Windows 2000 - Sicherheitshandbuch

Sichere Installation von Windows 2000

Aktualisiert: 22. Mrz 2004
Auf dieser Seite
ModulübersichtModulübersicht
ZielsetzungZielsetzung
BetrifftBetrifft
Der Nutzen dieses ModulsDer Nutzen dieses Moduls
Installation des BetriebssystemsInstallation des Betriebssystems
Windows 2000-InstallationsprozessWindows 2000-Installationsprozess
Auswählen sicherer KennwörterAuswählen sicherer Kennwörter
Hinweise zu Windows 2000 Service PacksHinweise zu Windows 2000 Service Packs

Modulübersicht

Dieses Modul enthält die Verfahren für die Erstinstallation des Betriebssystems Microsoft Windows 2000 und Empfehlungen für die Installation in einer sicheren Umgebung.

Zielsetzung

Sichere Installation des Betriebssystems Windows 2000

Identifizieren der Kennwortprobleme im Zusammenhang mit Windows 2000-Systemen

Hinweise zu den Service Packs für Windows 2000

Betrifft

Die Informationen in diesem Modul gelten für folgende Produkte und Technologien:

Betriebssystem Microsoft Windows 2000

Installation des Betriebssystems

Der Nutzen dieses Moduls

Diese Modul kann als Anleitung für die sichere Installation und Aktualisierung von Windows 2000-Systemen verwendet werden.

Empfehlungen für eine erfolgreiche Arbeit mit diesem Modul:

Lesen Sie das Modul Sicherheitskonfigurationen für Windows 2000. Dieses Modul stellt eine ausführliche Dokumentation zu den Sicherheitseinstellungen bereit, mit denen die Sicherheit von Windows 2000 verbessert werden kann.

Lesen Sie das Modul Windows 2000-Tools für die Sicherheitskonfiguration. In diesem Modul werden die zum Anwenden sicherer Konfigurationen verfügbaren Windows 2000-Tools beschrieben.

Lesen Sie das Modul Windows 2000-Standardeinstellungen für Sicherheitsrichtlinien. In diesem Modul werden die Standard-Sicherheitsrichtlinieneinstellungen für die unterschiedlichen Windows 2000-Systemfunktionen beschrieben.

Lesen Sie das Modul Windows 2000-Konfiguration der Benutzerrechte und -privilegien. Dieses Modul beschreibt die standardmäßigen Benutzerrechtezuweisungen auf Windows 2000-Systemen, und es enthält eine Liste der empfohlenen Änderungen in "Sicherheitskonfigurationen für Windows 2000".

Verwenden Sie die Prüfliste Windows 2000- Sicherheitskonfigurationsprüfliste . Mit den Sicherheitsprüflisten in diesem Modul können Sie ein System auswerten, um sicherzustellen, dass alle Konfigurationsänderungen vorgenommen wurden.

Verwenden Sie die begleitenden Verfahrenshinweise:

Konfiguration und Anwendung von Sicherheitsvorlagen mit Windows 2000

Installation des Betriebssystems

Dieser Abschnitt enthält die Verfahren für die Erstinstallation von Betriebssystemen der Windows 2000-Familie.

Vorbereitung für die Installation

Während der Installation fordert Sie das Setupprogramm zur Eingabe von Informationen für die Installation und Konfiguration von Windows 2000 auf. Bereiten Sie die Installation des Betriebssystems Windows 2000 vor, indem Sie vor Beginn des Installationsprozesses Hardwareinformationen erfassen und Konfigurationsentscheidungen treffen. Die folgende Prüfliste enthält einige Richtlinien zu den Informationen, die vor dem Start des Installationsprozesses zusammengestellt werden müssen.

Tabelle 1: Windows 2000 – Prüfliste vor der Installation

  InformationBeschreibung

Hardwarekompatibilität

Überprüfen Sie die gesamte Hardware, um die Kompatibilität mit dem Betriebssystem Windows 2000 sicherzustellen. Hardwarekomponenten sind: Hauptplatine, Netzwerkadapter, Videokarte, Soundkarte und CD-ROM-Laufwerke. Weitere Informationen finden Sie (in englischer Sprache) in "The Windows 2000 Hardware Compatibility List (HCL)" unter: http://www.microsoft.com/windows2000/server/howtobuy/upgrading/compat/

Festplattenspeicher

Stellen Sie sicher, dass im System ausreichend Festplattenspeicherplatz verfügbar ist. Der mindestens empfohlene Festplattenspeicher für die Installation von Windows 2000 ist 2 GB.

