|
Autor |
Simon
Gattner |
|
Autor
Website |
|
|
Dokument
Name |
70-680.doc |
|
Dokument
Titel |
Konfigurieren
von Windows 7 |
|
Dokument
URL |
http://gattner.name/simon/public/microsoft/Windows%207/70-680.doc http://gattner.name/simon/public/microsoft/Windows%207/70-680.pdf http://gattner.name/simon/public/microsoft/Windows%207/70-680.html |
|
Dokument
Datum |
2010-11-17 |
|
Dokument |
Namen, Eigennamen $Befehle, ~Dateinamen |
Windows 7 Starter und Home Basic
Windows 7 Home Premium, Professional, Ultimate und Enterprise
|
Tool |
Beschreibung |
|
Windows SIM (Windows System Image Manager) |
Öffnet Windows Abbilder, erstellt Antwortdateien und verwaltet
Breitstellungsfreigaben und Konfigurationssätze |
|
ImageX |
Dient zum Aufzeichnen, Erstellen, Bearbeiten und Anwenden von
Windows-Abbildern |
|
DISM |
Wendet Updates, Treiber, Language Packs und Windows-Funktionen auf ein
Windows-Abbild an. DISM steht in
allen Installationen von Windows 7 zur Verfügung |
|
Windows
PE-Tools |
Das Windows AIK enthält mehrere Tools, die dazu
dienen, Windows PE-Umgebungen
aufzubauen und zu konfigurieren |
|
USMT (User State Migration Tool) |
Zum Migrieren von Benutzerdaten aus einer älteren Windows-Version auf
Windows 7. USMT wird als Teil des Windows AIK im Verzeichnis %ProgramFiles%\Windows AIK\Tools\USMT installiert |
|
Oscdimg |
Erstellt ISO-Abbilder |
Abbild erstellen für eine LTI bzw. ZTI
Sysprep
$Sysprep /audit startet den
Computer im Überwachungsmodus. Es
laufen die Konfigurationsdurchläufe auditSystem
und auditUser.
$Sysprep /generaliz bereitet die Referenzinstallation der Abbilder für
die Aufzeichnung durch $ImageX vor,
indem es verschiedene Computer- und Benutzereinstellungen (z.B. die SID) beseitigt und Protokolldateien entfernt.
$Sysprep /oobe startet den
Computer mit der Windows-Willkommensseite neu. Es läuft der Konfigurationsdurchlauf
oobeSystem.
|
Konfigurationsdurchlauf |
Beschreibung |
|
windowsPE |
Setzt Windows PE Optionen
und grundsätzliche Windows-Setupoptionen. Partitionen, Pruduct Key, Windows PE Treiber |
|
offlineServicing |
Installiert Updates für das Windows-Abbild, Softwarefixes,
Language Packs, Abbild-Treiber |
|
specialize |
Setzt Netzwerkeinstellungen,
internationale Einstellungen,
Domaininformationen |
|
generalize |
Entfernt systemspezifische
Informationen, hardwarespezifische Einstellungen, SID |
|
auditSystem |
Verarbeitet Einstellungen bei unbeaufsichtigten Setups vor start des Überwachungsmodus |
|
auditUser |
Verarbeitet Einstellungen bei unbeaufsichtigten Setups im Überwachungsmodus |
|
oobeSystem |
Verarbeitet Einstellungen bevor die Windows-Willkommensseite startet |
WIM-Formate (Windows Imaging) koennen mit $ImageX erstellt und engewendet werden.
Im Gegensatz zu ISO-Formaten enthalten sie ein
dateibasiertes Datenträgerformat, dass einen ganzen Satz Dateien und die Dateisystemmetadaten enthält.
ISO-Formate
sind Sektorbasiert.
WIM-Abbilder
sind hardwareunabhängig und können auf Volumen
oder einer Partition bereitgestellt
werden.
Die Low-Level-Datenträgerstrukturen für WIM muss mit einem Tool wie $diskpart
bereitgestellt werden.
MDT
(Microsoft Deployment Toolkit)
stellt Betriebssysteme und Anwendungen bereit, bietet Treiberverwaltung und ist als Distributionsserver einsetzbar.
MDT kann
mit der LTI (Lite Touch Installation)
und ZTI (Zero Touch Installation) arbeiten.
Bei ZTI benötigt MDT allerdings SCCM und
den Microsoft SQL-Server.
MDT setz
voraus das Windows AIK installiert ist.
MDT Deployment
Workbench hilft beim verwalten
von verschiedenen Betriebssystem-Abbildern und deren Bereitstellung die
geeignet sind zur LTI bzw. ZTI.
Deployment Workbench kann Bereitstellungsfreigaben,
Betriebsystem-Abbilder, Gerätetreiber und Tasksequenzen verwalten und anlegen; Anwendungen, Updates oder
Language Packs hinzufügen, anlegen
und verwalten.
WDS (Windows Deployment Service) stellt eine über PXE
gestartete Windows PE-Version zu
Verfügung. WIM-Abbildaufzeichnungen auf einem WDS-Server ähnelt den Einsatz von $ImageX und $Sysprep.
WDS ist eine Serverrolle und
benötig eine AD DS-Domäne, DNS-Server, DHCP-Server und ein NTFS-Volumen.
WDS ist
deutlich schlanker als MDT. WDS-Abbilder
dienen dazu Systemdateien auf Computern bereitzustellen. Es gibt vier
verschiedene Abbildtypen:
ZTI setzt MDT 2010 und das Windows AIK sowie SCCM 2007
und einen MS SQL-Server voraus in
einer PXE-Umgebung.
LTI setzt MDT 2010 und WDS voraus.
DISM kann WIMs bearbeiten und
verwalten:
$mkdir Volumen:\dism\image
$dism /mount-wim /wimfile:Volumen:\to\image\file.wim /index:1
/mountdir:Volumen:\dism\image
$dism /get-mountedwiminfo
$mkdir Volumen:\dism\workdir
$dism /image:Volume:\dism\image /scratchdir:Volume\:dism\workdir
$dism /commit-wim
/mountdir:Volume:\dism\image
(Mit $imagex
ist es auch möglich WIM-Files zu mounten
via
$imagex /mountrw Volume:\to\image\file.wim
1 Volume:\imagex\image)
WIM-Eigenschaften:
$dism /get-mounedwiminfo
$dism /get-wiminfo
/wimfile:Volume:\path\to\wim\file.wim
$imagex /info Volume:\path\to\wim\file.wim
WIM-Recovery and Cleanup:
$dism /cleanup-wim (entfernt
beschädigte Dateien)
$dism /remount-wim (ermittelt
verwaiste Abbilder und remounted sie)
$dism /cleanup-image (/RevertPendingActions)
(Probiert eine Systemwiederherstellung)
WIM-Informationen:
$dism /image:Volume:\path\to\online\image [/get-CurrentEdition |
/get-targetedition (Zeigt eine Liste der
Windowseditionen an auf die aktuallisiert werden kann)| /get-driverinfo
| /get-drivers | /get-intl (Internationale
Einstellungen und Sprachen) | /get-apps | /get-appsinfo | /get-apppatches |
/get-apppatchinfo | /get-packages | /get-packagesinfo | /get-features |
/get-featureinfo ]
WIM-MSI und WIM-MSP:
$dism
/image:Volume:\path\to\online\image [/get-apps | /get-apppatches |
/get-appsinfo | /get-apppatchinfo ]
(Es gibt keinen Schalter /add-apps um Anwendungen
zu installieren. Dafür eignet sich der New
Application Wizard aus MDT)
WIM-Packages (CAB und MSU) und Features:
$dism
/image:Volume:\path\to\online\image [ /get-packageinfo | /add-package |
/remove-package | /get-features | /get-featureinfo | /enable-feature |
/disable-feature ]
$dism
/image:Volume:\path\to\online\image /add-package /packagepath:Volume:\path\to\package\file.cab
$dism
/image:Volume:\path\to\online\image /enable-feature /featurename:Chess
$dism /commit-wim /mountdir:Volume:\to\online\wim (Um die Veränderungen anzuwenden)
WIM-Driver:
$dism
/image:Volume:\path\to\online\image [ /get-driver | /get-driverinfo |
/add-driver | /remove-driver ]
$dism
/image:Volume:\path\to\online\image /add-driver /driver:Volume:\path\to\driver
/recurse
$dism
/image:Volume:\path\to\online\image /add-driver:Volume:\path\to\driver\file.inf
WIM-Einstellungen:
$dism
/image:Volume:\path\to\online\image [ /get-intl | /set-uilang | /set-syslocal |
/set-userlocal | /set-timezone | /distribution ]
WIM-Windows-Einstellungen:
$dism
/image:Volume:\path\to\online\image [ /get-currentedition | /get-targeteditions
| /set-edition | /set-productkey ]
$dism /online
/set-edition:Ultimate /productkey:12345-47382-38290-37362-12034
WIM-Windows PE:
$dism /image:Volume:\path\to\online\image
[ /get-pesettings | /get-profiling | /get-scratchspace | /get-targetpath … ]
WIM-Unattend (SIM):
$dism
/image:Volume:\path\to\online\image [
/apply-unattend:Volume:\path\to\unattend.xml
VHDs
lassen sich via $diskpart oder in der Datenträgerverwaltung
erstellen.
$DISKPART> create vdisk
file=Volume:\path\to\vdisk\file.vhd
maximum=20000
$DISKPART> select vdisk
file=Volume:\path\to\vdisk\file.vhd
$DISKPART> attach vdisk
$DISKPART> create
partition primary
$DISKPART> assign
letter=Volumeletter
$DISKPART> format quick
label=Description
VHDs lasse sich via $bcdedit und $bcdboot bootfähig machen
$bcdedit /copy {current} /d
“Description”
$bcdedit /set GUID device vhd=”[Volume:]\path\to\vdisk\file.vhd”
$bcdedit /set GUID osdevice vhd=”[Volume:]\path\to\vdisk\file.vhd”
$bcdedit /set GUID detecthal on
$bcdedit /v
WIM-Abbild
und Bootdateien in die VHD kopieren
$imagex /apply Volume:\path\to\image\file.wim
#n1 Volume:\path\to\add\the\image
$bcdboot Volume:\current\bootfiles
Volume:\of\added\image
PnP-Geräte können von Nicht-Administratoren
installiert werden wenn der Treiber
eine gültige digitale Signatur hat
die mit Zertifikaten im Speicher Vertrauenswürdige Herausgeber verknüpft
sind.
PnP-Geräte
müssen von einem Administrator
installiert werden wenn der Treiber
sich nicht im Treiberspeicher
befindet, unsigniert ist oder die Signatur als nicht vertrauenswürdig
eingestuft wird.
Unsignierte Treiber können vom Administrator mit
einem Zertifikat aus einer internen Zertifizierungsstelle signiert werden
das Standartbenutzer das Gerät installieren können.
$mmc devmgmt.msc
Systemsteurung -> Hardware und Sound
-> Geräte und Drucker -> Geräte-Manager
Startmenü
-> Computer -> (recht- klick)Verwaltung -> Konsolenstruktur -> Computerverwaltung
.inf Treiberinstallationsdateien
.sys Treiberdateien
Geräte-Manager gestartet auf einem Remotecomputer lassen sich kein Treiber
installieren, deinstallieren oder die Vorversion wiederherzustellen.
Geräte-Manager -> Gerät Eigenschaften
-> Allgemein -> Gerätestatus (Zeigt den Status des
Gerätes an und bei Problem Fehlermeldungen oder Fehlercodes)
Geräte-Manager -> Legacyhardware hinzufügen installiert Treibersoftware für Nicht-PnP-Geräte.
Geräteinstallationseinstellungen bestimmt das Verhalten mit von Windows Update bereitgestellter Treibersoftware.
Default Einstellung ist Ja, automatisch auführen
(empfohlen).
Um Treibersoftware vorher zu testen sollte die Option Nein, zu installierende Software selbst
auswählen -> Nie Treibersoftware
von Windows Update installieren aktiviert sein.
$mmc gpedit.msc -> Internetkommunikationseinstellungen
-> Suche nach Gerätetreibern auf
Windows Update deaktivieren
Staging eines Gerätetreibers
beschreibt den Prozess des genehmigen eines Gerätes
vom Administrator wenn kein Gerätetreiber im Treiberspeicher vorliegt.
Staging
durchsucht den Treiberspeicher, prüft
Benutzerrechte und die Signatur des Treibers. Nur Administratoren
können das installieren eines unsignierten
Geräte-Treibers zulassen.
Ressourcenkonflikte treten bei PnP-Geräten
eher selten auf. Konflikte entstehen
meist bei der Überschneidung von Ressourcen
(Gerät -> Eigenschaften -> Reiter Ressourcen),
z.B. wenn ein Nicht-PnP-Gerät Ressourcen des
Motherboards beansprucht.
Konflikte
lassen sich temporär durch das deaktivieren eines der am Konflikt beteidigten Geräte
beseitigen. Konflikte lassen sich
langfristig meist durch das aktualisieren
(falls ein neuer Treiber vorhanden
ist) oder das deinstallieren und neu installieren
der Hardware lösen.
$mmc devmgmt.msc -> (Ansicht
-> Ausgeblendete Geräte einblenden)
Nicht-PnP-Geräte
$msinfo32 -> Systemübersicht
-> Hardwareressourcen -> Konflikte/Gemeinsame Nutzung
$msinfo32 -> Systemübersicht
-> Komponenten -> Problemgeräte
$dxdiag (Grafik- und Sound- und
Eingabe-Geräte Informationen)
$sigverif (Durchsucht den
Computer nach unsignierte Treibern)
$driverquery /si (Listet alle
Gerätetreiber auf)
Treiberüberprüfungs-Manager
$verifier
$verifier /volatile (Überprüfung eines Treibers ohne den Computer neu zu
starten)
$verifier /faults (Testet Treiber und simuliert Stresstests bei den
z.B. die Ressourcen knapp werden)
$pnputil –a Volume:\path\treiber\*.inf (Stellt einen Treiber im Treiberspeicher bereit)
$pnputil -e (Listet Treiber auf)
$regedit ->
HKEY_LOCAL_MACHINE -> Software -> Microsoft -> Windows ->
CurrentVersion -> DevicePath: %System-Root%\inf;
Volume:\other\driver\path;Volume:\more\other\driver\path
Geräteintallationsrichtlinien (lokale Gruppenrichtlinien, GPO)
$mmc gpedit.msc -> Computerkonfiguration
-> Administrator Vorlagen -> System -> Geräteinstallation
-> Einschränkungen bei der
Geräteinstallation
$mmc gpedit.msc -> Computerkonfiguration
-> Administrator Vorlagen -> System -> Treiberinstallation
-> Treiber für diese Geräte-Setupklassen ohne Administratorrechte zulassen
Geräte-Setupklassen oder auch Geräteklassen
(GUID)
finden sich im Geräte-Manager im Reiter Details
unter Geräteklassen-GUID des gewälten
Gerätes.
Ein Volumen kann aus mehreren Partitionen
zusammengefügt werden.
Ein Volumen ist auch ein RAID
(Redundant Array of Independent Disk) 1 Verband aus hd0 und hd1 mit jeweils
einer Partition auf hd0 und einer Partition auf hd1.
Ein Volumen ist virtuell angelegt.
Eine Partition ist physikalisch angelegt.
