject your reality and substitute my own

zaterdag 18 februari 2017 17:51

Acties:

0 Henk 'm!

johnkeates

nelizmastr schreef op zaterdag 18 februari 2017 @ 17:45:
[...]

Met een interne KMS zou dat mogelijk wel kunnen. Maar pin me er niet op vast.

Volgens mij krijg je met een interne KMS niet de MAK key overal, maar individuele keys. Stel dat je een interne KMS hebt, dan zou een externe MAK installatie ook niet met de interne KMS kunnen babbelen.

zaterdag 18 februari 2017 18:46

Acties:

0 Henk 'm!

nelizmastr

Goed wies kapot

johnkeates schreef op zaterdag 18 februari 2017 @ 17:51:
[...]

Volgens mij krijg je met een interne KMS niet de MAK key overal, maar individuele keys. Stel dat je een interne KMS hebt, dan zou een externe MAK installatie ook niet met de interne KMS kunnen babbelen.

Ja precies. Je authenticeert dan met een KMS key die weer een geldige licentiesleutel teruggeeft, maar dat is inderdaad alleen intern.

I reject your reality and substitute my own

zondag 19 februari 2017 12:40

Acties:

0 Henk 'm!

CMD-Snake

C6DL schreef op vrijdag 17 februari 2017 @ 12:57:
Is er een manier om te zien of deze buiten het bedrijf om zijn gebruikt?

Nee, effectief kan je dat nu niet meten. De portal is beperkt, daar staat enkel X van de Totaal zijn gebruikt. Verder dan dat gaat het niet.

Je kan ook MAK activatie via je eigen KMS server laten lopen. Dat heet VAMT Proxy Service. Die bundelt de activatieverzoeken om ze vervolgens naar Microsoft te sturen. Deze opstelling geeft als voordeel dat je kan zien welke clients allemaal proberen te activeren, althans, je hebt nu een overzicht van MAK clients die binnen je netwerk activeren. Dit moet je wel allemaal configureren eerst en dan nog werkt het alleen op je eigen netwerk.

Als iemand je MAK key heeft en deze thuis gebruikt dan kan je dat niet zien. Deze computers activeren direct bij Microsoft. Geen idee of Microsoft deze informatie kan of mag delen met je.

Overigens kan je ook de situatie hebben dat een computer voorzien is van een MAK key en opnieuw geïnstalleerd is. De activatie is dan weg, indien er opnieuw een MAK key is ingezet dan telt dat als nog een key. Indien je discrepantie vrij klein is kan dit het nog zijn.

nelizmastr schreef op vrijdag 17 februari 2017 @ 21:50:
Als je zeker wil zijn moet je de key laten terugtrekken en een nieuwe uitrollen. Dan gaan er vanzelf wat mensen schreeuwen

Dat gaat niet werken. Enkel via VAMT Proxy kan je nog iets er aan doen, maar zie eerder opmerking, als iemand gewoon Windows van de DVD installeert en dan die MAK key erin gooit kan je er nog niets aan doen. Die computer gaat helemaal langs VAMT heen. Op dat moment is die key voor altijd en eeuwig geldig voor die machine. De key terugtrekken werkt niet, dat kan jij niet doen.

Indien je MAK key is uitgelekt heb je een groot probleem.

zondag 19 februari 2017 13:52

Acties:

0 Henk 'm!

Oogje

CMD-Snake schreef op zondag 19 februari 2017 @ 12:40:
[...]

Dat gaat niet werken. Enkel via VAMT Proxy kan je nog iets er aan doen, maar zie eerder opmerking, als iemand gewoon Windows van de DVD installeert en dan die MAK key erin gooit kan je er nog niets aan doen. Die computer gaat helemaal langs VAMT heen. Op dat moment is die key voor altijd en eeuwig geldig voor die machine. De key terugtrekken werkt niet, dat kan jij niet doen.

Indien je MAK key is uitgelekt heb je een groot probleem.

Ik denk dat hij bedoeld dat MS de key invalid maakt, dat kan prima

Any errors in spelling, tact, or fact are transmission errors.

zondag 19 februari 2017 14:00

Acties:

+1 Henk 'm!

Will_M

Intentionally Left Blank

Wordt de VAMT service (met SQL Database) eigenlijk nog ergens nieuw gebruikt? Ik rol de activatie key's tegenwoordig, sinds Server 2012/Windows 8, eigenlijk liever uit middels de Active Directory. Een NON Domain Joined client krijgt gewoon géén geldige key om zichzelf te activeren en een machientje wat je uit de AD gooit heeft vette pech nadat 't ding zich mét het domein verbind, zelfs middels Direct Access vanop een externe locatie. De "oude" activatie is dan meteen ongedaan gemaakt.