Festplattenpartitionen

Bestimmen Sie die Anforderungen für die Festplattenpartitionen, und beachten Sie dabei die Empfehlungen für den Mindestfestplattenspeicher für die Installation des Betriebssystems Windows 2000.

Dateisystem

Sie müssen das Dateisystem als NTFS konfigurieren, um die Sicherheitskonfiguration zu ermöglichen. Es ist ein allgemeiner Irrglaube, dass die Wiederherstellung eines mit einer FAT-Partition ausgeführten Systems einfacher ist. Dies ist nicht wahr. FAT verringert nur die Sicherheit, es vereinfacht nicht die Wiederherstellung.

Installationsmethode

Legen Sie fest, ob das Betriebssystem Windows 2000 von Setup-Startdisketten, CD-ROM oder über das Netzwerk installiert werden soll. In diesem Dokument wird die Installation von Setup-Startdisketten und CD-ROM beschrieben.

Dienstkomponenten

Stellen Sie vor der Installation fest, welche Dienste für das installierte Betriebssystem erforderlich sind. Für Serverinstallationen sind in diesem Zusammenhang zum Beispiel Microsoft Active Directory, DNS, WINS oder DHCP zu berücksichtigen.

Windows 2000-Installationsprozess

Installationsmethoden

Sie können Windows 2000 entweder als Aktualisierung eines vorhandenen Windows-Betriebssystems oder als neue Betriebssysteminstallation installieren. Aus Sicherheitsgründen sollte Windows 2000 das einzige Betriebssystem auf dem Computer sein, und es sollte in einer sauberen Partition installiert werden. Dies bedeutet, dass Sie vor der Installation von Windows 2000 alle vorherigen Betriebssysteme von allen Festplattenpartitionen im Computer entfernen müssen.

Zur Installation des Betriebssystems Windows 2000 stehen drei Methoden zur Auswahl:

Setup-Startdisketten – Diese Methode dient für ältere Computer, die startfähige CD-ROMs nicht unterstützen. Diese Methode wird hier nicht ausführlicher behandelt.

CD-ROM

Netzwerk – Von dieser Methode wird abgeraten. Sie sollte nur in Umgebungen verwendet werden, in denen das Netzwerk nachweislich nicht feindlich ist.

Initiieren der Installation von einer startfähigen CD-ROM

Die Verwendung einer startfähigen CD-ROM ist die einfachste und schnellste Methode zum Installieren von Windows 2000. Damit der Computer während des Setups nicht gefährdet wird, sollte er jedoch vom Netzwerk getrennt werden, bis das Setup abgeschlossen ist und das neueste Service Pack installiert wurde.

Gehen Sie zum Starten des Setups von einer startfähigen CD-ROM folgendermaßen vor:

1.

Legen Sie die CD-ROM in das Laufwerk ein.

2.

Starten Sie den Computer neu, und warten Sie, bis Setup ein Dialogfeld anzeigt. Auf vielen Computern müssen Sie während des Startprozesses eine Taste drücken, um den Start von einer CD-ROM auszuführen.

3.

Folgen Sie den Installationsanweisungen auf dem Bildschirm.

Im Folgenden wird die sicherste Methode zum Installieren des Systems beschrieben. Diese Beschreibung stellt nicht die vollständigen Anweisungen für den Installationsprozess dar.

Konfigurieren von Festplattenpartitionen

Während der anfänglichen Textmodusinstallation des Systems, werden Sie gefragt, wo Windows 2000 installiert werden soll. Abbildung 1 zeigt das entsprechende Dialogfeld. Wenn mehrere Partitionen oder Festplatten vorhanden sind, werden diese angezeigt. Das folgende Beispiel in Abbildung 1 zeigt eine nicht partitionierte Festplatte mit 40 GB.