Volumen -> Eigenschaften -> Bereinigen -> Datenträgerbereinigung (Dialog)
Volumen -> Eigenschaften -> Bereinigen -> Datenträgerbereinigung -> Systemdateien
Bereinigen -> Systemwiederherstellung und Schattenkopien (kann nur von Administratoren ausgeführt werden)
$defrag /c /h /u (Defragmentiert alle Volumen und Wechseldatenträger
bei denen es sinnvoll ist / geht nicht unter Windows XP)
Volumen -> Eigenschaften -> Tools -> Jetzt defragmentieren (Zeitplan / Analysieren / Defragmentieren)
Defragmentieren von Festplatten, USB-Flashsticks und VHDs erhöht die Leistung.
Nur NTFS-Volumen können
defragmentiert werden.
Volumen
mit einem Fragmentierungsgrad höher
als 10% sollten defragmentiert werden. Es kann nur ein Zeitplan für die Defragmentierung
angelegt werden.
Volumen -> Eigenschaften -> Tools -> Fehlerüberprüfung -> Jetzt prüfen (Optionen der Datenträgerprüfung: Dateisystemfehler automatisch korrigieren;
Fehlerhafte Sektoren
suchen/wiederherstellen)
Datenträgerrichtlinien (lokale Gruppenrichtlinien, GPO)
Lese- oder Schreibezugriff auf Wechseldatenträger / CD und DVD /
Diskettenlaufwerk / Bandlaufwerke
oder benutzerdefinierte Klassen (via eingabe der GUID) verweigern
$mmc compmgmt.msc Datenträgerspeicher -> Datenträgerverwaltung
MBR-Datenträger können maximal 2GB groß sein.
GBT-Datenträger können mehr als vier Partitionen enthalten.
MBR-Datenträger können zu GPT-Datenträger
oder dynamischen Datenträgern
konvertiert werden und andersherum solang sie kein Volumen enthalten.
$DISKPART >convert (mbr|gbt|basic|dynamic)
Dynamische-Datenträger benutzen einen reservierten Bereich auf dem Datenträger
um LDM-Datenbanken (Logical Disk Manager)
zu speichern. LDMs enthalten Volumen-Informationen die auf jedem Dynamischen-Datenträger repliziert
werden.
Dynamische-Datenträger sind zuverlässiger.
Dynamische-Datenträger sollten nicht einzeln verschoben werde.
Dynamische-Datenträger müssen importiert werden auf fremden Geräten.
Dynamische-Datenträger sind nur schwer in Basis-Datenträger (MBR/GBT)
zurück zu konvertieren da die LDM
Datenträgerübergreifend abgelegt sind.
$DISKPART >online (reaktiviert
offline oder fehlende dyn. Datenträger)
$DISKPART >create volume simple [size=<n>] [disk=<n>]
$DISKPART >shrink querymax
$DISKPART >extend [size=<n>] [disk=<n>]
$mountvol (Volumen bereitstellen)
Übergreifende Volumen (Stripsetvolumes)
sind zusammengesetzt aus mehreren Teilen von Dynamischen-Datenträgern.
Stripsetvolumes (RAID-0) verwenden mehrere physische Festplatten um
ein Volumen zu bilden (min. 2
Datenträger). Garantiert schneller Datenzugriff.
Stripesetvolumen müssen auf Dynamischen
Datenträgern erstellt werden.
$DISKPART >create volume
stripe [size=<n>] [disk=<n>[,<n>[…]]
Gespiegelte Volumes (RAID-1)
verwenden mehrere physische Festplatten um ein Volumen zu bilden (min. 2 Datenträger). Garantiert
Ausfallsicherheit.
$DISKPART >select disk
$DISKPART >add disk=<n>
Stripsetvolumes mit Parity (RAID-5)
verwenden mehrere physiche Festplatten um eine Volumen zu bilden (min. 3 Datenträger). Garantiert schneller
Datenzugriff und Ausfallsicherheit.
$DISKPART >create volume raid [size=<n>]
[disk=<n>[,<n>[…]]
Bereitstellungspunkte (Windows
Hardlinks) stellen Ordnerinhalte eines Ordners oder Volumen an anderen
Punkten bereit.
$fsutil hardlink Volume:\UrsprungsOrdner
Volume:\Ziel\Ordner
Programm (Recht Maustaste) -> Behandeln von Kompatibilitätsproblemen
Programmbehandlung für
Programmkompatibilität versucht
automatisch Probleme zu beheben.
Programm (Rechte Maustaste) ->
Eigenschaften -> Kompatibilität
Vordefinierte Kompatibilitätsmodi und Optionen die ältere Betriebssysteme nachahmen, Farbraum,
Visuelle Designs, Desktopgestaltung, DPI-Werte deaktivieren oder Bildschirmauflösung
verkleinern bzw. das Programm als
Administrator oder anderen Benutzer
ausführen.
ACT (Application Compatibility Toolkit)
|
Tool |
Funktion |
|
Application
Compatibility Manager |
Sammelt und analysiert Kompatibilitätsdaten. Erfasste Daten werden in
einer SQL Server-Datenbank
gespeichert (es wird also ein MS
SQL-Server benötigt). Erstellt DCPs (Data Collection Packages) für einzelne Clients. Eignet sich für eine große
Anzahl von Clients. |
|
Compatibility
Administrator |
Eignet sich für eine große Anzahl von
Anwendungskompatibilitätsproblemen. Hat bereits eine Datenbank
mit bekannten Kompatibilitätsfixes. Kann Kompatibilitätsfixes erstellen. Ein Kompatibilitätsmodus ist eine Sammlung von Kompatibilitätsfixes. |
|
Internet Explorer
Compatibility Test Tool |
Testet Webanwendungen auf ihr kompatibilität mit Internet Explorer 8 (Standart IE
bei Windows 7). |
|
Setup Analysis Tool |
Überwacht Aktivitäten von Installationsprogrammen. Kann
Kompatibilitätsprobleme bei der Installation von: Kernelmodustreibern, 16-Bit-Komponenten
und GINA-DLLs (Graphical Identification and Authentication Dynamic-Link Libraries)
und Windows-Ressourcenschutz
entdecken. |
|
Standard
User Analyzer |
Erkennt Kompatibilitätsprobleme die durch die Benutzerkontensteuerung entstehen. Liefert Daten zu: APIs, Registrierschlüsseln, .ini-Dateien,
Token, Berechtigungen, Namespaces und Prozessen. |
Lokale Gruppenrichtlinien
Andwendungskompatibilitätsdiagnose
Computerkonfiguration -> Administrative Vorlagen
-> System -> Problembehandlung und Diagnose ->
Andwendungskompatibilitätsdiagnose
$sdbinst (Installation von Skim’s (Anwendungskompatibilitätsfixes))
Windows XP Mode für Windows 7 stellt ein Windows
XP Umgebung mit Microsoft Virtual PC
unter Windows 7 Professional, Enterprise und Ultimate zu Verfügung.
In der Windows XP Umgebung installierte Anwendungen werden automatisch im Startmenü von Windows 7 angezeigt.
Eine so gestartete Anwendung
sieht aus wie eine Windows 7 Anwendung.
Windows XP Mode setzt einen Prozessor mit AMD-V oder
Intel VT voraus (muss oft im Bios aktiviert werden) und min. 256MB RAM je XP-Mode-Client.
Windows XP Mode bietet eine x86-Version Windows
XP Professional SP3 Version.
Windows XP Mode unterstützt keine x64-Anwendungen.
Windows XP Mode Windows XP Version muss ebenfalls gepatched werden.
Windows XP Mode wird heruntergefahren wenn ein Programm direkt im XP Modus aus dem Startmenü
gestartet wird.
Lokale
Gruppenrichtlinien zur Softwareeinschränkung
Computerkonfiguration -> Richtlinien ->
Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für Softwareeinschränkungen
Richtlinien für Softwareeinschränkungen lassen sich auf Windows
XP, Vista und Windows 7-Editionen
anwenden die kein AppLocker
vorhalten.
Richtlinien für Softwareeinschränkungen legen eine Standartregel
fest die entweder alle Anwendungen blockiert oder alle Anwendungen zulässt.
Richtlinien für Softwareeinschränkungen werden in folgender hierarchischen Reihenfolge
angewendet:
Richtlinien für Softwareeinschränkungen haben folgende Sicherheitsstufen:
·
Nicht erlaubt
·
Standartbenutzer (im Gegensatz zu Administratoren)
·
Nicht eingeschränkt
Richtlinien für Softwareeinschränkungen -> Erzwingen
(legt fest ob auch DLLs mit einbezogen
werden)
Richtlinien für Softwareeinschränkungen -> Designierte
Dateitypen (legt fest welche Dateitypen
als Ausführbare-Datei eingestuft
werden)
AppLocker-Anwendungsrichtlinien stehen auf Windows
7 Editionen Enterprise und Ultimate
zur Verfügung und sind vergleichbar mit Richtlinien
für Softwareeinschränkungen.
AppLocker-Anwendungsrichtlinien lassen sich jedoch auf Benutzer- und Gruppen-Konten anwenden und können auch für
zukünftige Versionen eines Produkts gelten.
AppLocker-Anwendungsrichtlinien sind darauf angewiesen das der Dienst Anwendungsidentitäten
läuft.
AppLocker-Blockierungsregeln haben Vorrang vor AppLocker-Zulassungsregeln.
AppLocker-Regeln werden auch Anwendungssteuerungsrichtlinien
genannt.
AppLocker-Regeln können via Regeln automatisch
generieren mit Hilfe eines Assistenten erstellt werden bei dem man den Pfad der Datei oder des Verzeichnisses
und Typ der Regel angibt.
AppLocker-Überwachung protokolliert nur das Zutreffen von Regeln und setzt
sie nicht durch. Wenn AppLocker Regeln
nur überwacht konfigurieren sich die entsprechenden Regeln im Knoten der Local GPO -> AppLocker entsprechend.
AppLocker hat Vorrang vor den Richtlinien für Softwareeinschränkungen.
$mmc gpedit.msc -> Computerkonfiguration
-> Windows-Einstellungen ->
Sicherheitseinstellungen ->
Anwendungsteuerungsrichtlinien -> AppLocker
|
Typ |
Eigenschaft |
|
Standartregeln |
Automatisch erstellte Regeln die notwendig sind weil AppLocker über eine Blockierungsregel (fallback block rule) verfügt die
alle Anwendungen blockiert. Standartregeln
lassen deshalb die meisten Anwendungen
zu. Die Benutzer-Gruppe Jeder
ist Standarteintellung. |
|
Blockierungsregeln |
Blockieren oder lassen Anwendungen zu. Blockierungsregeln haben Vorrang vor Standartregeln. Mit Blockierungsregeln kann die Ausführung von Anwendungen, die durch Standartregeln
zugelassen sind, verhindert werden. Die Benutzer-Gruppe Jeder ist Standarteinstellung. |
|
Ausführbare Regeln |
Regeln für ausführbare Dateien (.exe,
.bat, .vbs etc.). Standartregeln sind Pfadregeln die Anwendungen
aus dem Ordnern Programme und Windows ermöglichen oder Administratoren erlauben überall
Anwendungen auszuführen. |
|
Windows Installer-Regeln |
Gelten für Dateien mit Namenserweiterung .msi und .msp. Kann die Installation von
Software regeln. Die Standartregeln
erlauben der Benutzer-Gruppe Jeder
aller digital signierter Windows Installer-Dateien und aller Windows Installer
Dateien aus dem Verzeichnis %SystemDrive%Windows\Installer und Administratoren
das ausführen aller .msi und .msp-Dateien. |
|
Scriptregeln |
Gelten für Datein mit Namenserweiterung .ps1, .bat, .cmd, .vbs und .js. Für Scripts die nur selten
geändert werden sollten Hashregeln
erstellt werden und Pfadregel für
Ordner in denen die Scripte gespeichert sind. Die Standartregeln lassen das ausführen aller Scripte zu, die in den
Ordnern Programme und Windows gespeichert sind.
Administratoren können von überall Scripte ausführen. |
|
DLL-Regeln |
Gelten für Dateien mit der Namenserweiterung .dll und .ocx. DLL-Regeln
werden bei der Aktivierung von AppLocker
nicht automatisch aktiviert. DLL-Regeln
bieten ein Höchstmaß an Sicherheit auf kosten der Leistung. |
|
Herausgeberregeln |
Überprüfung von Dateien anhand des Codesignaturzertifikats. Details der digitalen
Signatur werden aus einer Referenzanwendung gelesen. Herausgeberregeln gelten auch für zukünftige Versionen einer Datei, im Gegensatz zu Hashregeln. Es lassen sich auch
bestimmte Datei-Versionen einschränken. |
|
Hashregeln |
Überprüfung von Dateien anhand eins digitalen Fingerabdrucks
(Hashwert / Checksum). Hashwerte
können automatisch erstellt werden. Es ist auch möglich Hashwerte für einen Ordner zu
erstellen. |
|
Pfadregeln |
Überprüfung von Dateien oder Ordnern anhand des Pfades. |
|
Ausnahmeregeln |
Bestimmte Anwendungen lassen sich von allgemein formulierten Regeln
ausnehmen. |
CIDR-Notation (Classless
Inter Domain Routing) schreibt man
eine Subnetmask 255.255.255.0 -> /24. 24 weil binär 11111111.11111111.11111111.00000000 24x1 gefolgt von 8x0.
Das Netz 192.168.0.0 mit der Subnetzmask
255.255.255.0 kann auch als 192.168.0.0/24
angegeben werden.
Die CIDR-Subnetmask /25 in
binärer Punktnotation: 11111111.11111111.11111111.100
00000; in der dezimaler Punktnotation 255.255.255.128 ist.
Die private B-Classen Netz 192.168.0.0 mit der CIDR-Subnetmask
/25 hat den Netzwerkmaske
192.168.0.128, die Broadcast-Adresse
192.168.0.255 und kann den IP-Bereich
von 192.168.0.129-192.168.0.254 abdecken.
DHCP (Dynamic Host Control Protocoll) weist Hosts
dynamisch IP-Adressen, Standardgateways und DNS-Server zu falls so eingestellt.
DNS (Domain Name System) löst sowohl
lokale Hostnamen als auch FQDN (Fully Qualified Domain Name) nach IPs
auf und IPs auf Hostnames als auch FQDN.
Stellt ebenfalls DNS-Surffixes zu Verfuegung.
DNS-Surffixes sind Hosts hinter dem @ bei E-Mail-Adressen.
APIPA/ZCN (Zero
Configuration Networking, auch Automatic Private IP Addressing, kurz APIPA,
oder Auto-IP) konfiguriert ein internes privates Netzwerk ohne DHCP. Wenn ein Netzwerk keine Verbindung
zu anderen Netzen hat kann man APIPA
benutzen um die Computer miteinander kommunizieren zu lassen.
APIPA
konfiguriert IPv4-Einstellungen eines
Computers mit einer IPv4-Adresse im
bereich von 169.254.0.1 bis 169.255.254 mit der Subnetzmask 255.255.0.0.
APIPA
konfiguriert kein Standardgateway, weil APIPA
konfigurierte Netzwerke keine IPv4-Pakete in andere Netzwerke sendet oder empfängt.
NAT (Network Address Translation) konfiguriert ein privates
Netzwerk über eine einzelne öffentliche IPv4-Adresse um zugriff auf
das Internet zu erhalten. NAT routet die öffentliche, WAN (Wide Area Network) IPv4-Adresse mit der private, LAN (Local Area Network)
IPv4-Adresse.
IANA (Internet Assigned Numbers Authority) vergibt und verwaltet öffentliche IPv4-Adressen ueber verschiedene Unterorganisationen.