In het geval van een "oude" MAK óf VLK welke gecompromitteerd is kun je wel eens een héél leuk spel met Microsoft gaan krijgen met betrekking tot de af te dragen licentiekosten... Al zal Microsoft je daar overigens graag mee gaan helpen om de schade zover mogelijk te beperken!! Ze weten daar ook écht wel dat er key's uitgelezen worden door "gebruikers" én dat deze key's op een oneigenlijke manier ingezet worden buiten je bedrijf.

Misschien wel leuk om even te lezen én verder door te klikken: https://blogs.technet.mic...-key-management-services/

[ Voor 59% gewijzigd door Will_M op 19-02-2017 14:40 ]

Boldly going forward, 'cause we can't find reverse

zondag 19 februari 2017 15:40

Acties:

0 Henk 'm!

CMD-Snake

Oogje schreef op zondag 19 februari 2017 @ 13:52:
Ik denk dat hij bedoeld dat MS de key invalid maakt, dat kan prima

Kan, maar dan hebben alle machines met die key een probleem. Ze zullen dan allemaal een nieuwe moeten krijgen. Als je 200 machines opnieuw moet activeren omdat er 5 zijn die je niet thuis kan brengen is het misschien wat overkill.

wimmel_1 schreef op zondag 19 februari 2017 @ 14:00:
Wordt de VAMT service (met SQL Database) eigenlijk nog ergens nieuw gebruikt? Ik rol de activatie key's tegenwoordig, sinds Server 2012/Windows 8, eigenlijk liever uit middels de Active Directory. Een NON Domain Joined client krijgt gewoon géén geldige key om zichzelf te activeren en een machientje wat je uit de AD gooit heeft vette pech nadat 't ding zich mét het domein verbind, zelfs middels Direct Access vanop een externe locatie. De "oude" activatie is dan meteen ongedaan gemaakt.

Genoeg bedrijven gebruiken nog VAMT op de oude manier, het is zeer afhankelijk van je infrastructuur wat de beste oplossing is.

Active Directory activatie vereist dat je AD minimaal op 2012-niveau is. Nog lang niet overal is men op dat niveau aangekomen. Daarnaast werk AD Activation alleen voor Windows 8 en Server 2012 of hoger. Indien je Windows 7 of 2008R2 nog gebruikt kan je alsnog een KMS host optuigen.

AD activatie brengt dus ook een probleem mee voor de niet domein machines. Die hebben dus alsnog een MAK key nodig. Een niet domein machine kan wel KMS gebruiken indien nodig.

zondag 19 februari 2017 15:44

Acties:

0 Henk 'm!

Will_M

Intentionally Left Blank

CMD-Snake schreef op zondag 19 februari 2017 @ 15:40:
[...]

Kan, maar dan hebben alle machines met die key een probleem. Ze zullen dan allemaal een nieuwe moeten krijgen. Als je 200 machines opnieuw moet activeren omdat er 5 zijn die je niet thuis kan brengen is het misschien wat overkill.

[...]

Genoeg bedrijven gebruiken nog VAMT op de oude manier, het is zeer afhankelijk van je infrastructuur wat de beste oplossing is.

Active Directory activatie vereist dat je AD minimaal op 2012-niveau is. Nog lang niet overal is men op dat niveau aangekomen. Daarnaast werk AD Activation alleen voor Windows 8 en Server 2012 of hoger. Indien je Windows 7 of 2008R2 nog gebruikt kan je alsnog een KMS host optuigen.

AD activatie brengt dus ook een probleem mee voor de niet domein machines. Die hebben dus alsnog een MAK key nodig. Een niet domein machine kan wel KMS gebruiken indien nodig.

Je AD Schema moet inderdaad minimaal 't 2012 level hebben (69?). Je kunt gewoon een 2000 Forest én Domain Functional Level blijven draaien en dus met die oude meuk verder spelen als je dat alsnog zou willen.
Kwestie van een adprep / forestprep én adprep /domainprep vanuit de 2012 DVD én (liefst) al je DC's upgraden naar 2012 qua OS in je domain.

Servers in een DMZ welke niet domain joined zijn (webservers bijvoorbeeld) kun je middels slmgr.vbs alsnog verwijzen náár je KMS host en dus activeren. Het probleem met MAK/VLK key's en het op straat komen te liggen van die key's speelt vaak meer op de werkplekken.