Wichtig: Aus Sicherheitsgründen sollten Sie dieses Dialogfeld verwenden, um alle anderen Betriebssystempartitionen aus dem System zu löschen.

Für Arbeitsstationen sollte der gesamte Speicherplatz auf einer Festplatte für die Installationspartition verwendet werden. Für Server sollten ungefähr 4 GB des Speicherplatzes auf einer Festplatte für das Betriebssystem verwendet werden. Der verbleibende Speicherplatz im System sollte für Datendateien, Dienste, Dienstprogramme usw. reserviert werden. Speichern Sie Benutzerdatendateien auf Servern nicht in der Startpartition. Für Arbeitsstationen ist dies jedoch akzeptabel, da Benutzer ihre Daten so leichter ausfindig machen können.

Auswahl der Festplattenpartition

Abbildung 1: Auswahl der Festplattenpartition

Nachdem Sie die Partition erstellt haben, müssen Sie diese formatieren. Für alle Systeme, auf denen Sicherheit gewährleistet werden muss, sollten alle Partitionen als NTFS-Partitionen formatiert werden. Nur Systeme mit NTFS können eine geeignete Sicherheit bieten.

Kennwort für das Administratorkonto zuweisen

Im Dialogfeld Computername und Administratorkennwort (siehe Abbildung 2) kann das Kennwort für das standardmäßige Administratorkonto festgelegt werden. Spezifische Informationen zur Auswahl eines guten Kennworts finden Sie im Abschnitt Auswählen sicherer Kennwörter. Die Einstellung eines sicheren Kennworts für das vordefinierte Administratorkonto während der Installation ist unbedingt erforderlich.

Dialogfeld "Computername und Administratorkennwort"

Abbildung 2: Dialogfeld "Computername und Administratorkennwort"

Dienstkomponenten für Windows 2000 Server-Produkte auswählen

Wählen Sie im Dialogfeld Windows 2000-Komponenten (siehe Abbildung 3) die erforderlichen Komponenten für den zu installierenden Server aus. In diesem Dialogfeld können Sie während der Installation Komponenten hinzufügen oder entfernen. Die Standardkonfiguration von Windows 2000 Professional ist ausreichend, Windows 2000 Server muss jedoch während der Installation geändert werden.

1.

Mehrere Komponenten sollten nicht ausgewählt werden, da sie die Sicherheit des Systems beeinträchtigen. Hierzu zählen Einfache TCP/IP-Dienste und das SNMP-Protokoll.

2.

Für Serverinstallationen werden im Dialogfeld Windows 2000-Komponenten standardmäßig Indexdienst, Internetinformationsdienste (IIS) und Script Debugger zur Installation ausgewählt. Auf den meisten Systemen sind diese Komponenten jedoch nicht erforderlich. Auf Nicht-Webservern sollten IIS und Script Debugger deaktiviert werden. Auf Systemen, die keine Dateiindexierung für die Suche nach Dateien erfordern, sollte Indexdienst deaktiviert werden. Für Systeme, die Microsoft Exchange 2000 ausführen, müssen bestimmte Teile von IIS installiert werden. Die Sicherheitskonfiguration von Exchange 2000 geht jedoch über den Rahmen dieses Handbuchs hinaus. Weitere Informationen zu Exchange 2000 Server finden Sie im "Security Operations Guide for Exchange 2000 Server" unter:

http://www.microsoft.com/technet/security/prodtech/exchangeserver/opsguide/e2ksec01.mspx

Hinweis: Aufgrund der weiten Verbreitung von Würmern, die ungesicherte Systeme in den meisten Netzwerken ausnutzen, sollten Sie Systeme, die ISS ausführen, in einem isolierten Netzwerksegment installieren, oder trennen Sie diese Systeme vom Netzwerk, bis Service Pack 3 oder höher installiert wurde.