RIPE (Réseaux IP Europèes) ist seit 1989 die europäische Unterorgnaisation der IANA zum verwalten und vergeben von IPv4-Adressen.
LAN (Local Area Network), bzw. private
Netzwerk-Adress-Blöcke die die IANA
zugeteilt hat:
Außerdem wird auch der APIPA-Bereich 169.254.0.0/16
(169.254.0.1 bis 169.254.255.254) als privater Adress-Block behandelt da seine
Adressen nie im Internet auftauchen. APIPA-Adressen sind aber wiederum keine LAN-Adressen.
SOHO-Netze (Small Office Home Office) sind LANs.
ICS (Internet Connection Sharing) und WAP (Wireless Access Point) sind verschiedene Arten mit denen ein
Computer ins Internet verbunden werden kann.
Beim ICS oder WAP teilt ein so
konfigurierter Computer seine Internetverbindung mit anderen.
WLAN (Wireless Local Area Network)
Authentifizierungstypen:
WLAN Technologien
Netzwerk- und Freigabencenter -> Verbindung zu
einem Drahtlosennetz herstellen
Netzwerk- und Freigabencenter -> Drahtlosnetzwerk
verwalten
$netsh wlan
$netsh wlan show interfaces
$netsh wlan connect
name=<Profilname> ssid=<Netzwerk-SSID>
[interface=<Schnittstellenname>]
$netsh wlan disconnect interface=*
$netsh wlan disconnect interface=”Drahtlosnetzwerkverbindung”
IPv6 ist der Nachfolger von IPv4. Im Gegensatz zu IPv4
hat IPv6 einen Adressraum von 2^128 Adressen
(IPv4 hat einen Adressraum von 2^32) was
für jeden Quadratmeter Erdoberfläche 6,5 x 2^23
oder 54.525.952 Adressen ausmacht.
IPv6-Adressen
werden also nicht so schnell ausgehn.
128Bit
lange IPv6-Adressen werden in Blöcke von 16Bit unterteilt. Jeder Block
wird in eine 4-Stellige Hexadezimalzahl konvertiert.
Doppelpunkte dienen als
Trennzeichen. Diese Darstellung wird als
Doppelpunkt-Hexadezimal-Format bezeichnet.
Globale Unicast-IPv6-Adressen entsprechen öffentlichen Unicastadressen in IPv4.
Bsp. Eine Unicast-IPv6-Adresse:
21cd:0053:0000:0000:03ad:003f:0000:8d62
21cd:53:0:0:3ad:3f:0:8d62
(führende Nullen in einem Block können ausgelassen werden)
21cd:53::3ad:3f:0:8d62 (Blöcke
die den Wert 0 haben können mit :: einmal
zusammengefasst werden)
Präfixe von IPv6-Adressen
werden wie bei IPv4 mit Schrägstrichnotationen angegeben.
Zum Bsp. Ist 21cd:53::/64 das Subnetz
in dem die Adresse 21cd:53::3ad:3f:0:8d62 liegt. Die
forderen 64Bit sind das Netzwerkpräfix.
Subnetpräfixe (die Subnetz-ID) wird einer
einzelnen Verbindung (link) zugewiesen.
Demselben link können mehrere Subnetz-IDs zugewiesen sein, was man auch als Multinetting bezeichnet.
ND (Neighbor Discovery) löst IPv6-Adressen in MAC-Adressen auf. Der 64Bit lange Hostabschnitt einer globalen IPv6-Unicastadresse leitet sich aus der MAC-Adresse ab.
Host
werden mit Hilfe von DNS aufgelöst, außer bei verbindungslokalen Adressen.
Wertepaare aus Computername
und IPv6-Adresse in einem AAAA-DNS-Ressourceneintrag gespeichert, dem
Gegenstück zum A- oder Hosteintrag bei IPv4.
Reverse-DNS-Lookups, die den Computernamen zu einer IPv6-Adresse
liefern, werden in einem PTR-DNS-Ressourceneintrag
implementiert, der über die
IPv6-Reverse-Lookupzone ipv6.arpa führt. Die Reverse-Lookupzone in-addr.arpa ist das IPv4 Gegenstück.
In Peer-to-Peer-Umgebungen ohne DNS
kann PNRP
(Peer Name Resolution Protocol)
eingesetzt werden. PNRP kann Peernamen mit dem Computer oder Diensten
verknüpfen und diese Daten geschützt (Kryptografie) oder ungeschützt veröffentlicht werden.
IPv6-Adresstypen (RFC 2373):
IPv6-Unicastadressen
i.
2n{3}: Globale Unicastadressen sind das IPv6-Gegenstück
zu öffentlichen IPv4-Adressen. Sie
sind global routingfähig, zusammenfassbar (aggregatable
global unicast address), zusammenfassbare globale Unicastadressen sind im gesamten IPv6-Internet eindeutig. (Bereiche in dem eine IP-Adresse eindeutig ist, wird als Gültigkeitsbereich oder engl. Scope
bezeichnet.)
Formatpräfix (Format
Prefix, FP) sind die drei höchsten Bits die immer 001 sind. Theoretisch beginnen Unicastadressen mit 2 oder 3, in der
Praxis beginnen sie mit 2.
Die
hinteren 64Bits einer Unicastadresse
definieren den Host und werden
entweder von der 48Bit langen MAC-Hardware-Adresse
(Media-Access-Control) abgeleitet oder der NIC zugewiesen.
Die
Schnittstellenidentität wird also von
der Netzwerkkartenhardware zu Verfügung gestellt. (RFC 2374)
ii. fe80:
Verbindungslokale (link-local)
IPv6-Adressen sind das Gegenstück zu APIPA konfigurierten IPv4-Adressen.
Der Gültigkeitsbereich ist die lokale Verbindung.
Sie werden immer automatisch Konfiguriert.
iii. fec0:
Standartlokale (site-local)
IPv6-Adressen sind das Gegenstück
zum privaten Adressraum in IPv4. Private Intranets die keine
Verbindung in das IPv6-Intranet
haben, können standortlokale Adressen
verwenden, ohne dass ein Konflikt mit zusammenfassbaren globalen Unicastadressen entstehen.
Der Gültigkeitsbereich
einer standortlokalen Adresse ist der
Standort.
Sie können z.B. mit DHCPv6 zugewiesen werden.
Hosts verwenden standortlokale
Adressen wenn Routerankündigungsnachrichten
empfangen werden die kein Adresspräfix
enthalten.
Teredo-Tunnel verwenden solche Adressen.
iv. Speziell
IPv6-Adressen sind unspezifizierte
Adresse und Loopbackadressen.
0:0:0:0:0:0:0:0 oder :: unspezifizierte Adresse steht für das Fehlen einer Adresse. Sie ist das Gegenstück
zur unspezifizierten IPv4-Adresse 0.0.0.0.
Sie
wird normalerweise als Quelladresse eingetragen um zu überprüfen ob eine
vorläufige Adresse eindeutig ist.
Sie
wird niemals einer Schnittstelle
zugewiesen oder als Zieladresse verwendet.
0:0:0:0:0:0:0:1 oder ::1 Loopbackadressen identifizieren eine Loopbackschnittstelle.
Sie ist das Gegenstück zur IPv4-Loopbackadresse 127.0.0.1.
IPv6-Multicastadressen
i.
Mithilfe einer ff00: IPv6-Multicastadresse kann ein IPv6-Paket
an mehrere Hosts gesendet werden die alle die selbe Multicastadresse haben.
Das FP
lautet 11111111.
IPv6-Anycastadressen
i.
Eine Anycastadresse ist mehreren Schnittstellen zugewiesen. Pakete, die
an eine Anycastadresse gerichtet
sind, werden von der Routinginfrastruktur
an die nächstgelegene dieser Schnittstellen
weitergeleitet.
Die
Routinginfrastruktur muss bekannt
sein, welche zugewiesen sind und wie weit sie im bezug auf die Routingmetrik entfernt sind.
Im
Moment werden Anycastadressen nur als
Zieladressen verwendet und sie werden Routern zugewiesen.
IPv6 wurde entwickelt um die Nachteile von IPv4 zu überwinden. IPv6 hat folgende Vorteile
gegenüber IPv4:
Der 64Bit-Hostabschnitt
(Schnittstellen-ID) kann aus der NIC generiert werden.
IPv4 wird normalerweise von Hand oder mit DHCP konfiguriert. Automatische
konfiguration (APIPA) ist nur in isolierten Subnetzen möglich. IPv6 bietet eine einfache automatische
Adresskonfiguration die sowohl statusbehaftete als auch statusfreie
Adresskonfiguration zulässt.
IPSec (Internet Protocol Security) bietet die Möglichkeit
Kommunikation über das Internet zu verschlüsseln. IPv6 macht IPSec
obligatorisch.
IPv4 nutzt QoS (Quality of Service) um Bandbreite für
Echtzeitverkehr zu garantieren. Dies gilt aber nicht wenn IPv4-Pakete verschlüsselt sind.
Im
Feld Flow
Label des IPv6-Headers ist eine NutzdatenIdentifizierung eingebaut, so dass
der QoS-Betrieb auch mit
Verschlüsselungfunktioniert.
Routingtabellen
von Backboneroutern sind deutlich kleiner dank Routenzusammenfassung.
IPv4- und IPv6-Header sind nicht
kompatibel.
Hosts
und Router müssen eine IPv4- und IPv6-Implementierung enthalten um beide
Header-Formate zu erkennen und zu verarbeiten.
IPv6-Header sind möglichst kompakt aufgebaut. Alle nicht unbedingt
benötigten (optionalen) Felder wurden
in den Erweiterungs-Header verschoben.
IPv4
nutzt ARP-Broadcasts um die MAC-Adresse der NIC aufzulösen. IPv6-Nachbarermittlungsprotokoll
(Neighbor Discovery, ND) arbeitet mit
einer Abfolge von ICMPv6-Nachrichten.
ND ersetzt ARP-Broadcasts, ICMPv4-Routersuche
und ICMPv4-Umleitungsnachrichten
durch effiziente Multicast- und Unicast-ND-Nachrichten.
0:0:0:0:0:0:0:0:a.b.c.d oder ::a.b.c.d IPv4-kompatible Adressen von Dual-Stack-Knoten die über IPv4-Infrastruktur mit IPv6 kommunizieren.
0:0:0:0:0:ffff:a.b.c.d oder ::ffff:a.b.c.d IPv4-zugeordnete Adressen werden
benutzt um reine IPv4-Knoten einem IPv6-Knoten bekannt zu machen.
2002:ab:cd::/16 6to4-Adressen kann benutzt werden um IPv6-Pakete über ein IPv4-Netzwerk zu transportieren ohne das
Tunnel konfiguriert werden müssen.
Ermöglicht IPv4-Clients den Zugang in das IPv6-Internet und ist als
Übergangslösung geplant.
2001::/32 Toredo-Adressen (RFC 4380)
enthalten ein 32Bit-Teredo-Präfix.
Auf das Präfix folgt die 32Bit lange IPv4-Adresse des Teredo-Servers der die Adresse mitkonfiguriert.
Die nächsten 16Bit sind für Teredoflags reserviert.
Die nächsten 16Bit speichern
die UDP-Port-Nummern, die den
gesamten Teredo-Verkehr abwickelt.
Die letzten 32Bit speichern
die externe IPv4-Adresse die den
gesamten Teredo-Verkehr abwickelt.
… :5efe: … IPv6 kann ISATAP-Adressen
(Intra-Site Automatic Tunneling Adressing
Protocol) nutzen um die Kommunikationen zwischen zwei Knoten über ein IPv4-Intranet herzustellen.
Die ersten 64Bits beginnen
mit verbindungslokalen, standortlokalen, globalen oder 6to4-globalen Unicastpräfixen.
Die nächsten 32Bits
enthalten die ISATAP-Kennung 0:5efe.
Die letzten 32Bits enthalten
die IPv4-Adresse in Hex- oder Punkt-Dezimal-Notation.
ISATAP-Adressen
sind für öffentliche oder private IPv4-Adressen.
$netsh interface ipv6 6to4
$netsh interface ipv6
isatap
$netsh interface ipv6 add
v6v4tunnel
$netsh interface ipv6 add
v6v4tunnel “Remote” 10.0.0.11 192.168.123.116
Systemsteuerung -> Netzwerk- und Freigabencenter
-> Internetoptionen
$inetcpl.cpl
$netsh interface ipv6 show address
$netsh interface ipv6 show address level=verbose (listet die
Standort-IDs auf)
$netsh interface ipv6 set address
name=“LAN-Verbindung” fec0::ffee:2
$netsh omterface ipv6 add dnsserver name=
“LAN-Verbindung” fec0::ffee:0:0:ff
$netsh interface ipv6 add route ::/0
name=“LAN-Verbindung” fec0::ffee:0:0:1
$netsh interface ipv6 set interface name=
“LAN-Verbindung” forwarding=enabled
$netsh interface ipv6 show neighbors
$netsh interface ipv6 delete neighbors
$netsh interface ipv6 show destinationcache
$netsh interface ipv6 delete destinationcache
$netsh interface ipv6 show route
$route print
$netstat –r
Systemsteuerung -> Netzwerk- und Freigabencenter
-> Internetoptionen
$inetcpl.cpl
$netsh interface ip[v4] set
address name=“LAN-Verbindung“ static 10.0.0.2 255.255.255.0 10.0.0.1
$netsh interface ip[v4] set
dnsservers name=“LAN-Verbindung” static 10.0.0.1
$netsh interface ip[v4]set
address name=“LAN-Verbindung” source=dhcp
$netsh interface ip[v4] set
dnsserver name=“LAN-Verbindung“ source=dhcp
$ping
$ping6
$tracert
$pathping
$nslookup
$netstat
$route
$ipconfig
$ipconfig /all
$ipconfig /release
$ipconfig /renew
$ipconfig /flushdns
$runas /user:administrator
ipconfig /registerdns
Netzwerk- und Freigabencenter -> Adaptereinstellungen
ändern (rechte Maustaste auf gewünschte Schnittstelle) -> Diagnose
Netzwerk- und Freigabencenter -> Rotes X (zwischen
den Computer-, Internet- oder Netzwerk-Symbol)
Netzwerk- und Freigabencenter -> Problem
beheben
Internet Explorer -> Diagnose von
Verbindungsproblemen
$netstat –e –s | more
$netstat –s –p tcp | more
$netsh interface ip show
tcpstats
$netsh interface ip show
udpstats
$netsh firewall
$netsh firewall show config
$netsh advfirewall reset
Netzwerkstandartkategorien (Network Location Awareness, NLA)
legen mit dem passenden Netzwerkprofil
den richtigen Firwallregelsätze fest.
Es gibt Netzwerkprofile für
zwei Netzwerktypen:
Beim verbinden mit einem
neuen Netzwerk bietet Windows 7 ein Dialogfeld für die Wahl zwischen Heimnetzwerk, Arbeitsplatznetzwerk
und Öffentliches Netzwerk.
Das Netzwerkprofil für Domänennetzwerke
wird von NLA automatisch zugewiesen
beim anmelden bei der Domäne.
Für verschiedene
Netzwerkkarten können verschiedene Netzwerkprofile
gelten (was bei Windows Vista nicht mögllich war).
Windows-Firewall Netzwerkprofile können nur
mit Administratorrechten geändert werden.
Windows-Firewall kann nur Regeln auf Basis von
Programmen und Windows 7-Funktionen erstellen. Im Gegensatz zu WFAS die auf Basis von Diensten oder Ports Regeln erstellen
kann.