[ Voor 10% gewijzigd door Will_M op 19-02-2017 16:16 ]

Boldly going forward, 'cause we can't find reverse

maandag 20 februari 2017 09:30

Acties:

0 Henk 'm!

CMD-Snake

wimmel_1 schreef op zondag 19 februari 2017 @ 15:44:
Het probleem met MAK/VLK key's en het op straat komen te liggen van die key's speelt vaak meer op de werkplekken.

Een gebruiker kan niet zonder admin rechten de key uit zijn installatie peuteren. Een groter risico is nog de mensen op de IT afdeling die toegang hebben tot de Volume License site en daar vrolijk keys kunnen kopiëren en meenemen voor eigen gebruik.

Maar zoals ik al eerder zei, het kan ook onschuldiger zijn. Indien je een MAK geactiveerde machine opnieuw installeert en nogmaals activeert met die MAK code telt dat als nog een keer de code gebruikt te hebben. Zo kan je ook verschillende creëren.

maandag 20 februari 2017 11:37

Acties:

0 Henk 'm!

Will_M

Intentionally Left Blank

CMD-Snake schreef op maandag 20 februari 2017 @ 09:30:
[...]

Een gebruiker kan niet zonder admin rechten de key uit zijn installatie peuteren. Een groter risico is nog de mensen op de IT afdeling die toegang hebben tot de Volume License site en daar vrolijk keys kunnen kopiëren en meenemen voor eigen gebruik.

Maar zoals ik al eerder zei, het kan ook onschuldiger zijn. Indien je een MAK geactiveerde machine opnieuw installeert en nogmaals activeert met die MAK code telt dat als nog een keer de code gebruikt te hebben. Zo kan je ook verschillende creëren.

Een standaard gebruiker kan gewoon een stukje .vbs code draaien, hoor. Heb je écht geen admin rechten óf vage externe tooling voor nodig

code:

Set WshShell = CreateObject("WScript.Shell")
 MsgBox ConvertToKey(WshShell.RegRead("HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\DigitalProductId"))
 
Function ConvertToKey(Key)
 Const KeyOffset = 52
 i = 28
 Chars = "BCDFGHJKMPQRTVWXY2346789"
 Do
 Cur = 0
 x = 14
 Do
 Cur = Cur * 256
 Cur = Key(x + KeyOffset) + Cur
 Key(x + KeyOffset) = (Cur \ 24) And 255
 Cur = Cur Mod 24
 x = x -1
 Loop While x >= 0
 i = i -1
 KeyOutput = Mid(Chars, Cur + 1, 1) & KeyOutput
 If (((29 - i) Mod 6) = 0) And (i <> -1) Then
 i = i -1
 KeyOutput = "-" & KeyOutput
 End If
 Loop While i >= 0
 ConvertToKey = KeyOutput
 End Function

Boldly going forward, 'cause we can't find reverse

maandag 20 februari 2017 12:10

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

wimmel_1 schreef op maandag 20 februari 2017 @ 11:37:
[...]

Een standaard gebruiker kan gewoon een stukje .vbs code draaien, hoor.

Beetje beheerder zet natuurlijk het draaien van VBS scripts dicht, en staat alleen signed scripts toe

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 20 februari 2017 12:46

Acties:

+1 Henk 'm!

Killah_Priest

MAK keys worden voorzover ik weet toch "verkeerd" weergegeven met deze tools en scripts (ik krijg vanaf Windows 8 keys zoals BBBBB-BBBBB-BBBBB-BBBBB-BBBBB) te zien als ik een MAK key wil uitlezen.

maandag 20 februari 2017 16:50

Acties:

0 Henk 'm!

Will_M

Intentionally Left Blank

Killah_Priest schreef op maandag 20 februari 2017 @ 12:46:
MAK keys worden voorzover ik weet toch "verkeerd" weergegeven met deze tools en scripts (ik krijg vanaf Windows 8 keys zoals BBBBB-BBBBB-BBBBB-BBBBB-BBBBB) te zien als ik een MAK key wil uitlezen.

Ik moet heel eerlijk bekennen dat ik dit ook al een hele tijd niet meer geprobeerd heb (Server 2K3 / XP tijdperk), maar je hebt 100% gelijk!!

Zojuist even op een 2012R2 server gekeken waarvan ik 100% zeker ben dat er nog een MAK key op gebruikt is en 't scripje geeft keurig alleen maar groepjes met "BBBBB" terug in de output.

Boldly going forward, 'cause we can't find reverse