Auswahl von Windows 2000-Komponenten

Abbildung 3: Auswahl von Windows 2000-Komponenten

Windows 2000 Server zu einem Domänencontroller konvertieren

Zum Erstellen eines Domänencontrollers müssen Sie zunächst eines der Produkte der Windows 2000 Server-Familie installieren, und anschließend stufen Sie das System zu einem Domänencontroller herauf. Hierzu kann das Programm DCPromo.exe verwendet werden. Während der Heraufstufung wird ein Dialogfeld mit der Bezeichnung Berechtigungen angezeigt (siehe Abbildung 4). In diesem Dialogfeld ist standardmäßig Mit Windows NT 3.5x/4.0-Servern kompatible Berechtigungen ausgewählt. Wenn diese Option aktiviert ist, wird die Gruppe Jeder ein Mitglied der Gruppe Prä-Windows 2000-kompatibler Zugriff. Diese Gruppe hat Lesezugriff auf alle Attribute aller Objekte in Active Directory. Dies stellt ein hohes Potential für Sicherheitslücken dar. Wenn Sie über ein bereits heraufgestuftes System verfügen, können Sie überprüfen, ob dieses Kontrollkästchen dort aktiviert wurde, indem Sie die Mitgliedschaft der Gruppe Prä-Windows 2000-kompatibler Zugriff untersuchen. Wenn die Gruppe Jeder ein Mitglied dieser Gruppe ist, entfernen Sie sie, und starten Sie dann alle Domänencontroller neu. Ein Neustart ist erforderlich, da das zum Steuern dieses Zugriffs verwendete Token beim Start erstellt wird.

Bei neuen Installationen, in denen der Zugriff auf Nicht-Windows 2000-Server und -Clients nicht erforderlich ist, sollte die Option Nur mit Windows 2000-Servern kompatible Berechtigungen aktiviert werden. Dies ist nur eines von vielen Beispielen dafür, dass die Sicherheit deutlich verbessert werden kann, wenn keine Abwärtskompatibilität gegeben sein muss.

Active Directory-Dialogfeld "Berechtigungen"

Abbildung 4: Active Directory-Dialogfeld "Berechtigungen"

Auswählen sicherer Kennwörter

Die Systemsicherheit ist weitgehend von der Verwendung sicherer Kennwörter abhängig. Dieses Thema wird in diesem Abschnitt ausführlich behandelt. Die Auswahl geeigneter Kennwörter unter Windows 2000 setzt grundlegende Kenntnisse in der vom Betriebssystem verwendeten Speicherungsmethode für Kennwörter voraus.

Kennwortdarstellungen in Windows 2000

Windows 2000 speichert Kennwörter standardmäßig nie als Klartext. Zum Speichen von Kennwörtern werden stattdessen zwei unterschiedliche im Allgemeinen als "Hashes" bezeichnete Kennwortdarstellungen verwendet. Der Grund für die Verwendung von zwei Darstellungstypen ist die Abwärtskompatibilität.

Der LMHash

Der auch als LAN Manager-Hash bezeichnete LMHash ist vom technischen Standpunkt aus betrachtet kein Hash. Er wird folgendermaßen berechnet:

1.

Alle Kleinbuchstaben im Kennwort werden zu Großbuchstaben konvertiert.

2.

Das Kennwort wird mit NULL-Zeichen aufgefüllt, bis es genau 14 Zeichen lang ist.

3.

Das Kennwort wird in zwei Teile mit je 7 Zeichen aufgeteilt.

4.

Jeder Teil wird separat als DES-Schlüssel verwendet, um eine bestimmte Zeichenfolge zu verschlüsseln.

5.

Die beiden Verschlüsselungstexte werden zu einer 128 Bit-Zeichenfolge verknüpft, und das Ergebnis wird gespeichert.

Aufgrund des zum Generieren des LMHash verwendeten Algorithmus ist der Hash sehr leicht zu entschlüsseln. Erstes kann selbst ein Kennwort mit mehr als 8 Zeichen in zwei separaten Teilen angegriffen werden, und zweitens kann der gesamte Kleinbuchstabenzeichensatz ignoriert werden. Dies bedeutet, dass die meisten Programme zur Kennwortentschlüsselung zunächst die LMHashes entschlüsseln und dann einfach die alphanumerischen Zeichen im entschlüsselten Kennwort variieren, um die Kennwörter unter Beachtung der Groß-/Kleinschreibung zu generieren. Für die Remoteanmeldung oder lokale Anmeldung an einem Windows 2000-System muss das Kennwort unter Beachtung der Groß-/Kleinschreibung eingegeben werden.