Systemsteuerung -> Windows-Firewall (Anwendungsbezogene Regeln im Gegensatz zum
komplexeren Paketfilter der WFAS)
Systemsteuerung -> System und Sicherheit
-> Windows-Firewall (Standart
wiederherstellen)
$wf
$mmc wf.msc
$netsh advfirewall firewall
add rule name=“ICMPv4“ protocol=icmpv4:any,any dir=in action=allow
$netsh advfirewall firewall
add rule name=”ICMPv6” protocol=icmpv6:any,any dir=in action=allow
$netsh advfirewall firewall
add rule name=”HTTPD” profile=domain protocol=TCP dir=in localport=80
action=allow
$netsh advfirewall firewall
add rule name=”SSHD” dir=in programm=”C:\Windwos\System32\sshd.exe”
$netsh advfirewall firewall
add rule name=”FTP” dir=out program=”C:\Windows\System32\ftp.exe” action=block
$netsh advfirewall (export|import)
Systemsteuerung -> Windows-Firewall ->
Erweiterte Einstellungen
WFAS komplexe
Regeln:
WFAS Regeltypen:
WFAS Regeloptionen:
Die WFAS Standarteinstellung setzt voraus, dass die Verbindung
authentifiziert und integritätsgeschützt, aber unverschlüsselt ist.
Regel-Bereiche legen fest ob eine Regel für gewisse Quell- und
Ziel-Adressen gilt.
Regel-Bereiche gibt es nur bei benutzerdefinierten
Regeln.
Regel-Erweitert legt fest für welche Gerätetypen
(NAT) die Regel gilt.
WFAS Verbindungssicherheitsregeln-Typen:
Mit
Isolierungsregeln kann z.B. die
Kommunikation gesperrt werden mit Hosts die nicht in der AD DS-Domäne sind.
Konsolen Snap-In IP-Sicherheitsrichtlinien
Konsole Snap-In Windows-Firewall mit erweiterter Sicherheit
$mmc
$mmc wf.msc
Remotedesktop kann sich nur anmelden wenn kein anderer Benutzer am
Remoterechner angemeldet ist. Der Computer muss eingeschalten und hochgefahren
sein.
Der Remotecomputer kann aus
dem Ruhezustand beim Eingang einer Remotedesktopverbindungsaufforderung
reaktiviert werden wenn WOL (Wake on Lan) der NIC aktiviert ist.
Ist der Remotecomputer gesperrt
kann nur der gesperrte Benutzer sich Remote anmelden.
Ist ein anderer Benutzer
angemeldet erhält er eine Meldung, dass sich ein anderer Benutzer remote
Anmelden möchte. Der Benutzer kann dies immer ablehnen.
Ist eine Remotebenutzer
angemeldet und ein lokaler Benutzer möchte sich anmelden gilt das gleiche.
Das Windows Server 2008 Terminaldienstegatway ermöglicht das
anmelden von Benutzer über Remotedesktop
auf Hosts aus dem Internet.
Remotedesktopverbindungen lassen auf den Windows
7 Editionen: Professional, Enterprise und Ultimate verwenden.
Die Remotedesktop-Client-Software
ist auf allen Windows 7 Editionen
enthalten.
Wird Remotedesktop aktiviert werden automatisch Windows-Firewall Regeln aktiviert.
Um Remotedekstopverbindungen mit
Windows XP zu ermöglichen muss die Option Verbindung von Computern zulassen, auf denen eine beliebige Version von
Remotedesktop ausgeführt wird.
Wird die Windows-Firewall auf Standarteinstellungen zurückgesetzt,
muss der Remotdesktop erneut
aktiviert werden.
Um Standartbenutzern Remotedesktopverbindungen
zu ermöglichen müssen diese der Benutzergruppe Remotedesktopbenutzer beitreten.
Mitglieder der
Benutzergruppe Administratoren und Remotedesktopbenutzer können Remotedesktopverbindungen aufbauen.
Remoteunterstützung unterscheidet sich in sofern von Remotedesktop, dass der
Remotecomputer-Benutzer eine Verbindung beim Verwaltungscomputer anfordert.
Remoteunterstützung ist ein Supporttool, das dem
Supportmitarbeiter ermöglicht den Bildschirminhalt des Remotecomputer-Benutzers
einzusehn.
Windows-Firewall Regeln werden automatisch aktiviert beim start einer Sitzung.
Nachdem Windows-Remoteunterstützung gestartet hat
besteht die Wahl zwischen: Eine
Verstrauenswürdige Person um Unterstützung einladen oder Einem Benutzer, von dem Sie eingeladen wurden, Hilfe anbieten.
Einladungen
können via E-Mail, Speichern der Einladung in einer Datei oder Easy Connect-Methode (nur wenn PNRP auf einem lokalen Windows 2008 Server aktiviert ist)
erzeugt und verschickt werden.
Neben der Einladung wird ein Kennwort benötigt das getrennt von der Einladung übermittelt werden
sollte.
Systemeigenschaften -> Remote
Windows-Remoteverwaltungsdienst ermöglicht das ausführen von Befehlen auf einem
Remoterechner via WinRS oder der Windows PowerShell.
Lokale GPO -> Computerkonfiguration ->
Administrative Vorlagen -> Windows-Komponenten ->
Windows-Remoteverwaltung
$WinRM quickconfig (Startet den WinRM-Dienst auf dem Remotecomputer und
konfiguriert die WinRM-Firewallausnahmen)
Windows-Remoteshell
$WinRS –r:<Hostname> [-u:<Benutzername>]
[-p:<Kennwort>] [<Befehl>]
$WinRS
–r:http://aberdeen.contoso.internal –u:foo net accounts
$WinRS –r:aberdeen arp
$WinRM set
winrm/config/client/ @{TrustedHosts=”<Hostname>,<Hostname>…”}
Windows PowerShell
Windows PowerShell >= v2 eigenet sich zur Remoteverwaltung
$Icm <Hostname>
{<Befehl>}
$Icm aberdeen {Get-Process}
$Icm New-PSSession (erstellt eine
dauerhafte Sitzung mit dem Remotecomputer)
Heimnetzgruppen vereinfachen das Freigeben von Dateien und Druckern
in SOHO-Netzwerken.
Heimnetzgruppen können nur in Netzwerken verwendet werde, die das Netzwerkprofil Heimnetzwerke
(privat) haben.
Netzwerkadressen können hierfür auf Heimnetzwerk
automatisch eingestellt werden.
Heimnetzgruppen können nicht in Domänen eingerichtet werden, man kann einer vorhandenen
Heimnetzgruppe aber beitreten.
Heimnetzgruppen haben ein Passwort, man muss sich mit ihm authentifizieren wenn man
beitreten will.
Heimnetzgruppen können nur von Benutzern mit Administratorrechten aktiviert werden.
Heimnetzgruppen sehen im Netzwerk Ressourcen
wie Datei-, Drucker- und Bibliothekfreigaben
falls die Netzwerkerkennung
aktiviert ist.
Heimnetzgruppenfreigaben werden separat im Windows Explorer dargestellt.
Systemsteurung -> Netzwerk und Internet ->
Heimnetzgruppen
Freigegebene Ordner können Ordner
Eigenschaften -> Freigabe erstellt und verwaltet werden.
Freigegebene Ordner können auch nur für Heimnetzgruppen
freigegeben werden.
Erweiterte Freigabe erlaubt spezielle Berechtigungen zu setzen.
Freigegebene Ordner Offlineeinstellungen können
in den Eigenschaften -> Freigabe ->
Erweiterte Freigabe -> Zwischenspeicher konfiguriert werden.
$net share
$mmc compmgmt.msc -> Freigegebene Ordner
Die Konsole Computerverwaltung -> Freigegebene Ordner
zeigt alle auf dem Computer freigegebenen Ordner an. Freigaben können
hinzugefügt, gelöscht, Offlineeinstellungen vorgenommen und Berechtigungen
verändert werden.
Die Konsole zeigt ebenfalls
an welche Benutzer auf die Ressourcen zugreifen.
$net share <Freigabenname>=Volume:\path\to\share
[/grant:<Benutzer> (Read | Change | Full)]
$net share
<Freigabenname> [cache:(manuel | documents | program | branchcache |
none)] [user:<n>]
Bibliotheken sind virtualisierte Sammlungen von Ordnern. Die
Ordner können aus verschiedenen Dateisystemen, Festplatten und Freigaben
stammen.
Bibliotheken
werden separat im Windows Explorer
dargestellt.
Bibliotheken
können für eine Heimnetzgruppe
freigegeben werden.
Druckerfreigaben ermöglichen Benutzern, Dokumente an einen Drucker zu
senden, der im Netzwerk an einen anderen Computer angeschlossen ist.
Für ältere Windows Versionen
können Drucker-Treiber zur Freigabe hinzugefügt werden.
Druckerfreigaben -> Sichheitseinstellungen erlauben folgende Optionen: eigene Dokumente
kontrollieren und Drucken, Diesen Drucker
verwalten, (alle) Dokumente verwalten
Systemsteuerung -> Geräte und Drucker
NTFS-Berechtigungen werden vererbt. Hat z.B. die Gruppe foobar für den Ordner Alpha die Berechtigung Ändern, erhält die Gruppe auch
standartmäßig die Berechtigung Ändern
für alle Unterordner und Dateien die in Alpha
erstellt werden.
Berechtigungsablehnungen haben Vorrang vor Berechtigungszulassungen.
Vererbte Berechtigungen lassen sich ändern Eigenschaften -> Sicherheit -> Erweitert -> Berechtigungen
ändern -> Vererbbare Berechtigungen des übergeordneten Objektes einschließen
entfernen
Ermitteln der effektiven
Berechtigung hilft wenn der Benutzer Mitglieder in mehreren Gruppen
ist. Über Eigenschaften -> Sicherheit
-> Erweitert -> Effektive Berechtigungen
Ordner und Dateien sind Objekte.
Werden Objekte in ein anderes Objekt
kopiert, erbt das kopierte Objekt die Berechtigungen des übergeordneten
Objekts.
Werden Dateien in einen
anderen Ordner auf dem gleichen Volumen verschoben, behalten die Dateien ihre Berechtigungen.
Werden Dateien in einen
anderen Ordner auf ein anderes Volumen verschoben, bekommen die Dateien die Berechtigungen des übergeordneten
Objekts vererbt. Die Dateien
verhalten sich hier wie beim kopieren.
$robocopy kann Dateien und ihre NTFS-Berechtigungen kopieren. $robocopy kann
auch dazu dienen Dateien und deren Berechtigungen
auf ein anderes Volumen zu verschieben.
Werden Objekte auf ein FAT oder FAT32 Volumen verschoben oder kopiert gehen alle NTFS-Berechtigungen verlohren.
Freigabe- und NTFS-Berechtigungen gelten beide
wenn ein Benutzer auf freigegebene Ressourcen
zugreift. Es gilt immer die restriktivere Berechtigung.
Ist die Überwachung von Dateien
und Ordnern in den GPOs aktiviert,
lassen sich über Eigenschaften ->
Sicherheit -> Erweitert -> Überwachung Gruppen zur Überwachung
hinzufügen. Überwachungsereignisse
werden im Sicherheitsprotokoll
erfasst und können über die Ereignisanzeige
eingesehn werden.
Eigenschaften -> Sicherheit
$mmc gpedit.msc -> Computerconfiguration -> Windows-Einstellungen
-> Lokale Richtlinien -> Sicherheitsoptionen -> Überwachung
$mmc gpedit.msc -> Computerconfiguration ->
Windows-Einstellungen -> Lokale Richtlinien -> Sicherheitseinstellungen
-> Erweiterte Überwachungsrichtlinienkonfiguration -> Systemüberwachungsrichtlinien
$icacls Volume:\Path[\file]
(/grant | /deny) <Benutzer | Gruppe>(OI)(F | M | RX | R | W)
$icacls Volume:\Path[\file] /save file.acl /T
$icacls Volume:\Path[\file] /restore file.acl
$robocopy Volume:\Copy\Path Volume:\Target\Path
/copyall /e
Ordner-
und Dateiberechtigungen NTFS Standartberechtigungen
|
Berechtigung |
Ordner |
Dateien |
|
Schreiben |
Schreiben |
Schreiben, nicht löschen |
|
Lesen |
Lesen |
|
|
Ordnerinhalt
anzeigen |
Ordnerinhalt anzeigen |
|
|
Lesen,
Ausführen |
Lesen, Ausführen; Ordnerinhalte
anzeigen; Lesen; Schreiben; |
|
|
Ändern |
Ändern; Lesen, Ausführen;
Ordnerinhalte anzeigen; Lesen; Schreiben; |
|
|
Vollzugriff |
Vollzugriff (Berechtigungen ändern); Ändern; Lesen, Ausführen; Ordnerinhalte anzeigen; Lesen; Schreiben; |
|
Spezielle Berechtigung |
Voll-zugriff |
Ändern |
Lesen, Aus-führen |
Ordner-inhalt an-zeigen |
Lesen |
Schreiben |
|
Ordner durchsuchen / Datei ausführen |
X |
X |
X |
X |
|
|
|
Ordner auflisten / Daten lesen |
X |
X |
X |
X |
X |
|
|
Attribute lesen |
X |
X |
X |
X |
X |
|
|
Erweiterte Attribute lesen |
X |
X |
X |
X |
X |
|
|
Dateien erstellen / Dateien schreiben |
X |
X |
|
|
|
X |
|
Ordner erstellen / Daten anhängen |
X |
X |
|
|
|
X |
|
Attribute schreiben |
X |
X |
|
|
|
X |
|
Erweiterte Attribute schreiben |
X |
X |
|
|
|
X |
|
Unterordner und Dateien löschen |
X |
|
|
|
|
|
|
Löschen |
X |
X |
|
|
|
|
|
Berechtigungen lesen |
X |
X |
X |
X |
X |
X |
|
Berechtigungen ändern |
X |
|
|
|
|
|
|
Besitz übernehmen |
X |
|
|
|
|
|
EFS (Encrypting
Files System) ist in den Editionen
Professional, Enterprise und Ultimate von Windows 7 verfügbar.
$cipher
EFS
unterscheidet sich in sofern von BitLocker
das EFS Dateien und Ordner auf
Dateiebene verschlüsselt nicht auf Volumenebene.
EFS
verschlüsselt im Gegensatz zu BitLocker
nicht nur für bestimmte Computer, Benutzer oder Gruppen sondern
Zertifikatabhängig.
EFS
verwendet eine Verschlüsselung mit öffentlichen Schlüsseln (Public Key Encryption).
Ein Benutzer verfügt über
zwei Schlüssel: Einen Öffentlichen
Schlüssel der im Zertifikatspeicher des Computers aufbewahrt wird und
jedermann zugänglich ist.
Benutzer können den öffentlichen Schlüssel zum verschlüsseln
von Daten benutzen.
Der Private Schlüssel wird im privaten Zertifikatsspeicher des Benutzers gespeichert und kann nur vom
Benutzer verwendet werden.
Mit dem Privaten Schlüssel lassen sich Daten entschlüsseln.
Beim ersten verschlüsseln
erstellt Windows 7 EFS-Zertifikat und
einen Privaten Schlüssel.
EFS kann
nur Dateien verschlüsseln die auf NTFS-Volumen
gespeichert sind.
EFS
verschlüsselte Dateien und Ordner werden mit dem Windows Explorer standardmäßig grün
angezeigt.
EFS kann
keine komprimierten Dateien verschlüsseln, diese werden automatisch
dekomprimiert.
EFS
Dateien werden automatisch entschlüsselt wenn sie auf ein FAT-Volumen kopiert oder verschoben werden.
EFS
ermöglicht Dateien für mehrere Benutzer zu verschlüsseln sofern alle Benutzer
ein EFS-Zertifikat im Zertifikatspeicher des Computers liegen
haben.
EFS kann
keine Dateien für Gruppen
verschlüsseln.
EFS-Zertifikate können in einer AD DS zentral
verwaltet werden.
EFS-verschlüsselte-Dateien können mit Hilfe eines Wiederherstellugsagenten wiederhersgestellt werden.
Wiederherstellungsagenten sind Zertifikate.
Wiederherstellungsagenten können alle verschlüsselten Dateien eines Computers
mit einem privaten Schlüssel
wiederherstellen die nach dem Einrichten eines Wiederherstellungsagenten verschlüsselt wurden.
$cipher /r:recoveryagent
Lokale GPO -> Computerconfiguration ->
Windows-Einstellungen > Sicherheitseinstellungen -> Richtlinien für
öffentliche Schlüssel -> Verschlüsselte Dateien
BranchCache beschleunigt den Zugriff auf Dateien durch Zwischenspeicherung in einer AD DS bei Remoteverbindungen.
BranchCache
funktioniert ab Windows Server 2003 (Gehosteter Cache).
BranchCache
funktioniert mit Windows 7 Edition
Ultimate und Enterprise (Verteilter Cache).
BranchCache
benötigt spezielle Windows-Firewall
Regeln je nachdem ob Gehosteter oder Verteilter Cache aktiviert ist. Inhaltsabrufe
verwenden HTTP; Verteilte Caches verwenden WSD
für die Peerermittlung; Gohostete Caches verwenden HTTPS für Gehostete Cacheclients.
$netsh branchcache
$netsh branchcache set service mode=(distributed|local|hostedclient
location=<Cachserver>) (konfiguriert
auch die Windows-Firewall Einstellung)
$netsh branchcache set cachesize
$netsh branchcache set
localcache
$mmc service.msc -> BrancheCache
Lokale GPO -> Computerkonfiguration ->
Administrative Vorlagen -> Netzwerk -> BranchCache
Gehostete Caches sind zentrale lokale Zwischenspeicher die auf einem
Server eingerichtet werden.
Gehostete Caches sollten verwendet werden wenn in beiden Zweigstellen ein Windows Server 2008-R2-Server zu
Verfügung steht, da bei verteilten Caches
Teile nicht zu Verfügung stehen wenn die Clients heruntergefahren sind.
Gehostete Caches eignet sich für Organisationen, die nicht über ihr eigens AD-Zertifikatdiensteinfrastrautkur
verfügen oder nicht die Ressourcen haben um in jeder Zweigstelle einen Windows Server 2008 R2-Server
aufzubauen.
Gehostete Caches sollte durch DFS (Distributed File System) ersetzt werden
wenn der Traffic im WAN Performance-Einbusen verursacht.
Verteilte Caches verwenden Peercaching
um den Zwischenspeicher auf den Windows
7-Clients der Zweigstellennetzwerke zu verteilen.
Verteilte Caches sorgen dafür, dass ein Peer einen Teil des Zwischenspeichers aufnimmt
aber niemals den Gesammten.
Wenn ein Windows 7-Client eine Datei aus dem WAN abfragt, speichert er diese in
seinem Zwischenspeicher. Falls ein anderer BranchCache-Client die Selbe Datei
anfragt, kann er sie direkt vom ersten Client abrufen und speichert diese
wiederum in seinem Zwischenspeicher.
UAC (User Account
Control) oder auch Benutzerkontensteuerung ist ein
Instrument um festzulegen wann Administratorrechte
nötig sind um einen Vorgang auszuführen.
Für Standartbenutzer ist die UAC
standardmäßig deaktiviert da er nicht mit der Benutzerkontensteuerung zutun hat.
Anheben der Rechte (privilege
elevation) Alle Benutzer auf Windows 7-Clients arbeiten mit Rechten
des Standartbenutzers. Bei einer
Aktion, die das Anheben der Rechte
erfordert, wechselt Windows 7 in den Administratorberechtigungsmodus.
Administrationsberechtigungsmodus fordert auf zur Eingabe von Anmeldeinformation oder Bestätigung,
für das Anheben der Rechte.
Sicherer Desktop verhindert, dass die Eingabeaufforderung zum Anheben der Rechte manipuliert oder
übergangen werden kann. Der Desktop
wird in der Zeit in der der Sichere
Desktop aktiv ist eingefroren. Windows
7 lehnt nach 150sec. das Anheben der
Rechte automatisch ab wenn keine Eingabe erfolgt.
Systemsteuerung -> Benutzerkonten ->
Einstellungen für Benutzerkontensteuerung
$mmc secpol.msc
$gpupdate /force /wait:0
Lokale GPO -> Computerkonfiguration ->
Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien
-> Sicherheitsoptionen
Anmeldeinformationsverwaltung speichert Benutzer und Kennwörter zur Anmeldung am
System, Netzwerkressourcen, Websites oder Terminalserver.
Windows-Tresor speichert diese Anmeldedaten.
Windows-Tresor empfängt von der Anmeldeinformationsverwaltung
Anmeldeinformationen wie z.B. die des Internet Explorer, der Remotedesktopverbindung oder des Windows-Explorer (Netzwerkressourcen).
Windows-Tresor Daten lassen sich über die Anmeldeinformationsverwaltung
Importieren und Exportieren.
Windows-Tresor Daten lassen sich über die Anmeldeinformationsverwaltung
auch schon vor der eigentlichen Verwendung anlegen.
$runas /user:<Computername>\<Benutzernamen> “Anwendung.exe
/Option“
$runas /savescrad bewirt das die
Anmeldeinformationen im Windows-Tresor
gespeichert werden
$runas /(no)profile läd (kein) Benutzerprofil
Lokale GPO -> Computerkonfiguration ->
Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien
-> Zuweisen von Benutzerrechten
Vordefinierte Benutzergruppen in Windows 7:
Smartcards speichern digitale Zertifikate die sich zur mehrstufigen Authentifizierung eigenen.
Smartcards
können den von Windows 7 unterstützten
PIV-konformen Minitreiber verwenden, was das installieren von
Drittanbietersoftware erspart.
Mehrstufige Authentifizierung bedeutet z.B. Zertifikat + Benutzer + Passwort.
Lokale GPO -> Computerkonfiguration
-> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale
Richtlinien -> Sicherheitsoptionen
Kontorichtlinien sind Kenntwort-
und Kontosperrungsrichtlinien.
Lokale GPO -> Computerkonfiguration ->
Windows-Einstellungen -> Sicherheitseinstellungen
Authentifizierungsprobleme bzw. das Zurücksetzen von Kennwörtern können über Kennwortzurücksetzungsdatenträger oder
das Zurücksetzen des Kennworts des
Benutzerkontos.
Kennwortzurücksetzungsdatenträger müssen erstellt werden und verhindern das verlieren
von verschlüsselten Daten.
Systemsteuerung -> Kennwortrücksetzungsdiskette
erstellen
Zurücksetzen des Kennwortes kann nur die lokale Administrator-Benutzergruppe.
Beim Zurücksetzen des Kennwortes verliert der Benutzer den Zugriff auf EFS-verschlüsselte-Dateien, auf
persönliche Zertifikate und auf Daten
im Windows-Tresor.
$mmc
compmgmt.msc Lokale Gruppen und Konten ->
Benutzerkonten
$net user <Benutzername> <Kennwort>
Gesperrte Konten können
mit $mmc compmgmt.msc Konto ist
geperrt aufgehoben werden.
EFS-Zertifikate lassen sich nicht von der Anmeldeinformationsverwaltung sichern.
EFS-Zertifikate lassen sich mit der Zertifikate-Konsole
certmgr.msc, mit dem Tool Dateiverschlüsselungszertifikate
verwalten oder dem Befehlszeilentool cipher
sichern.
EFS-Zertifikate lassen sich in eine PFX-Datei
exportieren oder sichern.
PFX-Dateien lassen sich importieren oder auf dem ursprünglichen
Computer Wiederherstellen.
$mmc certmgr.msc
$cipher /x <Dateiname>.pfx
DirectAccess löst herkömmliche
VPN (Virtual Privat Network) Lösungen über PPTP (Point-to-Point
Tunneling Protocol), L2TP/IPsec (Layer 2 Tunneling Protocol/Internet Protocol
Security) und SSTP (Secure Socket Tunneling Protocol) ab.
GPO -> Computerrichtlinien -> Administrative
Vorlagen -> Netzwerk -> TCP/IP-Einstellungen -> IPv6-Übergangstechnologien
Grundlagen
Voraussetzungen
DirectAccess-Verbindungsaufbau
|
Client-Nertzwerkverbindung |
DirectAccess-Verbindungsmethode |
|
Öffentliche IPv6-Adresse |
Öffentliche IPv6-Adesse |
|
Öffentliche IPv4-Adresse |
IP6-zu-IP4 |
|
Private IPv4-Adresse (NAT) |
Teredo |
|
Firewall oder Proxy |
IP-HTTPS |
$netsh interface ipv6 set
teredo enterpriseclient <IPv4-Adresse>
$netsh interface 6to4 set
relay <IPv4-Adresse>
$netsh interface
httpstunnel add interface client https://FQDN/IPHTTPS
VPN (Virtuel
Privat Network) ermöglicht Verbindungen über das Internet zu
Remotenetzwerken.
Lokal GPO -> Benutzerkonfiguration ->
Administrative Vorlagen -> Netzwerk -> Netzwerkverbindung
Netzwerk- und Freigabencenter -> Neue Verbindung
oder neues Netzwerk einrichten -> Verbindung mit dem Arbeitsplatz herstellen
VPN-Protokoll Aufbau
VPN-Protokolle (Sortiert nach steigender Sicherheit)
VPN-Authentifizierungs-Protokolle
VPN-Reconnect funktioniert mit PPTP,
L2TP/IPsec oder SSTP und dient zur Wiederherstellung einer VPN-Sitzung bei Unterbrechungen wie dem Wechsel der Öffentlichen-IP.
VPN-Reconnect verwendet IKEv2-Tunnelprotokolle
und die MOBIKE-Erweiterung die
zulässt, dass das ändern der Internetadresse des VPN-Clients ohne erneute Authentifizierung möglich ist.
Nur Windows Server R2 unterstützt IKEv2.
NAP (Network
Access Protection) oder Netzwerkzugriffsschutz ist eine Windows Server 2008 Technologie die auf
Basis einer Integritätseinstufung des Clienten einschränken kann.
NAP
hindert nicht konforme Clients am Zugriff auf das Netzwerk.
NAP kann
für Clients im LAN aber auch für VPN-Clients, Remotegateway- und DirectAccess-Clients
aktiviert werden.
NAP-Konfiguration
Aktionen:
Client Warten (Wartungsnetzwerk, WSUS,
GPO-Updates etc.); Client Abweisen und Zugriff sperren
Windows-Sicherheitsintegritätsprüfung ->
Richtlinieneinstellungen für die Windows-Sicherheitsintegritätsprüfung
auswählen
Remotedesktopdienst (Terminaldienst)
sind Remotedesktopsitzungen von einem Client auf einen Server.
Remotedesktopgateway (Terminaldienstgateway)
sind Remotedesktopsitzungen von einem Client aus dem Internet auf einen Server (ohne
VPN).
Remotedesktopverbindung -> Erweitert ->
Verbindung von überall aus herstellen -> Einstellungen ->
Remotedesktop-Gatewayservereinstellung
Lokale GPO -> Benutzerkonfiguration ->
Administrative Vorlagen -> Windows-Komponenten -> Remotedesktopdienste
-> Remotedesktopgateway
RemoteApp ermöglicht es Anwendungen, die auf dem Remotedesktopdiensteserver ausgeführt
werden, ihre Bildschirmausgabe auf den Remotedesktopclients
anzuzeigen.
RemoteApps
können zum Startmenü hinzugefügt werden.
RemoteApps
können auch über das Internet ausgeführt werden wenn dies in den Einstellungen
für die RemoteApp-Bereitstellung aktiviert ist.
RemoteApps
lassen sich über GPO oder Remotedesktop-Verknüpfungen (.rdp) verteilen.
Überwachen von Remoteverbindungen über Anmelde- und Abmeldeüberwachungsrichtlinien.
Lokale GPO -> Computerkonfiguration ->
Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien
-> Überwachungsrichtlinien -> Anmeldeereignisse überwachen
Lokale GPO -> Computerkonfiguration ->
Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien
-> Sicherheitsoptionen -> Überwachung: Unterkategorie der
Überwachungsrichtlinien
Lokale GPO -> Computerkonfiguration ->
Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien
-> Sicherheitsoptionen -> Erweiterte Überwachungsrichtlinienkonfiguration
-> Systemüberwachungsrichtlinien -> Anmelden/Abmelden
BitLocker-Modi
Lokale GPO -> Computerkonfiguration ->
Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für
öffentliche Schlüssel -> BitLocker-Laufwerksverschlüsselung ->
Betriebsystemlaufwerke -> Zusätzliche Authentifizierung beim Start anfordern
(auch ohne TPM zulassen)
TPM-Chips (Trusted
Platform Module Chips) lassen sich über die TPM-Verwaltungskonsole
verwalten.
$mmc tpm.msc
$gpupdate
$manage-bde
$manage-bde -status
$manage-bde -SetIdentifier <Volumen:> (Volumen soll DRA unterstützen)
$manage-bde -protectors
–get <Volumen:>
$manage-bde -unlock <Volumen:> -Certificate –ct
<Zertifikatsfingerabdruck> (Volumen
Wiederherstellen)
BitLocker
To Go ist BitLocker für Wechseldatenträger.
BitLocker To Go braucht keinen TPM.
BitLocker To Go Wechseldatenträger können mit einem Passwort geschützt werden.
BitLocker To Go in Windows 7 läst sich zu Vorgängerversionen in soweit
unterscheiden, dass Wechseldatenträger
die mit BitLocker To Go verschlüsselt
wurden auch von anderen Computern gelesen werden können.
BitLocker To Go braucht unter Windows Vista
und XP ein BitLocker To Go-Lesetool
Lokale GPO -> Computerkonfiguration ->
Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für
öffentliche Schlüssel -> BitLocker-Laufwerksverschlüsselung ->
Wechseldatenträger
Datenwiederherstellungsagenten (Data Recovery
Agents, DRAs) sind Benutzerkonten zur Wiederherstellung von verschlüsselten
Daten.
DRAs
können von BitLocker verschlüsselte Volumen, falls der PIN oder der Startschlüssel
verloren geht.
DRAs
können sämtliche BitLockervolumen
einer Organisation wiederherstellen wenn Eindeutige
IDs für Organisation angeben in den GPOs
aktiviert wurde.
Lokale GPO -> Computerkonfiguration ->
Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für
öffentliche Schlüssel -> BitLocker-Laufwerksverschlüsselung
Offlinedateien sind Ordner und Dateien aus freigegebenen Ordnern
die lokal zwischengespeichert werden, damit
diese auch ohne direkte Verbindung zur Netzwerkressource verfügbar sind.
Offlinedateien sind in den Windows 7-Editionen
Professional, Enterprise und Ultimate
verfügbar.
Wenn Dateien für den
Offlinezugriff freigegeben sind, speichert Windows
7 eine Kopie der Datei in einem lokalen Zwischenspeicher.