Der NTHash

Der NTHash wird auch als Unicode-Hash bezeichnet, da er den vollständigen Unicode-Zeichensatz unterstützt. Zur Berechnung des NTHash wird aus dem Nur-Text-Kennwort ein MD4-Hash erzeugt. Der MD4-Hash wird dann gespeichert. Der NTHash bietet einen deutlich besseren Schutz gegen Brute-Force-Attacken als der LMHash. Eine Brute-Force-Attacke auf einen NTHash nimmt erheblich mehr Zeit in Anspruch als eine Attacke auf den LMHash desselben Kennworts.

Wodurch zeichnet sich ein gutes Kennwort aus?

Die folgenden allgemeinen Richtlinien beschreiben die wichtigsten Merkmale guter bzw. sicherer Kennwörter:

Es ist länger als 7 Zeichen (andernfalls ist die zweite Hälfte des LMHash eine Verschlüsselung mit dem NULL-Kennwort).

Es enthält Elemente aus mindestens drei der folgenden vier Zeichensätze:

Großbuchstaben

Kleinbuchstaben

Ziffern

Nicht-alphanumerische Zeichen

Es enthält keine Teile aus dem Namen des Benutzers, dem Benutzernamen oder einem allgemeinen Wort.

Diese Komplexität wird mittels eines Kennwortfilters erzwungen und kann optional durch eine Gruppenrichtlinie definiert werden. Darüber hinaus kann ein Administrator die Komplexitätsanforderungen anpassen, indem er einen speziellen Kennwortfilter erstellt. Ein solcher Filter kann zusätzliche Komplexitätsanforderungen definieren, zum Beispiel, dass Firmennamen nicht als Teil des Kennworts verwendet werden usw. Weitere Informationen zum Erstellen eines solchen Filters finden Sie in "Password Filters in the Microsoft Windows Software Development Kit" unter: http://msdn.microsoft.com/library/en-us/security/Security/password_filters.asp.

Die meisten Kennwörter dieser Art können jedoch noch immer einfach entschlüsselt werden. Die Entschlüsselung von Kennwörtern kann durch folgende Schritte erschwert werden:

Verwenden Sie nicht-alphanumerische Zeichen, die nicht aus der "obersten Tastaturzeile" stammen. Die Zeichen in der obersten Zeile sind die durch Drücken der UMSCHALTTASTE und einer Zifferntaste eingegebenen Zeichen. Die meisten Angreifer wissen, dass diese Zeichen am häufigsten zum Erhöhen der Kennwortkomplexität verwendet werden. Die ersten Tests eines Angreifers gelten daher diesen Zeichen.

Verwenden Sie ALT-Zeichen. ALT-Zeichen sind die durch Drücken der ALT-Taste ((FN+ALT auf Laptops) und Eingabe einer drei- bis vierstelligen Nummer auf der Zehnertastatur (die überlagerte Zehnertastatur bei Laptops) erzeugten Zeichen. Die meisten Angreifer sind nicht in der Lage, die Mehrzahl der ALT-Zeichen zu testen.

Lassen Sie die Speicherung des LMHash nicht zu.

Die Speicherung des LMHash kann mit vielen unterschiedlichen Methoden verhindert werden. Sie können die LMHash-Erstellung jedoch für einzelne Konten steuern, indem Sie das Kennwort auf bestimmte Weise erstellen.

Wenn das Kennwort länger als 14 Zeichen ist, kann das System keinen LMHash generieren. Windows 2000 unterstützt Kennwörter von bis zu 127 Zeichen.

Wenn das Kennwort bestimmte ALT-Zeichen enthält, kann das System ebenfalls keinen LMHash generieren. Letztere Methode ist etwas knifflig: Einige ALT-Zeichen verbessern die Sicherheit des Kennworts durch Umgehen des LMHash zwar deutlich, andere schwächen das Kennwort jedoch, da sie vor dem Speichern in normale Großbuchstaben konvertiert werden. Viele Zeichen stärken das Kennwort allerdings. zeigt alle Zeichen unter 1024, die die Generierung des LMHash verhindern.

Tabelle 2: ALT-Zeichen, die die LMHash-Generierung verhindern

0128-0159

0306-0307

0312

0319-0320

0329-0331

0383

0385-0406

0408-0409

0411-0414

0418-0424

0426

0428-0429

0433-0437

0439-0447

0449-0450

0452-0460

0477

0480-0483

0494-0495

0497-0608

0610-0631

0633-0696

0699

0701-0707

0709

0711

0716

0718-0729

0731

0733-0767

0773-0775

0777

0779-0781

0783-0806

0808-0816

0819-0893

0895-0912

0914

0918-0919

0921-0927

0929-0930

0933

0935-0936

0938-0944

0947

0950-0955

0957-0959

0961-0962

0965

0967-1024

  

  

In vielen Umgebungen kann der LMHash nicht systemweit deaktiviert werden. Dies kann zum Beispiel in Umgebungen der Fall sein, in denen das Betriebssystem über das Netzwerk durch Starten einer DOS-Diskette installiert wird. DOS unterstützt den NT-Hashalgorithmus nicht und erfordert daher das Vorhandensein des LMHash. DOS unterstützt zudem nicht die Verwendung von ALT-Zeichen im Kennwort. Während LMHashes sofern möglich in allen Umgebungen systemweit deaktiviert werden sollten, können die obigen Techniken in allen Umgebungen zum Stärken einzelner Kennwörter verwendet werden.

Verwenden Sie ALT-Zeichen für wichtige Konten wie Dienst- und Administratorkonten. Im Allgemeinen benötigen diese Konten einen umfassenderen Schutz als normale Benutzerkonten, und die mit diesen Konten arbeitenden Benutzer sollten bereit sein, sehr komplizierte Kennwörter zu verwenden. Ein Nachteil ist, dass die Verwendung von ALT-Zeichen in einem Kennwort die Wiederherstellungskonsole unbrauchbar macht. Bedenken Sie dies beim Einrichten von Kennwörtern mit ALT-Zeichen.

Hinweise zu Windows 2000 Service Packs

Windows 2000 Service Packs für Windows 2000 Professional, Windows 2000 Server und Windows 2000 Advanced Server enthalten die neuesten Updates für das Betriebssystem Windows 2000. Diese Updates stellen eine Sammlung von Patches für die folgenden Bereiche dar: Anwendungskompatibilität, Zuverlässigkeit des Betriebssystems, Sicherheit und Setup. Jedes Service Pack-Update ist kumulativ und enthält alle Updates von vorherigen Windows 2000 Service Packs.

Nach den Windows 2000 Service Packs herausgegebene Hotfixes enthalten Produktupdates, die bestimmte zwischen Service Pack-Versionen aufgetretene Probleme beheben. Im Allgemeinen werden alle Hotfixes in jede nachfolgende Service Pack-Version integriert. Windows 2000 Service Pack 3 enthält zum Beispiel alle Updates in Service Pack 2 sowie alle nach Service Pack 2 erschienenen Hotfixes.

Verschlüsselung in Windows 2000 Service Packs

Windows 2000 Service Packs 2 und höher unterstützen standardmäßig die starke Verschlüsselung (128 Bit) und aktualisieren die Standardverschlüsselung (56 Bit) des Betriebssystems automatisch, wenn dies noch nicht geschehen ist. Dieses Feature kann weder deaktiviert noch deinstalliert werden. Wird das Service Pack nach der Installation entfernt, verwendet das Betriebssystem weiterhin die 128 Bit-Verschlüsselung. Das System wird nicht auf die 56 Bit-Verschlüsselung zurückgesetzt.