Windows 7
synchronisiert selbständig Offlinedateien.
Konflikte werden mit dem Synchronisationscenter gelöst.
Offline verfügbare Dateien
werden im Windows-Explorer mit dem
Status Immer verfügbar angezeit
Datei (Rechte Maustaste) -> Immer online verfügbar
machen
Offlinedateien
Betriebsarten
Lokale GPO -> Computerkonfiguration ->
Administrative Vorlagen -> Netzwerk -> Offlinedateien
Transparenter
Zwischenspeicher speichert
Kopien aller Dateien die ein Benutzer aus einem freigegebenen Ordner öffnet auf einem lokalen Volumen zwischen.
Transparenter Zwischenspeicher ist nicht verfügbar wenn die Verbindung zur freigegebenen Ressource unterbrochen ist.
Transparenter Zwischenspeicher versucht nicht die lokale Datei synchron zu halten
zum Orginal auf dem Remoteserver.
Transparenter Zwischenspeicher funktioniert bei allen Dateien aus einer freigegebenen Ressource, nicht nur
denjenigen die offline verfügbar sein sollen.
Transparenter Zwischenspeicher lässt sich auf Computern verwenden die kein Mitglied
einer Domäne sind.
Transparenter Zwischenspeicher ähnelt BranchCache.
Lokale GPO -> Computerkonfiguration ->
Administrative Vorlagen -> Netzwerk -> Transparentes Zwischenspeichern
aktivieren
Unterschied zwischen Transparentem Zwischenspeicher und BranchCache
Offlinedateiausschlüsse ist eine Richtlinie
in der bestimmte Dateitypen nicht mehr offline verfügbar sind.
Lokale GPO -> Computerkonfiguration ->
Administrative Vorlagen -> Netzwerk -> Dateien aus der
Zwischenspeicherung ausschließen
Synchronisationscenter dient zur dazu Offlinedateien
zu verwalten und Synchronisationskonflikte
manuell zu lösen.
Synchronisationskonflikte treten auf wenn sowohl die Offlinedatei im lokalen Zwischenspeicher als auch die Datei auf dem
Dateiserver geändert wurde.
Synchronisationskonflikte lassen sich im Synchronisationscenter
anzeigen und beheben.
Das Synchronisationscenter bietet einen Dialog um zu entscheiden welche
Version der Datei behalten werden soll.
Ordner ->
Eigenschaften -> Freigabe -> Erweiterte Freigabe ->
Zwischenspeicher -> Offlineeinstellungen
Energiesparpläne sind Sammlungen von Einstellungen, die festlegen,
wie ein Computer unter Windows 7 Strom
verbraucht.
$powercfg
$powercfg (-import |
-export)
$powercfg
(-deviceenablewake | -devicedisablewake) <Gerätename>
$powercfg devicequery
(Wake_from_any | wake_armed)
$powercfg –energy
&& start energy-report.html
Systemsteuerung -> Energieoptionen
Lokale GPO -> Computerverwaltung -> Administrative
Vorlagen -> System -> Energieverwaltung
·
Verhindern des automatischen Energiesparmodus für
Anwendungen zulassen
·
Automatischen Energiesparmodus bei geöffneten
Netzwerkdateien zulassen
·
Wechseln in den Energiesparmodus durch Anwendungen
zulassen
(Alle weiteren Richtlinien sind wie in Erweiterte Energieeinstellungen für
Energiesparpläne)
Vordefinierte Energiesparpläne
Energieoptionen lässt sich festlegen was beim drücken des Netzschalters und der Energiespartaste oder Zuklappen passieren soll.
Energieeinstellungen Modi
Erweiterte Energieeinstellungen für Energiesparpläne
Windows Update ist das wichtigste Werkzeug zum Verwalten von Softwareupdate von Windows
7-Clients.
Benutzer mit Administratorenberechtigung können nach
Updates suchen, Einstellungen für Updates ändern, installierte Updates
überprüfen und ausgeblendete Updates anzeigen.
Ein Benutzer der seine Rechte nicht anheben kann, kann Updates
installieren.
Windows Update verwendet den Dienst Windows
Update der standardmäßig jeden Tag um 3 Uhr Nachts nach Updates sucht. Ist
der Computer ausgeschalten sucht er nach Updates nach dem nächsten Einschalten.
Windows Update-Dateien sind nach folgendem Muster aufgebaut:
Windows<windows-version>-<KB-Nr.>-<Architectur>.msu
Windows6.1-kb123456-x86.msu
$wuauclt
$wuauclt /detectnow
$wusa
<Volume:\path\to\file.msu> /quit /norestart
Systemsteuerung -> Windows Update
Lokale GPO -> Computerkonfiguration ->
Administrative Vorlagen -> Windows-Komponenten -> Windows Update
·
Optionen „Updates installieren und herunterfahren“ im
Dialogfeld „Windows herunterfahren“ nicht anzeigen
·
Die Standartoption „Updates installieren und
herunterfahren“ im Dialogfeld „Windows herunterfahren“ nicht anpassen
·
Windows Update-Energieverwaltung aktivieren, um das
System zur Installation von geplanten Updates automatisch zu reaktivern
·
Automatische Updates konfigurieren
o Vor
Herunterladen und Installation benachrichtigen
o Autom.
Herunterladen, aber vor Installation benachrichtigen
o Autom.
Herunterladen und laut Zeitplan installieren
o Lokale
Administrator[en] ermöglichen, Einstellung auszuwählen
o Installationstag
und Installationszeit
·
Internen Pfad für den Microsoft Updatedienst angeben
·
Suchhäufigkeit für automatische Updates
·
Nichtadministratoren gestatten,
Updatebenachrichtigungen zu erhalten
·
Softwarebenachrichtigungen aktivieren
·
Automatische Updates sofort installieren
·
Empfohlene Updates über automatische Updates
aktivieren
·
Keinen automatischen Neustart für geplante
Installationen automatisch Updates durchführen, wenn Benutzer angemeldet sind
·
Erneut zu einem Neustart für geplante Installation
auffordern
·
Neustart für geplante Installationen verzögern
·
Zeitplan für geplante Installation neu erstellen
·
Clientseitige Zielordnung aktivieren (WSUS Clientcomputer Gruppen)
·
Signierte Updates aus einem Intranetspeicherort für
Microsoft-Updatedienste zulassen
Update Gruppen
·
Wichtige Updates (beheben meist kritische Sicherheitslücken)
·
Empfohlene Updates (beheben meist Funktionsprobleme)
·
Optionale Updates (Treiberupdates und Sprachpakete)
Systemsteuerung -> Windows Updates ->
Einstellungen ändern
·
Updates automatisch installieren (empfohlen)
·
Updates herunterladen, aber Installation manuell
durchführen
·
Nach Updates suchen, aber Zeitpunkt zum Herunterladen
und Installieren manuell festlegen
·
Nie nach Updates Suchen (nicht empfohlen)
·
Empfohlene Updates auf die gleiche Weise wie wichtige
Updates bereitstellen
·
Alle Benutzern das Installieren von Updates auf
diesem Computern ermöglichen
Updateverlauf
·
Listet alle
Updates die auf dem Computer mit oder ohne Erfolg installiert worden
·
Listet das Installationsdatum und die Klassifikation auf
·
Zeigt die KnowledgeBase-Kennung (KB123456)
·
Zeigt weitere
Informationen zu dem Update beim klick auf das selbige
Installierte Updates
·
Kurze allgemeine
Bezeichnung
·
KnowledgeBase-Kennung
Updates deinstallieren
·
Installierte
Updates zeig die KnowledgeBase-Kennung
die zum deinstallieren nötig ist
·
Deinstallierte
Updates müssen Ausgeblendet werden da
sie sonst beim nächsten Update reinstalliert werden
Updates für andere Microsoft-Produkte
Systemsteuerung -> Windows Updates -> Updates
für weitere Microsoft-Produkte
Updates mit einem Proxyserver
·
Verwenden von Web Proxy Auto Detect (WPAD)
·
Verwenden des
Befehlszeilentools netsh um Proxyoptionen zu importieren
$netsh winhttp import proxy
source=ie
WSUS (Windows
Server Update Service) kann Windows
und Microsoft Updates bereitstellen
die mit Windows Update abgerufen
werden.
WSUS muss
mit Version 3.0 Service Pack 1 auf
dem Updateserver bereitgestellt
werden um mit Windows 7-Clients
zusammenzuarbeiten.
WSUS
erlaubt es den Updateverlauf und den Updatezeitraum selbst zu bestimmen um
Updates vorher auf Kompatibilität zu testen.
WSUS
erlaubt es Gruppen von Clientcomputern
zu erstellen um Updates selektiv oder stufenweise zu verteilen.
WSUS
erlaubt auch die zentrale deinstallation eines Updates.
Wartungscenter ist der zentrale Ort um die Anzeige von Problemen
aus dem Bereich Sicherheit und Wartung.
Wartungscenter-Meldungen erscheinen als Sprechblase
auf der Taskleiste.
Wartungscenter benötigt den Dienst
Sicherheitscenter.
Benutzer aus der Gruppe Administratoren können das Wartungscenter konfigurieren und
festlegen welche Meldungen angezeigt werden.
Wartungscenter zeigt Meldungen aus den folgenden Bereichen an:
·
Windows Update
·
Internet-Sicherheitseinstellungen
·
Firewall
·
Schutz vor Spyware und ähnlichen Schutzmaßnahmen
·
Benutzerkontensteuerung (UAC)
·
Virenschutz
·
Windows-Sicherung
·
Windows-Problembehandlung
Systemsteuerung -> Wartungscenter
Microsoft Baseline Security Analyzer (MBSA)
kann überprüfen ob auf einem Client alle erforderlichen Updates installiert
sind.
MBSA kann
auch überprüfen ob es Probleme mit der Sicherheitskonfiguration
eines Computers gibt.
MBSA kann
nicht nur Clients sondern auch Server überprüfen.
MBSA
braucht Adminsitratorrechte.
Kompatibilitätsansicht im Internet
Explorer kann Websites die für Vorgänger des Internet Explorers 8 geschrieben wurden darstellen, indem man das Zerrissene Seite Symbol am Ende der Adressleiste anklickt.
Kompatibilitätsansicht kann für Alle
Websites in Kompatibilitätsansicht anzeigen eingestellt werden.
Kompatibilitätsansicht ist automatisch aktiviert für Websites der Zone Lokales Intranet.
Internet Explorer -> Menu Extras ->
Einstellungen für die Kompatibilitätsansicht
Lokale GPO -> Computerkonfiguration ->
Administrative Vorlagen \ Windows-Komponenten -> Internet Explorer ->
Kompatibilitätsansicht
Lokale GPO -> Benutzerkonfiguration ->
Administrative Vorlagen \ Windows-Komponenten -> Internet Explorer ->
Kompatibilitätsansicht
·
Internet Explorer 7-Standards-Modus aktivieren
·
Kompatibilitätsansicht deaktivieren
·
Schaltfläche „Kompatibilitätsansicht“ deaktivieren
·
Aktualisierte Websitelisten von Microsoft einbeziehen
·
Richtlinienliste von Internet Explorer 7-Sites
verwenden
Sicherheitseinstellungen
·
Lokales Intranet Sites in der Zone Lokales Intranet
·
Vertrauenswürdige Sites in der Zone Vertrauenswürdige Sites
o Websites die
erhöhte Rechte benötigen
o Standard-Sicherheitsstufe
ist Mittel
o Vertrauenswürdige
Site werden im Dialogfeld Vertrauenswürdige Sites hinzugefügt
o Standardeinstellung
ist das Sites nur zu Vertrauenswürdige Sites hinzugefügt werden können wenn sie
mit einem SSL-Zertifikat versehen sind
·
Eingeschränkte Sites
o Potenziell
böswillige Websites
o Standard-Sicherheitsstufe
ist Hoch
o Geschützer
Modus des Internet Explorers ist standardmäßig aktiviert
·
Internet
o Umfasst alle
Websites die nicht in den anderen Sicherheitsstufen enthalten sind
o Standart-Sicherheitsstufe
ist Mittelhoch
o Geschützer
Modus des Internet Explorers ist standardmäßig aktiviert
o Das Anzeigen
persönlicher Daten aus anderen Websites ist blockiert
o Keine
Änderungen an Windows 7 durch Websites erlaubt
Sicherheitsstufen wirken restriktiv. Sie Steuern Verhalten von Active-X-Steuerelementen, Skripting und Einstellungen für Benutzerauthentifizierung.
Standard-Sichheitsstufen
·
Mittel
·
Mittelhoch
·
Hoch
Individuelle-Sichheitsstufen kann man festlegen wie Zertifikatsprüfungen durchgeführt werden, SmartScreen-Filter
konfigurieren oder welche TLS, SSL Versionen zulässig sind.
SmartScreen-Filter ist ein Feature von Internet Explorer, dass das öffnen von Websites verhindert, bei
denen bekannt ist, dass sie Malware verteilen.
SmartScreen-Filter ist also ein Antiphishing-Filter.
SmartScreen-Filter schützen vor folgenden Techniken:
·
Analysiert
besuchte Websites draufhin, ob sie verdächtige Merkmale enthalten
·
Vergleicht die
besuchten Sites mit einer regelmäßigen aktualisierten Liste bekannter Phishing-
und Malwaresites
·
Prüft heruntergeladene
Dateien auf bekannte Malware
SmartScreen-Filter warnt oder blockiert gefährliche Websites und Downloads.
InPrivate-Modus besteht aus zwei Technologien: InPrivate-Filterung und
InPrivat-Browsen.
InPrivate-Modus ist eine Datenschutztechnologie.
InPrivate-Browsen legt fest welche Daten vom Browser gespeichert
werden.
InPrivate-Browsen zeigt ein Symbol in der Adressleiste an, wenn es aktiviert ist.
InPrivate-Browsen löscht anfallende Sitzungsdaten,
wenn der Browser geschlossen wird
Internet Explorer -> Menu Sicherheit ->
InPrivate-Browsen
InPrivate-Filterung schränkt ein, welche Daten von Browsersitzungen von Dritten verfolgt werden können.
InPrivate-Filterung hindert auch Add-Ons am
Datensammeln.
Internet Explorer -> Menu Sicherheit ->
InPrivate-Filterung
Internet Explorer -> Menu Sicherheit ->
Einstellungen der InPrivate-Filterung
Lokale GPO -> Computerkonfiguration ->
Administrative Vorlagen -> Windows Komponenten -> Internet Explorer ->
InPrivate
·
InPrivate-Filterung deaktivieren
·
InPrivate-Browsen deaktivieren
·
Keine InPrivate-Filterungdaten sammeln
·
Symbolleisten und Erweiterungen beim Starten des
InPrivate-Browsens deaktivieren
·
Schwelle für InPrivate-Filterung (Wert N der verschiedenen Websites mit eingebetteten
Conten des Anbieters X)
Add-Ons erweitern den Funktionsumfang von Internet Explorer um:
·
Symbolleisten und Erweiterungen
·
Suchanbieter
(Schnellsuche)
·
Schnellinfos
(accelerator – erscheinen wenn Inhalte markiert werden)
o Bloggen (Ausgewählte Informationen direkt bloggen)
o E-Mail (Ausgewählte Informationen in E-Mail versenden)
o Karte (Ausgewählte Information in einem Kartendienst
anzeigen)
o Übersetzen (Ausgewählte Information übersetzen)
·
InPrivate-Filterung
Add-Ons
lassen sich installieren und deinstallieren aber auch deaktivieren und
aktivieren.
Add-Ons lassen sich von
Standardbenutzern hinzufügen sofern dies die GPO zulassen.
Internet Explorer -> Menu Extras -> Add-Ons
Verwalten
Lokale GPO -> Computerkonfiguration ->
Windows-Komponenten -> Internet Explorer -> Schnellinfos
Lokale GPO -> Benutzerkonfiguration ->
Windows-Komponenten -> Internet Explorer -> Schnellinfos
·
Nicht standardmäßige Schnellinfos bereitstellen
·
Standardschnellinfos bereitstellen
·
Schnellinfos deaktivieren
·
Richtlinienschnellinfos verwenden
Internet Explorer-Einstellungen zurücksetzen
Internetoptionen -> Erweitert -> Zurücksetzen
Internet
Explorer-Sicherheitseinstellungen
zurücksetzen
Internetoptionen -> Sicherheit -> Alle Zonen
auf Standartstufe zurücksetzen
Internet Explorer Inhaltsratgeber filtert Websites(-Inhalte)
aus, nach bestimmten Kriterien wie Sexuel
Content oder Alterbegrenzung
Internet Explorer Inhaltsratgeber verhindert den Zugriff auf ungefilterte Websits in den Standardeinstellungen
Popupblocker verhindert das Website ungewollt neue
Browser-Fenster öffnen.
Popupblockersicherheitsstufen funktionieren ähnlich wie Browser-Sicherheitsstufen.
Popupblocker
blockiert keine Sites die in der Sicherheitszone Lokales Internet oder Vertrauenswürdige
Sites liegen, sowie Websites für die Ausnahmen
definiert wurden.
Internet Explorer -> Menu Extras ->
Popupblockereinstellungen
SSL-Zertifikate dienen dazu die Identität einer Website zu prüfen
und den Datenverkehr zwischen Website und Benutzer zu verschlüsseln.
Website die mit SSL-Zertifikaten geschützt sind, zeigen
ein goldenes Schlosssymbol in der Adressleiste.
Goldenes Schlosssymbol -> Websiteidentifizierung
-> Zertifikate
Falls Probleme mit einem SSL-Zertifikat auftreten zeigt Internet Explorer eine Warnung.
Der Benutzer kann nun
entscheiden wie er fortfahren möchte:
In folgenden Fällen können
Probleme mit einem SSL-Zertifikat
auftreten:
$inetcpl.cpl
Internetoptionen -> Inhalt -> Zertifikate
SSL-Zertifikate Importieren oder Exportieren
Internetoptionen -> Inhalte -> Zertifikate
-> Herausgeber
Bei Leistungsüberwachung geht
es darum Leistung zu überwachen und zu optimieren, mögliche Leistungsengpässe
zu identifizieren und die erforderlichen Ressourcen aufzurüsten.
Um Leistungsdaten zu
überwachen muss ein (Remote-)Benutzer mindestens in den Gruppen Leistungsüberwachungsprotokollbenutzer
und Ereignisprotokollleser sein.
$perfmon -> Überwachungstools -> Leistungsüberwachung
Systemsteuerung -> Leistungsinformationen und
–tools -> Leistungsüberwachung öffnen
Leistungsindikatoren kann man mit dem Plus-Symbol für Objekte wie Arbeitsspeicher oder TCPv4 (und Unterobjekten wie Aktive Verbindungen oder Verbindungsfehler) hinzugefügt.
$perfmon -> Überwachungstools -> Leistungsüberwachung
-> Eigenschaften
Sammelsätze (Data
Collector Set, DCS) stellen Systeminformationen
zusammen und speichern sie in einer Datei.
Vordefinierte Sammelsätze zeichnen in der Standarteinstellung 10min. lang
Daten auf. System Diagnostics nur 1min.
$perfmon -> Sammelsätze -> System (rechte
Maus-Taste start)
Nachdem ein Sammelsatz
erstellt wurde kann der Bericht unter $perfmon ->
Berichte eingesehen werden.
Sammlungen können Benutzerdefinierte Aktionen Durchführen.
Skripte oder Programme können z.B. ausgeführt werden.
$perfmon -> Sammelsätze -> Benutzerdefiniert ->
Neu -> Sammlung
$logman
$logman create (counter |
trace | config | alert) <my_title> …
$logman (start | stop |
delete) <my_title>
Mit Sammlung können folgende Sammlungstypen
hinzugefügt werden:
Systemdiagnosebericht auch Computerintegritätsprüfung
liefert Details und Status von Hardwareressourcen,
Systemreaktionszeit und Prozessen auf dem lokalen Computer sowie
Systeminformationen und Konfigurationsdaten.
$runas /user:Administrator
“perfmon /report“
Zuverlässigkeitsüberwachung verfolgt die Stabilität eines Computers auf einem Stabilitätsindex von 1 bis 10.
Je mehr Fehler oder
Neustarts auf einem Computer stattfinden, desto niedriger ist der Stabilitätsindex.
Zuverlässigkeitsüberwachung liefert Informationen welche Änderungen auf einem
System vorgenommen wurden.
Zuverlässigkeitsüberwachung zeichnet die Stabilitäts-
und Zuverlässigkeitsereignisse eines
Jahres auf. Das Stabilitätsdiagramm
zeigt Daten über einer Datumsachse an.
Zuverlässigkeitsüberwachung eignet sich um sporadisch auftretende Probleme zu
diagnostizieren. Z.B. eine installierte Anwendung die ab und zu dazu führt,
dass das System Abstürzt.
$perfmon /rel
Stabilitätsindex basiert auf Daten, die über die gesamte Lebensdauer
eines Systems gesammelt werden.
Stabilitätsindex Indexwert wird über die
letzten 28 Tage berechnet.
Aktuelle Fehler wirken sich
stärker auf den Stabilitätsindex aus
als länger zurück liegende.
Da erst nach 28 Tagen eine
zuverlässige Baseline vorhanden ist,
wird der Stabilitätsindex davor als
gepunktete Linie dargestellt.
Stabilitätsdiagramm zeigt eine Kurve des Stabilitätsindex an, wobei für jeden Tag ein Abschnitt eingeteilt
ist.
Symbole in der unteren
Hälfte des Diagrams stehen für Zuverlässigkeitsereignisse.
Zuverlässigkeitsereignisse beziehen sich entweder auf die Stabilitätsmessung des Systems oder auf Software Installation und Deinstallation.
Wartungscenter meldet Probleme aus dem Bereich Sicherheit, Wartung und zugehörigen Einstellungen, die helfen,
die Gesamtleistung eines Computers zu
ermitteln.
Wartungscenter benachrichtigt Benutzer, wenn z.B. Probleme mit der Firewall, Antivirensoftware, Antispywaresoftware
oder Windows Update auftreten.
Wartungscenter Benachrichtigungen erscheinen als Meldung im Infobereich der Taskleiste.
Wartungscenter Benachrichtigungen können über die Einstellung Wartungscentereinstellungen ändern ausgeschalten und konfiguriert
werden.
Wartungscenterstatus eines Elements ändert seine Farbe, je nach
Schweregrad der Meldung, von grün nach rot.
Systemsteuerung -> System und Sicherheit ->
Wartungscenter
Windows-Leistungsindex basiert aus Archivierten Daten des Wartungscenters und gibt die aktuelle Leistung eines Computers auf dem Index
von 1 bis 7,9 an.
Windows-Leistungsindex misst die Fähigkeit der Hardware- und Softwarekonfiguration
eines Computers.
Jede Hardwarekomponente enthält eine separate Teilnote, die in die Gesamtbewertung eingeht.
Teilnoten
für Hardwarekomponenten wie Prozessor,
Arbeitsspeicher, Grafik und primäre Festplatte
werden angezeigt
Systemsteuerung -> System und Sicherheit ->
Wartungscenter -> Leistungsinformationen anzeigen
Task-Manager
$taskmgr
|
Registrierkarte |
Funktion |
|
Leistung |
CPU- und Arbeitsspeicherbelastung |
|
Prozesse |
Zeigt Laufende Prozesse an.
Diese können beendet oder die Priorität
verändert werden |
|
Dienste |
Zeigt Laufende Dienste an.
Diese können gestartet oder beendet werden. Dienste können zu Prozessen verändert werden |
|
Netzwerk |
Zeigt die Laufende Netzwerkauslastung
an |
|
Benutzer |
Zeigt auf dem System angemeldete Benutzer an. Benutzer können getrennt
werden |
Task-Manager
kann auch die Priorität von Prozessen
festlegen in den Stufen: Echtzeit, Hoch,
Höher als normal, Normal, Niedriger als Normal, Niedrig
Task-Manager
kann auch die Prozessorzugehörigkeit konfigurieren mit Zugehörigkeit festlegen wenn mehrere Kerne und/oder Prozessoren
vorhanden sind.
Ressourcenmonitor zeigt Informationen in Echtzeit zu Hardware- und Softwareressourcen an.
Ressourcenmonitor-Ergebnisse können nach Prozessen
oder Diensten gefiltert werden.
Ressourcenmonitor kann Dienste und Prozesse, starten, beenden, anhalten und
fortsetzen oder Anwendungen
analysieren die nicht mehr reagieren.
Ressourcenmonitor-Sitzungen lassen sich Speichern und verwalten.
Ressourcenmonitor hat fünf Registrierkarten:
Übersicht, CPU, Arbeitsspeicher, Datenträger und Netzwerk.
Ressourcenmonitor-Registrierkarten zeigt in der Übersicht
eine Liste aller laufenden Prozesse.
Hier können Prozesse ausgewählt werden für die in den anderen Registrierkarten ausführliche
Information angezeigt werden sollen.
$resmon
Task-Manager -> Prozesse -> Ressourcenmonitor
Process
Explorer zeigt an welche Handles und DLLs ein Prozess geöffnet oder geladen hat.
Process Explorer ist nicht im Lieferumfang von Windows
7 enthalten, er muss im Microsoft
Technet unter http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx heruntergeladen werden.
Process Explorer kann als Ressourcenmonitor
verwendet werden, um festzustellen, welche Anwendung für Aktivitäten auf der
Festplatte verantwortlich ist und auf welche Ordner und Dateien zugegriffen
wird.
Process Explorer zeigt auch Systeminformationen, Verlauf der CPU-Auslastung,
zugeordneten virtuellen Arbeitsspeicher und den I/O-Durchsatze an.
Ereignisanzeige zeigt Ereignisprotokoll
an.
Ereignisprotokolle sind Dateien die Ereignisse
auf dem Computer aufzeichnen, z.B. Benutzeranmeldungen
oder Fehlermeldungen.
Ereignisse werden in folgende Kategorien eingesteilt:
Sicherheitsprotokoll enthält zwei weitere Kategorien:
$eventvwr
Ereignisanzeige kann benutzerdefiniert
Ansichten erstellen, verschiedene Quellprotokolle
oder Ereignisse können durchsucht und
gefiltert werden.
Ereignisanzeigen Ansichten sind dauerhaft, Filter hingegen Sitzungsabhängig.
Ereignisanzeige zeichnet Informationen in verschiedenen Protokollen auf. Windows-Protokolle sind:
Filter
anhand des Ereignistyps, Vorgegebene Filter Bsp.:
eventvwr -> Ereignisanzeige -> Anwendungs- und Dienst-Protokolle ->
Microsoft -> Windows -> Diagnostics-Performance
Systemsteuerung -> Leistungsinformationen und
–tools -> Weitere Tools -> Leistungsdetails im Ereignisprotokoll
Anwendungs-
und Dienstprotokolle sind
Protokolle für Programme und Dienste die auf dem Computer laufen.
Folgende Protokolle können
vorhanden sein:
Verknüpfen von Aufgaben mit Ereignissen ermöglicht das Ausführen eines Programms oder
Skript, versenden einer E-Mail oder Benachrichtigungen, wenn ein bestimmtes Ereignis eintritt.
Bsp. Für Aufgabe an dieses Ereignis anfügen …:
eventvwr -> Ereignisanzeige -> Windows-Protokolle -> Sicherheit -> Rechtsklick Ereignis -> Aufgabe an dieses Ereignis anfügen …
Ereignisweiterleitung (event
forwarding) überträgt alle Ereignisse,
die ein bestimmtes Kriterium erfüllen, an einen Remotecomputer (Sammelcomputer).
Sammelcomputer verwalten Ereignisse verschiedener Computer in
einem zentralen Ereignisprotokoll.
Ereignisweiterleitung arbeitet via HTTP
(Hypertext Transfer Protocol) oder
via HTTPS (Hypertext Transfer Protocol Secure) um Ereignisse von einem Quellcomputer
an einen Sammelcomputer zu senden.
Ereignisweiterleitungsverkehr ist immer verschlüsselt, sowohl über HTTPS als auch über HTTP.
Ereignisweiterleitung ist abhängig von den Diensten Windows-Remoteverwaltung (WS-Verwaltung) und Windows-Ereignissammlung.
Ereignisweiterleitung braucht zudem die passenden Windows-Firewall-Ausnahmen auf Port 80, bzw. 443.
Abonnements unterscheiden sich in sammlungsinitiierten (collector-initiated)
und quellinitiierte (source-initiated).
Sammlungsinitiierte Abonnements rufen der Sammelcomputer
Ereignisse auf den Quellcomputern ab.
Sammlungsinitiierte Abonnements eignen sich für bekannte und überschaubare anzahlen
von Rechnern.
Sammelcomputer
$wecutil qc
Quellcomputer
$winrm quickconfig
$mmc compmgmt.msc Computer-Konto der Lokale Administratoren
oder Ereignisprotokollleser Gruppe hinzufügen
Quellinitiierte Abonnements sendet der Quellcomputer
(Quellcomputer) Ereignisse an den Sammelcomputer.
Quellinitiierte Abonnements eignen sich bei einer großen Anzahl von Rechnern.
Quellinitiierte Abonnements können jederzeit neue Quellcomputer hinzugefügt werden.
Quellcomputer können beim Quellinitiierten
Abonnement auch als Weiterleitungscomputer
bezeichnet werden.
Weiterleitungscomputer
$winrm qc –q
$mmc gpedit.msc Computerkonfiguration -> Administrative
Vorlagen -> Windows-Komponenten -> Ereignisweiterleitung ->
Serveradresse, Aktuelisierungsintervall und Ausstellerzertifizierung eines
Abonnement-Managers (SubscriptionManager) -> Eigenschaften ->
SubscriptionManager -> Anzeigen -> Quellcomputer hinzufügen
$gpudate /force /wait:0
Sammelcomputer
$wecutil qc –q
$wecutil cs configuration.xml
MSconfig (Systemkonfiguration)
dient in erster Linie dazu, Probleme beim Startvorgang von Windows zu untersuchen.
MSconfig
ändert welche Programme beim Systemstart ausgeführt werden, bearbeitet Konfigurationsdateien und ermöglicht Windows-Dienste zu steuern und Windows-Leistungs- und
Problembehandlungswerkzeuge aufzurufen.
MSconfig
kann Startoptionen festlegen und
einen Diagnosesystemstart ausführen,
bei dem nur ein Basissatz von Treibern, Programmen und Diensten geladen wird.
MSconfig
kann auf der Registrierkarte Start die Quelle der Startdatei aussuchen und als Standarteintrag
speichern.
$msconfig
Dienste Konsole, ein MMC-Snap-In,
listet die Selben Dienste wie MSconfig (Systemkonfiguration) in der Registrierkarte
Dienste auf.