Eine Ausnahme von dieser Regel besteht jedoch. Der geschützte Speicher ist ein mit Internet Explorer 4.0 eingeführter Datenspeicher. Dem geschützten Speicher wird zunehmend die Datenschutz-API vorgezogen. Daten im geschützten Speicher, zum Beispiel IE-Benutzernamen und -Kennwörter, werden jedoch durch eine schwache Verschlüsselung geschützt, und diese Verschlüsselung wird während der Installation des Service Packs nicht aktualisiert. Zum Aktualisieren der Verschlüsselung für den geschützten Speicher, müssen Sie nach der Installation von Service Pack 2 oder höher den folgenden Befehl ausführen:

Keymigrt.exe
Keymigrt.exe -m

Das Dienstprogramm keymigrt.exe verwendet zudem die folgenden Optionen:

keymigrt [-f] [-v] [-u] [-m] [-s]
CAPI Key upgrade utility
    -f - Force key upgrade
    -e - Force Encryption Settings upgrade
    -v - Verbose
    -u - Allow upgrade of UI protected keys
    -m - Upgrade machine keys
    -s - Show current state, but make no modifications

Weitere Informationen zu keymigrt.exe und zum Downloaden des Tools finden Sie im Microsoft-Sicherheitsbulletin MS00-032 unter http://www.microsoft.com/technet/security/bulletin/MS00-032.asp.

Empfohlene Aktionen vor der Installation von Service Pack- und Hotfix-Updates

Vor der Installation von Service Pack- oder Hotfix-Updates

1.

Schließen Sie alle Anwendungen.

2.

Aktualisieren Sie die Notfalldiskette:

1.

Klicken Sie auf Start, wählen Sie Programme, Zubehör und Systemprogramme, und klicken Sie dann auf Sicherung.

Benutzeroberfläche des Sicherungsdienstprogramms

Abbildung 5: Benutzeroberfläche des Sicherungsdienstprogramms

2.

Klicken Sie auf der Registerkarte Willkommen auf Notfalldiskette.

3.

Aktivieren Sie im Fenster Notfalldiskette die Option Die Registrierung im Wiederherstellungsverzeichnis sichern, um die aktuellen Registrierungsdateien in einem Ordner \RegBack im Ordner %systemroot%\Repair zu speichern. Dies ist hilfreich, wenn das System aufgrund eines Fehlers wiederhergestellt werden muss.

4.

Klicken Sie auf OK, um die Notfalldiskette zu erstellen.

5.

Beim Erstellen der Notfalldiskette werden die in Tabelle 3 beschriebenen Dateien aus dem Ordner %systemroot%\Repair auf eine Diskette kopiert.

Tabelle 3: Beim Erstellen der Notfalldiskette kopierte Dateien

DateinameInhalt

Autoexec.nt

Kopie von %systemroot%\System32\Autoexec.nt, die zum Initialisieren der MS-DOS-Umgebung verwendet wird.

Config.nt

Kopie von %systemroot%\System32\Autoexec.nt, die zum Initialisieren der MS-DOS-Umgebung verwendet wird.

Setup.log

Ein Protokoll der installierten Dateien mit CRC-Informationen (Cyclic Redundancy Check) zur Verwendung während des Notfallreparaturprozesses. Diese Datei enthält die schreibgeschützten Systemattribute und verdeckten Attribute und ist nur sichtbar, wenn der Computer zur Anzeige aller Dateien konfiguriert wurde.

3.

Führen Sie eine vollständige Sicherung des Computers einschließlich aller Registrierungsdateien durch.

4.

Überprüfen Sie den verfügbaren Festplattenspeicher, um sicherzustellen, dass er den Updateanforderungen entspricht. Die Anforderungen sind im Allgemeinen in der zugehörigen Infodatei enthalten.

5.

Wenn kürzlich Änderungen am System vorgenommen wurden, muss der Computer vor der Installation eines Service Packs ggf. neu gestartet werden.

Installieren von Service Pack- und Hotfix-Updates

Das neueste Windows 2000 Service Pack kann von einer Service Pack-CD, über ein Netzwerklaufwerk oder von der Windows 2000 Service Pack-Website unter folgender Adresse installiert werden: http://www.microsoft.com/windows2000/downloads/servicepacks/

Ausführliche Informationen zu jeder Installationsmethode finden Sie in der Infodatei für das Service Pack. Während der Installation installiert das Service Pack-Programm seine Dateien auf dem Computer, und es erstellt automatisch eine Sicherungskopie der vom Installationsprogramm geänderten Dateien. Die Sicherungsdateien werden in einem Ordner $NTServicepackUninstall$ im Ordner %systemroot% gespeichert.


**
**