Dienste Konsole liefert Informationen zu jedem Dienst und bietet erweiterte
Konfigurationsmöglichkeiten.
$mmc services.msc
Dienst -> Eigenschaften
WMI (Windows
Management Instrumentation) stellt Modelle
der verwalteten Umgebung als WMI-Klassen
zur Verfügung um auf Systemverwaltungsinformationen
zugreifen.
WMI-Klassen
beschreiben Eigenschaften von verwalteten Ressourcen.
Verwaltete Ressourcen ist irgendeine Objekt
(Computerhardware, Computersoftware,
Dienste oder Benutzerkonten) das mit Hilfe von WMI verwaltet wird.
WMI kann
genutzt werden um eigene Tools für die Leistungsmessung
zu schreiben und die Ausgabe von Systeminformationen
zu regeln.
WMI-Skriptingbiliotheken erlauben das schreiben von WMI-Skripten in:
WMI-Skripte
können zur Konfiguration von Windows eingesetzt werden, aber auch Ereignisse
reagieren und agieren.
Folgendes WMI-Skript in VB-Script greift auf Instanzen
der Klasse Win32_Battery zu und gibt den Wert des Attributs EstimatedChargeRemaining
aus:
strComputer = “.“
Set objSWbemService =
GetObject(“winmgmts:\\“ & strComputer)
Set colSWemObjectSet =
objSWbemServices.InstancesOf(“Win32_Battery”)
For Each objSWbemObject In colSWbemObjectSet
Wscript.Echo “Verbleibende Kapazität: “ &
objSWbemObject.EstimatedChargeRemaining & “ Prozent.”
Next
Leistungsoptionen ist ein Leistungs-
und Analysetool in Windows 7.
Systemsteuerung -> Leistungsinformationen und
–tools -> Weitere Tools -> Darstellung und Leistung von Windows anpassen
Schreibcache für Festplatten verwendet schnelles RAM, um Schreibbefehle, die Daten an
Speichergeräte senden, zu sammeln und zwischenzuspeichern, bis das langsamere Speichermedium (Festplatte oder Flashspeicher)
sie verarbeiten kann.
<Gerätename>
-> Eigenschaften -> Richtlinien
Bsp. USB: Schnelles entfernen
(Deaktiviert die Schreibcache) oder Bessere Leistung (Aktiviert die Schreibcache). Bei Festplatten kann in
den Schreibcacherichtlinien auch noch
der Schreibcachebuffer aktiviert bzw.
deaktiviert werden um Datenverlust beim Stromausfall zu verhindern.
WPT (Windows
Performance Toolkit) enthält Leistungsanalysetools, die im Windows SDK (Software Development Kit) für Windows
7, Windows Server 2008 und Microsoft .NET Framework 3.5 neu
eingeführt wurden.
WPT wurde
entworfen um System- und Anwendungsleistung zu messen.
WPT analysiert unter anderem Anwendungsstartzeiten, Systemstartprobleme,
DPCs (Deffered Procedure Call), ISRs
(Interrupt Service Request), Probleme
mit der Systemreaktionszeit,
Auslastung von Anwendungsressourcen
und Interruptwellen.
WPT ist im
SDK enthalten und kann im Microsoft Downloadcenter heruntergeladen
werden.
WPT
umfasst folgende Tools:
Xperf verwaltet die Endpunkt-zu-Endpunkt-Operationen,
die nötig sind, um eine Ablaufverfolgungsdatei für Analysezwecke zu generieren
Xperfview
zeigt Informationen, einer mit xperf generierten, au seiner
Ablaufverfolgungsdatei an.
Xbootmgr
kann folgende Phasen aufzeichnen:
$xperf -on Base+Network -f
kernel.etl
$xperf -start UserTrace -on
Microsoft-Windows-Firewall -f user.etl
$xperf -stop UserTrace
$xperf -stop
$xperf .-merge user.etl kernel.etl
single.etl
$xperf -i -single.etcl -o
c:\mytrace.txt -a dump
Windows 7-Datensicherung nutzt Schattenkopien,
um einen Snapshot anzufertigen.
Snapshots
können auch bei geöffneten Dateien erstellt werden.
Systemsteuerung -> System und Sicherheit ->
Sichern und Wiederherstellen
Sicherungsziele
Sicherungsziele die mit BitLocker aktiviert
sind können nicht verwendet werden.
Sicherungen sollten nicht auf einer separaten Partition der
einzigen Festplatte des Computers gespeichert werden, aus Sicherheitsgründen
bei Hardwaredefekt.
Sicherungen
die in einen Netzspeicherort erfolgen, müssen für den Benutzer die Freigabe-
und NTFS-Berechtigung Vollzugriff für den Netzwerkordner
aktiviert sein.
Auf Sicherungen haben Administrator
vollzugriff, Benutzer nur lesen.
Sicherungsdaten (Standard)
Windows-Standardordner sind: AppData, Contacts, Desktop, Downloads,
Favorites, Links, Saved Games und Searches
Sicherungsarten
Sicherungen
brauchen Administratoranmeldeinformationen,
Wiederherstellungen hingegen nicht.
Datensicherungen sichern Ordner
und Dateien.
Datensicherung wird auch als Datei- und
Ordnersicherung bezeichnet.
Datensicherungszeitplan kann nach der ersten manuellen Sicherung
automatische inkrementelle Datensicherungen
planen und verwalten.
Inkrementelle Datensicherungen werden automatisch
gestartet und gespeichert bis das gewählte Ziellaufwerk voll ist. Ist das
Ziellaufwerk voll wird die älteste Datensicherung
gelöscht um neuen Speicherplatz zu schaffen.
Datensicherungs-Ordnerstruktur wird erstellt wenn zum erstenmal eine Datensicherung auf z.B. eine Externe
Festplatte erfolgt.
Volumen:\<Computername>\Backup
Set<Jahr-Monat-Tag> <Uhrzeit>\backup files 1.zip
Datensicherungen erstellen automatisch eine Katalogdatei,
die das Gesicherte Dateisystem mit Berechtigungen abbildet.
Volumen:\<computername>\Catalogs\GlobalCatalog.wbcat
Dateisicherungen die wiederhergestellt werden, behalten Dateien die Berechtigung der
Ursprünglichen Datei.
Systemabbildsicherungen sichern Systemvolumen Block für Block in eine .vhd-Datei.
Systemabbildsicherungen können nicht in ein Flashlaufwerk, DVD oder
Bandlaufwerk geschrieben werden.
Systemabbildsicherungsziele müssen NTFS-Formatiert
sein.
Systemabbildsicherungen sind nach der ersten Sicherung inkrementell, nur
eine einzige Version der Systemabbildsicherung
wird gespeichert.
Systemabbildsicherungen müssen manuell in Sichern und Wiederherstellen durchgeführt werden.
$wbadmin start backup
-backuptarget:Volumen: -include:Volumen: -quit
Systemabbildsicherungszeitplan kann mit Hilfe von $wbadmin in einer Batch-Datei
und der Windows-Aufgabenplanung konfiguriert
werden.
Systemabbildsicherungs-Ordnerstruktur
Volumen:\WindowsImageBackup\<Computername>\Backup
<Jahr>-<Monat>-<Tag> <Uhrzeit>\file.vhd
Systemabbildsicherung erstellt automatisch den Ordner Catalog in dem sich die Dateien GlobalCatalog
und BackupGlobalCatalog befinden, die
die Versionen des Abbilds aufzeichnen.
Systemabbildsicherung erstellt zudem die Dateien MediaID in <Computername>, die das Datenträgerabbild identifiziert
Systemabbildwiederherstellung überschreibt das gesamte Systemvolumen.
Systemabbildwiederherstellung wird auch als vollständige
Wiederherstellung (complete recovery)
oder complete PC restore bezeichnet.
Systemabbildwiederherstellungtools werden nach dem booten von Windows 7 DVD im Debugmodus
geladen (WinPE bzw. Windows RE).
Systemwiederherstellung (system
restore) nutzt Systemwiederherstellungspunkte
(restore point), die vom Computerschutz, z.B. vor dem
Installieren von Anwendungen oder Treibern angelegt werden.
Systemwiederherstellung erstellt automatisch einen Systemwiederherstellungspunkt, sodass die Systemwiederherstellung rückgängig gemacht werden kann.
Systemwiederherstellungspunkte können auch manuell angelegt werden.
Systemwiederherstellungspunkte können (mit Administratorrechten) ausgewählt und
wiederhergestellt werden.
Systemwiederherstellungspunkte sichern und ändern keine Benutzerdaten.
Systemwiederherstellungspunkte stellen Windows-Systemdateien,
-Programme (Skripte) und Registrierungseinstellungen wieder her.
Systemwiederherstellungspunkte werden automatisch alle 7 Tage erstellt, sofern in
dieser Zeit kein anderer Wiederherstellungspunkt
aufgezeichnet wurde.
Systemwiederherstellung-Festplattenplatz kann deaktiviert werden indem man den Computerschutz für den betreffenden
Datenträger ausschaltet
Computerschutz (System
Protection) erstellt und speichert regelmäßig Informationen über
Systemdateien und Einstellungen eines Computers.
Computerschutz speichert Vorgängerversionen von Dateien.
Computerschutz speichert Informationen und Dateien in Wiederherstellungspunkten die unmittelbar vor der Installation von
Progammen und Gerätetreibern erstellt werden.
Computerschutz wird automatisch aktiviert für das Laufwerk in dem das Betriebssystem
installiert ist, wenn dieses Laufwerk NTFS-formatiert
ist.
Computerschutz reserviert Festplattenplatz für Wiederherstellungspunkte, ist der
reservierte Festplattenplatz voll, wird der älteste Wiederherstellungspunkt gelöscht um wieder Festplattenplatz frei zu
geben.
Systemstartoptionen
und Systemwiederherstellungsoptionen (F8)
Systemwiederherstellungsoptionen (F8)
erweiterte Startoptionen -> Debugmodus
Systemstartoptionen von Windows 7 sind Startkonfigurationsdaten und BCD
die im BCD-Speicher abgelegt werden.
Systemstartoptionen können mit $bcdedit oder der WMI-Schnittstelle verwaltet werden)
$bootmgr (Windows-Start-Manager)
$winload
(Windows-Betriebssystemladeprogramm)
$winresume
(Windows-Fortsetzungsladeprogramm)
BCD stellt allen Windows
7-Computern eine einheitliche Schnittstelle, für das Zuweisen von Rechten
zum Verwalten von Startoptionen, zur
Verfügung.
BCD steht
während der Laufzeit und dem Setup zu Verfügung, zudem auch beim Aufwecken
eines Computers.
BCD kann
mit $bcdedit im Remotezugriff verwaltet werden.
BCD kann
auch verwaltet werden wenn das System von einem anderen Medium aus gestartet
wurde (wichtig wenn ein BCD-Speicher
wiederhergestellt werden muss).
$bcedit /set vga on (erzwingt die
Verwendung des VGA-Anzeigetreibern)
$bcedit /debug on (kerneldebugging
für den aktuellen Betriebssystemstarteintrag
)
$bcedit /debug
<GUID> off (deaktiviert den Kerneldebugger für einen Betriebssystemstarteintrag)
$bcedit kann zudem folgende
Aufgaben ausführen:
Wiederherstellen von Vorgängerversionen von Dateien
und Ordnern stellt der Volumenschattenkopiedienst (Volume Shadow Copy Service, VVS) als Schattenkopien zur Verfügung.
Schattenkopien sind Kopien von Dateien und Ordner die Windows 7 automatisch speichert.
Schattenkopien (shadow copy) werden erstellt
wenn ein Wiederherstellungspunkt
angefertigt wird oder in Sicherungssätzen
(Datensicherung) gesichert wird.
Schattenkopien werden automatisch (mit Standarteinstellungen alle 7 Tage) erstellt,
wenn der Computerschutz (Wiederherstellungspunkte) aktiviert ist.
Schattenkopien stehen nur für Offlinedateien
zu Verfügung, nicht für Netzwerkordner.
Schattenkopien stehen auch nicht für Dateien und Ordner zu Verfügung die Windows 7 zum ausführen benötigt (System-Ordner z.B.).
Volumenschattenkopiedienst (Volume Shadow
Copy Service, VSS) verwaltet und implementiert Schattenkopien und Volumensnapshots.
VVS
erstellt Volumensnapshots wenn eine Datensicherung startet. Aus dem Volumensnapshot werden die zu sichernden
Dateien und Ordner gesichert. Das ermöglicht, dass Dateien und Ordner gesichert
werden können, die geöffnet sind oder verwendet werden. Dadurch wird allerdings
die Version der Datei gespeichert, die vor dem öffnen existiert hat.
Vorgängerversionen sind entweder Datensicherungen
von Dateien und Ordnern, die mit der Konsole
Sichern und Wiederherstellen erstellt wurde und mit demselben Tool oder dem
Assistenten Dateien wiederherstellen
wiederherstellen, oder Schattenkopien.
Vorgängerversionen-Wiederherstellungen von Dateien und Ordnern können aus einer Schattenkopie oder einer Datensicherung erfolgen.
Vorgängerversionen-Wiederherstellungen können eine bisherige Datei überschreiben oder an
einem anderen Ort gespeichert werden.
Vorgängerversionen-Wiederherstellungen auch bezeichnet als Wiederherstellen von Dateien und Ordnern.
Windows Explorer -> Rechtsklick Datei oder Ordner -> Vergängerversion wiederherstellen
-> Liste der verfügbaren Versionen der Dateien oder Ordners
(Die Liste umfasst sowohl
Schattenkopien als auch Datensicherungen)
Wiederherstellen von Dateien und Ordnern in einen anderen Speicherort (kopieren) wird als Dummywiederherstellung
(dummy restore) bezeichnet.
Systemsteuerung -> Sichern und Wiederherstellen
-> Eigene Dateien wiederherstellen
Dateien oder Ordner die
gelöscht oder umbenannt wurden können aus einer Schattenkopie wiederhergestellt werden, vorausgesetzt der
Speicherort der Datei oder des Ordners ist bekannt.
Vorgängerversionen von gelöschten Dateien können nicht direkt wiederhergestellt werden,
nachdem der Papierkorb geleert wurde.
Aber die Vorgängerversion des Ordners
kann wiederhergestellt werden (dabei sollte aber beachtet werden, dass andere
Dateien im Ordner ebenfalls ersetzt werden durch die Vorgängerversion).
Falls der Papierkorb schon geleert wurde, geht man
folgendermaßen vor um gelöschte Dateien und Ordner wiederherzustellen:
Problem: Vorgängerversionen, selbst wenn sie
nicht am ursprünglichen Speicherort wiederhergestellt werden, überschreiben
sich selbst.
Lösung: Dummywiederherstellung jeder einzelnen Vorgängerversion, wobei nach jeder Dummywiederherstellung die Vorgängerversion
umbenannt werden muss (z.B. in <Vorgängerversion>_<year>-<month>-<day>-<time>).
WAIK
ACT
MAP
MDT
Process Explorer
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
Windows Debugging Tools
http://www.microsoft.com/whdc/devtools/debugging/default.mspx
IPv6
http://www.ietf.org/rfc/rfc2373.txt
BOOTP
http://www.ietf.org/rfc/rfc951.txt
DHCP
http://www.ietf.org/rfc/rfc2131.txt
DNS
http://www.ietf.org/rfc/rfc1034.txt
http://www.ietf.org/rfc/rfc1035.txt
http://www.ietf.org/rfc/rfc1591.txt